Meta faalt in bescherming van kinderen op Instagram en Facebook

Meta heeft weinig gedaan om te voorkomen dat kinderen jonger dan 13 jaar toegang krijgen tot Instagram en Facebook. Dit is de voorlopige conclusie van de analyse van de Europese Commissie naar de Amerikaanse techgigant, die daarmee in strijd is bevonden met de Digital Services Act (DSA), de belangrijkste EU-wetgeving voor onlineplatforms.

Dit besluit volgt op een formeel onderzoek dat in mei 2024 is gestart naar de activiteiten van Instagram en Facebook. De toezichthouders concluderen dat de huidige systemen van Meta de risico's die gepaard gaan met de toegang van kinderen tot deze diensten niet effectief identificeren of beperken. Ondanks het beleid van Meta waarin wordt vereist dat gebruikers ten minste 13 jaar oud moeten zijn, constateerde de Commissie dat deze beperkingen gemakkelijk kunnen worden omzeild. Uit gegevens blijkt dat momenteel tussen de 10% en 12% van de kinderen jonger dan 13 jaar actief is op deze platforms.

“De DSA verplicht platforms om hun eigen regels te handhaven: algemene voorwaarden mogen niet louter schriftelijke verklaringen zijn, maar moeten de basis vormen voor concrete maatregelen ter bescherming van gebruikers – inclusief kinderen”, aldus Henna Virkkunen, uitvoerend vicevoorzitter voor technologische soevereiniteit, veiligheid en democratie, in een verklaring.

De structurele tekortkomingen van Meta

Momenteel vertrouwt Meta voor leeftijdsverificatie sterk op zelfverklaringen van gebruikers. Gebruikers voeren simpelweg een geboortedatum in, een proces dat toezichthouders als ondoeltreffend beschouwen omdat het geen degelijke verificatiecontroles kent. Bovendien zijn de meldingsmechanismen die bedoeld zijn om accounts van minderjarigen te signaleren, te complex en voor de gemiddelde gebruiker onvindbaar. De Commissie merkte op dat een gebruiker tot wel zeven keer moet klikken om een minderjarige op het platform te melden. Deze drempel ontmoedigt gebruikers om de veiligheidstools te gebruiken die Meta beweert aan te bieden.

Hoewel Meta beweert te hebben geïnvesteerd in meer dan 50 tools en beleidsmaatregelen om jonge gebruikers te beschermen, acht de Commissie deze inspanningen ontoereikend binnen het huidige regelgevingskader. De kloof tussen Meta's zelfgerapporteerde naleving en de realiteit van toegang door minderjarigen vormt een centraal punt in het geschil. Regelgevers eisen een verschuiving van gemakkelijk te omzeilen systemen naar strengere, privacybeschermende methoden. Deze kritische blik dwingt tot een heroverweging van de manier waarop sociale-mediabedrijven de toegangspunten tot hun digitale omgevingen beheren en zorgt ervoor dat veiligheidsmaatregelen functioneel zijn in plaats van louter voor de show.

Om tekortkomingen in de leeftijdsverificatie aan te pakken, heeft de Europese Commissie onlangs een technisch ontwerp voor een gestandaardiseerde leeftijdsverificatie-app geïntroduceerd. Deze tool maakt gebruik van zero-knowledge proofs, een cryptografische methode waarmee gebruikers kunnen aantonen dat ze aan een leeftijdsvereiste voldoen zonder hun werkelijke geboortedatum of identiteitsdocumenten te delen.

Waar gaat de DSA over?

De DSA vormt de juridische basis voor deze handhavingsmaatregel. De wet voorziet in een uniforme reeks regels voor de hele Europese Unie om een veilige en transparante onlineomgeving te waarborgen. Op grond van de DSA worden platforms met meer dan 45 miljoen maandelijkse actieve gebruikers in de EU aangemerkt als zeer grote onlineplatforms (VLOP’s). Deze entiteiten, waaronder Instagram en Facebook van Meta, worden onderworpen aan het hoogste niveau van toezicht en moeten zich houden aan strikte verplichtingen op het gebied van risicobeheer.

De wet verbiedt gerichte reclame voor minderjarigen en verbiedt het gebruik van dark patterns die het gedrag van gebruikers manipuleren. Ook verplicht de wet platforms om jaarlijks risicobeoordelingen uit te voeren om mogelijke schade aan grondrechten en het publieke debat in kaart te brengen. De Europese Commissie handhaaft deze regels voor VLOP's rechtstreeks om strategische autonomie te behouden en Europese burgers te beschermen tegen systemische digitale bedreigingen.

Een precedent scheppen

De financiële gevolgen voor Meta zijn aanzienlijk. De Commissie heeft aangegeven dat zij haar onderzoek zal voortzetten. Mocht de Europese wetgever een definitief besluit tot niet-naleving nemen, dan kan Meta boetes krijgen die oplopen tot 6% van zijn totale wereldwijde jaaromzet. Dit betekent een risico van meerdere miljarden dollars voor de socialemediagigant.

Meta heeft nu de gelegenheid om de onderzoeksdossiers in te zien en een formeel schriftelijk antwoord in te dienen op de voorlopige bevindingen. Het bedrijf zal waarschijnlijk nieuwe maatregelen en technische aanpassingen voorstellen om de maximale boetes te vermijden. Na het antwoord van Meta zal de Commissie overleggen met de Europese Raad voor digitale diensten alvorens tot een definitief oordeel te komen. Deze zaak zal een precedent scheppen voor de manier waarop de DSA wordt toegepast op andere wereldwijde technologiebedrijven.