Kinderen vinden het heerlijk om verkleedpartijtjes te spelen, maar ouders willen niet dat ze zonder toestemming en voldoende toezicht door de zolder snuffelen of op de bovenste plank van de kast klimmen. De website i-Dressup.com bood gebruikers, inclusief kinderen, een virtuele manier om verkleedpartijen te spelen en kleding te ontwerpen zonder deze potentiële gevaren. Maar volgens een FTC-klacht heeft Unixiz, Inc.het bedrijf achter i-Dressup heeft de Children’s Online Privacy Protection Act geschonden op manieren die verschillende soorten risico’s met zich meebrachten.
COPPA voert twee afzonderlijke beschermingsmaatregelen in om ouders te helpen de controle te behouden over de persoonlijke informatie die online van hun kinderen wordt verzameld. Ten eerste moeten bedrijven die onder de COPPA vallen, hun informatiebeleid duidelijk openbaar maken en toestemming van de ouders verkrijgen voordat ze persoonlijke informatie verzamelen van kinderen onder de 13 jaar. Ten tweede moeten bedrijven een redelijke en adequate beveiliging bieden voor de gegevens die ze verzamelen. Volgens een FTC-schikking voldeed i-Dressup niet aan beide COPPA-vereisten.
DE klacht beweert dat i-Dressup op zijn site onvoldoende informatie heeft verstrekt over de informatie die het online van kinderen heeft verzameld, hoe het deze heeft gebruikt, de openbaarmakingspraktijken en andere door de COPPA vereiste specificaties. Ook de directe mededelingen van het bedrijf aan de ouders ontbraken. Ze hebben onder meer niet de door COPPA vereiste verklaring opgenomen dat als ouders niet binnen een redelijke termijn toestemming geven, i-Dressup hun online contactgegevens uit haar administratie zal verwijderen. Blijf bij het verhaal, want die mislukking bleek bijzonder verontrustend te zijn.
Naast dat gebruikers online games konden spelen, beschikte i-Dressup over een community waar ze “hun creativiteit en gevoel voor mode konden ontdekken met unieke persoonlijke profielen” en met anderen konden communiceren. Om zich te kunnen registreren, vereiste i-Dressup dat mensen een gebruikersnaam, wachtwoord, geboortedatum en e-mailadres opgaven. Als uit de geboortedatum bleek dat de persoon jonger dan 13 jaar was, veranderde het e-mailveld in ‘E-mailadres van ouder’. Zodra de gebruiker jonger dan 13 jaar de vereiste velden heeft ingevuld en op “Nu lid worden” heeft geklikt, heeft i-Dressup de persoonlijke gegevens verzameld en een bericht verzonden naar het adres dat is ingevoerd in het e-mailadres van de ouder. De persoon die de e-mail ontvangt, kan toestemming geven door op de knop “Nu activeren!” te klikken. knop. knop.
Als de ouder echter geen toestemming gaf, bewaarde i-Dressup de online verzamelde persoonlijke gegevens van het kind. De FTC zegt dat het onvermogen van het bedrijf om die informatie te verwijderen een overtreding was Sectie 312.5(c)(1) van de COPPA-regel.
Naast het overtreden van COPPA’s bepalingen inzake ouderlijke toestemming, heeft i-Dressup ook de regels overtreden vereisten voor gegevensbeveiliging. Volgens de FTC bewaart en verzendt i-Dressup de persoonlijke gegevens van gebruikers (inclusief wachtwoorden) in duidelijke tekst. Bovendien slaagde het bedrijf er niet in om kwetsbaarheidstests op zijn netwerk uit te voeren, zelfs niet voor bekende bedreigingen zoals SQL-aanvallen; heeft geen systeem voor inbraakdetectie en -preventie geïmplementeerd; en hield geen toezicht op potentiële veiligheidsincidenten. Het resultaat? Het bedrijf ontdekte dat een hacker zijn netwerk was binnengedrongen en toegang had gekregen tot informatie over 2,1 miljoen gebruikers, waaronder ongeveer 245.000 gebruikers die aangaven jonger dan 13 jaar te zijn.
Om de zaak op te losseni-Dressup en zijn eigenaren zullen een civiele boete van $35.000 betalen. Het is hen ook verboden om in de toekomst de COPPA te schenden en zij mogen geen persoonlijke informatie verkopen, delen of verzamelen totdat zij een uitgebreid gegevensbeveiligingsprogramma hebben geïmplementeerd en onafhankelijke halfjaarlijkse evaluaties hebben verkregen. Bovendien moeten ze de FTC jaarlijks een certificaat van naleving verstrekken.
De boodschap voor sites en exploitanten die onder COPPA vallen, is dat een effectief systeem voor ouderlijke toestemming slechts de eerste stap is op weg naar naleving. Sectie 312.8 van de COPPA-regel vereist ook dat we “redelijke procedures opstellen en handhaven om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die van kinderen wordt verzameld te beschermen.”
Geïnteresseerd in vraagstukken op het gebied van gegevensbeveiliging? Lees een begeleiding Verklaring van de Commissie en leer meer vandaag is er weer een FTC-actie aangekondigd.
