De Britse telecomtoezichthouder Ofcom heeft een bedrijf uit Belize een boete van omgerekend 1,1 miljoen euro opgelegd omdat het geen ‘robuuste’ online leeftijdsverificatie toepast. Dat meldde Security.nl. Hoewel het bedrijf “enige vorm van verificatie” gebruikte, was dat niet robuust genoeg. Wat de vraag opriep: hoe moet het dan wel?
In het VK geldt sinds 2023 de zogeheten Online Safety Act. Een van de (vele) controversiële aspecten uit deze wet is een zorgplicht dat minderjarigen geen “content that is harmful to children” tegenkomen:
The duty set out in subsection (3)(a) requires a provider to use age verification or age estimation (or both) to prevent children of any age from encountering primary priority content that is harmful to children which the provider identifies on the service.Bij een ‘adult’ website zoals van de AVS Group Ltd uit Belize is het vanzelfsprekend dat de inhoud schadelijk is. Nu kennen we al langer het vinkje “Ik ben 18 jaar of ouder”, maar de Engelse wet wil wel iets meer. AVS had ook wel iets toegevoegd:
In particular, AVS Group Ltd deployed a photo upload check on its services that does not include liveness detection and as such is vulnerable to circumvention by children (for example, by uploading a photo of an adult). Ofcom considers that this method is not capable of being highly effective within the meaning of the Act.Ik zie wel hoe “upload een foto en we kijken of de persoon meerderjarig is” niet héél effectief is voor het gestelde doel. Liveness detection oftewel een video-analyse is iets lastiger te faken (jaja, Nano Banana is geweldig) dus dat was een betere stap geweest.
Toezichthouder Ofcom zelf had nog een aantal methodieken bedacht:
- Koppelen met een bankrekening (de “1 cent betalen” techniek), aangenomen dat de rekening alleen voor meerderjarigen beschikbaar is.
- Foto, maar dan vergelijken met een tevens geupload identiteitsdocument
- Afgaan op een signaal van de mobiele telecomprovider (in Engeland zetten die standaard “is minderjarig” op je simkaart, tenzij je dat na bewijs er af laat halen)
- Creditcard check (die zijn er alleen voor meerderjarigen)
- Een digitale identiteitsportemonnee zoals de EU met eIDAS/eID wil opzetten (maar die is er nog niet)
Ik weet niet waarom dat niet van de grond wil komen?
Arnoud
Het grote probleem met de “gewoon een token sturen dat je 18+ bent” is dat je nog steeds met precies hetzelfde issue zit als wat dat bedrijf had dat is veroordeeld: er is geen enkele check dat het token dat aangeboden wordt, is van degene die achter het scherm zit.
En je moet juist beschermen tegen het feit dat voldoende anderen willen meewerken aan het delen van zulke tokens met minderjarigen en er geen belang bij hebben hun tokens privé te houden. Al met al kom je dan toch weer op extra checks zoals pasfoto+liveness etc.
Het grootste probleem is dat deze wet vooral hangt bij sites waar men anoniem wil blijven. Waar er ook nog een algemeen gevoel van laag vertrouwen is. De oplossing lijkt duidelijk dus het gebruik van VPNs, en zeker kinderen weten die heel goed te vinden (scholen moeten al heel lang allerlei filters gebruiken die ook veel legitieme inhoud tegen houden). Daarnaast is de extraterritoriale werking bizar en niet uit te voeren (zie de zaak ofcom vs 4chan/kiwifarms). Al met al een hele domme wet.
In de plaats hier van is er een simpele oplossing. Voed je kinderen goed op en laat het niet over aan anderen, inclusief de school of overheid.
In deze tijden van AI generated foto’s snap ik wel dat een willekeurige foto onvoldoende is ja. Maar geen van de genoemde alternatieven zie ik als acceptabel. De bank hoeft niet te weten waar je als volwassene ‘adult content’ bekijkt, de overheid al helemaal niet. Ik mis een veel betere route: iets als Yivi.
Bizar dat men de Britse inwoners gaat aanleren dat het okay is dat soort info te verschaffen aan dus ook willekeurige shady websites. Risico op veel meer oplichting / ID-fraude bij digibeten die kopieën paspoort gaan sturen naar pak-em-beet eenheleboelblotedames.ru (ik heb even gecheckt, die bestaat niet). Of denken een cent over te maken maar ondertussen veel meer: er is geen phishing mail meer nodig als men zelf al actief zoekt.
