De Europese Commissie en nationale toezichthouders voeren de druk op voor leeftijdsverificatie op platforms en websites. Dit speelt nu in heel Europa, met eerste stappen in 2024 en 2025. Het debat raakt ook aan de vraag naar de Europese AI-verordening gevolgen overheid en platforms. Doel is minder risico voor minderjarigen, maar er zijn zorgen over privacy en extra controle.
DSA verplicht leeftijdscontrole
De Digital Services Act (DSA) vereist dat grote platforms risico’s voor minderjarigen beperken. Gerichte advertenties aan jongeren zijn verboden in de EU. Om dat na te leven, zoeken bedrijven naar leeftijdsverificatie of age assurance, een bredere schatting van iemands leeftijd. Dat zet druk op sociale media, videosites en aanbieders van expliciete content.
Leeftijdsverificatie kan op verschillende manieren. Denk aan een identiteitscheck via bank- of eID-diensten, een anoniem leeftijdsbewijs, of een AI-schatting met de camera. Elk middel heeft voor- en nadelen voor privacy, foutkansen en toegankelijkheid. Lidstaten werken tegelijk aan handhaving en richtsnoeren.
Toezichthouders willen dat maatregelen “passend en noodzakelijk” zijn. Een lichtere dienst kan dus met een lichtere controle toe. Bij hoge risico’s, zoals toegang tot pornosites of gokken, ligt een sterker bewijs voor de hand. De afweging verschilt per sector en lidstaat.
Leeftijdsverificatie is het vaststellen dat iemand ouder of jonger is dan een grens, zonder zijn identiteit te onthullen.
Privacy-eisen sturen ontwerp
De AVG stelt strenge eisen aan deze controles. Dataminimalisatie betekent: verwerk niet meer gegevens dan nodig is voor de leeftijdscheck. Versleuteling en scheiding van rollen moeten misbruik voorkomen. Opslag van identiteitsdocumenten is risicovol en vaak niet nodig.
Toezichthouders zoals de Franse CNIL adviseren om verificatie en de bezochte site te scheiden. Zo kan de verificatiedienst geen surfgedrag volgen. Tokens of bewijzen met een beperkte geldigheid helpen tegen tracking. Ook transparantie over wat er gebeurt met data is verplicht.
Diensten moeten kinderen niet uitsluiten als dat niet nodig is. Daarom vragen instanties om meerdere opties: documentcontrole, een bankdienst zoals iDIN, of een anonieme leeftijdsverklaring. Keuzevrijheid verlaagt drempels en verdeelt risico’s. Dit past bij het beginsel van privacy by design.
Biometrie blijft omstreden
Een groeiend aantal aanbieders gebruikt AI om leeftijd te schatten uit een selfie. Dat gebeurt met computervisie, een algoritme dat gezichten analyseert op kenmerken die met leeftijd samenhangen. Bedrijven als Yoti, Veriff en Onfido bieden zulke diensten. De methode is snel en kan zonder identiteitsdocumenten.
Toch zijn er zorgen over foutmarges en bias. Jongvolwassenen kunnen te jong worden ingeschat en ten onrechte worden geweerd. Donkere huidtinten of slecht licht kunnen de nauwkeurigheid verlagen. Liveness-detectie is nodig om misleiding met foto’s of video’s te voorkomen.
De Europese AI-verordening stelt extra eisen aan biometrische systemen, zoals robuustheid, documentatie en testresultaten. Aanbieders moeten aantoonbaar risico’s beperken. Dat geldt zeker als de technologie invloed heeft op toegang tot diensten voor jongeren. Dit zal de markt opschudden, omdat niet elk model die lat haalt.
EIDAS-wallet als alternatief
De nieuwe eIDAS 2.0-regels maken de Europese Digitale Identiteitswallet (EUDI Wallet) mogelijk. Daarmee kan iemand alleen zijn leeftijdskenmerk delen, zoals “18+”, zonder zijn naam te tonen. Dit heet attribute-based credentials: je deelt een eigenschap, niet je identiteit. Het verlaagt privacyrisico’s en beperkt datastromen.
Meerdere lidstaten testen dit in pilots, op het moment van schrijven ook met steun van de Europese Commissie. Websites kunnen zo een leeftijdsclaim controleren via een vertrouwde bron. Er ontstaat minder behoefte aan kopieën van paspoorten of selfies. Succes hangt wel af van brede adoptie door platforms en browsers.
Voor bedrijven is de vraag wie de kosten draagt en hoe gebruiksvriendelijk het is. Een wallet moet ook offline en op oudere toestellen werken. Standaarden van W3C voor Verifiable Credentials helpen bij interoperabiliteit. Zonder die basis dreigt versnippering per land of per sector.
Europese AI-verordening gevolgen overheid
Overheden die leeftijdscontrole inkopen, vallen ook onder de AI-verordening. Zij moeten systemen selecteren die voldoen aan de nieuwe eisen, en dat kunnen aantonen. Denk aan risicobeoordelingen, logboeken en duidelijke gebruiksdoelen. Dit vraagt om inkoopvoorwaarden die bias, beveiliging en support eisen.
Publieke diensten die met jongeren werken, zoals onderwijs en bibliotheken, zullen kiezen voor privacyvriendelijke methoden. Biometrie is daar vaak onwenselijk. Een EUDI Wallet of een token van een vertrouwde partij ligt meer voor de hand. Dat sluit aan bij de AVG en het principe van dataminimalisatie.
De DSA wijst nationale coördinatoren aan voor toezicht op online diensten. In Nederland is de Autoriteit Consument & Markt die partij. Grote platforms vallen direct onder de Europese Commissie. Samen kunnen zij boetes opleggen als naleving uitblijft.
Nederland bereidt handhaving voor
In Nederland gelden al leeftijdsgrenzen in sectoren als kansspelen en alcoholverkoop. Voor online diensten worden iDIN en vergelijkbare checks geregeld gebruikt. De Autoriteit Persoonsgegevens benadrukt dat organisaties alleen het strikt noodzakelijke mogen vastleggen. Structurele opslag van paspoortkopieën is dan meestal niet te rechtvaardigen.
Jeugdbescherming online raakt ook media-aanbieders onder de Mediawet en toezichthouders zoals het Commissariaat voor de Media. Aansluiting op Europese regels voorkomt een lappendeken. Nederlandse partijen wachten tegelijk op duidelijkheid uit Brussel. Vooral over biometrische leeftijdsschatting en auditplichten is nog uitleg nodig.
Platforms die nu al stappen zetten, beperken risico’s op latere aanpassingen. Kies bij voorkeur een methode die te combineren is met de EUDI Wallet. Ondersteun meerdere bewijsniveaus, afhankelijk van de gevoeligheid van de dienst. Zo blijven kosten en privacy onder controle.
Standaarden en timing cruciaal
De tijdlijn is strak. De DSA geldt al, met handhaving die dit jaar oploopt. De AI-verordening kent overgangstermijnen die doorlopen tot 2026. Bedrijven moeten nu al hun routekaart bepalen.
Er is behoefte aan duidelijke Europese profielen voor leeftijdscontrole. Bijvoorbeeld afspraken over foutmarges, bewaartermijnen en toegankelijkheid. Sectorafspraken via IAB Europe of W3C kunnen helpen. Zonder die afspraken blijven oplossingen slecht vergelijkbaar.
Voor burgers telt vooral eenvoud en privacy. Een klik, een bewijs, klaar. Privacyvriendelijke tokens en de EUDI Wallet kunnen dat mogelijk maken. De komende maanden zal blijken welke aanpak het vertrouwen wint.