VTech, de maker van slim speelgoed wiens slechte beveiligingspraktijken gegevens van miljoenen ouders en kinderen blootlegden, is door de FTC op de vingers geslagen voor een bedrag van 650.000 dollar en een proeftijd. Het lijkt een lichte straf voor een dergelijke veelzijdige mislukking die zo velen treft.
Het bedrijf uit Hong Kong maakt een verscheidenheid aan slim speelgoed, zoals horloges en camera's, en ouders en kinderen werden aangemoedigd om op de site van VTech profielen op te zetten met foto's en persoonlijke gegevens. In november 2015 ontdekte een beveiligingsonderzoeker dat miljoenen van deze profielen toegankelijk waren via een van de websites van het bedrijf.
Niet alleen was de website zelf niet veilig, maar de gegevens werden ook niet gecodeerd tijdens het transport of in rust, wat in tegenspraak is met de veiligheidsclaims uit het privacybeleid van VTech. Dit is niet alleen een slechte praktijk, het is een schending van COPPA, een regel die bedoeld is om de privacy van kinderen te beschermen. De FTC kwam kort daarna tussenbeide om deze schendingen te onderzoeken.
Het aantal getroffen ouders en kinderen is moeilijk in te schatten, maar destijds bleken bijna 5 miljoen oudergegevens en 227.000 kindgegevens toegankelijk. Echter, de FTC in de samenvatting van haar onderzoeksnotities :
…ongeveer 2,25 miljoen ouders hadden zich geregistreerd en accounts aangemaakt bij Learning Lodge voor bijna 3 miljoen kinderen. Dit omvatte ongeveer 638.000 Kid Connect-accounts voor kinderen. Bovendien hadden in november 2015 ongeveer 134.000 ouders in de Verenigde Staten Planet VTech-accounts aangemaakt voor 130.000 kinderen...
En het Canadese Bureau van de Privacycommissaris schrijft dat meer dan 500.000 Canadese kinderen en hun ouders getroffen waren. In ieder geval loopt het totale aantal zeker in de miljoenen.
venmo kaartkleuren
De FTC heeft vandaag de resultaten van haar onderzoek bekendgemaakt, namelijk dat VTech de Amerikaanse wet op een aantal manieren heeft overtreden en er niet in is geslaagd zijn gegevens te beveiligen, zowel zoals beloofd als vereist. Zijn straf: 650.000 dollar betalen en het nooit meer doen. Het lijkt erop dat de Canadese OPC helemaal geen straf heeft opgelegd. ( Update : Dat is niet het geval, en juridisch gezien kan dat ook niet. Maar het zou graag willen.)
Het is nauwelijks een zware boete voor een bedrijf dat miljoenen apparaten verkocht, en het kan anderen aanmoedigen om de kosten van echte beveiliging af te wegen tegen het risico om gepakt en beboet te worden. Het lijkt onwaarschijnlijk dat de ouders en kinderen wier gegevens aan het licht zijn gekomen door de uiterst onverantwoordelijke acties van een mondiaal bedrijf deze schikking bevredigend zullen vinden – hoe logisch dit ook lijkt voor de FTC.
Het is ook de moeite waard om op te merken dat dit de instantie is die verantwoordelijk zal zijn voor de handhaving van een deel van onze nieuwe, sterk ingekorte netneutraliteitsregels. Als grove nalatigheid en een schending die miljoenen mensen treft, inclusief kinderen, slechts een kleine boete en waarschuwing als deze oplevert – twee jaar later trouwens – welke hoop hebben we dan dat de FTC zal optreden als een effectief afschrikmiddel voor de subtielere misbruiken? en veel rijkere bedrijven waartegen netneutraliteit mensen beschermde?
De volledige tekst van de schikking kunt u hier lezen (PDF) .