Ik had ook verwacht dat er veel meer VPN-gebruik zou komen bij iedereen die die route weet te vinden, maar dat schijnt mee te vallen: https://tweakers.net/nieuws/242428/pornosites-hebben-miljoenen-bezoekers-minder-uit-vk-vpn-gebruik-steeg-niet-veel.html
Het moet niet alleen een overheidsding zijn, maar ook een browser ding; wat je nodig hebt is een functionaliteit in je browser die een “deze gebruiker is 18+” token laat zien aan iedere site die daarom vraagt. Anders gaat het systeem nooit werken voor sites waar je geen account hebt (dat is ook het fundamentele probleem waarom sites als 4chan onmogelijk aan de ofcom eisen kan voldoen). Dit alles uiteraard met een validatie die eeuwig geldig is, ik ga niet iedere drie maanden een nieuwe validatie uitvoeren om te laten zien dat ik nog steeds 18+ ben.
Ik zie een “digitale granulaire ID check” (Gebruiker kan aan overheid “bevestiging” vragen van een of enkele aspecten van zijn identiteit, zoals leeftijd, hetgeen de overheid bevestigt met een digitale handtekening, door de dienstverlener te controleren) als beste middel.
Dan moet de overheid een goed werkend systeem opzetten. Het is veel makkelijker om anderen moeilijke opdrachten te geven!Dat zou waarschijnlijk werken, maar ik ben vast niet de enige die dat niet ziet zitten. Ik wil niet aan de overheid toestemming moeten vragen voor elke 18+ dienst die ik wil gebruiken, en ik vertrouw de overheid ook niet met een database die elke inwoner koppelt aan een lijstje van 18+ diensten. Bovendien wil ik 18+ diensten ook kunnen gebruiken zonder dat ik overal eerst een account moet aanmaken, en ik vind dat 18+ diensten ook dingen aan moeten kunnen bieden zonder account (neem als voorbeeld 4chan).
Het is een heel lastig probleem, ik denk niet dat er een methode is die zowel:
De privacy van de gebruiker beschermd (d.w.z geen enkele individuele partij kan de identiteit koppelen aan een specifieke dienst)
Robuust is, d.w.z niet heel eenvoudig te omzeilen als je bijvoorbeeld een naam, adres en geboortedatum van iemand kent
Eenvoudig in gebruik is, bijvoorbeeld doordat je browser een valide “is 18+” token kan sturen nadat je bij een dienst je leeftijd hebt bevestigd
Er bestaat een manier waarop zo’n systeem kan werken zonder dat de overheid hoeft te weten voor welke dienst jij een verklaring aanvraagt:
- De dienst genereert een verzoek met een willekeurig nummer* en een computer leesbare beschrijving van de gewenste verklaring.
- De gebruiker logt in bij de overheid en biedt het verzoek aan.
- De overheid controleert de gegevens en ondertekent met een PKI handtekening wanneer de verklaring waar is.
- Gebruiker stuurt de ondertekende verklaring terug naar de dienst.
- De dienst verifieert de handtekening met behulp van de publieke sleutel van de overheid.
Daarmee kan een gebruiker semi-anoniem aantonen een bepaalde leeftijd te hebben. (Aangenomen dat de overheids-login voldoende veilig is.)Deze constructie heeft het probleem dat je met enige regelmaat opnieuw je leeftijd moet bewijzen. Als je morgen langs honderd verschillende 18+ websites wil, of je komt regelmatig op een site die niet werkt met accounts, dan wordt het snel onwerkbaar.
Een frictielozer systeem is het volgende: de overheid geeft me eenmalig een certificaat van volwassenheid, die laad ik in mijn browser, en mijn browser kan op commando een “ik ben 18+” token uitspugen voor iedere site die daar om vraagt. Maar dat heeft dan weer het nadeel dat het erg makkelijk wordt om de buurjongen jouw certificaat te geven.
