Leeftijdsverificatie online: Spaanse toezichthouder legt forse boete op aan YOTI

    - - / 21 april 2026

    De roep om effectieve leeftijdsverificatie online wordt steeds luider. Maar hoe ver mag je gaan bij het controleren van iemands leeftijd? De Spaanse privacytoezichthouder (hierna: AEPD) legde onlangs een boete van €950.000 op aan leeftijdsverificatiedienst YOTI. Een interessante zaak, vooral vanwege de vraag: wanneer verwerk je nu eigenlijk biometrische persoonsgegevens?

    De opkomst van online leeftijdsverificatie

    Van volwassenensites, sociale media, online winkels tot gamingplatforms: steeds meer diensten moeten of willen de leeftijd van hun gebruikers verifiëren. De traditionele methode met een simpele checkbox van "Ik ben 18+” volstaat niet meer. Wetgevers en toezichthouders eisen robuustere oplossingen.

    Hier springen diensten als YOTI op in. Dit Britse bedrijf biedt verschillende methoden voor leeftijdsverificatie aan. Denk daarbij aan leeftijdsschatting op basis van facial age estimation, verificatie via identiteitsdocumenten, controle via creditcard, verificatie via mobiel nummer en database-checks. Klinkt handig, maar de AEPD zag serieuze problemen met de manier waarop YOTI omgaat met persoonsgegevens.

    Wat ging er mis bij YOTI?

    AEPD startte een onderzoek naar YOTI's 'Digital ID App' en constateerde drie overtredingen op grond van de AVG. Voor de onrechtmatige verwerking van biometrische persoonsgegevens in strijd met artikel 9 AVG kreeg YOTI een boete van €500.000. Daarnaast werd een boete van €200.000 opgelegd voor het verkrijgen van ongeldige toestemming in strijd met artikel 7 AVG. Tot slot kreeg het bedrijf €250.000 opgelegd voor het overschrijden van bewaartermijnen in strijd met artikel 5 AVG. In dit blog zullen we voornamelijk inzoomen op de meest interessante overtreding: de verwerking van biometrische persoonsgegevens.

    Wanneer zijn gezichtsgegevens 'biometrisch'?

    De AVG definieert biometrische gegevens als persoonsgegevens die voortkomen uit specifieke technische verwerking van fysieke, fysiologische of gedragsgerelateerde kenmerken van een natuurlijke persoon én die de eenduidige identificatie van een natuurlijke persoon mogelijk maken of bevestigen. Die tweede voorwaarde is essentieel. Niet elke verwerking van een gezichtsfoto levert automatisch biometrische persoonsgegevens op. Bepalend is niet wat je zegt te willen doen, maar of je systeem identificatie mogelijk maakt.

    YOTI stelde dat zij geen biometrische persoonsgegevens verwerkte in de zin van artikel 9 AVG. Hun redenering was dat zij gezichtsscans niet gebruikten om personen te identificeren, maar uitsluitend om de leeftijd van de gebruiker in te schatten en om te controleren of het identiteitsdocument bij die gebruiker hoort.

    De AEPD was het hier niet mee eens. Volgens de toezichthouder erkent YOTI zelf zowel in het registratieproces als in de privacyverklaring dat de gezichtsscan wordt gebruikt om de identificatie van de gebruiker te verifiëren. De AEPD oordeelt dat YOTI wel degelijk een biometrisch gezichtspatroon aanmaakt met als doel de gebruiker eenduidig te identificeren. Daarmee vallen de persoonsgegevens onder de bijzondere categorieën van artikel 9 AVG, waarvoor een algemeen verwerkingsverbod geldt.

    YOTI kon daarbij niet aantonen dat een van de uitzonderingen uit artikel 9 lid 2 AVG van toepassing was. De uitdrukkelijke toestemming die YOTI meende te hebben verkregen, was bovendien ongeldig omdat deze werd verkregen via vooraf aangevinkte vakjes.

