SlideShare a Scribd company logo

Brunel_Whitepaper_Appsprivacywetgeving_V6

A
Anouk Ferwerda
1 of 16
Download to read offline
Where piracy meets privacy Populaire apps in strijd met privacywetgeving Brunel, mei 2014
2 Quick scan Brunel: Populaire apps in strijd met privacywetgeving
3 Management summary 4 Inleiding 5 1. Wetgeving en richtlijnen 6 2. Resultaten 9 3. Conclusie 11 4. Aanbevelingen 12 5. Bijlage 13 6. Over Brunel 14 Inhoud
4 Management summary Bij de ontwikkeling van apps voor smartphones, tablets en smart-TV’s zijn meerdere partijen betrokken. Alle partijen, zowel verantwoorde- lijke(n) als bewerkers van persoonsgegevens, moeten voldoen aan de geldende privacy- wetgeving. Uit een quick scan van Brunel blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Bij de top 25 gratis apps uit Nederland blijkt onder meer dat 88 procent van de onderzochte apps niet of onvoldoende transparant is over de verwerking van persoonsgegevens. Gebruikers weten niet waarvoor hun gegevens worden verzameld en bij wie deze terechtkomen. Om aan de geldende wet- en regelgeving te voldoen, dienen app- ontwikkelaars, al dan niet in opdracht van een opdrachtgever, privacy by design toe te passen. Al bij aanvang van het ontwikkelingsproces van de app moet rekening worden gehouden met de verplichtingen op grond van de wet, zoals volledige transparantie over verwerking van persoonsgegevens, toestemming van de gebruiker en beveiliging van persoonsgegevens. Privacy by design draagt bij aan waarborging van de privacy van de gebruikers van apps en daarmee aan het vertrouwen van de gebruikers en commerciële succes.
5 Inleiding Apps zijn niet meer weg te denken uit het dage- lijkse leven. Ze maken het leven gemakkelijker, maar ze verzamelen ook grote hoeveelheden persoonsgegevens zoals contactinformatie, foto’s en locatiegegevens. Met die data kunnen app-ontwikkelaars en/of hun opdrachtgevers namelijk nieuwe diensten aanbieden. De Engelse privacy-waakhond ICO heeft in 2013 een enquête uitgevoerd waaruit bleek dat 62 procent van de gebruikers van apps zich toch enige zorgen maakt over de privacy en 49 procent daarvan ziet zelfs af van het downloaden. Dat betekent dat de verantwoor- delijke partijen zoals app-ontwikkelaars, klanten mislopen doordat ze niet transparant zijn over het gebruik van gegevens. Zowel juridisch als commercieel gezien is het in het belang van de verantwoordelijke om te voldoen aan wet- en regelgeving. Partijen die hier geen gevolg aan geven, lopen afgezien van risico’s op boetes en dwangsommen een achterstand op qua betrouwbaarheid en daarmee ook op het commerciële succes. Uit de praktijk blijkt dat gebruikers van een app vaak onvoldoende geïnformeerd worden over het gebruik van persoonsgegevens op de smartphone en tablet. Een duidelijke Privacy Policy ontbreekt vaak en ook de beveiligings- maatregelen zijn niet altijd op orde. Zo moeten bijvoorbeeld persoonsgegevens die over het internet worden verstuurd, versleuteld zijn. Dat gebeurt niet altijd. Als dienstverlener op het gebied van onder andere Legal, IT en Marketing & Communicatie heeft Brunel een quick scan uitgevoerd onder de top 25 gratis apps van Nederlandse bedrijven. In dit rapport wordt verslag gedaan van de quick scan: in hoeverre voldoen de 25 apps aan de privacywetgeving?
6 1. Wetgeving en richtlijnen Ontwikkelaars en providers die apps aanbieden aan Nederlandse gebruikers, dienen zich te houden aan de Nederlandse privacywetgeving. De verplichtingen staan in de Wet bescherming persoonsgegevens en de Telecommunicatiewet. Deze wetgeving is gebaseerd op de Europese Privacy Richtlijn en E-Privacy Richtlijn. 1 Verantwoordelijke is de partij die bepaalt wat er met de persoonsgegevens gebeurt. Hij stelt de doelen vast van het gebruik van persoonsgegevens. Hij kan daarvoor instructies geven aan een derde partij die in zijn opdracht persoonsgegevens verwerkt (de bewerker). Een app- ontwikkelaar kan dus zowel verantwoor- delijke zijn maar ook werken in opdracht van een andere partij als bewerker waarbij hij niet zelfstandig persoonsgegevens voor eigen doelen verwerkt. Een greep uit de eisen voor Nederlandse app-ontwikkelaars: De gebruiker moet altijd volledig worden geïnformeerd over het exacte gebruik van persoonsgegevens. Wat gebeurt er met de verzamelde data? Verantwoordelijken1 dienen aan de gebruiker toestemming te vragen voor het verzamelen van persoonsgegevens. Dit mag niet via de Algemene Gebruiksvoorwaarden, maar dient voor ieder onderdeel, voor ieder gebruiksdoel vooraf apart te worden geformuleerd en door de gebruiker goedgekeurd te zijn. Deze zogeheten granular consent houdt in dat wanneer bijvoorbeeld opt-in is vereist, de verantwoordelijke daar apart toestemming voor dient te vragen en de gebruiker het desbetreffende gebruiksdoel dient aan te vinken om akkoord te gaan. Gebruiksdoelen moeten helder zijn en mogen niet tussentijds zonder toestemming van de gebruiker worden gewijzigd. Gebruiker moet tussentijds toestemming kunnen intrekken. Verzamelde persoonsgegevens worden dan verwijderd en de app wordt gedeïnstalleerd. Verantwoordelijke van de persoonsgegevens mag niet meer gegevens verzamelen dan nodig is voor zijn gebruiksdoel. De beveiliging van persoonsgegevens moet zowel organisatorisch als technisch passend zijn conform de Wet bescherming persoonsgegevens en Richtsnoeren van het CBP. De privacyverklaring moet leesbaar en begrijpelijk zijn voor de gebruiker. Apps voor kinderen dienen aan meer voorwaarden te voldoen. Bij kinderen onder de 13 jaar geven ouders toestemming (dit dient te worden opgenomen in de Gebruiksvoorwaarden) en moet de informatie over gebruik van persoonsgegevens eenvoudig zijn.
7 Twee voorbeelden uit de dagelijkse praktijk Een Amerikaanse app-ontwikkelaar ontwikkelt in opdracht van een Nederlandse telecomprovider een nieuwe app. De Amerikaanse partij is Safe Harbor gecertificeerd en ondertekent een bewerkersovereenkomst. Gaandeweg het proces blijkt de Amerikaanse partij de beschikking te willen krijgen over alle data om zelfstandig analyses te doen in opdracht van derde partijen zoals advertentiebureaus. Binnen de sales- en marketingafdeling van het telecombedrijf is nog niet duidelijk voor welke doelen de persoons- en verkeersgegevens worden verwerkt. Er blijken veel mogelijk­heden maar de definitieve toepassing wordt nog niet vastgesteld. Als de app bijna gebruiksklaar is en net voordat een pilot van start gaat wordt Legal gevraagd om advies over de noodzakelijke opt in- en opt out vereisten en het opstellen van gebruiksvoorwaarden. Daar blijkt dat een granular opt in voor gebruik van bepaalde verkeersgegevens technisch gezien niet meer zo makkelijk kan worden ingebouwd. Het blijkt dat het originele design hier geen rekening mee heeft gehouden. De pilot wordt on hold gezet en partijen beraden zich over de exacte gebruiksdoelen en de rol van de app-ontwikkelaar als bewerker. Dit leidt dus uiteindelijk tot vertraging en extra kosten. WhatsApp Inc voldeed niet aan de privacy-wetgeving Een ander voorbeeld betreft WhatsApp Inc. Het CBP en de Canadese privacy toezichthouder hebben gezamenlijk onderzoek