Blog

Utah SB 73: je bent nu aansprakelijk voor de VPN’s van je gebruikers

Utah is de eerste Amerikaanse staat die exploitanten aansprakelijk houdt wanneer gebruikers via een VPN leeftijdsverificatie omzeilen. Een IP-bloklijst is niet genoeg.

May 05, 2026 • 7 min read

Mike Kutlu Author

Donkere cside-blogcover met punten over aansprakelijkheid voor VPN-bypass

Utah Senate Bill 73 trad in mei 2026 in werking en maakte Utah de eerste Amerikaanse staat die website-exploitanten verantwoordelijk houdt wanneer gebruikers een VPN of proxy gebruiken om leeftijdsverificatie te omzeilen. De wet richt zich niet op VPN-aanbieders. Ze richt zich op u, de exploitant, en accepteert "ze gebruikten een VPN" niet als verweer.

NordVPN omschreef de wet als "een onoplosbare compliance-paradox". De Electronic Frontier Foundation noemde haar "een technisch whack-a-mole-spel dat waarschijnlijk geen enkel bedrijf kan winnen". Beide beschrijven hetzelfde probleem: traditionele VPN-detectie werkt niet goed genoeg om te voldoen aan een aansprakelijkheidsnorm per overtreding.

Daarvoor is de VPN-detectie van cside gebouwd.

Wat Utah SB 73 werkelijk vereist

Snel antwoord: Utah SB 73 vereist dat exploitanten van sites met voor minderjarigen schadelijke content gebruikers die fysiek in Utah zijn als Utah-gebruikers behandelen, ongeacht of zij hun verkeer via een VPN, proxy of andere locatieverhullende tool routeren. Exploitanten blijven aansprakelijk voor toegang die via een gemaskeerde verbinding plaatsvindt. De wet verbiedt exploitanten ook om instructies te publiceren over hoe VPN’s kunnen worden gebruikt om hun eigen leeftijdspoorten te omzeilen.

De wet wijzigt de bestaande leeftijdsverificatie-eisen van Utah voor sites met een "substantieel deel materiaal dat schadelijk is voor minderjarigen". De kern is een deemed-location-regel: een gebruiker die fysiek in Utah is, is juridisch een Utah-gebruiker, ook als het apparaat een niet-Utah-IP-adres toont.

Die ene regel verandert het compliance-probleem volledig. Eerder was de vraag of u een leeftijdspoort had. Nu is de vraag of uw leeftijdspoort werkt tegen gebruikers die deze actief proberen te omzeilen. Een statische bloklijst met bekende VPN-exitnodes beantwoordt geen van beide vragen betrouwbaar.

De wet verbiedt exploitanten ook instructies te delen die gebruikers zouden helpen de leeftijdspoort te omzeilen. Een hulpartikel publiceren dat VPN’s noemt in de context van toegangscontrole is nu een afzonderlijk aansprakelijkheidsrisico.

Waarom een IP-bloklijst dit niet kan oplossen

Snel antwoord: Statische VPN-bloklijsten falen omdat commerciële VPN-aanbieders IP-ranges sneller roteren dan welke lijst ook kan worden bijgewerkt, residentiële proxydiensten verkeer via echte consumenten-IP’s routeren die nooit op bloklijsten staan, en dagelijks nieuwe VPN-diensten verschijnen. Een bloklijstaanpak is per definitie reactief. Utah SB 73 vereist detectie die werkt op onbekende VPN-diensten, niet alleen op gecatalogiseerde diensten.

De VPN-industrie opereert op schaal. Grote aanbieders roteren miljoenen IP-adressen over duizenden exitnodes. Residentiële proxynetwerken zijn nog lastiger: zij routeren verkeer via IP-adressen die aan echte huishoudelijke breedbandverbindingen zijn toegewezen, waardoor ze op basis van IP alleen niet te onderscheiden zijn van legitieme gebruikers.

Statische bloklijsten waren al nauwelijks voldoende toen VPN-gebruik een nichegedrag was. Nu zijn ze dat niet meer. Nadat Florida HB3 in november 2025 in werking trad, steeg het VPN-gebruik scherp onder precies de populatie die de wet moest afschermen, omdat gebruikers naar omwegen zochten. Exploitanten in Utah moeten hetzelfde patroon verwachten.

De technische kritiek van zowel de EFF als NordVPN klopt in één opzicht: u kunt een bloklijstenoorlog niet winnen. Het antwoord is om ermee te stoppen dit op IP-adressen uit te vechten.

