VTech wil dat gebruikers erkennen dat gegevens bij zijn dienst onveilig zijn

VTech, de maker van elektronisch speelgoed, heeft in zijn algemene voorwaarden opgenomen dat gebruikers erkennen dat informatie die ze via de Learning Lodge-portaal sturen onderschept kan worden. Daarmee probeert het onlangs gehackte bedrijf de verantwoordelijkheid af te schuiven.

In de Engelstalige algemene voorwaarden van VTech staat dat gebruikers zelf verantwoordelijk zijn voor gebruik van de site, van VTech-software en van firmware. "Je erkent dat informatie die verzonden of ontvangen wordt tijdens het gebruik van de site, niet veilig is en onderschept kan worden en later gebruikt kan worden door ongeautoriseerde partijen", luidt de betreffende zinsnede over de beveiliging. Als gebruikers met de voorwaarden instemmen, zouden ze akkoord gaan dat VTech niet aansprakelijk gesteld kan worden bij schade, 'tot zover de wet dit toelaat', aldus de tekst.

Volgens de Nederlandse Wet bescherming persoonsgegevens zijn bedrijven echter verplicht passende technische en organisatorische maatregelen te nemen als ze persoonsgegevens verwerken. In de Nederlandse privacyverklaring voor vtechnl claimt VTech dat de servers waarop persoonsgegevens staan "beveiligd zijn tegen enig onwettig gebruik door derden, zoals de wijziging van gegevens". Maar ook hier staat de passage: "Door ons uw persoonsgegevens online te verstrekken, accepteert u het risico dat derden deze gegevens kunnen onderscheppen, misbruiken of wijzigen." Aangezien het een privacyverklaring betreft kunnen bedrijven zoals VTech geen juridisch bindende toezeggingen doen, zo verduidelijkte ict-jurist Arnoud Engelfriet al eerder.

De aanpassing van de algemene voorwaarden werd door een Twitter-gebruiker kenbaar gemaakt aan blogger Troy Hunt, die betoogt dat de voorwaarden van het bedrijf absurd zijn, aangezien VTech ook de markt voor huisbeveiliging met monitoringapparatuur gaat betreden.

VTech kwam in november in het nieuws vanwege een omvangrijke hack waarbij gegevens van meer dan 11 miljoen mensen, waaronder 6,4 miljoen kinderen, gemoeid waren. Naast naam- en adresgegevens ging het om foto's en chatlogs. Het ging om een enkele hacker die nadien werd opgepakt en die relatief eenvoudig de systemen kon binnendringen.

Door Olaf van Miltenburg

Nieuwscoördinator

Feedback • 09-02-2016 16:46 46

09-02-2016 • 16:46

46

Lees meer

VTech betaalt 650.000 dollar aan FTC als schikking in datalekzaak
VTech betaalt 650.000 dollar aan FTC als schikking in datalekzaak Nieuws van 9 januari 2018
VTech dicht beveiligingslekken in kindertablet
VTech dicht beveiligingslekken in kindertablet Nieuws van 8 december 2017
Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet
Door Cloudpets-speelgoed opgenomen gesprekken waren toegankelijk via internet Nieuws van 28 februari 2017
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken
Duitse toezichthouder adviseert ouders 'connected' pop onschadelijk te maken Nieuws van 17 februari 2017
Consumentenorganisaties dienen klachten in om 'slim' speelgoed - update
Consumentenorganisaties dienen klachten in om 'slim' speelgoed - update Nieuws van 6 december 2016
Miljoenen accountgegevens van Minecraft-community Lifeboat zijn buitgemaakt
Miljoenen accountgegevens van Minecraft-community Lifeboat zijn buitgemaakt Nieuws van 26 april 2016
Gegevens 3,3 miljoen Hello Kitty-fans staan online na server-hack
Gegevens 3,3 miljoen Hello Kitty-fans staan online na server-hack Nieuws van 21 december 2015
Britse man opgepakt in verband met VTech-hack
Britse man opgepakt in verband met VTech-hack Nieuws van 15 december 2015
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000
VTech-hack betrof profielen van 6,4 miljoen kinderen in plaats van 200.000 Nieuws van 2 december 2015
VTech-hacker kreeg ook foto's en chatlogs van speelgoedgebruikers in handen
VTech-hacker kreeg ook foto's en chatlogs van speelgoedgebruikers in handen Nieuws van 1 december 2015
Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update
Hacker steelt gegevens van meer dan 5 miljoen klanten VTech - update Nieuws van 27 november 2015
Meer producten en artikelen
Netwerk en systeembeheer

