Monthly Archives: november 2016

Kamervragen n.a.v. Trouw Artikel “Melding Datalekken Ziekenhuizen”

Op 25 november hebben zowel de SP als de PvdA, Kamervragen gesteld na onthullingen over datalekken in dagblad Trouw. Journalist Kristel van Teefelen, die was benaderd door de Women in Cyber Security (WiCS) na het afronden van een onderzoek naar misstanden in ziekenhuizen, bracht de primeur. Zij wist te melden dat Nederlandse ziekenhuizen sinds begin 2016, 304 keer melding hebben gemaakt van het verlies van privacygevoelige informatie. Dat komt neer op ongeveer één datalek per dag, blijkt uit cijfers van de Autoriteit Persoonsgegevens (AP). Voor een aantal Kamerleden, was daarmee de maat vol!

PvdA-Kamerleden Bouwmeester en Oosenbrug eisen nu van de ministers van Veiligheid & Justitie en van Volksgezondheid, Welzijn & Sport opheldering. Zij vragen of het waar is dat de genoemde datalekken vaak voortkomen uit het gebruik van onbeveiligde verbindingen en door menselijke fouten. Daarnaast vragenzij aan de minister of de conclusie van Women in Cyber Security (WICS) wordt gedeeld dat ziekenhuizen onzorgvuldig met beveiliging omgaan, onder andere door slordig om te gaan met inloggegevens of het gebruik van verouderde software en apparatuur?

SP-Kamerleden Van Gerven en Leijten richten hun pijlen voornamelijk op de Autoriteit Persoonsgegevens. Zij vragen bijvoorbeeld of de AP als toezichthouder in het kader van de Wet bescherming persoonsgegevens (Wbp) naar aanleiding van het verlies van privacygevoelige informatie, (bestuursrechtelijke) sancties heeft opgelegd bij de betreffende ziekenhuizen.

Voor de Women in Cyber Security is dit een eerste, minieme, stap. Uit diverse onderzoeken van Rianne Goijarts, Jelena Milosovic, Anouk Vos en Mary-Jo de Leeuw in het WiCS-hacklab, blijk dat dit slechts het topje van spreekwoordelijke ijsberg is.

“Dit is pas het begin”, zegt Anouk Vos  eveneens partner bij Revnext, “Alleen met het probleem benoemen, kom je er niet. Wij werken mee aan (diverse) oplossingen in de eHealth en gaan daarover graag met een ieder in gesprek. Dankzij de stevige trackrecord en minimaal 10 jaar werkervaring op het gebied van cybersecurity van een ieder van ons, zijn wij bekend met het verleden, onderzoeken wij het heden en bereiden wij ons voor op de toekomst. Wij zijn er klaar voor. Nu de rest nog…

aaeaaqaaaaaaaainaaaajgi4mda1mjrklwnjmmmtndliny05odlhltm5n2zmndbhy2yyna
Photo: Trouw

Source: Revnext 

Ziekenhuizen Melden Elke Dag Datalek

Nederlandse ziekenhuizen hebben sinds begin dit jaar 304 keer melding gemaakt van het verlies van privacygevoelige informatie. Dat komt neer op ongeveer één datalek per dag, blijkt uit cijfers van de Autoriteit Persoonsgegevens (AP).

Sinds 1 januari zijn organisaties verplicht de privacywaakhond direct op de hoogte te stellen van ernstige datalekken. Bijvoorbeeld als het gaat om het verlies van grote hoeveelheden gegevens of zeer gevoelige informatie waar ziekenhuizen mee te maken hebben.

In het kort
-Elke dag lekt wel een ziekenhuis persoonlijke gegevens
-Volgens Autoriteit Persoonsgegevens komt dat vooral door onbeveiligde verbindingen en menselijke fouten
-De ernst van de lekken is nog lastig in te schatten

Details over de aard van de meldingen wil de AP niet geven vanwege de mogelijke traceerbaarheid daarvan naar individuele ziekenhuizen. Meer in het algemeen valt het de privacywaakhond op dat veel meldingen het gevolg zijn van onbeveiligde verbindingen en menselijke fouten. Een zaak die eerder in de publiciteit kwam, was het verlies van een harddisk met onversleutelde gegevens van bijna 800 patiënten door een arts van het Amsterdamse Antoni van Leeuwenhoek Ziekenhuis.

