top of page
Zoeken

Eerst Teheran, daarna Moskou en straks Brussel.

  • Foto van schrijver: Thijs Jansen
    Thijs Jansen
  • 21 mei
  • 9 minuten om te lezen

In juli 2025 trad in het Verenigd Koninkrijk de Online Safety Act in werking, een wet die kinderen weg moest houden van pornografie en andere “schadelijke content.” Websites werden verplicht “robuust" te controleren of een bezoeker wel meerderjarig was. Eén van de toegestane methodes leek slim en privacy vriendelijk tegelijk: in plaats van je paspoort te uploaden, hield je gewoon even je gezicht voor de webcam, waarna een AI uit je gelaatstrekken je leeftijd schatte. Geen documenten, geen gedoe. Slechts eenmalig een selfie.


Tot de Britten ontdekten waar elke gezichtsscanner op stukloopt: hij controleert niet of er een echt mens voor de camera zit, alleen of er een volwassen gezicht in beeld is. Een screenshot van acteur Norman Reedus, hoofdpersoon uit het computerspel Death Stranding voor de camera houden volstond. Het algoritme zag een volwassen man, en de poort ging open. Een digitale avatar van een acteur was bestand tegen miljarden ponden aan compliance investeringen.


Internet Privacy onder vuur in de EU
Internet Privacy onder vuur in de EU

Een VPN kun je zien als een beveiligde tunnel voor je internetverkeer. Het zorgt ervoor dat websites en overheden minder makkelijk kunnen zien waar je bent, wat je doet of welke sites je bezoekt. Daardoor lijkt het alsof je internet vanuit een andere locatie komt, namelijk locatie van de server van de VPN-dienst in plaats van vanuit jouw eigen computer.


En een VPN is veel meer dan een handig trucje om een leeftijdspoortje te ontwijken. Stel je voor: een journalist in Iran die gevoelige informatie naar de buitenwereld wil doorspelen. Een dissident in China die bewijs van onderdrukking deelt zonder meteen opgepakt te worden. Een activist in Rusland die contact zoekt met familie in ballingschap. Zonder een VPN is dat bijna onmogelijk. Het versleutelt je verbinding, verbergt je IP-adres en maakt anonieme communicatie mogelijk. Voor journalisten is het onmisbaar om bronnen te beschermen. Voor wie onder een onderdrukkend regime leeft, is het een levenslijn naar de buitenwereld: nieuws lezen, hulp zoeken, bewijs delen, zonder dat de staat meekijkt. Het is, kortom, geen

luxe voor criminelen die anoniem willen of kinderen die een online spelletje willen spelen. Het is basisinfrastructuur voor een vrij internet.


De voor de hand liggende conclusie van het Britse fiasco zou zijn: misschien werkt onze leeftijdsverificatie niet zoals gehoopt. Echter de conclusie van de Britse en Europese beleidsmakers is een andere. De Children’s Commissioner for England pleit er inmiddels openlijk voor om VPN’s tot volwassenendienst te verklaren. In Brussel zegt Henna Virkkunen, Eurocommissaris voor Tech-soevereiniteit en Veiligheid, dat de Europese leeftijdsverificatie-app, gepland in alle 27 lidstaten tegen eind 2026, “ook moet kijken dat er niet omheen wordt gewerkt.” En in een briefing van het Europees Parlement van januari 2026 staat het al zwart

op wit: de herziene Europese Cybersecurity Act zal “waarschijnlijk maatregelen bevatten om te voorkomen dat VPN’s worden misbruikt om wettelijke bescherming te omzeilen.” Vertaald in gewoon Nederlands: Voor het eerst in de moderne Europese geschiedenis worden anonimiteitstools zelf een politiek doelwit.


We zijn op een glijdende schaal beland die gevaarlijker is dan veel mensen beseffen. Want we hebben deze film al gezien. Nog niet in Brussel, maar wel in Teheran, Moskou en Beijing.


Het handboek van het regime.