    De dunne lijn tussen leeftijdsschatting en identificatie

    Hier wordt het interessant voor de praktijk. Er bestaat een belangrijk verschil tussen leeftijdsschatting en leeftijdsverificatie met identificatie. Bij leeftijdsschatting beoordeelt een systeem op basis van gezichtskenmerken een leeftijd zonder de gebruiker te identificeren. Als dit anoniem gebeurt en geen biometrisch profiel wordt opgeslagen, valt dit mogelijk buiten artikel 9 AVG. Bij leeftijdsverificatie met identificatie daarentegen maakt een systeem een biometrisch profiel aan om te verifiëren dat dezelfde persoon terugkeert, of om een koppeling te maken met een identiteitsdocument. Dit valt volgens de AEPD wél onder artikel 9 AVG.

    Het probleem bij YOTI is dat beide functies worden gecombineerd. Bij het aanmaken van een YOTI-account moet de gebruiker eerst zijn leeftijd opgeven. De app maakt vervolgens een sjabloon van de biometrische persoonsgegevens aan, dat wordt gebruikt om de gebruiker bij terugkeer te herkennen én om te verifiëren of geüploade identiteitsdocumenten bij dezelfde persoon horen.

    Extra verzwarende omstandigheden

    De AEPD woog in haar besluit ook mee dat minderjarigen de primaire doelgroep vormen, aangezien de app juist bedoeld is om leeftijd te verifiëren en dus veel door jongeren gebruikt zal worden. Ook stelde de AEPD dat YOTI nalatig handelde door te ontkennen dat zij bijzondere categorieën persoonsgegevens verwerkte, terwijl dit wel uit hun eigen documentatie bleek.

    YOTI gaat in hoger beroep tegen boetebesluit AEPD

    YOTI heeft aangegeven tegen dit besluit in beroep te gaan. Het bedrijf kan binnen één maand een bezwaarschrift indienen bij de AEPD zelf, of binnen twee maanden rechtstreeks beroep instellen bij de Spaanse Kamer van de Juridisch Administratieve Rechtbank van het Nationaal Hooggerechtshof.

    Lessen voor de praktijk

    Voor aanbieders van leeftijdsverificatie is het van cruciaal belang om te bepalen of hun systeem daadwerkelijk identificeert:

    • Maakt het systeem een biometrisch profiel met het oog op identificatie? Dan worden biometrische persoonsgegevens verwerkt in de zin van artikel 9 AVG.

    • Vind een geldige uitzondering op het verbod van artikel 9 AVG; als wordt uitgegaan van toestemming, moet dit uitdrukkelijke toestemming zijn die aan alle AVG-eisen voldoet.

    • Bij minderjarigen wegen de waarborgen zwaarder; het vereiste van uitdrukkelijke toestemming is extra strikt.

    • Minimaliseer bewaartermijnen; de AEPD oordeelde in de YOTI-zaak dat persoonsgegevens te lang werden bewaard.

    • Verwijder biometrische persoonsgegevens zo snel mogelijk, bij voorkeur direct na afronding van de verificatie.

    • Waarborg transparantie: communiceer duidelijk dat biometrische persoonsgegevens worden verwerkt en met welk doel.

    Conclusie

    De YOTI-zaak illustreert de spanning tussen de maatschappelijke wens voor effectieve leeftijdsverificatie en de privacyrechtelijke grenzen daaraan. Gezichtsherkenning en leeftijdsschatting kunnen krachtige tools zijn, maar zodra een biometrisch profiel wordt aangemaakt voor identificatiedoeleinden, wordt het terrein van de bijzondere categorieën persoonsgegevens betreden.

    De boodschap van de AEPD is duidelijk: het feit dat een maatschappelijk nuttige dienst wordt geleverd, ontslaat niet van de plicht om de privacyregels strikt na te leven. Zeker niet wanneer de doelgroep voor een groot deel uit minderjarigen bestaat.

    YOTI heeft zes maanden de tijd gekregen om aan te tonen dat hun verwerkingen voldoen aan de AVG. Hoe YOTI en andere aanbieders hun diensten aanpassen en wat een eventueel hoger beroep betekent voor de uitleg van "biometrische gegevens" zal de komende tijd blijken.

    Heb je vragen na het lezen van dit blog? Neem dan contact met ons op.

    Neem contact op
    Terug naar overzicht

    Anthony Tang

    Legal Counsel
    Lees meer
    CTA - Data & privacy

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    AI & algoritmes
    Data & privacy
    Security
    ICT-contracten
    Zorg & ICT
    Ons team
    Vacatures
    Werving en Selectie
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram