Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Technology Update: Privacy in Apps

1,066 views

Published on

De slides van Arnold Roosendaal en Marc van Lieshout tijdens de Technology Update Privacy in apps, 2 december 2013.

 • Duidelijk verhaal, dank voor de share!
     Reply 
  Are you sure you want to  Yes  No
  Your message goes here
 • Be the first to like this

Technology Update: Privacy in Apps

 1. 1. Arnold Roosendaal en Marc van Lieshout 2 december 2013
 2. 2. Programma 13.20-13.30 Opening/welkom 13.30-14.00 Uitdagingen rond Apps en Privacy – uw visie 14.00-14.30 Schets van privacyvraagstukken rond apps en privacy 14.30-15.10 Case 1: Connected TV 15.10-15.30 Pauze 15.30-16.20 Case 2: App ontwikkeling 16.20-16.50 Uitdagingen en kansen, oog op vervolg 16.50-17.00 Afsluiting
 3. 3. TNO – Dutch Research and Technology Organisation •Veiligheid Energie Gebouwde Omgeving Mobiliteit InformatieMaatschappij Mobility Information Society ICT Public Safety 3 Energy Industrial Innovation Built Environment Healthy Living
 4. 4. Privacy related research - Drivers en barriers voor Privacy by Design in Nederland (EL&I/TNO)) - Online Trustmarks (EC) - User perception studies Privacy impact assessment - Gebruik van open source data One of THE knowledge partners on privacy & identity management national and international Monitoring Veiligheid & ICT (2011-2014) - “a bite too big” Cookie Rapport - FP 7 Virtuoso - Assessment van nieuwe privacy verordening - PI Lab opening Innovatie en privacy en de rechten van burgers (EP)
 5. 5. Uitdagingen rond Apps en Privacy – uw visie Stellingen
 6. 6. Uitdagingen rond Apps en Privacy – uw visie Wat kwam u bekend voor? Waar wilt u meer over weten? Wat is uw visie over aanpak/mogelijkheden? Waar liggen knelpunten/uitdagingen?
 7. 7. Schets van privacyvraagstukken rond apps en privacy
 8. 8. Onderzoek naar houding van gebruikers  TRUSTe (2013):  76% van gebruikers downloadt een app niet als men het niet vertrouwt (2012: 68%)  MEF Global Privacy Report (2013):  70% van gebruikers wil weten wanneer en wat een app aan persoonsgegevens verzamelt  Slechts 37% van de gebruikers heeft geen moeite met het delen van persoonlijke gegevens  Vrouwen en ouderen zijn bezorgder dan jongeren; zorg in opkomende markten is groter dan in Westen/VS.  Pew International (2012) onder Amerikaanse tieners:  51% vermijdt bepaalde apps vanwege privacyzorgen;  26% heeft app verwijderd omdat deze persoonlijke informatie verzamelde die de tieners niet wilden delen.  46% zet location tracking features uit vanwege privacyzorgen
 9. 9. Adwhirl Shazam DoubleClick 4th Screen Advertising Paper toss Greystripe AdMob Mobclix UDID GPS locatie Beluisterde nummer Stad Medialets UDID Gebruikersnaam Stad/provincie E-mailadres Flurry ~25% van de apps stuurt heimelijk gegevens door UDID GPS locatie Leeftijd Geslacht UDID Adresboek Grindr Bron: Computeridee, 2011 Viber
 10. 10. Hoe hiermee om te gaan?  Juridische insteek:  Persoonlijke gegevens; toestemming  Derdeverstrekking; doelbepaling  Beveiliging  Organisatorische insteek  Inschatting privacyrisico’s  Privacy policies  …  Technische insteek  Dataminimalisatie  Transparantie  Kwaliteitsbewaking/beveiliging
 11. 11. Aanpak vanmiddag Uitleg aan de hand van twee cases: - Connected TV - App ontwikkeling
 12. 12. Connected TV en privacy iMMovator Technology Update 2 december 2013 Marc van Lieshout, Arnold Roosendaal
 13. 13. Outline Wat is connected TV? Welke gegevens kunnen verwerkt worden? Welke privacy issues brengt dat met zich mee? Welke eisen gelden vanuit de Wbp?
