VK geeft bedrijf wegens ‘niet robuuste’ leeftijdsverificatie 1,1 miljoen euro boete

De Britse telecomtoezichthouder Ofcom heeft een bedrijf uit Belize een boete van omgerekend 1,1 miljoen euro opgelegd omdat het geen ‘robuuste’ online leeftijdsverificatie toepast. Dat meldde Security.nl. Hoewel het bedrijf “enige vorm van verificatie” gebruikte, was dat niet robuust genoeg. Wat de vraag opriep: hoe moet het dan wel?

In het VK geldt sinds 2023 de zogeheten Online Safety Act. Een van de (vele) controversiële aspecten uit deze wet is een zorgplicht dat minderjarigen geen “content that is harmful to children” tegenkomen:

The duty set out in subsection (3)(a) requires a provider to use age verification or age estimation (or both) to prevent children of any age from encountering primary priority content that is harmful to children which the provider identifies on the service.

Bij een ‘adult’ website zoals van de AVS Group Ltd uit Belize is het vanzelfsprekend dat de inhoud schadelijk is. Nu kennen we al langer het vinkje “Ik ben 18 jaar of ouder”, maar de Engelse wet wil wel iets meer. AVS had ook wel iets toegevoegd:

In particular, AVS Group Ltd deployed a photo upload check on its services that does not include liveness detection and as such is vulnerable to circumvention by children (for example, by uploading a photo of an adult). Ofcom considers that this method is not capable of being highly effective within the meaning of the Act.

Ik zie wel hoe “upload een foto en we kijken of de persoon meerderjarig is” niet héél effectief is voor het gestelde doel. Liveness detection oftewel een video-analyse is iets lastiger te faken (jaja, Nano Banana is geweldig) dus dat was een betere stap geweest.

Toezichthouder Ofcom zelf had nog een aantal methodieken bedacht:

Koppelen met een bankrekening (de “1 cent betalen” techniek), aangenomen dat de rekening alleen voor meerderjarigen beschikbaar is.
Foto, maar dan vergelijken met een tevens geupload identiteitsdocument
Afgaan op een signaal van de mobiele telecomprovider (in Engeland zetten die standaard “is minderjarig” op je simkaart, tenzij je dat na bewijs er af laat halen)
Creditcard check (die zijn er alleen voor meerderjarigen)
Een digitale identiteitsportemonnee zoals de EU met eIDAS/eID wil opzetten (maar die is er nog niet)

Geen van deze technieken is onfeilbaar, maar het is zeker beter dan wat we historisch geprobeerd hebben. Het grootste bezwaar dat ik heb, is dat eigenlijk dit gewoon een overheidsding moet zijn, en dan granulair: niet je hele paspoort laten zien, maar enkel een token sturen dat zegt “deze persoon is 18+” en niet meer of minder.

Ik weet niet waarom dat niet van de grond wil komen?

Arnoud

Platform Informatie Technologie en Recht

VK geeft bedrijf wegens ‘niet robuuste’ leeftijdsverificatie 1,1 miljoen euro boete

Brill

Personal Data

The History of Unicode

Meltdown and Spectre

Argument Timing

Tinder

Emoji Sports

Twitter Verification

Nightmare Email Feature

Email Reply

Computers vs Humans

Supervillain Plan

Obsolete Technology

USB Cables

Digital Resource Lifespan

Categorieën: ‘Van kern tot rand’

NOS – Tech

Recht.nl – Privacy

NU – Tech

Europa – Nu

Recht.nl – Informatie & Technologie

TagCloud

Ius Mentis