De groeiende golf van leeftijdsverificatiewetten per staat

Snel antwoord: Utah SB 73 is de derde grote Amerikaanse leeftijdsverificatiewet op staatsniveau die exploitantaansprakelijkheid creëert, na Texas HB1181 (bevestigd door het Supreme Court in juni 2025) en Florida HB3 (handhaving begon in november 2025). Meer dan 25 Amerikaanse staten hebben leeftijdsverificatie-eisen aangenomen of in voorbereiding. De trend is duidelijk: wetgevers gaan van "bouw een poort" naar "de poort moet echt werken".

Texas HB1181 vereist dat commerciële sites waarvan meer dan een derde van de content "seksueel materiaal schadelijk voor minderjarigen" is, verifiëren dat gebruikers 18 jaar of ouder zijn. Het US Supreme Court bekrachtigde de wet op 27 juni 2025 in Free Speech Coalition, Inc. v. Paxton, waarmee werd bevestigd dat leeftijdsverificatiemandaten voor adult content grondwettelijk toelaatbaar zijn.

Florida HB3 beperkt minderjarigen onder de 14 jaar bij het aanmaken van accounts op gedekte platforms, vereist ouderlijke toestemming voor 14- en 15-jarigen, en verplicht leeftijdsverificatie voor toegang tot schadelijk materiaal. Het Eleventh Circuit Court of Appeals hief op 25 november 2025 een injunction op, waardoor volledige handhaving kon doorgaan.

Utah SB 73 gaat verder dan beide voorgangers. Texas en Florida creëren aansprakelijkheid voor sites die geen leeftijdspoort plaatsen. Utah creëert aansprakelijkheid voor sites waarvan leeftijdspoorten worden omzeild, ook via tools die de gebruiker zelf beheert. Dat is een materieel andere compliance-standaard.

De richting is helder. Wetgevers nemen geen genoegen met poorten waar technisch vaardige gebruikers omheen kunnen routeren. Exploitanten die vertrouwden op een simpele IP-check of bloklijst zullen hun aanpak moeten herzien.

Hoe gedragsmatige VPN-detectie eruitziet

Snel antwoord: Gedragsmatige VPN-detectie analyseert hoe een gebruiker een site bezoekt in plaats van alleen het IP-adres te vergelijken met een lijst van bekende VPN’s. Ze onderzoekt netwerksignalen, gedragspatronen en apparaatconsistentie over verzoeken heen om VPN- en proxygebruik te identificeren, zelfs van diensten die nog in geen enkele bloklijst zijn gecatalogiseerd. cside verwerkt meer dan 100 miljoen verzoeken per dag en bouwt daarmee de patroonherkenning die deze aanpak op schaal laat werken.

Het kerninzicht is dat VPN- en proxyverkeer consistente gedragssignaturen heeft die blijven bestaan, zelfs wanneer IP-adressen veranderen. Verkeer dat via een VPN wordt gerouteerd, gedraagt zich op netwerkniveau anders dan organisch gebruikersverkeer: kenmerken van het routeringspad, latentiepatronen en de relatie tussen opgegeven en werkelijke apparaatattributen leveren allemaal signaal op.

Residentieel proxyverkeer is moeilijker te detecteren op IP alleen, maar niet op gedrag. Een residentiële proxysessie vertoont nog steeds de asymmetrieën die ontstaan door doorgegeven verkeer: timinggedrag, apparaatfingerprintconsistentie en sessiepatronen die verschillen van een gebruiker op zijn eigen thuisverbinding.

De VPN-detectie van cside identificeert dit verkeer bij zowel commerciële VPN-diensten als residentiële proxies, inclusief diensten die nog niet in een gepubliceerde bloklijst staan. Wanneer een detectie afgaat, kiest de exploitant de respons: de sessie volledig blokkeren, aanvullende verificatie zoals CAPTCHA of een 2FA-stap eisen voordat toegang wordt verleend, of de detectie loggen voor compliance-auditdoeleinden zonder de gebruiker te onderbreken.

Die laatste optie is belangrijk voor aansprakelijkheidsdocumentatie. Utah SB 73 creëert, net als Texas HB1181, risico per overtreding. Exploitanten die een detectie- en responsprogramma te goeder trouw kunnen aantonen, staan materieel anders dan exploitanten die dat niet kunnen.

Wat exploitanten nu moeten doen

Snel antwoord: Exploitanten die leeftijdsgebonden content aanbieden in welke Amerikaanse staat dan ook, moeten hun huidige VPN-detectie toetsen aan een simpele vraag: werkt ze tegen residentiële proxies en nieuwe VPN-diensten, of alleen tegen gecatalogiseerde exitnodes? Als het antwoord het laatste is, voldoet ze niet aan een staatswet die u aansprakelijk houdt voor omzeilde toegang. Vervang statische bloklijsten of vul ze aan met gedragsmatige detectie voordat de volgende handhavingscyclus begint.