In Iran is een ongeoorloofde VPN sinds februari 2024 strafbaar met tot een jaar cel. Tijdens de Mahsa Amini-protesten werden WhatsApp en andere apps geblokkeerd. Begin 2026, na nieuwe protesten, lag het Iraanse internet wekenlang plat in de grootste shutdown ter wereld op dat moment. Committee to Protect Journalists telde sinds september 2022 minstens 96 gearresteerde Iraanse journalisten. Wie nog wist te berichten, deed dat dankzij een zwarte markt voor VPN’s. Voor hen is een VPN geen comfort voor wie Netflix in een ander land wil kijken. Het is het verschil tussen werken en zwijgen.


In Rusland liet de Federale Dienst voor Toezicht op Communicatie, Informatietechnologie en Massamedia, Roskomnadzor, sinds 2024 bijna honderd VPN-apps uit de app stores verwijderen, en in 2025 zakte het land naar zijn laagste positie ooit op de RSF-persvrijheidsindex. In China zijn enkel door de staat goedgekeurde, dus gemonitorde VPN’s toegestaan, afgeschermd door de Great Firewall. Turkije blokkeert tijdens protesten hele VPN-netwerken; de Verenigde Arabische Emiraten doen hetzelfde. In Noord-Korea, Belarus, Turkmenistan, Oman en Irak is een VPN ronduit illegaal.


Eén ding hebben al die regimes gemeen. Ze noemen hun VPN-aanpak nooit “een aanval op de pers en de burger.” Het heet “bescherming.” Tegen onzedelijke content, buitenlandse inmenging, terrorisme, drugs, of het kind. De bewoording van het verbod is overal dezelfde.


Ook Brussel wil beperkingen


Dit komt in Europa niet uit de lucht vallen. Jarenlang probeerde Brussel via "Chat Control", het voorstel om alle privéberichten, ook de versleutelde, automatisch te laten scannen op beelden van kindermisbruik, een bres in de encryptie te slaan. Het strandde keer op keer op verzet van privacy voorvechters en kritische lidstaten. Maar dezelfde drijfveer keerde telkens terug onder een nieuwe naam. In april 2025 lanceerde de Europese Commissie ProtectEU, het Brusselse veiligheidsplan dat expliciet de deuren opent naar strengere regulering van versleutelde en anonieme communicatiemiddelen.


In juni volgde een routekaart: tegen 2030 moeten ordediensten “rechtmatig” toegang hebben tot de versleutelde data van burgers. Onder de paraplu van het zogenaamde Going Dark-initiatief werken expertgroepen aan wetgeving die volgens de Commissie deze zomer wordt voorgesteld. Eén werkgroep buigt zich specifiek over data in transit. Lees: dus ook VPN-verkeer.


De ambitie is helder. Verplichte registratie van metadata, IP-adressen, tijdstempels, sessieduur, dataverbruik, door elke onlinedienst, VPN-aanbieders inbegrepen. Wie zijn bedrijf bouwt op de belofte “wij houden geen gegevens bij,” wordt daarmee de facto illegaal. Mullvad, een van de bekendste VPN- aanbieders zonder logbestanden, kondigde al aan in dat geval de Europese markt te verlaten. ProtonVPN noemde het voorstel een “cybersecurity-zelfmoordmissie.” En zij hebben een punt: hetzelfde Europa dat ons sinds NIS2, de Europese wet die strengere cyberbeveiliging verplicht voor essentiële bedrijven en infrastructuur, oproept om kritieke infrastructuur beter te beschermen, dwingt straks de tools die we daarvoor gebruiken om hun eigen verdediging af te breken. En vergeet niet VPN’s worden niet alleen gebruikt door journalisten en dissidenten, maar juist ook door bedrijven, ziekenhuizen, ambtenaren en infrastructuurbeheerders om veilig remote te werken. En een afbraak gaat daarmee in tegen de eigen Europese wetten.


Tegelijk wordt kinderbescherming de morele hefboom voor steeds verdergaande controle door Brussel. Op10 oktober 2025 ondertekenden vrijwel alle EU-lidstaten, plus Noorwegen en IJsland, de Jutland Declaration over de bescherming van minderjarigen online. Diezelfde dag opende de Commissie haar eerste DSA-onderzoeken naar Snapchat, YouTube, de Apple App Store en Google Play. Op 26 november 2025 nam het Europees Parlement een resolutie aan die pleit voor een Europese “digitale meerderjarigheid” van zestien jaar voor sociale media. Het is een term die nog niet bestaat in onze rechtsstaat, maar Brussel oefent vast.


