DML12 - Egbert Jan van Bel - Hoe social is jouw digitale marketingplan
Technology Update: Hoe privacy proof is jouw app?(2)
102
Arnold Roosendaal en Johanneke Siljee 18 november 2014
-
Upload
immovator -
Category
Technology
-
view
426 -
download
1
description
Tijdens de Technology update van 18 november 20 hebben Arnold Roosendaal & Johanneke Siljee (beide TNO) de deelnemers bijgepraat over een nieuwe, actuele ontwikkeling
Transcript of Technology Update: Hoe privacy proof is jouw app?(2)
Arnold Roosendaal en Johanneke Siljee
18 november 2014
Programma
13.30-13.40 Opening/welkom13.40-14.10 Uitdagingen rond Apps en Privacy –jouw visie14.10-14.50 Wet- en regelgeving van privacy voorapps14.50-15.10 Case: Connected TV15.10-15.30 Pauze15.30-16.10 Privacy technologie16.10-16.50 Uitdagingen en kansen, oog op vervolg16.50-17.00 Afsluiting
Johanneke Siljee
Security
Privacy
Identity Management
Stellingen
Een binaire quiz om erin te komen
Ik heb niks te verbergen
1. Eens
2. Oneens
(Nu vanuit perspectief van je bedrijf)Ik heb niks te verbergen
1. Eens
2. Oneens
Derde partijen mogen advertenties in mijn app verzorgen
1. Eens
2. Oneens
Voor gerichte advertenties mag ik die derde partijen gegevens over
gebruikers verschaffen1. Eens
2. Oneens
Derde partijen mogen zelf via de app gegevens verzamelen
1. Eens
2. Oneens
Met het accepteren van de machtigingen voor een app verlenengebruikers mij ook toestemming om
hun gegevens te verwerken
1. Eens
2. Oneens
Met een overzicht van app-machtigingen voldoe ik aan de
informatieverplichtingen uit de Wbp
1. Eens
2. Oneens
Bij een app voor een mobiele device is het automatisch toegestaan om locatiegegevens te verwerken
1. Eens
2. Oneens
Voor het gebruik van analytischecookies heb ik toestemming nodig van
de gebruiker
1. Eens
2. Oneens
De cookiewet is niet van toepassing op game consoles en smart TV’s
1. Eens
2. Oneens
Bij een update van een bestaande app hoef ik niet nog een keer om
toestemming te vragen
1. Eens
2. Oneens
Als mijn app geen persoonlijkegegevens verzamelt hoef ik de
gebruiker geen toestemming te vragenvoor het downloaden van de app
1. Eens
2. Oneens
Wanneer de gebruiker mijtoestemming geeft om zijn adresboekte lezen mag ik deze gegevens ook aan
derde partijen verschaffen
1. Eens
2. Oneens
Het is veel beter om apart toestemming te vragen voor
verschillende categorieënpersoonsgegevens
1. Eens
2. Oneens
Met het oog op de toekomst is het hetbeste om in een keer toestemming te
vragen voor het gebruik van zoveelmogelijk gegevens
1. Eens
2. Oneens
Een privacy policy is onzin, die leesttoch niemand
1. Eens
2. Oneens
Als ik een goede, korte privacy policy zou hebben zou ik hem meteen
gebruiken1. Eens
2. Oneens
De gebruiker moet mij blindelingskunnen vertrouwen
1. Eens
2. Oneens
Ik verzamel alleen gegevens die absoluut noodzakelijk zijn voor mijn
app1. Eens
2. Oneens
Ik pas alle mogelijke manieren van gegevensbescherming toe in mijn app
1. Eens
2. Oneens
Ik zou veel meer bescherming in mijnapp toepassen als ik maar wist hoe ik
dat makkelijk kan doen1. Eens
2. Oneens
Privacy is een unique selling point voormijn app
1. Eens
2. Oneens
Uitdagingen rond Apps en Privacy – uw visie
Wat kwam u bekend voor?
Waar wilt u meer over weten?
Wat is uw visie over aanpak/mogelijkheden?
Waar liggen knelpunten/uitdagingen?
Schets van privacyvraagstukken rond apps en privacy
Onderzoek naar houding van gebruikers
TRUSTe (2013):
76% van gebruikers downloadt een app niet als men het niet vertrouwt (2012:
68%)
MEF Global Privacy Report (2013):
70% van gebruikers wil weten wanneer en wat een app aan persoonsgegevens
verzamelt
Slechts 37% van de gebruikers heeft geen moeite met het delen van persoonlijke
gegevens
Vrouwen en ouderen zijn bezorgder dan jongeren; zorg in opkomende markten is
groter dan in Westen/VS.