 14. 14. Wat is connected TV? IPTV Interactieve TV TV verbonden met internet, waardoor extra diensten kunnen worden aangeboden of aanvullingen kunnen worden gemaakt op het lineaire TV-signaal
 15. 15. Wat is connected TV? “The term ‘connected TV’ is regularly used to refer to a television set which can itself receive and display on screen both traditional linear programmes and Internet content. In addition, it is still a hybrid receiving device if, although the TV itself is not capable of connecting to the Internet, it is connected to another device which does have an Internet connection (e.g. a Blu-Ray player, games console, digital receiver / set-top box).” EP Draft Report on Connected TV, (2012/2300(INI))
 16. 16. Welke gegevens kunnen verwerkt worden? Kijkgedrag Surfgegevens Locatie Allerlei andere informatie op basis van applicaties die ontwikkeld zijn voor Connected TV Daarbij kunnen we ook kijken naar apps voor mobiele devices (smartphone, tablet) die bijvoorbeeld fungeren als tweede scherm
 17. 17. Welke privacy issues? Het gaat om persoonsgegevens Oordeel CBP in TP Vision onderzoek persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (Art. 1a Wbp)
 18. 18. Eisen vanuit de Wbp Informatieverplichtingen Rechtmatige grondslag Doelbinding Bewerkersovereenkomst (!)
 19. 19. Informatieverplichtingen In het bijzonder met betrekking tot cookies Art. 11.7a(1)a Tw jo. Art. 33-34 Wbp De eindgebruiker moet voldoende specifiek weten welke gegevens over hem verwerkt worden, voor welke doeleinden, door wie, en waar hij terecht kan met eventuele vragen of klachten
 20. 20. Rechtmatige grondslag Informatieverplichtingen zijn noodzakelijk om van ondubbelzinnige toestemming te kunnen spreken (art. 8 Wbp jo. 11.7a Tw) Ondubbelzinnige toestemming is de grondslag die hier van toepassing is Instemming, dus geen opt-out Let op: Default settings in de browser van de TV
 21. 21. Rechtmatige grondslag Art. 8f Wbp kent 2 stappen: 1. Proportionaliteit en subsidiariteit 2. Belangenafweging
 22. 22. Doelbinding Persoonsgegevens mogen alleen worden verwerkt voor een specifiek omschreven doel Verdere verwerking is alleen toegestaan indien dit aansluit bij het oorspronkelijke doel van de verwerking, anders is een nieuwe grondslag vereist
 23. 23. Bewerkersovereenkomst Overeenkomst tussen verantwoordelijke en derde partijen die optreden als bewerker (Art. 14(2) Wbp) De overeenkomst moet betrekking hebben op de gegevensverwerking Google Analytics sluit alleen standaard overeenkomsten af met partijen die hun diensten gebruiken Zonder bewerkersovereenkomst is het gebruik van Google Analytics in strijd met de Wbp
 24. 24. Waar is het lastig? Derde partijen Google Analytics: Google is een derde partij Maar Google wil geen aparte bewerkersovereenkomsten sluiten Gebruik Google Analytics is dan niet rechtmatig
 25. 25. (Nabije) toekomst Onderscheid maken tussen verschillende kijkers binnen een aansluiting (huishouden) Mogelijk op basis van analyseren kijkgedrag Ook mogelijk op basis van tijdstip en zender Kan de abonnementhouder toestemming voor verwerking persoonsgegevens geven voor alle kijkers binnen een aansluiting? Ook bij bijv. een studentenhuis?
