Eind november lekten de gegevens van ruim 120.000 Nederlandse kinderen en meer dan 100.000 Nederlandse ouders door een grote hack bij Vtech, een ontwikkelaar van computers en online diensten voor kinderen. En Vtech is lang niet het enige bedrijf dat laks omgaat met de gegevens van kinderen. 

De hack bij Vtech wordt inmiddels al het 'grootste datalek met betrekking tot kinderen’ genoemd. Wereldwijd lekten de namen, geslachten en geboortedata van 6,3 miljoen kinderen. Daar bovenop lekten ook de gegevens van bijna 5 miljoen ouders.

Vtech stak de hand direct in eigen boezem; de beveiliging van de database had beter kunnen zijn, gaf de ceo van het bedrijf al vrij snel toe. De totale omvang van het lek is echter nog altijd onduidelijk. Zo is het onzeker of er naast persoongegevens ook andere gegevens, zoals foto's zijn uitgelekt. 

Als het alleen bij de namen, geboortedata en geslachten is gebleven is er weinig dat de hackers zouden kunnen doen met de gegevens, stelt Remco Pijpers, expert op het gebied van kinderen en media voor Mijn Kind Online. Maar voor ouders betekent het lek wel een grote deuk in het vertrouwen. 

Dat het bedrijf de beveiliging niet op orde had, is symptomatisch voor deze markt, concludeert Pijpers. "Het is een moeilijke markt. Er gaat een hoop geld en energie zitten in het in de gunst vallen van de ouders."

Dat wil niet zeggen dat er geen enkele goede app te vinden is, nuanceert Pijpers. "Natuurlijk zijn er ook veel goede, veilige apps. En als je als ontwikkelaar de beveiliging goed op orde hebt kun je daar ook rijk mee worden. Maar er is vaak te weinig aandacht voor de veiligheid."

Onversleuteld

Pijpers deed vorig jaar al onderzoek naar de beveiliging bij apps voor kinderen. In het onderzoek werden tien populaire apps voor kinderen onder de loep genomen. Vier van de tien onderzochte apps bleken gegevens onversleuteld te versturen, wat betekent dat die data eenvoudig onderschept kan worden.

De meerderheid van de apps bleek bovendien niet over een knop te beschikken waarmee wordt doorverwezen naar de voorwaarden van de app. Die waren bovendien vaak in het Engels. De helft van de apps bleek ip-adressen te verzamelen, zes van de tien apps houdt zich het recht voor om e-mailadressen te verzamelen.

Wetgeving

Alle apps die in Nederland beschikbaar zijn moeten zich houden aan de Nederlandse wet, ook als zij in het buitenland zijn ontwikkeld. Volgens de Wet Bescherming Persoonsgegevens (WBP) moeten alle apps van tevoren toestemming vragen voor de diverse soorten gegevens die zij willen verzamelen.

In het geval van apps die specifiek bedoeld zijn voor kinderen moet de informatie bovendien op een simpele, begrijpelijke manier worden gepresenteerd. Ook moet er toestemming worden gevraagd aan de ouders voor het verzamelen persoonsgegevens.

“Er zijn zelfs kinderen die zelf wat bouwen; het is een ratjetoe aan elkaar.”
Marieke van Osch

Ondoorzichtig

Bij appontwikkelaars ontbreekt nog vaak het bewustzijn over hoe om te gaan met privacygevoelige gegevens, stelt Mary Berkhout, programmamanager Mediawijzer.net, een expertisecentrum dat de mediawijsheid onder kinderen en jongeren probeert te bevorderen.

"Veel ontwikkelaars bedenken pas na het ontwerpen van hun software dat ze te maken hebben met gevoelige informatie", aldus Berkhout.

Daar sluit Marieke van Osch van de website Eduapp zich bij aan. Eduapp rubriceert educatieve apps en is daarnaast een platform voor leraren om lesmateriaal met elkaar te delen.

