Scholen zijn dol op mooie foto’s, of het nu gaat om een uitstapje naar een kasteel, een prijsuitreiking voor een wetenschapswedstrijd of een sportdag die vanuit drie hoeken is vastgelegd. Al twintig jaar lang worden dit soort feestelijke foto’s rechtstreeks op schoolwebsites geplaatst, voorzien van een bijschrift met de naam en de klas van de leerling. Maar die tijd is voorbij, want we zitten in 2026 en het internet is niet meer wat het geweest is.
Zoals The Guardian als eerste meldde, dringen deskundigen er nu bij scholen op aan om die foto’s te verwijderen. Volgens het Britse National Crime Agency, de Internet Watch Foundation en een adviesorgaan genaamd de Early Warning Working Group (EWWG) hebben afpersers gewone schoolfoto’s verzameld, deze door deepfake gehaald om materiaal met seksueel misbruik van kinderen (CSAM) te vervaardigen, en vervolgens geld geëist om de beelden offline te houden.
Eén school, 150 afbeeldingen
Eind vorig jaar hebben cybercriminelen contact opgenomen met een niet nader genoemde middelbare school in het Verenigd Koninkrijk met die eis. De IWF heeft 150 van de betreffende afbeeldingen volgens de Britse wetgeving aangemerkt als CSAM en voor elke afbeelding digitale vingerafdrukken gegenereerd, zodat grote platforms heruploads konden blokkeren.
De IWF noemt de naam van de school of de politiedienst niet, en is van mening dat dit geen op zichzelf staand geval was. De EWWG zegt dat het „slechts een kwestie van tijd“ is voordat meer scholen met soortgelijke eisen worden geconfronteerd.
De Britse minister voor kinderbescherming, Jess Phillips, noemde het een „zeer zorgwekkende opkomende dreiging“. In februari 2025 werd het Verenigd Koninkrijk het eerste land dat AI-tools verbood die specifiek zijn ontworpen om CSAM te genereren.
Hoe we hier terecht zijn gekomen
Deze dreiging is niet van de ene op de andere dag ontstaan en blijft niet beperkt tot het Verenigd Koninkrijk. Het is een verdere ontwikkeling van een al lang bestaande dreiging: sextortion, waarbij iemand intieme beelden gebruikt om je te chanteren. Vroeger was sextortion gebaseerd op echte intieme beelden die waren gestolen of gedeeld, maar deepfake heeft alles veranderd.
Het Internet Crime Complaint Center (IC3) van de FBI heeft in de eerste helft van 2021 meer dan 16.000 aangiften van sextorsie geregistreerd, waarbij de schade op meer dan 8 miljoen dollar uitkwam. In juni 2023 waarschuwde de FBI dat de werkwijze was veranderd: aanvallers gebruikten gewone foto’s van sociale media om valse expliciete afbeeldingen te maken en minderjarigen te chanteren.
De Britse hulplijn voor kinderen, Childline, heeft soortgelijke veranderingen waargenomen nu deepfake steeds toegankelijker worden. De organisatie registreert al jaarlijks veel gevallen van sextoratie, vaak van kinderen die zijn gemanipuleerd om intieme foto’s van zichzelf te delen. Nu krijgt de organisatie telefoontjes van kinderen die zonder enig voorafgaand contact deepfake van zichzelf ontvangen waarin ze deepfake .
Een 15-jarig meisje kreeg bijvoorbeeld een „heel overtuigende“ nepaaktfoto toegestuurd die was samengesteld uit haar Instagram .
Volgens het IWF was het aantal meldingen van door AI gegenereerd CSAM in november 2025 meer dan verdubbeld ten opzichte van een jaar eerder, van 199 naar 426. Meisjes vormden 94% van de slachtoffers. Volgens de organisatie betrof het bij de gemelde gevallen kinderen in de leeftijd van pasgeborenen tot tweejarigen.