Begin met een audit van uw huidige setup:

Controleert uw leeftijdsverificatiestroom IP’s tegen een bloklijst, of analyseert hij sessiegedrag?
Logt u VPN-detecties in een formaat dat een compliance-auditspoor creëert?
Als een gebruiker uw poort via een residentiële proxy omzeilt, detecteert uw systeem dat dan?
Draait er content op uw site die VPN-toegangsomwegen uitlegt?

Als het antwoord op de laatste vraag ja is, verwijder die content. Utah SB 73 verbiedt exploitanten expliciet om richtlijnen te publiceren die omzeiling faciliteren.

Voor de andere vragen is het eerlijke antwoord bij de meeste bloklijstgebaseerde setups dat residentiële proxies en nieuw gelanceerde VPN-diensten niet worden gepakt. Dat is het gat dat gedragsmatige detectie dicht.

Samenvatting

Utah SB 73 verandert de compliance-vraag van "heeft u een leeftijdspoort?" naar "werkt uw leeftijdspoort daadwerkelijk tegen gebruikers die haar proberen te omzeilen?". Een IP-bloklijst beantwoordt de eerste vraag. Ze beantwoordt de tweede niet.

Gedragsmatige VPN-detectie is de aanpak die dat wel doet. Als u leeftijdsgebonden content aanbiedt in een Amerikaanse staat, is dit het moment om te auditen of uw huidige detectie voldoet aan een aansprakelijkheidsnorm per overtreding.

Bekijk hoe de VPN-detectie van cside werkt of boek een demo om haar op uw verkeer te zien.

Author Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Utah Senate Bill 73 is een wet uit 2026 die de online leeftijdsverificatie-eisen van de staat wijzigt. De wet houdt website-exploitanten aansprakelijk wanneer gebruikers die fysiek in Utah zijn via een VPN of proxy toegang krijgen tot afgeschermde content. Het IP-adres van de gebruiker doet er niet toe; fysieke aanwezigheid in Utah maakt de exploitant verantwoordelijk, ongeacht hoe de gebruiker zijn verkeer routeert.

VPN-aanbieders en critici gebruiken die term omdat VPN-tools juist zijn ontworpen om gebruikers via hun IP-adres ondetecteerbaar te maken. Een statische bloklijst met bekende VPN-exitnodes kan geen gelijke tred houden met aanbieders die miljoenen IP’s roteren. De wet is niet paradoxaal als u VPN’s via gedrag detecteert in plaats van via IP-catalogi, maar ze is niet op te lossen met alleen een lijst.

Texas en Florida creëren aansprakelijkheid voor exploitanten die geen leeftijdsverificatie implementeren. Utah voegt daar een extra aansprakelijkheidslaag aan toe: als een gebruiker uw leeftijdspoort met een VPN omzeilt, blijft u verantwoordelijk. Het is het verschil tussen eisen dat er een slot op een deur zit en eisen dat het slot mensen daadwerkelijk buiten houdt.

De opties hangen af van uw risicohouding. U kunt toegang volledig blokkeren voor gedetecteerde VPN-sessies, extra verificatie eisen voordat toegang wordt verleend, of de detectie loggen voor een compliance-auditspoor zonder de gebruiker te onderbreken. cside ondersteunt alle drie de responsmodi en laat exploitanten deze per contenttype of jurisdictie configureren.

Ja. Residentieel proxyverkeer loopt via echte consumenten-IP-adressen die nooit op VPN-bloklijsten verschijnen. De gedragsmatige aanpak van cside detecteert sessiekenmerken van proxied verkeer onafhankelijk van het toegewezen IP-adres, waardoor zowel commerciële VPN-exitnodes als residentiële proxydiensten worden afgedekt.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.

SourceForge Spring 2026 Top Performer-badge naast een cside-dashboardafbeelding

cside uitgeroepen tot SourceForge Spring 2026 Top Performer voor client-side security

cside is SourceForge Spring 2026 Top Performer, een signaal van gebruikersvertrouwen in client-side security en PCI-bewijs.

Donkere cside-blogcover met punten over detectie van AI-agentverkeer

Hoe AI-agents op je website detecteren | Volledige gids

Deze gids behandelt AI-agentdetectie via identiteits-, netwerk-, browser- en gedragssignalen. Bekijk gratis methoden zoals serverloganalyse en gespecialiseerde tools.

Blauwe netwerkbol en browsersecurity-iconen op een donkere cside-cover

cside is medevoorzitter van W3C-werk aan antifraude en browsersecurity

Simon Wijckmans is nu medevoorzitter van de W3C AFCG terwijl cside helpt privacyvriendelijke signalen tegen AI-fraude vorm te geven.