Wat ontwikkelaars kunnen leren van de FTC‑zaak tegen Path
In een paar jaar tijd groeide Path uit tot een ander type sociaal netwerk. De dienst profileerde zich als een persoonlijk, besloten dagboek — een plek waar gebruikers controle wilden houden over hun informatie en ervaringen. De FTC‑handhaving liet echter zien dat die beloften niet altijd overeenkwomen met de praktijk: gebruikers hadden niet de controle die hen was voorgespiegeld en er werden ook zorgen geuit over de bescherming van kinderen online.
Naast het recent gepubliceerde personeelrapport en aanvullende uitingen over mobiele privacy — zoals richtlijnen over transparantie en een brochure voor mobiele app‑ontwikkelaars over privacybescherming — biedt de schikking met de FTC veel aandachtspunten voor de app‑industrie. Path beschreef zich aanvankelijk als een “slim dagboek” dat gebruikers helpt hun leven te delen met een selecte groep. Gebruikers konden “gedachten” en “momenten” delen met maximaal 150 personen, inclusief foto’s, muziek en locatiegegevens. De app groeide snel: de downloadcijfers liepen in de miljoenen.
In versie 2.5 van de Path‑app voor iOS introduceerde het bedrijf een nieuwe ‘vrienden’‑functie met drie opties: “Zoek vrienden in uw contacten”, “Vind Facebook” en “Nodig vrienden uit via e‑mail of sms”. Ongeacht welke optie gebruikers kozen, verzamelde Path automatisch de contacten uit het mobiele adresboek van het apparaat en bewaarde die informatie op hun servers. Wat werd er precies verzameld? Voor- en achternaam, adres, telefoonnummer, e‑mailadres, Facebook‑gebruikersnaam, Twitter‑gebruikersnaam en het adres van iedere persoon in het adresboek.
Volgens de FTC gebeurde die automatische verzameling niet alleen op het moment dat gebruikers expliciet toestemming gaven. De praktijk werd geïntroduceerd in versie 2.5 en bleef actief totdat deze op 8 februari 2012 werd gestopt. De FTC‑klacht stelt dat Path tegen zijn gebruikers en in zijn privacybeleid onjuiste of misleidende verklaringen deed. Zo stelde Path dat adresboekgegevens alleen werden verzameld als de gebruiker op “Vrienden” klikte en expliciet “Vind uw contacten” activeerde. In werkelijkheid werden gegevens automatisch verzameld en opgeslagen en werden die handelingen niet correct weergegeven, aldus de FTC.
Daarnaast klaagde de FTC dat Path valse of onvolledige claims in zijn privacybeleid had. Gebruikers werd verteld dat Path automatisch bepaalde technische gegevens verzamelde — zoals IP‑adres, besturingssysteem en browsertype — maar Path haalde daarnaast wél uitgebreidere gegevens uit adresboeken binnen zonder dat die praktijk voldoende was vermeld.
De klacht omvatte ook mogelijke COPPA‑schendingen (de Amerikaanse COPPA‑wetgeving die gericht is op de bescherming van kinderen). De FTC stelde dat Path op iOS, Android en via Path.com gegevens verzamelde en dat het bedrijf wist dat ongeveer 3.000 gebruikers jonger waren dan 13 jaar. Volgens de FTC ontving Path voor die accounts niet de vereiste ouderlijke toestemming en schond het privacybeleid daarom de COPPA‑vereisten. De adresboek‑verzameling in versie 2.2 had ook invloed op contacten van kinderen.
Als gevolg van de zaak betaalde Path een boete van $800.000 voor de vermeende overtredingen en verwijderde het bedrijf informatie die van kinderen jonger dan 13 jaar was verzameld. Daarnaast moest Path nauwkeuriger zijn in zijn claims over hoe privé‑informatie wordt beschermd. Volgens de FTC was de illegale praktijk rond de adresboekverzameling inmiddels beëindigd.
Vier hoofdlessen voor ontwikkelaars komen uit de zaak naar voren:
- Respecteer uw privacybeloften en wees extra voorzichtig met gegevens van kinderen. De kernboodschap is eenvoudig en niet verrassend: houd uw beloftes tegenover gebruikers na. Deze waarschuwing geldt in het bijzonder voor mobiele app‑ontwikkelaars.
- Verzamel niet meer gegevens dan nodig is. De standaardmentaliteit “verzamel zoveel mogelijk” is problematisch. Privacy by Design betekent nadenken over welke gegevens juridisch en functioneel noodzakelijk zijn en alleen die gegevens vragen.
- Alleen omdat een platform technische mogelijkheden biedt, betekent dat niet dat het ook juist is deze te gebruiken. Vertrouw niet blind op derden (zoals OS‑leveranciers of fabrikanten) om privacy‑effecten te overwegen — bij uw app stopt de verantwoordelijkheid bij u.
- COPPA is niet alleen relevant voor sites die expliciet op kinderen zijn gericht. Als een operator feitelijk weet dat hij persoonlijke informatie van kinderen verzamelt, gelden er wettelijke verplichtingen.
Op 1 februari 2013, 01:00–02:00 ET organiseerde men een gesprek op Twitter over de Path‑zaak en het rapport. Volg @Ftc en dien vragen in met de hashtag #FTCPRIV.