gedaan naar WhatsApp. Deze Amerikaanse partij hield zich niet aan de Europese en Canadese privacy wetgeving. Zo werden data van inactieve gebruikers door WhatsApp te lang bewaard. Daarnaast had WhatsApp toegang tot de gehele telefoonlijst (ook van niet-WhatsApp-gebruikers!). Ook de beveiliging van data was niet op orde. WhatsApp heeft na uitkomst van het rapport van het CBP en de Canadese toezichthouder beterschap beloofd en de nodige aanpassingen gedaan. Onlangs werd bekend dat WhatsApp is overgenomen door Facebook. Dit zal wellicht weer een hoop vragen oproepen ten aanzien van verzameling en toepassing van data. Europees en internationaal niveau Privacy van apps staat hoog op de internationale agenda. Zo publiceerde de Working Party 29 (de privacy-toezichthoud- ers van de EU) in februari 2013 een opiniestuk over het waarborgen van privacy bij de ontwikkeling van apps. Alle partijen die bij de ontwikkeling van een app betrokken zijn (zoals de ontwikkelaars en de app-store) dienen zich te houden aan de richtsnoeren die in de opinie van WP 29 genoemd zijn. Ook de Engelse toezichthouder ICO heeft een Guidance opgesteld. Dit document bevat praktische informatie voor app-ontwikkelaars. Tijdens de International Data Protection & Privacy Commis- sioners Conference eind september 2013 stond onder andere de ‘appification of society’ centraal. Er werd gesproken over de uitdaging slim om te gaan met de enorme toename van apps en de privacy-perikelen die daarbij de kop op steken. Uit de conferenties, richtlijnen en wetgeving blijkt dat er op het gebied van mobile privacy nog veel winst te behalen valt. Toezichthouders hebben gedurende de conferentie met elkaar afgesproken de verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Desnoods zullen zij gezamenlijk handhavend optreden.
8 Overeenstemming én tegenstrijdig Sommige apps zijn bijzonder ambigu in het naleven van de privacywetgeving, zo bewijst een app die gegevens bijhoudt van hardloopactiviteiten als locatie, snelheid, hartritme. De gebruiker kan data uploaden naar een cloud service, de resultaten delen met andere app-users en linken naar diverse socialmedia-sites. In overeenstemming met privacywetgeving In strijd met privacywetgeving Er is een icoon zichtbaar die aangeeft dat geo-locatieservices actief zijn. De kaart op het beginscherm toont dat locatiegegevens worden verwerkt. Er is een duidelijke startknop aanwezig die geactiveerd dient te worden voordat de data worden verzameld. Iconen geven duidelijk aan naar welke externe sites de data te uploaden is. Er is geen vooraf ingestelde verplichting om te uploaden. De gebruiker kan op eenvoudige wijze de privacy-settings zien en aanpassen. De gebruiker kan met een eenvoudige delete-knop bepaalde activiteiten verwijderen. Bij het installeren vraagt de app toestemming om een sms’je te sturen. Er is geen uitleg waarom dat nodig zou zijn. Er is geen transparantie over het uploaden naar andere sites. De gebruiker kan met één vraag beantwoorden of hij zijn hardloopactiviteiten openbaar wil maken. Als de gebruiker dit weer wil wijzigen, is moeilijk te vinden hoe hij dit kan uitzetten. IMEI-nummers (unique identifiers) zijn gelinkt aan de fitnessactiviteiten die worden geüpload naar externe sites. Wanneer de gebruiker fitnessactiviteiten deelt, deelt hij ook automatisch de exacte locatie- gegevens. Dit is niet uit te zetten of te vervagen tot bijvoorbeeld de dichtstbijzijnde stad.
9 2. Resultaten Het merendeel (88 procent) beschikt wel over een Privacy-beleid, maar heeft in de app-store of in de app geen link naar het Privacy-beleid opgenomen. Er is zelfs één app die helemaal geen privacy-voorwaarden vermeldt. Niet in de app-store, niet op de website van de verantwoordelijke en niet in de app zelf na het downloaden. 88% Om te onderzoeken hoe het gesteld is met de privacy van app-gebruikers is een quick scan uitgevoerd op de top 25 gratis apps van Nederlandse bedrijven (zie bijlage). De apps zijn beoordeeld op vier punten: Onderzocht is in hoeverre de verantwoordelijke (de app-ontwikkelaar) zich aan deze punten heeft gehouden. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? De gebruiker dient al in de app-store een duidelijke verwijzing te vinden naar het privacy-beleid van de verantwoordelijke. Slechts 8 procent van de onderzochte bedrijven geeft in het Privacy-beleid specifiek aan dat het Privacy Statement van toepassing is op de verwerking van persoonsgegeven in het kader van de app. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? 3. Op welke wijze geeft de gebruiker toestemming op opt out voor gebruik van zijn persoonsgegevens? 4. Heeft de verantwoordelijke zijn contactgegevens vermeld?
10 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? Het Privacy-beleid dient transparant te zijn; het dient duidelijk te maken met welk doel de persoonsgegevens wel en niet worden gebruikt. Dat kan bijvoorbeeld door aan te geven dat persoons- gegevens niet worden gedeeld met derde partijen of door te vermelden dat persoonsgegevens gebruikt kunnen worden voor onderzoeksdoeleinden. Bijna alle onderzochte apps (88 pro- cent) blijken niet of niet voldoende transparant. In die gevallen is niet duidelijk welke derde partijen de beschikking krijgen over persoonsgegevens of voor welke doeleinden de persoons- gegevens worden gebruikt. In 40 procent van de gevallen scoort de verantwoordelijke qua transparantie over zowel het doeleinde als de doorgifte naar derde partijen negatief. Meer- dere bedrijven (48 procent) geven een zeer algemene doelom- schrijving in de Privacy Statement. Ze stellen dan bijvoorbeeld dat persoonsgegevens worden verwerkt ten behoeve van de app, maar ook voor hun dochtermaatschappijen. Die activiteiten kunnen erg afwijken van de doelomschrijving van de app zelf. 56% van diverse bedrijven geven In het Privacybeleid aan dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks iets terug te vinden van Privacy Settings. 24% van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics. 12%Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt 3. Op welke wijze geeft de gebruiker toestemming opt in -opt out voor gebruik van zijn persoonsgegevens? Opvallend is dat alle apps nauwelijks tot geen granular choice aanbieden. Gebruikers moeten veelal akkoord gaan met een privacyverklaring die een hele reeks al dan niet opgesomde gebruiksdoeleinden bevat. De vraag is dan ook om welke persoonsgegevens het gaat. Als er al een doelomschrijving is, is vaak niet kenbaar gemaakt voor welke verwerking van persoonsgegevens de gebruiker wel of geen toestemming geeft. Kortom: de gebruiker weet niet waar hij toestemming voor verleent. Het is niet geoorloofd om toestemming via de akkoord- verklaring op de algemene voorwaarden of Privacy Statement te verkrijgen. Daar waar krachtens de wet opt-in is vereist, dient de gebruiker daadwerkelijk actief zijn toestemming te verlenen. In het Privacybeleid van diverse bedrijven (56 procent) is wel aangeven dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks nog iets terug te vinden van Privacy Settings (aan-uit) voor de gebruiker. Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt. Dit is in strijd met privacywetgeving. Bij gebruik van locatiegegevens, links naar social media en cookies - anders dan functionele en analy- tische cookies – moet actief toestemming worden gegeven door gebruiker. 24 procent van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics.
