Blog

Het Britse systeem voor leeftijdsverificatie op internet uitgelegd vanuit cybersecurityperspectief

Het Britse systeem voor leeftijdsverificatie op internet heeft als doel kinderen te beschermen tijdens het surfen. Maar deze controles brengen nieuwe cybersecurityrisico's en privacyzorgen met zich mee.

Jul 29, 2025 • 5 min read

Simon Wijckmans Founder & CEO

UK-Internet-Age-Verification-Blog-Banner

De Britse overheid heeft een nieuwe wet op leeftijdsverificatie ingevoerd via de Online Safety Act 2023, die per 25 juli 2025 van kracht is geworden.

Deze regels verplichten gebruikers te bewijzen dat ze ouder zijn dan 18 jaar voordat ze toegang krijgen tot bepaalde online inhoud. Voornamelijk pornografische websites of platforms die zelfbeschadiging, zelfmoord, eetstoornissen en ander potentieel schadelijk materiaal promoten.

Het doel van het Britse systeem voor leeftijdsverificatie op internet is kinderen te beschermen tijdens het surfen.

Hoewel het doel om kinderen te beschermen positief is, betekent nauwkeurige leeftijdsverificatie vaak dat gevoelige persoonsgegevens worden blootgesteld. Deze controles brengen nieuwe cybersecurityrisico's en privacyzorgen met zich mee.

Pop-up voor leeftijdsverificatie waarbij een account aanmaken vereist is

Hoe het Britse systeem voor leeftijdsverificatie op internet werkt

Gebruikers moeten hun leeftijd bewijzen om toegang te krijgen tot websites met volwasseneninhoud of websites die schadelijke onderwerpen promoten
Websites moeten strikte methoden gebruiken om de leeftijd van gebruikers te verifiëren, zoals:

Het uploaden van een identiteitsbewijs (paspoort of rijbewijs)
Een selfie maken en software gebruiken om de leeftijd te verifiëren via gezichtspatroonherkenning
Je leeftijd bevestigen met een credit- of debetkaart

Platforms zoals Reddit, X (Twitter) en andere multifunctionele websites moeten ervoor zorgen dat minderjarigen geen volwasseneninhoud kunnen bekijken.
Niet-conforme websites kunnen:

Geblokkeerd worden in het VK
Een boete krijgen van maximaal £18 miljoen of 10% van de wereldwijde omzet

Wat dit in de praktijk betekent (en voor cybersecurity)

1. Mensen zullen VPN's gebruiken om de Britse leeftijdsverificatiewetten te omzeilen

Websites gebruiken het IP-adres van de aanvrager om te verifiëren waar het verzoek vandaan komt, wat eenvoudig te omzeilen is. Om deze controles te vermijden, wenden veel gebruikers zich tot VPN's en wijzigen ze hun locatie naar buiten het VK. Zoekdata in de App Store wijzen al op een significante toename in VPN-downloads na de uitrol.

2. Opkomst van nep-VPN-sites, phishingpagina's en malware

Cybercriminelen zijn op de hoogte van deze verandering en lanceren al nep-VPN-diensten gericht op minderjarigen en phishingwebsites die echte leeftijdsverificatieportalen nabootsen.

Deze bevatten meestal spyware, malware of cryptominers.

Zelfs Google Search-advertenties hebben in het verleden kwaadaardige gesponsorde links bevat die leidden naar gevaarlijke downloads. De kans is groot dat we dit opnieuw zullen zien.

Dit opent de deur voor een sterke toename van identiteitsdiefstal, het oogsten van inloggegevens en malware-infecties, met name onder gebruikers die verificatie proberen te vermijden.

3. Kwaadaardige JavaScript en misbruik van scripts van derden

Veel websites besteden leeftijdscontroles uit aan SDK's van derden of ingebedde widgets. Dit introduceert enorme client-side supply chain-risico's. Net als bij andere afhankelijkheden kunnen aanvallers Magecart-stijl aanvallen uitvoeren om het volgende te verzamelen:

Geüploade foto-ID's
Creditcardgegevens
Geüploade selfies
Andere persoonsgegevens

Voorbeelden van een aanvalsmethode:

Kwaadaardige <script>-tags injecteren in verificatiestromen
Nep-<input>-overlays gebruiken om identiteitsformulieren te spoofen
De DOM manipuleren om gegevens te exfiltreren voordat ze worden versleuteld of verzonden

Dit is allemaal goed bekend in de client-side security-wereld, waar het de meest voorkomende aanval is geworden. En een die traditionele audits vaak missen.

4. Gevaarlijke browserextensies

Opnieuw terug naar het punt over VPN's: gebruikers die beperkingen proberen te omzeilen, installeren mogelijk dubieuze VPN-browserextensies. We schreven onlangs precies waarom browserextensies zo gevaarlijk zijn.

