Websites zijn nu sterk afhankelijk van leeftijdsverificatieprocessen om gebruikers veilig te houden en te voldoen aan de regelgeving. Deze controles zijn bedoeld om te voorkomen dat minderjarigen toegang krijgen tot ongepaste inhoud of risicovolle online activiteiten ondernemen. Hoewel de bedoeling nobel is, creëren de gebruikte methoden vaak een aanzienlijk veiligheidsrisico voor gebruikers: een schat aan persoonlijke informatie die rijp is voor misbruik door hackers.
Leeftijdsverificatie kan verschillende vormen aannemen: AI-analyse van geüploade foto’s om de leeftijd te schatten, het indienen van identiteitsbewijzen met foto, zoals rijbewijzen of paspoorten, en zelfs geverifieerde creditcardgegevens. Hoewel deze methoden misschien streng lijken, stellen ze individuen onbedoeld bloot aan aanzienlijke schendingen van de privacy.
Dit risico is pijnlijk duidelijk geworden in recente spraakmakende zaken. In oktober 2025 kreeg Discord, een populair platform onder gamers, te maken met een beveiligingsinbreuk waardoor de persoonlijke gegevens van 70.000 gebruikers wereldwijd openbaar werden gemaakt. De hackers hebben toegang gekregen via een externe dienstverlener die wordt gebruikt voor leeftijdsverificatie – hoewel de precieze methode onduidelijk blijft.
Op dezelfde manier werd in juli 2025 ook Tea gehackt, een app die is ontworpen om vrouwen te helpen anoniem datingveiligheidsinformatie te delen. Door deze inbreuk werden niet alleen selfies en identiteitsbewijzen met foto van gebruikers zichtbaar, maar ook hun privéberichten en gedeelde inhoud. Deze incidenten illustreren een verontrustende trend: leeftijdsverificatiepraktijken, vaak uitbesteed aan derden, worden steeds kwetsbaarder voor cyberaanvallen.
De gevolgen van deze inbreuken kunnen verwoestend zijn. Uitgelekte selfies en identiteitsbewijzen met foto kunnen identiteitsdiefstal, fraude en nog verraderlijkere misdaden aanwakkeren, mogelijk gemaakt door deepfake-technologie en geavanceerde AI-tools. Juist de gegevens die voor de veiligheid worden verzameld, worden het wapen dat tegen gebruikers wordt gebruikt.
Hoewel regelgeving zoals de Britse Online Safety Act tot doel heeft de gebruikersbescherming te verbeteren door robuuste methoden voor leeftijdsverificatie verplicht te stellen, worden ze geconfronteerd met een kritieke maas in de wet: handhaving van praktijken voor het verwijderen van gegevens. De eigen website van Discord verklaarde eerder dat het identiteitsdocumenten of selfie-video’s niet permanent zou opslaan na bevestiging van de leeftijd, maar deze garanties klinken hol in het licht van de recente gebeurtenissen.
Het Britse ministerie van Wetenschap, Innovatie en Technologie heeft richtlijnen uitgegeven waarin de nadruk wordt gelegd op de noodzaak voor platforms om de gegevensverzameling tijdens leeftijdsverificatieprocessen te minimaliseren, in overeenstemming met de EU AVG-regelgeving. Incidenten zoals die met Tea en Discord laten echter zien dat louter richtlijnen onvoldoende zijn.
Dit vraagstuk vraagt om een meer proactieve aanpak. Toezichthouders moeten de handhavingsmechanismen versterken en ervoor zorgen dat externe leveranciers zich houden aan strikte gegevensbeveiligings- en verwijderingsprotocollen – vooral wanneer deze aanbieders buiten de jurisdictie van het Verenigd Koninkrijk opereren. Alleen door strikter toezicht en aantoonbare actie kan leeftijdsverificatie gebruikers echt beschermen, in plaats van hen onbedoeld bloot te stellen aan grotere schade.