11 4. Heeft de verantwoordelijke zijn contactgegevens vermeld? De verantwoordelijke is verplicht contactgegevens te vermelden, zodat de gebruiker weet tot wie hij zich kan wenden om zijn rechten uit te oefenen op grond van de privacywetgeving. Alle verantwoordelijken voldoen hier aan. Een app vermeldt echter geen link vanuit de app-store naar contactgegevens en op de website zijn de contactgegevens moeilijk te vinden. 3. Conclusie Uit de quick scan van de top 25 gratis Nederlandse apps blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Met name op het gebied van transparantie en toestemmingsvereisten voldoen verantwoordelijken niet altijd aan de wet- en regelgeving. Zo is 88 procent niet transparant over het verwerken van persoonsgegevens. Een gebruiker weet vaak niet waar hij toestemming voor geeft omdat hij onvoldoende en niet specifiek genoeg wordt geïnformeerd over het gebruik van zijn persoonsgegevens (welke persoonsgegevens worden voor welk doel bewaard, door welke partijen worden de gegevens bewaard). Het Privacy Statement voldoet ook zelden aan de wettelijke richtsnoeren. In de app-store ontbreekt vaak een verwijzing naar het Privacy Statement en in slechts 8 procent van de gevallen heeft het Privacy Statement specifiek betrekking op de app. Op één punt scoren de apps allemaal goed: alle verantwoordelijken vermelden, zoals de wet het voorschrijft, hun contactgegevens. 100% @
12 4. Aanbevelingen Bij een goede app is de gebruiker ‘in control’. Dat wil zeggen dat de app transparant is over het hoe en waarom van het bewaren van gebruikersgegevens. Om aan alle privacywetgeving te voldoen, dient de ontwikkelaar al bij de eerste ontwikkelingsfase privacy mee te nemen. In een vroeg stadium moet dus al worden bedacht wat de ontwikkelaar wil met de app, wat de doeleinden zijn en welke gegevens daarvoor nodig zijn. Zo wordt voorkomen dat de gebruiker straks geen toestemming heeft gegeven voor een bepaalde verwerking. Privacy by design is het sleutelwoord om een app privacy compliant te maken. Wet- en regelgeving dienen onderdeel te zijn van het design aan het begin van het proces. Dit voorkomt vertraging in de planning en onnodige kosten. Hieronder een aantal tips voor het werken volgens privacy by design: Maak gebruik van een Privacy Impact Assessment in de eerste ontwikkelingsfase. Dit betreft een uitgebreide vragenlijst en checklist waarmee privacy-risico’s in kaart worden gebracht, noodzakelijke maatregelen worden genomen en aanbevelingen worden gedaan om te voldoen aan privacywet- en regelgeving. In sommige gevallen is het twijfelachtig of bepaalde gegevens beschouwd moeten worden als persoonsgegevens (bijvoorbeeld een MAC-adres). Bij twijfel is het verstandig om de gegevens te behandelen als persoonsgegevens. Ontwikkelaars moeten weten of zij als verantwoordelijke worden beschouwd. Door de bank genomen geldt de regel dat wie het beleid omtrent de persoonsgegevens bepaalt, als verantwoordelijke gezien wordt. Stel een goed beleid op waarin is vastgelegd welke persoonsgegevens er met welk doel worden verzameld. Bovenmatige verzameling van data is in strijd met de wet. Stel ook bewaartermijnen vast. Verwerk alleen die persoonsgegevens die in overeenstemming zijn voor het doel. Werk aan minimalisatie. Wanneer foto’s worden opgeslagen op een centrale server, zorg er dan voor dat onnodige metadata (datum, locatie, etc.) wordt gestript. Download dus niet meer gegevens dan nodig is voor het gebruik van de app. Wees extra alert als het gaat om kinderen. Gebruikers moeten het recht hebben om de gegevens permanent te laten vernietigen. Minimaliseer en anonimiseer daar waar mogelijk. De privacy-policy hoeft niet als een lap tekst te worden opgenomen, maar kan ook op manieren worden aangeboden die meer passend en gebruiksvriendelijk zijn bij gebruik van het touchscreen van de smartphone of Tablet (layered approach). Praktische tips voor het schrijven van een Privacy Policy: Eenvoudige en begrijpelijke taal als de app voor kinderen is bedoeld. Volledige transparantie over gebruik van data is cruciaal. Niet alleen uitleggen welke data wordt gebruikt maar ook waarom. Informatie over gebruik van persoonsgegevens moet worden aangeboden voordat de gebruiker de app downloadt, maar voorkom het dubbel aanbieden van informatie. Aangeven wat de verantwoordelijke niet doet met bepaalde data kan ook heel verhelderend zijn. Zet een duidelijk contactadres op de pagina van de app- store. De gebruiker heeft op basis van de Wet bescherming persoonsgegevens een inzagerecht en kan daartoe een verzoek indienen. Het is aan te bevelen de gebruiker een ‘granular choice’ aan te bieden. Dit betekent dus per gebruiksdoel de gebruiker informeren en om toestemming vragen. Zorg voor encryptie indien passwords, gebruikersnamen en unieke ID-nummers worden verwerkt.
13 5. Bijlage Top 25 apps (eerste week april 2014) In willekeurige volgorde: 1. Veilig Verkeer Nederland 2. De Bijenkorf for I Pad 3. Weet ik veel (spel van RTL) 4. Consumentenbond Kiosk 5. Ziggo tv 6. NOS 7. Rabo bankieren 8. NPO Nieuws 9. ING bankieren 10. Allerhande koken 11. Telegraaf krant 12. Vakantieveilingen 13. KPN i TV online 14. NS Reisplanner 15. De telegraaf nieuws 16. Funda 17. Buienradar 18. KLM for i Pad 19. RTL XL 20. Weeronline HD 21. Marktplaats 22. Horizon TV (UPC) 23. Nu.nl 24. GTST Quiz 25. SBS 6
14 6. Over Brunel Brunel is een wereldwijde zakelijke dienstverlener gespecialiseerd in projectmanagement, detachering en consultancy in de vakgebieden Engineering, IT, Legal, Finance, Marketing & Communicatie en alle disciplines in de olie- en gasindustrie. Sinds haar oprichting in 1975 heeft Brunel zich ontwikkeld tot een internationale groep met ruim 13.000 medewerkers en een jaaromzet van bijna 1,3 miljard euro (2013). Brunel opereert vanuit een eigen internationaal netwerk met 109 kantoren in 40 landen. Brunel International NV is genoteerd aan Euronext Amsterdam NV en opgenomen in de Amsterdam Midkap Index (AMX). Engineering Life Sciences & Healthcare Marcom Finance Legal & HR IT 13.000 specialisten Projectmanagement, Detachering en Consultancy miljard 1,3 in 2013: Omzet
15 Canada United States of America Russia Kazachstan Poland Denmark Libya Italy Germany Qatar Iraq Kuwait Kingdom of Saudi Arabi Chad United Arab Emirates Sultanate of Oman Nigeria Cameroon Spain Angola Brazil United Kingdom India China The Netherlands France Singapore Indonesia Malaysia JapanSouth Korea Philippines Papua New Guinea Australia Thailand Austria Czech Republic Switzerland Belgium New Zealand Norway Meer da 10.00 m wereldw 97 kant 34 land Meer da actieve ervaring Omzet EUR 1,2 in 2012 40 Landen 6 Continenten 109 kantoren 109 Branches Oil, Gas & Mining Industry Services Infrastructure Insurance & Banking Life Sciences & Healthcare
Brunel_Whitepaper_Appsprivacywetgeving_V6

