Regjeringen har varslet 16-årsgrense på sosiale medier neste år, og tech-gigantene må sjekke alderen din. Spørsmålet er ikke lenger om vi skal verifisere alder på nett, det er hvordan. Og her risikerer Norge å gå i den samme fellen som EU nettopp gikk i.
Den politiske retningen er tydelig. Regjeringen vil innføre aldersgrense på sosiale medier, og ansvaret for kontroll legges på plattformene selv. Samtidig diskuteres tilsvarende krav på andre områder som pornografi, gambling og alkohol på nett. Det gjelder både i Norge og i resten av Europa.
Det er bred politisk enighet om at noe må gjøres. Men når intensjonen blir til konkret regulering, står vi igjen med et teknisk spørsmål som er langt vanskeligere enn det høres ut: Hvordan beviser man alder på nett, uten å samle inn personopplysninger, uten å overvåke barn og uten at løsningen kan omgås av en 14-åring med mobiltelefon?
I april lanserte EU-kommisjonen sin egen app for aldersverifisering. Det er foreløpig en pilot for det som skal bli et felles europeisk system. Tanken er god: Et nullkunnskapsbevis (zero-knowledge proof) som bare svarer ja eller nei på om brukeren er over et bestemt alderstrinn, uten å dele identitet eller fødselsdato med tjenesten.
I praksis tok det ikke lang tid før sikkerhetsforskere og kryptografieksperter fant måter å omgå appen på. Det er en påminnelse om en grunnregel i sikkerhetsbransjen: Å bygge ny, kritisk identitetsinfrastruktur fra bunnen er vanskelig. Det tar år å modnes, og man arver ikke automatisk tilliten som ligger i etablerte systemer.
Norge har et system
Det som er paradoksalt, er at Norge og Norden allerede har den teknologien som trengs. BankID brukes av rundt 4,3 millioner nordmenn. Den er klassifisert som Level of Assurance High under EUs eIDAS 2.0-rammeverk, som er det høyeste sikkerhetsnivået europeisk regulering opererer med. Tilsvarende har Danmark (MitID), Sverige (BankID) og Finland (FTN).
Det betyr at Norge ikke trenger å vente på en ny EU-app og ikke behøver å bygge noe parallelt fra grunnen. Den underliggende identitetsinfrastrukturen er på plass, den er regulatorisk anerkjent, og den er noe nordmenn allerede stoler på og bruker daglig.
Hvorfor må du da fortsatt oppgi fødselsdato manuelt på mange norske nettsteder med aldersgrense? Hvorfor finnes det fortsatt SoMe-tjenester som godtar et avkrysningsfelt med teksten «jeg er over 18»?
Svaret er at det er et gap mellom hva teknologien tillater, og hva som faktisk er tatt i bruk. Selv om eID-infrastrukturen finnes, er det fortsatt teknisk arbeid å koble den på hver enkelt tjeneste. Det må også gjøres på en måte som er personvernvennlig, kostnadseffektiv og rask nok til at en virksomhet eller organisasjon kan implementere det uten et halvårs IT-prosjekt.
Det er her det reelle hinderet ligger. Ikke i fravær av teknologi, men i tempoet og kostnaden ved å ta den i bruk i bredden.
Slik bør det fungere
En riktig utformet løsning trenger ikke overvåke hva barn og unge gjør på nett. Den trenger ikke samle inn flere personopplysninger enn nødvendig. Tre prinsipper bør være ufravikelige:
For det første: Minimering. Tjenesten du besøker, skal ikke få vite hvem du er eller når du er født. Det skal kun handle om et ja eller nei på om du oppfyller alderskravet.
For det andre: Anerkjent identitet. Beviset skal stamme fra en eID på høyeste sikkerhetsnivå (LoA High), ikke fra et selfie-foto, et opplastet ID-dokument eller et passord brukeren selv har valgt.
For det tredje: Ingen sentralisert logging. Det skal ikke bygges nye registre over hvilke nettsteder en person har åpnet, eller hvor ofte. Et personvernvennlig design følger naturlig når man bygger på eksisterende eID med nullkunnskapsbeviser, fremfor å bygge nye sentrale databaser.
Trenger ikke vente
Når 16-årsgrensen skal omsettes til praksis, vil tre valg avgjøre om Norge ender opp med en løsning som faktisk virker:
1. Krev eID-basert verifisering på LoA High. Lav- og mellomnivåløsninger – sjølerklæringer, bilde-ID, kredittkortverifisering – er for lette å omgå og gir falsk trygghet.
2. Bygg på eksisterende eID-infrastruktur. BankID (NO), MitID (DK) og BankID-SE er alt regulatorisk anerkjent under eIDAS 2.0. Å utvikle parallelle nasjonale apper er sløsing med tid og tillit.
3. Sett krav til nullkunnskapsbevis og dataminimering. Tjenesten skal kun få svar på alder, ikke navn, fødselsdato eller annen identifiserende informasjon. Dette må være forskriftsfestet.
EU brukte over ett år på å utvikle en aldersverifiseringsapp som ble knekt på dager. Norge trenger ikke gå den veien. Vi trenger ikke en ny app, et nytt register eller et nytt nasjonalt system.
Vi kan bare ta i bruk det vi allerede har og som faktisk holder den standarden eIDAS 2.0 krever. Det er en politisk beslutning. Den kan tas nå.
Utlendinger vil gjerne lagre data i Norge
