Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 46 reacties

VTech, de maker van elektronisch speelgoed, heeft in zijn algemene voorwaarden opgenomen dat gebruikers erkennen dat informatie die ze via de Learning Lodge-portaal sturen onderschept kan worden. Daarmee probeert het onlangs gehackte bedrijf de verantwoordelijkheid af te schuiven.

In de Engelstalige algemene voorwaarden van VTech staat dat gebruikers zelf verantwoordelijk zijn voor gebruik van de site, van VTech-software en van firmware. "Je erkent dat informatie die verzonden of ontvangen wordt tijdens het gebruik van de site, niet veilig is en onderschept kan worden en later gebruikt kan worden door ongeautoriseerde partijen", luidt de betreffende zinsnede over de beveiliging. Als gebruikers met de voorwaarden instemmen, zouden ze akkoord gaan dat VTech niet aansprakelijk gesteld kan worden bij schade, 'tot zover de wet dit toelaat', aldus de tekst.

Volgens de Nederlandse Wet bescherming persoonsgegevens zijn bedrijven echter verplicht passende technische en organisatorische maatregelen te nemen als ze persoonsgegevens verwerken. In de Nederlandse privacyverklaring voor vtechnl claimt VTech dat de servers waarop persoonsgegevens staan "beveiligd zijn tegen enig onwettig gebruik door derden, zoals de wijziging van gegevens". Maar ook hier staat de passage: "Door ons uw persoonsgegevens online te verstrekken, accepteert u het risico dat derden deze gegevens kunnen onderscheppen, misbruiken of wijzigen." Aangezien het een privacyverklaring betreft kunnen bedrijven zoals VTech geen juridisch bindende toezeggingen doen, zo verduidelijkte ict-jurist Arnoud Engelfriet al eerder.

De aanpassing van de algemene voorwaarden werd door een Twitter-gebruiker kenbaar gemaakt aan blogger Troy Hunt, die betoogt dat de voorwaarden van het bedrijf absurd zijn, aangezien VTech ook de markt voor huisbeveiliging met monitoringapparatuur gaat betreden.

VTech kwam in november in het nieuws vanwege een omvangrijke hack waarbij gegevens van meer dan 11 miljoen mensen, waaronder 6,4 miljoen kinderen, gemoeid waren. Naast naam- en adresgegevens ging het om foto's en chatlogs. Het ging om een enkele hacker die nadien werd opgepakt en die relatief eenvoudig de systemen kon binnendringen.

Moderatie-faq Wijzig weergave

Reacties (46)

Ligt het aan mij of is dit absoluut geen vrijwaring voor Vtech? Ik accepteer ook een risico als ik de auto in stap; Maar als er vervolgens iemand tegen mij aanrijd is dat geen vrijwaring van hun schuld.
Om de analogie door te trekken: Als Vtech uitwijkt voor een andere auto (mr H. Akker) die moedwillig een gevaarlijke situatie veroorzaakt, en daarbij mij raakt, blijft de schuld bij Vtech. Als Vtech dan schadeloos gesteld wilt worden, mag hij dat regelen met de andere auto.
Dat ligt niet aan jou. De verwoording van hun vrijwaring beperkt het zelfs (althans zoals ik het lees) tot de overdracht van de gegevens tussen het eindproduct en hun servers. In geval hun servers gehackt worden (zoals waarvoor ze in het nieuws zijn gekomen), hangen ze nog steeds (en terecht).
Ik snap de keuze voor deze wijziging in de voorwaarden in meerdere opzichten niet.
Er zijn altijd mensen die het ding van a tot z lezen dus als je opeens zoiets als dit aanpast lekt dat gewoon uit. Vervolgens schaad dat je imago en gerechtelijk heb je er volgens mij helemaal geen drol aan. Allemaal dingen die je van te voren weet.

Je bent als bedrijf gewoon verantwoordelijk voor deugdelijk beveiliging van je infra en kan dat niet af doen met één of andere luie clausule. Zou mooie boel worden.
Jij moet een lek tegenover de relevante autoriteiten toch echt iets beter kunnen uitleggen dan een simpele voorwaarde in je gebruikersbeleid om onder represailles uit te komen.

Even afgezien van het feit de adequate versleuteling van gegevens vaak geringe of zelfs überhaupt geen kosten met zich meebrengt buiten gebruikelijk personele kosten voor implementatie en onderhoud die je toch al hebt.
Je kan het dus ook gewoon niet fatsoenlijk uitleggen aan je klanten waarom je daar zo laks mee om gaat.

