15 november 2016 door Miloe van Beek
De feestdagenfolders staan vol met pratende knuffels, elektronische honden en slimme robotjes. Kinderen zijn dol op dit soort 'connected toys' met microfoons, camera's, bluetooth- en wifi-verbinding. Maar ze zijn niet zo onschuldig als ze eruitzien.
Die blonde pop die zo aardig antwoord geeft op de vragen van je 4-jarige, roept ineens vreselijke scheldwoorden. En de guitige Fisher-Price teddybeer waar je dochter woordspelletjes mee doet, vraagt ineens of zij zich wil uitkleden. Het zal maar uit de zak van Sinterklaas tevoorschijn komen.
Bangmakerij? Horrorverhalen? "Zeker niet," zegt Mary-Jo de Leeuw, de oprichter van Internet of Toys. Deze denktank houdt zich bezig met cyberveiligheid en privacy-aspecten van elektronisch speelgoed. "Het lijkt onschuldig speelgoed, maar wie kwaad wil, kan er veel ellende mee aanrichten," waarschuwt De Leeuw. Zelf herprogrammeerde ze eens de pop Cayla en liet haar een Arabische doodswens uitspreken tijdens een bijeenkomst met het Nederlandse leger. "Toen ik vertelde dat Cayla ook op afstand bestuurbaar was, waren de militairen in de zaal wel wakker."
Naast pratende poppen zijn er tegenwoordig ook kletsende dino's en interactieve kleine robots op de markt. Allemaal bevatten ze een microfoon en een geluidsbox, moeten ze worden aangesloten op wifi en zijn ze programmeerbaar. "We onderzoeken wat er gebeurt wanneer je dit soort connected toys met elkaar laat communiceren. Recent vond er een grote hack plaats waarbij 100.000 camera's met elkaar werden verbonden en vanaf één punt aangestuurd. We denken dat je zo'n grote hack ook met connected toys kan uitvoeren."
Hello Barbie, van speelgoedfabrikant Mattel, kwam in 2015 op de (Amerikaanse) markt en werkt zo ongeveer als online hulpfee Siri op een iPhone of iPad. Zegt een kind iets tegen Hello Barbie, dan stuurt de wifi dat naar de servers van het bedrijf ToyTalk en selecteert speciale software razendsnel welke reactie de juiste is. Ook knuffel Ubooly communiceert via een app met kinderen. Ouders die de apps van Kiddies smartwatch en Kidizoom camera's van Vtech installeren, geven de fabrikant toegang tot bijvoorbeeld de naam en geboortedatum van het kind. "De gegevens worden ergens in de cloud opgeslagen, maar niemand weet waar. Het ligt dus eigenlijk op straat," stelt De Leeuw.
Hoe mis het dan kan gaan, bleek eind 2015 toen de database van VTech werd gehackt, met de gegevens van ouders en kinderen. Vtech zegt hier enorm van geschrokken te zijn en heeft de beveiliging verbeterd. "De gegevens zaten in een kast die afgesloten was met een standaard slot. Nu is dat een kluis," zegt Johan Dassen, directeur van VTech Benelux.
Behalve iPads voor kinderen, horloges en camera's, brengt VTech ook de gepersonaliseerde knuffels Nino en Nina op de markt. Voer de naam en bijvoorbeeld ook de lievelingskleur van je kind in op de site, en Nina noemt je dochter vrolijk bij haar naam. VTech kan of wil verder niets met die gegevens doen, volgens Dassen; die zijn alleen bedoeld om de knuffel interactief sterker te maken.
Maar Mary-Jo de Leeuw is daar kritisch over. "Als VTech niets met die gegevens wil doen, waarom slaat het die dan op? Mijn kinderen krijgen niets van VTech. Wij weten zeker dat het lek niet voor honderd procent is gedicht, maar helaas wil VTech daar niets over horen."
