Innledning

29. april 2026 kunngjorde EU-kommisjonen at den foreløpig har funnet Meta i brudd med EUs Digital Services Act («DSA»), fordi selskapet gjør for lite for å hindre at barn under 13 år får tilgang til Facebook og Instagram.^{(1)https://ec.europa.eu/commission/presscorner/detail/en/ip_26_920} Samme uke kunngjorde den norske regjeringen at den vil legge frem et lovforslag om absolutt aldersgrense for sosiale medier innen utgangen av 2026.^{(2)https://www.regjeringen.no/no/aktuelt/loven-kommer-etter-planen-i-ar-slik-blir-aldersgrensen-for-sosiale-medier/id3157276/} Utviklingen er en del av en bredere internasjonal trend. Myndighetene stiller stadig strengere krav til alderskontroll og verifikasjon på sosiale medier, og Australia har allerede innført en lovfestet aldersgrense på 16 år. Samtidig reiser skjerpede krav til aldersverifikasjon grunnleggende spørsmål om teknologisk gjennomførbarhet, personvern, ytringsfrihet og digital inkludering.

Artikkelen gjennomgår det rettslige og praktiske landskapet for alderskontroll på sosiale medier, fra EU-regulering og nasjonale lovforslag til teknologiske løsninger, og drøfter hvilke implikasjoner den skjerpede reguleringen har for plattformer og rådgivere.

DSA og retningslinjer for alderskontroll

DSA artikkel 28 omhandler beskyttelse av mindreårige på nett og 1. ledd pålegger tilbydere av internettplattformer å iverksette «appropriate and proportionate measures» for å sikre en høy grad av personvern, trygghet og sikkerhet for mindreårige på tjenesten. Artikkel 28 nr. 2 forbyr annonser basert på profilering når plattformen «with reasonable certainty» vet at mottakeren er mindreårig.

For tilbydere av «Very Large Online Platforms» («VLOP-er») oppstiller DSA utvidede plikter. Artikkel 34 nr. 1 pålegger VLOP-er å identifisere, analysere og vurdere systematiske risikoer, herunder negative effekter på grunnleggende rettigheter, inkludert barns rettigheter, og på mindreåriges fysiske og psykiske helse.^{(3) DSA artikkel 34 nr. 1, bokstav b og d.} Artikkel 35 nr. 1 pålegger videre VLOP-ene å innføre rimelige, forholdsmessige og effektive risikoreduserende tiltak for å beskytte barns rettigheter, herunder aldersverifikasjon.^{(4)DSA artikkel 35 nr. 1, bokstav j.}

For å konkretisere hva som kreves for å oppfylle pliktene etter DSA artikkel 28 nr. 1, publiserte kommisjonen 14. juli 2025 egne retningslinjer for bestemmelsen.^{(5)EU (C/2025/5519).} Retningslinjene gjelder for alle tilbydere av internettplattformer som er tilgjengelige for mindreårige, med unntak av mikro- og småselskaper. Kommisjonen har presisert at en plattform anses som «tilgjengelig for mindreårige» selv om den har vilkår som forbyr mindreåriges bruk, så lenge plattformen ikke har iverksatt tilstrekkelig effektive tiltak som hindrer tilgang for denne gruppen.^{(6) Retningslinjene, underpunktene 5 til 8.}

Retningslinjene fremhever særlig effektiv alderskontroll som et sentralt tiltak under artikkel 28.^{(7)Retningslinjene, punkt 6.1 («Age assurance»)} Kommisjonen skiller mellom tre metoder for alderskontroll: selvdeklarasjon, aldersestimering og aldersverifikasjon. Selvdeklarasjon, dvs. at brukeren selv oppgir fødselsdato eller bekrefter å være over en viss alder, anses som hovedregel ikke som tilstrekkelig fordi metoden verken er nøyaktig eller robust.^{(8)Retningslinjene, underpunkt 52.} Aldersverifikasjon gjennom offisiell ID eller digital lommebok anses som den mest pålitelige metoden, og Kommisjonen anser det som et egnet og forholdsmessig tiltak særlig der tjenesten innebærer høy risiko for mindreårige.^{(9)Retningslinjene, underpunkt 37.} Uansett metode stiller retningslinjene krav om at teknologien skal være nøyaktig, pålitelig, robust mot omgåelse, ikke-inngripende og ikke-diskriminerende.^{(10)Retningslinjene, underpunkt 49-50.}

