Kinderen zijn dol op verkleedpartijtjes, maar ouders willen niet dat ze zonder toestemming en goed toezicht op zolder rondsnuffelen of op de bovenste plank van een kast klimmen. De website i-Dressup.com biedt gebruikers – inclusief kinderen – een virtuele manier om zich te kleden en kleding te ontwerpen zonder deze potentiële gevaren. Maar volgens de FTC-klacht heeft Unixiz, Inc.het bedrijf achter i-Dressup schendt de Children’s Online Privacy Protection Act op manieren die meerdere soorten risico’s met zich meebrengen.
COPPA implementeert twee afzonderlijke sets beschermingsmaatregelen om ouders te helpen de controle te behouden over de persoonlijke informatie die online van hun kinderen wordt verzameld. Ten eerste moeten bedrijven die onder de COPPA vallen, hun informatiebeleid duidelijk openbaar maken en toestemming van de ouders verkrijgen voordat ze persoonlijke informatie verzamelen van kinderen onder de 13 jaar. Ten tweede moeten bedrijven een redelijke en passende beveiliging bieden voor de gegevens die ze verzamelen. Volgens de FTC-schikking voldoet i-Dressup niet aan beide COPPA-vereisten.
Dat klacht beschuldigde i-Dressup ervan er niet in te zijn geslaagd op zijn site voldoende informatie te verstrekken over de informatie die het online van kinderen verzamelt, hoe deze wordt gebruikt, de openbaarmakingspraktijken ervan en andere bijzonderheden die vereist zijn door de COPPA-regels. Ook directe berichtgeving vanuit het bedrijf naar ouders ontbreekt. Ze hebben onder meer niet de door de COPPA vereiste verklaring opgenomen dat als ouders niet binnen een redelijke termijn toestemming geven, i-Dressup hun online contactgegevens uit haar administratie zal verwijderen. Blijf bij dit verhaal, want de mislukking blijkt zeer verontrustend te zijn.
Naast dat gebruikers online games kunnen spelen, beschikt i-Dressup over een community waar ze “creativiteit en gevoel voor mode kunnen ontdekken met unieke persoonlijke profielen” en met anderen kunnen communiceren. Om te registreren vereist i-Dressup dat mensen een gebruikersnaam, wachtwoord, geboortedatum en e-mailadres invoeren. Als de geboortedatum aangeeft dat de persoon jonger is dan 13 jaar, wordt het e-mailveld gewijzigd in ‘E-mailadres van ouder’. Zodra gebruikers jonger dan 13 jaar de verplichte velden invullen en op ‘Nu meedoen’ klikken, verzamelt i-Dressup persoonlijke gegevens en stuurt een bericht naar het adres dat is ingevoerd in het veld E-mailadres voor ouders. De persoon die de e-mail ontvangt, kan deze goedkeuren door op de knop “Nu activeren!” te klikken. knop.
Als ouders echter geen toestemming geven, slaat i-Dressup de persoonlijke informatie die over het kind is verzameld online op. De FTC zei dat het onvermogen van het bedrijf om de informatie te verwijderen een overtreding vormde Sectie 312.5(c)(1) COPPA-voorschriften.
Naast het overtreden van COPPA’s bepalingen inzake ouderlijke toestemming, zou i-Dressup ook de regels hebben geschonden vereisten voor gegevensbeveiliging. Volgens de FTC bewaart en verzendt i-Dressup de persoonlijke gegevens van gebruikers (inclusief wachtwoorden) in platte tekst. Bovendien slaagde het bedrijf er niet in om netwerkkwetsbaarheidstests op zijn netwerk uit te voeren, zelfs niet tegen bekende bedreigingen zoals SQL-aanvallen; er is geen systeem voor de detectie en preventie van inbraak geïmplementeerd; en het niet monitoren van potentiële veiligheidsincidenten. Het resultaat? Het bedrijf ontdekte dat een hacker zijn netwerk was binnengedrongen en toegang had gekregen tot de informatie van ongeveer 2,1 miljoen gebruikers, waaronder ongeveer 245.000 gebruikers die aangaven jonger dan 13 jaar te zijn.
Om deze zaak op te losseni-Dressup en zijn eigenaren zullen een civiele boete van $35.000 betalen. Het is hen ook verboden om in de toekomst de COPPA te schenden en zij mogen geen persoonlijke informatie verkopen, delen of verzamelen totdat zij een uitgebreid gegevensbeveiligingsprogramma hebben geïmplementeerd en een onafhankelijke tweejaarlijkse beoordeling hebben ontvangen. Bovendien moeten ze jaarlijks een nalevingscertificering aan de FTC verstrekken.
De boodschap voor sites en exploitanten die onder de COPPA vallen, is dat een effectief systeem voor ouderlijke toestemming slechts de eerste stap is op weg naar naleving. Artikel 312.8 De COPPA-regelgeving vereist ook dat u “redelijke procedures vaststelt en handhaaft om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die over kinderen wordt verzameld te beschermen.”
Geïnteresseerd in vraagstukken op het gebied van gegevensbeveiliging? Lees de begeleidende tekst Verklaring van de Commissie en leer er meer over Vandaag werd opnieuw een FTC-actie aangekondigd.