Recommended

Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Media Perspectives
 
Andrew Lloyd CV - Sport
Andrew Lloyd CV - SportAndrew Lloyd CV - Sport
Andrew Lloyd CV - SportAndrew Lloyd
 
Föräldrar unga och nätet - allingsås
Föräldrar unga och nätet - allingsåsFöräldrar unga och nätet - allingsås
Föräldrar unga och nätet - allingsåsKristoffer Creutz
 
Utility Coordination 2015 - for show
Utility Coordination 2015 - for showUtility Coordination 2015 - for show
Utility Coordination 2015 - for showLynee Russell
 
Lack of Coordination
Lack of CoordinationLack of Coordination
Lack of CoordinationLynee Russell
 
Lärare-unga och nätet - allingsås
Lärare-unga och nätet - allingsåsLärare-unga och nätet - allingsås
Lärare-unga och nätet - allingsåsKristoffer Creutz
 
Evaluatie Barbahuis
Evaluatie Barbahuis Evaluatie Barbahuis
Evaluatie Barbahuis wilmaklaren
 
master thesis presentation
master thesis presentationmaster thesis presentation
master thesis presentationCheng (Sophia) Gao
 

Recommended

Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Media Perspectives
 
Andrew Lloyd CV - Sport
Andrew Lloyd CV - SportAndrew Lloyd CV - Sport
Andrew Lloyd CV - SportAndrew Lloyd
 
Föräldrar unga och nätet - allingsås
Föräldrar unga och nätet - allingsåsFöräldrar unga och nätet - allingsås
Föräldrar unga och nätet - allingsåsKristoffer Creutz
 
Utility Coordination 2015 - for show
Utility Coordination 2015 - for showUtility Coordination 2015 - for show
Utility Coordination 2015 - for showLynee Russell
 
Lack of Coordination
Lack of CoordinationLack of Coordination
Lack of CoordinationLynee Russell
 
Lärare-unga och nätet - allingsås
Lärare-unga och nätet - allingsåsLärare-unga och nätet - allingsås
Lärare-unga och nätet - allingsåsKristoffer Creutz
 
Evaluatie Barbahuis
Evaluatie Barbahuis Evaluatie Barbahuis
Evaluatie Barbahuis wilmaklaren
 
master thesis presentation
master thesis presentationmaster thesis presentation
master thesis presentationCheng (Sophia) Gao
 
