Wat is Utah SB 73 en wanneer treedt het in werking?

Utah Senate Bill 73 — formeel de Online Age Verification Amendments — werd op 19 maart 2026 ondertekend door gouverneur Spencer Cox en de VPN-gerelateerde sectie treedt in werking op 6 mei 2026 . Het wetsvoorstel wijzigt Sectie 78B-3-1002 van Utah's bestaande wet voor online leeftijdsverificatie. Sectie 14 behandelt VPN-gebruik expliciet: gebruikers worden geacht een website te bezoeken vanuit Utah wanneer ze zich fysiek in de staat bevinden, ongeacht of ze verbinding maken via een VPN, proxyserver of een ander hulpmiddel om hun locatie te verbergen. Een aparte bepaling die een belasting van 2% oplegt op inkomsten uit online materiaal voor volwassenen treedt in werking in oktober 2026.

Verbiedt Utah SB 73 VPN's?

Nee — SB 73 gaat niet zo ver als een regelrecht VPN-verbod. In tegenstelling tot een vergelijkbaar voorstel in Wisconsin dat werd teruggeschroefd vanwege grondwettelijke bezwaren, gebruikt de wet van Utah wat de EFF beschrijft als een "don't ask, don't tell" -handhavingsmodel. Websites die "een aanzienlijk deel van materiaal dat schadelijk is voor minderjarigen" hosten, lopen aansprakelijkheid op als ze ontdekken dat een gebruiker zich fysiek in Utah bevindt en een VPN gebruikt, en het is hen verboden instructies te delen over hoe een VPN te gebruiken om leeftijdscontroles te omzeilen. Het gebruik van een VPN zelf blijft legaal voor inwoners van Utah; de wet legt de regelgevende last bij commerciële websites, niet bij individuele gebruikers.

Waarom verzetten groepen voor digitale rechten zich tegen de wet?

De Electronic Frontier Foundation, NordVPN, het Cato Institute en andere voorvechters van digitale rechten hebben drie kernbezwaren geuit. Ten eerste creëert de wet een "liability trap" : omdat geen enkele website betrouwbaar de werkelijke locatie van elke VPN-gebruiker kan detecteren, kunnen sites reageren door alle bekende VPN-IP-bereiken te blokkeren of door wereldwijd identiteitsachtige leeftijdsverificatie te eisen van elke bezoeker — inclusief gebruikers die niet in Utah wonen. Ten tweede roept het verbod op websites om waarheidsgetrouwe informatie over VPN's te delen First Amendment-zorgen op. Ten derde is de wet in de praktijk technisch niet handhaafbaar (daarover hieronder meer).

Zal SB 73 mensen daadwerkelijk weerhouden van VPN-gebruik?

Vrijwel zeker niet. Zoals de EFF opmerkt is het blokkeren van alle bekende VPN- en proxy-IP's een "technical whack-a-mole that likely no company can win" — aanbieders voegen voortdurend nieuwe IP-bereiken toe en er bestaat geen volledige blocklist. Gemotiveerde gebruikers stappen simpelweg over op niet-commerciële proxies, privé-cloudtunnel-opstellingen (bijvoorbeeld een zelfgehoste instance op AWS), of residentiële proxies die nauwelijks te onderscheiden zijn van gewoon thuisverkeer. De collateral damage valt in plaats daarvan op bedrijven, journalisten en slachtoffers van misbruik die voor reguliere gegevensbeveiliging vertrouwen op commerciële VPN's, terwijl een tech-savvy minderjarige op zoek naar materiaal voor volwassenen binnen enkele minuten een omleiding zal vinden.

Volgen andere staten het voorbeeld van Utah?

Ja — Utah is de eerste staat die dit type wet aanneemt, maar het patroon is wereldwijd. Wisconsin stelde vergelijkbare bepalingen voor en draaide deze terug onder druk. Florida, Missouri en Texas hebben al leeftijdsverificatiewetten ingevoerd die een piek in VPN-gebruik onder inwoners veroorzaakten. Internationaal heeft de Children's Commissioner van het UK VPN's een "loophole that needs closing" genoemd, en de Minister Delegate for Artificial Intelligence and Digital Affairs van Frankrijk noemde VPN's publiekelijk het "next topic" na het sociale-media-verbod voor kinderen onder de 15 in dat land. Australia en Indonesia hebben eveneens leeftijdsverificatieverplichtingen ingevoerd die soortgelijke pieken in VPN-adoptie veroorzaakten.

