Fransen kunnen pornosites Youporn, Pornhub en Redtube weer bezoeken nadat de eigenaar de toegang tijdelijk had geblokkeerd. Dat meldde Nu.nl. Moederbedrijf Aylo protesteerde tegen regels voor leeftijdsverificatie met behulp van creditcards of identiteitsbewijzen.
In februari van dit jaar voerde de Franse Autorité de régulation de la communication audiovisuelle et numérique (“Arcom”) regels in voor leeftijdsverificatie bij websites voor volwassenen. Dit was de implementatie van een wet uit 2020 die bepaalde dat websites dergelijke verificatie moesten doen (en dus meer dan “vul je leeftijd in”).
Vanwege le privacy waren er de nodige randvoorwaarden, zoals:
the concept of double anonymity, which the CNIL already put forward in 2021 in its opinion on the decree of Law No. 2020-936 and in 2022 in its recommendation titled “Online age verification: balancing privacy and the protection of minors.” Double anonymity guarantees the site does not know the user’s identity and the provider of the age verification solution does not know which sites the user visits. Platforms will have to offer at least one age verification method that complies with the double anonymity concept, with mandatory compliance from 11 April 2025.Technisch niet bepaald triviaal. Aanbieder Aylo maakte dan ook bezwaar toen zij werd aangewezen als een van de zeventien partijen die aan deze regels moest voldoen. Dat vond ze oneerlijk gezien de hoeveelheid concurrenten.
Er was ook een meer technisch argument: Aylo en haar dochterondernemingen waren niet in Frankrijk gevestigd, en op grond van de Europese e-commerceregels mag je die bedrijven dan niet zomaar aparte, nationale regels opleggen (country of origin principe). Procedureel ging hier mis dat men voorafgaand de Europese Commissie had moeten informeren.
Inhoudelijk is er verder weinig mis met deze regels, dus het voelt vooral als een stukje vertraging. Maar Aylo grijpt de discussie wel gelijk aan om de bal bij de grote device/OS providers te leggen:
To make the internet safer for everyone, every phone, tablet or computer should start as a kid-safe device. Only verified adults should be allowed to unlock access to age-inappropriate content. This is the core premise of device-based age verification, which we believe is the safest and most secure option. The technology to accomplish this exists today.Het idee is dan dat de OS/platformbeheerder op dergelijke apparaten zorgt voor een veilige leeftijdsverificatie. Deze wordt dan opgeslagen in het apparaat, waarna een token “is 18+” naar websites gestuurd kan worden. Daarmee hoef je geen details over die persoon te verstrekken, en hoeven al die websites niet zélf na te denken hoe ze op afstand nagaan of iemand 18+ is.
Een goed idee, en fundamenteel het beste vanuit onder meer AVG perspectief. Het grote probleem is natuurlijk de enorme berg apparaten die deze feature nog niet heeft. Dus zelfs als we vanaf morgen dit verplicht stellen, wat doe je dan met al die bestaande apparaten?
Arnoud
Het klinkt natuurlijk fantastisch, device based age-verification, maar in de praktijk ik het een wassen neus.
Want kiddo zit gewoon op de telefoon/tablet van pappa of mamma. En daarmee ligt de bal weer bij de ouders, waarbij die zonder maatregelen ook ligt.
Dus als je als je als maatschappij/overheid maatregelen wil nemen om kinderen te beschermen, dan is device based age verification geen nuttige maatregel.
De meeste kinderen in Nederland krijgen op hun negende een eigen smartphone. Vaak wel een oud model van papa of mama, maar toch: een eigen telefoon. Het idee dat de ouders er dus bij (moeten) zijn als dat toestel wordt gebruikt, vind ik zwaar achterhaald.
In een maatschappij waarin Big Tech je overspoelt met manipulatieve en verslavende trucs, is het werkelijk ongepast om te zeggen “je moet gewoon op je kind letten”. Dat is niet gewoon – dat is vrijwel onhaalbaar. Zelfs als je een filmpje van het Jeugdjournaal kijkt, komt er een tracker van Youtube mee bijvoorbeeld. En klik je dan door, zit je binnen drie videos bij Andrew Tate.
