In de paar jaar sinds het actief was, heeft Path zichzelf aangekondigd als een ander soort sociaal netwerk. Volgens de ‘Waarde’-beschrijving zouden ‘paden standaard privé moeten zijn. Voor altijd. Je moet altijd de controle hebben over je informatie en ervaringen.’ Dat is een mooi sentiment. Tenzij dat volgens An is FTC-handhavingsactiehet is standaard niet privé. Het is niet altijd privé. Gebruikers hebben geen controle over hun informatie en ervaringen. En laten we de vermeende schendingen van de Children’s Online Privacy Protection Act niet vergeten.
In aanvulling op het onlangs vrijgegeven personeelsrapport, Mobiele privacy-openbaarmaking: vertrouwen opbouwen door transparantieen nieuwe brochures, Ontwikkelaars van mobiele apps: begin met beveiliging (meer daarover in een later bericht), biedt de schikking van de FTC met Path de app-industrie veel om over na te denken. Path – voornamelijk beschikbaar voor gebruikers via een mobiele app – profileert zichzelf als ‘een slim dagboek waarmee je je leven kunt delen met de mensen van wie je houdt’. Met het risico te klinken als Jack Handy uit een aflevering van Saturday Night Live, kunnen gebruikers ‘gedachten’ en ‘momenten’ delen met een beperkt netwerk van maximaal 150 mensen. Ze kunnen ook dingen delen met hun kleine vriendenkring, zoals foto’s, de muziek waarnaar ze luisteren en zelfs hun locatie. (We zeggen ‘klein’, maar de app zelf is al wijdverspreid, met meer dan 2,5 miljoen downloads en installaties.)
In versie 2.0 van de Path-app voor iOS heeft het bedrijf een nieuwe functie ‘Vrienden toevoegen’ toegevoegd die gebruikers drie opties biedt: ‘Vind vrienden uit je contacten’, ‘Vind vrienden op Facebook’ en ‘Nodig vrienden uit om lid te worden van Path via e-mail of sms.’ Maar welke optie een gebruiker ook kiest, Path verzamelt automatisch persoonlijke gegevens van de contacten op het mobiele apparaat van een gebruiker (het adresboek) en slaat deze op de servers van Path op. Wat verzamelt Path? Zolang de informatie beschikbaar is, staan de voornaam, achternaam, adres, telefoonnummer, e-mailadres, Facebook-gebruikersnaam, Twitter-gebruikersnaam en geboortedatum van elke persoon in het adresboek.
En volgens de FTC gebeurde dit niet slechts één keer. Het automatisch verzamelen van informatie uit het adresboek vindt plaats de eerste keer dat een gebruiker Path Application versie 2.0 start en, als hij zich afmeldt bij de service, elke keer dat hij zich opnieuw aanmeldt. De training duurde tot 8 februari 2012.
FTC klacht beweerde dat wat Path mensen vertelde dat het met persoonlijke informatie deed, in schril contrast stond met wat er achter de schermen gebeurde. Punt #1 betwist de werking van de functie “Vrienden toevoegen” van het bedrijf. Volgens de klacht stelt Path dat persoonlijke informatie van de contacten op het mobiele apparaat van een gebruiker alleen wordt verzameld als de gebruiker op “Vrienden toevoegen” klikt en vervolgens de optie “Vind vrienden uit uw contacten” selecteert. Maar ondanks die belofte verzamelt en bewaart Path automatisch persoonlijke gegevens de eerste keer dat een gebruiker de app start en, als hij uitlogt, elke keer dat hij zich opnieuw aanmeldt. Dat maakte de verklaringen van Path vals, aldus de FTC.
Punt 2 beweert dat Path ook valse beweringen heeft gedaan in zijn privacybeleid. Gebruikers worden geïnformeerd dat Path automatisch alleen gegevens verzamelt zoals IP-adressen, besturingssystemen, browsertypen, verwijzende siteadressen en informatie over site-activiteit. Maar door automatisch alle aanvullende informatie uit het adresboek van een gebruiker te verzamelen, bereikt Path meer dan dat.
