Kalifornië is begonnen met het corrigeren van een van de meest zichtbare fouten in haar nieuwe juridische aanpak voor leeftijdscontrole op internet: de implicaties voor Linux en vrije software. De voorstelwet AB 1856 beoogt uitzonderingen te maken voor degenen die software onder licenties verspreiden die kopiëren, herdistribueren en aanpassen mogelijk maken, en daarmee de definitie van “besturingssysteemleverancier” te versoepelen. In de praktijk zou deze formulering de druk op distributies zoals Debian, Fedora, Ubuntu, Arch Linux en Linux Mint verlichten. Deze systemen functioneren niet als gesloten platforms met accounts, app-winkels en gecentraliseerd beheer.
Een correctie was nodig. De oorspronkelijke wet, AB 1043, ook bekend als de Digital Age Assurance Act, verplaatste een deel van de leeftijdsverificatie naar het besturingssysteem. Vanaf 01/01/2027 zouden de aangewezen aanbieders tijdens het aanmaken van een gebruikersaccount op een apparaat de leeftijd of geboortedatum van de gebruiker moeten vragen en een leeftijdssegment-signaal genereren voor apps en winkels. Hoewel het idee op papier bedoeld is om minderjarigen te beschermen, verandert het systeembesturingssysteem in een laag voor gebruikersclassificatie.
Het probleem ligt niet alleen bij Linux. Het zit dieper, in de filosofie. Leeftijdscontrole wordt vaak gepresenteerd als een technische oplossing voor sociale, educatieve, familiale, ontwerp- of zakelijke problemen. Vaak lost het niks op, maar verschuift het verantwoordelijkheden, creëert het extra frictie, bouwt het identificatienetwerken en spoort het gebruikers aan systemen te vermijden.
Linux is geen iOS, Android of Windows
De nieuwe AB 1856 probeert de wet beter af te bakenen. De tekst noemt expliciet dat distributie van besturingssystemen of applicaties onder licenties die kopiëren, herdistribueren en aanpassen toestaan, wordt uitgesloten. Ook verduidelijkt het dat de verplichting voor het besturingssysteem alleen zou gelden wanneer er een accountconfiguratiefunctie is voor gebruik op een specifiek apparaat. Dit is een belangrijke wijziging, omdat veel Linux-distributies geen gecentraliseerde accounts, telemetry, verplichte officiële winkels of bedrijven hebben die de eindgebruikerservaring controleren.
De oorspronkelijke gedachte leek gericht op platforms als iOS, Android, Windows of macOS — steeds commerciële systemen met accounts, stores, API’s, ontwikkelaarsovereenkomsten en dwingende technische eisen. Linux werkt anders: het kan gedownload worden via mirrors, gewijzigd, gecompileerd, geforkt en opnieuw verspreid. Eén distributie kan verschillende installers, community-derivaten, alternatieve repositories en ongeïntegreerde systemen zonder online account hebben.
Aannemen dat het Linux-universum zich zou moeten gedragen als een gesloten leeftijdsverificatiesysteem is zowel technisch als juridisch onpraktisch. Wie zou eraan moeten voldoen? Debian als project? Een stichting? Een maintainer? Een mirror-server? Wie verpakt een afgeleide ISO? De wetswijziging erkent, zelfs indirect, dat vrije software niet in dat strakke model past.
| Element | Gesloten platforms | Open source Linux-distributies |
|---|---|---|
| Centraal account | Gebruikelijk | Niet noodzakelijk |
| App-winkel | Beheerd door de aanbieder | Meerdere repositories en externe software |
| Telemetry | Kan geïntegreerd zijn | Geen kernonderdeel van het model |
| Distributiebeheer | Gecentraliseerd | Gedecentraliseerd en forkbaar |
| Juridische naleving | Kan door een bedrijf worden geregeld | Diffuus in gemeenschapsprojecten |
| Leeftijdscontrole | In te bouwen in het account | Zwaar te implementeren zonder modelbreuk |
De Electronic Frontier Foundation bekritiseerde AB 1043 omdat deze onnodige barrières voor volwassenen en jongeren creëert, kleine en open source-ontwikkelaars schaadt, en privacyrisico’s met zich meebrengt omdat leeftijdsverificatiesystemen niet waterdicht zijn voor gegevensbescherming, universeel gebruik of veilige verwerking van gevoelige informatie. Deze kritiek verdwijnt niet doordat Linux meer beschermd wordt; de scope van het probleem verschuift alleen.
