Broncode Na Roblox ging onlangs ook Discord in zee met het bedrijf Persona, dat helpt te verifiëren hoe oud gebruikers zijn. Maar na een aantal onthullingen besloot Discord de proef af te breken en afstand te nemen van Persona. Verificatie blijkt complexe business. Maar hoe moet het dan wel?
Standbeeld 'Fearless Girl' voor de beurs in New York.
Onlangs kreeg ik (Timo) na het installeren van een nieuwe app op mijn telefoon een pop-up die ik nog nooit eerder had gezien. Of ik de ‘leeftijdsgroep’ waar mijn Apple account toe behoort wilde delen, zodat ik „op leeftijd afgestemde ervaringen in apps” kan krijgen. Met andere woorden: een seintje dat ik een volwassene ben en niet een afgeschermde kinderversie van de app voorgeschoteld hoef te krijgen. Het blijkt een nieuwe functie in Apple’s meest recente smartphonebesturingssysteem. Daarmee reageert de techreus op een wereldwijde ontwikkeling: digitale diensten willen (of moeten) weten of hun gebruikers wel oud genoeg zijn, of ze vragen om bewijs dat gebruikers wel echt zijn wie ze zeggen.
Voor die ontwikkeling zijn twee aanjagers: wetgeving en AI. Nu het steeds lastiger wordt om online te weten of een bericht door een mens is gemaakt of door een bot, willen sociale media graag vertrouwenwekkende vinkjes naast de namen mensen die hebben bewezen dat ze van vlees en bloed zijn. (Dat die echte mensen vervolgens alsnog AI-gegenereerde slop kunnen posten, vergeten ze voor het gemak maar even.)
Je leest hier een artikelversie van onze nieuwsbrief NRC Broncode. Wekelijks schrijven wij over technologische ontwikkelingen die op de redactievloer tot opwinding leiden. Inschrijven (voor Plus-abonnees) doe je hier:
Inschrijven voor NRC Broncode
Maar waar dat type verificatie (vooralsnog) veelal vrijwillig is, zit dat anders bij de opkomst van leeftijdscontrolewetten. Zo eist Europa via digitaledienstenverordening DSA van online platforms dat zij kinderen weghouden van schadelijke inhoud. Dat past in een wereldwijde trend, van Brazilië tot Singapore en van Utah tot het Verenigd Koninkrijk worden of zijn er leeftijdscontrolewetten ingevoerd.
De handhaving van die regels gaat veelal in golven: eerst de pornosites (makkelijk, want die kunnen zelf ook niet met goed fatsoen zeggen dat ze graag minderjarige gebruikers willen). Dan sociale media – waarbij Australië vooroploopt – en games. Vervolgens is de rest van het internet aan de beurt: webwinkels die ook seksspeeltjes verkopen bijvoorbeeld.
De techplatforms besteden die controle graag uit. Aan Apple en Google, die „toch al alles van hun gebruikers weten”. Of aan gespecialiseerde dienstverleners met namen als Verifymy (dat controles doet voor Pornhub en Toolstation als klanten een mes bestellen), YOTI (voor Instagram) en Persona (onder anderen Playboy, Roblox en LinkedIn).
Zonder problemen is dat niet, zo valt in het VK te zien. Daar is de Britse, net iets strengere versie van de DSA al wat eerder in werking getreden. Veel internetgebruikers omzeilen de controles sindsdien door met VPN’s te doen alsof ze in een ander land zitten, of door een nepfoto te gebruiken in plaats van hun eigen gezicht te tonen.
Bovendien is niet altijd duidelijk of bedrijven de gezichtsscans en paspoortkopieën na verificatie netjes verwijderen, of dat ze die ongevraagd voor andere doeleinden hergebruiken. De wildgroei aan verificatiedienstverleners betekent ook dat er steeds meer databases ontstaan vol gevoelige gegevens die potentieel gehackt kunnen worden.
Op een thuiswerkdag hing ik (Marloes) aan de lijn met een privacy-expert. Ik had moeite me te concentreren, want ik zag in mijn ooghoek hoe mijn zoon een QR-code scande tijdens het gamen. Hij koppelde het Microsoft-account dat hij via school heeft aan Minecraft (ook van Microsoft), zodat hij dat ook online kon spelen.
Ik had wel even na willen denken of ik dat goed vond, maar ik was al te laat. En belangstelling tonen en vragen stellen schijnt sowieso opvoedkundig beter te zijn. Dus informeerde ik waarom hij dat wilde en wat hij daarbij over zichzelf had moeten vertellen. Zijn geboortedatum bijvoorbeeld? Hij rolde met zijn ogen. Hij wéét toch hoe belangrijk zijn moeder het vindt dat hij niet teveel over zichzelf weggeeft online? Natuurlijk had hij over zijn leeftijd gelogen, door er dertien jaar bij op te tellen. En toen wist ik het ook even niet meer. Door dit te vertellen ben ik natuurlijk ook weer zijn privacy aan het schenden. Het houdt ook nooit op.