[Reactie gewijzigd door Alpha Bootis op 10 februari 2016 12:41]

Hier moeten we niet veel woorden aan vuil maken. Gewoon geen V-Tech spul meer kopen. Dan draaien ze vanzelf wel bij. Of niet...
Ik zal zeker geen producten meer van ze kopen, maar ik ga er wel degelijk woorden aan vuil maken om zo veel mogelijk mensen van producten van deze nare lui weg te houden.
Foscam, ook zo'n mooi Chinees bedrijf waarvan vele mensen bijvoorbeeld een babycam hebben, voert ook een dergelijk wonderlijk privacybeleid.
Ben blij dat het hier in Nederland relatief goed geregeld is!
Nu mocht men SO veel beslissen, maar een babycam kwam er niet in. Zowel om prive redenen als om het feit dat die amper beveiligd zijn.
Ondanks dat mensen zitten te haten is dit dit het enige juiste om te doen. Als zelfs de directeur van de fbi of meerdere banken worden gehacked dan kan je als bedrijf niet garanderen dat deze gegevens in andere handen vallen. Het enige wat VTech anders doet is dat ze doodeerlijk zijn over de veiligheid van hun dienst. Alle andere bedrijven zouden deze stelling in hun voorwaarden op moeten nemen.

Het zal ze echter wettelijk niet ontslaan van de plicht om de gegevens redelijk te beveiligen.

[Reactie gewijzigd door SpiceWorm op 9 februari 2016 17:09]

Als je de gegevens kan stelen door een wat ik vernomen heb redelijk makkelijke sql injectie is dat wel iets anders dan de beveiliging bij de fbi.
Zeker weten?
Voor zover ik begreep, was dat ook een redelijk eenvoudige hack, in de vorm van:
"meneer heet zo, zijn dochter is op die-en-die dag geboren, hoppa, naam + paswoord -> binnen"
Ik denk niet dat ze genoeg tijd hadden om 11 miljoen mensen op deze manier te hacken ;) . Overigens wel jammer dat er op deze manier met consumenten wordt omgegaan.
Het gaat hier niet om een geavanceerde gerichte aanval. Het gaat hier om VTech die het nalaat om basis-beveiligingstechnieken toe te passen, en meerdere lekken en fouten (nog steeds!) heeft waarvan we inmiddels al twintig jaar weten dat het een verschrikkelijk slecht idee is.

Dit is nalatigheid, geen "foutje" of "oversight".
Dat snap ik, daarom zeg ik ook dat ze met dat zinnetje niet gevrijwaard zijn van een redelijke beveiliging.

Maar ook goed beveiligde clubs kunnen geen garantie geven.
triest om op deze manier de verantwoordelijkheid af te schuiven...terwijl ze natuurlijk wel verantwoordelijk zijn!

[Reactie gewijzigd door bArAbAtsbB op 9 februari 2016 16:53]

Nog triester dat ze het een Privacy 'verklaring' noemen terwijl het een privacy disclaimer voor (wan)beleid is.
Als de verantwoordelijkheid bij de eindgebruiker ligt , moeten ze ook toestaan dat de eindgebruiker zelf beveiliging aambrengt en de systemen onderhoudt :p
Is niet bij 100% van de hardware met een internetconnectie mogelijk dat data wordt onderschept?
Ik kan me haast niet voorstellen dat er 100% veilige hardware is MET een internetconnectie.
Het is waar dat 100% van de informatie kan worden onderschept.
De vraag is echter: Wat kan men met de onderschepte informatie? Als de informatie goed beveiligd is, dan zal de "dief" de beveiliging moeten omzeilen.

Het is in feite te vergelijken met een fiets.
Als je helemaal geen sloten plaatst, wordt je fiets uiteraard zonder moeite gestolen.
Als je 1 simpele slot plaatst, kan een dief er nog steeds met relatief weinig moeite je fiets stelen. Met meer sloten wordt het al wat lastiger en al helemaal als het van die complexe sloten zijn.