In totaal klopten organisaties sinds 1 januari zo’n 4700 keer aan bij de AP, omdat privégegevens mogelijk in handen van derden waren gevallen. Bijna een kwart kwam uit de zorgsector, waarvan dus ruim 300 van ziekenhuizen.

Bereidheid om te melden

De Nederlandse Vereniging van Ziekenhuizen wil niet zeggen of dat aantal reden is tot zorg. Omdat de meldplicht datalekken pas sinds begin dit jaar bestaat, kan zij het aantal nergens tegen afzetten, aldus een woordvoerder. “Wel hebben wij het idee dat er een hoge mate van alertheid is bij ziekenhuizen. De bereidheid om te melden is groot. Dus ook als er twijfel is of een datalek wel onder de meldplicht valt.”

‘Er is een hoge mate van alertheid bij ziekenhuizen’

Er is sprake van een datalek als een hacker bijvoorbeeld toegang heeft gekregen tot gegevens. Maar ook het verlies van een usb-stick of harddisk, of een mailing die naar een groot aantal e-mailadressen gaat terwijl alle adressen voor iedereen zichtbaar zijn, kunnen onder de noemer datalek vallen. Wie een incident niet binnen 72 uur bij de AP meldt, kan een boete krijgen die kan oplopen tot 820.000 euro.

De plicht om fouten te rapporteren moet organisaties vooral stimuleren persoonsgegevens goed te beschermen. In sommige gevallen moet ook degene van wie informatie is gelekt worden gewaarschuwd. Want stel dat er burgerservicenummers op straat komen te liggen, dan kan dat identiteitsfraude tot gevolg hebben.

Women in Cybersecurity (WICS), een Nederlands netwerk van vrouwen die werkzaam zijn in de computerbeveiliging, deed de afgelopen tijd onderzoek naar de manier waarop ziekenhuizen met beveiliging omgaan. Wat hen opvalt is de slordigheid waarmee medewerkers met inloggegevens omgaan. Maar ook verouderde software en apparatuur maken ziekenhuizen kwetsbare doelwitten voor hackers, aldus WICS. Soms zijn de systemen zo verouderd dat updates niet meer mogelijk zijn.

Wat kun je met patiëntgegevens?

Een melding van een datalek bij de privacywaakhond hoeft niet te betekenen dat die gegevens ook worden misbruikt. Toch ziet ethisch hacker Victor Gevers dat geregeld patiëntgegevens worden aangeboden op online zwarte markten. “Wat er precies met de gegevens gebeurt, is lastig vast te stellen. Criminelen gebruiken ze om iemand af te persen. Maar denk ook aan databoeren die het niet zo nauw nemen met privacy en de gegevens verkopen aan bedrijven die profielen maken om klanten zo direct mogelijk te kunnen benaderen.” Het verlies van medische gegevens is ook een gevoelskwestie: het idee dat iemand anders zeer persoonlijke informatie kan bekijken.

Source: Trouw

Speelgoedbeer Of Cyberboef?

Sinterklaasfolders staan vol met pratende knuffels, elektronische honden en slimme robotjes. Kinderen zijn dol op dit soort ‘connected toys’ met microfoons, camera’s, en bluetooth- en wifiverbinding. Maar ze zijn niet zo onschuldig als ze eruitzien.

jochieMet Toymail kunnen ouders hun kind gratis via een app op hun telefoon een voicemail sturen met wifi. Het kind kan er ook eentje terugsturen.

Die blonde pop die zo aardig antwoord geeft op de vragen van je vierjarige, roept ineens vreselijke scheldwoorden. En de guitige Fisher-Price teddybeer waar je dochter woordspelletjes mee doet, vraagt ineens of zij zich wil uitkleden. Het zal maar uit de zak van Sinterklaas tevoorschijn komen.