Mediawijzer.net, een netwerk dat mediawijsheid voor de jeugd wil bevorderen, bracht in het voorjaar van 2016 al een rapport uit over de risico's van wifi-speelgoed. Naar aanleiding van de naderende komst van Sinterklaas wijst het ouders hier opnieuw op, met tien tips hoe zij het beste hiermee kunnen omgaan. "Dit type speelgoed wordt onderschat, maar het is net als het 'internet of things' te hacken," zegt programma-manager Mary Berkhout.
Zij wil dat de privacy van kinderen standaard wordt beschermd. "Speelgoed mag ook geen giftige stoffen of losse onderdelen bevatten. Voor wifi-speelgoed zou moeten gelden dat het altijd veilig is en dat de ingevoerde persoonlijke data nooit mogen worden gedeeld of misbruikt. Nu is daar niets over vastgelegd, daarom willen wij ouders wakker schudden." Ze pleit – net als De Leeuw – voor een keurmerk of standaard voor digitaal speelgoed: wettelijke regels waaraan fabrikanten moeten voldoen, voordat ze iets op de markt mogen brengen.
Vooralsnog zien ouders vooral die onschuldige knuffelbeer, en denken bovendien: wat heb ik nou te verbergen? Dat merkt ook Astrid Oosenbrug, woordvoerder cybersecurity bij de PvdA. "Alles met een camera, microfoon en internet-verbinding erin is gevoelig voor hacks. Ouders vergeten dat de microfoon in die schattige beer gesprekken in huis opvangt en dat de pincode die je mondeling aan je geliefde doorgeeft, ergens op een buitenlandse server terecht kan komen."
Oosenbrug maakt zich ook zorgen over de gebrekkige software van het speelgoed. Apparaten die ongebruikt in een la liggen, kunnen nog steeds zenden en ontvangen en zijn zonder updates nog kwetsbaarder voor hacks. "Daarom wil ik dat die pratende pop zichzelf uitschakelt als er bijvoorbeeld een jaar geen update heeft plaatsgevonden."
Maar in Den Haag kan Oosenbrug maar weinig medestanders vinden. Net als veel ouders denken de meeste politici dat de scenario's die zij schetst, science fiction zijn. "Als er een debat in de Tweede Kamer komt over digitale veiligheid, zou ik graag een gehackte pop willen meenemen die de Internationale zingt, maar dat is niet toegestaan, vanwege het Reglement van Orde."
Mary-Jo de Leeuw hoopt vooral dat ouders zich gaan realiseren dat hun data het nieuwe goud zijn. "Bedrijven willen weten hoe je je gedraagt en wanneer en waar je actief bent. Fastfood-ketens betalen veel geld aan de makers van computerspel Pokemon Go om bijvoorbeeld Pikachu in hun filiaal te laten vangen door spelers. Wie bepaalt betaalt, en commercie gaat steeds vaker boven veiligheid."
De hamvraag blijft wie er nou eigenlijk verantwoordelijk is voor de privacy van kinderen. Zijn dat de ouders, fabrikanten, de overheid? "Ouders hebben natuurlijk een zorgplicht als het gaat over de privacy van hun kind. Maar het lijkt mij ook niet in de haak dat apparaten privacy-gevoelige informatie doorsturen. Helaas zijn dergelijke privacy-aspecten van speelgoed wettelijk nog ongereguleerd," zegt internet-jurist Arnoud Engelfriet. Hij zou het liefst zien dat fabrikanten de (on)veiligheidsaspecten opnemen in hun gebruiksaanwijzing. "Of nog liever, in de productbeschrijving in de winkel."
De Autoriteit Persoonsgegevens heeft nog nooit speelgoedfabrikanten beboet, maar de digitale rekenmethode Snappet en kinderapp Okki zijn wel op de bon geslingerd. Snappet gebruikte de resultaten van kinderen op een ongeoorloofde manier; Okki had een app waarmee kinderen leren hun tanden goed te poetsen en werd berispt vanwege de foto's van tandenpoetsende kinderen die het publiceerde.