Pew International (2012) onder Amerikaanse tieners:
51% vermijdt bepaalde apps vanwege privacyzorgen;
26% heeft app verwijderd omdat deze persoonlijke informatie verzamelde die de
tieners niet wilden delen.
46% zet location tracking features uit vanwege privacyzorgen
UDID
GPS locatie
Leeftijd
Geslacht
UDID
Gebruikersnaam
Stad/provincie
E-mailadres
UDID
GPS locatie
Beluisterde nummer
Stad
Greystripe
Medialets
Adwhirl
MobclixAdMob
Flurry
4th Screen
Advertising
DoubleClick
UDID
AdresboekBron: Computeridee, 2011
~25% van de apps stuurt
heimelijk gegevens door
Grindr
Paper toss
Shazam
Viber
Hoe hiermee om te gaan?
Juridische insteek:
Persoonlijke gegevens; toestemming
Derdeverstrekking; doelbepaling
Beveiliging
Organisatorische insteek
Inschatting privacyrisico’s
Privacy policies
…
Technische insteek
Dataminimalisatie
Transparantie
Kwaliteitsbewaking/beveiliging
Aanpak vanmiddag
Juridisch
Organisatorisch
ConnectedTV case
pauze
Technisch
Eisen vanuit de Wbp
Informatieverplichtingen
Rechtmatige grondslag
Doelbinding
Bewerkersovereenkomst (!)
Recht van inzage
Recht van correctie
Beveiliging
Bewaartermijn
Informatieverplichtingen
In het bijzonder met betrekking tot cookies
Art. 11.7a(1)a Tw jo. Art. 33-34 Wbp
De eindgebruiker moet voldoende specifiek weten welke gegevens
over hem verwerkt worden, voor welke doeleinden, door wie, en waar
hij terecht kan met eventuele vragen of klachten
Rechtmatige grondslag
Informatieverplichtingen zijn noodzakelijk om van ondubbelzinnige
toestemming te kunnen spreken (art. 8 Wbp jo. 11.7a Tw)
Ondubbelzinnige toestemming is de grondslag die hier van
toepassing is
Instemming, dus geen opt-out
Let op: Default settings in de browser van de TV
Rechtmatige grondslag
Art. 8f Wbp kent 2 stappen:
1. Proportionaliteit en subsidiariteit
2. Belangenafweging
Doelbinding
Persoonsgegevens mogen alleen worden verwerkt voor een specifiek
omschreven doel
Verdere verwerking is alleen toegestaan indien dit aansluit bij het
oorspronkelijke doel van de verwerking, anders is een nieuwe
grondslag vereist
Bewerkersovereenkomst
Overeenkomst tussen verantwoordelijke en derde partijen die
optreden als bewerker (Art. 14(2) Wbp)
De overeenkomst moet betrekking hebben op de
gegevensverwerking
Recht van inzage
Iedereen mag met redelijke tussenpozen vragen of, en zo ja welke
persoonsgegevens van hem worden verwerkt. (Art. 35 Wbp)
Het antwoord moet in begrijpelijke vorm bevatten:
Een volledig overzicht van de door u verwerkte gegevens van de
betrokkene.
Een omschrijving van:
het doel of de doeleinden van de gegevensverwerking;
de categorieën van gegevens waarop uw verwerking betrekking
heeft;
de ontvangers of categorieën van ontvangers.
Alle beschikbare informatie over de herkomst van de gegevens.
Recht op correctie (verwijderen) (1/2)
De betrokkene mag u verzoeken zijn gegevens te corrigeren. (Art. 36,
37, 38 Wbp)
Correctie houdt in:
verbeteren;
aanvullen;
verwijderen;
afschermen; of
op een andere manier er voor zorgen dat u de onjuiste gegevens
niet langer gebruikt.
Recht op correctie (verwijderen) (2/2)
U bent alleen verplicht te corrigeren als de gegevens:
feitelijk onjuist zijn;
onvolledig of niet ter zake dienend zijn voor het doel waarvoor u ze
verwerkt; of
op andere wijze in strijd met een voorschrift van de Wbp of een
andere wet zijn verwerkt.
Right to be Forgotten (draft European Data Protection Regulation)
Beveiliging
U moet passende technische en organisatorische maatregelen
nemen om het verlies van gegevens of onrechtmatige verwerking
tegen te gaan. (Art. 13 Wbp)
passend: afweging van risico’s en kosten van de maatregelen
maatregelen moeten er mede op gericht zijn onnodige
verzameling of verdere verwerking te voorkomen.
