'Data-disclaimer gehackte Vtech is betekenisloos'
De vorig jaar gehackte speelgoed- en computerfabrikant Vtech zegt dat gebruikers er rekening mee moeten houden dat de informatie die ze aan het platform geven kan worden onderschept of gehackt. Dat schrijft het bedrijf in de algemene voorwaarden. Volgens jurist Arnoud Engelfriet van Bureau ICTRecht is die uitspraak betekenisloos, maar moeten we ons er wel iets van aantrekken.
Bij de hack werden de data van miljoenenen ouders en kinderen gestolen. Het ging wereldwijd om gegevens van 4,9 miljoen ouders en nog eens 6,4 miljoen kinderen. De hack leidde tot veel ophef, omdat bleek dat Vtech de gegevens onvoldoende had beschermd. Al snel zei Vtech dat het voortaan beter met de data zou omgaan.
Geen 100 procent garantie
Maar door de hack durft Vtech geen garanties meer te geven, blijkt uit de voorwaarden. "Door ons uw persoonsgegevens online te verstrekken, accepteert u het risico dat derden deze gegevens kunnen onderscheppen, misbruiken of wijzigen. Verstrek geen informatie waarvan u niet wilt dat VTech daar toegang toe heeft."
"We hebben van deze hack geleerd dat we nooit iets 100 procent kunnen beveiligen", zegt Johan Dassen, commercieel directeur van Vtech Nederland. "We willen dat onze gebruikers hier bewust van zijn. Daarnaast zijn ze uiteraard niet verplicht om onze producten te gebruiken."
Dassen bevestigt dat de zin is toegevoegd na de hack en zegt dat het bedrijf nog met advocaten in gesprek is om het gedeelte over databescherming nader toe te lichten. Ook benadrukt de commercieel directeur dat het bedrijf er alles aan doet om de data te beschermen.
Consumenten afschrikken
"De tekst in de algemene voorwaarden is in zoverre belangrijk dat het bedijft hiermee zegt dat ze verder niks aan beveiliging hoeven te doen" zegt Engelfriet. "Ze zeggen in feite: de deur kan wagenwijd openstaan en dan kan het gebeuren dat er dingen worden gestolen. Dat is het equivalent van: wij leunen achterover, jij hebt pech."
Engelfriet denkt dat de tekst bedoeld is om onwetende consumenten af te schrikken. "Het werkt ook zo met de bordjes in bijvoorbeeld restaurants waarop staat de directie niet verantwoordelijk is voor diefstal. Je kunt ze daar echter wel verantwoordelijk voor houden. Privacy en beveiliging kun je niet disclaimen."
Verklaring niet leidend
In een reactie aan de NOS laat de Autoriteit Persoonsgegevens (voorheen het College Bescherming Persoonsgegevens) weten dat als er weer een incident plaatsvindt bij Vtech, de Nederlandse wet leidend zal zijn en niet de verklaring van het bedrijf. Volgens de Nederlandse wet zijn bedrijven verplicht om op een goede manier zorg te dragen voor data.
In Groot-Brittannië adviseren experts ouders inmiddels om het speelgoed van VTech voorlopig te boycotten of in ieder geval heel voorzichtig te zijn, schrijft de BBC.