Reacties (46)

-Moderatie-faq
46
44
34
4
0
3
Wijzig sortering

Sorteer op:

Weergave:
a fly 10 februari 2016 08:23
Ligt het aan mij of is dit absoluut geen vrijwaring voor Vtech? Ik accepteer ook een risico als ik de auto in stap; Maar als er vervolgens iemand tegen mij aanrijd is dat geen vrijwaring van hun schuld.
Om de analogie door te trekken: Als Vtech uitwijkt voor een andere auto (mr H. Akker) die moedwillig een gevaarlijke situatie veroorzaakt, en daarbij mij raakt, blijft de schuld bij Vtech. Als Vtech dan schadeloos gesteld wilt worden, mag hij dat regelen met de andere auto.
Freee!! @a fly10 februari 2016 08:38
Dat ligt niet aan jou. De verwoording van hun vrijwaring beperkt het zelfs (althans zoals ik het lees) tot de overdracht van de gegevens tussen het eindproduct en hun servers. In geval hun servers gehackt worden (zoals waarvoor ze in het nieuws zijn gekomen), hangen ze nog steeds (en terecht).
Verwijderd @Freee!!10 februari 2016 12:39
Ik snap de keuze voor deze wijziging in de voorwaarden in meerdere opzichten niet.
Er zijn altijd mensen die het ding van a tot z lezen dus als je opeens zoiets als dit aanpast lekt dat gewoon uit. Vervolgens schaad dat je imago en gerechtelijk heb je er volgens mij helemaal geen drol aan. Allemaal dingen die je van te voren weet.

Je bent als bedrijf gewoon verantwoordelijk voor deugdelijk beveiliging van je infra en kan dat niet af doen met één of andere luie clausule. Zou mooie boel worden.
Jij moet een lek tegenover de relevante autoriteiten toch echt iets beter kunnen uitleggen dan een simpele voorwaarde in je gebruikersbeleid om onder represailles uit te komen.

Even afgezien van het feit de adequate versleuteling van gegevens vaak geringe of zelfs überhaupt geen kosten met zich meebrengt buiten gebruikelijk personele kosten voor implementatie en onderhoud die je toch al hebt.
Je kan het dus ook gewoon niet fatsoenlijk uitleggen aan je klanten waarom je daar zo laks mee om gaat.

[Reactie gewijzigd door Verwijderd op 22 juli 2024 16:24]

Coumanski 9 februari 2016 17:18
Hier moeten we niet veel woorden aan vuil maken. Gewoon geen V-Tech spul meer kopen. Dan draaien ze vanzelf wel bij. Of niet...
M.K. @Coumanski9 februari 2016 19:31
Ik zal zeker geen producten meer van ze kopen, maar ik ga er wel degelijk woorden aan vuil maken om zo veel mogelijk mensen van producten van deze nare lui weg te houden.
Foscam, ook zo'n mooi Chinees bedrijf waarvan vele mensen bijvoorbeeld een babycam hebben, voert ook een dergelijk wonderlijk privacybeleid.
Ben blij dat het hier in Nederland relatief goed geregeld is!
THA_ErAsEr @M.K.10 februari 2016 09:01
Nu mocht men SO veel beslissen, maar een babycam kwam er niet in. Zowel om prive redenen als om het feit dat die amper beveiligd zijn.
SpiceWorm 9 februari 2016 17:07
Ondanks dat mensen zitten te haten is dit dit het enige juiste om te doen. Als zelfs de directeur van de fbi of meerdere banken worden gehacked dan kan je als bedrijf niet garanderen dat deze gegevens in andere handen vallen. Het enige wat VTech anders doet is dat ze doodeerlijk zijn over de veiligheid van hun dienst. Alle andere bedrijven zouden deze stelling in hun voorwaarden op moeten nemen.

Het zal ze echter wettelijk niet ontslaan van de plicht om de gegevens redelijk te beveiligen.

[Reactie gewijzigd door SpiceWorm op 22 juli 2024 16:24]

hahaha2223 @SpiceWorm9 februari 2016 17:38
Als je de gegevens kan stelen door een wat ik vernomen heb redelijk makkelijke sql injectie is dat wel iets anders dan de beveiliging bij de fbi.
Timoo.vanEsch @hahaha22239 februari 2016 18:21
Zeker weten?
Voor zover ik begreep, was dat ook een redelijk eenvoudige hack, in de vorm van:
"meneer heet zo, zijn dochter is op die-en-die dag geboren, hoppa, naam + paswoord -> binnen"
Praetextatus @Timoo.vanEsch9 februari 2016 20:46
Ik denk niet dat ze genoeg tijd hadden om 11 miljoen mensen op deze manier te hacken ;) . Overigens wel jammer dat er op deze manier met consumenten wordt omgegaan.
svenslootweg @SpiceWorm9 februari 2016 21:12
Het gaat hier niet om een geavanceerde gerichte aanval. Het gaat hier om VTech die het nalaat om basis-beveiligingstechnieken toe te passen, en meerdere lekken en fouten (nog steeds!) heeft waarvan we inmiddels al twintig jaar weten dat het een verschrikkelijk slecht idee is.

Dit is nalatigheid, geen "foutje" of "oversight".
SpiceWorm @svenslootweg9 februari 2016 21:31
Dat snap ik, daarom zeg ik ook dat ze met dat zinnetje niet gevrijwaard zijn van een redelijke beveiliging.

Maar ook goed beveiligde clubs kunnen geen garantie geven.
bArAbAtsbB 9 februari 2016 16:52
triest om op deze manier de verantwoordelijkheid af te schuiven...terwijl ze natuurlijk wel verantwoordelijk zijn!

[Reactie gewijzigd door bArAbAtsbB op 22 juli 2024 16:24]

mbb @bArAbAtsbB9 februari 2016 23:02
Nog triester dat ze het een Privacy 'verklaring' noemen terwijl het een privacy disclaimer voor (wan)beleid is.
fre0n @bArAbAtsbB10 februari 2016 02:22
Als de verantwoordelijkheid bij de eindgebruiker ligt , moeten ze ook toestaan dat de eindgebruiker zelf beveiliging aambrengt en de systemen onderhoudt :p
eL_Jay 9 februari 2016 16:52
Is niet bij 100% van de hardware met een internetconnectie mogelijk dat data wordt onderschept?
Ik kan me haast niet voorstellen dat er 100% veilige hardware is MET een internetconnectie.
imDx @eL_Jay9 februari 2016 17:34
Het is waar dat 100% van de informatie kan worden onderschept.
De vraag is echter: Wat kan men met de onderschepte informatie? Als de informatie goed beveiligd is, dan zal de "dief" de beveiliging moeten omzeilen.

Het is in feite te vergelijken met een fiets.
Als je helemaal geen sloten plaatst, wordt je fiets uiteraard zonder moeite gestolen.
Als je 1 simpele slot plaatst, kan een dief er nog steeds met relatief weinig moeite je fiets stelen. Met meer sloten wordt het al wat lastiger en al helemaal als het van die complexe sloten zijn.

Uit dit artikel maak ik op dat VTech in principe niet wil investeren en de gebruikers alle verantwoordelijkheden wil laten nemen. Dit komt neer op een simpele slot: ze voorzien wel in een beveiliging, maar ze staan niet in voor de veiligheid daarvan.
link0007 @imDx9 februari 2016 20:41
Sterker nog: het onafgesloten achterlaten van een fiets is in veel gemeenten verboden via de APV.
StefanJanssen @link00079 februari 2016 21:49
Hoezo dat?
Firefly III 9 februari 2016 16:53
Het kan ze wellicht extra ammunitie bieden als ze daadwerkelijk de gang naar de rechter moeten maken. Die moet zich dan eerst eindeloos buigen over de vraag of dit inderdaad wel of niet mag (+ hoger beroep en cassatie en alles). Daarna komt pas aan bod (want ze weten wel dat ze het gaan verliezen) wat de schade en de schadevergoeding zal zijn.