Beveiliging moet steeds adequaat zijn: periodiek nagaan of
systeem aanpassing behoeft, bijvoorbeeld door technologische
ontwikkelingen.
Verordening
In 2012, the EU commission made a proposal for a reform of the data
protection directive [45]. The major changes, if approved, of the reform
are:
Privacy by design: Generally speaking, this principle says that any
infrastructure dealing with personal data should be designed to
provide the best possible protection of the user’s privacy.
Privacy by default: The user’s consent can’t be assumed. He has to
give his consent explicitly.
The right to be forgotten: Users may ask service providers to be
removed with all personal data stored.
Portability: When changing service providers, it should be possible to
transfer the user’s personal data.
Waar is het lastig?
Derde partijen
Wie is verantwoordelijk?
Wie moet toestemming verkrijgen?
Juridische eisen en handhaving
De juridische eisen mbt toestemming voor cookies zijn niet volledig
helder
Handhaving lijkt te verschillen
Toezichthouder is echter streng, dus altijd rekening mee houden
Toestemming vragen
Wanneer moet dat nu? Voor cookies? Gaat het dan om HTML-based
toepassingen? Dus niet alleen web, maar ook game consoles, STBs
etc.?
Wet heet in volksmond ‘cookiewet’, maar gaat over toegang tot
gegevens op device van de eindgebruiker. Dus niet technologie-
specifiek HTML. Ook device fingerprinting en browser fingerprinting.
Let dus op bij HTML5 applicaties.
Wijziging cookiewet met instemming Cbp
Geen toestemming vereist voor cookies met geringe impact op
privacy, zoals bijvoorbeeld analytische cookies
Geldt dat ook bij derde partijen?
Wijziging cookiewet
Onderscheid functionele en niet-functionele cookies
Op dit moment is voor alle niet-functionele cookies toestemming
vereist: rechtsvermoeden persoonsgegevens
Op basis van Tw toestemming
Op basis van Wbp ondubbelzinnige toestemming
Maar: ook impliciete toestemming
Wijziging cookiewet
Bij geringe gevolgen privacy soepeler
Voor analytische cookies die niet het surfgedrag van de gebruiker
volgen -> geen toestemming meer vereist
Vervolgens is dan ook de grondslag uit art. 8(f) Wbp mogelijk:
gerechtvaardigd belang
Voorstel Verordening
Recent nieuwe versie:
Pseudonymous data geen persoonsgegevens
Optie voor Chinese Walls constructie: betekent grote kentering in
uitgangspunten gegevensbescherming
2 lijnen
Cookiewet
EU Algemene Verordening Gegevensbescherming
Vraag hoe dat uitwerkt
Centraal uitgangspunt (Verordening): Accountability
Privacy by Design; Data Protection by Default
Initial
Privacy-activiteiten worden ad hoc uitgevoerd.
Repeatable
Privacybeleid is gedefinieerd:
• Commitment van het senior management.
• Algemeen bewustzijn en betrokkenheid.
• Specifieke plannen voor activiteiten met een hoog privacy-risico.
Defined
Privacybeleid en aanpak binnen de organisatie zijn op orde:
• Uitvoering risicoassessments.
• Prioriteiten zijn vastgesteld en bijbehorende resources zijntoebedeeld.
• Activiteiten worden gecoordineerd en uitgevoerd voorprivacybewaking.
Managed
Een consequent effectief niveau van het omgaan met privacy is ingebedin de organisatie:
• Vroegtijdig betrekking van privacy in nieuwe systemen en processen.
• Privacy is geintegreerd in functies en in performance doelstellingen
• Monitoring op organisatie- en functioneel niveau
• Periodieke review van risicoinschattingen.
Optimizing
Continue verbetering privacy controls, praktijken, policies:
• Veranderingen worden systematisch onderzocht op privacy impact.
• Specifieke resources worden ingezet om privacydoelen te bereiken.
• Hoog niveau van cross-functionele organisatie en teamwork omprivacydoelen te bereiken.
De organisatie – het Privacy Maturity Model
Source: www.theia.org – Global Technology Auditing Guide 5
De organisatie - Privacy Policies - 1
De organisatie - Privacy Policies -2
De organisatie - Privacy Policies - 3
De organisatie - Privacy Policies - 4
Tools beschikbaar voor genereren privacy policy!