"Het is een erg ondoorzichtige markt", zegt van Osch. "Er zijn veel leraren met wat technische vaardigheden die zelf apps bouwen, of mensen die prachtige apps bouwen zonder verstand van didactiek. Er zijn zelfs kinderen die zelf wat bouwen; het is een ratjetoe aan elkaar."

Mary Berkhout van Medawijzer.net is dan ook niet verrast door het datalek bij Vtech. "Dit is echt een typisch voorbeeld van een bedrijf dat over grote hoeveelheden data beschikt en niet realiseert wat daar allemaal bij komt kijken."

Volgens Berkhout zou er op opleidingen voor softwareontwikkelaars veel meer voorlichting worden gegeven over hoe om te gaan met dit soort gegevens.

Bedrieglijk eenvoudig

"Ik kan me goed voorstellen dat dit nog vaak misgaat", zegt Tim Pelgrim, technisch directeur van Yipyip, dat onder meer e-health- en educatieapps ontwikkelt.

Pelgrim test zelf ook wel eens hoe het zit met de beveiliging van andere apps. "Dan merk je dat het bedrieglijk eenvoudig is om bij de gegevens te komen."

Het versleutelen van data is volgens Pelgrim altijd een lastig punt. "Een animatie op een scherm zetten is vrij eenvoudig, maar het beveiligen van je gegevens is een heel ander verhaal. Bovendien zie je er aan de buitenkant niets van, maar het wel een extra investering."

Pelgrim merkt ook dat niet alle opdrachtgevers altijd op de hoogte zijn van de verschillende regels omtrent het opslaan van persoonlijke gegevens. "We hebben wel eens een klant gehad die wil dat we de burgerservicenummers van de gebruikers opslaan. Dat mag natuurlijk niet."

Op opleidingen voor programmeurs meer aandacht besteden aan beveiligingsmethoden is volgens hem echter geen oplossing. "Dit verandert zo snel. Als je van de opleiding komt, is het meeste alweer verouderd." Pelgrim ziet meer in een onafhankelijk keurmerk dat de beveiliging van apps onder de loep neemt.

“Er moet klip en klaar worden uitgelegd hoe het zit met de privacy; welke data wordt er opgeslagen, wat gebeurt daar precies mee? ”
Remco Pijpers

Voorwaarden lezen

Aanbieders van apps moeten volgens Remco Pijpers van Mijn Kind Online vooral veel duidelijker zijn in de informatie die zij geven. "Er moet klip en klaar worden uitgelegd hoe het zit met de privacy; welke data wordt er opgeslagen, wat gebeurt daar precies mee? Maar ouders krijgen nog steeds vaak nul op rekest."

Maar geen enkele ouder leest de voorwaarden van een app, stelt Marieke van Osch van de website Eduapp. "Niemand kijkt natuurlijk naar die voorwaarden. Mensen zouden hier bewuster mee kunnen omgaan. Onze generatie (de ouders, red.) is niet opgegroeid met het internet en doet vaak maar wat", stelt Van Osch. Vanuit de overheid zou er daarom wat haar betreft meer moeten gebeuren om meer bewustwording onder ouders te creëren.

Hoewel ook volgens Mary Berkhout van Mediawijzer.net nog veel kan gebeuren op het gebied van bewustwording, ligt de verantwoordelijkheid uiteindelijk niet bij ouders. "Het zou raar zijn als je als ouder maar moet gaan speuren. Het gaat hier om consumenten, de verantwoordelijkheid ligt bij de aanbieder."

Niet de laatste keer

Het datalek bij Vtech, beslist geen kleine speler, toont echter aan dat het niet alleen de kleine appontwikkelaars zijn waar het fout gaat. "Dit gaat nog wel een keer gebeuren", verwacht Berkhout dan ook.

Marieke van Osch van Eduapp deelt die vrees. "Bij bedrijven als Vtech zou je er van uit moeten kunnen gaan dat dit op orde is", aldus Van Osch. "Ik mag hopen dat bedrijven als Lego en Fisher-Price naar aanleiding hiervan nog even kijken naar hun eigen systemen."

Lees meer achtergrondverhalen in NUweekend