Mobiilisovellukset ja yksityisen tiedon hallinta | Mobile apps and privacy
Technology Update: Privacy in Apps
description
Transcript of Technology Update: Privacy in Apps
Arnold Roosendaal en Marc van Lieshout
2 december 2013
Programma
13.20-13.30 Opening/welkom 13.30-14.00 Uitdagingen rond Apps en Privacy – uw
visie 14.00-14.30 Schets van privacyvraagstukken rond apps en privacy 14.30-15.10 Case 1: Connected TV 15.10-15.30 Pauze 15.30-16.20 Case 2: App ontwikkeling 16.20-16.50 Uitdagingen en kansen, oog op vervolg 16.50-17.00 Afsluiting
•Veiligheid Energie Gebouwde
Omgeving
Mobiliteit
Public Safety
Informatie-
Maatschappij
Energy Industrial
Innovation Built
Environment
Healthy
Living
Mobility Information
Society
ICT
3
TNO – Dutch Research and Technology Organisation
One of THE knowledge
partners on privacy &
identity management
national and international
Privacy related research
- User perception studies -
Privacy impact assessment
- Gebruik van open source data
- PI Lab opening Innovatie en
privacy en de rechten van
burgers (EP)
- “a bite too big”
Cookie Rapport
- FP 7 Virtuoso
- Assessment van
nieuwe privacy
verordening
Monitoring Veiligheid &
ICT (2011-2014)
- Drivers en barriers voor
Privacy by Design in Nederland
(EL&I/TNO))
- Online Trustmarks (EC)
Uitdagingen rond Apps en Privacy – uw visie
Stellingen
Uitdagingen rond Apps en Privacy – uw visie
Wat kwam u bekend voor?
Waar wilt u meer over weten?
Wat is uw visie over aanpak/mogelijkheden?
Waar liggen knelpunten/uitdagingen?
Schets van privacyvraagstukken rond apps en privacy
Onderzoek naar houding van gebruikers
TRUSTe (2013):
76% van gebruikers downloadt een app niet als men het niet vertrouwt (2012:
68%)
MEF Global Privacy Report (2013):
70% van gebruikers wil weten wanneer en wat een app aan persoonsgegevens
verzamelt
Slechts 37% van de gebruikers heeft geen moeite met het delen van persoonlijke
gegevens
Vrouwen en ouderen zijn bezorgder dan jongeren; zorg in opkomende markten is
groter dan in Westen/VS.
Pew International (2012) onder Amerikaanse tieners:
51% vermijdt bepaalde apps vanwege privacyzorgen;
26% heeft app verwijderd omdat deze persoonlijke informatie verzamelde die de
tieners niet wilden delen.
46% zet location tracking features uit vanwege privacyzorgen
UDID
GPS locatie
Leeftijd
Geslacht
UDID
Gebruikersnaam
Stad/provincie
E-mailadres
UDID
GPS locatie
Beluisterde nummer
Stad
Greystripe
Medialets
Adwhirl
Mobclix AdMob
Flurry
4th Screen
Advertising
DoubleClick
UDID
Adresboek Bron: Computeridee, 2011
~25% van de apps stuurt
heimelijk gegevens door
Grindr
Paper toss
Shazam
Viber
Hoe hiermee om te gaan?
Juridische insteek:
Persoonlijke gegevens; toestemming
Derdeverstrekking; doelbepaling
Beveiliging
Organisatorische insteek
Inschatting privacyrisico’s
Privacy policies
…
Technische insteek
Dataminimalisatie
Transparantie
Kwaliteitsbewaking/beveiliging
Aanpak vanmiddag
Uitleg aan de hand van twee cases:
- Connected TV
- App ontwikkeling
Connected TV en privacy
iMMovator Technology Update
2 december 2013
Marc van Lieshout, Arnold Roosendaal
Outline
Wat is connected TV?
