De Europese Commissie adviseert lidstaten voor het einde van dit jaar gebruik te maken van de EU-leeftijdsverificatieapp. Dat las ik bij Nu.nl. Deze moet veilig en specifiek mogelijk maken dat je je leeftijd (of een status zoals “21+”) deelt met online diensten, zodat we af zijn van al die kopietjes paspoort.
Het idee voor de app komt uit de regels rond de European Digital Identity Wallet, deel van de Europese Digitale Identiteitsverordening (Verordening 2024/1183), in de praktijk vaak ‘eIDAS 2.0’ genoemd. Deze brengt drie fundamentele vernieuwingen:
- Elke lidstaat moet een digitale identiteitswallet uitgeven
- Private dienstverleners worden verplicht deze wallets te accepteren
- Gebruikers krijgen meer controle over hun identiteitsgegevens
De EDI-verordening stelt expliciete grenzen aan verplicht gebruik van de wallet. Artikel 5bis lid 15 bepaalt dat toegang tot essentiële diensten niet afhankelijk mag worden gemaakt van identificatie via de wallet.
Het komt precies met het nieuws dat Meta de DSA schendt (althans, naar voorlopige inschatting) omdat zij geen enkele leeftijdscontrole doet bij minderjarigen. De hint is duidelijk: Meta moet aan de app.
Arnoud
Zijn er ook forfaitaire vergoedingen voor wanneer zo een identiteitswallet gehackt wordt, wat ongetwijfeld gaat gebeuren?
Mijn probleem met dit soort regelingen is dat dit bijna noodzakelijkerwijs leidt tot inbreuken op de privacy (immers om de leeftijd te controleren is de eenvoudigste methode even het ID-bewijs controleren, of de digitale variant daarvan), waarmee de andere partij niet alleen wet of je wel of niet 18+ bent, maar ook een heel aantal andere persoonskenmerken te weten komt. Een andere variant zou zijn vragen om attestatie door een derde partij, maar dan weet die derde partij welke 18+ sites jij bezoekt, en dat is ook zeer ongewenst.
Er zijn dubbel-blind attestaties denkbaar, maar die zijn lastig te implementeren, en dan nog moeten alle partijen die implementaties goed kunnen vertrouwen. Misschien is dat vertrouwen te winnen door een zeer stevige bonus op het kraken ervan te zetten, iets in de orde van 10 miljoen euro, die automatisch vrijvalt als iemand het systeem kraakt door aan te tonen dat niet aan de dubbel-blind eisen is voldaan.
Daarnaast is het kinderlijk eenvoudig om dergelijke checks te omzeilen als een 18+ persoon bereid is daaraan mee te werken, door gewoon met zijn gegevens die attestatie te laten uitvoeren, of door met een VPN virtueel naar het buitenland af te reizen, waar dergelijke regels niet gelden, en dan alsnog zonder leeftijdscheck in te loggen.
Tenslotte is veel van dit soort gedoe niet ingegeven vanwege “denk om de kinderen” maar vooral met het zicht op het verkrijgen van verregaande controle over de media, met name die met “immorele” of “extremistische” inhoud (wat van alles kan betekenen: zie hoe de regering Trump zich nu gedraagt). In dat opzicht vertrouw ik ook de EU politiek niet, en moeten we dergelijke systemen dus niet optuigen.
Deze app belooft een dubbelblind attest te geven: de site krijgt alleen te weten dat jij 24+ bent maar niet hoe je heet of waar je woont.
Inderdaad is het te omzeilen, net zoals je DigiD kunt omzeilen door de telefoon van je buurman te gebruiken. Maar ik ben categorisch tegen de stelling dat iets nieuws perfect moet zijn voordat we het kunnen invoeren. Het huidige systeem is erbarmelijk slecht, en ik zie het nadeel niet van het nieuwe systeem.
Eens, maar uit nieuwsgierigheid: stel dat Facebook dit zou implementeren en mensen gaan het omzeilen door de telefoon van een ander te gebruiken voor de check. In hoeverre kan, als blijkt dat dat op grote(re) schaal gedaan wordt, Facebook daar dan alsnog door de EU op aangesproken worden? De manier om te checken of iemand oud genoeg is, is in dat geval door de EU zelf bedacht.
Ik zie niet meteen nalatigheid bij Facebook/Meta uit het enkele gegeven dat mensen de telefoon van een ander kunnen gebruiken. Ik zou wél verwachten dat ze dit in hun algemene risicoassessment (artikel 32 DSA) meenemen, en dan bijvoorbeeld op onverwachte momenten een herhaalde check vragen. Alleen maar achterover zitten en zeggen “we accepteren EUID” is niet gewenst.
