Kinderen houden ervan om verkleedpartijtjes te spelen, maar ouders willen niet dat ze zonder toestemming en goed toezicht door het plafond snuffelen of op de bovenste plank van de kledingkast klimmen. De website i-Dressup.com bood gebruikers – inclusief kinderen – een virtuele manier om verkleedpartijen te spelen en kleding te ontwerpen zonder deze potentiële gevaren. Maar volgens een FTC-klacht heeft Unixiz, Inc.het bedrijf achter i-Dressup heeft de Children’s Online Privacy Protection Act geschonden op manieren die verschillende soorten risico’s met zich meebrachten.
COPPA heeft twee afzonderlijke sets beveiligingen ingevoerd om ouders de controle te houden over de persoonlijke gegevens die online van hun kinderen worden verzameld. Ten eerste moeten bedrijven die onder de COPPA vallen, hun informatiebeleid duidelijk openbaar maken en toestemming van de ouders verkrijgen voordat ze persoonlijke informatie verzamelen van kinderen onder de 13 jaar. Ten tweede moeten bedrijven redelijke en passende waarborgen bieden voor de gegevens die ze verzamelen. Volgens een FTC-schikking voldeed i-Dressup niet aan beide COPPA-vereisten.
De klacht beweert dat i-Dressup er niet in is geslaagd om op haar website voldoende informatie te verstrekken over de informatie die zij online van kinderen heeft verzameld, hoe zij deze heeft gebruikt, de openbaarmakingspraktijken en andere details die vereist zijn door de COPPA-regel. Ook de directe berichten van het bedrijf aan ouders ontbraken. Ze hebben onder meer niet de door de COPPA vereiste verklaring opgenomen dat als ouders niet binnen een redelijke termijn toestemming geven, i-Dressup hun online contactgegevens uit haar administratie zal verwijderen. Blijf bij het verhaal, want die mislukking bleek bijzonder verontrustend.
Naast dat gebruikers online games konden spelen, beschikte i-Dressup over een community waar ze “hun creativiteit en gevoel voor mode konden ontdekken met unieke persoonlijke profielen” en met anderen konden communiceren. Om zich te kunnen registreren, vereiste i-Dressup dat mensen een gebruikersnaam, wachtwoord, geboortedatum en e-mailadres opgaven. Als uit de geboortedatum bleek dat de persoon jonger dan 13 jaar was, werd het e-mailadresveld gewijzigd in ‘E-mailadres van de ouder’. Toen de gebruiker jonger dan 13 jaar de verplichte velden invulde en op “Nu meedoen” klikte, verzamelde i-Dressup de persoonlijke gegevens en stuurde een bericht naar het adres dat in het e-mailveld van de ouder was ingevoerd. De persoon die de e-mail ontvangt, kan toestemming geven door op “Nu activeren!” te klikken. knop.
Maar als de ouder geen toestemming gaf, bewaarde i-Dressup de persoonlijke informatie die het van het kind verzamelde online. De FTC zegt dat het onvermogen van het bedrijf om die informatie te verwijderen in strijd is met de wet Sectie 312.5(c)(1) in de COPPA-regel.
Naast het overtreden van de COPPA-bepalingen inzake ouderlijke toestemming, zou i-Dressup ook de regels van de COPPA hebben geschonden. vereisten voor gegevensbeveiliging. Volgens de FTC heeft i-Dressup de persoonlijke gegevens van gebruikers (inclusief wachtwoorden) in platte tekst opgeslagen en verzonden. Bovendien slaagde het bedrijf er niet in om netwerkkwetsbaarheidstests op zijn netwerk uit te voeren, zelfs niet voor bekende bedreigingen zoals SQL-aanvallen; het heeft geen systeem voor de detectie en preventie van indringers geïmplementeerd; en er werd niet gecontroleerd op mogelijke veiligheidsincidenten. Het resultaat? Het bedrijf ontdekte dat een hacker toegang had gekregen tot zijn netwerk en toegang had gekregen tot informatie over 2,1 miljoen gebruikers, waaronder ongeveer 245.000 gebruikers die zichzelf identificeerden als jonger dan 13 jaar.
Om de zaak af te handeleni-Dressup en zijn eigenaren zullen een civiele boete van $35.000 betalen. Het is hen ook verboden om in de toekomst de COPPA te schenden en zij kunnen geen persoonlijke informatie verkopen, delen of verzamelen totdat zij een alomvattend gegevensbeveiligingsprogramma hebben geïmplementeerd en elke twee jaar een onafhankelijke beoordeling krijgen. Bovendien moeten zij de FTC jaarlijks een certificaat van naleving verstrekken.
De boodschap voor websites en exploitanten die onder de COPPA vallen, is dat een effectief systeem voor ouderlijke toestemming slechts de eerste stap is op weg naar naleving. Sectie 312.8 van de COPPA-regel vereist ook dat u “redelijke procedures opzet en handhaaft om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die over kinderen wordt verzameld te beschermen.”
Geïnteresseerd in vraagstukken op het gebied van gegevensbeveiliging? Lees een begeleidende tekst Verklaring van de Commissie en leer er meer over vandaag is er weer een FTC-actie aangekondigd.
