2. Programma
13.20-13.30 Opening/welkom
13.30-14.00 Uitdagingen rond Apps en Privacy – uw
visie
14.00-14.30 Schets van privacyvraagstukken rond
apps en privacy
14.30-15.10 Case 1: Connected TV
15.10-15.30 Pauze
15.30-16.20 Case 2: App ontwikkeling
16.20-16.50 Uitdagingen en kansen, oog op vervolg
16.50-17.00 Afsluiting
3. TNO – Dutch Research and Technology Organisation
•Veiligheid
Energie
Gebouwde
Omgeving
Mobiliteit
InformatieMaatschappij
Mobility
Information
Society
ICT
Public Safety
3
Energy
Industrial
Innovation
Built
Environment
Healthy
Living
4. Privacy related research
- Drivers en barriers voor
Privacy by Design in Nederland
(EL&I/TNO))
- Online Trustmarks (EC)
- User perception studies Privacy impact assessment
- Gebruik van open source data
One of THE knowledge
partners on privacy &
identity management
national and international
Monitoring Veiligheid &
ICT (2011-2014)
- “a bite too big”
Cookie Rapport
- FP 7 Virtuoso
- Assessment van
nieuwe privacy
verordening
- PI Lab opening Innovatie en
privacy en de rechten van
burgers (EP)
8. Uitdagingen rond Apps en Privacy – uw visie
Wat kwam u bekend voor?
Waar wilt u meer over weten?
Wat is uw visie over aanpak/mogelijkheden?
Waar liggen knelpunten/uitdagingen?
10. Onderzoek naar houding van gebruikers
TRUSTe (2013):
76% van gebruikers downloadt een app niet als men het niet vertrouwt (2012:
68%)
MEF Global Privacy Report (2013):
70% van gebruikers wil weten wanneer en wat een app aan persoonsgegevens
verzamelt
Slechts 37% van de gebruikers heeft geen moeite met het delen van persoonlijke
gegevens
Vrouwen en ouderen zijn bezorgder dan jongeren; zorg in opkomende markten is
groter dan in Westen/VS.
Pew International (2012) onder Amerikaanse tieners:
51% vermijdt bepaalde apps vanwege privacyzorgen;
26% heeft app verwijderd omdat deze persoonlijke informatie verzamelde die de
tieners niet wilden delen.
46% zet location tracking features uit vanwege privacyzorgen
15. Outline
Wat is connected TV?
Welke gegevens kunnen verwerkt worden?
Welke privacy issues brengt dat met zich mee?
Welke eisen gelden vanuit de Wbp?
16. Wat is connected TV?
IPTV
Interactieve TV
TV verbonden met internet, waardoor extra diensten kunnen worden
aangeboden of aanvullingen kunnen worden gemaakt op het lineaire
TV-signaal
17. Wat is connected TV?
“The term ‘connected TV’ is regularly used to refer to a television set
which can itself receive and display on screen both traditional linear
programmes and Internet content. In addition, it is still a hybrid
receiving device if, although the TV itself is not capable of connecting to
the Internet, it is connected to another device which does have an
Internet connection (e.g. a Blu-Ray player, games console, digital
receiver / set-top box).”
EP Draft Report on Connected TV, (2012/2300(INI))
18. Welke gegevens kunnen verwerkt worden?
Kijkgedrag
Surfgegevens
Locatie
Allerlei andere informatie op basis van applicaties die ontwikkeld zijn
voor Connected TV
Daarbij kunnen we ook kijken naar apps voor mobiele devices
(smartphone, tablet) die bijvoorbeeld fungeren als tweede scherm
19.
20. Welke privacy issues?
Het gaat om persoonsgegevens
Oordeel CBP in TP Vision onderzoek
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon (Art. 1a Wbp)
22. Informatieverplichtingen
In het bijzonder met betrekking tot cookies
Art. 11.7a(1)a Tw jo. Art. 33-34 Wbp
De eindgebruiker moet voldoende specifiek weten welke gegevens
over hem verwerkt worden, voor welke doeleinden, door wie, en waar
hij terecht kan met eventuele vragen of klachten
23. Rechtmatige grondslag
Informatieverplichtingen zijn noodzakelijk om van ondubbelzinnige
toestemming te kunnen spreken (art. 8 Wbp jo. 11.7a Tw)
Ondubbelzinnige toestemming is de grondslag die hier van
toepassing is
Instemming, dus geen opt-out
Let op: Default settings in de browser van de TV
25. Doelbinding
Persoonsgegevens mogen alleen worden verwerkt voor een specifiek
omschreven doel
Verdere verwerking is alleen toegestaan indien dit aansluit bij het
oorspronkelijke doel van de verwerking, anders is een nieuwe
grondslag vereist
26. Bewerkersovereenkomst
Overeenkomst tussen verantwoordelijke en derde partijen die
optreden als bewerker (Art. 14(2) Wbp)
De overeenkomst moet betrekking hebben op de
gegevensverwerking
Google Analytics sluit alleen standaard overeenkomsten af met
partijen die hun diensten gebruiken
Zonder bewerkersovereenkomst is het gebruik van Google Analytics
in strijd met de Wbp
27. Waar is het lastig?
Derde partijen
Google Analytics: Google is een derde partij
Maar Google wil geen aparte bewerkersovereenkomsten sluiten
Gebruik Google Analytics is dan niet rechtmatig
28. (Nabije) toekomst
Onderscheid maken tussen verschillende kijkers binnen een
aansluiting (huishouden)
Mogelijk op basis van analyseren kijkgedrag
Ook mogelijk op basis van tijdstip en zender
Kan de abonnementhouder toestemming voor verwerking
persoonsgegevens geven voor alle kijkers binnen een aansluiting?
Ook bij bijv. een studentenhuis?
29.
30. Juridische eisen en handhaving
De juridische eisen mbt toestemming voor cookies zijn helder
Maar handhaving lijkt te verschillen
Toezichthouder is echter streng, dus altijd rekening mee houden
31. Toestemming vragen
Wanneer moet dat nu? Voor cookies? Gaat het dan om HTML-based
toepassingen? Dus niet alleen web, maar ook game consoles, STBs
etc.?
Wet heet in volksmond ‘cookiewet’, maar gaat over toegang tot
gegevens op device van de eindgebruiker. Dus niet technologie-
specifiek HTML. Ook device fingerprinting en browser fingerprinting.
Let dus op bij HTML5 applicaties.
32. Wijziging cookiewet met instemming Cbp
Geen toestemming vereist voor cookies met geringe impact op
privacy, zoals bijvoorbeeld analytische cookies
Geldt dat ook bij derde partijen?
33. Wijziging cookiewet
Onderscheid functionele en niet-functionele cookies
Op dit moment is voor alle niet-functionele cookies toestemming
vereist: rechtsvermoeden persoonsgegevens
Op basis van Tw toestemming
Op basis van Wbp ondubbelzinnige toestemming
34. Wijziging cookiewet
Bij geringe gevolgen privacy soepeler
Voor analytische cookies die niet het surfgedrag van de gebruiker
volgen -> geen toestemming meer vereist
Vervolgens is dan ook de grondslag uit art. 8(f) Wbp mogelijk:
gerechtvaardigd belang
35. Voorstel Verordening
Recent nieuwe versie:
Pseudonymous data geen persoonsgegevens
Optie voor Chinese Walls constructie: betekent grote kentering in
uitgangspunten gegevensbescherming
36. 2 lijnen
Cookiewet
EU Algemene Verordening Gegevensbescherming
Vraag hoe dat uitwerkt
Centraal uitgangspunt (Verordening): Accountability
Privacy by Design; Data Protection by Default
40. Privacyrisico’s van apps (art 29 WP)
Gebrek aan transparantie (“wat wordt door wie voor welk doel
verzameld?”)
60 van de 150 top apps hebben geen privacy policy (FPF studie
2012)
Gebrek aan vrije en geïnformeerde toestemming
92% van gebruikers wil meer mogelijkheden bij toestemming (niet
alleen maar ‘Ja’ of ‘Nee’) (GSMA studie 2012)
Slechte veiligheidsmaatregelen
Weinig aandacht voor doelbeperking
Per dag 1600 nieuwe apps!
Per gebruiker ~40 apps
41. Hoe hiermee om te gaan?
Juridische insteek:
Welke juridische randvoorwaarden moet u in
de gaten houden?
Organisatorische insteek
Welke hulpmiddelen zijn er om
privacybescherming in uw organisatie te
verankeren?
Technische insteek
Welke technische hulpmiddelen zijn er om
privacybescherming te realiseren in uw
producten en diensten?