Hoe kunnen inwoners van Utah hun privacy beschermen in 2026?

De eenvoudigste route is een betrouwbare commerciële VPN met sterke obfuscation. Let op: een geverifieerd no-logs-beleid, ondersteuning voor het WireGuard-protocol (tunneling met lage latentie), obfuscated servers (zodat het VPN-verkeer niet triviaal te fingerprinten is) en een kill switch om te voorkomen dat je echte IP lekt als de verbinding wegvalt. Vermijd gratis VPN's volledig — die loggen en verkopen verkeerdata doorgaans, wat precies de privacyschade is die een VPN zou moeten voorkomen. Voor gebruikers die een vast exit-IP van een echte ISP nodig hebben (in plaats van rouleerende commerciële VPN-bereiken), geeft een Dedicated Residential IP-abonnement van een aanbieder zoals CometVPN je de privacyvoordelen van een VPN met een IP dat veel moeilijker te markeren en te blokkeren is voor sites.

Utah SB 73 uitgelegd: eerste Amerikaanse staatswet gericht op VPN's (mei 2026)

Vandaag, 6 mei 2026, wordt Utah de eerste Amerikaanse staat die VPN-gebruikers in het juridische vizier van een leeftijdsverificatiewet plaatst. Senate Bill 73 — formeel getiteld de Online Age Verification Amendments en op 19 maart 2026 ondertekend door gouverneur Spencer Cox — treedt vandaag in werking, en Sectie 14 verandert de relatie tussen inwoners van Utah, VPN-aanbieders en de websites die deze inwoners bezoeken fundamenteel.

Als je een inwoner van Utah bent die dit leest: de wet maakt jouw VPN niet illegaal. Maar het markeert wel het moment waarop wetgevers in de Verenigde Staten commerciële VPN's niet langer behandelen als de standaard privacytool die ze al twee decennia zijn — dagelijks gebruikt door bedrijven, journalisten, studenten op publieke wifi en iedereen die vanuit een koffiebar verbinding maakt met een banking-app — maar als een wettelijke maas die gedicht moet worden.

Hier is wat SB 73 daadwerkelijk doet, waarom voorvechters van digitale rechten van de Electronic Frontier Foundation tot NordVPN het een "liability trap" noemen, waarom het bijna zeker zijn beoogde doel niet zal halen, en wat het in 2026 betekent voor jouw privacy.

Wat Utah SB 73 daadwerkelijk doet

Het grootste deel van SB 73 gaat over een belasting van 2% op inkomsten uit online materiaal voor volwassenen (vanaf oktober 2026). De bepalingen die vandaag in werking treden, zijn anders — ze wijzigen Sectie 78B-3-1002 van Utah's bestaande wet voor online leeftijdsverificatie en richten zich expliciet op VPN-gebruik op twee manieren:

De locatie volgt het lichaam, niet het IP-adres. Onder de nieuwe wet wordt iemand geacht een website te bezoeken vanuit Utah als hij of zij fysiek aanwezig is in Utah, ongeacht of er een VPN, proxyserver of ander hulpmiddel wordt gebruikt om de geografische locatie te verbergen. Met andere woorden: zelfs als je IP-adres aangeeft dat je in Wyoming bent, behandelt de wet je als gebruiker uit Utah zodra je telefoon zich in Salt Lake City bevindt.
Websites krijgen een spreekverbod over VPN-informatie. Commerciële entiteiten die "een aanzienlijk deel van materiaal dat schadelijk is voor minderjarigen" hosten, mogen het gebruik van een VPN om leeftijdscontroles te omzeilen niet langer faciliteren of aanmoedigen. Dit omvat het publiceren van instructies over hoe je een VPN gebruikt — een formulering die zo breed is dat de EFF deze als een First Amendment-probleem aanmerkt.