Ja, On the Internet nobody knows you’re a dog. Andermans authenticatie gebruiken is simpel. In het systeem dat ik presenteer kan “oude broer” een account aanmaken en het wachtwoord aan jongere familieleden geven. Maar dat moet “per website” gebeuren (dus enige controle), in plaats van een token dat voor het hele web werkt.
Aan de andere kant, met enige hulp van de browsermakers kan mijn systeem geautomatiseerd worden. De gebruiker hoeft dan alleen op een knop “vraag certificering” te drukken en wordt automatisch doorgestuurd wordt naar de overheids-login. Het terugsturen van het ondertekende certificaat kan automatisch gebeuren. (Het zou goed zijn als de browser ook toont waarvoor certificering gevraagd wordt.)
Maar met het oog op de privacy wil je juist niet dat iedere site waar je langsgaat een apart verzoek naar de overheidsdienst stuurt, maar dat dat deel van het proces binnen je browser blijft. Afwegingen, afwegingen…
Het idee is dat de gebruiker de proxy (browser) tussen dienst en overheid beheert, waardoor er geen direct contact nodig is. Dat willekeurige getal in het verzoek is nodig om het onmogelijk te maken een handtekening te laten hergebruiken door een ander persoon (eventueel bij een andere dienst.)
Maar ja, ontwerpbeslissingen, afwegingen…
Een zo werkend systeem is ook een goed idee, voor diensten die je zelden gebruikt, waar het niet erg is als het inlogprocess enkele minuten in beslag neemt, die nationaal zijn of in elk geval onder dezelfde wetgeving vallen, en waarbij de gebruiker zelf een belang heeft bij goede verificatie. Bijvoorbeeld de website van de belastingdienst waar je je jaarlijkse aangifte doet, of de website van je bank. Veel van dit soort systemen werken niet meer op het moment dat de gebruiker zelf het systeem eigenlijk niet wil gebruiken, of daar in elk geval zelf geen belang bij heeft of waarde aan hecht. De realiteit is natuurlijk dat gebruikers (content-uploaders mogelijk nog wel) geen belang hechten aan zichzelf goed en betrouwbaar identificeren als ze ’s avonds even naar xcavia.com browsen.
In dagelijkse gevallen zou het heel snel heel erg vervelend worden. Je staat in een winkel en wil even checken hoeveel het kost bij kubus.com. Oh jee, even je digid erbij pakken weer, want kubus.com verkoopt ook boeken over depressiviteit, zakmessen, vibrators en paracetamol, dus 18+.
Je gaat naar Cornhub.com, en die vraagt om je leeftijd te bewijzen. Nou ja, dan maar naar VagePlaatjesSite.ru, want die heeft totaal lak aan Nederlandse of EU wetgeving, dus daar kan je gewoon terecht voor je plaatjes van beboterde maiskolven. De bereidheid van valide en betrouwbare websites om te voldoen aan die wetgeving gaat zo heel snel verloren. Al die websites moeten ook allemaal de verificatiemethodes van alle overheden gaan ondersteunen, dat wordt een behoorlijk administratief gedoe. Natuurlijk is er met een PKI certificaat al een hele hoop te doen, er is geen directe koppeling nodig tussen sites en overheid, maar als je wil voorkomen dat het heel eenvoudig is om je verzoek door te sluizen naar een “proxy” zoals een grote broer dan komt er meer bij kijken, iets met time-sensitive en device-specifiek. Alleen een random getal gebruiken is dan niet voldoende, daar moet je dan ook een soort device fingerprint bij doen. Als je om niet dagelijks bij 10 sites je leeftijd te hoeven checken de browser die “18+ tokens” laat genereren na eenmalige leeftijdsverificatie dan is het helemaal eenvoudig te omzeilen. Sowieso speelt nog het probleem van gedeelde computers en tablets, en misbruik door kinderen van onoplettende ouders en grootouders.
Dit allemaal natuurlijk nog afgezien van de vele fundamentele, principiele en praktische bezwaren tegen leeftijdsverificatie, maar daar ging het hier niet om.
Het fundamentele probleem is dat wetgevers (dit keer in het VK) vragen om iets onmogelijks: robuuste (leeftijd) verificatie op het Internet. Ik refereer niet voor niets aan On the Internet nobody knows you’re a fox.