Welke gegevens kunnen verwerkt worden?
Welke privacy issues brengt dat met zich mee?
Welke eisen gelden vanuit de Wbp?
Wat is connected TV?
IPTV
Interactieve TV
TV verbonden met internet, waardoor extra diensten kunnen worden
aangeboden of aanvullingen kunnen worden gemaakt op het lineaire
TV-signaal
Wat is connected TV?
“The term ‘connected TV’ is regularly used to refer to a television set
which can itself receive and display on screen both traditional linear
programmes and Internet content. In addition, it is still a hybrid
receiving device if, although the TV itself is not capable of connecting to
the Internet, it is connected to another device which does have an
Internet connection (e.g. a Blu-Ray player, games console, digital
receiver / set-top box).”
EP Draft Report on Connected TV, (2012/2300(INI))
Welke gegevens kunnen verwerkt worden?
Kijkgedrag
Surfgegevens
Locatie
Allerlei andere informatie op basis van applicaties die ontwikkeld zijn
voor Connected TV
Daarbij kunnen we ook kijken naar apps voor mobiele devices
(smartphone, tablet) die bijvoorbeeld fungeren als tweede scherm
Welke privacy issues?
Het gaat om persoonsgegevens
Oordeel CBP in TP Vision onderzoek
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon (Art. 1a Wbp)
Eisen vanuit de Wbp
Informatieverplichtingen
Rechtmatige grondslag
Doelbinding
Bewerkersovereenkomst (!)
Informatieverplichtingen
In het bijzonder met betrekking tot cookies
Art. 11.7a(1)a Tw jo. Art. 33-34 Wbp
De eindgebruiker moet voldoende specifiek weten welke gegevens
over hem verwerkt worden, voor welke doeleinden, door wie, en waar
hij terecht kan met eventuele vragen of klachten
Rechtmatige grondslag
Informatieverplichtingen zijn noodzakelijk om van ondubbelzinnige
toestemming te kunnen spreken (art. 8 Wbp jo. 11.7a Tw)
Ondubbelzinnige toestemming is de grondslag die hier van
toepassing is
Instemming, dus geen opt-out
Let op: Default settings in de browser van de TV
Rechtmatige grondslag
Art. 8f Wbp kent 2 stappen:
1. Proportionaliteit en subsidiariteit
2. Belangenafweging
Doelbinding
Persoonsgegevens mogen alleen worden verwerkt voor een specifiek
omschreven doel
Verdere verwerking is alleen toegestaan indien dit aansluit bij het
oorspronkelijke doel van de verwerking, anders is een nieuwe
grondslag vereist
Bewerkersovereenkomst
Overeenkomst tussen verantwoordelijke en derde partijen die
optreden als bewerker (Art. 14(2) Wbp)
De overeenkomst moet betrekking hebben op de
gegevensverwerking
Google Analytics sluit alleen standaard overeenkomsten af met
partijen die hun diensten gebruiken
Zonder bewerkersovereenkomst is het gebruik van Google Analytics
in strijd met de Wbp
Waar is het lastig?
Derde partijen
Google Analytics: Google is een derde partij
Maar Google wil geen aparte bewerkersovereenkomsten sluiten
Gebruik Google Analytics is dan niet rechtmatig
(Nabije) toekomst
Onderscheid maken tussen verschillende kijkers binnen een
aansluiting (huishouden)
Mogelijk op basis van analyseren kijkgedrag
Ook mogelijk op basis van tijdstip en zender
Kan de abonnementhouder toestemming voor verwerking
persoonsgegevens geven voor alle kijkers binnen een aansluiting?
Ook bij bijv. een studentenhuis?
Juridische eisen en handhaving
De juridische eisen mbt toestemming voor cookies zijn helder
Maar handhaving lijkt te verschillen
Toezichthouder is echter streng, dus altijd rekening mee houden
Toestemming vragen
Wanneer moet dat nu? Voor cookies? Gaat het dan om HTML-based
toepassingen? Dus niet alleen web, maar ook game consoles, STBs
etc.?