De wet gaat niet zo ver dat hij VPN-gebruik zelf expliciet verbiedt. Er zijn geen boetes voor individuele inwoners van Utah die verbinding maken via een commerciële VPN. De juridische druk wordt direct op de websites gelegd — en daar begint de ellende.

De "liability trap" die privacyvoorvechters zorgen baart

Het grootste bezwaar van groepen voor digitale rechten is wat de EFF een liability trap noemt: onder SB 73 is een website verantwoordelijk voor het verifiëren van de leeftijd van elke gebruiker die zich fysiek in Utah bevindt, zelfs gebruikers die volgens de website ergens anders lijken te zijn. Aangezien geen enkele commerciële site de werkelijke geolocatie van elke VPN-gebruiker betrouwbaar kan detecteren, blijven er twee onaantrekkelijke opties over:

Elk bekend VPN-exit-IP blokkeren. Onderhoud een steeds groeiende blocklist, accepteer de collateral damage van valse positieven (legitieme VPN-gebruikende klanten die buitengesloten worden) en hoop dat je nieuwe IP-bereiken kunt bijbenen wanneer aanbieders deze rouleren.
Wereldwijd leeftijdsverificatie eisen van elke bezoeker. Behandel elke gebruiker alsof het een inwoner van Utah op een VPN zou kunnen zijn, en eis van iedereen leeftijdsbewijs op het niveau van een overheidsidentiteitsbewijs — inclusief de miljoenen mensen die niet in Utah wonen en niet onder de wet vallen.

Het beleidsteam van NordVPN noemde het exact zo — "a liability trap" — in commentaar aan TechRadar. Beide opties vergroten de impact van een staatswet tot een wereldwijd identiteitsverificatieregime, en beide leggen reële kosten op aan journalisten, slachtoffers van misbruik, zakenreizigers en gewone privacybewuste gebruikers die voor legitieme gegevensbeveiliging vertrouwen op commerciële VPN's.

Het First Amendment-probleem

De tweede bepaling — het spreekverbod voor websites om informatie te delen over VPN's — is het deel dat het meest waarschijnlijk een grondwettelijke uitdaging zal krijgen. SB 73 vraagt platforms onder de wet niet alleen om leeftijdscontroles af te dwingen; het verbiedt hen om hun gebruikers te vertellen over een volkomen legaal stuk software dat in de wereld bestaat.

De EFF, het Cato Institute en pleitbezorgers van vrije meningsuiting wijzen erop dat dit waarheidsgetrouwe, niet-misleidende uitspraken over een legaal privacy-instrument beperkt. Zoals het Cato Institute het verwoordde: "Wanneer een internetbeleid kan worden omzeild door een vrij algemene technologie die vaak aanzienlijke privacy- en beveiligingsvoordelen biedt, is het beleid misschien wel het probleem."

Werkt SB 73 in de praktijk? De technische realiteit

Het korte antwoord is nee. Het langere antwoord is dat zelfs gedeeltelijk succes een niveau van fingerprinting op netwerkniveau zou vereisen dat geen enkele staat kan afdwingen en geen enkele website-exploitant kan leveren. Dit is wat gemotiveerde gebruikers zullen doen — binnen enkele uren na de inwerkingtreding van de wet, niet binnen maanden:

Migreren naar residentiële proxies. Residentiële proxies routeren via echte consumenten-ISP-IP's die niet te onderscheiden zijn van gewoon thuisverkeer. Ze bestaan al jaren voor legitieme webscraping, advertentieverificatie en merkbescherming — en ze omzeilen blocklists van commerciële VPN's moeiteloos, omdat ze niet op die lijsten staan.
Privé-cloudtunnels opzetten. Een VPS van 5 dollar per maand op AWS, DigitalOcean of Hetzner met WireGuard geeft een technisch onderlegde gebruiker een persoonlijk VPN-exit-IP dat geen enkele blocklist ooit zal vangen — want het is een enkel IP dat gisteren niet bestond en nooit in een commercieel VPN-bereik zal verschijnen.
Tor of zelf gehoste Shadowsocks/V2Ray gebruiken. Open-source obfuscatietools, ontwikkeld voor inwoners van landen met strikte internetcontroles, verslaan al veel geavanceerdere detectie dan wat het wetsvoorstel uit Utah voor ogen heeft.

