Terwijl overheden over de hele wereld zich inspannen om het internet veiliger te maken voor kinderen, wint één idee aan populariteit: in plaats van websites te dwingen kinderen buiten de deur te houden, waarom laat u hun apparaat dit niet in plaats daarvan doen?
In de Verenigde Staten heeft Californië een wet aangenomen die besturingssystemen verplicht om leeftijdsgegevens te verzamelen en apps te voorzien van een signaal dat aangeeft of een gebruiker een minderjarige of een volwassene is. Wetgevers in Colorado(nieuw venster) en Illinois(nieuw venster) overwegen soortgelijke wetgeving.
In het Verenigd Koninkrijk is Apple al begonnen met de eis voor sommige iPhone-gebruikers om hun leeftijd te verifiëren op het niveau van het besturingssysteem om toegang te krijgen tot bepaalde functies.
Dit is een grote verschuiving in hoe identiteit online werkt. Wanneer identiteitscontroles zich verplaatsen van websites naar besturingssystemen, worden ze onderdeel van de infrastructuur van het internet. Beslissingen die op deze laag worden genomen, kunnen van invloed zijn op hoe miljarden mensen toegang krijgen tot informatie, communiceren en online deelnemen.
“Ze creëren onnodige en ongrondwettelijke barrières(nieuw venster) voor volwassenen en jongeren om toegang te krijgen tot informatie en zich online te uiten,” waarschuwt de Electronic Frontier Foundation, vooral wanneer gezinsleden van verschillende leeftijden apparaten delen binnen een huishouden.
Van websitecontroles tot signalen op apparaatniveau
Leeftijdsbeperkingen op het internet werden van oudsher afgehandeld door individuele apps en websites. Als een app of website content host die is bedoeld voor volwassenen, kan deze gebruikers vragen hun leeftijd te bevestigen voordat de gebruiker de app mag downloaden of toegang krijgt tot de website. De nieuwe aanpak verplaatst die verantwoordelijkheid naar het besturingssysteem waarop uw apparaat draait, zoals Windows, Mac of Linux.
Onder de Digital Age Assurance Act van Californië(nieuw venster) moeten besturingssystemen de leeftijd van een gebruiker verzamelen tijdens de account-setup en gebruikers categoriseren in leeftijdsgroepen: jonger dan 13, 13 tot 15, 16 tot 17, of 18 jaar en ouder. In plaats van elke website te vragen de leeftijd van een gebruiker te controleren, bepaalt het besturingssysteem waarop uw computer draait de leeftijdscategorie van de gebruiker eenmalig en deelt die informatie vervolgens met apps wanneer daarom wordt gevraagd — voor onbepaalde tijd.
Het verplaatsen van leeftijdsverificatie naar besturingssystemen vereenvoudigt niet alleen de naleving. Het verandert wie de identiteit online beheert.
Tegenwoordig draaien de meeste mobiele apparaten op besturingssystemen die worden beheerd door Apple en Google. Als leeftijdsverificatie een vereiste op OS-niveau wordt, worden deze bedrijven in feite de poortwachters van leeftijdssignalen die in miljoenen apps worden gebruikt.
Ontwikkelaars zouden niet langer bepalen hoe zij gebruikers verifiëren. In plaats daarvan zouden zij verplicht zijn te vertrouwen op de classificatie van het besturingssysteem. In de praktijk betekent dit dat men moet vertrouwen op de infrastructuur van Apple of Google — en hun interpretatie van wettelijke vereisten — om te bepalen wie waartoe toegang heeft.
Dit heeft implicaties die verder gaan dan privacy. Het versterkt de macht van bestaande app store-ecosystemen, waar beide bedrijven de distributie en de handhaving van het beleid al controleren. Het toevoegen van identiteitsverificatie aan die stack verankert hun positie verder, waardoor ontwikkelaars in hun ecosystemen worden opgesloten en het vermogen van concurrenten om alternatieve platforms of identiteitssystemen te bouwen wordt beperkt.
