Een smartphone in de hand, met in beeld een selfie waarbij 1 oog is afgedelt met een gluur vergrootslag, en een robothand de mond het zwijgen oplegt. onder de selfie staat een vingerafdruk. Tegen een achtergrond met "ACCESS DENIED"

Leeftijdsverificatie, een gevaarlijke schijnoplossing

door

(English version below)

Sinds het sociale mediaverbod voor kinderen onder de 16 in Australië wordt de roep om een leeftijdsgrens in Nederland ook steeds sterker. Zo pleit de succesvolle stichting Smartphonevrij opgroeien voor een verbod voor kinderen onder de 16 jaar (link naar BNR podcast). De EU heeft al een voorstel aangenomen voor een minimumleeftijd van 16 jaar, waarbij kinderen van 13 tot 16 jaar wel toegang kunnen krijgen, maar alleen met ouderlijke toestemming. Von der Leyen pleit voor de handhaving daarvan voor het invoeren van leeftijdsverificatie.

Vooropgesteld: het is duidelijk dat de manier waarop sociale media nu werken schadelijk is. Maar wij vragen ons ten zeerste af of leeftijdsverificatie wel het juiste middel is om het doel, namelijk bescherming van kinderen, te bereiken. Als je kijkt naar proportionaliteit, subsidiariteit en doelmatigheid, is dat niet het geval:

Proportionaliteit

Staat het belang van het doel in verhouding tot het middel?

Om deze vraag te beantwoorden is het goed te beseffen dat leeftijdsverificatie gevolgen heeft voor iedereen die het internet, sociale media of niet, gebruikt. 

  • Ten eerste betekent leeftijdsverificatie dat iedereen, ook volwassenen, zich zal moeten identificeren.
  • Privacy-by-design-verificatiemethoden zouden veilig te gebruiken zijn, zonder onnodige informatie te delen. Er wordt bijvoorbeeld alleen gedeeld of iemand al dan niet 18+ is, zonder andere persoonlijke gegevens te delen (“attribuut gebaseerd identificeren“). Maar het is maar de vraag wat voor systemen door Big Tech gekozen worden. De eerste datalekken door leeftijdsverificatie hebben al plaats gevonden, zie Discord Bovendien is niet inzichtelijk welke data werkelijk worden gedeeld en opgeslagen.
  • Er wordt nu nog gesproken over een aparte leeftijdsverificatie-app, met de opmerking dat het straks geïntegreerd zal zijn in de Europese ID wallet. Zoals het er nu naar uit ziet is het vereist om een iPhone of Google Android telefoon te hebben om de “Europese” ID wallet te kunnen gebruiken. Dus inclusief het accepteren van de voorwaarden van één deze Amerikaanse bedrijven. Weg digitale soevereiniteit, een gevaar voor onze democratie, en een ernstig geval van App-dwang  
  • Een hellend vlak lijkt onvermijdelijk: als de mogelijkheid tot identificatie er is, zal die ook steeds meer worden gebruikt, ook als het niet nodig is. Nu al vragen verschillende websites en bedrijven allerlei informatie die je wel moet invullen om gebruik te maken van een dienst, maar die totaal onnodig is. Ondanks dat dit officieel niet mag volgens de AVG, wordt daar tot op heden weinig tegen gedaan. 
  • Iedereen met een Facebook-(Meta) of LinkedIn-(Microsoft) account is al akkoord gegaan met hun “real name policy” Met het optuigen van een infrastructuur voor verificatie en identificatie kan dit nu ook eenvoudig worden afgedwongen. Google zal waarschijnlijk snel volgen om weer een real name policy in te voeren. Google had al eerder een real name policy, maar is daar op terug gekomen doordat veel gebruikers afhaakten. Als de EU deze frictie verwijdert, is er niets wat Google tegenhoudt om het gebruik van echte namen af te dwingen en zo weer meer persoonsgegevens te verzamelen.

Kortom: leeftijdsverificatie en alle bijkomende maatregelen betekenen uiteindelijk het einde van (online) privacy. Terwijl privacy een essentieel grondrecht is en een randvoorwaarde voor een goed functionerende democratie.

Subsidiariteit

Is het middel de beste manier om het doel te bereiken?

Het antwoord is nee, want het probleem is niet de leeftijd, maar het verdienmodel van de grote techbedrijven achter de sociale media. Leeftijdsverificatie leidt alleen maar af van de kern van het probleem. Sociale media zijn overigens ook voor volwassenen in vele opzichten schadelijk.