Je noemt hier 24+, maar dat vragen wijst volgens mij altijd op verboden leeftijdsdiscriminatie. Immers, de wet kent meerderjarigheid bij 18+ (daarnaast zijn er mensen op een al jongere leeftijd meerderjarig, dat kan als daar de rechter toestemming voor geeft: de attestatie zou dus “meerderjarig volgens de wet” moeten zijn), daar moet je soms op controleren. Een andere wettelijk erkende discriminatie-leeftijd is de pensioenleeftijd, maar voor de rest zie ik niet waarom je andere leeftijden zou willen attesteren, en zou dat dus niet in de app moeten zitten.
Dat terzijde, mijn grootste bezwaar zit hem in mijn laatste alinea. Ik vertrouw de overheid niet in deze. Misschien de huidige nog wel een beetje, maar over tien jaar zit er misschien een Trump-achtige populist, die dit systeem in de schoenen geworpen krijgt en dan gaat misbruiken.
Volgens mij is er in Nederland geen algeheel verbod op leeftijdsdiscriminatie. Ik zie zo snel niet op basis van welke wet het verboden zou zijn een grens van 24 jaar in te stellen voor bijvoorbeeld sociale media.
Het is niet afdwingbaar voor de rechter, maar artikel 1 van de grondwet is vrij duidelijk daarin, daar zorgt de frase “of op welke grond dan ook” voor.
De grens van 24 jaar betreft de reclame voor gokken. Die mag uiteraard niet op minderjarigen worden gericht, maar ook niet op meerderjarigen tussen de 18 en 24 jaar oud. Het lijkt mij binnen dit artikel gewoon weer eens een ander voorbeeld van een leeftijdsgrens dan het eeuwige “18+”.
Wetten staan vol met leeftijden. Leeftijden waarop mensen schoolplichtig zijn Leeftijd vanaf waarop je Wajong mag ontvangen (16) Leeftijd tot waar je nog niet onder het strafrecht valt (12) of leeftijden waarop je onder het jeugdstrafrecht valt (12-18)
Klopt, maar zijn de relevant voor de gemiddelde situatie waarbij je op het internet op een site wilt inloggen?
Ik ben het daar niet mee eens Arnoud. Hier zit juist een spanning tussen “privacy-vriendelijk” en “faciliteert misbruik”. Omdat de attestatie dubbel-blind gebeurt, is het heel privacyvriendelijk. Maar daarom is er juist ook geen enkele weerstand tegen misbruik. Het wordt dan een schijnvertoning. Dit is heel anders dan DigiD van de buurman gebruiken, dat is namelijk triviaal traceerbaar bij misbruik en schaalt dus niet zo hard.
Ook het argument “iets is beter dan niets” ga ik niet in mee. Schijnveiligheid is geen onschuldig issue. Door dit “iets” te hebben dat iets lijkt te doen (maar dat nauwelijks doet), ontstaat de indruk dat er maatregelen genomen zijn. Dit ontslaat dan de invoerders van de noodzaak om de problemen wel op een effectieve manier aan te pakken. Bijvoorbeeld om de schadelijkheid van sociale media zelf aan te pakken in plaats van er een drempeltje voor te leggen.
Ook dat laatste punt van Thijs is belangrijk: het is niet zo dat sociale media minder schadelijk wordt op de dag dat je 18 jaar out wordt. De dark patterns, de manipulaties, enzovoort zijn er nog steeds. Effectieve wetgeving richt zich op de oorzaken van het kwaad, en niet op de gevolgen en randverschijnselen. Sterker: een leeftijdsverbod maakt het alleen maar interessanter voor die doelgroep, en zorgen er gelijk voor dat jongvolwassenen minder ervaring hebben met die manipulaties.
Op zich is een heel goede manier om een “digital ID” (de 1984 variant dus) af te schieten, om daadwerkelijk zo een dubbelblinde-attestatie app te introduceren. Dan kunnen de 1984-ers niet meer “denk aan de kinderen” roepen om hun troep door te duwen.
Aan de andere kant (als deze app in beginsel doet wat het belooft), de grote broers zullen nu alles proberen om achterdeurtjes in te bouwen zodat ze alsnog iedereen kunnen bespioneren, dus we zullen goed moeten blijven opletten.
Het dwingen van een mobiele telefoon met google/apple om een app te kunnen gebruiken om op het internet iets te mogen doen is al genoeg 1984.
Alle privacy, dubbelblinde-attestatie is namelijk fake. Ze weten van wie de sim kaart is, het imei nummer van de telefoon, je locatie en alles over het gebruik van het apparaa.
Als je een apparaat van Google gebruikt hoef je je eigenlijk helemaal niet meer te identificeren, ze weten al wie het is. En de overheden kunnen dat live opvragen.