In de paar jaar dat het actief is, heeft Path zichzelf aangekondigd als een ander soort sociaal netwerk. Volgens een beschrijving van de ‘Waarden’, ‘moet het pad standaard privé zijn. Voor altijd. Je moet altijd de controle hebben over je informatie en ervaring.’ Het is een mooi gevoel. Behalve dat volgens an Wetshandhavingsactie van de FTChet was standaard niet privé. Het was niet voor altijd privé. Gebruikers hadden geen controle over hun informatie en ervaring. En laten we de vermeende schending van de Children’s Online Privacy Protection Act niet vergeten.
Als aanvulling op het zojuist vrijgegeven personeelsrapport, Mobiele privacyverklaringen: vertrouwen opbouwen door transparantieen een nieuwe brochure, Ontwikkelaars van mobiele apps: begin met beveiliging (meer daarover in ons volgende bericht), biedt de FTC-schikking met Path veel om over na te denken voor de app-industrie. Path – voornamelijk beschikbaar voor gebruikers via een mobiele app – noemt zichzelf een ‘slim dagboek waarmee je het leven kunt delen met degenen van wie je houdt’. Met het risico te klinken als Jack Handy uit een aflevering van Saturday Night Live, konden gebruikers ‘gedachten’ en ‘momenten’ delen met een netwerk van maximaal 150 mensen. Ze konden ook dingen delen met die kleine vriendenkring, zoals foto’s, de muziek waarnaar ze luisterden en zelfs hun locatie. (We zeggen ‘klein’, maar de app zelf was alomtegenwoordig, met meer dan 2,5 miljoen downloads en installaties.)
In versie 2.0 van de Path-app voor iOS heeft het bedrijf een nieuwe functie ‘Vrienden toevoegen’ toegevoegd die gebruikers drie keuzes bood: ‘Vind vrienden uit je contacten’, ‘Vind vrienden van Facebook’ en ‘Nodig vrienden uit om lid te worden van Path via e-mail of sms.’ Maar ongeacht de optie die gebruikers kozen, verzamelde Path automatisch persoonlijke gegevens van de contacten op mobiele apparaten van gebruikers (hun adresboeken) en sloeg deze op de servers van Path op. Wat verzamelde Path? Voor zover de informatie beschikbaar was, de voornaam, achternaam, adres, telefoonnummers, e-mailadressen, Facebook-gebruikersnaam, Twitter-gebruikersnaam en geboortedatum van elke persoon in het adresboek.
En volgens de FTC was dit niet eenmalig. Het automatisch verzamelen van informatie uit het adresboek vond plaats de eerste keer dat gebruikers versie 2.0 van de Path-app lanceerden en, als ze zich hadden afgemeld bij de service, elke keer dat ze zich opnieuw aanmeldden. De praktijk duurde tot 8 februari 2012.
De FTC’s klacht beschuldigt dat wat Path mensen vertelde dat het deed met persoonlijke informatie in schril contrast stond met wat er achter de schermen gebeurde. Punt #1 betwist de werking van de functie “Vrienden toevoegen” van het bedrijf. Volgens de klacht beweerde Path dat persoonlijke informatie van de contacten op het mobiele apparaat van de gebruiker alleen zou worden verzameld als de gebruiker op “Vrienden toevoegen” zou klikken en vervolgens de optie “Vind vrienden uit uw contacten” zou kiezen. Maar ondanks die belofte verzamelde en bewaarde Path automatisch persoonlijke gegevens de eerste keer dat de gebruiker de app opstartte en, als hij zich afmeldde, elke keer dat hij zich opnieuw aanmeldde. Dat, zegt de FTC, maakte de verklaring van Path vals.
Punt 2 beweert dat Path ook valse beweringen heeft gedaan in zijn privacybeleid. Gebruikers werd verteld dat Path automatisch alleen gegevens verzamelde zoals een IP-adres, besturingssysteem, browsertype, adres van de verwijzende site en informatie over site-activiteit. Maar door automatisch al die aanvullende informatie uit de adresboeken van gebruikers te verzamelen, pakte Path veel meer dan dat.