Betere maatregelen om kinderen (én volwassenen) te beschermen zijn:

  • Zorg voor eerlijke social media. Handhaaf bestaande wetten, neem bij overtredingen maatregelen die de bedrijven echt pijn doen en zwak de eerdere wetsvoorstellen niet af, zoals nu dreigt te gebeuren met de Digitale Omnibus 
  • Leer kinderen (en hun ouders) in de lessen mediawijsheid over de Fediverse, zoals Mastodon, Pixelfed en Peertube. Moedig hen aan van Facebook, Instagram, TikTok, Youtube en LinkedIn af te gaan. Zorg dat ook scholen niet meer op deze platforms te vinden zijn en eveneens overstappen naar de Fediverse.
  • Verbied de handel in persoonsgegevens. Zo wordt het verdienmodel van Big Tech, en dus de noodzaak om je aandacht vast te houden met steeds extremere of schadelijke content, ondermijnd. Het blijft absurd dat je je hele digitale leven met één klik mag weggeven, aangezien geïnformeerde toestemming berust op de mythe dat mensen weten waar ze toestemming voor geven. Niemand leest (of begrijpt, of heeft de tijd) immers de privacyverklaringen die neerkomen op juridische boekwerken. Een verbod zou slechts een kleine aanpassing van de AVG vergen.
  • Splits te grote, te machtige bedrijven op.

Bovendien worden door leeftijdsverificatie ook bepaalde groepen volwassenen uitgesloten:

Doelmatigheid

Bereik je met het middel wat je wilt bereiken?

Hierbij zijn de nodige vraagtekens te stellen. Leeftijdsverificatie is eenvoudig te omzeilen, zoals al in het Verenigd Koninkrijk en Australië op grote schaal gebeurt, bijvoorbeeld met een beetje hulp van een volwassene of met een VPN. Nu zou je ook deze kunnen verbieden, maar zonder VPN kunnen activisten, dissidenten, klokkenluiders en journalisten niet meer (veilig) werken. 

Conclusie

Waar het op neer komt, is dat met leeftijdsverificatie de privacy wordt opgegeven, terwijl de kans dat dit leidt tot daadwerkelijke bescherming van kinderen zeer gering is. Tegelijkertijd zijn er genoeg andere middelen om dit doel wèl te bereiken. Al met al zijn er dus redenen genoeg om af te zien van leeftijdsverificatie om kinderen te beschermen tegen de uitwassen van sociale media. Nogmaals, de kern van het probleem, namelijk de handel in onze aandacht, sturen op engagement en controverse, verdwijnt hiermee niet. Sterker nog, het kan de dominantie van de huidige Big Techplatforms versterken en bestendigen: juist zij zullen in staat zijn om leeftijdsverificatie in te bouwen (en om daar behoorlijk vergaande methoden voor te gebruiken, zoals analyse van botstructuur en lengte door Meta). Voor bijvoorbeeld een kleine coöperatie die haar eigen sociale mediaplaform host zal dit een stuk lastiger zijn, tenzij ze gebruik maken van een Big Techdienst, die hiermee weer meer data verzamelt, en zo voort.

Hoe dan wel?

Wat zou er dan moeten gebeuren? Naast de middelen genoemd onder subsidiariteit, kunnen mensen ook zelf verandering teweeg brengen. Enkele voorbeelden van acties die je kunt ondernemen zijn:

Bron afbeelding: CC-BY, EFF

Age verification: A dangerous solution

Since the ban on social media for children under 16 years of age in Australia, the call for age restrictions in the Netherlands is growing. For example, the very successful Dutch foundation Smartphonevrij opgroeien (Growing up smartphone free) also advocates a ban for children under 16. The EU already accepted a proposal for a minimum age of 16. Children between 13 to 16 years of age can use social media, but only with parental consent. To enforce this, Von der Leyen calls for online age verification

To be clear, it is obivous that the way social media are functioning today is harmful. But we sincerely question the value of age verification: Is this the right means to achieve the goal, i.e. the protection of children? Looking at proporionality, subsidiarity and efficacy, this is not the case:

Proportionality

Is the importance of the goal proportional to the means?

To answer this question, you need to realize that age verification has consequences for anybody using the internet, be it social media or not.

  • First of all, age verification means that everybody, adults too, needs to identify him-/herself/themselves
  • Privacy-by-design verification methods are supposed to be safe, sharing no unneccesary information. For example, it should only be shared whether someone is 18+ or not, without sharing other personal data (attribute based identification). However, it is unclear which systems Big Tech will use. For example, Meta is looking at bone structure and body height to estimate age, which basically boils down to facial recognition or identification in the end. Furthermore, data leaks due to age verification have already happened, see Discord. Also, it is not transparent which data are really shared and stored.
  • Politicians consider a specific app just for age verification, which in the future will be integrated in the European ID wallet. As things stand today, an iPhone or Google Android phone is required to use this “European” ID wallet. Consequently, you have to accept all the terms and conditions of these American companies. This undermines digital sovereignty, is dangerous to our democracy, and a sincere case of app coercion (see App-dwang, in Dutch).
  • It is likely a slippery slope: When the possiblity to identify exists, it will be used more and more, even when it is not legally required. Already websites and companies ask you to provide a lot of information to use their service, information that is not necessary to deliver this service. Although this is forbidden according to the GDPR, not much is done against it.
  • Everybody with a Facebook (Meta) or Linked In (Microsoft) account already agreed to their “real name policy”. This will be easy to enforce with the realisation of an infrastructure for verification and identification. Likely, Google will follow soon to reintroduce their real name policy, wich they had abandoned earlier because many users quitted Google. When the EU removes this friction, there is nothing to stop Google to coerce the use of real names and collect more personal data than they already do.