Kommisjonen legger opp til at alderskontrollen kan utføres gjennom tredjepart, men at dette må opplyses på en tilstrekkelig klar, og barnevennlig måte. Ansvaret for sikkerheten av metodene som utføres av tredjepart ligger hos plattformene.^{(11)Retningslinjene, underpunkt 53.}

Meta-saken

EU-kommisjonen har, med retningslinjene som målestokk, vurdert Metas overholdelse av DSA på plattformene Facebook og Instagram og funnet brudd på tre hovedgrunnlag:^{(12)https://ec.europa.eu/commission/presscorner/detail/en/ip_26_920}

Brudd på artikkel 28: Til tross for at Meta selv opererer med 13 års aldersgrense på begge plattformer, fant Kommisjonen at tiltakene for å håndheve aldersgrensen ikke er tilstrekkelig effektive. Slik plattformene fungerer i dag, kan mindreårige brukere enkelt opprette konto ved å oppgi falsk fødselsdato - uten at Meta fører noen ytterligere kontroll. Videre fant Kommisjonen at Metas rapporteringsverktøy for å melde inn brukere under 13 år er vanskelig å bruke og lite effektivt. Rapportering krever flere steg før brukeren kommer seg frem til rapporteringsskjemaet, og det er ingen garanti for at rapporterte kontoer faktisk blir stengt.

Brudd på artikkel 34: Både Facebook og Instagram kan betegnes som såkalte Very Large Online Platforms og er derfor underlagt kravet om risikovurdering etter DSA artikkel 34. Kommisjonen omtaler Metas risikovurdering som «incomplete and arbitrary». Vurderingene tar i for liten grad hensyn til dokumentert bruk av plattformene blant barn under 13 år. Kommisjonen viste blant annet til lett tilgjengelig statistikk som indikerer at om lag 10–12 % av barn under 13 år bruker Instagram og/eller Facebook, samt forskning som viser at yngre barn er særlig sårbare for potensielle skader fra sosiale medier.

Brudd på artikkel 35: Kommisjonen fant at de risikoreduserende tiltakene Meta har iverksatt ikke er effektive nok til å forhindre, avdekke og fjerne brukere under 13, eller til å motvirke og redusere risiko for at mindreårige utsettes for skade på plattformene.

Kommisjonen angir at Meta må endre risikovurderingsmetodikken og styrke tiltakene, og samtidig sikre et høyt nivå av personvern, sikkerhet og trygghet for mindreårige.

Meta har nå muligheten til å gjennomgå Kommisjonens dokumenter, komme med et skriftlig svar og iverksette tiltak for å utbedre de påståtte bruddene i henhold til retningslinjene. Samtidig vil European Board of Digital Services bli konsultert. De foreløpige funnene prejudiserer ikke endelig utfall, men dersom Kommisjonens funn bekreftes, kan den treffe en non-compliance-beslutning og dermed utløse bøter på inntil 6% av Metas globale årlige omsetning samt tvangsmulkt.

Kommisjonen har også varslet at etterforskingen mot Meta fortsetter. Det skal blant annet vurderes om plattformens grensesnittdesign utnytter mindreåriges sårbarhet og bidrar til avhengighetsskapende bruk eller kaninhull-effekter.

Det norske lovforslaget

Regjeringens første utkast til lov om aldersgrense i sosiale medier kan leses i høringsnotatet fra juli 2025.^{(13)Høringsnotat om forslag til lov om aldersgrenser for bruk av sosiale medier (sosiale medierloven), hentet her: https://www.regjeringen.no/contentassets/da5340ace79941afad938ab18985e042/horingsnotat-lov-om-aldersgrense-for-bruk-av-sosiale-medier.pdf} Opprinnelig ble det foreslått en aldersgrense på 15 år, men etter tilbakemeldinger fra høringsrunden skal aldersgrensen gjelde til 1. januar det året brukeren fyller 16 år, slik at hele skolekull får tilgang samtidig.^{(14)https://www.regjeringen.no/no/aktuelt/loven-kommer-etter-planen-i-ar-slik-blir-aldersgrensen-for-sosiale-medier/id3157276/} Loven skal ifølge notatet, pålegge tilbydere av sosiale medier å iverksette «nødvendige tiltak» for å sikre at de ikke tilbyr tjenestene til brukere de «med rimelig sikkerhet» er klar over at er under aldersgrensen. Tiltakene skal utformes slik at de ikke hindrer tilgang for personer over aldersgrensen og tilbyderne skal ikke innhente flere personopplysninger enn nødvendig for å verifisere alder.^{(15)Høringsnotatet, forslag til § 5.}

Forslaget legger samtidig opp til at departementet skal kunne fastsette nærmere krav til metode for aldersverifisering i forskrift. Ansvaret for overholdelse legges på tilbyderne, som kan ilegges tvangsmulkt og overtredelsesgebyr.^(16)Ibid.