Hoe zit het met de beschuldigingen van de COPPA? In de klacht wordt beweerd dat het bedrijf (dat geboortedata verzamelde tijdens het registratieproces) in verband met het gebruik van de Path-app voor iOS, de Path-app voor Android en zijn website path.com feitelijk wist dat ongeveer 3.000 gebruikers jonger dan 13 jaar waren. Daarmee werd de eis van COPPA ingeleid dat Path toestemming van ouders moest krijgen voordat informatie over hun kinderen werd verzameld, gebruikt of openbaar gemaakt – een verplichting die Path niet voldeed. De FTC zegt dat Path ook de eis heeft geschonden dat exploitanten die onder de COPPA vallen een privacybeleid moeten posten dat duidelijk, begrijpelijk en volledig is. Het gevolg van de vermeende COPPA-schendingen van Path? Kinderen onder de 13 jaar konden dagboeken maken, foto’s en ‘gedachten’ delen en hun exacte locatie delen. De FTC zegt dat het adresboekprobleem van Path versie 2.0 ook de adresboeken van kinderen beïnvloedde.
Om de zaak te schikken, zal Path een civiele boete van $800.000 betalen voor COPPA-overtredingen en informatie verwijderen die is verzameld van kinderen onder de 13 jaar. Bovendien zal het bedrijf de claims honoreren die het maakt over de manier waarop het de privacy en vertrouwelijkheid van persoonlijke informatie handhaaft. Goed nieuws voor gebruikers: Path heeft de adresboekinformatie die het verzamelde gedurende de periode dat de FTC zegt dat de illegale praktijk plaatsvond, al verwijderd.
Vier belangrijke punten die bedrijven uit de Path-schikking kunnen halen:
- De belangrijkste boodschap komt niet als een verrassing: kom uw privacybeloften na en wees vooral voorzichtig als het gaat om de informatie van kinderen. Wat een beetje anders is, is dat de boodschap uitgaat ATTN: MOBIELE APP-ONTWIKKELAARS aan de bovenkant. Beproefde principes voor consumentenbescherming zijn over de hele linie van toepassing, ook voor bedrijven in de mobiele markt.
- Vroeger was de standaardmentaliteit bij het verzamelen van gegevens het verzamelen van zoveel mogelijk, waar mogelijk. We hebben het al eerder gezegd, maar deze aanpak is dat wel
zoals zoooo 20e eeuw Meisjesstem>. Zoals slimme bedrijven weten, is het verstandiger – en een centraal principe van ‘Privacy by Design’ – om na te denken over uw behoeften en alleen om informatie te vragen waarvoor u een legitieme reden heeft om deze te verzamelen. Het verzamelen van gegevens “gewoon omdat” de consument niet meer in de problemen brengt. - Het feit dat een platform u de technologische mogelijkheden biedt om iets te doen, betekent nog niet dat dit ook de juiste keuze is voor uw bedrijf of uw gebruikers. Het is een vergissing om aan te nemen dat iemand anders (bijvoorbeeld een aanbieder van mobiele besturingssystemen of een fabrikant van apparaten) over de privacyimplicaties heeft nagedacht. Als het om uw app en uw gebruikers gaat, stopt het geld bij u.
- COPPA is niet alleen voor kindersites. Ja, de regels zijn van toepassing wanneer sites en onlinediensten specifiek zijn ontworpen voor jongeren onder de 13 jaar, maar ga er niet te snel van uit dat u niet onder de dekking valt. De regel legt ook wettelijke verantwoordelijkheden op aan operators die daadwerkelijk weten dat ze persoonlijke informatie van kinderen verzamelen.
Kom op vrijdag 1 februari 2013 tussen 13.00 en 14.00 uur ET met ons mee op Twitter en praat over de Path-zaak en het rapport. Volgen @FTC en stel vragen met de hashtag #FTCpriv.