Het ecosysteem rond deze tools is van industriële aard. In april 2025 ontdekte een onderzoeker een openbaar toegankelijke AWS S3-opslagplaats van de Zuid-Koreaanse ‘nudify’-app GenNomis, die 93.485 door AI gegenereerde afbeeldingen bevatte, samen met de prompts waarmee ze waren gemaakt.
Wat de scholen te horen krijgen
De EWWG adviseert om close-ups en foto’s waarop personen herkenbaar zijn te vervangen door foto’s die van een afstand zijn genomen, wazige foto’s of foto’s die van achteren zijn genomen. Daarnaast adviseert de EWWG scholen om volledige namen uit bijschriften te verwijderen, bestaande afbeeldingen te controleren en ouders te vragen de toestemmingsformulieren opnieuw te ondertekenen.
Het rapport raadt scholen zelfs aan om zich af te vragen of het überhaupt nodig is om foto’s van kinderen online te plaatsen.
Sommige scholen hebben al maatregelen genomen. Volgens The Guardian heeft de Loughborough Schools Foundation, een groep van drie particuliere scholen die één website delen, vorig jaar alle foto’s waarop leerlingen herkenbaar waren volledig verwijderd.
Het Britse Information Commissioner’s Office (ICO) stelt dat het „over het algemeen nog steeds verwacht dat je ouders de mogelijkheid biedt om zich af te melden“ wanneer je een foto publiceert waarop een kind herkenbaar is, maar benadrukt dat dit juridisch gezien niet hetzelfde is als toestemming, waarvoor strengere eisen gelden.
In de VS ligt de situatie wat minder eenduidig, aangezien staten daar vaak hun eigen wetgeving inzake de privacy van leerlingen hebben. In grote lijnen geldt echter dat scholen, op grond van de Family Educational Rights and Privacy (FERPA), foto’s waarop leerlingen herkenbaar zijn doorgaans onderbrengen in de categorie ‘directory information’. Deze categorie omvat ook naam, adres, telefoonnummer, geboortedatum en -plaats, deelname aan officieel erkende activiteiten en sporten, en aanwezigheidsgegevens.
Op grond van de FERPA mogen scholen dit soort informatie openbaar maken, tenzij de voogd van het kind daar uitdrukkelijk bezwaar tegen maakt. Ze moeten de voogd op de hoogte stellen wanneer ze de informatie willen openbaar maken, maar deze procedure geldt mogelijk niet voor onbepaalde tijd nadat een leerling de school heeft verlaten.
Dat betekent dat foto’s en gegevens van leerlingen nog lang online kunnen blijven staan, ook al denken gezinnen dat deze al lang verdwenen zijn.
Wat gebeurt er nu?
In het Verenigd Koninkrijk kunnen kinderen via de dienst ‘Report Remove’ van Childline expliciete foto’s of video’s van zichzelf die online zijn geplaatst, melden. De dienst ontving vorig jaar 394 meldingen van chantage door minderjarigen, een stijging van een derde ten opzichte van 2024.
Ondertussen werkt de Britse regering aan een wijziging van de wet inzake criminaliteit en politieoptreden, waardoor platforms worden verplicht om gemelde intieme beelden binnen 48 uur te verwijderen, op straffe van boetes ter hoogte van 10% van hun wereldwijde omzet.
We verwachten een wedloop tussen toezichthouders en cybercriminelen die gebruikmaken van AI. Op dit moment moeten aanvallers de foto’s nog zelf handmatig opsporen. De zorg is dat dit proces binnenkort geautomatiseerd zou kunnen worden, waardoor criminelen op grote schaal namen en foto’s van schoolwebsites en sociale mediaplatforms kunnen verzamelen.
Voor ouders is de eenvoudigste manier om hun kinderen te beschermen wellicht het beperken van het aantal foto’s waarop hun kinderen herkenbaar zijn en die online te vinden zijn. Dat betekent dat u niet alleen alert moet zijn op de school van uw kind, maar ook op sportclubs, buitenschoolse activiteiten en sociale media-accounts.