 26. 26. Juridische eisen en handhaving De juridische eisen mbt toestemming voor cookies zijn helder Maar handhaving lijkt te verschillen Toezichthouder is echter streng, dus altijd rekening mee houden
 27. 27. Toestemming vragen Wanneer moet dat nu? Voor cookies? Gaat het dan om HTML-based toepassingen? Dus niet alleen web, maar ook game consoles, STBs etc.? Wet heet in volksmond ‘cookiewet’, maar gaat over toegang tot gegevens op device van de eindgebruiker. Dus niet technologie- specifiek HTML. Ook device fingerprinting en browser fingerprinting. Let dus op bij HTML5 applicaties.
 28. 28. Wijziging cookiewet met instemming Cbp Geen toestemming vereist voor cookies met geringe impact op privacy, zoals bijvoorbeeld analytische cookies Geldt dat ook bij derde partijen?
 29. 29. Wijziging cookiewet Onderscheid functionele en niet-functionele cookies Op dit moment is voor alle niet-functionele cookies toestemming vereist: rechtsvermoeden persoonsgegevens Op basis van Tw toestemming Op basis van Wbp ondubbelzinnige toestemming
 30. 30. Wijziging cookiewet Bij geringe gevolgen privacy soepeler Voor analytische cookies die niet het surfgedrag van de gebruiker volgen -> geen toestemming meer vereist Vervolgens is dan ook de grondslag uit art. 8(f) Wbp mogelijk: gerechtvaardigd belang
 31. 31. Voorstel Verordening Recent nieuwe versie: Pseudonymous data geen persoonsgegevens Optie voor Chinese Walls constructie: betekent grote kentering in uitgangspunten gegevensbescherming
 32. 32. 2 lijnen Cookiewet EU Algemene Verordening Gegevensbescherming Vraag hoe dat uitwerkt Centraal uitgangspunt (Verordening): Accountability Privacy by Design; Data Protection by Default
 33. 33. PAUZE
 34. 34. Apps en Privacy Naar een werkbare aanpak Marc van Lieshout IMMovator workshop 2 december 2013
 35. 35. http://www.cagle.com/news/privacycartoons2/
 36. 36. Privacyrisico’s van apps (art 29 WP) Gebrek aan transparantie (“wat wordt door wie voor welk doel verzameld?”) 60 van de 150 top apps hebben geen privacy policy (FPF studie 2012) Gebrek aan vrije en geïnformeerde toestemming 92% van gebruikers wil meer mogelijkheden bij toestemming (niet alleen maar ‘Ja’ of ‘Nee’) (GSMA studie 2012) Slechte veiligheidsmaatregelen Weinig aandacht voor doelbeperking Per dag 1600 nieuwe apps! Per gebruiker ~40 apps
 37. 37. Hoe hiermee om te gaan?  Juridische insteek:  Welke juridische randvoorwaarden moet u in de gaten houden?  Organisatorische insteek  Welke hulpmiddelen zijn er om privacybescherming in uw organisatie te verankeren?  Technische insteek  Welke technische hulpmiddelen zijn er om privacybescherming te realiseren in uw producten en diensten?