42. Juridische aanpak
Wanneer zijn gegevens persoonlijke gegevens?
Hoe om te gaan met de toestemmingsvereiste?
Hoe om te gaan met doelbepaling?
Een voorbeeld: Case Vaarwater
43. Persoonlijke gegevens
Wat zijn persoonlijke gegevens?
“Tot een persoon herleidbaar …”
IP-adres? Volgens art 29 WP wel!
UDID? Volgens art 29 WP wel
Speciale categorie: gevoelige gegevens (medisch,
financieel, politiek, genderspecifiek, …)
Locatiegegevens
Contacten
UDID/IMEI/IMSI
Identiteit van het data subject
Identiteit (“naam”) van het device
Credit card/betaalinformatie
SMS/Whats app berichten
Browsing geschiedenis
Email
Authenticatie credentials
44. Toestemming
Heimelijke gegevensverzameling niet toegestaan
Toestemming vragen voordat de app gedownload
wordt voor alle gegevensverzameling
Vrij gegeven, specifiek, geïnformeerd
Vrij gegeven toestemming: mogelijkheid om Nee te
zeggen.
Specifieke toestemming: bij voorkeur per type
datacategorie (locatie, contact, UDID, …) aan te
geven
Geïnformeerd: “we verzamelen deze gegevens om
hiermee …”
Mogelijkheid tot intrekking toestemming bieden
Vanaf dat moment geen rechtsgrond voor benutting
gegevens
Vernietigen of anonimiseren van gegevens
45. Doelbepaling
Gegevensverzameling is toegestaan bij
Legitieme grondslag; wettelijke bepaling;
uitvoering van een contract; leveren van een dienst
Duidelijk doel aangeven voor de gegevensverzameling
Niet excessief
Niet buitenproportioneel
Legitiem/contract
Derdeverstrekking
Toestemmingsvereiste (voor alle gegevens)
Legitiem/niet excessief etc.
Veiligheidsmaatregelen
46. Voorbeeld Vaarwater App - 1
Voorbeeld:
Henk Bultema
DDMA
Wat zijn de
voorwaarden van Art 29 WP voor
informatieverschaffing en
toestemmingsverlening
in dit geval?
In store informatieverschaffing:
ONVOLDOENDE
47. Toestemming in de app-omgeving
Informatie in de app-omgeving
Voorbeeld Vaarwater App - 2
Voorbeeld:
Henk Bultema
DDMA
48. Voorbeeld Vaarwater App - 3
Per functie aparte toestemming
Voorbeeld:
Henk Bultema
DDMA
Per app recht van verzet
49. Conclusie
Verschaffen informatie en vragen om toestemming in
app-omgeving (app-store is onvoldoende!)
Meer werk en verantwoordelijkheid voor de appontwikkelaar
App-stores volgen verschillende policies mbt tot wat is
toegestaan en wat niet
50. De organisatie – het Privacy Maturity Model
Optimizing
Managed
Defined
Repeatable
Initial
Continue verbetering privacy controls, praktijken, policies:
• Veranderingen worden systematisch onderzocht op privacy impact.
• Specifieke resources worden ingezet om privacydoelen te bereiken.
• Hoog niveau van cross-functionele organisatie en teamwork om
privacydoelen te bereiken.
Een consequent effectief niveau van het omgaan met privacy is ingebed
in de organisatie:
• Vroegtijdig betrekking van privacy in nieuwe systemen en processen.
• Privacy is geintegreerd in functies en in performance doelstellingen
• Monitoring op organisatie- en functioneel niveau
• Periodieke review van risicoinschattingen.
Privacybeleid en aanpak binnen de organisatie zijn op orde:
• Uitvoering risicoassessments.
• Prioriteiten zijn vastgesteld en bijbehorende resources zijn
toebedeeld.
• Activiteiten worden gecoordineerd en uitgevoerd voor
privacybewaking.
Privacybeleid is gedefinieerd:
• Commitment van het senior management.
• Algemeen bewustzijn en betrokkenheid.
• Specifieke plannen voor activiteiten met een hoog privacy-risico.
Privacy-activiteiten worden ad hoc uitgevoerd.
Source: www.theia.org – Global Technology Auditing Guide 5
54. De organisatie - Privacy Policies - 4
Tools beschikbaar voor genereren privacy policy!
