We kunnen de doeltreffendheid ervan niet garanderen om kinderen hun groenten te laten eten of hun huiswerk te laten maken. Maar er is één situatie waarin mama of papa zeggen: ‘Omdat ik het zei…’ is staatsrecht. Tenminste als het gaat om het online verzamelen van persoonlijke informatie van kinderen onder de 13 jaar Wet op de onlineprivacybescherming van kinderen (COPPA) ouders de leiding geven.
FTC-rechtszaak tegen VTecheen grote naam op het gebied van elektronische leerproducten voor Swingset Set, waarbij wordt beweerd dat het bedrijf onder meer COPPA en de FTC Act heeft geschonden door geen redelijke stappen te ondernemen om gevoelige gegevens van kinderen te beschermen. Een bijzonder zorgpunt in dit geval is de FTC‘De eerste zaak die VTech heeft behandeld met verbonden speelgoed is een beschuldiging dat de schending van VTech pas aan het licht kwam nadat een hacker persoonlijke informatie over kinderen en ouders had gestolen met behulp van de producten van het bedrijf.
Eerst wat achtergrond. VTech exploiteert Learning Lodge, een online platform waarmee klanten apps, games, e-books enz. gericht op kinderen kunnen downloaden naar hun met VTech verbonden apparaten. Ruim 2 miljoen ouders hebben Learning Lodge-accounts aangemaakt voor bijna 3 miljoen kinderen. Een populaire app is Kid Connect, waarmee kinderen precies dat kunnen doen versturen sms-berichten, audiobestanden, foto’s, enz. naar contacten die zijn goedgekeurd door mama of papa. Eenmaal geregistreerd kunnen kinderen ook berichten plaatsen op een elektronisch prikbord dat toegankelijk is voor mensen op de door hun ouders goedgekeurde contactlijst.
Als een kind Kid Connect wilde gebruiken, moesten de ouders zich van minimaal juli 2013 tot november 2015 registreren bij Learning Lodge. Registratie vereist veel persoonlijke informatie: de volledige naam van de ouders, het fysieke adres, e-mailadres, wachtwoord en een geheime vraag en antwoord voor het ophalen van het wachtwoord, evenals de naam van het kind, de geboortedatum en het geboortejaar en het geslacht. Ouders kunnen vervolgens een Kid Connect-account aanmaken door een e-mailadres, gebruikersnaam en wachtwoord van de ouder, de gebruikersnaam van het kind en profielfoto’s van de ouder en het kind in te dienen. (Daarnaast biedt VTech een webgebaseerd platform genaamd Planet VTech. Hiervoor moeten ouders ook een grote hoeveelheid persoonlijke informatie opgeven, waaronder de voornaam, inlognaam, wachtwoord en volledige geboortedatum van het kind.)
Waar beschuldigt de FTC VTech van wangedrag? Ten eerste stelt het privacybeleid van VTech dat wanneer ouders persoonlijke informatie invoeren als onderdeel van het registratieproces voor Learning Lodge, Kid Connect of Planet VTech, “in de meeste gevallen” die informatie “versleuteld zal worden verzonden om uw privacy te beschermen met behulp van HTTPS-coderingstechnologie.” Maar volgens de FTC waren de gegevens niet gecodeerd, dus de beweringen van VTech zijn onjuist volgens de FTC Act.
Dat klacht heeft VTech ook aangeklaagd wegens het overtreden van bepaalde bepalingen van COPPA. Volgens de FTC is VTech er niet in geslaagd om op haar website voldoende informatie te verstrekken over de informatie die het van kinderen verzamelt, hoe het die informatie gebruikt en de openbaarmakingspraktijken. Bovendien slaagde VTech er niet in om ouders rechtstreeks op de hoogte te stellen van haar beleid.
De rechtszaak beweert ook dat wanneer iemand een Kid Connect-account aanmaakt, VTech geen COPPA-conform mechanisme heeft om te verifiëren dat de persoon die het account registreert de ouder is en niet het kind.
Eindelijk, Artikel 312.8 De regel vereist dat bedrijven die onder de COPPA vallen, zoals VTech, “redelijke procedures opstellen en handhaven om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die over kinderen wordt verzameld te beschermen.” In dit geval kon een hacker echter op afstand toegang krijgen tot de VTech-testomgeving en van daaruit inbreken op de live site. Dat is waar hackers de volledige naam, het adres, het e-mailadres, de geheime vraag en de gebruikersnaam van een kind vastleggen – allemaal opgeslagen in duidelijke, gemakkelijk leesbare tekst. Hoewel VTech de wachtwoorden van kinderen en foto- en audiobestanden in een gecodeerd formaat opsloeg, bevatte de database waartoe de hackers toegang hadden, decoderingssleutels voor de foto’s en audio.