Leeftijdsverificatie betekent niet per se betere bescherming
Een grote misvatting in veel leeftijdsverificatie-wetgeving is dat controle gelijkstaat aan effectieve bescherming. Als een minderjarige toegang wil krijgen tot een geblokkeerde dienst, kan hij of zij gebruik maken van een volwassene’s account, een VPN, een ander apparaat, een niet-beperkte app, een spiegelwebpagina of een minder gecontroleerd platform. Als een sociale netwerk restrictiever wordt, verschuift een deel van het gebruik naar minder gereguleerde en minder kopieerbare plekken.
Australië is een prominent voorbeeld: vanaf december 2025 geldt er een restrictie voor sociale media voor minderjarigen onder 16. In december 2025 meldde de regulator eSafety dat platformen 4,7 miljoen accounts van minderjarigen hadden verwijderd. Hoewel dat indrukwekkend is, laat het ook de schaal zien: het verwijderen van accounts betekent niet dat minderjarigen echt beschermd worden. Veel gebruikers zullen de digitale barrières omzeilen, waardoor het probleem gewoon verschuift.
Platforms als Snapchat, Meta en anderen waarschuwen voor technische lacunes, foutjes in leeftijdsinschatting en migratie van minderjarigen naar andere diensten. Gezichtsherkenning kan jaren falen of onbetrouwbaar blijken, ID-documenten brengen privacyrisico’s met zich mee, leeftijdsvermelding is gemakkelijk te vervalsen en verificatie in de app-store dekt niet het web. Het besturingssysteem wordt door leeftijdscontrole in feite een bron van signaalinformatie.
Dit is de oude spreekwoordelijke ‘poortjes in het veld’-metafoor: men kan een hek ophangen op een bepaald punt, maar internet is geen afgesloten terrein. Het is een netwerk van apparaten, browsers, apps, systemen, repositories, webpagina’s, social media, messaging, proxies, forks en internationale diensten. Een gesloten poortje sluit niet altijd de toegang uit; vaak verschuift het alleen het verkeer naar een minder zichtbaar gebied.
Het risico van een permanente identiteitsinfrastructuur opbouwen
De werkelijke zorg gaat verder dan ineffectieve leeftijdsverificatie. Het gevaar schuilt in de oprichting van een infrastructuur die voor veel meer doeleinden bruikbaar is. Zodra systemen zoals besturingssystemen, browsers, app-winkels en platformen beginnen signals over leeftijd uit te wisselen, wordt de verleiding groot om dit te gebruiken voor content, advertenties, aankopen, aanbevelingen, communicatie, ouderlijk toezicht, toegang tot communities, moderatie, naleving of zelfs politieke restricties.
Voorstanders benadrukken vaak dat er slechts ‘een indicatie’ van leeftijd wordt gedeeld, geen exacte leeftijd. Dat is beter dan een document overhandigen aan een website, maar het lost het probleem niet volledig op. Een leeftijdssegment blijft een gevoelig gegeven, vooral als het wordt gecombineerd met accountgegevens, apparaat, gedrag, locatie, surfgedrag of advertentieprofielen.
Van technisch perspectief rijst de vraag: wie genereert het signaal? Wie valideert het? Wie kan het opvragen? Hoe wordt misbruik voorkomen? Hoe wordt het geaudit? Wat gebeurt er met gedeelde accounts? Hoe worden fouten rechtgezet? Wat als iemand geen documenten heeft? Hoe wordt voorkomen dat dit signaal voor meer doeleinden wordt gebruikt?
| Verificatiemodel | Hoofdpijnpunt |
|---|---|
| Zelfaangave van leeftijd | Eenvoudig te vervalsen |
| ID-document | Groot privacyrisico en uitsluiting |
| Gezichtsinschatting | Fouten, bias en biometrische onzekerheid |
| App store verificatie | Dekt niet alles en alle apparaten |
| Besturingssysteem | Maakt apparaat tot identificatielaag |
| Social media | Te laat als een gebruiker liegt of migreert |
Sociale media: het meest zichtbare strijdtoneel
De leeftijdsverificatie op sociale media zal het toneel worden van deze spanningsboog. Platforms zoals Instagram, TikTok, YouTube, Snapchat, X, Twitch, Discord en Reddit worden geconfronteerd met schadelijke inhoud, algoritmische aanbevelingen, gerichte advertenties, psychische gezondheid, sextorsie, gokproblematiek, desinformatie en de toegang van minderjarigen tot ongepaste ruimtes.