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers webBenchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers webIrma Schaap
 
AVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersAVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersOlivier Oosterbaan
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Gezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGene Vangampelaere
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaCTB xRM
 
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobePresentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobeHet Organisatieteam
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacySebyde
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
Strategische App Ontwikkeling
Strategische App OntwikkelingStrategische App Ontwikkeling
Strategische App OntwikkelingArnd Brugman
 
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Plek
 
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?Thei Geurts
 
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenEtienne Martens
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18Harry Heijligers, PMP ★ NLP ★
 
eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011Jasper Leunk
 
eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 Valtech
 
eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011Sebastiaan Bode
 
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DDMA
 

More Related Content

Similar to Brunel_Whitepaper_Appsprivacywetgeving_V6

Benchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers webBenchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers webIrma Schaap
 
AVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersAVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersOlivier Oosterbaan
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Richard Claassens CIPPE
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingSebyde
 
Gezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGene Vangampelaere
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaCTB xRM
 
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobePresentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobeHet Organisatieteam
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacySebyde
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock✎ Wim Strik
 
Strategische App Ontwikkeling
Strategische App OntwikkelingStrategische App Ontwikkeling
Strategische App OntwikkelingArnd Brugman
 
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Plek
 
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?Thei Geurts
 
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenEtienne Martens
 
eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011Jasper Leunk
 
eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 Valtech
 
eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011Sebastiaan Bode
 
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DDMA
 

Similar to Brunel_Whitepaper_Appsprivacywetgeving_V6 (20)

Benchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers webBenchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers web
 
AVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersAVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishers
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
Gezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGezondheidsapps, een overzicht
Gezondheidsapps, een overzicht
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
 
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima forma
 
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobePresentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - Adobe
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
 
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
 
Strategische App Ontwikkeling
Strategische App OntwikkelingStrategische App Ontwikkeling
Strategische App Ontwikkeling
 
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
 
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?
 
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhoven
 
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
 
eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011
 
eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 eFocus kennissessie trends 2011
eFocus kennissessie trends 2011
 
eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011
 
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
 

Brunel_Whitepaper_Appsprivacywetgeving_V6

  • 1. Where piracy meets privacy Populaire apps in strijd met privacywetgeving Brunel, mei 2014
  • 2. 2 Quick scan Brunel: Populaire apps in strijd met privacywetgeving
  • 3. 3 Management summary 4 Inleiding 5 1. Wetgeving en richtlijnen 6 2. Resultaten 9 3. Conclusie 11 4. Aanbevelingen 12 5. Bijlage 13 6. Over Brunel 14 Inhoud
  • 4. 4 Management summary Bij de ontwikkeling van apps voor smartphones, tablets en smart-TV’s zijn meerdere partijen betrokken. Alle partijen, zowel verantwoorde- lijke(n) als bewerkers van persoonsgegevens, moeten voldoen aan de geldende privacy- wetgeving. Uit een quick scan van Brunel blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Bij de top 25 gratis apps uit Nederland blijkt onder meer dat 88 procent van de onderzochte apps niet of onvoldoende transparant is over de verwerking van persoonsgegevens. Gebruikers weten niet waarvoor hun gegevens worden verzameld en bij wie deze terechtkomen. Om aan de geldende wet- en regelgeving te voldoen, dienen app- ontwikkelaars, al dan niet in opdracht van een opdrachtgever, privacy by design toe te passen. Al bij aanvang van het ontwikkelingsproces van de app moet rekening worden gehouden met de verplichtingen op grond van de wet, zoals volledige transparantie over verwerking van persoonsgegevens, toestemming van de gebruiker en beveiliging van persoonsgegevens. Privacy by design draagt bij aan waarborging van de privacy van de gebruikers van apps en daarmee aan het vertrouwen van de gebruikers en commerciële succes.
  • 5. 5 Inleiding Apps zijn niet meer weg te denken uit het dage- lijkse leven. Ze maken het leven gemakkelijker, maar ze verzamelen ook grote hoeveelheden persoonsgegevens zoals contactinformatie, foto’s en locatiegegevens. Met die data kunnen app-ontwikkelaars en/of hun opdrachtgevers namelijk nieuwe diensten aanbieden. De Engelse privacy-waakhond ICO heeft in 2013 een enquête uitgevoerd waaruit bleek dat 62 procent van de gebruikers van apps zich toch enige zorgen maakt over de privacy en 49 procent daarvan ziet zelfs af van het downloaden. Dat betekent dat de verantwoor- delijke partijen zoals app-ontwikkelaars, klanten mislopen doordat ze niet transparant zijn over het gebruik van gegevens. Zowel juridisch als commercieel gezien is het in het belang van de verantwoordelijke om te voldoen aan wet- en regelgeving. Partijen die hier geen gevolg aan geven, lopen afgezien van risico’s op boetes en dwangsommen een achterstand op qua betrouwbaarheid en daarmee ook op het commerciële succes. Uit de praktijk blijkt dat gebruikers van een app vaak onvoldoende geïnformeerd worden over het gebruik van persoonsgegevens op de smartphone en tablet. Een duidelijke Privacy Policy ontbreekt vaak en ook de beveiligings- maatregelen zijn niet altijd op orde. Zo moeten bijvoorbeeld persoonsgegevens die over het internet worden verstuurd, versleuteld zijn. Dat gebeurt niet altijd. Als dienstverlener op het gebied van onder andere Legal, IT en Marketing & Communicatie heeft Brunel een quick scan uitgevoerd onder de top 25 gratis apps van Nederlandse bedrijven. In dit rapport wordt verslag gedaan van de quick scan: in hoeverre voldoen de 25 apps aan de privacywetgeving?
  • 6. 6 1. Wetgeving en richtlijnen Ontwikkelaars en providers die apps aanbieden aan Nederlandse gebruikers, dienen zich te houden aan de Nederlandse privacywetgeving. De verplichtingen staan in de Wet bescherming persoonsgegevens en de Telecommunicatiewet. Deze wetgeving is gebaseerd op de Europese Privacy Richtlijn en E-Privacy Richtlijn. 1 Verantwoordelijke is de partij die bepaalt wat er met de persoonsgegevens gebeurt. Hij stelt de doelen vast van het gebruik van persoonsgegevens. Hij kan daarvoor instructies geven aan een derde partij die in zijn opdracht persoonsgegevens verwerkt (de bewerker). Een app- ontwikkelaar kan dus zowel verantwoor- delijke zijn maar ook werken in opdracht van een andere partij als bewerker waarbij hij niet zelfstandig persoonsgegevens voor eigen doelen verwerkt. Een greep uit de eisen voor Nederlandse app-ontwikkelaars: De gebruiker moet altijd volledig worden geïnformeerd over het exacte gebruik van persoonsgegevens. Wat gebeurt er met de verzamelde data? Verantwoordelijken1 dienen aan de gebruiker toestemming te vragen voor het verzamelen van persoonsgegevens. Dit mag niet via de Algemene Gebruiksvoorwaarden, maar dient voor ieder onderdeel, voor ieder gebruiksdoel vooraf apart te worden geformuleerd en door de gebruiker goedgekeurd te zijn. Deze zogeheten granular consent houdt in dat wanneer bijvoorbeeld opt-in is vereist, de verantwoordelijke daar apart toestemming voor dient te vragen en de gebruiker het desbetreffende gebruiksdoel dient aan te vinken om akkoord te gaan. Gebruiksdoelen moeten helder zijn en mogen niet tussentijds zonder toestemming van de gebruiker worden gewijzigd. Gebruiker moet tussentijds toestemming kunnen intrekken. Verzamelde persoonsgegevens worden dan verwijderd en de app wordt gedeïnstalleerd. Verantwoordelijke van de persoonsgegevens mag niet meer gegevens verzamelen dan nodig is voor zijn gebruiksdoel. De beveiliging van persoonsgegevens moet zowel organisatorisch als technisch passend zijn conform de Wet bescherming persoonsgegevens en Richtsnoeren van het CBP. De privacyverklaring moet leesbaar en begrijpelijk zijn voor de gebruiker. Apps voor kinderen dienen aan meer voorwaarden te voldoen. Bij kinderen onder de 13 jaar geven ouders toestemming (dit dient te worden opgenomen in de Gebruiksvoorwaarden) en moet de informatie over gebruik van persoonsgegevens eenvoudig zijn.
  • 7. 7 Twee voorbeelden uit de dagelijkse praktijk Een Amerikaanse app-ontwikkelaar ontwikkelt in opdracht van een Nederlandse telecomprovider een nieuwe app. De Amerikaanse partij is Safe Harbor gecertificeerd en ondertekent een bewerkersovereenkomst. Gaandeweg het proces blijkt de Amerikaanse partij de beschikking te willen krijgen over alle data om zelfstandig analyses te doen in opdracht van derde partijen zoals advertentiebureaus. Binnen de sales- en marketingafdeling van het telecombedrijf is nog niet duidelijk voor welke doelen de persoons- en verkeersgegevens worden verwerkt. Er blijken veel mogelijk­heden maar de definitieve toepassing wordt nog niet vastgesteld. Als de app bijna gebruiksklaar is en net voordat een pilot van start gaat wordt Legal gevraagd om advies over de noodzakelijke opt in- en opt out vereisten en het opstellen van gebruiksvoorwaarden. Daar blijkt dat een granular opt in voor gebruik van bepaalde verkeersgegevens technisch gezien niet meer zo makkelijk kan worden ingebouwd. Het blijkt dat het originele design hier geen rekening mee heeft gehouden. De pilot wordt on hold gezet en partijen beraden zich over de exacte gebruiksdoelen en de rol van de app-ontwikkelaar als bewerker. Dit leidt dus uiteindelijk tot vertraging en extra kosten. WhatsApp Inc voldeed niet aan de privacy-wetgeving Een ander voorbeeld betreft WhatsApp Inc. Het CBP en de Canadese