En lov om felles absolutt aldersgrense markerer et viktig skille med DSA, som bygger på en risikobasert tilnærming der tiltakene skal tilpasses tjenestenes risiko og utforming. DSA er totalharmoniserende innenfor sitt område og inneholder ingen regler om absolutte aldersgrenser. Departementet har selv pekt på at nasjonale krav om aldersgrense og verifikasjon kan være i strid med DSA. Departementet erkjenner at forholdet til DSA og EØS-retten ikke er endelig avklart, men argumenterer for at DSA ikke uttrykkelig forbyr nasjonale aldersgrenser og at nasjonal lovgiving med andre formål enn DSA kan stå seg. Handlingsrommet skal avklares gjennom EØS-høring før lovforslaget fremmes.^{(17)Høringsnotatet, punkt 3.2.2.}

I tillegg kan en generell norsk aldersgrense utfordre etableringsprinsippet i e-handelsdirektivet. Norge kan som hovedregel ikke pålegge plattformer etablert i andre EØS-stater generelle krav gjennom nasjonal lovgivning. En norsk lov om aldersgrense vil derfor måtte spesifisere hvilke bestemte tjenesteplattformer som omfattes av aldersgrensen. Denne begrensningen kan skape risiko for omgåelse ved hurtig opprettelse av nye plattformer utenfor lovens lister.^{(18)Høringsnotatet, punkt 3.2.4.}

Loven kan også komme i konflikt med grunnleggende rettigheter som retten til ytrings- og informasjonsfrihet, retten til ikke-diskriminering, retten til privatliv og forsamlingsfriheten.^{(19)Høringsnotatet, punkt 3.1.}

Parallelt med dette lovarbeidet har Regjeringen også sendt på høring et forslag om heving av aldersgrensen i personopplysningsloven § 5 fra 13 til 15 år.^{(20)https://www.regjeringen.no/no/dokumenter/horing-endringer-i-personopplysningsloven-aldersgrense-for-barns-samtykke-ved-bruk-av-informasjonssamfunnstjenester-sosiale-medier-mv/id3114264/?expand=horingsnotater} Bestemmelsen regulerer fra hvilken alder barn selv kan gi samtykke til behandling av personopplysninger i forbindelse med bruk av informasjonssamfunnstjenester, herunder sosiale medier. Bestemmelsen fastsetter ikke en aldersgrense for bruk av slike tjenester som sådan, men avgjør når barnet selv, uten foreldres samtykke eller godkjenning, kan samtykke til at tilbyderen behandler barnets personopplysninger. Hevingen vil dermed innebære at det kreves foreldresamtykke for behandling av personopplysninger som skjer på grunnlag av samtykke også for barn i aldersgruppen 13 til 15 år. Hevingen er ment å skape sammenheng med det foreslåtte alderskravet i sosiale medierloven, slik at aldersgrensen for bruk og samtykke til behandling av personopplysninger følger hverandre.

Erfaringer fra Australia

Australia er foreløpig det eneste landet i verden med effektiv lovfestet aldersgrense for sosiale medier. Aldersgrensen ble innført gjennom «Online Safety Amendment (Social Media Minimum Age) Act 2024» («SMMA») og trådte i kraft i desember 2025. Den australske loven fastsetter 16 års aldersgrense for bestemte «age-restricted social media platforms» og den siste tiden har de første rapportene om lovens effekt rullet inn. Blant annet publiserte eSafety Commissioner - organet med hovedansvar for å følge opp og overvåke etterlevelsen av den australske loven - sin første «compliance update» på SMMA i mars 2026.^{(21)Social Media Minimum Age: Compliance update, hentet her: https://www.esafety.gov.au/sites/default/files/2026-03/SocialMediaMinimumAgeComplianceUpdateMarch2026.pdf?v=1774905032806}

