Het beschermen van minderjarigen wordt opnieuw gebruikt als argument om een maatregel voor te stellen die veel bredere gevolgen kan hebben voor de privacy van de gehele bevolking. Een notitie van de Onderzoeksdienst van het Europees Parlement heeft de aandacht gevestigd op VPN’s, virtuele privénetwerken, vanwege hun gebruik om leeftijdsverificatiesystemen te omzeilen in landen waar het al vereist is om meerderjarigheid aan te tonen voor toegang tot bepaalde online content.
Het idee dat in het document wordt vermeld, is nog geen goedgekeide wet of definitief wetsvoorstel. Maar het vormt wel een zorgwekkend politiek signaal. De analyse stelt dat VPN’s onderworpen kunnen worden aan strengere regelgevende controle in het kader van toekomstige Europese herzieningen op het gebied van cyberbeveiliging, privacy en kinderbescherming. Het argument is eenvoudig: als minderjarigen VPN’s kunnen gebruiken om leeftijdscontroles te omzeilen, moet er worden onderzocht hoe dat gebruik verhinderd kan worden. Het probleem is dat deze redenering gevaarlijk kan worden: privacyhulpmiddelen worden dan omgevormd tot diensten die voorafgaande identificatie vereisen.
Een maatregel die iedereen kan treffen, niet alleen minderjarigen
VPN’s hebben legitieme en noodzakelijke toepassingen. Bedrijven gebruiken ze voor veilige thuiswerken. Systeembeheerders maken er gebruik van om toegang te krijgen tot interne netwerken. Journalisten, activisten en burgers in landen met censuur gebruiken ze om communicatie te beschermen of geblokkeerde informatie te benaderen. Ze helpen ook om te voorkomen dat internetproviders al je surfgedrag volgen, om blootstelling aan openbare Wi-Fi-netwerken te verminderen en om persoonlijke gegevens te beschermen tegen tussenpersonen.
Het is daarom uiterst delicaat om voor te stellen dat een VPN de leeftijd van de gebruiker moet verifiëren. In de praktijk zou dit kunnen inhouden dat er een vorm van identificatie, documentcontrole, een vertrouwde derde partij of een gecertificeerd signaal wordt gebruikt. Hoewel het wordt gepresenteerd als een maatregel die beperkt is tot kinderbescherming, zou de impact zijn dat er een nieuwe controlelaag wordt toegevoegd aan een hulpmiddel dat juist ontworpen is om privacy te versterken.
Het gevaar ligt niet alleen in de te verstrekken gegevens. Ook ligt het in het precedent dat wordt geschapen. Als vandaag wordt geëist dat VPN’s de leeftijd moeten verifiëren vanwege kinderbescherming, dan zou morgen kunnen worden gevraagd om identificatie om toegang te krijgen tot geblokkeerde content, om auteursrechtinbreuk te bestrijden, geografische restricties toe te passen of bepaald gebruik te controleren die door overheden of grote bedrijven als “onwenselijk” wordt beschouwd. Eenmaal de deur geopend, wordt het bereik meestal uitgebreid.
De ervaring met andere controlemaatregelen op internet leert dat maatregelen die bedoeld waren voor extreme situaties vaak op steeds bredere gebieden worden toegepast. Webblokkades, automatische verwijdering van content en verkeersinspectie hebben in te veel gevallen geleid tot colaterale schade, fouten en gebrek aan transparantie. Bij VPN’s zou een soortgelijk fenomeen kunnen optreden, met als gevolg dat een fundamenteel privacyhulpmiddel wordt ondermijnd.
Leeftijdsverificatie lost het onderliggende probleem niet op
Leeftijdsverificatie wordt vaak gepresenteerd als een technische oplossing voor een veel dieper liggend maatschappelijke, educatieve en familiale probleem. Het is waar dat minderjarigen te vroeg in contact komen met schadelijke content. Het is ook waar dat er reële risico’s bestaan op grooming, seksuele exploitatie, pesterijen, digitale geweldpleging en blootstelling aan pornografie. Het negeren daarvan zou onverantwoord zijn.
Maar het verplichten tot leeftijdsverificatie op meer plekken op internet elimineert die risico’s niet. Het verplaatst ze. Als een toegangsmiddel wordt geblokkeerd, zoeken veel gebruikers naar alternatieven: minder bekende VPN’s, proxies, alternatieve DNS’s, sociale media, privéberichten, mirrors, gedeelde screenshots, gesloten kanalen of minder gereguleerde platforms. Een gemotiveerde minderjarige die verboden content wil bereiken, vindt altijd een weg. Hoe minder transparant die weg is, hoe slechter de toezicht- en begeleidingsmogelijkheden.
Dit is al waargenomen in landen waar leeftijdscontrole voor volwassen sites is ingevoerd. Grote platforms verliezen bezoekers, maar het gebruik van VPN’s stijgt explosief. Tegelijkertijd kunnen kleinere, minder goed gemodereerde sites met minder normen voor naleving bezoekers winnen. Het resultaat is paradoxaal: de toegang tot bepaalde zichtbare portals wordt beperkt, maar de hulp aan minderjarigen wordt niet noodzakelijkerwijs verbeterd.
Jeugdbescherming kan niet alleen op technische barrières steunen. Digitaal onderwijs, familiale begeleiding, effectieve ouderlijk toezicht, meer verantwoorde platforms, sancties voor overtredende diensten en relevante leeftijdssystemen die privacy niet ondermijnen, zijn essentiële elementen. Het vergt meer inspanning en enige complexiteit, maar het is op de lange termijn effectiever.