Het komt mede door dat soort ervaringen dat ik gefascineerd ben door experimenten met leeftijdschecks door online platformen. Begin februari kondigde chatkanalendienst Discord een uitbreiding aan van hun leeftijdsverificatiebeleid. Als onderdeel daarvan huurde het Persona in voor leeftijdsinschatting van (een deel van de) gebruikers in het VK via een gezichtsscan waar allerlei AI-checks op worden losgelaten.
De investeringen in de-AI software van Persona komen deels van het fonds van Peter Thiel, de medeoprichter van Palantir, een bedrijf dat onder meer gespecialiseerd is in het combineren van databases en het maken van profielen. Gamingplatform Roblox, met veel jonge gebruikers die daarnaast veel op chatdienst Discord zitten, begon daar eind 2025 mee en doet dat ook met Persona. Reddit gebruikt het ook.
De aankondiging viel niet goed bij Discordgebruikers. Privacy en vrijheid van meningsuiting zijn op dat platform – dat veel wordt gebruikt door gamers en techies – belangrijker dan bij de achterban van Roblox. Een groep ‘hacktivisten’ stortte zich op Persona en kwam erachter dat het bedrijf niet alleen een leeftijdsinschatting maakt, maar de gezichtsscan van gebruikers (dat is biometrische informatie) vervolgens ook door ruim 260 databases haalt, onder meer om te zien of ze geen politiek omstreden figuren zijn, of betrokken bij witwassen en terrorismefinanciering.
Na die onthulling kondigde Discord aan niet met Persona verder te gaan. „We hebben een nieuwe norm gesteld voor alle partners die gezichtsleeftijdsschattingen aanbieden, waaronder dat dit volledig op het apparaat moet worden uitgevoerd, wat betekent dat uw biometrische gegevens nooit uw telefoon verlaten. Persona voldeed niet aan die norm.”
Maar hoe dan wel? Daar is nog niemand helemaal uit, maar de meeste experts wijzen op identificatiewallets waar mensen zelf geverifieerde informatie in bewaren, die ze vervolgens selectief delen. Als een dienst moet weten of je 18+ bent kun je via zo’n wallet bijvoorbeeld alleen een ja/nee-antwoord op die vraag geven.
Een panacee zijn ook de wallets niet. Ik belde erover met Henk Marsman, die aan de TU Delft promoveert op vragen rondom identificatiewallets. Hij kijkt specifiek naar de Europese Unie, want lidstaten zijn verplicht hun burgers per 2027 een identificatiewallet te bieden. Die moet gratis zijn voor burgers en een alternatief voor ‘big tech’.
Maar gaan mensen hem wel gebruiken? En worden ‘overheidswallets’ net zo gebruiksvriendelijk als de oplossingen die Google en Apple bouwen? Wie wint als ze naast elkaar bestaan?
Als gebruikers eenmaal gewend zijn om bijvoorbeeld een Google wallet te gebruiken, zit dat ‘in de gemaksflow’ en dan komt een verantwoord overheidsalternatief er niet zomaar meer tussen. Die wallet gebruiken mensen dan wellicht alleen nog als het echt niet anders kan, bijvoorbeeld om belastingaangifte te doen.
„Je krijgt een soort wedstrijdje per use case”, ziet Marsman. En dé toepassing waar het nu om draait is leeftijdsverificatie. Er zijn zulke grote groepen gebruikers en zoveel momenten en plekken waarop daar om wordt gevraagd dat er enorme kansen liggen om de markt te veroveren. De Europese Commissie besloot vorig jaar haast te maken met het laten ontwikkelen van een prototype leeftijdsverificatiewallet. Om niet helemaal het nakijken te hebben.
„Zo’n wallet is voor leeftijdsverificatie een heel goed alternatief voor bijvoorbeeld het gebruiken van een bedrijf als Persona,” zegt Marsman. Hij zou oppassen met dat soort bedrijven, die met biometrie aan de slag gaan en allerlei checks uitvoeren. „Ze zitten haast in de hoek van wetshandhaving. Het roept associaties op met een surveillancestaat.”
Maar risico’s zijn er met wallets ook te over. De inhoud van wallets (een soort digitale kluisjes) vol met door de overheid geverifieerde gegevens is geld waard. Hoe voorkom je dat burgers die zelf zo’n kluis beheren die inhoud ‘voor een Mars’ verkwanselen? „Vroeger kon je nog wel eens liegen over je geboortedatum op een formuliertje. En in plaats van Facebook laten gokken of het klopt, geef je ze nu waardevolle geverifieerde gegevens”, peinst Marsman. „Dan verwordt de wallet tot precies wat de big techs willen.”
Europaredacteuren praten je bij over de belangrijkste ontwikkelingen in de EU