Wet heet in volksmond ‘cookiewet’, maar gaat over toegang tot
gegevens op device van de eindgebruiker. Dus niet technologie-
specifiek HTML. Ook device fingerprinting en browser fingerprinting.
Let dus op bij HTML5 applicaties.
Wijziging cookiewet met instemming Cbp
Geen toestemming vereist voor cookies met geringe impact op
privacy, zoals bijvoorbeeld analytische cookies
Geldt dat ook bij derde partijen?
Wijziging cookiewet
Onderscheid functionele en niet-functionele cookies
Op dit moment is voor alle niet-functionele cookies toestemming
vereist: rechtsvermoeden persoonsgegevens
Op basis van Tw toestemming
Op basis van Wbp ondubbelzinnige toestemming
Wijziging cookiewet
Bij geringe gevolgen privacy soepeler
Voor analytische cookies die niet het surfgedrag van de gebruiker
volgen -> geen toestemming meer vereist
Vervolgens is dan ook de grondslag uit art. 8(f) Wbp mogelijk:
gerechtvaardigd belang
Voorstel Verordening
Recent nieuwe versie:
Pseudonymous data geen persoonsgegevens
Optie voor Chinese Walls constructie: betekent grote kentering in
uitgangspunten gegevensbescherming
2 lijnen
Cookiewet
EU Algemene Verordening Gegevensbescherming
Vraag hoe dat uitwerkt
Centraal uitgangspunt (Verordening): Accountability
Privacy by Design; Data Protection by Default
PAUZE
Apps en Privacy
Naar een werkbare aanpak
Marc van Lieshout
IMMovator workshop 2 december 2013
http://www.cagle.com/news/privacycartoons2/
Gebrek aan transparantie (“wat wordt door wie voor welk doel
verzameld?”)
60 van de 150 top apps hebben geen privacy policy (FPF studie
2012)
Gebrek aan vrije en geïnformeerde toestemming
92% van gebruikers wil meer mogelijkheden bij toestemming (niet
alleen maar ‘Ja’ of ‘Nee’) (GSMA studie 2012)
Slechte veiligheidsmaatregelen
Weinig aandacht voor doelbeperking
Privacyrisico’s van apps (art 29 WP)
Per dag 1600 nieuwe apps!
Per gebruiker ~40 apps
Hoe hiermee om te gaan?
Juridische insteek:
Welke juridische randvoorwaarden moet u in de gaten houden?
Organisatorische insteek
Welke hulpmiddelen zijn er om privacybescherming in uw organisatie te verankeren?
Technische insteek
Welke technische hulpmiddelen zijn er om privacybescherming te realiseren in uw producten en diensten?
Juridische aanpak
Wanneer zijn gegevens persoonlijke gegevens?
Hoe om te gaan met de toestemmingsvereiste?
Hoe om te gaan met doelbepaling?
Een voorbeeld: Case Vaarwater
Persoonlijke gegevens
Wat zijn persoonlijke gegevens?
“Tot een persoon herleidbaar …”
IP-adres? Volgens art 29 WP wel!
UDID? Volgens art 29 WP wel
Speciale categorie: gevoelige gegevens (medisch, financieel, politiek, genderspecifiek, …)
Locatiegegevens
Contacten
UDID/IMEI/IMSI
Identiteit van het data subject
Identiteit (“naam”) van het device
Credit card/betaalinformatie
SMS/Whats app berichten
Browsing geschiedenis
Authenticatie credentials
Toestemming
Heimelijke gegevensverzameling niet toegestaan
Toestemming vragen voordat de app gedownload wordt voor alle gegevensverzameling
Vrij gegeven, specifiek, geïnformeerd
Vrij gegeven toestemming: mogelijkheid om Nee te zeggen.
