De Onderzoeksdienst van het Europees Parlement (EPRS) waarschuwde onlangs dat virtuele particuliere netwerken (VPN's) steeds vaker worden gebruikt om online leeftijdsverificatiesystemen te omzeilen, en omschrijft deze trend als een "maas in de wetgeving die moet worden gedicht". De waarschuwing komt omdat regeringen in Europa en elders doorgaan met het uitbreiden van de regels voor online kinderveiligheid, waarbij platforms worden verplicht de leeftijd van een gebruiker te verifiëren voordat ze toegang krijgen tot inhoud voor volwassenen of een leeftijdsbeperking.
VPN is een privacytool die is ontworpen om internetverkeer te coderen en het IP-adres van de gebruiker te verbergen door de verbinding via een externe server te routeren. Hoewel VPN's op grote schaal worden gebruikt voor legitieme doeleinden, zoals het beschermen van communicatie, het vermijden van toezicht en het mogelijk maken van veilig werken op afstand, maken toezichthouders zich steeds meer zorgen dat de technologie minderjarigen ook in staat stelt regionale leeftijdscontroles te omzeilen. De Onderzoeksdienst van het Europees Parlement merkt op dat het VPN-gebruik enorm is toegenomen nadat landen als Groot-Brittannië en verschillende Amerikaanse staten verplichte leeftijdsverificatiewetten hebben ingevoerd. In Groot-Brittannië zijn onlinediensten nu verplicht om te voorkomen dat kinderen toegang krijgen tot schadelijke inhoud, en naar verluidt domineerden VPN-apps de downloadlijsten nadat de wet van kracht werd.
Het document definieert VPN's duidelijk als een leemte in de regelgeving, waarbij wordt opgemerkt dat sommige beleidsmakers en voorstanders van kinderveiligheid van mening zijn dat VPN-toegang zelf leeftijdsverificatie zou moeten vereisen. De Engelse Kindercommissaris heeft er ook op aangedrongen dat VPN-diensten alleen voor volwassenen toegankelijk zijn. Als gebruikers echter worden gedwongen hun identiteit te verifiëren voordat ze toegang krijgen tot een VPN-service, kan dit de anonimiteitsbescherming ernstig verzwakken en nieuwe risico's creëren op het gebied van surveillance en gegevensverzameling. VPN-aanbieders en andere voorstanders van privacy hebben in een brief aan Britse beleidsmakers hun verzet tegen de aanpak geuit.
Vorige maand ontdekten onderzoekers kort na de release meerdere beveiligings- en privacykwetsbaarheden in de officiële app voor leeftijdsverificatie van de Europese Commissie. De app, die werd gepromoot als een privacytool onder de Digital Services Act (DSA), bleek gevoelige biometrische afbeeldingen op te slaan op een niet-versleutelde locatie, waardoor zwakke punten aan het licht kwamen waardoor gebruikers de verificatiecontroles volledig konden omzeilen.
Het document van de Onderzoeksdienst van het Europees Parlement erkent dat leeftijdsverificatie technisch moeilijk en gefragmenteerd blijft in de EU. De huidige systemen gebaseerd op zelfverklaring, leeftijdsschatting of identiteitsverificatie worden beschreven als relatief gemakkelijk te omzeilen door minderjarigen. Het rapport belicht opkomende methoden, zoals het ‘dubbelblinde’ verificatiesysteem dat in Frankrijk wordt gebruikt, waarbij websites alleen de bevestiging krijgen dat een gebruiker aan de leeftijdseisen voldoet zonder de identiteit van de gebruiker te kennen, terwijl de verificatieprovider niet kan zien welke websites de gebruiker heeft bezocht.
Tegelijkertijd beginnen toezichthouders het gebruik van VPN rechtstreeks in de wetgeving aan te pakken. Utah is onlangs de eerste staat in de Verenigde Staten geworden die een wet heeft aangenomen die specifiek gericht is op het gebruik van VPN’s voor online leeftijdsverificatie. Het SB 73-wetsvoorstel van de staat definieert de locatie van de gebruiker op basis van fysieke aanwezigheid in plaats van een schijnbaar IP-adres, zelfs als een VPN- of proxyservice wordt gebruikt om de locatie te maskeren.
VPN-aanbieders zullen waarschijnlijk met meer toezicht te maken krijgen nu de EU de wetgeving inzake cyberbeveiliging en onlineveiligheid herziet, aldus de Onderzoeksdienst van het Europees Parlement. Het agentschap merkte op dat toekomstige updates van de EU Cybersecurity Act mogelijk vereisten voor de veiligheid van kinderen introduceren die bedoeld zijn om misbruik van VPN’s te voorkomen om wettelijke bescherming te omzeilen.