Ik ben het trouwens met je eens dat de certificatie van de verklaring binnen een redelijke termijn (minuten, maar geen uren) gedaan moet zijn. Maar ook dat de website mag onthouden dat je ouder als 18 bent als je daar een account hebt.
Dat lost inderdaad het probleem op dat de overheid weet voor precies welke dienst jij een verklaring aanvraagt. Alleen is dat niet eenvoudig in gebruik, je moet dan voor elke 16/18+ dienst dat process doorlopen. Je kan ook relatief eenvoudig een soort proxy-dienst in het leven roepen; als er geen relatie is tussen het door de dienst gegenereerde nummer en de aanvraag dan kan ik mijn nummer doorsturen aan de oudere broer van mijn klasgenoot die voor een paar euro even mijn leeftijd “verifieert”. Aan het lijstje van dingen die jongeren niet mogen kopen maar toch massaal hebben, zoals vuurwerk, sigaretten en alcohol, kan je dan “18+ tokens” toevoegen.
De lijst met diensten die in het VK nu die leeftijdsverificatie moeten toepassen is al behoorlijk lang geworden. De meest gebruikelijke voorbeelden zijn pornografische sites (het is makkelijk daar wat lacherig over te doen, je merkt ook in het politiek debat dat men eigenlijk doet alsof niemand die ooit gebruikt behalve tieners, terwijl het sommige van de meest bezochte websites zijn. Ergens zit daar wat scheef) maar het gaat ook over social media, streamings diensten, sites met medische informatie, informatie over veslavingen en drugs, hulp bij psychische klachten, sexuele voorlichting en lichamelijke ontwikkeling, webwinkels die ook 18+ dingen aanbieden en meer. Langzamerhand is vrijwel het hele Internet gemarkeerd als 18+. Ofcom wilde zelfs dat Wikipedia leeftijdsverificatie zou toepassen. Gebruiksvriendelijkheid en privacy zijn essentieel voor zo’n systeem.
Ja, die 18+ verificatie is compleet doorgeslagen. Het lijkt wel of de hersenen van de wetgevers zichzelf uitschakelen als ze “denk aan de kinderen” horen. Ik vind dat websites met objectieve informatie (ik ga jouw lijstje niet herhalen) ook voor jongeren toegankelijk moeten zijn.
Misschien ben ik een beetje vreemd omdat ik op de lagere school al seksuele voorlichting gehad heb, met lessen als “dwang hoort niet” over alle jaren daar. Ik denk dat het geven van goede objectieve voorlichting (voeding, drugs, psyche, seksueel) belangrijk is voor zowel de individuele persoon als de maatschappij in haar geheel. Maar helaas hebben sommige invloedrijke groepen en personen een eigen agenda die ze met misinformatie proberen door te drijven.
Sterker nog, ik denk dat er veel wetgevers zijn die “denk aan de kinderen” als een soort auto-win cheat gebruiken om wetgeving er door te kunnen drukken.
Voor mij is “denk aan de kinderen” ondertussen al een duidelijke indicatie dat er iets niet in de haak is.
‘Denk aan de kinderen’ en ‘Terrorisme’zijn de rode vlaggen.
Dat zijn rechtvaardigingen voor alles wat niet te rechtvaardigen is. Je kan iedere discussie af doen, met ‘dus jij vindt de veilig heid van kinderen/samenleving niet belangrijk’ in plaats van inhoudelijke argumenten.
Voor mij is het een teken om vooral goed op te letten en vragen te gaan stellen. Als die dan ook niet beantwoord worden inhoudelijk dan is elke mogelijke twijfel dat ze iets slechts willen doen dat onze rechten buitensporig aantast weg.
Apropos dat terrorisme: Terrorisme is echt een heel heel klein probleem waar extreemk weinig slachtoffers bij vallen. Het is alleen de zichtbaarheid in het nieuws die het opblazen en waar terroristen gebruik van maken. Zo zijn er in het ergste jaar voor Europa (1988, met name door Pan Am/Lockerbie) nog geen 500 doden in heel Europa gevallen!
Ja we moeten het bestrijden, maar als de extreme aandacht en middelen die er nu aan besteed worden aan veilig verkeer besteed zouden worden redden we meer levens!
Je kunt de ergte van een kwaad niet afmeten aan het aantal doden.
