In de paar jaar dat het actief is, heeft Path zichzelf gepresenteerd als een ander soort sociaal netwerk. Volgens een beschrijving van de ‘Waarden’, ‘moet het pad standaard privé zijn. Voor altijd. Je moet altijd de controle hebben over je informatie en ervaring.’ Het is een mooi gevoel. Behalve dat volgens an FTC-handhavingsactiehet was standaard niet privé. Hij was niet voor altijd beroofd. Gebruikers hadden geen controle over hun eigen informatie en ervaringen. En laten we de vermeende schending van de Children’s Online Privacy Protection Act niet vergeten.
Naast het zojuist gepubliceerde persoonlijke rapport, Mobiel privacybeleid: vertrouwen opbouwen door transparantieen een nieuwe folder, Ontwikkelaars van mobiele apps: begin met beveiliging (meer daarover in ons volgende bericht), biedt de schikking van de FTC met Path de app-industrie veel om over na te denken. Path, voornamelijk beschikbaar voor gebruikers via een mobiele app, profileert zichzelf als een ‘slim dagboek waarmee je je leven kunt delen met de mensen van wie je houdt’. Met het risico te klinken als Jack Handy uit een aflevering van Saturday Night Live, konden gebruikers ‘gedachten’ en ‘momenten’ delen met een netwerk van maximaal 150 mensen. Ze konden ook dingen als foto’s, muziek waar ze naar luisterden en zelfs hun locatie delen met die kleine vriendenkring. (We zeggen ‘klein’, maar de app zelf was alomtegenwoordig, met meer dan 2,5 miljoen downloads en installaties.)
In versie 2.0 van de Path iOS-app heeft het bedrijf een nieuwe functie ‘Vrienden toevoegen’ toegevoegd die gebruikers drie keuzes gaf: ‘Vind vrienden uit je contacten’, ‘Vind vrienden uit Facebook’ en ‘Vrienden uitnodigen om lid te worden van Path via e-mail of sms.’ Maar ongeacht welke optie gebruikers kozen, verzamelde Path automatisch persoonlijke gegevens van de contacten op mobiele apparaten van gebruikers (hun adresboeken) en sloeg deze op de servers van Path op. Wat verzamelde Path? Voor zover de informatie beschikbaar was: voornaam, achternaam, adres, telefoonnummers, e-mailadressen, Facebook-gebruikersnaam, Twitter-gebruikersnaam en geboortedatum van elke persoon in het adresboek.
En volgens de FTC was dit niet eenmalig. Het automatisch verzamelen van informatie uit het adresboek vond plaats bij de eerste start van versie 2.0 van de Path App en, in geval van verbroken verbinding met de dienst, bij elke nieuwe login. De praktijk duurde tot 8 februari 2012.
De FTC klacht beschuldigt dat wat Path mensen vertelde dat het deed met de persoonlijke informatie in schril contrast stond met wat er achter de schermen gebeurde. Tel nr. 1 vraagt zich af hoe de functie ‘Vrienden toevoegen’ van het bedrijf werkt. Volgens de klacht verklaarde Path dat persoonlijke informatie van de contacten op het mobiele apparaat van de gebruiker alleen zou worden verzameld als de gebruiker op “Vrienden toevoegen” zou klikken en vervolgens de optie “Vrienden uit uw contacten zoeken” zou kiezen. Maar ondanks deze belofte verzamelde en bewaarde Path automatisch persoonlijke gegevens de eerste keer dat de gebruiker de app opstartte en, als hij uitlogde, elke keer dat hij zich opnieuw aanmeldde. Dit, zegt de FTC, maakte de verklaring van Path vals.
Tel nr. 2 beweert dat Path ook valse beweringen heeft gedaan in zijn privacybeleid. Gebruikers werd verteld dat Path automatisch alleen gegevens verzamelde zoals IP-adres, besturingssysteem, browsertype, verwijzend siteadres en informatie over site-activiteit. Maar door automatisch alle aanvullende informatie uit de adresboeken van gebruikers te verzamelen, bereikte Path veel meer.