 38. 38. Juridische aanpak  Wanneer zijn gegevens persoonlijke gegevens?  Hoe om te gaan met de toestemmingsvereiste?  Hoe om te gaan met doelbepaling?  Een voorbeeld: Case Vaarwater
 39. 39. Persoonlijke gegevens  Wat zijn persoonlijke gegevens?  “Tot een persoon herleidbaar …”  IP-adres? Volgens art 29 WP wel!  UDID? Volgens art 29 WP wel  Speciale categorie: gevoelige gegevens (medisch, financieel, politiek, genderspecifiek, …) Locatiegegevens Contacten UDID/IMEI/IMSI Identiteit van het data subject Identiteit (“naam”) van het device Credit card/betaalinformatie SMS/Whats app berichten Browsing geschiedenis Email Authenticatie credentials
 40. 40. Toestemming  Heimelijke gegevensverzameling niet toegestaan  Toestemming vragen voordat de app gedownload wordt voor alle gegevensverzameling  Vrij gegeven, specifiek, geïnformeerd  Vrij gegeven toestemming: mogelijkheid om Nee te zeggen.  Specifieke toestemming: bij voorkeur per type datacategorie (locatie, contact, UDID, …) aan te geven  Geïnformeerd: “we verzamelen deze gegevens om hiermee …”  Mogelijkheid tot intrekking toestemming bieden  Vanaf dat moment geen rechtsgrond voor benutting gegevens  Vernietigen of anonimiseren van gegevens
 41. 41. Doelbepaling  Gegevensverzameling is toegestaan bij  Legitieme grondslag; wettelijke bepaling; uitvoering van een contract; leveren van een dienst  Duidelijk doel aangeven voor de gegevensverzameling  Niet excessief  Niet buitenproportioneel  Legitiem/contract  Derdeverstrekking  Toestemmingsvereiste (voor alle gegevens)  Legitiem/niet excessief etc.  Veiligheidsmaatregelen
 42. 42. Voorbeeld Vaarwater App - 1 Voorbeeld: Henk Bultema DDMA Wat zijn de voorwaarden van Art 29 WP voor informatieverschaffing en toestemmingsverlening in dit geval? In store informatieverschaffing: ONVOLDOENDE
 43. 43. Toestemming in de app-omgeving Informatie in de app-omgeving Voorbeeld Vaarwater App - 2 Voorbeeld: Henk Bultema DDMA
 44. 44. Voorbeeld Vaarwater App - 3 Per functie aparte toestemming Voorbeeld: Henk Bultema DDMA Per app recht van verzet
 45. 45. Conclusie  Verschaffen informatie en vragen om toestemming in app-omgeving (app-store is onvoldoende!)  Meer werk en verantwoordelijkheid voor de appontwikkelaar  App-stores volgen verschillende policies mbt tot wat is toegestaan en wat niet
 46. 46. De organisatie – het Privacy Maturity Model Optimizing Managed Defined Repeatable Initial Continue verbetering privacy controls, praktijken, policies: • Veranderingen worden systematisch onderzocht op privacy impact. • Specifieke resources worden ingezet om privacydoelen te bereiken. • Hoog niveau van cross-functionele organisatie en teamwork om privacydoelen te bereiken. Een consequent effectief niveau van het omgaan met privacy is ingebed in de organisatie: • Vroegtijdig betrekking van privacy in nieuwe systemen en processen. • Privacy is geintegreerd in functies en in performance doelstellingen • Monitoring op organisatie- en functioneel niveau • Periodieke review van risicoinschattingen. Privacybeleid en aanpak binnen de organisatie zijn op orde: • Uitvoering risicoassessments. • Prioriteiten zijn vastgesteld en bijbehorende resources zijn toebedeeld. • Activiteiten worden gecoordineerd en uitgevoerd voor privacybewaking. Privacybeleid is gedefinieerd: • Commitment van het senior management. • Algemeen bewustzijn en betrokkenheid. • Specifieke plannen voor activiteiten met een hoog privacy-risico. Privacy-activiteiten worden ad hoc uitgevoerd. Source: www.theia.org – Global Technology Auditing Guide 5
 47. 47. De organisatie - Privacy Policies - 1
 48. 48. De organisatie - Privacy Policies -2
 49. 49. De organisatie - Privacy Policies - 3
 50. 50. De organisatie - Privacy Policies - 4 Tools beschikbaar voor genereren privacy policy! MEF Werkgroep over Apps en privacy
 51. 51. De organisatie - Privacy Impact Assessment TRUSTe: http://www.truste.com/products-and-services/enterprise-privacy/TRUSTed-apps