Het publieke debat vermijdt die kant vaak omdat het gedeelde verantwoordelijkheden vereist. Het is gemakkelijker om te vragen aan een platform, app of VPN dat zij “het probleem oplossen”. Maar minderjarigen leven niet geïsoleerd in een browser. Ze gebruiken smartphones, sociale media, chatprogramma’s, videogames, zoekmachines, privé-groepen en apparaten van vrienden. Onderwijs en toezicht kunnen niet volledig extern worden geregeld.
Europa moet minderjarigen beschermen zonder permanente identificatie te normaliseren
De Europese Unie heeft goede redenen om actie te ondernemen. De Verordening digitale diensten vereist dat grote platforms risico’s evalueren, minderjarigen beschermen en schade beperken. Daarnaast wordt gewerkt aan een gemeenschappelijke digitale leeftijd en worden maatregelen genomen tegen AI-toepassingen die pornografisch materiaal of ongewenst privé-inhoud kunnen genereren. Dit alles is passend wanneer het gericht is op platforms die verslavende producten maken, schadelijke inhoud aanbevelen of hun eigen regels niet naleven.
Probleem ontstaat wanneer deze aanpak wordt uitgebreid naar neutrale privacyhulpmiddelen. Een VPN is geen sociaal netwerk, geen erotische site en geen contentplatform. Het is een verbindingsniveau. Het kan voor twijfelachtige doeleinden worden gebruikt, net zoals elke browser, besturingssysteem, DNS-service of Wi-Fi-netwerk. Het reguleren alsof het de bron van schade is, kan legitieme gebruikers beschadigen zonder degenen die regels willen omzeilen, te verhinderen alternatieven te vinden.
Bovendien kan een leeftijdsverplichting voor VPN’s botsen met fundamentele principes van dataminimalisatie. De beste privacybescherming bestaat uit het niet verzamelen van onnodige gegevens. Als een VPN-gebruiker niet hoeft te worden geïdentificeerd, zorgt het afdwingen van verificatie voor nieuwe risico’s: datalekken, secundair gebruik, misbruik van gegevens, omvangrijke juridische verzoeken of afhankelijkheid van externe verificatie-agenten.
Zelf de meest complexe systemen, zoals double-blind verificatie, hebben beperkingen. Ze beperken de blootstelling van gegevens, maar kunnen digitale uitsluiting, fouten, interoperabiliteit, indirect toezicht en machtsconcentratie niet volledig uitsluiten. Als zo’n systeem op Europees niveau wordt geïmplementeerd, wordt het een gevoelige infrastructuur.
Daarom moet het debat niet gaan over een valse keuze tussen het beschermen van minderjarigen en het beschermen van privacy. Beide doelen moeten gerealiseerd worden. Maar het beschermen van minderjarigen mag niet betekenen dat elke burger zich moet identificeren om basisveiligheidstools te gebruiken. Een volwassen digitale samenleving kan niet elke risico aanpakken met meer identificatie, meer traceerbaarheid en meer preventieve controle.
Als de maatregel wordt doorgevoerd, riskeert ze haar doel te ondermijnen en tegelijk brede controle- en surveillance-instrumenten te worden, onder het mom van kinderbescherming. Het expansieve gebruik van leeftijdsverificatie zou een acceptabele vorm van algemene controle kunnen worden, verpakt in het argument dat het voor de kinderen is.
De bescherming van minderjarigen vereist betere oplossingen: verantwoordelijkere platforms, beter opgeleide ouders en leraren, eenvoudig en respectvol ouderlijk toezicht, leeftijdsgeschikte educatie over seksualiteit en digitale veiligheid, sancties voor niet-nalevende diensten, opsporing van criminele netwerken en beveiligingstechnologieën die helpen zonder dat de hele bevolking als verdachte wordt beschouwd.
Europa heeft nog de tijd om het juiste pad te hervinden. Internet reguleren betekent niet dat elke actie vereist dat je je identiteit, je leeftijd en je motief moet aantonen. VPN’s zijn niet de vijand. Gebrek aan onderwijs, de verborgenheid van platforms, verslavend ontwerp, het ontbreken van volwassen begeleiding en het slecht naleven van bestaande normen zijn veel vaker de werkelijke problemen.
Veelgestelde vragen
Heeft de Europese Unie al besloten dat VPN’s leeftijdsverificatie moeten invoeren?
Nee. Op dit moment betreft het een discussie die wordt besproken in een document van de Onderzoeksdienst van het Europees Parlement, niet een goedgekeurde wet.
Waarom wil men het gebruik van VPN’s reguleren?
Omdat in landen met leeftijdscontroles voor volwassen content het gebruik van VPN’s toeneemt om die restricties te omzeilen. Sommige actoren zien daarin een juridisch gat.
Waarom is het problematisch om leeftijdsverificatie voor VPN’s te eisen?
Omdat het kan verplichten tot identificatie van gebruikers van privacyhulpmiddelen, nieuwe gevoelige databases creëert en het gebruik van bredere controle-instrumenten opent.
Welke alternatieven zijn er om minderjarigen beter te beschermen?
Digitale educatie, familiale begeleiding, effectief ouderlijk toezicht, meer verantwoorde platforms, sancties voor overtredingen, en leeftijdssystemen die privacy niet ondermijnen.