Bangmakerij? Horrorverhalen? Zeker niet, zegt Mary-Jo de Leeuw, de oprichter van Internet of Toys. Deze denktank houdt zich bezig met cyberveiligheid en privacy-aspecten van elektronisch speelgoed. ‘Het lijkt onschuldig speelgoed, maar wie kwaad wil, kan er veel ellende mee aanrichten’, waarschuwt De leeuw. Zelf herprogrammeerde ze eens de pop Cayla en liet haar een Arabische doodswens uitspreken tijdens een bijeenkomst met het Nederlandse leger. ‘Toen ik vertelde dat Cayla ook op afstand bestuurbaar was, waren de militairen in de zaal wel wakker.’

Naast pratende poppen zijn er tegenwoordig ook kletsende ‘dino’s’ en interactieve kleine robots op de markt. Allemaal bevatten ze een microfoon en een geluidsbox, moeten ze worden aangesloten op wifi en zijn ze programmeerbaar. ‘We onderzoeken wat er gebeurt wanneer je dit soort ‘connected toys’ met elkaar laat communiceren. Recent vond er een grote hack plaats waarbij 100.000 camera’s met elkaar werden verbonden en vanaf één punt aangestuurd. We denken dat je zo’n grote hack ook met connected toys kan uitvoeren.’

Hello Barbie van speelgoedfabrikant Mattel kwam in 2015 op de (Amerikaanse) markt en werkt zo ongeveer als online hulpfee Siri op een iPhone of iPad. Zegt een kind iets tegen Hello Barbie, dan stuurt de wifi dat naar de servers van het bedrijf ToyTalk en selecteert speciale software razendsnel welke reactie de juiste is. Ook knuffel Ubooly communiceert via een app met kinderen. Ouders die de apps van Kiddies smartwatch en Kidizoom camera’s van Vtech installeren, geven de fabrikant toegang tot bijvoorbeeld de naam en geboortedatum van het kind. ‘De gegevens worden ergens in de cloud opgeslagen, maar niemand weet waar. Het ligt dus eigenlijk op straat,’ stelt De Leeuw.

barbie

Hello Barbie: speciale software bepaalt hoe de pop het beste kan reageren.

Hoe mis het dan kan gaan, bleek eind 2015 toen de database van VTech werd gehackt, met de gegevens van ouders en kinderen. Vtech zegt hier enorm van geschrokken te zijn en heeft de beveiliging verbeterd. ‘De gegevens zaten in een kast die afgesloten was met een standaard slot. Nu is dat een kluis,’ zegt Johan Dassen, de directeur van VTech Benelux.

‘Een kind ziet een barbie als een vriendin aan wie je vragen kan stellen. Dat geeft me geen prettig gevoel.’

Behalve iPads voor kinderen, horloges en camera’s, brengt VTech ook de gepersonaliseerde knuffels Nino en Nina op de markt. Voer de naam en bijvoorbeeld ook de lievelingskleur van je kind in op de site, en Nina noemt je dochter vrolijk bij naam. VTech kan of wil verder niets met die gegevens doen, volgens Dassen; die zijn alleen bedoeld om de knuffel interactief sterker te maken.

Maar Mary-Jo de Leeuw is daar kritisch over. ‘Als VTech niets met die gegevens wil doen, waarom slaat het die dan op? Mijn kinderen krijgen niets van VTech. Wij weten zeker dat het lek niet voor honderd procent is gedicht, maar helaas wil VTech daar niets over horen.’

Lees ook een interview met Mary-jo de Leeuw in Cybersquad

Mediawijzer.net, een netwerk dat mediawijsheid voor de jeugd wil bevorderen, bracht in het voorjaar van 2016 al een rapport uit over de risico’s van wifispeelgoed. Naar aanleiding van de naderende komst van Sinterklaas wijst het ouders hier opnieuw op, met tien tips hoe zij het beste hiermee kunnen omgaan. ‘Dit type speelgoed wordt onderschat, maar het is net als het ‘internet of things’ te hacken,’ zegt programmamanager Mary Berkhout.

droneGyro Camera Cellphone Control RC Quadcopter: een soort helikopter die met smart­phone te bedienen is via wifi, tot 70 meter afstand.

Zij wil dat de privacy van kinderen standaard wordt beschermd. ‘Speelgoed mag ook geen giftige stoffen of losse onderdelen bevatten. Voor wifispeelgoed zou moeten gelden dat het altijd veilig is en dat de ingevoerde persoonlijke data nooit mogen worden gedeeld of misbruikt. Nu is daar niets over vastgelegd, daarom willen wij ouders wakker schudden.’ Ze pleit — net als De Leeuw — voor een keurmerk of standaard voor digitaal speelgoed: wettelijke regels waaraan fabrikanten moeten voldoen voordat ze iets op de markt mogen brengen.