Deze aanpassing is een kwestie van een langere adem proberen te krijgen.
Verwijderd @Firefly III9 februari 2016 16:57
Het levert inderdaad extra ammunitie op voor het CBP (tegenwoordig AP) en gedupeerden. Het is nu al weer wat makkelijker te bewijzen dat VTech willens en wetens de beveiliging van privacygevoelige informatie niet op een deugdelijke wijze wenst te regelen.
FreshMaker @tombruneel9 februari 2016 18:54
wat voor een onduidelijke titel is dit nu weer?
Valt toch wel mee, eenzelfde situatie kan op de AH of Jumbo toegepast worden.

"Supermarkt wil dat consument erkent dat er producten over de datum zijn"
Dat is het einde van klachten dat er iets verkeerds gekocht wordt, en er mensen ziek worden van oude kipfilet.

Ik ben niet snel verontwaardigd, maar dit is wel héél kinderachtig.
De producten die juist voor kleinere kinderen worden ontwikkeld, met zelfs een market er achter, zouden gewoon duidelijk en veilig moeten zijn.
Veel ouders hebben zelfs nog niet het inzicht op de apparatuur, die kopen zo'n webcam als speeltje voor de kids.
Dan zou de beveiliging optimaal moeten zijn, en niet via een hack op het bedrijfsnetwerk open en bloot moeten komen .... dat zou de schuld van de ouders worden ?

Als ik tegen een boom rij, is dat MIJN schuld, niet die van Renault.
Maar als mijn remmen weigeren omdat er een softwarefout is, dan ligt dat wel degelijk bij de fabrikant.
Een tekstje in de voorwaarden "uw remmen kunnen onveilig zijn, door onzorgvuldigheid onze kant" zal het niet lang volhouden in een rechtzaak
.oisyn Moderator Devschuur® @tombruneel9 februari 2016 17:31
Er is niets onduidelijk aan, er namelijk staat precies wat er aan de hand is. Je vindt het misschien onduidelijk omdat je het niet op deze manier had verwacht. Vond ik eerst ook, maar toen las ik het artikel. Zou je ook eens moeten doen ;)
tombruneel @.oisyn10 februari 2016 10:10
Heb ik gedaan, maar ben er niet mee akkoord :-)

Fabrikanten zijn verantwoordelijk.
Ook winkels zijn verantwoordelijk voor het uit de rekken halen van producten die over datum zijn.
.oisyn Moderator Devschuur® @tombruneel10 februari 2016 11:16
Volgens mij hadden we het over de titel, niet over wie jij vindt die verantwoordelijk is. De titel is nochtans correct: VTech wil dat gebruikers hen vrijwaren door te laten erkennen dat gegevens bij VTech niet veilig staan opgeslagen.

Als in het nieuws komt dat Pietje vindt dat 2+2 gelijk is aan 5, dan is de kop: "Pietje stelt 2+2 gelijk aan 5". Of de stelling van Pietje ook klopt is daarbij irrelevant, de titel is namelijk gewoon waar: Pietje stelt dat inderdaad. Dat is het nieuws. Dus dat is de kop.

[Reactie gewijzigd door .oisyn op 22 juli 2024 16:24]

Verwijderd 9 februari 2016 16:52
CBP moet hier dus duidelijk optreden. Wat zijn ze dan precies aan het doen? Een paar ton boete in het vooruitzicht stellen en zelfs Facebook werkt mee, datzelfde kunnen ze ook prima doen bij VTech.
Echt niet. 9 februari 2016 16:55
Da's cool! Zo kan je als bedrijf enorm op beveiliging besparen, je hoeft alleen maar een regeltje in je algemene voorwaarden op te nemen!
[/sarcasm]
wica 9 februari 2016 16:56
Ik zou eigelijk best wel een reactie willen zien van een Bart Smit of een andere grotere speelgoed winkel keten. Kan je als bedrijf, willens en wetens zo'n product verkopen?
Of gaan we uit eindelijk, net alsbij roken. Bepaalde teksten verplicht stellen op de verpakking.

"De Vtech, kan en zal het leven van u en uw kind in gevaar brengen."

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq