De Europese Commissie heeft dit voorjaar een nieuwe technologie geïntroduceerd voor leeftijdscontrole-apps, bedoeld om toegang te reguleren tot websites zoals sociale media, goksites, pornosites en alcoholverkoopsites. Hoewel de Commissie benadrukt dat de technologie privacyvriendelijk is, waarschuwen experts voor mogelijke privacyrisico’s.
De nieuwe apps moeten helpen om het internet veiliger te maken voor kinderen door te controleren of gebruikers oud genoeg zijn om bepaalde inhoud te bekijken. De Commissie stelt dat gebruikers hun leeftijd kunnen bewijzen zonder andere persoonlijke informatie te onthullen, en dat het proces volledig anoniem is. Dit zou worden gerealiseerd door middel van de Zero-Knowledge-Proof-methode (ZKP).
Hoe werkt de Zero-Knowledge-Proof-methode?
De ZKP-methode werkt als een digitale handtegening, verklaart Jaap-Henk Hoepmanhoofddocent digitale veiligheid aan de Radboud Universiteit. “Hiermee kun je aan websites bewijzen dat je die handtekening hebt, zonder die handtekening te laten zien.” Deze methode zou ervoor zorgen dat gebruikers hun leeftijd kunnen bewijzen zonder hun identiteit prijs te geven.
Echter, de Commissie heeft de ZKP-methode niet verplicht gesteld, wat volgens experts een groot probleem is. “Het is heel jammer dat de Commissie dat niet doet,” zegt Hoepman. “Zolang het een keuze is, zal het voor ontwikkelaars te veel gedoe zijn, waardoor het er waarschijnlijk niet van komt.”
Privacyrisico’s en gedragsmonitoring
Zonder de ZKP-methode is het mogelijk om te achterhalen wie welke website bezoekt, waarschuwen experts. De partij die de handtekening verwerkt kan informatie koppelen en zo precies zien hoe iemand zich online gedraagt. “Dan zet je in theorie de deur open voor het monitoren van menselijk gedrag” zegt Hoepman.
De Commissie verklaart dat de ZKP-methode wel de standaardwerkwijze is, maar dat er uitzonderingen mogelijk zijn, bijvoorbeeld voor oudere mobiele telefoons die de methode niet ondersteunen. Dit betekent dat er een uitwijkmogelijkheid is voor app-ontwikkelaars bij technische problemen.
Zorgen over privacy en betrouwbaarheid
Dibran Mulderdirecteur bij Yivimaakt zich zorgen over de Europese richtlijnen voor het ontwikkelen van een leeftijdscontrole-app. “Het mag niet eens de schijn hebben dat privacy kan worden geschonden, want het gaat hier om heel gevoelige zaken.” Mulder wijst naar de technische specificaties van de Commissie, die de ZKP-methode alleen aanbevelen als “experimentele functie” en suggereren dat de methode “kan worden overwogen om bescherming te bieden”.
Thijs van Ededocent cybersecurity aan de Universiteit Twentestelt dat anonimiteit alleen kan worden gegarandeerd als je je eigen handtekening rechtstreeks met de websites deelt, zonder een onafhankelijke tussenpartij. “Maar zonder de controle van die tussenpartij is het maar de vraag of je de waarheid spreekt. Dat doet afbreuk aan de betrouwbaarheid.”
Toekomst van leeftijdscontrole-apps in Nederland
De Europese Commissie maakt geen eigen app, maar wil dat de leeftijdstechnologie wordt verwerkt in apps die landen zelf ontwikkelen. Het is nog onduidelijk of Nederland een dergelijke app zal introduceren. Voor overheidszaken bestaat al DigiDen er wordt gewerkt aan een nationale NL ID-wallet voor online identiteitsbewijs. Of leeftijdscontrole hier een onderdeel van zal worden, is nog niet duidelijk.
Bedrijven kunnen de Europese technologie ook in hun eigen apps verwerken. Als Nederland besluit geen eigen app te maken, kunnen gebruikers eventueel wel een dergelijke app downloaden. Yivi en Itsme bieden bijvoorbeeld al zo’n app aan. De Commissie hoopt dat voor het einde van dit jaar de eerste apps beschikbaar zullen zijn in enkele landen.