Vooralsnog zien ouders vooral die onschuldige knuffelbeer, en denken bovendien: wat heb ik nou te verbergen? Dat merkt ook Astrid Oosenbrug, woordvoerder cybersecurity bij de PvdA. ‘Alles met een camera, microfoon en internetverbinding erin is gevoelig voor hacks. Ouders vergeten dat de microfoon in die schattige beer gesprekken in huis opvangt en dat de pincode die je mondeling aan je geliefde doorgeeft, ergens op een buitenlandse server terecht kan komen.’

fisher-price-teddybeerSmart Toy van Fisher Price: een teddybeer die via wifi onthoudt wat een kind vertelt en ook terug praat.

Oosenbrug maakt zich ook zorgen over de gebrekkige software van het speelgoed. Apparaten die ongebruikt in een la liggen, kunnen nog steeds zenden en ontvangen en zijn zonder updates nog kwetsbaarder voor hacks. ‘Daarom wil ik dat die pratende pop zichzelf uitschakelt als er bijvoorbeeld een jaar geen update heeft plaatsgevonden.’

Maar in Den Haag kan Oosenbrug maarweinig medestanders vinden. Net als veel ouders denken de meeste politici dat de scenario’s die zij schetst science fiction zijn. ‘Als er een debat in de Tweede Kamer komt over digitale veiligheid, zou ik graag een gehackte pop willen meenemen die de Internationale zingt, maar dat is niet toegestaan, vanwege het Reglement van Orde.’

Mary-Jo de Leeuw hoopt vooral dat ouders zich gaan realiseren dat hun data het nieuwe goud zijn. ‘Bedrijven willen weten hoe je je gedraagt en wanneer en waar je actief bent. Fastfoodketens betalen veel geld aan de makers van computerspel Pokemon Go ombijvoorbeeld Pikachu in hun filiaal te laten vangen door spelers. Wie bepaalt betaalt en commercie gaat steeds vaker boven veiligheid.’

TIPS: Hoe ga je wijs met speelgoed om?

-Zet het speelgoed altijd weer op de uit-stand.

-Wees je bewust van de open internetverbinding, zoals bij een laptop.

-Verschaf alleen persoonsgegevens als dat noodzakelijk is om het speelgoed te laten werken.

-Verzin (een deel van) depersoonsgegevens.

-Kijk of speel mee en let eens op gedragsturende aspecten. Passen die bij je opvoeding?

Bron: Mediawijzer.net.

De hamvraag blijft wie er nou eigenlijk verantwoordelijk is voor de privacy van kinderen. Zijn dat de ouders, fabrikanten, de overheid? ‘Ouders hebben natuurlijk een zorgplicht als het gaat over de privacy van hun kind. Maar het lijkt mij ook niet in de haak dat apparaten privacygevoelige informatie doorsturen. Helaas zijn dergelijke privacy-aspecten van speelgoed wettelijk nog ongereguleerd,’ zegt ICT-journalist Arnoud Engelfriet. Hij zou het liefst zien dat fabrikanten de (on)veiligheidsaspecten opnemen in hun gebruiksaanwijzing. ‘Of nog liever, in de productbeschrijving in de winkel.’

De Autoriteit Persoonsgegevens heeft nog nooit speelgoedfabrikanten beboet, maar de digitale rekenmethode Snappet en kinderapp Okki zijn wel op de bon geslingerd. Snappet gebruikte de resultaten van kinderen op een ongeoorloofde manier; Okki had een app waarmee kinderen leren hun tanden goed te poetsen en werd berispt vanwege de foto’s van tandenpoetsende kinderen die het publiceerde.

‘Kinderen vormen een kwetsbare groep, dusvoordat je iets produceert, moet je nadenken wat voor data je over hen verzamelt,’ zegtwoordvoerder Lysette Rutgers. Veelspeelgoedfabrikanten hebben geen Nederlandse vestiging, waardoor de AutoriteitPersoonsgegevens niet kan optreden. Dat gaatoverigens veranderen onder de nieuwe Europese privacyregels die in 2018 van kracht worden. Dan moeten bedrijven actiever aantonen dat ze voldoen aan de privacyregels en kinderen worden daarin specifiek genoemd.

kiddies-smartwatchMet de Kidizoom Smartwatch kun je foto’s maken, video’s opnemen en je stem (en die vervormen).

