De kennisgeving landde bij één bedrijf
Op 16 juli 2026 opende Ofcom, de Britse communicatietoezichthouder, een formeel onderzoek naar de maatregelen voor leeftijdscontrole van TikTok Information Technologies UK Ltd. De verplichting in kwestie is section 12 van de Online Safety Act 2023, en die verplichtingen gelden sinds 25 juli 2025. Eén genoemde entiteit, één genoemde wettelijke bepaling, één toezichthouder die heeft besloten dat de informele fase voorbij is.
De maximale boete onder de wet bedraagt GBP 18 miljoen of 10% van de relevante wereldwijde omzet, welk bedrag het hoogst is. Voor een bedrijf van TikToks omvang telt de tweede variant, en de eerste - tegen de huidige koers ruwweg EUR 21 miljoen - is eerder een bodem dan een plafond. Ofcom heeft gezegd dat het verzamelen van bewijs minstens drie maanden duurt en dat er in oktober 2026 een update komt.
Gelezen als nieuwsbericht staat hier één platform onder de loep. Gelezen als signaal is het aanzienlijk breder, vanwege wat Ofcom ter discussie heeft gesteld.
De methode staat terecht
Ofcoms bezwaar is niet dat TikTok niets heeft gedaan. Het bezwaar is dat TikTok leunt op leeftijdsschatting - de leeftijd afleiden uit gedrags- en profielsignalen die de gebruiker toch al uitzendt - in plaats van op leeftijdsverificatie. Leeftijdsschatting staat uitdrukkelijk niet in Ofcoms richtsnoeren als methode die zeer doeltreffend kan zijn bij leeftijdscontrole.
Dat onderscheid is de hele zaak, en het houdt niet op bij één bedrijf. Een toezichthouder die een onderzoek opent op de premisse dat een techniek buiten zijn eigen lijst van aanvaardbare methoden valt, heeft de techniek zelf gewaarschuwd, niet alleen de zichtbaarste gebruiker ervan. Iedere exploitant van een op het Verenigd Koninkrijk gerichte dienst die voor schatting koos, draagt hetzelfde risico, zonder de krantenkop.
Het ongemakkelijke voor een bestuur is dat schatting er niet uitziet als een gat. Het ziet eruit als een controle. Het levert een leeftijd op, het legt een beslissing vast, en in een compliancestuk laat het zich beschrijven als een leeftijdscheck. Het standpunt van de toezichthouder is dat die beschrijving er nog geen leeftijdscheck van maakt.
Schatting werd gekozen omdat ze niets vraagt
Schatting werd de standaard om een commerciële reden, niet om een technische. Ze vereist geen upload van een document, veroorzaakt geen uitval bij aanmelding en levert geen gesprek op over biometrische toestemming dat aan gebruikers of aan een functionaris voor gegevensbescherming moet worden uitgelegd. Het is de leeftijdscheck die bovenaan de trechter niets kost.
Precies daarin schuilt het probleem. De eigenschap die schatting aantrekkelijk maakte, is de eigenschap die haar ontoereikend maakt: ze werkt doordat ze niets vraagt. Een methode die is gebouwd om wrijving te vermijden, is per constructie een methode die het moment vermijdt waarop een gebruiker iets toetsbaars beweert. Ofcoms richtsnoeren erkennen methoden die dat moment creëren. Schatting is ontworpen om het over te slaan.
De commerciële en de compliance-redenering wijzen dus in tegengestelde richting, en elke exploitant die die afweging in 2025 maakte, maakte haar voordat de toezichthouder zijn kaarten liet zien. Dat is geen beoordelingsfout. Het is een positie die nu op papier herzien moet worden.
De omzeilingsval
De tweede helft van het risico kwam dezelfde dag, van dezelfde toezichthouder. Ofcom publiceerde op 16 juli 2026 onderzoek waaruit blijkt dat het dagelijkse VPN-gebruik in het Verenigd Koninkrijk ongeveer is verdubbeld sinds de leeftijdsverplichtingen van kracht werden: circa 2,2 miljoen dagelijkse gebruikers, tegen circa 1,2 miljoen vóór 25 juli 2025. Gebruikers omzeilen de controles ongeveer twee keer zo vaak als voorheen.
De Britse technologieminister Liz Kendall zei dat VPN's niet aan een leeftijdsgrens worden onderworpen en niet worden verboden, en dat de last om omzeiling tegen te gaan bij de platforms ligt. Dat is een samenhangende beleidskeuze. Voor een exploitant is ze ook zwaar te verteren: het middel waarmee uw leeftijdspoort wordt omzeild valt buiten bereik, en u bent toch verantwoordelijk voor de uitkomst.
Zet je beide helften naast elkaar, dan is de nalevingspositie scherper dan ze op het eerste gezicht leest. Een platform kan aanspreekbaar zijn op een omzeilingspercentage dat het niet beheerst, met een verificatiemethode waarop het zich mogelijk niet mag baseren. Dat is niet wat "we hebben een leeftijdscheck toegevoegd" suggereert in een bestuursstuk.
Wat binnen het bereik valt en wat niet
Dit is Brits recht. Het is de UK Online Safety Act 2023, gehandhaafd door een Britse toezichthouder, en hij geldt niet in de EU. Het eigen werk van de EU rond kinderbescherming en leeftijdsverificatie loopt langs een apart spoor, en niets aan het TikTok-onderzoek verandert de juridische positie van een exploitant die alleen in de EU actief is.
Het bereik dat wél bijt is territoriaal, niet vennootschappelijk. Een exploitant die ergens in de EU is gevestigd en Britse gebruikers bedient, valt onder het Britse regime ongeacht de plaats van oprichting. En de categorie is breder dan sociale platforms: alcohol, kansspelen, cosmetica, messen, financiën, dating en gaming brengen allemaal leeftijdsgebonden inhoud, producten of functies op de Britse markt. Onze lezing, aangeboden als lezing en niet als recht, is dat de richting aan beide zijden van het Kanaal gedeeld wordt, en dat op schatting gebaseerde leeftijdscontrole de methode is die het eerst getoetst zal worden.
De actie is smal en concreet. Zoek uit op welke methode van leeftijdscontrole uw dienst vandaag werkelijk steunt, en of die er een is die Ofcoms richtsnoeren erkennen als potentieel zeer doeltreffend. "We hebben een leeftijdspoort" is geen antwoord op die vraag. Stel haar aan uw productteam vóór Ofcoms update van oktober 2026, want na die datum is het antwoord geen planningskwestie meer.
Lees hierna: De EU herschrijft de AVG | Duitsland heeft nu een aangewezen AI-toezichthouder