Ze kunnen:

Verkeer kapen
Advertenties of affiliate-links injecteren
Browsegeschiedenis loggen
Worden verkocht aan kwaadwillenden — dit is gangbare praktijk

5. API- en token-exploits

Overal waar persoonsgegevens worden verzameld, zullen aanvallen volgen. Zoals we zagen bij de recente Tea-app: hun backend werd gehackt en alle persoonsgegevens van gebruikers werden gelekt. Net als het Britse systeem voor leeftijdsverificatie op internet verzamelde Tea ook verificatie via foto-ID en andere persoonlijke informatie. Omdat platforms zelf verantwoordelijk zijn voor deze leeftijdsverificatie, betekent dat simpelweg meer doelwitten voor mogelijke aanvallen.

Toekomstige dreigingen die we kunnen verwachten

Type dreiging	Beschrijving
Identiteitsdiefstal via phishing	Nep-leeftijdsverificatieportalen die geüploade identiteitsdocumenten verzamelen
Deepfakes en gezichtsswaps	Gestolen selfies gebruikt om AI-gegenereerde imitaties te maken
Kwaadaardige leeftijdsverificatie-SDK's	Client-side supply chain-aanvallen gericht op ingebedde leeftijdscontrolebibliotheken
Surveillance en tracking	Leeftijdscontrolehulpmiddelen die gebruikers over websites volgen onder het mom van veiligheid
VPN-honeypots	Nep-VPN's die gebruikersactiviteit loggen en persoonsgegevens verzamelen
Credential stuffing	Hergebruikte inloggegevens gestolen via phishing of nep-SDK's
Magecart-stijl PII-skimming	Kwaadaardige scripts die ID-afbeeldingen en gevoelige formulierinvoer scrapen
Formulier-overlay-aanvallen	Nep-formuliervelden gebruikt om gebruikersgegevens te stelen vóór verzending

Best practices

Voor gebruikers:

Gebruik alleen betrouwbare VPN-aanbieders
Upload nooit identiteitsdocumenten naar niet-geverifieerde websites
Vermijd het installeren van browserextensies van onbekende ontwikkelaars en controleer of de extensie positieve en legitieme beoordelingen heeft
Verwijder regelmatig cookies en sessiegegevens. Dit helpt passieve tracking en blootstelling aan cross-site datalekken te verminderen

Voor ontwikkelaars:

Auditeer alle JavaScript-bibliotheken en SDK's van derden. Client-side, middleware en server-side
Implementeer een strikte Content Security Policy (CSP)-strategie — indien mogelijk
Gebruik Subresource Integrity (SRI) — indien mogelijk
Stel Cross-Origin Resource Sharing (CORS) in
Voorkom Cross-Site Scripting (XSS) door gebruikersinvoer te sanitizen en veilige templating-frameworks te gebruiken
Voeg een beveiligd tokensysteem toe
Monitor de DOM en netwerkverzoeken

cside kan helpen bij een aantal van deze maatregelen.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

De Online Safety Act 2023 verplicht websites die volwasseneninhoud en algemeen schadelijk materiaal hosten om te verifiëren dat bezoekers ouder zijn dan 18 jaar. Dit kan door bezoekers een door de overheid uitgegeven identiteitsbewijs te laten uploaden, gezichtsleeftijdschatting via een selfie, of het valideren van creditcard- of debitcardbezit.

Zowel Britse als internationale websites die toegankelijk zijn in het VK moeten hieraan voldoen. Platforms die dit niet doen, riskeren geblokkeerd te worden of een boete te krijgen van Ofcom (Office of Communications).

Gebruikers kunnen het systeem omzeilen door een VPN te gebruiken zodat het lijkt alsof ze zich buiten het VK bevinden. Dit heeft al geleid tot een sterke stijging in VPN-downloads. Het gebruik van een VPN elimineert de cybersecurityrisico's van deze verificatiesystemen echter niet.

De wet is bedoeld om kinderen te beschermen, maar brengt privacyrisico's met zich mee als de verificatie slecht wordt uitgevoerd. Gebruikers worden gevraagd gevoelige gegevens te uploaden, die blootgesteld kunnen worden via phishingsites, met malware geïnfecteerde VPN's of gecompromitteerde verificatietools van derden. Deze leeftijdsverificatiesystemen worden doelwitten voor identiteitsdiefstal en surveillance.

Leeftijdsverificatie introduceert een nieuw aanvalsoppervlak voor cybercriminelen. Zeker omdat veel platforms deze snel moesten implementeren om inkomstenverlies te voorkomen. Identiteitsdocumentatie is een zeer waardevol doelwit. Aanvallen via het kapen of nabootsen van identiteitsverificatiesystemen zullen toenemen. Het gebruik van gevoelige persoonsgegevens is hierdoor genormaliseerd, wat over het algemeen een negatieve ontwikkeling is.

