Tijd voor actie: Er moet nu iets worden gedaan aan de veiligheid van connected speelgoed

Cayla

De overheid moet zijn verantwoordelijkheid nemen om de problemen rondom verbonden speelgoed aan te pakken. Dat zegt Mary-Jo de Leeuw van het platform Internet of Toys. Ze reageert daarmee onder meer op de ophef rondom de pop My Friend Cayla.

De ‘afluisterpop’ Cayla kwam deze week in het nieuws nadat de Noorse Consumentenbond Forbrukerrådet aantoonde dat kinderen via dit verbonden stuk speelgoed konden worden afgeluisterd. Eerder dit jaar was er bijvoorbeeld al zo’n zelfde soort probleem met een Barbiepop met een internetverbinding en zo is er inmiddels al een hele lijst voorbeelden van grote beveiligingsproblemen met connected speelgoed.

De Noorse Consumentenbond toonde deze week niet alleen aan dat een kwaadwillende de pop Cayla kan gebruiken om kinderen af te luisteren. Ook liet de organisatie zien dat iemand via de pop met het kind zou kunnen praten. Dat dit met specifiek Cayla al mogelijk is, is veel langer bekend: de pop werd in januari 2015 gehackt door de ethische hacker Ken Munro. Hij liet toen aan de BBC zien dat de pop kwetsbaarheden vertoont.

Toch haalde Blokker Holdings, het moederbedrijf van Intertoys en Bart Smit, de pop pas na de ophef van deze week uit de schappen. Het is merkwaardig dat er de afgelopen twee jaar niets is gebeurd, vindt De Leeuw. Zij is oprichter van het platform Internet of Toys. Daarin komen onder meer overheidsinstanties, ethische hackers en fabrikanten samen om de problemen rondom verbonden speelgoed te onderzoeken. Met dat onderzoek verdiept het platform zich in de problemen die bijvoorbeeld rondom de pop Cayla spelen.

Wie er in het platform precies vanuit verschillende hoeken vertegenwoordigd zijn, wil De Leeuw niet zeggen. Die beslotenheid bevordert volgens haar het vertrouwen van de leden onderling. Het doel van Internet of Toys is volgens De Leeuw niet alleen het aankaarten van problemen, maar ook zorgen voor een oplossing. “Door nu deze pop uit de schappen te halen, los je het probleem niet op. Dat is maar symboolpolitiek. Er is veel meer aan de hand.” De Leeuw denkt dat het moment wel gebruikt kan worden om het onder de aandacht te brengen. “Ik denk dat we aan de hand van Cayla kunnen doorpakken.”

connected speelgoed: Hello Barbie

Keurmerk

Wat moet er dan gebeuren? Het platform Internet of Toys is volgens De Leeuw te klein om het probleem aan te pakken. Zij ziet het liefst dat er een instantie komt die toezicht gaat houden op digitaal speelgoed. Die zou volgens haar keurmerken moeten kunnen uitdelen, maar gaan zorgen voor standaardisatie, bijvoorbeeld over hoe speelgoed technisch communiceert. “Dat is echt de eerste stap. Het leidt tot transparantie. Die transparantie kan ook bijdragen aan waarom iets relevant is voor speelgoed. Ik wil gewoon met een knuffeldier spelen. Waarom zou ik daarvoor mijn locatie moeten doorgeven?”

Keurmerken kunnen daarnaast volgens De Leeuw helpen voor de bewustwording bij ouders. “Zodat zij door het zien van bepaalde icoontjes weten dat het speelgoed gebruikmaakt van wifi, of dat het speelgoed data opslaat.”

Dat is ook waar Mediawijzer, een organisatie die zich vooral richt op de voorlichting van ouders, wel wat in ziet. “Je weet op dit moment niet goed wat je in huis haalt”, zegt Mary Berkhout van Mediawijzer. Die onduidelijkheid is volgens haar de belangrijkste conclusie uit een rapport over digitaal speelgoed dat de organisatie vorige maand publiceerde “Je hebt ook geen garanties dat er zorgvuldig wordt omgegaan met de data die je invoert.”

Maar alleen voorlichting is niet genoeg. “Je mag van ouders niet verwachten dat ze alles weten over de beveiliging als ze een stuk speelgoed kopen.” Het is daarom volgens haar tijd voor regels rondom verbonden speelgoed, zoals een keurmerk. “We willen graag wat we noemen een privacymarkering”, zegt Berkhout. “Dat zijn regels waar connected speelgoed aan moet voldoen. Dat gaat bijvoorbeeld over de manier waarop data worden opgeslagen en dat je een eigen wachtwoord moet kunnen instellen. Dat soort eisen willen we opstellen. We streven ernaar dat dat in een wet komt.”

connected speelgoed: Smart Toy Bear

Politiek

Mediawijzer is echter nog maar net begonnen aan deze stap. “Ik heb geen idee eigenlijk hoe dat gaat lopen en wat voor vaart dat krijgt”, zegt Berkhout. “We hopen dat er in de politiek belangstelling voor komt.”

Is er nog hoop gevestigd op de Europese regels? In mei 2018 gaat de privacyverordening van kracht. Daardoor moeten bedrijven in Europa in begrijpelijke taal uitleggen welke gegevens ze verzamelen en wat ze daarmee doen. Volgens De Leeuw is de impact daarvan beperkt. “Het is een stap in de goede richting, maar ik vind dit ook meer symboolpolitiek.” De regels hebben namelijk geen impact buiten Europa.

In een connected world haal je connected speelgoed gemakkelijk overal vandaan. En dat maakt het ongelofelijk lastig om de beveiliging en privacy-issues van dit soort speelgoed te reguleren. In dat opzicht is het niet vreemd dat er steeds vaker geluiden opgaan om kinderen ook vooral gewoon met ouderwets ‘offline’ speelgoed te laten spelen.