Wetten voor leeftijdsverificatie, bedoeld om minderjarigen online te beschermen, zorgen voor onrust onder open source-ontwikkelaars. Zij zeggen dat de regels de manier waarop hun gemeenschappen code bouwen en delen kunnen verstoren. Terwijl beleidsmakers in verschillende regio's de veiligheidseisen voor jongeren op techplatforms aanscherpen, komt het open source-model – gebaseerd op gedecentraliseerde bijdragen, anonieme samenwerking en geen centrale poortwachter – in botsing met nalevingsvereisten.
De druk om leeftijdsverificatie op platforms
Overheden in Europa, de Verenigde Staten en elders stellen wetten op of voeren deze in die platforms verplichten om de leeftijd van gebruikers te verifiëren voordat ze toegang krijgen tot bepaalde functies of inhoud. De reden is eenvoudig: kinderen beschermen tegen schadelijk materiaal, gegevensverzameling over minderjarigen beperken en ouderlijk toezicht afdwingen. Maar de wetten leggen de last meestal bij het platform – de entiteit die de dienst beheert – om leeftijdscontroles uit te voeren. Voor propriëtaire apps en websites is dat een technische en juridische uitdaging. Voor open source-projecten kan het een existentiële zijn.
Waarom het open source-model kwetsbaar is
Open source-software is vaak afhankelijk van gedistribueerde code-repositories, zelfgehoste instanties en vrijwillige onderhouders die niet als een traditioneel bedrijf opereren. Een enkel project kan honderden bijdragers hebben verspreid over landen, van wie velen pseudoniemen gebruiken. Er is geen centrale autoriteit die ID-verificatie kan eisen of leeftijdsgrenzen kan afdwingen op elke fork en instantie. Als een wet zegt 'platforms moeten de leeftijd van gebruikers verifiëren', is het onduidelijk wie – of wat – als het platform geldt. De onderhouder van een kleine bibliotheek? De hostingdienst? De stroomafwaartse app die de code bundelt?
Ontwikkelaars waarschuwen dat vage definities onderhouders in rollen kunnen dwingen waar ze nooit voor hebben getekend. Een vrijwilliger die een Git-server voor zijn project beheert, kan verantwoordelijk worden gesteld voor het verifiëren van de leeftijd van elke committer. Dat is duur, juridisch riskant en gaat in tegen de openheid die velen ooit naar open source trok.
De technische en culturele wrijving
Het implementeren van leeftijdsverificatie in een gedecentraliseerde omgeving is niet alleen een juridisch probleem – het is een technische puzzel. Traditionele leeftijdscontroles zijn gebaseerd op identiteitsdocumenten, biometrische scans of creditcardgegevens. Open source-projecten hebben daar doorgaans niets van. Elke bijdrager vragen om een paspoort te uploaden voordat ze een pull-aanvraag kunnen indienen, zou de laagdrempelige samenwerking doden waar open source van gedijt. Het zou ook ernstige privacyproblemen opleveren: projectonderhouders zouden plotseling bewaarders worden van gevoelige persoonsgegevens, een taak die weinigen willen en nog minder aankunnen.
Er is ook een culturele mismatch. Het open source-ethos waardeert anonimiteit en pseudonimiteit. Veel bijdragers, vooral in gevoelige gebieden zoals beveiliging of censuuromzeiling, vertrouwen op de mogelijkheid om deel te nemen zonder hun echte identiteit te onthullen. Verplichte leeftijdsverificatie zou die bijdragers effectief kunnen uitsluiten, waardoor de projecten en het bredere ecosysteem verzwakken.
Wat staat ontwikkelaars en regelgevers te wachten?
Industriegroepen die open source-stichtingen vertegenwoordigen, hebben opmerkingen ingediend bij regelgevende instanties, pleitend voor uitzonderingen of duidelijke veilige havens. Ze dringen aan op taal die onderscheid maakt tussen de platformbeheerder en het upstream-codeproject, of die een drempel stelt – bijvoorbeeld dat alleen projecten boven een bepaalde grootte of omzet aan leeftijdsverificatievereisten worden onderworpen.
Sommige wetgevers tonen begrip, maar zijn terughoudend om mazen te creëren die kwaadwillenden kunnen misbruiken. Enkele rechtsgebieden hebben al aangegeven dat open source-projecten geen algemene immuniteit krijgen. De spanning zal zich waarschijnlijk het komende jaar ontladen in regelgevingshoorzittingen en rechtszaken. Voor nu blijven ontwikkelaars gissen – en hopen dat hun volgende commit geen nalevingscrisis veroorzaakt.