Dan zeg ik: ouders hebben alle hulp nodig van de overheid om die opvoeding goed te doen. En verzaakt de overheid die algemene plicht door niet op te treden tegen die manipulatie en verslaafdmaking, dan is het minste dat wél kan een systeem van leeftijdscontrole.
Ik heb net een inprivate browser window geopend, naar Youtube gegaan, gezocht op Jeugdjournaal en vervolgens de eerste optie gekozen. Na 1 jeugdjournaal video kwam ik in een schijnbaar eindeloze rij Nieuwsuur videos. Alle andere aangeraden video’s waren allemaal nieuws van bekende bronnen. Dus hoe je binnen 3 video’s bij controversiele content komt vraag ik me echt af. En zelfs tijdens op mijn normale account ben ik de laatste jaren nauwelijks dat soort content tegengekomen. Nu is 1 test geen bewijs dat het nooit zal voorkomen, maar het lijkt niet de zekerheid die uit jouw woorden doen voortkomt.
Daarvoor is het toch heel gebruikelijk om overgangsregelingen te hebben? Net als de verplichting voor USB type c als oplaadpoort, bijvoorbeeld. Ik zie het bezwaar niet.
Het is niet zo moeilijk om een app te maken die (met wat cryptografie ter beveiliging) kan verklaren dat de gebruiker van de smartphone ouder dan 18 is. (De actuele verificatie met een officieel document is een relatief duur onderdeel.) Deze applicatie kan apart gedownload worden tot de functionaliteit door de telefoonmaker meegeleverd wordt.
Zoiets is er al in Nederland: Yviv.
Deze app is heel privacy vriendelijk. De website krijgt alleen te weten dat de gebruiker ouder dan 18 is, maar niet de exacte geboorte datum. En overheden, banken etc die de validatie doen weten niet waar je deze voor gebruikt. De app kan buiten leeftijd ook nog meer dingen valideren.
Zoiets als Yivi biedt alleen een theoretische bescherming, omdat er in de praktijk geen enkele controle is of de houder van het device ook degene is van wie de identiteit is vastgesteld. Je hebt maar 1 achttienjarige nodig met een Digid, die vervolgens de telefoons van weet ik hoeveel 16-jarigen in zijn omgeving kan voorzien van “ik ben 18+” Yivi-credentials zonder dat daar iets tegen te doen is of aan te detecteren is.
In de ouderwetse offline wereld werd dit nog ondervangen doordat er een pasfoto op de identiteitskaart staat. Genoemde online-‘oplossingen’ hebben hier echter geen bijpassend antwoord op.
Een Digid app aan een telefoon koppelen is lastiger dan even een selfie maken met jouw ID-kaart in de hand. Leeftijdsfraude is relatief makkelijk op het Internet. On the Internet nobody knows you’re a fox!
OTOH, toen ik jong was werd er met papieren “identiteitsbewijzen” gefraudeerd. Vooral de NS-stamkaart voor abonnementen was populair, werd bij meerdere clubs geaccepteerd als bewijs van boven 16 (destijds de legale leeftijd om alcohol te mogen kopen.)
Aylo heeft gelijk in dat er zo ontzettend veel pornosites zijn dat het oneerlijk is om alleen die van een klein handjevol aanbieders zo’n verplichting op te leggen. Zoals je in andere zaken (bijvoorbeeld over het blokkeren van rt.com) al eerder gezegd hebt hoeft een maatregel niet 100% waterdicht te zijn om toch nuttig en effectief te zijn, maar als je 10 of 20 van de 1000+ beschikbare sites blokkeert dan is het geen van beide.