Ornes, de branchevereniging van Nederlandse speelgoedleveranciers, zegt haar leden actief voor te lichten over de (nieuwe) privacywetgeving. ‘We verzamelen alleen gegevens die relevant zijn, gezien het speelgoed, en gaan daar naar eer en geweten mee om’, stelt woordvoeder Miesje van Rijn. ‘Die data mogen niet worden doorverkocht en zijn goed beveiligd tegen hacks.’

Ze vindt het jammer dat veel mensen zo verkrampt reageren als het over wifispeelgoed gaat. ‘Ouders kunnen beter zorgen dat kinderen leren omgaan met de huidige wereld en technologische ontwikkelingen zoals internet.’ Met regels houd je deze ontwikkelingen niet tegen, meent ze, online heb je nergens garantie op een waterdichte beveiliging. ‘Google legt je gedrag ook vast.’

Van Rijn is voorstander van richtlijnen voor veilig gebruik van gegevens, maar is wel bang dat de gebruiksaanwijzing van wifispeelgoed daardoor zo ingewikkeld wordt dat er niet meer mee te spelen valt. Mary Berkhout vindt het jammer dat de industrie het probleem bagatelliseert, maar begrijpt wel hoe dit komt. ‘Speelgoedfabrikanten zijn niet allemaal computerexperts, ze weten niet altijd of de achterkant — de techniek achter het speelgoed — goed op orde is.’ Mary Jo de Leeuw vindt dit onzin. ‘Zeggen dat je geen verstand hebt van de materie, ontslaat je nog niet van de verplichting deugdelijk speelgoed op de markt te brengen.’

roverRover 2.0 Spy Tank: voor video-opnames via wifi, ook in het donker.

Behalve de gebrekkige veiligheid en mogelijke privacyschending is er nog een reden om die pratende beer in de winkel te laten staan, volgens speelgoeddeskundige Marianne de Valck. ‘Ouders denken dat kinderen wat leren van dit speelgoed. Maar uit hersenonderzoek is bekend dat jonge kinderen tot abstract denken komen door fysiek dingen uit te proberen en dat steeds te herhalen. Spelen met tastbare elementen, en gewicht en vormen voelen, is daarbij essentieel.’

Populairste speelgoed online

Lego, Playmobil, tekenspullen, Monopoly en Kolonisten van Catan zijn de favoriete Sinterklaascadeaus die mensen online bestellen — en steeds meer elektronisch speelgoed. De Hatchimals, beestjes die kinderen zelf moeten uitbroeden, opvoeden en verzorgen (een soort real life variant van de Tamagotchi) zijn erg populair, net als aap Zoomer Chimp en robothond Teksta Puppy.

Bron: Bol.com

Met andere woorden: software aan kinderen geven als de hardware nog niet aanwezig is, heeft geen enkele zin. ‘Een kind leert niks van een dino die meteen het juiste antwoord geeft.’ Het engste aan pratende poppen en knuffels vindt De Valck overigens de eenzaamheid waar het aan appelleert. ‘Een kind ziet een barbie, meer dan een tablet, als een vriendin aan wie je vragen aan kan stellen. Dat geeft mij geen prettig gevoel.’

Maar wat te doen met dat verlanglijstje voor de Sint in de kinderschoen, dat volstaat met knipperend en pratend speelgoed? Verlanglijstjes zijn geen boodschappenlijstjes, stelt De Valck. ‘Sint is een anonieme gever die zich van alles kanveroorloven. Je moet dat lijstje niet als zaligmakend beschouwen.’ De Leeuw heeft nog wel een suggestie voor ouders die hun kind toch iets elektronisch willen geven. ‘Met een Raspberry pi, een open bronnenbouwpakket voor een pc, waarmee je kunt leren programmeren. Of geef een Pineapple: daarmee kun je onbeveiligde wifinetwerken afluisteren.’

Miloe van Beek is freelance journalist.

