Eater
De Britse overheid krijgt steeds vaker verzoeken om de toegang van kinderen tot VPN’s te beperken.
Nadat deze zomer de strenge leeftijdscontroles van de Online Safety Act (OSA) van kracht werden, duurde het niet lang voordat Britten deze regels wisten te omzeilen. Sommige methoden gingen viraal, zoals het gebruik van de fotomodus van het computerspel Death Stranding om gezichtsherkenning te omzeilen. Maar uiteindelijk bleek de makkelijkste optie het meest populair: VPN’s.
Virtual Private Networks (VPN’s) blijken uiterst effectief in het omzeilen van de leeftijdscontroles in het Verenigd Koninkrijk. Ze laten gebruikers IP-adressen uit andere landen zien, waardoor de leeftijdschecks helemaal niet worden geactiveerd. Kort nadat de wet van kracht werd, meldde de BBC dat vijf van de tien populairste gratis apps in de iOS App Store VPN’s waren. VPN-aanbieders deelden cijfers die een enorme toename lieten zien: WindscribeVPN rapporteerde een flinke stijging van het aantal gebruikers, NordVPN sprak over een groei van 1000 procent in aankopen dat weekend en ProtonVPN zag zelfs een toename van 1800 procent in Britse aanmeldingen.
Deze ontwikkelingen zijn niet onopgemerkt gebleven in de bestuurskamers. Er klinken steeds meer geluiden dat er actie moet worden ondernomen, dat de UK’s flagship child safety law in de VK bespot wordt en dat VPN’s het probleem is.
De OSA werd in 2023 aangenomen, maar pas in juli gingen de belangrijkste maatregelen van kracht. De wet verplicht websites en online diensten om “strenge leeftijdscontroles” in te voeren om te voorkomen dat jongeren onder de 18 jaar toegang krijgen tot een breed scala aan “schadelijke content”, vooral pornografie en content die zelfmoord of zelfbeschadiging promoot. In de praktijk betekent dit dat alle websites, van pornosites tot het sociale netwerk Bluesky, Britse gebruikers pas laten doorstromen na het doorlopen van leeftijdscontroles, vaak via creditcardverificatie of gezichtsherkenning. Je begrijpt waarom zoveel mensen op VPN’s zijn overgestapt.
Rachel de Souza, kindercommissaris van de Britse overheid, verklaarde in augustus aan de BBC dat toegang tot VPN’s “absoluut een achterdeurtje is dat dicht moet.” Haar kantoor publiceerde een rapport waarin wordt gepleit voor dezelfde “zeer effectieve leeftijdsverificatie” om VPN’s zelf af te schermen, aangezien mensen die nu weten te omzeilen.
De Souza staat hierin niet alleen. In het Britse Hogerhuis wordt opgeroepen om te verklaren waarom VPN’s bij de oorspronkelijke wetgeving niet zijn meegenomen. Een voorgestelde wijziging van de Children’s Wellbeing and Schools Bill zou de door De Souza gewenste leeftijdscontrole verplicht stellen. Al in 2022, lang voor de machtswisseling naar Labour, waarschuwde Labour-parlementslid Sarah Champion dat VPN’s de effectiviteit van de OSA zouden ondermijnen en riep zij de toenmalige regering op tot “het vinden van oplossingen.”
Recent artikel van Techradar voedt de speculaties dat de overheid mogelijk actie gaat ondernemen. Daarin staat dat Ofcom, de Britse mediawaakhond en toezichthouder op de OSA, “VPN-gebruik monitort” sinds de wet is ingevoerd. Techradar kon echter niet bevestigen wat deze monitoring precies inhoudt. Ofcom verzekert dat individuele gebruikers niet gevolgd worden. Een anonieme woordvoerder zei slechts dat er een “ervoorstaande derde partij” wordt ingezet, waarbij gegevens alleen geaggregeerd verzameld worden, zonder “persoonlijk identificeerbare of gebruikersspecifieke informatie.” (Geanonimiseerde data is echter soms niet volledig onschuldig, maar over dat risico is hier niets bekend.)
Toch kan dit onderzoek een belangrijk onderdeel van het grotere plaatje zijn. Het is duidelijk dat VPN-gebruik sinds juli is gestegen, maar het is onbekend hoe groot het aandeel minderjarigen hierin is. Ofcom onderzoekt het gebruik van VPN’s onder kinderen, maar dat zal tijd kosten.