Terrorisme is zeer erg omdat het nutteloos is, terwijl je verkeersdoden kunt zien als de (zeer betreurenswaardige) prijs van iets dat op zichzelf nut heeft voor de mensen. Ze willen die prijs (het risico op een ongeval) willens en wetens betalen omdat het plezier van de mobiliteit daar blijkbaar tegen opweegt.
Overigens wordt er HEEEEEL veel geinvesteerd in verkeersveiligheid. Bijvoorbeeld: Iedere nieuwe auto heeft verplicht vele duizenden euro’s aan veiligheidsvoorzieningen. Met 10-11 miljoen nieuwe auto’s per jaar in de EU loopt dat alleen al in de tientallen miljarden, per jaar!
Bijvoorbeeld 2: Iedere snelheidsbeperking levert een kostenpost op:namelijk: meer tijd in het verkeer = minder tijd productief. Als iedereen in NL een minuut per dag meer in de auto zit dan nodig, is dat een kostenpost van vele mijarden. Natuurlijk is een snelheidsbeperking nuttig voor de verkeersveiligheid, en ik zeg ook niet dat we die niet zouden moeten hebben, maar het is wel een maatschappelijke kost die door iedereen een beetje gedragen wordt, ten gunste van de verkeersveiligheid.
Als je doden wilt voorkomen, is het overigens het meest efficient om gewoon geld te geven aan mensen in arme landen die te weinig hebben om eten te kopen.
Nu vind ik het heel redelijk dat er een drempel opgeworpen wordt om jongeren te beschermen tegen dingen waar ze echt nog te jong voor zijn. Maar ik denk dat de critici die vrezen dat dit als een excuus gebruikt wordt om anonimiteit op het internet feitelijk helemaal uit te bannen, ook gelijk hebben.
Een token dat uitgegeven wordt en als verificatie van de leeftijd wordt gebruikt kan natuurlijk gedeeld worden, en zoals een oudere broer nu alcohol kan kopen voor een jonger iemand. Maar moet je dat echt willen blokkeren, hoe vaak gebeurt dat echt? Als het token bijvoorbeeld maar op 1 ip tegelijk te gebruiken is, dan zal het wel meevallen met het misbruik, lijkt me, want de oudere broer wil niet zelf geblokkeerd worden omdat zijn jongere broer ingelogd is, lijkt me.
Niet een waterdicht systeem, maar “goed genoeg”, en wel voldoend aan veel andere eisen.
Je noemt allerlei optie als betere controle welke een flinke boete kan opleveren wegens schending van privacy. Zeker als het om jongeren gaat die zoiets proberen en via een omweg toch iets lukt.
Hier in nl grote ophef als ter controle om je id wordt gevraagd. Denk bijvoorbeeld aan leeftindscontrole bij drank of een auto huren. Naam toenaam en bsn zijn zichtbaar dus verwijtbaar misbruik alsof een ander met het noemen van een bsn robuust bewijs van de juiste persoon levert.
Je vraag waarom een robuuste controle niet lukt is door die catch22 beantwoord.
Heel veel reacties over hoe zo’n controle moet werken, maar geen enkele reactie op het feit dat dit bedrijf vast niet voor niets in Belize is gevestigd.
Ik ben benieuwd hoe Ofcom de boete en dwangsommen denkt te gaan incasseren en het bedrijf te dwingen om de systemen aan te passen.
Goede opmerking ofcom gaat Putin en Kim beboeten. De verwachting is dat ze er bang van zullen worden, rr zit iets mis in realiteitsbesef.
Gokbedrijven zijn afhankelijk van banken en van domeinbeheerders. Als ze niet betalen dan kan je misschien je claims verleggen naar de bankrekeningen of internetdomeinen van het gokbedrijf. Of misschien zelfs vergunninghouders aanspreken als er een vergunning voor het gokbedrijf vereist is.
Ik heb geen zin om het juridisch uit te zoeken, en ik ben ook geen jurist, maar Belize is volgens mij onderdeel van het Britse Gemenebest, dus ik vermoed dat er afspraken zijn over dit soort juridische kwesties. In elk geval zullen de autoriteiten in Belize meer bereidheid tonen mee te werken dan wanneer het verzoek/bevel uit China of Oezbekistan zou komen.