Leeftijdsverificatiecontroles op websites worden een belangrijk doelwit voor hackers, waardoor een aanzienlijk privacy- en veiligheidsrisico voor gebruikers ontstaat. De methoden die worden gebruikt om de leeftijd te verifiëren – waaronder AI-analyse van foto’s, verzoeken om identiteitsbewijzen met foto (rijbewijzen, paspoorten) en creditcardcontroles – genereren een schat aan persoonlijke gegevens die steeds kwetsbaarder worden voor inbreuken. Recente incidenten onderstrepen de ernst van het probleem en roepen vragen op over de effectiviteit van de huidige regelgeving en handhaving.
Het stijgende tij van inbreuken
In oktober 2025 werd Discord, een populair socialemediaplatform, getroffen door een hack waardoor mogelijk de identiteitsbewijzen met foto van 70.000 gebruikers openbaar werden gemaakt. De inbreuk vond plaats via een externe dienstverlener, wat een systemische zwakte benadrukt in de manier waarop leeftijdsverificatie wordt geïmplementeerd. Op dezelfde manier werd in juli 2025 ook de Tea-app, waarvoor gebruikers een identiteitsbewijs met foto en selfies moeten indienen, gehackt, waardoor gevoelige gebruikersgegevens openbaar werden gemaakt. Deze incidenten tonen aan dat zelfs platforms die voldoen aan nieuwe wetgeving, zoals de Britse Online Safety Act, niet immuun zijn voor inbreuken.
Naleving van de regelgeving versus echte beveiliging
De drang naar strengere leeftijdsverificatie wordt gedreven door wetgeving zoals de Britse Online Safety Act, de Franse wet op de digitale ruimte en de EU-wet op het gebied van digitale diensten. Deze wetten beschouwen zelfverklaarde leeftijdscontroles als onvoldoende en vereisen robuustere methoden, zoals het matchen van identiteitsbewijzen met foto of creditcardverificatie. De realiteit is echter dat veel platforms afhankelijk zijn van externe leveranciers om deze gegevens te verwerken, waardoor een zwakke schakel in de beveiligingsketen ontstaat. De bewering van Discord dat het identiteitsdocumenten niet permanent opslaat, wordt ondermijnd door het feit dat de externe provider is gehackt, waardoor gebruikersgegevens toch openbaar zijn geworden.
De gevolgen van datalekken
De potentiële schade als gevolg van gelekte selfies en identiteitsbewijzen met foto is aanzienlijk. Gebruikers worden geconfronteerd met identiteitsdiefstal, fraude en steeds geavanceerdere cybercriminaliteit, mogelijk gemaakt door deepfake-technologie en generatieve AI. De beschikbaarheid van dergelijke persoonsgegevens vergroot het risico op gerichte aanvallen en kwaadwillige manipulatie. Bovendien maakt het feit dat externe leveranciers zich vaak buiten strikte regelgevende jurisdicties (zoals de EU of het VK) bevinden, het afdwingen van gegevensverwijdering en beveiligingsnormen vrijwel onmogelijk.
De noodzaak van strenger toezicht
Ondanks de richtlijnen van toezichthouders als de Britse Information Commissioner’s Office en Ofcom, bewijzen de inbreuken op Tea en Discord dat de huidige maatregelen niet effectief zijn in het voorkomen van het bewaren van gegevens of het afdwingen van verwijdering. Het Britse ministerie van Wetenschap, Innovatie en Technologie heeft geprobeerd deze zorgen weg te nemen door de AVG-regels te herhalen die dataminimalisatie vereisen. De realiteit is echter dat platforms vaak worden gestimuleerd om gegevens te bewaren voor commerciële doeleinden, zelfs als dit in strijd is met de privacyregelgeving.
Het pad voorwaarts
Om de privacy van gebruikers te waarborgen zijn strenger toezicht en handhaving essentieel. Toezichthouders moeten verder gaan dan louter begeleiding en bindende eisen opleggen aan platforms en externe aanbieders. Dit omvat verplicht beleid voor gegevensverwijdering, regelmatige beveiligingsaudits en zware straffen voor niet-naleving. De huidige aanpak, die berust op vrijwillige zelfregulering, is ontoereikend gebleken. Zonder echte handhavingsbevoegdheden zal leeftijdsverificatie online een goudmijn blijven voor datahackers
