Dagopvang-apps zijn ontworpen om het dagelijks leven in kinderdagverblijven gemakkelijker te maken. Ouders kunnen ze bijvoorbeeld gebruiken om toegang te krijgen tot rapporten over de ontwikkeling van hun kinderen en om te communiceren met leerkrachten. Sommige van deze toepassingen hebben echter ernstige beveiligingsfouten. Dat concluderen onderzoekers van de Ruhr-Universität Bochum (RUB), Westfälische Hochschule en het Max Planck Institute for Security and Privacy in Bochum, in samenwerking met een branchepartner. Ze analyseerden 42 kinderopvang-apps uit Europa en de VS op het gebied van veiligheid en privacy. In sommige apps hadden ze toegang tot privéfoto's van de kinderen; verschillende apps hebben zonder toestemming toegang gekregen tot de persoonlijke gegevens van gebruikers en deze met derden gedeeld.

Het team onder leiding van Dr. Matteo Große-Kampmann, die zijn Ph.D. aan het Horst Görtz Institute for IT Security aan de RUB, en Dr. Maximilian Golla van het Max Planck Institute for Security and Privacy zullen hun bevindingen in juli 2022 in Sydney presenteren op het "22e Privacy Enhancing Technologies Symposium". Daarvoor werden de resultaten online gepubliceerd.

"Volgens de Europese Algemene Verordening Gegevensbescherming en de Amerikaanse Children's Online Privacy Protection Act zijn gegevens van kinderen onderworpen aan speciale bescherming", zegt Maximilian Golla. "Helaas hebben we geconstateerd dat veel apps deze bescherming niet kunnen garanderen."

De analyses zijn uitgevoerd in samenwerking met AWARE7 GmbH. Het team nam vóór publicatie contact op met alle app-fabrikanten en maakte hen op de hoogte van de kwetsbaarheden.

Gebruikt door miljoenen

Voor het onderzoek analyseerden de onderzoekers Android-kinderopvang-apps die ze in de Google Play Store hebben gevonden en die in ieder geval de volgende functies bieden:zowel de ontwikkeling van de kinderen als eventuele speciale activiteiten kunnen in de app worden vastgelegd in de vorm van notities, foto's en video's; de app heeft een messenger-functie waardoor het kinderdagverblijfpersoneel met de ouders kan communiceren; de app ondersteunt het kinderdagverblijfbeheer bij administratieve processen zoals facturatie, het maken van roosters en het organiseren van groepen. De meest gebruikte apps "Bloomz" en "brightwheel" zijn meer dan een miljoen keer gedownload uit de Google Play Store. Alles bij elkaar hebben alle apps ongeveer drie miljoen downloads bereikt.

In sommige gevallen worden persoonlijke gegevens verkocht

Van de geanalyseerde apps hadden er acht ernstige beveiligingsproblemen waardoor aanvallers bijvoorbeeld de privéfoto's van de kinderen konden bekijken. In 40 apps ontdekten de onderzoekers dat ze ouders en opvoeders monitoren:ze verzamelen het telefoonnummer en e-mailadres van de gebruiker, evenals informatie over het apparaat en het gebruik van de app, zoals het moment waarop op een knop werd geklikt. De fabrikanten delen en verkopen deze en andere informatie aan externe leveranciers. Een app-ontwikkelaar schrijft:"... deel gegevens met partners voor zakelijke doeleinden, zoals het gemiddelde aantal luierwisselingen per dag...". Vaak worden de gegevens gedeeld met Amazon, Facebook, Google of Microsoft voor gerichte reclamecampagnes.

Ontoereikend privacybeleid

"We hebben ook gekeken naar het privacybeleid van de providers", zegt Maximilian Golla. "En er kwam een ​​angstaanjagend beeld naar voren. Veel van de beleidsregels vermeldden niet eens dat ze gegevens van kinderen verwerken, laat staan ​​dat ze gegevens verzamelen en verkopen, ook al zijn ze verplicht door de Europese en Amerikaanse wetgeving."

Maar dat betekent niet noodzakelijk dat de aanbieders te kwader trouw handelen. "We vermoeden eerder dat het om technische en organisatorische problemen gaat", zegt Matteo Große-Kampmann. Volgens de onderzoekers handelen sommige providers onzorgvuldig omdat het gekoppelde privacybeleid niet compliant is, deels omdat het geen informatie bevat over de gegevensverwerking in de app of over de aangeboden diensten en vaak al jaren niet is bijgewerkt.

De onderzoekers hopen dat hun bevindingen de aandacht zullen vestigen op deze gevoelige kwestie, aangezien de gegevens van kinderen op het spel staan. "Het spreekt voor zich dat managers van kinderdagverblijven, kinderdagverblijven en ouders niet elke app zelf kunnen analyseren", zegt Matteo Große-Kampmann. "Maar uiteindelijk moeten ze de verantwoordelijkheid nemen voor de beslissing welke app ze moeten gebruiken."

Richtlijnen en checklists

Volgens Maximilian Golla is het principieel afwijzen van kinderopvang-apps geen haalbare oplossing, vooral omdat er aanbieders zijn zonder beveiligingsproblemen, die voldoen aan de regels voor gegevensbescherming. "Als er geen officiële app is, gebruiken ouders messenger-diensten zoals WhatsApp, wat de slechtste oplossing is als het om privacy gaat", merkt hij op.

Volgens de IT-experts zou het een goed idee zijn dat experts richtlijnen en checklists opstellen. Overheidsinstanties zouden bijvoorbeeld aanbevelingen kunnen doen en deze doorgeven aan de verenigingen die de kinderdagverblijven runnen.