Specifieke toestemming: bij voorkeur per type datacategorie (locatie, contact, UDID, …) aan te geven
Geïnformeerd: “we verzamelen deze gegevens om hiermee …”
Mogelijkheid tot intrekking toestemming bieden
Vanaf dat moment geen rechtsgrond voor benutting gegevens
Vernietigen of anonimiseren van gegevens
Doelbepaling
Gegevensverzameling is toegestaan bij
Legitieme grondslag; wettelijke bepaling; uitvoering van een contract; leveren van een dienst
Duidelijk doel aangeven voor de gegevensverzameling
Niet excessief
Niet buitenproportioneel
Legitiem/contract
Derdeverstrekking
Toestemmingsvereiste (voor alle gegevens)
Legitiem/niet excessief etc.
Veiligheidsmaatregelen
Voorbeeld Vaarwater App - 1
Wat zijn de
voorwaarden van Art 29 WP voor
informatieverschaffing en
toestemmingsverlening
in dit geval?
In store informatieverschaffing:
ONVOLDOENDE
Voorbeeld:
Henk Bultema DDMA
Voorbeeld Vaarwater App - 2
Info
rmatie in d
e a
pp-o
mgevin
g
Toeste
mm
ing in d
e a
pp-o
mgevin
g
Voorbeeld:
Henk Bultema DDMA
Voorbeeld Vaarwater App - 3 Voorbeeld:
Henk Bultema DDMA
Per functie aparte toestemming Per app recht van verzet
Conclusie
Verschaffen informatie en vragen om toestemming in app-omgeving (app-store is onvoldoende!)
Meer werk en verantwoordelijkheid voor de app-ontwikkelaar
App-stores volgen verschillende policies mbt tot wat is toegestaan en wat niet
Initial
Privacy-activiteiten worden ad hoc uitgevoerd.
Repeatable
Privacybeleid is gedefinieerd:
• Commitment van het senior management.
• Algemeen bewustzijn en betrokkenheid.
• Specifieke plannen voor activiteiten met een hoog privacy-risico.
Defined
Privacybeleid en aanpak binnen de organisatie zijn op orde:
• Uitvoering risicoassessments.
• Prioriteiten zijn vastgesteld en bijbehorende resources zijn toebedeeld.
• Activiteiten worden gecoordineerd en uitgevoerd voor privacybewaking.
Managed
Een consequent effectief niveau van het omgaan met privacy is ingebed in de organisatie:
• Vroegtijdig betrekking van privacy in nieuwe systemen en processen.
• Privacy is geintegreerd in functies en in performance doelstellingen
• Monitoring op organisatie- en functioneel niveau
• Periodieke review van risicoinschattingen.
Optimizing
Continue verbetering privacy controls, praktijken, policies:
• Veranderingen worden systematisch onderzocht op privacy impact.
• Specifieke resources worden ingezet om privacydoelen te bereiken.
• Hoog niveau van cross-functionele organisatie en teamwork om privacydoelen te bereiken.
De organisatie – het Privacy Maturity Model
Source: www.theia.org – Global Technology Auditing Guide 5
De organisatie - Privacy Policies - 1
De organisatie - Privacy Policies -2
De organisatie - Privacy Policies - 3
De organisatie - Privacy Policies - 4
Tools beschikbaar voor genereren privacy policy!