MEF Werkgroep over Apps en privacy
55. De organisatie - Privacy Impact Assessment
TRUSTe:
http://www.truste.com/products-and-services/enterprise-privacy/TRUSTed-apps
56. TRUSTed Apps
Comprehensive Privacy Risk Assessment
Data collection, external app calls, permissions, & governance analysis
Dedicated privacy account manager
Privacy Findings Report
Includes gap analysis, key findings and basic reporting
Transparent App Developer Data Flows
Identifies Consumer Data being collected
Identifies Consumer Data being transmitted to 3rd parties
Mobile Optimized Disclosures
Graphical, short notice privacy policy
Easily identifies consumer information that the app accesses, shares & retains (i.e.
location, tracking technologies, targeted advertising)
Cross-Platform Capabilities
Dispute Resolution Service
Management of privacy-focused consumer feedback and complaints
TRUSTe Certified Privacy Seal (optional)
#1 global privacy brand
57. Conclusies
Organisatorische inbedding van belang
Steun van hoger management van belang
Processen en procedures transparant en bekend
Borging instrumenten als privacy audits
58. Techniek - Dataminimalisatie
1. Select before you collect
2. Beperk het doel van de
gegevensverzameling
3. Beperk gegevensdeling
4. Stel specifieke
bewaartermijnen in
5. Vernietig gegevens als
deze niet meer gebruikt
worden
59. Techniek - Bewaartermijnen en vernietiging gegevens
Bewaartermijn is in principe:
zolang als nodig is voor het kunnen verzorgen van de dienst.
Indien gebruiker de app verwijdert, verdwijnt daarmee ook de
verleende toestemming om gegevens van/over de gebruiker te
gebruiken, tenzij … (contract, wettelijke verplichting, expliciete
toestemming, …)
Een gebruiker moet in staat zijn de verzamelde gegevens in te zien
en mee te nemen
(data portability -> Google Data Liberation Front)
Gegevens die niet meer gebruikt (mogen) worden moeten onklaar
worden gemaakt (vernietiging, anonymisering)
60. Techniek – Privacy vanaf het eerste ontwerp
Invoering
Technisch
ontwerp
Functioneel
ontwerp
61. Protecting
Anonymous credentials
Onion routing
Cryptography
Blind signatures
Pseudonyms
Mix networks
Secret Sharing
Privacy Guaranteeing Execution Container
Attribute-based credentials
Encryption schemes
Steganography
Enabling
Private information retrieval
Zero-knowledge proofs
Information expiration date
P3P
Support for legal protection: sticky policies,
log files & watermarking
Privacy-Enhancing Intelligent Software Agents
Transparency
Transparency tools
Reputation systems
Audit logs
62. Conclusies
Technische mogelijkheden voor
afscherming/minimalisering voorhanden
Lastig in de praktijk te brengen (kosten, kennis,
belemmeringen)
Lastig te ‘vertalen’ naar gebruikers
Startpunt: “technische en organisatorische
maatregelen voor de beveiliging van gegevens”
66. Vooruitblik
Nu is vaak adequate beveliging van persoonsgegevens nog de
gekozen weg
Verordening gaat accountability centraal stellen
Wat kunnen we daar nu al mee doen?
67. Vooruitblik
Oplossingen om privacybeleid naar concrete implementatievereisten
te vertalen
Privacy by Design
Om accountability aan te tonen
In de vorm van?
Technische tools
Vertaalmodel
Praktische guidelines
…
…
68. Mogelijkheid voor technologiecluster
Gezamenlijke vraag over concrete toepassing van een technologie
of gerelateerde oplossing
Deelname van (minimaal) 5 MKB bedrijven, die ook een specifieke
case kunnen inbrengen
Resultaten verspreiden onder minimaal 20 MKB bedrijven
69. Mogelijkheid voor technologiecluster
Deelnemende bedrijven betalen gezamelijk 10% van prijs van het
onderzoek (bijv. 1-2k/bedrijf, bij meerdere bedrijven lagere prijs per
bedrijf)
Dat wordt aangevuld met onderzoeksgelden
Totale omvang technologiecluster is maximaal 50k
Totale doorlooptijd onderzoek is maximaal 6 maanden
70. Hartelijk dank en graag tot ziens!
Marc van Lieshout (marc.vanlieshout@tno.nl)
Arnold Roosendaal (arnold.roosendaal@tno.nl)