Uit dit artikel maak ik op dat VTech in principe niet wil investeren en de gebruikers alle verantwoordelijkheden wil laten nemen. Dit komt neer op een simpele slot: ze voorzien wel in een beveiliging, maar ze staan niet in voor de veiligheid daarvan.
Sterker nog: het onafgesloten achterlaten van een fiets is in veel gemeenten verboden via de APV.
Het kan ze wellicht extra ammunitie bieden als ze daadwerkelijk de gang naar de rechter moeten maken. Die moet zich dan eerst eindeloos buigen over de vraag of dit inderdaad wel of niet mag (+ hoger beroep en cassatie en alles). Daarna komt pas aan bod (want ze weten wel dat ze het gaan verliezen) wat de schade en de schadevergoeding zal zijn.

Deze aanpassing is een kwestie van een langere adem proberen te krijgen.
Het levert inderdaad extra ammunitie op voor het CBP (tegenwoordig AP) en gedupeerden. Het is nu al weer wat makkelijker te bewijzen dat VTech willens en wetens de beveiliging van privacygevoelige informatie niet op een deugdelijke wijze wenst te regelen.
wat voor een onduidelijke titel is dit nu weer?
Valt toch wel mee, eenzelfde situatie kan op de AH of Jumbo toegepast worden.

"Supermarkt wil dat consument erkent dat er producten over de datum zijn"
Dat is het einde van klachten dat er iets verkeerds gekocht wordt, en er mensen ziek worden van oude kipfilet.

Ik ben niet snel verontwaardigd, maar dit is wel héél kinderachtig.
De producten die juist voor kleinere kinderen worden ontwikkeld, met zelfs een market er achter, zouden gewoon duidelijk en veilig moeten zijn.
Veel ouders hebben zelfs nog niet het inzicht op de apparatuur, die kopen zo'n webcam als speeltje voor de kids.
Dan zou de beveiliging optimaal moeten zijn, en niet via een hack op het bedrijfsnetwerk open en bloot moeten komen .... dat zou de schuld van de ouders worden ?

Als ik tegen een boom rij, is dat MIJN schuld, niet die van Renault.
Maar als mijn remmen weigeren omdat er een softwarefout is, dan ligt dat wel degelijk bij de fabrikant.
Een tekstje in de voorwaarden "uw remmen kunnen onveilig zijn, door onzorgvuldigheid onze kant" zal het niet lang volhouden in een rechtzaak
Er is niets onduidelijk aan, er namelijk staat precies wat er aan de hand is. Je vindt het misschien onduidelijk omdat je het niet op deze manier had verwacht. Vond ik eerst ook, maar toen las ik het artikel. Zou je ook eens moeten doen ;)
Heb ik gedaan, maar ben er niet mee akkoord :-)

Fabrikanten zijn verantwoordelijk.
Ook winkels zijn verantwoordelijk voor het uit de rekken halen van producten die over datum zijn.
Volgens mij hadden we het over de titel, niet over wie jij vindt die verantwoordelijk is. De titel is nochtans correct: VTech wil dat gebruikers hen vrijwaren door te laten erkennen dat gegevens bij VTech niet veilig staan opgeslagen.

Als in het nieuws komt dat Pietje vindt dat 2+2 gelijk is aan 5, dan is de kop: "Pietje stelt 2+2 gelijk aan 5". Of de stelling van Pietje ook klopt is daarbij irrelevant, de titel is namelijk gewoon waar: Pietje stelt dat inderdaad. Dat is het nieuws. Dus dat is de kop.

[Reactie gewijzigd door .oisyn op 10 februari 2016 11:18]

CBP moet hier dus duidelijk optreden. Wat zijn ze dan precies aan het doen? Een paar ton boete in het vooruitzicht stellen en zelfs Facebook werkt mee, datzelfde kunnen ze ook prima doen bij VTech.
Da's cool! Zo kan je als bedrijf enorm op beveiliging besparen, je hoeft alleen maar een regeltje in je algemene voorwaarden op te nemen!
[/sarcasm]
Ik zou eigelijk best wel een reactie willen zien van een Bart Smit of een andere grotere speelgoed winkel keten. Kan je als bedrijf, willens en wetens zo'n product verkopen?
Of gaan we uit eindelijk, net alsbij roken. Bepaalde teksten verplicht stellen op de verpakking.

"De Vtech, kan en zal het leven van u en uw kind in gevaar brengen."

Op dit item kan niet meer gereageerd worden.



Nintendo Switch Google Pixel Sony PlayStation VR Samsung Galaxy S8 Apple iPhone 7 Dishonored 2 Google Android 7.x Watch_Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True