Source: fd.nl

 

‘Ouders Weten Veel Te Weinig Van Connected Toys’

  • Mediawijzer.net lanceert checklist met tien aandachtspunten voor ouders
  • PvdA-Kamerlid Astrid Oosenbrug omarmt initiatief: “Politiek stelt zich te afwachtend op”

Met de intocht van Sinterklaas staat ook het verlanglijstjesseizoen voor de deur. Dit jaar zullen meer kinderen dan ooit een plek op hun lijstje inruimen voor speelgoed dat een internetverbinding nodig heeft om te functioneren: connected toys. Dit speelgoed is lang niet altijd veilig en onder meer gevoelig voor hacks, privacylekken en DDoS-aanvallen, zo is al diverse malen gebleken. Over dit type speelgoed en de daaraan verbonden risico’s is veel te weinig bekend, zegt Mary Berkhout van Mediawijzer.net. Het Nederlands netwerk voor mediawijsheid liet het afgelopen jaar onderzoek doen naar het opkomende fenomeen. Met een vandaag in Hilversum gepresenteerde checklist voor ouders en het rapport ‘Internet of Toys: Een Nieuw Speelveld’ als resultaat.

“Speelgoed moet veilig zijn, daar is iedereen het over eens”, stelt Berkhout. “En die garantie valt bij connected speelgoed simpelweg niet te geven. Daar is wetgeving voor nodig en die loopt momenteel achter. Dat is niet alleen kwalijk, maar ook heel lastig voor consumenten. Die hebben nu vaak geen idee wat voor problemen ze met dit speelgoed in huis kunnen halen.” Om mensen die de komende tijd toch tot de aanschaf van connected toys willen overgaan houvast te bieden, lanceert Mediawijzer.net vandaag een checklist met tien aandachtspunten voor ouders.

Deze checklist gaat niet alleen in op de veiligheid, maar ook op zaken als de educatieve en pedagogische waarde van het speelgoed. De tien aandachtspunten zijn tot stand gekomen in samenwerking met diverse experts en op basis van het rapport ‘Internet of Toys: Een Nieuw Speelveld’. Dit is in opdracht van Mediawijzer.net opgesteld door onafhankelijke journalisten Anne Peetoom en Celine Timmerman en eveneens vandaag openbaar gemaakt.

‘Politiek is te afwachtend’

Tweede Kamerlid Astrid Oosenbrug, woordvoerder cybersecurity bij de Partij van de Arbeid, was vandaag in Hilversum om de checklist in ontvangst te nemen. Oosenbrug heeft connected toys al langer in het vizier, maar merkt dat de politiek nog vrij passief met het dossier omgaat. “Het is goed om te zien dat diverse organisaties zo actief met dit onderwerp aan de slag zijn gegaan”, aldus het Kamerlid vandaag. “Dat is hoognodig: ouders moeten veel beter worden geïnformeerd. En de politiek moet zich veel minder afwachtend opstellen”, zo meent Oosenbrug.

Aandachtspunten voor ouders

In de vandaag gelanceerde checklist staat een tiental aandachtspunten voor ouders die over de aanschaf van connected speelgoed nadenken of het al in huis hebben:

  • Is het duidelijk dat het speelgoed een connectie heeft met internet?
  • Wie heeft toegang tot de ingevulde en uitgewisselde gegevens?
  • Is het duidelijk waar je terecht kunt bij vragen over software en veiligheid?
  • Weet je waar het kind eigenlijk mee speelt?
  • Past het speelgoed bij de leeftijd van het kind?
  • Hoe ‘educatief’ is het speelgoed?
  • Is het speelgoed zonder bijkomende kosten te gebruiken?
  • Kun je het speelgoed met andere kinderen delen?
  • In hoeverre kan het kind vrij en creatief spelen met het product?
  • Zit er een houdbaarheidsdatum aan het speelgoed?