privacy toezichthouder hebben gezamenlijk onderzoek gedaan naar WhatsApp. Deze Amerikaanse partij hield zich niet aan de Europese en Canadese privacy wetgeving. Zo werden data van inactieve gebruikers door WhatsApp te lang bewaard. Daarnaast had WhatsApp toegang tot de gehele telefoonlijst (ook van niet-WhatsApp-gebruikers!). Ook de beveiliging van data was niet op orde. WhatsApp heeft na uitkomst van het rapport van het CBP en de Canadese toezichthouder beterschap beloofd en de nodige aanpassingen gedaan. Onlangs werd bekend dat WhatsApp is overgenomen door Facebook. Dit zal wellicht weer een hoop vragen oproepen ten aanzien van verzameling en toepassing van data. Europees en internationaal niveau Privacy van apps staat hoog op de internationale agenda. Zo publiceerde de Working Party 29 (de privacy-toezichthoud- ers van de EU) in februari 2013 een opiniestuk over het waarborgen van privacy bij de ontwikkeling van apps. Alle partijen die bij de ontwikkeling van een app betrokken zijn (zoals de ontwikkelaars en de app-store) dienen zich te houden aan de richtsnoeren die in de opinie van WP 29 genoemd zijn. Ook de Engelse toezichthouder ICO heeft een Guidance opgesteld. Dit document bevat praktische informatie voor app-ontwikkelaars. Tijdens de International Data Protection & Privacy Commis- sioners Conference eind september 2013 stond onder andere de ‘appification of society’ centraal. Er werd gesproken over de uitdaging slim om te gaan met de enorme toename van apps en de privacy-perikelen die daarbij de kop op steken. Uit de conferenties, richtlijnen en wetgeving blijkt dat er op het gebied van mobile privacy nog veel winst te behalen valt. Toezichthouders hebben gedurende de conferentie met elkaar afgesproken de verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Desnoods zullen zij gezamenlijk handhavend optreden.
  • 8. 8 Overeenstemming én tegenstrijdig Sommige apps zijn bijzonder ambigu in het naleven van de privacywetgeving, zo bewijst een app die gegevens bijhoudt van hardloopactiviteiten als locatie, snelheid, hartritme. De gebruiker kan data uploaden naar een cloud service, de resultaten delen met andere app-users en linken naar diverse socialmedia-sites. In overeenstemming met privacywetgeving In strijd met privacywetgeving Er is een icoon zichtbaar die aangeeft dat geo-locatieservices actief zijn. De kaart op het beginscherm toont dat locatiegegevens worden verwerkt. Er is een duidelijke startknop aanwezig die geactiveerd dient te worden voordat de data worden verzameld. Iconen geven duidelijk aan naar welke externe sites de data te uploaden is. Er is geen vooraf ingestelde verplichting om te uploaden. De gebruiker kan op eenvoudige wijze de privacy-settings zien en aanpassen. De gebruiker kan met een eenvoudige delete-knop bepaalde activiteiten verwijderen. Bij het installeren vraagt de app toestemming om een sms’je te sturen. Er is geen uitleg waarom dat nodig zou zijn. Er is geen transparantie over het uploaden naar andere sites. De gebruiker kan met één vraag beantwoorden of hij zijn hardloopactiviteiten openbaar wil maken. Als de gebruiker dit weer wil wijzigen, is moeilijk te vinden hoe hij dit kan uitzetten. IMEI-nummers (unique identifiers) zijn gelinkt aan de fitnessactiviteiten die worden geüpload naar externe sites. Wanneer de gebruiker fitnessactiviteiten deelt, deelt hij ook automatisch de exacte locatie- gegevens. Dit is niet uit te zetten of te vervagen tot bijvoorbeeld de dichtstbijzijnde stad.
  • 9. 9 2. Resultaten Het merendeel (88 procent) beschikt wel over een Privacy-beleid, maar heeft in de app-store of in de app geen link naar het Privacy-beleid opgenomen. Er is zelfs één app die helemaal geen privacy-voorwaarden vermeldt. Niet in de app-store, niet op de website van de verantwoordelijke en niet in de app zelf na het downloaden. 88% Om te onderzoeken hoe het gesteld is met de privacy van app-gebruikers is een quick scan uitgevoerd op de top 25 gratis apps van Nederlandse bedrijven (zie bijlage). De apps zijn beoordeeld op vier punten: Onderzocht is in hoeverre de verantwoordelijke (de app-ontwikkelaar) zich aan deze punten heeft gehouden. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? De gebruiker dient al in de app-store een duidelijke verwijzing te vinden naar het privacy-beleid van de verantwoordelijke. Slechts 8 procent van de onderzochte bedrijven geeft in het Privacy-beleid specifiek aan dat het Privacy Statement van toepassing is op de verwerking van persoonsgegeven in het kader van de app. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? 3. Op welke wijze geeft de gebruiker toestemming op opt out voor gebruik van zijn persoonsgegevens? 4. Heeft de verantwoordelijke zijn contactgegevens vermeld?
  • 10. 10 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? Het Privacy-beleid dient transparant te zijn; het dient duidelijk te maken met welk doel de persoonsgegevens wel en niet worden gebruikt. Dat kan bijvoorbeeld door aan te geven dat persoons- gegevens niet worden gedeeld met derde partijen of door te vermelden dat persoonsgegevens gebruikt kunnen worden voor onderzoeksdoeleinden. Bijna alle onderzochte apps (88 pro- cent) blijken niet of niet voldoende transparant. In die gevallen is niet duidelijk welke derde partijen de beschikking krijgen over persoonsgegevens of voor welke doeleinden de persoons- gegevens worden gebruikt. In 40 procent van de gevallen scoort de verantwoordelijke qua transparantie over zowel het doeleinde als de doorgifte naar derde partijen negatief. Meer- dere bedrijven (48 procent) geven een zeer algemene doelom- schrijving in de Privacy Statement. Ze stellen dan bijvoorbeeld dat persoonsgegevens worden verwerkt ten behoeve van de app, maar ook voor hun dochtermaatschappijen. Die activiteiten kunnen erg afwijken van de doelomschrijving van de app zelf. 56% van diverse bedrijven geven In het Privacybeleid aan dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks iets terug te vinden van Privacy Settings. 24% van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics. 12%Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt 3. Op welke wijze geeft de gebruiker toestemming opt in -opt out voor gebruik van zijn persoonsgegevens? Opvallend is dat alle apps nauwelijks tot geen granular choice aanbieden. Gebruikers moeten veelal akkoord gaan met een privacyverklaring die een hele reeks al dan niet opgesomde gebruiksdoeleinden bevat. De vraag is dan ook om welke persoonsgegevens het gaat. Als er al een doelomschrijving is, is vaak niet kenbaar gemaakt voor welke verwerking van persoonsgegevens de gebruiker wel of geen toestemming geeft. Kortom: de gebruiker weet niet waar hij toestemming voor verleent. Het is niet geoorloofd om toestemming via de akkoord- verklaring op de algemene voorwaarden of Privacy Statement te verkrijgen. Daar waar krachtens de wet opt-in is vereist, dient de gebruiker daadwerkelijk actief zijn toestemming te verlenen. In het Privacybeleid van diverse bedrijven (56 procent) is wel aangeven dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks nog iets terug te vinden van Privacy Settings (aan-uit) voor de gebruiker. Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt. Dit is in strijd met privacywetgeving. Bij gebruik van locatiegegevens, links naar social media en cookies - anders dan functionele en analy- tische cookies – moet actief toestemming worden gegeven door gebruiker. 24 procent van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics.