Wat ik niet helemaal zie is hoe dit:
precies moet gaan werken in de praktijk. Qua veiligheid en privacy is dat uiteraard wat mij betreft de enige optie, maar het lijkt me dat het eenvoudig te omzeilen is. Het doet me denken aan de groepjes jongeren die ik soms buiten bier zie drinken en zie roken; eentje is net 18 geworden en mag bier en sigaretten kopen met het bijeen gelegde geld, en buiten om de hoek wordt de buit gedeeld. Ik zie een markt ontstaan voor mensen die hun identiteitsbewijs laten scannen zodat de minderjarige zo’n token op z’n telefoon kan krijgen. Gewoon op een onbewaakt moment de id-kaart van een van de ouders gebruiken kan natuurlijk ook.
Je kan moeilijk afdwingen dat je als gebruiker elke keer het hele verificatieprocess moet doorlopen als je verschillende 18+ sites bezoekt, dat is buitengewoon onpraktisch en gebruikersonvriendelijk. Zo’n token zal dus een bepaalde levensduur moeten hebben. Je kan ook niet voorkomen dat een bepaalde id-bewijs wordt hergebruikt op meerdere devices; mensen kunnen een of meerdere PC’s hebben, plus een laptop, een tablet en een of twee telefoons. Ik zie niet goed hoe je hier omheen kan werken als je het bezoek aan een site los wil koppelen van het verifieeren van de leeftijd op device-niveau (en dat willen we).
Het idee van een “Is 18+” binnen de computer is een goed idee, maar zou eigenlijk op browser-niveau ingevoerd moeten worden. Want op OS-gebied is dat een stuk lastiger als het om UNIX/Linux systemen gaat. Er zijn immers teveel varianten. Meer dan het aantal browser-varianten. Als die =18+ in Chromium ingebouwd zou zijn dan nemen veel andere browsers dat ook over. Voor mobiele telefoons zou =18+ standaard ingebouwd moeten zijn, naast een =13+ optie.
Maar wat als kinderen dit gaan omzeilen? simpel: de ouders zijn dan gewoon verantwoordelijk! Dat zijn ze sowieso, maar momenteel hebben ze weinig hulpmiddelen bij computer-gebruik om hun kinderen weg te houden van de 18+ sites. Als de ouders hun minderjarige kinderen een 18+ apparaat geven, dan is dat hun probleem, niet dat van de websites.
Met dat idee zijn een paar problemen. Ten eerste, als je het over laat aan een stuk software dat wordt geinstalleerd op een device die van iemand is (bijv. Firefox op een Windows PC), dan zal het worden gemanipuleerd. Denk bijvoorbeeld aan vrijwel alle competatieve online games waar cheaten een continue probleem is. Grote softwarebedrijven proberen al decennia onsuccesvol daar een einde aan te maken.
Als Chromium en/of Firefox of welke andere browser dan ook open source zijn, dan is het niet de vraag of, maar wanneer er een clone of fork (of gewoon een browser-addon) komt waarin je gewoon aan kan vinken om het 18+ token mee te sturen.
Daarnaast, of het nu in de browser of in het OS zit, als de verificatie van de leeftijd een eenmalige of maandelijkse actie is waarna dat device het 18+-token meestuurt, dan zal er gewoon op het schoolplein een handeltje ontstaan in activeren van de leeftijdsverificatie of pubers gebruiken op een onbewaakt ogenblik even snel het id-bewijs van een van de ouders. Als je de gebruiker anoniem wil laten zijn, dat wil zeggen je legt vast dat de gebruiker 18+ is maar niet precies wie het is of met welk id-bewijs er is geverifieerd, dan blijft dat mogelijk en er is eigenlijk niet omheen te werken zonder hele verstrekkende, privacy schendende draconische maatregelen. Bij elk bezoek aan elke site waarop (potentieel) iets 18+ te vinden is vragen om het verificatieproces geheel te doorlopen zal denk ik niet geaccepteerd worden.
Ook vraag ik me af hoe men het voor zich ziet op gewone PC’s, zonder camera of chiplezer. De focus vind ik heel erg op mobiele telefoons liggen, maar veel jongeren hebben natuurlijk ook een gewone gaming PC.