De checklist is door de volgende experts onderschreven:

Mary Berkhout – Mediawijzer.net; Merel Beunk – Bureau Jeugd en Media; Henk Boeke – Bureau Jeugd en Media / Ouders Online; Marjolijn Bonthuis – ECP | Platform voor de InformatieSamenleving; Denise Bontje – Sardes; René Glas – Universiteit Utrecht; Eline Kwantes – Dromenkroon; Mary-Jo de Leeuw – Platform Internet of Toys; Peter Nikken – Specialist jeugd, media en mediaopvoeding; Remco Pijpers – Stichting Kennisnet; Marianne de Valck – Adviesbureau Spelen en Speelgoed

Het rapport ‘Internet of Toys: Een Nieuw Speelveld’ en de checklist voor ouders vind je hier.

‘Connected Toys Zijn Vaak Zo Lek Als Een Mandje’

Connected toys worden steeds goedkoper, en daardoor voor iedereen bereikbaar. Maar voor de veiligheid ervan haalt iedereen zijn schouders op, zegt Mary-Jo de Leeuw. Ze is oprichter van het platform Internet of Toys, dat drie jaar lang onderzoek deed. “Iedereen trekt zijn handen er vanaf, dat vind ik heel zorgelijk.”

Als ze in de speelgoedwinkel staat, zegt ze weleens tegen andere ouders: ‘weet je wel zeker dat je die wilt kopen?’ Ze lacht erbij, maar haar boodschap is serieus. Na drie jaar onderzoek concludeert haar platform Internet of Toys dat het goed mis is met connected toys, speelgoed dat met het internet is verbonden.

De Leeuw en haar compagnon Anouk Vos onderzochten een hele reeks producten en de bijbehorende apps. Denk aan poppen die onthouden wat je zegt en kattenoren die bewegen op basis van je hersenactiviteit.

Daarbij moesten ze stellen dat er met allemaal iets mis was. “We vonden privacyissues die echt tenenkrommend waren. Waarom heeft zo’n app toegang nodig tot je contactgegevens? En waarom worden jouw data ter beschikking gesteld aan derden? Het is bovendien helemaal niet duidelijk of je gegevens opgeslagen worden op een veilige plek.”

Schattig… of toch niet

Aan aandacht voor hacks en datalekken is geen gebrek. Vorige week nog haalde een grote hack van camera’s de wereldwijde media. “Daarvoor worden boetes uitgedeeld en kunnen mensen gestraft worden. Maar internet of toys, dat vind iedereen vooral leuk en schattig. Dat zo’n pop zo lek is als een mandje en iedereen bij je gegevens kan komen, daarvan wordt gezegd: boeien.”

Dat connected toys helemaal niet zo schattig zijn, blijkt uit haar demo van de blonde pop Cayla. De Leeuw gebruikte het onschuldig ogende popje op een netwerkbijeenkomst voor oud-topmilitairen, waar ze haar zo had geprogrammeerd dat ze in het Arabisch doodswensen uitsprak. “Dat maakte meteen duidelijk waarom mijn verhaal belangrijk was. Cayla is het symbool geworden van de strijd die ik met mijn platform Internet of Toys voer.”


Connected toy Cayla, symbool van De Leeuws werk. (Beeld: RTL Z)

Voorwaarden zijn vaak ‘shocking’

Bij haar thuis komen er een heleboel dingen niet in. Op haar zwarte lijst staat om te beginnen alles van VTech. “De hacks bij die fabrikant vorig jaar toonden aan dat er van alles mis is met de veiligheid van de producten. De reactie van VTech was net zo tekenend als het ontkennen van een lek: er zou een update komen. Maar als al je gegevens op straat liggen, is een update inhoudsloos. Dat is net zoiets als naar de EHBO gaan met een gebroken arm en dat de arts zegt: neem maar een kopje suiker.”

Huize De Leeuw ligt niet vol met houten speelgoed: haar kinderen mogen gewoon spelen met een iPad en Xbox. Maar apparaten die aanwijsbaar data doorspelen naar andere partijen, die komen er niet in. “Ik check alle algemene voorwaarden van apparaten die in huis komen. Het is best wel shocking wat daar in staat. Je moet je echt goed afvragen waarom je je gegevens zou weggeven aan een volstrekt onbekende.”


Screenshot van de voorwaarden van de Cayla pop.

Vandaag wonen we in Islamabad

Daarbij leert De Leeuw haar kinderen hetzelfde als ze volwassenen aanraadt: vul – als je dan toch een gebruikersprofiel moet aanmaken – altijd een nepnaam, -geboortedatum en -adres in. “Mijn kinderen maken er al grapjes over: vandaag wonen we in Islamabad.”

