Experts waarschuwen dat de online leeftijdscontrole die de Europese Commissie wil invoeren niet per se anoniem is, waardoor kan worden achterhaald wie welke website bezoekt. Brussel wil dat de EU-lidstaten snel online leeftijdsverificatie invoeren. Het heeft daarvoor een eigen app ontwikkeld. Afgelopen april meldde EU-voorzitter Ursula von der Leyen dat de Europese app voor leeftijdsverificatie technisch klaar is. Via de app kunnen mensen aangeven of ze oud genoeg zijn websites te bezoeken waarvoor een leeftijdsgrens geldt.

De Europese Commissie beweert dat de leeftijdsverificatie-app die het heeft ontwikkeld 'volledig anoniem' is. Vpn-provider Mullvad liet begin deze maand weten dat dit niet het geval is. Gebruikers van de app moeten hun identiteit bij een derde partij verifiëren, bijvoorbeeld via een identiteitsbewijs. De derde partij die de verificatie uitvoert kunnen de EU-lidstaten zijn. De partij de verificatie uitvoert verstrekt vervolgens een credential waarmee het socialmediaplatform kan zien dat de betreffende gebruiker oud genoeg is.

Volgens Mullvad is er een probleem met deze opzet. De derde partij weet namelijk welke credential bij welke persoon hoort. Wanneer de autoriteiten onwelgevallige content op social media tegenkomen zouden ze het platform om de bijbehorende credential kunnen vragen, waarmee het eenvoudig is om de bijbehorende persoon te identificeren. "Het gevolg is dat je niet meer anoniem kunt posten", waarschuwde de vpn-provider in een blogposting.

Een oplossing voor dit probleem is Zero-Knowledge Proof (ZKP) cryptografie. Hierbij moeten gebruikers nog steeds hun identiteit bij een derde partij laten verifiëren, maar die partij kan de verstrekte credentials niet koppelen aan de accounts van gebruikers op websites en platforms. De Europese leeftijdsverificatie-app beschikt op dit moment niet over ZKP-functionaliteit. Zelfs als de app dit gaat ondersteunen zou het een optionele extra feature zijn die landen kunnen uitschakelen en die de EU op elk moment kan verwijderen, claimde Mullvad.

Jaap-Henk Hoepman, privacy-expert en universitair hoofddocent digital security aan de Radboud Universiteit in Nijmegen, noemt het tegenover de NOS 'heel jammer' dat Brussel het gebruik van ZKP niet verplicht. "Zolang het een keuze is, zal het voor ontwikkelaars te veel gedoe zijn, waardoor het er waarschijnlijk niet van komt." Doordat ZKP ontbreekt wordt het mogelijk om mensen op internet te volgen. "Dan zet je in theorie de deur open voor het monitoren van menselijk gedrag", aldus Hoepman.

Thijs van Ede, docent cybersecurity aan de Universiteit Twente, stelt dat anonimiteit alleen te garanderen is als gebruikers hun eigen handtekening uitgeven, rechtstreeks met de websites die dat vereisen, zonder onafhankelijke tussenpartij die de leeftijd controleren. "Maar zonder de controle van die tussenpartij is het maar de vraag of je de waarheid spreekt. Dat doet afbreuk aan de betrouwbaarheid."

De Amerikaanse burgerrechtenbeweging EFF waarschuwt ook voor de veiligheids- en privacyrisico's die de Europese leeftijdsverificatie-app introduceert, zoals langetermijn-identifiers die online tracking zouden kunnen faciliteren en het delen van teveel persoonlijke informatie. Volgens de EFF is leeftijdsverificatie niet de juiste manier om jongeren op internet te beschermen en kan het worden bestempeld als een 'groeiende wereldwijde dreiging'.