Rapporten viser at om lag 5 millioner kontoer har blitt sperret, deaktivert eller begrenset, likevel oppga rundt 7 av 10 foreldre at barna fremdeles hadde konto på Facebook, Instagram, Snapchat og TikTok og omtrent 50% rapporterte at barna fremdeles hadde YouTube-konto.^{(22)Rapporten, s. 13.}

Rapporten viser også at enkelte plattformer lot brukere forsøke aldersverifikasjon flere ganger helt til systemet ga et «16+»- resultat. eSafety undersøkte samtidig om mindreårige migrerer til andre plattformer som faller utenfor lovens virkeområde. Rapporten viser at det per nå ikke skjer i større skala.^{(23)Rapporten, s. 29.}

Tekniske utfordringer ved aldersverifikasjon

En sentral utfordring ved håndheving av aldersgrensen er at det foreløpig ikke finnes noen sikker metode for aldersverifisering som samtidig er tilstrekkelig treffsikker, personvernvennlig og inkluderende.

Selvdeklarasjon er lett å omgå, mens biometriske løsninger og atferdsanalyse kan være både unøyaktige og gjøre inngrep i personvern. eID-løsninger som BankID er treffsikre og troverdige, men innebærer behandling av flere personopplysninger enn det som er nødvendig for å fastslå alder. Slike løsninger kan også virke ekskluderende for brukergrupper uten tilgang til nasjonal eID.

I praksis vil gjennomslaget for enhver regulering derfor avhenge av om det etableres aldersverifikasjonsløsninger som er tilstrekkelig robuste, men samtidig ivaretar dataminimering, personvern og digital inkludering.

Som et svar på disse utfordringene har EU-kommisjonen nå lansert en egen app for aldersverifikasjon.^{(24)https://commission.europa.eu/news-and-media/news/european-age-verification-app-keep-children-safe-online-2026-04-15_en} Appen skal gjøre det mulig å bekrefte om en bruker er over en bestemt alder uten å dele flere opplysninger enn nødvendig. Appen kan brukes som en frittstående løsning eller som en del av EUs digitale identitetslommebok. Appen lanseres innledningsvis i syv land som skal gå foran og teste, men kildekoden er åpen slik at ethvert privat selskap står fritt til å bruke den til å videreutvikle egne innovative løsninger.^{(25)https://ec.europa.eu/commission/presscorner/detail/en/statement_26_820}

Kort tid etter at EU annonserte at appen var «klar til bruk», ble det imidlertid hevdet at hackere kunne knekke den på to minutter.^{(26)https://www.tek.no/nyheter/nyhet/i/M75oxM/eu-lanserte-aldersjekk-app-hackere-knakk-den-paa-to-minutter?srsltid=AfmBOooLogvewe4Qd4hFJ2j17nOb6iVMAf4fWi2WNFXRHah44_AmaiX-} Foreløpig virker det dermed klart at appen krever ytterligere sikring før den kan anbefales som verifikasjonsløsning i stor skala.

Veien videre

Gjennomgangen har vist at kravene til alderskontroll på sosiale medier skjerpes gjennom DSAs risikobaserte tilnærming og nasjonale lovforslag om absolutte aldersgrenser. Spørsmålet fremover er ikke «om» plattformene må verifisere alder, men «hvordan» og med hvilke konsekvenser for personvern, ytringsfrihet og tilgang.

Dagens velbrukte løsning med selvdeklarasjon er klart på vei ut. For plattformer med aldersgrense innebærer utviklingen at effektiv alderskontroll må iverksettes og forankres i dokumenterte risikovurderinger og egnede tekniske løsninger. Erfaringene fra Australia viser at det ikke er noen automatikk i at en aldersgrense alene holder mindreårige ute fra sosiale medier. Effektiviteten avhenger av de tekniske løsningene som velges, og av plattformenes vilje til å tilpasse seg strenge krav til kontroll. I praksis vil gjennomslaget for enhver regulering derfor avhenge av om det etableres aldersverifikasjonsløsninger som er tilstrekkelig robuste, men samtidig ivaretar dataminimering, personvern og digital inkludering. Den europeiske digitale identitetslommeboken kan på sikt gi et mer standardisert rammeverk, men ligger fremdeles frem i tid.

Det norske forslaget er ambisiøst og rettslig uavklart på noen områder. For aktører som utvikler, tilbyr eller rådgir om digitale tjenester rettet mot norske brukere, bør utviklingen gi grunn til å gjennomgå krav til alderskontroll, personvern, ansvarsfordeling og etterlevelsesdokumentasjon allerede nå.