Van bescherming naar controle.


En het is niet alleen Brussel. Buiten de EU gaat het zelfs sneller. In de Verenigde Staten werd Utah in maart 2026 de eerste staat die VPN’s expliciet in zijn leeftijdswet opnam: onder Senate Bill 73, sinds 6 mei van kracht, blijven websites aansprakelijk zelfs als een bezoeker zijn locatie met een VPN verbergt, en mogen ze niet eens uitleggen hoe zo’n VPN werkt. Dat de handhaving na een rechtszaak van Aylo, het moederbedrijf van onder andere Pornhub, alweer is uitgesteld tot september, tekent vooral hoe onwerkbaar de juridische knoop is. Zodra hier een uitspraak over is zal ik in een volgende column hier op terug komen.


En in Australië gingen ze nog verder en verbood sinds 10 december 2025 als eerste land ter wereld sociale media voor onder-zestienjarigen. Het resultaat? Helemaal niets! Een onderzoek toont aan dat ruim zestig procent van de tieners die eerder een account hadden, nog steeds toegang heeft. Wanneer beleid faalt, concludeert de overheid zelden dat het beleid verkeerd was. Ze concludeert meestal dat burgers nóg minder ruimte moeten krijgen om eraan te ontsnappen, de Australische gedragscodes breiden de leeftijdscontrole nu uit naar e-mail, games, zoekmachines en app stores. En als men al een e-mail, een

digitale brief, gaat verbieden voor jongeren mogen zij straks dan ook geen verjaardagskaartje meer ontvangen van hun grootouders?


Het ezeltje van de leeftijdsverificatie


Het is, zoals altijd, niet de eindbestemming die schokt, maar de glijdende schaal ernaartoe. En die verloopt overal volgens hetzelfde script. Eerst is het “alleen voor kinderbescherming.” Dan komt de bureaucratie: leeftijdsverificatie voor pornosites, dan voor sociale media, dan voor VPN’s, daarna om het nieuws te lezen. Aan het einde van de keten staat een digitale identiteitscontrole op elk hoekje van het web ,en de VPN waarmee je daar nog onderuit zou kunnen, hoort dan niet meer thuis in een rechtsstaat.


Privacy-activisten waarschuwen terecht dat dit anonimiteit en gegevensbescherming uitholt. Men probeert een grote groep te beschermen, maar zoals Ayn Rand al schreef: “The smallest minority on earth is the individual. Those who deny individual rights cannot claim to be defenders of minorities.” Wie het collectief boven het individu plaatst, ook onder het mom van bescherming, offert uiteindelijk de kleinste minderheid op die er bestaat: de burger met zijn recht op privacy en anonimiteit. En nogmaals denk niet alleen een kind in de UK die een online spelletje wil spelen, maar juist de dappere burgers en journalisten in Teheran en

Moskou die zich durven uit te spreken en ons voorzien van informatie we anders nooit zouden krijgen.


Bovendien faalt de aanpak op haar eigen criterium. In Frankrijk verplichtte een wet sinds januari 2025 leeftijdsverificatie op alle pornografische sites. Pornhub, een van de grootste ter wereld, blokkeerde uit protest zijn Franse site, en het VPN-gebruik schoot omhoog. Maar onderzoekers waarschuwen dat het verkeer deels verschoof naar kleinere, minder coöperatieve buitenlandse sites en naar sociale media, volgens diezelfde Europese briefing nog altijd een belangrijke toegangspoort tot zowel pornografie alsonline grooming. En in Denemarken heeft 94 procent van de kinderen een sociale media account vóór hun

dertiende, ondanks de leeftijdsgrens die platformen al jaren in hun voorwaarden hebben. Wie daar een digitale leeftijd van zestien op plakt, lost niets op. Hij verplaatst alleen de plek waar wordt gelogen. Daarnaast is elke centrale leeftijdsdatabase vroeg of laat een doelwit voor criminelen, buitenlandse inlichtingendiensten of datalekken.