"Kinderen vormen een kwetsbare groep, dus voordat je iets produceert, moet je nadenken wat voor data je over hen verzamelt," zegt woordvoerder Lysette Rutgers. Veel speelgoedfabrikanten hebben geen Nederlandse vestiging, waardoor de Autoriteit Persoonsgegevens niet kan optreden. Dat gaat overigens veranderen onder de nieuwe Europese privacy-regels die in 2018 van kracht worden. Dan moeten bedrijven actiever aantonen dat ze voldoen aan de privacy-regels en kinderen worden daarin specifiek genoemd.
Ornes, de branchevereniging van Nederlandse speelgoedleveranciers, zegt haar leden actief voor te lichten over de (nieuwe) privacy-wetgeving. "We verzamelen alleen gegevens die relevant zijn, gezien het speelgoed, en gaan daar naar eer en geweten mee om," stelt woordvoeder Miesje van Rijn. "Die data mogen niet worden doorverkocht en zijn goed beveiligd tegen hacks."
Ze vindt het jammer dat veel mensen zo verkrampt reageren als het over wifi-speelgoed gaat. "Ouders kunnen beter zorgen dat kinderen leren omgaan met de huidige wereld en technologische ontwikkelingen zoals internet." Met regels houd je deze ontwikkelingen niet tegen, meent ze, online heb je nergens garantie op een waterdichte beveiliging. "Google legt je gedrag ook vast."
Van Rijn is voorstander van richtlijnen voor veilig gebruik van gegevens, maar is wel bang dat de gebruiksaanwijzing van wifi-speelgoed daardoor zo ingewikkeld wordt dat er niet meer mee te spelen valt. Mary Berkhout vindt het jammer dat de industrie het probleem bagatelliseert, maar begrijpt wel hoe dit komt. "Speelgoedfabrikanten zijn niet allemaal computer-experts, ze weten niet altijd of de achterkant – de techniek achter het speelgoed – goed op orde is." Mary Jo de Leeuw vindt dit onzin. "Zeggen dat je geen verstand hebt van de materie, ontslaat je nog niet van de verplichting deugdelijk speelgoed op de markt te brengen."
Behalve de gebrekkige veiligheid en mogelijke privacy-schending is er nog een reden om die pratende beer in de winkel te laten staan, volgens speelgoeddeskundige Marianne de Valck. "Ouders denken dat kinderen wat leren van dit speelgoed. Maar uit hersenonderzoek is bekend dat jonge kinderen tot abstract denken komen door fysiek dingen uit te proberen en dat steeds te herhalen. Spelen met tastbare elementen, en gewicht en vormen voelen, is daarbij essentieel."
Met andere woorden: software aan kinderen geven als de hardware nog niet aanwezig is, heeft geen enkele zin. "Een kind leert niks van een dino die meteen het juiste antwoord geeft." Het engste aan pratende poppen en knuffels vindt De Valck overigens de eenzaamheid waar het aan appelleert. "Een kind ziet een Barbie, meer dan een tablet, als een vriendin aan wie je vragen kan stellen. Dat geeft mij geen prettig gevoel."
Maar wat te doen met dat verlanglijstje voor de Sint in de kinderschoen, dat volstaat met knipperend en pratend speelgoed? Verlanglijstjes zijn geen boodschappenlijstjes, stelt De Valck. "Sint is een anonieme gever die zich van alles kan veroorloven. Je moet dat lijstje niet als zaligmakend beschouwen."
De Leeuw heeft nog wel een suggestie voor ouders die hun kind toch iets elektronisch willen geven. "Met een Raspberry Pi, een open source-bouwpakket voor een pc, waarmee je kunt leren programmeren. Of geef een Pineapple: daarmee kun je onbeveiligde wifi-netwerken afluisteren."
[Beeld: de 'Smart Toy Bear' van Mattel]