Bovendien zegt de FTC dat de informatie zo wordt opgeslagen dat de informatie van kinderen wordt gekoppeld aan de informatie van hun ouders. Als een kind bijvoorbeeld een foto via Kid Connect verzendt, kunnen hackers de foto vinden, samen met het thuisadres van het kind. Volgens de klacht was VTech zich er niet van bewust dat persoonlijke informatie uit zijn netwerk was gekopieerd totdat het bedrijf werd benaderd door een journalist.
Naast een civielrechtelijke boete van $ 650.000, voorgestelde oplossing omvat procedures om toekomstige COPPA-naleving te garanderen. Eén belangrijke bepaling: een uitgebreid gegevensbeveiligingsprogramma dat de komende twintig jaar elke twee jaar onafhankelijk moet worden gecontroleerd.
Natuurlijk hangt de zaak af van de feiten, maar het is de moeite waard om te kijken naar de beweringen van de FTC dat de beveiligingspraktijken van VTech tekortschoten. Elk van de aantijgingen in de klacht verwijst naar gevestigde veiligheidsprincipes waarmee bedrijven – en andere bedrijven – die onder de COPPA vallen, rekening moeten houden bij het evalueren van hun eigen procedures.
- In de klacht wordt beweerd dat VTech er niet in is geslaagd een alomvattend informatiebeveiligingsprogramma te ontwikkelen, implementeren en onderhouden. Als de programma’s van uw bedrijf ergens in een bestand zijn opgeslagen, bedenk dan dat COPPA beveiliging tot een “live” proces maakt. Het kan tijd zijn om uw programma opnieuw te bekijken in het licht van veranderingen in uw bedrijf en het veranderende dreigingslandschap.
- De klacht beweert dat VTech er niet in is geslaagd adequate maatregelen te nemen om zijn live websites te segmenteren en te beschermen tegen de testomgeving. Die zorgen moeten gehoord worden bekend bij bedrijven die hebben deelgenomen aan de FTC Begin met beveiliging En Blijf bij de beveiliging initiatief. Effectieve netwerksegmentatie kan helpen voorkomen dat ‘oeps’ zich ontwikkelt tot ‘uh-ohs’.
- In de klacht werd beweerd dat VTech niet over een inbraakdetectiesysteem beschikte. Als er in uw huis of op uw werkplek een inbraakalarm afgaat, bent u zeer alert. Door de jaren heen laten FTC-zaken en richtlijnen voor bedrijven vergelijkbare reacties zien op ongeautoriseerde netwerktoegang. Voorzichtige bedrijven beschikken over systemen om hen te waarschuwen voor digitale inbreuken.
- De klacht beweert dat VTech er niet in is geslaagd toezicht te houden op ongeoorloofde pogingen om persoonlijke informatie te verzamelen. Weet u of een indringer uw netwerk probeert over te nemen? Er zijn tools die u kunnen waarschuwen wanneer iemand grote hoeveelheden gegevens probeert over te dragen.
- In de klacht wordt beweerd dat VTech heeft gefaald om kwetsbaarheids- en penetratietests uit te voeren om te zien hoe het netwerk het zou doen tegen bekende kwetsbaarheden zoals SQL-injectie. Er is geen manier om een netwerk 100% hack-proof te maken, maar als Begin met beveiliging En Blijf bij de beveiliging Mijn suggestie is dat er verschillende stappen zijn die u kunt nemen om gevoelige gegevens te beschermen tegen oude maar vervelende aanvallen zoals SQL-injectieaanvallen.
- De klacht stelt dat VTech er niet in is geslaagd redelijke richtlijnen of training voor haar werknemers te implementeren. Beveiligingsbewuste bedrijven hebben een geheim wapen in hun zoektocht om gevoelige gegevens te beschermen: een waterput– opgeleid personeel. Of uw bedrijf nu onder COPPA valt of niet, heeft u beveiliging in uw bedrijf geïntegreerd? Begrijpen uw medewerkers uw verwachtingen duidelijk?
De FTC beschikt over de middelen om het u eenvoudig te maken gegevensbeveiliging En KOPA inspanningen op het gebied van naleving. Is tijd werkelijk zo waardevol? Reserveer een paar minuten per dag om een van onze shows te bekijken video’s voor bedrijven.