Voor België en de rest van Europa is dat extra wrang. We hebben een open economie met een sterke traditie van persvrijheid en individuele rechten. Toch dreigen we mee te glijden in een model waarin de staat bepaalt wat “veilig” is en wie toegang krijgt tot informatie. Belgische journalisten, activisten, bedrijven en gewone burgers die privacy serieus nemen, betalen straks de rekening: hogere kosten, minder innovatie, en een internet dat steeds meer op een gecontroleerd intranet lijkt. Het Chinese eindstation, maar dan bereikt via de zachte weg van goede bedoelingen.


De levenslijn die we zelf afsnijden.


Datzelfde EPRS-document van januari dit jaar noemt VPN’s overigens expliciet hulpmiddelen die in autoritaire regimes “vrijheid van informatie en digitale inclusiviteit ondersteunen, omdat censuur via VPN-gebruik moeilijker afdwingbaar wordt.” In dezelfde briefing staat hoe de herziene Cybersecurity Act dat gebruik wil inperken en steeds meer ziet als een beleidsprobleem. Twee zinnen, één document, één paragraaf van elkaar. Wie wil weten hoe een glijdende schaal in slow motion ontstaat, moet die paragrafen in volgorde lezen. Het programma Emergency VPN van het softwarebedrijf Surfshark gaf sinds 2022 ongeveer honderd journalisten en activisten in negen landen gratis toegang om hun werk te blijven doen. Dezelfde tool die wij in Europa graag aanbieden aan een journalist in Teheran of Moskou, maken we in onze eigen wetgeving juridisch onleefbaar. Dat is geen detail, maar dat is ronduit morele kortsluiting.


De pijnlijke vraag is dus niet of deze maatregelen pedofielen of drugsdealers zullen vatten. Een paar misschien. De echte test ligt elders. Wat doen we als China de logbestanden van een Europese VPN-aanbieder opvraagt voor een Oeigoerse activist in Brussel? Wat doen we als een toekomstige Spaanse premier de connectie-data van een journalist opvraagt? Hoe leggen we aan een Iraanse dissidente uit dat de VPN waarmee zij vroeger werkte, in Europa nu illegaal is, omdat een Belgische tiener anders zonder identiteitsbewijs een online sportwedstrijd zou kunnen kijken?


De vraag is dus niet langer of we VPN’s nodig hebben. De vraag is of we nog genoeg vrijheid over hebben om ze te behouden. En de volgende keer dat de Europese Commissie het Iraanse regime veroordeelt voor het blokkeren van VPN’s, hoop ik oprecht dat er iemand in de zaal zit die haar even haar eigen herziene Cybersecurity Act aanreikt.


Beijing, Moskou en Teheran wisten het al jaren: wie burgers wil controleren begint niet met het verbieden van vrije meningsuiting, daar eindigt het mee. Het begint met het beperken van de middelen waarmee burgers met elkaar in contact blijven en onafhankelijk kunnen nadenken. Brussel is Teheran niet. Maar Brussel zet vandaag wél vrijwillig een stap in die richting, met de beste bedoelingen pontificaal op het voorhoofd geschreven: “de bescherming van kinderen”. Echter heeft de geschiedenis ons al vaak genoeg

bewezen dat the road to hell is paved with good intentions.


Thijs Jansen is een Nederlandse cybersecurity-expert met ervaring in dreigingsanalyse en digitale verdediging. Hij volgt het snijvlak van techniek en geopolitiek, met bijzondere aandacht voor de cyberoperaties van autoritaire regimes en andere buitenlandse actoren tegen Europese overheden, bedrijven en kritieke infrastructuur. Als overtuigd verdediger van individuele vrijheid en soevereiniteit combineert hij in zijn columns technische inzichten met strategische analyse om lezers bewust te maken van de verborgen digitale slagvelden die onze veiligheid en soevereiniteit beïnvloeden en de vele geopolitieke dimensies van cyber dreigingen.


Image Credits: Privecstasy via Unsplash






bottom of page