  • 11. 11 4. Heeft de verantwoordelijke zijn contactgegevens vermeld? De verantwoordelijke is verplicht contactgegevens te vermelden, zodat de gebruiker weet tot wie hij zich kan wenden om zijn rechten uit te oefenen op grond van de privacywetgeving. Alle verantwoordelijken voldoen hier aan. Een app vermeldt echter geen link vanuit de app-store naar contactgegevens en op de website zijn de contactgegevens moeilijk te vinden. 3. Conclusie Uit de quick scan van de top 25 gratis Nederlandse apps blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Met name op het gebied van transparantie en toestemmingsvereisten voldoen verantwoordelijken niet altijd aan de wet- en regelgeving. Zo is 88 procent niet transparant over het verwerken van persoonsgegevens. Een gebruiker weet vaak niet waar hij toestemming voor geeft omdat hij onvoldoende en niet specifiek genoeg wordt geïnformeerd over het gebruik van zijn persoonsgegevens (welke persoonsgegevens worden voor welk doel bewaard, door welke partijen worden de gegevens bewaard). Het Privacy Statement voldoet ook zelden aan de wettelijke richtsnoeren. In de app-store ontbreekt vaak een verwijzing naar het Privacy Statement en in slechts 8 procent van de gevallen heeft het Privacy Statement specifiek betrekking op de app. Op één punt scoren de apps allemaal goed: alle verantwoordelijken vermelden, zoals de wet het voorschrijft, hun contactgegevens. 100% @
  • 12. 12 4. Aanbevelingen Bij een goede app is de gebruiker ‘in control’. Dat wil zeggen dat de app transparant is over het hoe en waarom van het bewaren van gebruikersgegevens. Om aan alle privacywetgeving te voldoen, dient de ontwikkelaar al bij de eerste ontwikkelingsfase privacy mee te nemen. In een vroeg stadium moet dus al worden bedacht wat de ontwikkelaar wil met de app, wat de doeleinden zijn en welke gegevens daarvoor nodig zijn. Zo wordt voorkomen dat de gebruiker straks geen toestemming heeft gegeven voor een bepaalde verwerking. Privacy by design is het sleutelwoord om een app privacy compliant te maken. Wet- en regelgeving dienen onderdeel te zijn van het design aan het begin van het proces. Dit voorkomt vertraging in de planning en onnodige kosten. Hieronder een aantal tips voor het werken volgens privacy by design: Maak gebruik van een Privacy Impact Assessment in de eerste ontwikkelingsfase. Dit betreft een uitgebreide vragenlijst en checklist waarmee privacy-risico’s in kaart worden gebracht, noodzakelijke maatregelen worden genomen en aanbevelingen worden gedaan om te voldoen aan privacywet- en regelgeving. In sommige gevallen is het twijfelachtig of bepaalde gegevens beschouwd moeten worden als persoonsgegevens (bijvoorbeeld een MAC-adres). Bij twijfel is het verstandig om de gegevens te behandelen als persoonsgegevens. Ontwikkelaars moeten weten of zij als verantwoordelijke worden beschouwd. Door de bank genomen geldt de regel dat wie het beleid omtrent de persoonsgegevens bepaalt, als verantwoordelijke gezien wordt. Stel een goed beleid op waarin is vastgelegd welke persoonsgegevens er met welk doel worden verzameld. Bovenmatige verzameling van data is in strijd met de wet. Stel ook bewaartermijnen vast. Verwerk alleen die persoonsgegevens die in overeenstemming zijn voor het doel. Werk aan minimalisatie. Wanneer foto’s worden opgeslagen op een centrale server, zorg er dan voor dat onnodige metadata (datum, locatie, etc.) wordt gestript. Download dus niet meer gegevens dan nodig is voor het gebruik van de app. Wees extra alert als het gaat om kinderen. Gebruikers moeten het recht hebben om de gegevens permanent te laten vernietigen. Minimaliseer en anonimiseer daar waar mogelijk. De privacy-policy hoeft niet als een lap tekst te worden opgenomen, maar kan ook op manieren worden aangeboden die meer passend en gebruiksvriendelijk zijn bij gebruik van het touchscreen van de smartphone of Tablet (layered approach). Praktische tips voor het schrijven van een Privacy Policy: Eenvoudige en begrijpelijke taal als de app voor kinderen is bedoeld. Volledige transparantie over gebruik van data is cruciaal. Niet alleen uitleggen welke data wordt gebruikt maar ook waarom. Informatie over gebruik van persoonsgegevens moet worden aangeboden voordat de gebruiker de app downloadt, maar voorkom het dubbel aanbieden van informatie. Aangeven wat de verantwoordelijke niet doet met bepaalde data kan ook heel verhelderend zijn. Zet een duidelijk contactadres op de pagina van de app- store. De gebruiker heeft op basis van de Wet bescherming persoonsgegevens een inzagerecht en kan daartoe een verzoek indienen. Het is aan te bevelen de gebruiker een ‘granular choice’ aan te bieden. Dit betekent dus per gebruiksdoel de gebruiker informeren en om toestemming vragen. Zorg voor encryptie indien passwords, gebruikersnamen en unieke ID-nummers worden verwerkt.
  • 13. 13 5. Bijlage Top 25 apps (eerste week april 2014) In willekeurige volgorde: 1. Veilig Verkeer Nederland 2. De Bijenkorf for I Pad 3. Weet ik veel (spel van RTL) 4. Consumentenbond Kiosk 5. Ziggo tv 6. NOS 7. Rabo bankieren 8. NPO Nieuws 9. ING bankieren 10. Allerhande koken 11. Telegraaf krant 12. Vakantieveilingen 13. KPN i TV online 14. NS Reisplanner 15. De telegraaf nieuws 16. Funda 17. Buienradar 18. KLM for i Pad 19. RTL XL 20. Weeronline HD 21. Marktplaats 22. Horizon TV (UPC) 23. Nu.nl 24. GTST Quiz 25. SBS 6
  • 14. 14 6. Over Brunel Brunel is een wereldwijde zakelijke dienstverlener gespecialiseerd in projectmanagement, detachering en consultancy in de vakgebieden Engineering, IT, Legal, Finance, Marketing & Communicatie en alle disciplines in de olie- en gasindustrie. Sinds haar oprichting in 1975 heeft Brunel zich ontwikkeld tot een internationale groep met ruim 13.000 medewerkers en een jaaromzet van bijna 1,3 miljard euro (2013). Brunel opereert vanuit een eigen internationaal netwerk met 109 kantoren in 40 landen. Brunel International NV is genoteerd aan Euronext Amsterdam NV en opgenomen in de Amsterdam Midkap Index (AMX). Engineering Life Sciences & Healthcare Marcom Finance Legal & HR IT 13.000 specialisten Projectmanagement, Detachering en Consultancy miljard 1,3 in 2013: Omzet
  • 15. 15 Canada United States of America Russia Kazachstan Poland Denmark Libya Italy Germany Qatar Iraq Kuwait Kingdom of Saudi Arabi Chad United Arab Emirates Sultanate of Oman Nigeria Cameroon Spain Angola Brazil United Kingdom India China The Netherlands France Singapore Indonesia Malaysia JapanSouth Korea Philippines Papua New Guinea Australia Thailand Austria Czech Republic Switzerland Belgium New Zealand Norway Meer da 10.00 m wereldw 97 kant 34 land Meer da actieve ervaring Omzet EUR 1,2 in 2012 40 Landen 6 Continenten 109 kantoren 109 Branches Oil, Gas & Mining Industry Services Infrastructure Insurance & Banking Life Sciences & Healthcare