Het roept ook vragen op over hoe deze infrastructuur buiten het oorspronkelijke doel zou kunnen worden gebruikt. Zodra besturingssystemen attributen zoals leeftijd kunnen verifiëren en verzenden, zou hetzelfde mechanisme in andere landen kunnen worden uitgebreid om bredere controles af te dwingen.
Overheden zoals China en Rusland hebben al de bereidheid getoond om bedrijven te verplichten de toegang tot apps en content te beperken. Systemen die zijn gebouwd voor leeftijdsverificatie kunnen een fundament worden voor bredere vormen van controle.
Voorstanders betogen dat dit de naleving zou kunnen vereenvoudigen en de noodzaak voor platforms zou kunnen verminderen om zelf leeftijdsgegevens te verzamelen. Critici zeggen dat het het risico met zich meebrengt dat het apparaat zelf in een permanent controlepunt voor identiteit verandert. Onder de nieuwe wet zal elk besturingssysteem verplicht zijn de leeftijd van de gebruiker te verifiëren tijdens de setup(nieuw venster), en het kan die gegevens via een API naar app-ontwikkelaars verzenden zonder de uitdrukkelijke toestemming van de gebruiker.
De privacyrisico’s van gecentraliseerde leeftijdscontroles
Systemen voor leeftijdsverificatie variëren sterk in hoe ze werken.
Het uploaden van identiteitsdocumenten kan gebruikers blootstellen aan het risico van gegevensschendingen, zoals is gezien bij platforms als Discord, waar aanvallers toegang hebben gekregen tot duizenden door de overheid uitgegeven identiteitsbewijzen via systemen voor leeftijdsverificatie.
Biometrische systemen roepen zorgen op over nauwkeurigheid en vooroordelen. Gezichtsscans kunnen bijvoorbeeld niet iemands exacte leeftijd bepalen en kunnen leiden tot onnauwkeurige resultaten.
Het centraliseren van leeftijdssignalen op het niveau van het besturingssysteem brengt een ander risico met zich mee. Als identiteitsattributen worden ingesloten in de software die een apparaat bestuurt, kan die informatie bepalen hoe gebruikers omgaan met het hele digitale ecosysteem.
Bijvoorbeeld, in meergezinshuishoudens waar veel mensen hetzelfde apparaat gebruiken, zouden apps per abuis de toegang tot content kunnen beperken op basis van het leeftijdssignaal dat zij van het besturingssysteem ontvangen, zelfs wanneer de gebruiker meerderjarig is. Evenzo, als een volwassene het besturingssysteem registreert, kunnen kinderen die het apparaat gebruiken eenvoudig het leeftijdssignaal omzeilen dat door het OS wordt verzonden. In sommige gevallen kunnen ontwikkelaars te maken krijgen met wettelijke aansprakelijkheid als zij de leeftijdsbeperkingen niet op de juiste manier handhaven.
Systemen ontwerpen die privacy respecteren
Het online beschermen van kinderen is een belangrijk doel. Ouders, opvoeders en beleidsmakers maken zich terecht zorgen over schadelijke content, de druk van sociale media en uitbuitende ontwerppraktijken. Maar het ontwerpen van veiligheidsmaatregelen voor het internet draait niet alleen om beleidsdoelen. Het gaat ook over technische architectuur.
Een systeem dat bedoeld is om minderjarigen te beschermen, zou niet van iedereen mogen eisen dat ze gevoelige persoonlijke informatie afstaan om alledaagse online diensten te gebruiken.
In plaats daarvan kunnen uitgebreide privacywetten helpen kinderen te beschermen(nieuw venster) met behoud van privacy, beveiliging en toegang tot informatie voor iedereen.
Terwijl het beleid inzake leeftijdsverificatie zich blijft ontwikkelen, zullen de systemen die het handhaven mede bepalen hoe het internet er voor de volgende generatie uitziet. Wat het belangrijkst is, is wie de controle heeft over de systemen die die beslissingen nemen.
