Kinderen houden ervan om zich te verkleden, maar ouders willen niet dat ze zonder toestemming en goed toezicht door de zolder snuffelen of naar de bovenste plank van de kledingkast klimmen. De website i-Dressup.com bood gebruikers – inclusief kinderen – een virtuele manier om verkleedpartijen te spelen en kleding te ontwerpen zonder deze potentiële gevaren. Maar volgens een FTC-klacht heeft Unixiz, Inc.het bedrijf achter i-Dressup, heeft de Children’s Online Privacy Protection Act geschonden op manieren die verschillende soorten risico’s met zich meebrachten.
COPPA heeft twee afzonderlijke sets beveiligingen ingevoerd om ouders de controle te houden over de persoonlijke gegevens die online van hun kinderen worden verzameld. Ten eerste moeten bedrijven die onder de COPPA vallen, hun informatiebeleid duidelijk bekendmaken en toestemming van de ouders krijgen voordat ze persoonlijke informatie verzamelen van kinderen onder de 13 jaar. Ten tweede moeten bedrijven een redelijke en passende beveiliging bieden voor de gegevens die ze verzamelen. Volgens een FTC-schikking voldeed i-Dressup niet aan beide COPPA-vereisten.
De klacht beweert dat i-Dressup er niet in is geslaagd om op zijn site voldoende informatie te verstrekken over de informatie die het online van kinderen heeft verzameld, hoe het deze heeft gebruikt, de openbaarmakingspraktijken en andere specifieke vereisten die zijn vereist door de COPPA-regel. Ook de rechtstreekse mededelingen van het bedrijf aan de ouders waren ontoereikend. Ze hebben onder andere niet de door de COPPA vereiste verklaring opgenomen dat als ouders niet binnen een redelijke termijn toestemming geven, i-Dressup hun online contactgegevens uit haar administratie zal verwijderen. Blijf bij het verhaal, want die mislukking bleek bijzonder verontrustend te zijn.
Naast dat gebruikers online games konden spelen, beschikte i-Dressup over een community waar ze “hun creativiteit en gevoel voor mode konden ontdekken met unieke persoonlijke profielen” en met anderen konden communiceren. Om zich te kunnen registreren, vereiste i-Dressup dat mensen een gebruikersnaam, wachtwoord, geboortedatum en e-mailadres opgaven. Als de geboortedatum aangaf dat de persoon jonger dan 13 jaar was, veranderde het e-mailveld in ‘E-mailadres van de ouder’. Nadat de gebruiker jonger dan 13 jaar de vereiste velden had ingevuld en op ‘Nu meedoen’ had geklikt, verzamelde i-Dressup de persoonlijke gegevens en stuurde een bericht naar het adres dat in het veld E-mailadres van de ouder was ingevoerd. De persoon die de e-mail ontvangt, kan toestemming geven door op de knop ‘Nu activeren!’ te klikken. knop.
Als de ouder echter geen toestemming gaf, bewaarde i-Dressup de persoonlijke gegevens die het online van het kind had verzameld. De FTC zegt dat het onvermogen van het bedrijf om die informatie te verwijderen in strijd is met de wet Sectie 312.5(c)(1) van de COPPA-regel.
Naast het overtreden van COPPA’s bepalingen inzake ouderlijke toestemming, zou i-Dressup ook de regels van de regel hebben geschonden vereisten voor gegevensbeveiliging. Volgens de FTC heeft i-Dressup de persoonlijke gegevens van gebruikers (inclusief wachtwoorden) in platte tekst opgeslagen en verzonden. Bovendien slaagde het bedrijf er niet in om netwerkkwetsbaarheidstests op zijn netwerk uit te voeren, zelfs niet voor bekende bedreigingen zoals SQL-aanvallen; het implementeerde geen systeem voor de detectie en preventie van inbraak; en er werd niet gecontroleerd op mogelijke veiligheidsincidenten. Het resultaat? Het bedrijf ontdekte dat een hacker toegang had gekregen tot zijn netwerk en toegang had gekregen tot informatie over 2,1 miljoen gebruikers, waaronder ongeveer 245.000 gebruikers die aangaven jonger dan 13 jaar te zijn.
Om de zaak af te handeleni-Dressup en zijn eigenaren zullen een civiele boete van $ 35.000 betalen. Het is hen ook verboden om in de toekomst de COPPA te schenden en zij mogen geen persoonlijke informatie verkopen, delen of verzamelen totdat ze een uitgebreid gegevensbeveiligingsprogramma hebben geïmplementeerd en onafhankelijke tweejaarlijkse beoordelingen hebben gekregen. Bovendien moeten ze de FTC jaarlijks een certificaat van naleving verstrekken.
De boodschap voor sites en exploitanten die onder de COPPA vallen, is dat een effectief systeem van ouderlijke toestemming slechts de eerste stap is op weg naar naleving. Sectie 312.8 van de COPPA-regel vereist ook dat u “redelijke procedures vaststelt en handhaaft om de vertrouwelijkheid, veiligheid en integriteit van persoonlijke informatie die van kinderen wordt verzameld te beschermen.”
Geïnteresseerd in vraagstukken op het gebied van gegevensbeveiliging? Lees een begeleidende tekst Verklaring van de Commissie en leer er meer over vandaag is er weer een FTC-actie aangekondigd.