Hoe zit het met COPPA-kosten? In de klacht wordt beweerd dat het bedrijf (dat geboortedata verzamelt tijdens het registratieproces) in verband met de werking van de Path App voor iOS, de Path App voor Android en de website path.com zich ervan bewust werd dat ongeveer 3.000 gebruikers jonger waren dan 13 jaar. Dit komt overeen met de eis van COPPA dat Path ouderlijke toestemming moet verkrijgen voordat informatie over hun kinderen wordt verzameld, gebruikt of openbaar gemaakt – een verplichting waaraan Path niet voldoet. Volgens de FTC heeft Path ook de eis geschonden dat exploitanten die onder de COPPA vallen een duidelijk, begrijpelijk en volledig privacybeleid moeten posten. Het resultaat van Path’s vermeende COPPA-schendingen? Kinderen onder de 13 jaar kunnen een dagboek bijhouden, foto’s en ‘gedachten’ delen en hun exacte locatie delen. De FTC zei dat het probleem met het adresboek van Path versie 2.0 ook gevolgen had voor de adresboeken van kinderen.
Om deze zaak op te lossen, zal Path een civiele boete van $800.000 betalen voor overtredingen van de COPPA en informatie verwijderen die is verzameld van kinderen onder de 13 jaar. Bovendien zal het bedrijf claims honoreren die het maakt over de manier waarop het de privacy en vertrouwelijkheid van persoonlijke informatie handhaaft. Goed nieuws voor gebruikers: Path heeft de adresboekinformatie verwijderd die het had verzameld in de periode dat de FTC zei dat de praktijk illegaal was.
Vier belangrijke punten die bedrijven kunnen onthouden als ze Path voltooien:
- De belangrijkste boodschap is niet verrassend: kom uw belofte van privacy na en wees voorzichtig als het gaat om de informatie van kinderen. Wat enigszins anders is, is de boodschap die wordt overgebracht LET OP: MOBIELE APP-ONTWIKKELAAR bovenaan. Toepasselijke beginselen voor consumentenbescherming zijn over de hele linie van toepassing, ook voor bedrijven die actief zijn op de mobiele markt.
- Vroeger was de standaardmentaliteit bij het verzamelen van gegevens het verzamelen van zoveel mogelijk, waar mogelijk. We hebben het al eerder gezegd, maar dat is de aanpak
zoals de 20e eeuw . Zoals slimme bedrijven weten is het verstandiger – en een belangrijk principe van ‘Privacy by Design’ – om na te denken over uw behoeften en alleen om informatie te vragen waarvoor u een legitieme reden heeft om deze te verzamelen. Het verzamelen van gegevens “gewoon omdat” lost de problemen van consumenten niet langer op. - Het feit dat een platform u de technologische mogelijkheden biedt om iets te doen, betekent niet dat het geschikt is voor uw bedrijf of gebruikers. Het zou een vergissing zijn om aan te nemen dat anderen – bijvoorbeeld aanbieders van mobiele besturingssystemen of fabrikanten van apparaten – hebben nagedacht over de gevolgen voor de privacy. Als het om uw app en uw gebruikers gaat, stopt het geld bij u.
- COPPA is niet alleen voor kindersites. Ja, de regels zijn van toepassing als online sites en diensten specifiek zijn ontworpen voor de leeftijdsgroep jonger dan 13 jaar, maar ga er niet te snel van uit dat u niet onder deze diensten valt. Deze regelgeving legt ook wettelijke verantwoordelijkheden op aan exploitanten die weten dat ze persoonlijke informatie van kinderen verzamelen.
Kom op vrijdag 1 februari 2013 tussen 13.00 en 14.00 uur ET op Twitter om te praten over de Path-zaak en het rapport. Volgen @FTC en stel vragen met de hashtag #FTCpriv.
