Nieuwe EU-leeftijdscontrole online brengt privacyrisico's

De Europese Commissie presenteerde onlangs nieuwe technologie voor leeftijdscontrole op het internet. Het doel is het beschermen van kinderen op pornosites, goksites en sociale media. Deskundigen waarschuwen echter dat de voorgestelde apps je online gedrag kunnen tracken als de privacyvriendelijke opties niet verplicht worden. Voor een moderne digitale economie is efficiënte bescherming essentieel, maar de staat moet individuele vrijheid niet in de weg zitten met al te verstrekkende monitoring.

De belofte van anonieme controle

Brussel stelt dat gebruikers hun leeftijd kunnen bewijzen zonder andere informatie prijs te geven. Dat moet anoniem en niet traceerbaar zijn, onder meer via de Zero-Knowledge-Proof-methode (ZKP). Deze methode werkt als een digitale handtekening, aldus Jaap-Henk Hoepman, hoofddocent digitale veiligheid aan de Radboud Universiteit.

Je bewijst dat je de handtekening hebt, zonder hem te laten zien.

Het probleem met de uitwijkmogelijkheid

Het knelpunt is dat de Commissie de ZKP-methode niet oplegt. Zolang het een keuze is, is het voor ontwikkelaars te veel gedoe, stelt Hoepman. Zonder deze methode kunnen partijen die de handtekeningen verwerken samenwerken met websites. Zo koppelen ze informatie en zien ze precies wat iemand online doet. Dat opent de deur voor het monitoren van menselijk gedrag, wat haaks staat op het idee van een vrije en open digitale samenleving.

Volgens de vertegenwoordiging van de Commissie in Den Haag is de ZKP-methode wel de standaard. Er zijn echter uitzonderingen voor oudere telefoons die de techniek niet aankunnen. App-ontwikkelaars krijgen daardoor een uitwijkmogelijkheid bij technische obstakels.

Gevoelige data vraagt om strenge regels

Dibran Mulder, directeur bij de privacyvriendelijke ID-app Yivi, maakt zich zorgen over deze ruimte voor afwijkingen. Hij benadrukt dat goed digitaal bestuur geen ruimte mag laten voor misbruik.

Het mag niet eens de schijn hebben dat privacy kan worden geschonden, zeker niet bij zulke gevoelige zaken.

De technische specificaties van Brussel gaan niet verder dan een aanbeveling van ZKP als experimentele functie. Dat is volgens critici onvoldoende om burgers te beschermen tegen overmatige dataverzameling.

Een kwestie van betrouwbaarheid

Thijs van Ede, docent cybersecurity aan de Universiteit Twente, benadrukt dat echte anonimiteit alleen bestaat als je je eigen handtekening uitgeeft zonder tussenpartij. Maar zonder controle door een tussenpartij is de waarheid lastig te verifiëren, wat afbreuk doet aan de betrouwbaarheid. Het is de klassieke spanning tussen veiligheid en vrijheid.

De Europese Commissie bouwt de app niet zelf, maar wil dat landen de technologie in eigen apps verwerken. Of er in Nederland een specifieke app komt, is nog onduidelijk. Mogelijk wordt het onderdeel van de ontwikkelde NL ID-wallet of DigiD. Bedrijven zoals Yivi en Itsme bieden al vergelijkbare commerciële oplossingen aan. Brussel hoopt dat de apps voor het einde van het jaar in de eerste landen beschikbaar zijn.