De overheid benadrukt continu dat het VPN’s niet wil verbieden, en dat standpunt is onveranderd. “Er zijn op dit moment geen plannen om het gebruik van VPN’s te verbieden, omdat er legitieme redenen zijn om ze te gebruiken,” zei barones Lloyd of Effra, minister bij het ministerie van Wetenschap, Innovatie en Technologie, vorige maand in het Hogerhuis. Tegelijkertijd voegde ze eraan toe dat “niets is uitgesloten,” waardoor mogelijke beperkingen nog steeds op de loer liggen.
Een totaalverbod, bijvoorbeeld door internetproviders te verplichten VPN-verkeer te blokkeren, lijkt onwaarschijnlijk. Er is geen breed politiek draagvlak voor, en de overheid erkent dat er veel goede redenen zijn voor VPN-gebruik die niets met leeftijdscontrole op pornografie te maken hebben.
“VPN’s dienen verschillende doelen,” zegt Ryan Polk, beleidsdirecteur bij Internet Society. “Bedrijven gebruiken ze voor veilige toegang voor werknemers; journalisten voor bescherming van bronnen; minderheidsgroepen om privé te communiceren; gewone gebruikers profiteren van meer privacy en veiligheid; en gamers gebruiken ze om hun spelervaring te verbeteren.”
Bovendien is iedereen het erover eens dat een verbod een lastige klus wordt. “VPN’s blokkeren is technisch complex en vaak niet effectief,” zegt Laura Tyrylyte, hoofd PR bij Nord Security. James Baker van Open Rights Group zegt het simpel: “Het is erg moeilijk om mensen te stoppen VPN’s te gebruiken.”
Sommigen stellen voor dat websites die onder de OSA vallen al het verkeer via VPN’s zouden blokkeren, zoals veel streamingdiensten nu doen. Dat brengt echter zijn eigen problemen met zich mee.
“Sites die deze content aanbieden komen voor een onmogelijke keuze te staan,” zegt Polk. “Ze kunnen of alle gebruikers uit het Verenigd Koninkrijk blokkeren (en zo hun markt verliezen), of alle VPN-gebruikers weren.” Dit is niet eenvoudig, want er is geen betrouwbare manier om te bepalen of een VPN-gebruiker oorspronkelijk uit het VK komt of ergens anders.
Daarom lijkt leeftijdsbeperking op VPN’s zelf de meest waarschijnlijke oplossing. De OSA verbiedt platforms al om VPN’s aan kinderen aan te bevelen als manier om leeftijdscontrole te omzeilen. Het uitbreiden van die regels naar VPN-aanbieders zelf zou wat dat betreft logisch zijn en relatief gemakkelijk uitvoerbaar, maar kent ook nadelen.
Zowel Tyrylyte als Baker waarschuwen dat het beperken van VPN’s mensen kan aanzetten tot risicovoller gedrag, zoals het kiezen voor minder betrouwbare VPN’s met slechte privacybeleid, of het gebruiken van simpele directe bestandsoverdracht, zoals USB-sticks, wat weer nieuwe veiligheidsrisico’s met zich meebrengt. In zekere zin gebeurt dit al: betaalde VPN’s zoals Nord vragen een creditcard, wat betekent dat jongeren waarschijnlijk uitwijken naar gratis VPN’s, die volgens Baker een privacyrisico zijn omdat ze vaak jouw data verkopen.
Het Verenigd Koninkrijk was een van de eerste landen met online leeftijdsbeperkingen en net zoals andere landen die volgen, mogen we verwachten dat meer overheden VPN’s onder de loep nemen. Australië verbood sociale media voor kinderen jonger dan 16, de EU experimenteert met eigen regels en verschillende Amerikaanse staten leggen leeftijdsgrenzen op voor internetgebruik. Zolang VPN’s de beste manier blijven om deze beperkingen te omzeilen, zal het debat over VPN-restricties doorgaan. In de VS gebeurt dat al: Republikeinen in Michigan willen een verbod op VPN’s op niveau van internetproviders; in Wisconsin wordt gepleit voor het volledig blokkeren van VPN-verkeer door volwassen websites.