Nog zo een: gebruik nooit overal hetzelfde wachtwoord. “Dat is vragen om problemen. Als er op de ene plek een lek is, kun je met een beetje zoekwerk op nog veel meer plekken dingen uithalen met jouw wachtwoord.”

De eerste dode

Wat De Leeuw het meest is opgevallen na drie jaar onderzoek en het voeren van talloze gesprekken, is dat niemand zich verantwoordelijk lijkt te voelen voor veiligheids- en privacyproblemen met connected toys. “De Consumentenbond, Autoriteit Persoonsgegevens, ministeries; iedereen zegt: dit is niet mijn werkveld. Of nog erger, dan krijg je de reactie: wie ligt daar nou wakker van? Iedereen trekt zijn handen er vanaf, dat vind ik heel zorgelijk.”

De overheid geeft ook niet het goede voorbeeld, vindt De Leeuw. “Er is net een rapport uitgebracht door de Cyber Security Raad, die de overheid gevraagd en ongevraagd moet adviseren. Onder het kopje ‘Internet of Things’ is de conclusie: de wereld wordt steeds digitaler. Daar moet ik van huilen. Wat gaan we dóen met z’n allen? Zelfs de overheid komt na al die jaren niet verder dan het advies ‘stop niet zomaar een usb-stick in je laptop’.”

Wanneer er écht verschil komt? “Als de eerste dode valt, zeggen Anouk en ik altijd.”

Keurmerk op speelgoed

Haar Internet of Toys is wél klaar voor de volgende stap. Er lopen gesprekken met publieke en (internationale) private partijen om standaarden te ontwikkelen. Standaardisatie van connected speelgoed is haar droom: “Van alles wat in de cloud wordt opgeslagen, de authenticiteit verifiëren en veiligheid waarborgen.”

Voor een keurmerk denkt ze aan het gebruik van duidelijke symbolen. “Vergelijkbaar met verkeersborden: ‘Dit speelgoed maakt gebruik van bluetooth, een app, de cloud’, et cetera. Geen mening eraan verbinden, maar mensen erop wijzen wat het doet.”

Pitchen voor opschaling

Het ontbreekt alleen nog aan slagkracht: mensen en geld. Een pitch die De Leeuw vandaag doet bij een ministerie, zou daar wel eens verandering in kunnen brengen. “We willen ons testlab uitbreiden en het team opschalen.”

De Leeuw hoopt een stevige club neer te zetten: ethical hackers die nog meer speelgoed testen, juridisch adviseurs die onderzoeken waar het misgaat in wet- en regelgeving en relatiemanagers die bijvoorbeeld met fabrikanten praten. “Als dat lukt, kunnen we een voorzet doen voor een nieuwe standaard. Het probleem benoemen en daadwerkelijk een oplossing aandragen. Dat is de enige manier om de digitale wereld echt veiliger te maken.”

Deze week is het Techweek op RTL Z. Met veel extra verhalen over de laatste technologische trends. Lees ze hier allemaal terug.

Bron • RTL Z / Karin Husslage

The Legal & Internet Governance Track (Decrypting Sextortion Workshop at IGF2016)

What are the reasonable expectations of privacy users have in social media? What are the legal remedies that can facilitate a safety online experience? Are individuals’ difficulty expressing themselves in the face of online assaults absent from discussions about the Internet’s speech-facilitating role? Should sextortion be only tackled by criminalization of the abuser, what are the challenges in the face of law enforcement? How recent developments in regional case law (i.e European Court of Human Rights) may affect internet intermediaries’ monitoring, notice and takedown operations? Which internet intermediaries good practices based on content monitoring and take down tools should be boosted to tackle sextortion?

Panel moderator and panelist on the legal and internet governance track (Decrypting Sextortion workshop  at IGF2016): Catherine Garcia van Hoogstraten, Digital Governance, Information Technology & Cybersecurity advisor, researcher, senior lecturer at the Hague University of Applied Sciences & Webster University, WICS, C.vanHoogstraten@hhs.nl, Twitter:@CatherineGvh

Here you can read her interview with Webster University about the cybersecurity industry and what students can expect during her class.