In short: age verification and additional measures will lead to the end of (online) privacy. But privacy is an essential fundamental right and a prerequisite for a well functioning democracy.

Subsidiarity

Is the means the best way to achieve the goal?

The answer is no, because the problem is not age, but the business model of the tech companies behind social media. Age verification will only distract from the core problem. Besides, social media are harmful for adults as well. 

Better means to protect children (and adults) are:

  • Make sure social media are fair. Enforce existing laws, take measures that will really hurt companies in case of transgressions, and do not weaken previous legislative proposals, as is about to happen with the Digital Omnibus.
  • Teach students (and their parents) about the Fediverse, like Mastodon, Pixelfed and Peertube. Encourage them to leave Facebok, Instagram, TikTok, Youtube and LikedIn. Make sure that schools also leave these platforms, and instead switch to the Fediverse
  • Forbid trade in personal data. In this way, the business model of Big Tech, and hence the necessity to keep your attention with more and more extreme or harmful content, will be undermined. It is absurd that it is allowed to hand over your complete digital life in one click: For informed consent is based on the myth that people know what they consent to. Nobody reads (or understands, or has the time to read) the privacy statements that basically come down to complete legal booklets. A prohibition to trade personal data would only require a small adjustment of the GDPR
  • Split up too large, too powerful companies

Furthermore, age verification will also lead to the exclusion of certain adults:

  • The age verification attribute is to be provided by the government. That means you should be registered in the municial administration and have a citizen service number. For over 20.000 people in the Netherlands, this is not the case. These people won’t be able to access social media anymore, making them only more invisible
  • What if you don’t have or want a smartphone, e.g. out of principle (see https://www.human.nl/documentaires/artikelen/de-smartphone-loze-mens, in Dutch)?

Efficacy

What means, do you achieve the goal you aim for?

This is highly questionable. Age verification can be easily circumvented, as is already happening on a large scale in de UK and Australia, with the help of an adult or a VPN. Of course, a VPN can be forbidden, but without this activists, dissidents, whistle blowers and journalists won’t be able to work (safely) anymore. 

Conclusion

Age verification will lead to the end of privacy, while the chance that protection of children is actually realized is minimal. At the same time, there are plenty of other means to reach this goal. All together, there are sufficient reasons to refrain from age verification to protect children against the excesses of social media. Again, the core problem, i.e. trading in attention, and steering on engagament and controversy, does not disappear with age verification. In fact, it can reinforce and consolidate the current dominance of Big Tech platforms, for precisely they will be able to install age verification measures (and use quite extreme methods, like analysis of bone structure and height by Meta). For a small cooperation hosting its own social media platform, it will be much harder to do so, unless it uses Big Techservices, that will enable them to collect more data, and so on. 

What then?

Besides measures mentioned under subsidiarity, people can bring about change themselves. Some examples of actions you may take are:

2 gedachten over “Leeftijdsverificatie, een gevaarlijke schijnoplossing”

  1. Jammer dat bij de FediVerse *Matrix* niet wordt genoemd – een veilig gefedereerd systeem zonder verdienmodel dat notabene door Europese overheden (en de NAVO, en talloze andere groeperingen) zelf gebruikt en gepromoot wordt.

    Sterker nog: Europa heeft met Matrix de oplossing zelf in handen: geef iedereen een automatisch matrixaccount waarmee ze officiële zaken kunnen regelen (in Nederlands misschien op BSNnummer of zo). Mensen leren het op die manier kennen en waarderen, en kunnen dan gemakkelijk zelf ook andere, anonieme, accounts aanmaken. Zonder veel moeite zou in het Matrixprotocol een koppelingsoptie kunnen worden ingebouwd waardoor een officieel account een anoniem account kan “claimen”, waarna dat anonieme account een beveiligde leeftijdstag krijgt die slechts binnen de encryptie, en dus van buiten niet leesbaar, aan dat officiële account gekoppeld is.
    Helemaal lekvrij is het nooit te krijgen, maar dit kan minder gemakkelijk gekraakt worden dan de lieve oom die wel even zijn gegevens gebruikt om zijn minderjarige nichtje op een dubieuze site te helpen.

    Reply

  2. Dank voor de opmerking. Matrix kennen en gebruiken we. Onze matrix-room staat op de contactpagina: https://eerlijkdigitaalonderwijs.nl/contact/ Wij zien het Matrix en het decentrale karakter daarvan als zeer bruikbaar voor het onderwijs, bijvoorbeeld voor chat binnen de school en met ouders. Mooi voorbeeld hiervan is zoals de Duitse Hermann schule dat doet: https://hermannschule.de/hermannpost.html (link in het Duits)
    Ook vinden we Matrix-clients eerder chat applicaties dan social media. De discussie of Matrix wel of niet bij de Fediverse hoort omdat het het Matrix protocol gebruikt in plaats van ActivityPub laten we even aan ons voorbij gaan 😉

    Lekvrij kan weldegelijk: wat je niet hebt kun je niet lekken.

    Reply

Geef een reactie