De collateral damage valt op de gewone inwoner van Utah die alleen zijn bankverkeer versleuteld wil hebben op de wifi van een hotel — niet op de technisch gemotiveerde minderjarige tegen wie de wet zou moeten beschermen. Zoals de EFF opmerkte: "deze bepalingen zullen een tech-savvy tiener niet tegenhouden, maar ze zullen zeker invloed hebben op de privacy van elke gewone inwoner van Utah die simpelweg zijn data uit de handen van databrokers of kwaadwillenden wil houden."

Utah staat niet alleen — het wereldwijde beeld in 2026

SB 73 is het Amerikaanse hoogtepunt, maar het maakt deel uit van een wereldwijd patroon waarin overheden reageren op de toename van VPN-gebruik die elke leeftijdsverificatieverplichting volgt. Het verhaal heeft zich de afgelopen drie jaar in meer dan een dozijn jurisdicties op dezelfde manier afgespeeld:

Amerikaanse staten met leeftijdsverificatiewetten die VPN-pieken veroorzaakten: Florida, Missouri, Texas, Utah (sinds 2023), Louisiana, Mississippi, Virginia, Tennessee, North Carolina, Idaho en andere — Utah is nu de eerste die terugslaat tegen de toename van VPN-gebruik door zich op het instrument zelf te richten.
Wisconsin: Stelde vergelijkbare op VPN's gerichte taal voor; voorvechters dwongen de verwijdering ervan succesvol af op grond van grondwettelijke en technische bezwaren. Utah zette door, ondanks dezelfde bezwaren.
UK: De Children's Commissioner beschreef VPN's publiekelijk als "a loophole that needs closing" nadat de Online Safety Act een enorme piek in VPN-adoptie veroorzaakte.
France: De Minister Delegate for Artificial Intelligence and Digital Affairs noemde VPN's het "next topic" op de regelgevingsagenda nadat het land een verbod op sociale media voor kinderen onder de 15 invoerde.
Australia, Indonesia: Beide hebben leeftijdsverificatiewetten ingevoerd die VPN-piekgebruik veroorzaakten, met regelgevende vervolgstappen in actieve discussie.

Het patroon is consistent: het beleid creëert de vraag naar het instrument, vervolgens keert het beleid zich tegen het instrument. Of SB 73 standhoudt bij juridische uitdagingen of stilletjes wordt teruggedraaid zoals de versie van Wisconsin, is een van de belangrijkste Amerikaanse internetbeleidsverhalen van 2026.

Wat dit betekent voor inwoners van Utah

Als je in Utah woont en vandaag een VPN gebruikt om dezelfde redenen als de meeste mensen — bankieren op publieke wifi, op afstand werken vanuit koffiebars, werk- en privéaccounts gescheiden houden, jezelf beschermen tegen doxing, of simpelweg niet willen dat je ISP elke site die je bezoekt logt — is niets van je dagelijkse VPN-gebruik illegaal onder SB 73. De wet richt zich op websites, niet op gebruikers.

Wat verandert, is de ervaring van het gebruik van een VPN om bepaalde sites te bezoeken:

Sommige sites voor volwassenen kunnen nu al het VPN-verkeer blokkeren. Als een site beslist dat het veiligere nalevingspad is om elk VPN-IP dat het kan herkennen te bannen, krijg je CAPTCHA-muren of harde blokkades te zien, ook als je in Utah woont en de VPN voor legitieme redenen gebruikt.
Sommige sites kunnen wereldwijd leeftijdsverificatie eisen. Als zij in plaats daarvan kiezen voor het pad "verifieer iedereen", zie je leeftijdsverificatieprompts op het niveau van een overheidsidentiteitsbewijs die een week geleden niet bestonden — ook bij sites die duidelijk geen materiaal voor volwassenen bevatten.
Je zult minder informatie zien over VPN's op platforms die onder de wet vallen. Het spreekverbod betekent dat tutorials, aanbevelingen en zelfs basisuitleg over VPN's kunnen verdwijnen van sites die opereren onder de nalevingsparaplu van SB 73.