Het simpelweg eisen van leeftijdscontrole lost die problemen niet op. Een platform kan wel verificatie toepassen en toch verslavende functies blijven aanbieden. Minderjarigen kunnen worden uitgesloten uit grote netwerken en in minder gereguleerde communities terechtkomen. Het beperken van wettelijke aansprakelijkheid verandert weinig aan de ontwerpprincipes. Fouten maken bij het blokkeren of doorlaten van gebruikers blijft mogelijk.
Effectieve bescherming vraagt om andere maatregelen: betere standaardinstellingen, minder verslavend ontwerp, duidelijke grenzen aan agressieve aanbevelingen, transparantie over algoritmes, effectieve moderatie, werkende meldkanalen, digitale educatie, redelijke ouderlijke controles en verantwoordelijkheid voor advertentiemodellen die profiteren van schermtijd. Leeftijd is belangrijk, maar staat niet los van een veilig ontwerp.
De wetwijziging redt Linux, maar niet het internet
De AB 1856 is een verbetering omdat ze voorkomt dat een wet, bedoeld voor grote platforms, het vrije software-ecosysteem schendt. Maar het verandert geen magische oplossing voor leeftijdscontrole. Het reduceert enkel een van de meest absurde neveneffecten.
De discussie zou moeten verschuiven van “Hoe verifiëren we iedereen?” naar “Hoe ontwerpen we diensten die minder schadelijk zijn zonder een blijvend identificatienetwerk op te bouwen?”. Dat verschil is essentieel. De eerste aanpak brengt poorten, permissies, signalen en accounts met zich mee; de tweede legt platformen de taak op om hun producten, incentives en praktijken aan te passen.
Kalifornië heeft ontdekt dat regelgeving over besturingssystemen zonder inzicht in open source problemen creëert. Nu moet er ook begrip ontstaan dat internet niet uit gesloten poorten bestaat. Minderjarigen verdienen bescherming, maar het telkens inbouwen van leeftijdscontrole op elk apparaat is vaak een gemakzuchtige en weinig effectieve reactie.
Kinderveiligheid mag niet gebruikt worden als excuus voor meer identificatie, meer frictie en meer surveillance. Als een maatregel geen echte vermindering van schade oplevert en nieuwe privacy- en uitsluitingsrisico’s creëert, heeft de technologische sector redenen om tegenover dat beleid te staan. In dit geval was Linux slechts de eerste waarschuwing.
Veelgestelde vragen
Heeft Californië de leeftijdscontrole voor besturingssystemen afgeschaft?
Nee. De oorspronkelijke wet blijft gepland voor 2027. AB 1856 stelt enkele wijzigingen voor, waaronder een vrijstelling voor software onder licenties die kopiëren, herdistribueren en aanpassen toestaan.
Blijft Linux buiten de wet?
De nieuwe formulering zou waarschijnlijk de meeste open source Linux-distributies uitsluiten, afhankelijk van de definitieve tekst en interpretatie.
Beschermt leeftijdscontrole op sociale media echt minderjarigen?
Het kan bepaald toegang blokkeren, maar lost niet de achterliggende problemen op zoals verslavend ontwerp, schadelijke inhoud, algoritmische aanbevelingen of migratie naar minder gereguleerde platforms.
Waarom worden deze maatregelen “poortjes in het veld” genoemd?
Omdat internet niet gesloten is. Een poortje afsluiten op één punt werkt niet altijd: gebruikers kunnen via andere accounts, apparaten, apps, VPN’s, alternatieve websites of platformen toch toegang vinden. Het sluitingseffect is dus beperkt en vaak slechts tijdelijk.
vía: Systeembeheer