MEF Werkgroep over Apps en privacy
De organisatie - Privacy Impact Assessment
TRUSTe: http://www.truste.com/products-and-services/enterprise-privacy/TRUSTed-apps
TRUSTed Apps
Comprehensive Privacy Risk Assessment
Data collection, external app calls, permissions, & governance analysis
Dedicated privacy account manager
Privacy Findings Report
Includes gap analysis, key findings and basic reporting
Transparent App Developer Data Flows
Identifies Consumer Data being collected
Identifies Consumer Data being transmitted to 3rd parties
Mobile Optimized Disclosures
Graphical, short notice privacy policy
Easily identifies consumer information that the app accesses, shares & retains (i.e. location, tracking technologies, targeted advertising)
Cross-Platform Capabilities
Dispute Resolution Service
Management of privacy-focused consumer feedback and complaints
TRUSTe Certified Privacy Seal (optional)
#1 global privacy brand
Conclusies
Organisatorische inbedding van belang
Steun van hoger management van belang
Processen en procedures transparant en bekend
Borging instrumenten als privacy audits
Techniek - Dataminimalisatie
1.Select before you collect
2.Beperk het doel van de
gegevensverzameling
3.Beperk gegevensdeling
4.Stel specifieke
bewaartermijnen in
5.Vernietig gegevens als
deze niet meer gebruikt
worden
Techniek - Bewaartermijnen en vernietiging gegevens
Bewaartermijn is in principe:
zolang als nodig is voor het kunnen verzorgen van de dienst.
Indien gebruiker de app verwijdert, verdwijnt daarmee ook de verleende toestemming om gegevens van/over de gebruiker te gebruiken, tenzij … (contract, wettelijke verplichting, expliciete
toestemming, …)
Een gebruiker moet in staat zijn de verzamelde gegevens in te zien en mee te nemen
(data portability -> Google Data Liberation Front)
Gegevens die niet meer gebruikt (mogen) worden moeten onklaar worden gemaakt (vernietiging, anonymisering)
Techniek – Privacy vanaf het eerste ontwerp
Functioneel ontwerp
Technisch ontwerp
Invoering
Privacy Guaranteeing Execution Container
Secret Sharing
Reputation systems Transparency tools
Privacy-Enhancing Intelligent Software Agents
Support for legal protection: sticky policies,
log files & watermarking
Information expiration date
Zero-knowledge proofs
Blind signatures
Audit logs
Pseudonyms
Encryption schemes Attribute-based credentials
Private information retrieval
Anonymous credentials
Steganography
Cryptography
Mix networks
Onion routing Protecting
Enabling P3P
Transparency
Conclusies
Technische mogelijkheden voor afscherming/minimalisering voorhanden
Lastig in de praktijk te brengen (kosten, kennis, belemmeringen)
Lastig te ‘vertalen’ naar gebruikers
Startpunt: “technische en organisatorische maatregelen voor de beveiliging van gegevens”
Vooruitblik
Vooruitblik
Conclusies vandaag:
Er zijn wel een aantal uitdagingen
Soms juridisch
Soms technisch
Vaak: vertaling van juridisch naar technisch en compliance
Vooruitblik
Nu is vaak adequate beveliging van persoonsgegevens nog de
gekozen weg
Verordening gaat accountability centraal stellen
Wat kunnen we daar nu al mee doen?
Vooruitblik
Oplossingen om privacybeleid naar concrete implementatievereisten
te vertalen
Privacy by Design
Om accountability aan te tonen
In de vorm van?
Technische tools
Vertaalmodel
Praktische guidelines
…
…
Mogelijkheid voor technologiecluster
Gezamenlijke vraag over concrete toepassing van een technologie
of gerelateerde oplossing
Deelname van (minimaal) 5 MKB bedrijven, die ook een specifieke
case kunnen inbrengen
Resultaten verspreiden onder minimaal 20 MKB bedrijven
Mogelijkheid voor technologiecluster
Deelnemende bedrijven betalen gezamelijk 10% van prijs van het
onderzoek (bijv. 1-2k/bedrijf, bij meerdere bedrijven lagere prijs per
bedrijf)
Dat wordt aangevuld met onderzoeksgelden
Totale omvang technologiecluster is maximaal 50k
Totale doorlooptijd onderzoek is maximaal 6 maanden
Hartelijk dank en graag tot ziens!
Marc van Lieshout ([email protected])
Arnold Roosendaal ([email protected])