Hoe je in 2026 je privacy beschermt (op legitieme wijze)

Wat je standpunt over leeftijdsverificatiebeleid ook is, de technische vraag — "hoe houd ik mijn normale internetverkeer privé en veilig in 2026" — heeft hetzelfde antwoord als een week geleden. Kies een betrouwbare commerciële VPN met deze eigenschappen:

Geverifieerd no-logs-beleid met onafhankelijke auditrapporten die je kunt lezen.
Ondersteuning voor het WireGuard-protocol (lage latentie, moderne cryptografie).
Obfuscated servers zodat het VPN-verkeer zelf geen vingerafdruk krijgt.
Kill switch om te voorkomen dat je echte IP-adres lekt als de tunnel wegvalt.
Jurisdictie buiten de inlichtingenalliantie 14 Eyes — Panama, de Britse Maagdeneilanden en Zwitserland zijn gangbaar.

Voor gebruikers die een stap verder willen gaan dan commerciële VPN-pools — vooral inwoners van Utah die verwachten in blocklists van commerciële VPN's terecht te komen op sites die de strengste SB 73-naleving hanteren — geeft een Dedicated Residential IP-abonnement van een aanbieder zoals CometVPN je een vast exit-IP van een echte ISP dat eruitziet als een gewone thuisaansluiting en niet voorkomt op blocklists van commerciële VPN's. CometVPN draait op WireGuard, beschikt over een kill switch, levert obfuscated servers, is gevestigd in Panama en begint vanaf 1,89 dollar per maand op het tweejarige abonnement, met de Dedicated Residential IP als toevoeging beschikbaar.

Power users die fijnmazigere controle nodig hebben — bijvoorbeeld voor browse-automatisering, multi-account workflows of scraping — kunnen ook residentiële proxies gebruiken van MarsProxies of IPRoyal, die een echte ISP-IP-oorsprong leveren vergelijkbaar met een Dedicated Residential VPN-niveau, maar dan met routering per applicatie.

Het grotere plaatje

VPN's zijn in de kern de instrumenten die het moderne privacybewuste internet mogelijk maken. Ze aanvallen — of het nu via Utah's spreekverbod-liability-trap is, het Britse "loophole"-frame of de "next topic"-agenda van Frankrijk — is fundamenteel een aanval op de architectuur die journalisten, zakenreizigers, slachtoffers van misbruik en gewone gebruikers beschermt die simpelweg niet willen dat hun data aan de hoogste bieder wordt verkocht.

SB 73 is de eerste Amerikaanse staatswet die die stap zet. Waarschijnlijk wordt het niet de laatste. De regelgevingsvraag voor de rest van 2026 is of de juridische uitdagingen, technische workarounds en publieke tegenstand voldoende zullen zijn om die trend te vertragen — of dat de volgende ronde leeftijdsverificatiewetten op staatsniveau het draaiboek van Utah woord voor woord zal kopiëren.

Voor nu staat 6 mei 2026 in de boeken als de dag waarop de Verenigde Staten een grens overschreden. We blijven volgen wat er nu gebeurt.

Bronnen: Electronic Frontier Foundation, Utah Legislature SB 73 enrolled text, TechRadar / NordVPN, Tom's Hardware, CyberInsider, Cato Institute.

Utah SB 73: De eerste Amerikaanse wet gericht op VPN-gebruikers treedt in werking op 6 mei 2026

Wat Utah SB 73 daadwerkelijk doet

De "liability trap" die privacyvoorvechters zorgen baart

Het First Amendment-probleem

Werkt SB 73 in de praktijk? De technische realiteit

Utah staat niet alleen — het wereldwijde beeld in 2026

Wat dit betekent voor inwoners van Utah

Hoe je in 2026 je privacy beschermt (op legitieme wijze)

Het grotere plaatje

Veelgestelde vragen

Aanbevolen VPN

Aanbevolen proxy

Hoe je xHamster-leeftijdsverificatie omzeilt: werkende methodes voor 2026