 52. 52. TRUSTed Apps Comprehensive Privacy Risk Assessment  Data collection, external app calls, permissions, & governance analysis  Dedicated privacy account manager Privacy Findings Report  Includes gap analysis, key findings and basic reporting Transparent App Developer Data Flows  Identifies Consumer Data being collected  Identifies Consumer Data being transmitted to 3rd parties Mobile Optimized Disclosures  Graphical, short notice privacy policy  Easily identifies consumer information that the app accesses, shares & retains (i.e. location, tracking technologies, targeted advertising)  Cross-Platform Capabilities Dispute Resolution Service  Management of privacy-focused consumer feedback and complaints TRUSTe Certified Privacy Seal (optional)  #1 global privacy brand
 53. 53. Conclusies  Organisatorische inbedding van belang  Steun van hoger management van belang  Processen en procedures transparant en bekend  Borging instrumenten als privacy audits
 54. 54. Techniek - Dataminimalisatie 1. Select before you collect 2. Beperk het doel van de gegevensverzameling 3. Beperk gegevensdeling 4. Stel specifieke bewaartermijnen in 5. Vernietig gegevens als deze niet meer gebruikt worden
 55. 55. Techniek - Bewaartermijnen en vernietiging gegevens Bewaartermijn is in principe: zolang als nodig is voor het kunnen verzorgen van de dienst. Indien gebruiker de app verwijdert, verdwijnt daarmee ook de verleende toestemming om gegevens van/over de gebruiker te gebruiken, tenzij … (contract, wettelijke verplichting, expliciete toestemming, …) Een gebruiker moet in staat zijn de verzamelde gegevens in te zien en mee te nemen (data portability -> Google Data Liberation Front) Gegevens die niet meer gebruikt (mogen) worden moeten onklaar worden gemaakt (vernietiging, anonymisering)
 56. 56. Techniek – Privacy vanaf het eerste ontwerp Invoering Technisch ontwerp Functioneel ontwerp
 57. 57. Protecting Anonymous credentials Onion routing Cryptography Blind signatures Pseudonyms Mix networks Secret Sharing Privacy Guaranteeing Execution Container Attribute-based credentials Encryption schemes Steganography Enabling Private information retrieval Zero-knowledge proofs Information expiration date P3P Support for legal protection: sticky policies, log files & watermarking Privacy-Enhancing Intelligent Software Agents Transparency Transparency tools Reputation systems Audit logs
 58. 58. Conclusies  Technische mogelijkheden voor afscherming/minimalisering voorhanden  Lastig in de praktijk te brengen (kosten, kennis, belemmeringen)  Lastig te ‘vertalen’ naar gebruikers  Startpunt: “technische en organisatorische maatregelen voor de beveiliging van gegevens”
 59. 59. Vooruitblik
 60. 60. Vooruitblik Conclusies vandaag: Er zijn wel een aantal uitdagingen Soms juridisch Soms technisch Vaak: vertaling van juridisch naar technisch en compliance
 61. 61. Vooruitblik Nu is vaak adequate beveliging van persoonsgegevens nog de gekozen weg Verordening gaat accountability centraal stellen Wat kunnen we daar nu al mee doen?
 62. 62. Vooruitblik Oplossingen om privacybeleid naar concrete implementatievereisten te vertalen Privacy by Design Om accountability aan te tonen In de vorm van? Technische tools Vertaalmodel Praktische guidelines … …
 63. 63. Mogelijkheid voor technologiecluster Gezamenlijke vraag over concrete toepassing van een technologie of gerelateerde oplossing Deelname van (minimaal) 5 MKB bedrijven, die ook een specifieke case kunnen inbrengen Resultaten verspreiden onder minimaal 20 MKB bedrijven
 64. 64. Mogelijkheid voor technologiecluster Deelnemende bedrijven betalen gezamelijk 10% van prijs van het onderzoek (bijv. 1-2k/bedrijf, bij meerdere bedrijven lagere prijs per bedrijf) Dat wordt aangevuld met onderzoeksgelden Totale omvang technologiecluster is maximaal 50k Totale doorlooptijd onderzoek is maximaal 6 maanden
 65. 65. Hartelijk dank en graag tot ziens! Marc van Lieshout (marc.vanlieshout@tno.nl) Arnold Roosendaal (arnold.roosendaal@tno.nl)

×