Het Nederlandse kabinet verzet zich tegen een eventueel verbod op VPN-gebruik in de Europese Unie, ook als dat dient om online leeftijdsverificatie af te dwingen. Dat schrijft staatssecretaris Aerdts (Digitale Zaken) in antwoord op Kamervragen van Forum voor Democratie.
De vragen werden ingediend naar aanleiding van uitspraken van EU-commissaris Henna Virkkunen over het omzeilen van online leeftijdsverificatie. Zij noemde VPN’s tijdens een persconferentie eind april weliswaar niet direct bij naam, maar de implicatie was duidelijk. Brussel wil dat EU-lidstaten snel een systeem invoeren waarmee gebruikers hun leeftijd online kunnen aantonen.
EU-leeftijdsverificatie-app klaar voor uitrol
De Europese Commissie heeft daarvoor een eigen app ontwikkeld, die inmiddels technisch gereed is. Virkkunen stelde tijdens de persconferentie dat de app klaar is voor uitrol door de EU-lidstaten en dat leeftijdsverificatie daarmee overal in de Unie gelijkgetrokken wordt. De app is los te gebruiken, maar kan ook worden geïntegreerd in de wallets voor de Europese digitale identiteit.
Brussel heeft daarbovenop aanbevelingen aangenomen om de uitrol van leeftijdsverificatietools te versnellen. Die beschrijven onder meer hoe lidstaten hun eigen apps interoperabel kunnen maken, zodat systemen uit verschillende landen met elkaar samenwerken. Ook werkt de Commissie aan een ‘Age Verification Scheme’: een lijst met gecertificeerde aanbieders die de leeftijd van burgers kunnen vaststellen.
Tijdens diezelfde persconferentie kreeg Virkkunen de vraag wat er gedaan wordt om te voorkomen dat mensen via een VPN de leeftijdsverificatie omzeilen. “Het is een belangrijk onderdeel van de volgende stappen om te kijken dat die niet wordt omzeild”, antwoordde zij. Verdere details gaf ze niet.
Kabinet wijst verbod af
FVD stelde op basis van die uitspraken Kamervragen, met de vraag of een VPN-verbod bespreekbaar is voor het kabinet. Maar staatssecretaris Aerdts plaatste de uitspraken van de commissaris eerst in perspectief. Virkkunen noemde VPN’s in haar persconferentie helemaal niet en stelde ook niet dat ze verboden moeten worden, zo schreef de staatssecretaris. De commissaris stelde alleen dat er gekeken wordt hoe omzeiling van leeftijdsverificatiemechanismen zo veel mogelijk kan worden voorkomen.
Over het standpunt van het kabinet liet Aerdts vervolgens geen onduidelijkheid bestaan. “Het kabinet is geen voorstander van het beperken dan wel verbieden van VPN’s, om daarmee eventuele omzeiling van een leeftijdsgrens te voorkomen”, schrijft ze in haar antwoord.
VPN-technologie heeft tal van legitieme toepassingen, zo benadrukt de staatssecretaris. Denk aan de beveiliging van bedrijfsnetwerken of het veilig verbinding maken via openbare wifi-netwerken. Aerdts omschrijft VPN’s als een belangrijke technologie voor het beveiligen van communicatie via het internet.
Hoe de Europese Commissie dan wel denkt de omzeiling via VPN’s aan te pakken, is vooralsnog onduidelijk. De aanbevelingen over de leeftijdsverificatie-app zijn inmiddels met de EU-lidstaten gedeeld en de uitrol is in gang gezet. Een concreet plan om VPN-gebruik te beperken heeft Brussel tot nu toe niet gepresenteerd.
In ander nieuws: Firefox 149 krijgt gratis ingebouwde VPN
Zakelijke afhankelijkheid van VPN-technologie
De politieke discussie in Brussel richt zich vooral op consumenten en het omzeilen van leeftijdsgrenzen. De impact van een eventueel VPN-verbod reikt echter veel verder. Voor het bedrijfsleven en de IT-sector is een VPN een cruciaal onderdeel van de netwerkinfrastructuur. Door de opkomst van hybride werken is de technologie bijvoorbeeld de standaardmethode om thuiswerkers veilig toegang te geven tot het bedrijfsnetwerk en interne applicaties, zonder deze open te stellen voor het publieke internet.
In sectoren met strikte compliance- of beveiligingseisen is de afhankelijkheid nog groter. Financiële instellingen gebruiken versleutelde verbindingen voor het transport van transactiegegevens tussen filialen en datacenters. Binnen de gezondheidszorg zijn VPN’s noodzakelijk om te voldoen aan de AVG bij het op afstand inzien van elektronische patiëntendossiers. Ook de vitale infrastructuur leunt op de technologie. In de energiesector gebruiken IT-beheerders en DevOps-engineers protocollen zoals IPsec en WireGuard voor veilige toegang tot operationele systemen.
Technische drempels voor handhaving
Een verbod of restrictie op VPN-gebruik is technisch complex. Voor een firewall of internetprovider is het filteren van ongewenst VPN-verkeer nagenoeg onmogelijk zonder legitiem verkeer te blokkeren. Het versleutelde netwerkverkeer van een consument die een geoblokkade omzeilt, is aan de buitenkant niet te onderscheiden van een medewerker die thuiswerkt.
Om commerciële VPN-diensten effectief te blokkeren, moeten providers ingrijpende technieken inzetten. Dan moet er gedacht worden aan grootschalige deep packet inspection of het blacklisten van complete IP-reeksen. Deze methoden zijn foutgevoelig, kunnen zakelijk netwerkverkeer verstoren en raken aan de privacy van internetgebruikers. Het standpunt van het kabinet sluit hiermee aan op de technische realiteit van de huidige netwerkinfrastructuur.