Kinderen zijn dol op verkleedpartijtjes, maar ouders willen niet dat ze zonder toestemming en onder goed toezicht op zolder rommelen of naar de bovenste plank van de kledingkast klimmen. De website i-Dressup.com bood gebruikers – waaronder kinderen – een virtuele manier om zich te verkleden en kleding te ontwerpen zonder die potentiële gevaren. Maar volgens een klacht van de FTC heeft Unixiz, Inc., het bedrijf achter i-Dressup, de Children’s Online Privacy Protection Act geschonden op manieren die verschillende soorten risico’s met zich meebrengen.
COPPA biedt twee afzonderlijke beschermingsmechanismen om ouders te helpen controle te houden over persoonlijke informatie die online van hun kinderen wordt verzameld. Ten eerste moeten bedrijven die onder de COPPA vallen, hun informatiebeleid duidelijk bekendmaken en toestemming van de ouders krijgen voordat ze persoonlijke informatie van kinderen jonger dan 13 jaar verzamelen. Ten tweede moeten bedrijven een redelijke en passende beveiliging bieden voor de gegevens die ze verzamelen. Volgens een schikking van de FTC voldeed i-Dressup niet aan beide COPPA-vereisten.
In de klacht wordt beweerd dat i-Dressup op zijn site niet voldoende bekendmaakte welke informatie het online van kinderen verzamelde, hoe het die gebruikte, zijn openbaarmakingspraktijken en andere bijzonderheden die door de COPPA-regel worden vereist. De directe mededelingen van het bedrijf aan de ouders waren ook gebrekkig. Ze bevatten onder andere niet de COPPA-vereiste verklaring dat als ouders niet binnen een redelijke termijn toestemming geven, i-Dressup hun online contactinformatie uit haar bestanden zal verwijderen. Blijf bij het verhaal, want dat verzuim bleek bijzonder verontrustend.
Naast dat gebruikers online spelletjes konden spelen, had i-Dressup een community waar ze “hun creativiteit en gevoel voor mode konden verkennen met unieke persoonlijke profielen” en met anderen konden interageren. Om zich te registreren, moesten mensen bij i-Dressup een gebruikersnaam, wachtwoord, geboortedatum en e-mailadres opgeven. Als de geboortedatum aangaf dat de persoon jonger was dan 13 jaar, veranderde het e-mailveld in “E-mail van de ouder”. Zodra de gebruiker onder de 13 jaar de vereiste velden had ingevuld en op “Nu lid worden” had geklikt, verzamelde i-Dressup de persoonlijke gegevens en stuurde een bericht naar het adres dat in het e-mailveld van de ouder was ingevuld. De persoon die de e-mail ontving, kon toestemming geven door op de knop “Nu activeren” te klikken.
Maar als de ouder geen toestemming gaf, bewaarde i-Dressup de persoonlijke informatie die het online van het kind had verzameld. De FTC zegt dat het nalaten van het bedrijf om die informatie te verwijderen in strijd was met sectie 312.5(c)(1) van de COPPA-regel.
Naast het schenden van de COPPA-bepalingen over toestemming van ouders, zou i-Dressup naar verluidt de vereisten voor gegevensbeveiliging van de regel hebben geschonden. Volgens de FTC heeft i-Dressup persoonlijke informatie van gebruikers (waaronder wachtwoorden) in platte tekst opgeslagen en doorgegeven. Bovendien heeft het bedrijf zijn netwerk niet op kwetsbaarheden getest, zelfs niet op bekende bedreigingen zoals SQL-aanvallen; het heeft geen inbraakdetectie- en -preventiesysteem geïmplementeerd; en het heeft niet gecontroleerd op mogelijke veiligheidsincidenten. Het gevolg? Het bedrijf ontdekte dat een hacker toegang had gekregen tot zijn netwerk en informatie had opgevraagd over 2,1 miljoen gebruikers, waaronder ongeveer 245.000 gebruikers die aangaven jonger te zijn dan 13 jaar.
Om de zaak te schikken, betalen i-Dressup en zijn eigenaars een civiele boete van 35.000 dollar. Het is hen ook verboden om in de toekomst COPPA te schenden, en ze mogen geen persoonlijke informatie verkopen, delen of verzamelen totdat ze een uitgebreid gegevensbeveiligingsprogramma implementeren en tweejaarlijks een onafhankelijke beoordeling krijgen. Bovendien moeten zij de FTC jaarlijks een certificaat van naleving verstrekken.
De boodschap voor sites en exploitanten die onder COPPA vallen, is dat een effectief systeem van ouderlijke toestemming slechts de eerste stap is op weg naar naleving. Sectie 312.8 van de COPPA-regel vereist ook dat u “redelijke procedures opstelt en handhaaft om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die van kinderen is verzameld, te beschermen.”
Geïnteresseerd in kwesties van gegevensbeveiliging? Lees een begeleidende verklaring van de Commissie en kom meer te weten over een andere actie van de FTC die vandaag is aangekondigd.