En de COPPA-aanklachten? In de klacht wordt aangevoerd dat, in verband met de werking van de Path-app voor iOS, de Path-app voor Android en de website path.com, het bedrijf (dat geboortedata verzamelde tijdens het registratieproces) zich ervan bewust was dat ongeveer 3.000 gebruikers jonger dan 13 jaar waren. Dit gaf aanleiding tot de COPPA-vereiste dat Path ouderlijke toestemming moest verkrijgen voordat informatie over hun kinderen werd verzameld, gebruikt of openbaar gemaakt – een verplichting waaraan Path niet heeft voldaan. De FTC zegt dat Path ook de vereiste heeft geschonden dat exploitanten die onder de COPPA vallen een privacybeleid moeten posten dat duidelijk, begrijpelijk en volledig is. Het resultaat van Path’s vermeende COPPA-schendingen? Kinderen onder de 13 jaar konden dagboeken maken, foto’s en ‘gedachten’ delen en hun exacte locatie delen. De FTC zegt dat het adresboekprobleem in Path versie 2.0 ook gevolgen had voor de adresboeken van kinderen.
Om de zaak op te lossen, zal Path een civiele boete van $800.000 betalen voor COPPA-overtredingen en informatie verwijderen die is verzameld van kinderen onder de 13 jaar. Bovendien zal het bedrijf zijn uitspraken respecteren over hoe het de privacy en vertrouwelijkheid van uw persoonlijke gegevens handhaaft. Goed nieuws voor gebruikers: Path heeft al adresboekinformatie verwijderd die is verzameld gedurende de tijd dat de FTC zegt dat de illegale praktijk plaatsvond.
Vier belangrijke zaken die bedrijven uit de Path-deal kunnen halen:
- De belangrijkste boodschap is niet verrassend: respecteer privacybeloften en wees vooral voorzichtig als u omgaat met informatie van kinderen. Wat een beetje anders is, is dat de boodschap wordt overgebracht LET OP: MOBIELE APP-ONTWIKKELAARS aan de bovenkant. Gevestigde principes voor consumentenbescherming gelden op alle niveaus, ook voor bedrijven in de mobiele markt.
- De standaardmentaliteit rond het verzamelen van gegevens was om waar mogelijk zoveel mogelijk te verzamelen. We hebben het al eerder gezegd, maar deze aanpak is dat wel
zoals echt 20e eeuws Vrouwenstem>. Zoals de meeste ervaren bedrijven weten, is de verstandigste aanpak – en een centraal principe van ‘Privacy by Design’ – om goed na te denken over uw behoeften en alleen om de informatie te vragen waarvoor u een legitieme reden heeft om deze te verzamelen. Het verzamelen van gegevens “gewoon omdat” is niet langer een goed idee voor consumenten. - Het feit dat een platform u de technologische mogelijkheid geeft om iets te doen, betekent nog niet dat dit de juiste keuze is voor uw bedrijf of uw gebruikers. Het is een vergissing om aan te nemen dat iemand anders, zoals een leverancier van mobiele besturingssystemen of een fabrikant van apparaten, heeft nagedacht over de gevolgen voor de privacy. Als het om uw app en uw gebruikers gaat, ligt de verantwoordelijkheid bij u.
- COPPA is niet alleen voor kindersites. Ja, er zijn regels van toepassing wanneer online sites en diensten specifiek zijn ontworpen voor kinderen onder de 13 jaar, maar ga er niet vanuit dat u niet onder de dekking valt. De wet legt ook wettelijke verantwoordelijkheden op aan exploitanten die daadwerkelijke kennis hebben van het verzamelen van persoonlijke informatie van minderjarigen.
Bezoek ons op Twitter van 13.00 tot 02.00 uur ET op vrijdag 1 februari 2013 en praat over de Path-zaak en het rapport. Volgen @FTC en stel vragen met de hashtag #FTCpriv.