Wees als gebruiker voorzichtig met het uploaden van identiteitsdocumenten naar websites. Controleer altijd of dit noodzakelijk is en kies, als dat mogelijk is, voor minder risicovolle methoden. Identiteitsdiefstal is moeilijk te herstellen; een nieuwe bankpas aanvragen is eenvoudiger. Als je een VPN gebruikt, kies dan voor betrouwbare aanbieders. Vermijd het installeren van onbekende browserextensies. Ontwikkelaars moeten de browser behandelen als een kritieke beveiligingsgrens door alle scripts van derden te auditen en beveiligingsoplossingen voor client-side beveiliging te adopteren.

Leeftijdsverificatie is verplicht als onderdeel van de Online Safety Act 2023. De nieuwe wet heeft als doel te voorkomen dat kinderen toegang krijgen tot schadelijke online inhoud. Schadelijke inhoudstypen omvatten pornografie, maar ook materiaal gerelateerd aan zelfbeschadiging, zelfmoord en eetstoornissen.

Elke site of app die volwasseneninhoud of materiaal host dat als schadelijk voor kinderen wordt beschouwd, moet hieraan voldoen. Dit geldt ook voor sociale platforms waar dergelijk materiaal gedeeld kan worden, zoals Reddit, Discord, Bluesky, X/Twitter en vergelijkbare platforms — momenteel meer dan 6000 platforms.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

E-mailverificatie bevestigt dat een mailbox bestaat. Het kan de browser niet zien. Daarom vangt detectie op browserniveau nepaccounts die het mist.

Polyfill.io supply chain-aanval: volledige tijdlijn, analyse en lessen (2024–2026)

Een volledige, onderbouwde tijdlijn van de Polyfill.io supply chain-aanval, van de domeinverkoop in 2024 tot de Funnull-sancties in 2025, en hoe je het vandaag verwijdert.

Donkere cside blogcover met blauwe pixelachtergrond en drie vinkjes: waarom snelheidsregels AI-kaarttesters missen, browsersignalen die hen blootleggen en betaling blokkeren vóór checkout

Hoe AI-Kaarttesters te Blokkeren

AI-kaarttesters tasten betalingsstromen af met echte browsers. Leer de browsersignalen die ze blootleggen voordat een transactie wordt voltooid.

cside-beveiligingsplatform dat meerdere AI-agentverbindingen classificeert — browserlaag agentdetectie en vertrouwensbeheer

Hoe u een AI-agentdetectieoplossing kiest

Vijfstappengids voor CISO's die AI-agentdetectieoplossingen evalueren: architectuur, classificatie, leveranciersprofielen en POC-methodologie.

Donkere cside-blogomslag met een browserinterface die bot- en AI-agentverkeer filtert naar vertrouwde en geblokkeerde paden

Beste Bot- en Agentvertrouwensbeheerplatforms Vergeleken (2026)

Forrester definieert de categorie. cside, DataDome, HUMAN Security, Kasada en Arkose Labs vergeleken op detectielaag, intentie en agentische dekking.

cside beveiligingsschild dat een browsercursorpad monitort — AI-agentdetectie op de browserlaag

Hoe Blokkeer Je OpenAI Operator op Je Website

OpenAI Operator surft op je site als een echte gebruiker. Leer detecteren en blokkeren via browserlaag-signalen en wanneer je dat niet moet doen.

DBSC versus device-fingerprinting: wat de sessiebeveiliging van Chrome niet dekt

Chrome's DBSC stopt hergebruik van gestolen cookies, maar werkt alleen in Chrome, pas na inloggen en zonder device-identiteit. Dit laat het open.

Perplexity Shopper detecteren en blokkeren op uw website — cside blog

Hoe u Perplexity Shopper op uw website kunt blokkeren

Perplexity Shopper browst en koopt op retailwebsites namens Pro-gebruikers. Leer hoe u de browsersignalen detecteert en het verkeer beheert.

Wanneer een AI-API het antwoord van een andere gebruiker teruggeeft: gedeelde caches en cross-tenant lekken

Een incident met de Claude-API lijkt antwoorden van andere gebruikers te hebben teruggegeven. Waarom gedeelde caches cross-tenant lekken veroorzaken.

Een OAuth 2.0 access-token in het midden van een diagram dat een legitiem apparaat met het apparaat van een aanvaller verbindt

MFA faalde niet, het vertrouwensmodel faalde: device code phishing en OAuth-tokendiefstal (Kali365)

Kali365 misbruikt de OAuth 2.0 device authorization grant om Microsoft 365-tokens te stelen na MFA. Een technische analyse van de flow, FOCI en detectie.