MEF Werkgroep over Apps en privacy
De organisatie - Privacy Impact Assessment
TRUSTe: http://www.truste.com/products-and-services/enterprise-privacy/TRUSTed-apps
TRUSTed Apps
Comprehensive Privacy Risk Assessment
Data collection, external app calls, permissions, & governance analysis
Dedicated privacy account manager
Privacy Findings Report
Includes gap analysis, key findings and basic reporting
Transparent App Developer Data Flows
Identifies Consumer Data being collected
Identifies Consumer Data being transmitted to 3rd parties
Mobile Optimized Disclosures
Graphical, short notice privacy policy
Easily identifies consumer information that the app accesses, shares & retains (i.e. location, tracking technologies, targeted advertising)
Cross-Platform Capabilities
Dispute Resolution Service
Management of privacy-focused consumer feedback and complaints
TRUSTe Certified Privacy Seal (optional)
#1 global privacy brand
Conclusies
Organisatorische inbedding van belang
Steun van hoger management van belang
Processen en procedures transparant en bekend
Borging instrumenten als privacy audits
Connected TV en privacy
Outline
Wat is connected TV?
Welke gegevens kunnen verwerkt worden?
Technische mogelijkheden
Wat is connected TV?
IPTV
Interactieve TV
TV verbonden met internet, waardoor extra diensten kunnen worden
aangeboden of aanvullingen kunnen worden gemaakt op het lineaire
TV-signaal
Wat is connected TV?
“The term ‘connected TV’ is regularly used to refer to a television set
which can itself receive and display on screen both traditional linear
programmes and Internet content. In addition, it is still a hybrid
receiving device if, although the TV itself is not capable of connecting to
the Internet, it is connected to another device which does have an
Internet connection (e.g. a Blu-Ray player, games console, digital
receiver / set-top box).”
EP Draft Report on Connected TV, (2012/2300(INI))
Welke gegevens kunnen verwerkt worden?
Kijkgedrag
Surfgegevens
Locatie
Allerlei andere informatie op basis van applicaties die ontwikkeld zijn
voor Connected TV
Daarbij kunnen we ook kijken naar apps voor mobiele devices
(smartphone, tablet) die bijvoorbeeld fungeren als tweede scherm
(Nabije) toekomst
Onderscheid maken tussen verschillende kijkers binnen een
aansluiting (huishouden)
Mogelijk op basis van analyseren kijkgedrag
Ook mogelijk op basis van tijdstip en zender
Kan de abonnementhouder toestemming voor verwerking
persoonsgegevens geven voor alle kijkers binnen een aansluiting?
Ook bij bijv. een studentenhuis?
Welke privacy issues?
Het gaat om persoonsgegevens
Oordeel CBP in TP Vision onderzoek
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon (Art. 1a Wbp)
Privacy Enhancing Technologies voor Connected TV
Authenticatie
Gezichtsherkenning
Spraakherkenning
Anonieme recommender systemen
Transparantie en controle
*zie na de pauze*
PAUZE
Apps en Privacy
De technologie
http://xkcd.com/538//
Gebrek aan transparantie (“wat wordt door wie voor welk doel
verzameld?”)
60 van de 150 top apps hebben geen privacy policy (FPF studie
2012)
Gebrek aan vrije en geïnformeerde toestemming
92% van gebruikers wil meer mogelijkheden bij toestemming (niet
alleen maar ‘Ja’ of ‘Nee’) (GSMA studie 2012)
Slechte veiligheidsmaatregelen
Problemen door datalek bij app developer of van app zelf
Weinig aandacht voor doelbeperking en mimimalisatie
Privacyrisico’s van apps (art 29 WP)
Per dag 1600 nieuwe apps!
Per gebruiker ~40 apps
Persoonlijke gegevens
Wat zijn persoonlijke gegevens?
“Tot een persoon herleidbaar …”
IP-adres? Volgens art 29 WP wel!
UDID? Volgens art 29 WP wel
Speciale categorie: gevoelige gegevens (medisch, financieel, politiek, genderspecifiek, …)
Locatiegegevens
Contacten
UDID/IMEI/IMSI
Identiteit van het data subject
Identiteit (“naam”) van het device
Foto’s en video’s
Credit card/betaalinformatie
SMS/Whats app berichten
Browsing geschiedenis
Authenticatie credentials
Biometrie gegevens
Voorbeeld Vaarwater App - 1
Wat zijn de
voorwaarden van Art 29 WP voor
informatieverschaffing en
toestemmingsverlening
in dit geval?
In store informatieverschaffing:
ONVOLDOENDE
Voorbeeld:
Henk BultemaDDMA
Voorbeeld Vaarwater App - 2
Info
rmatie
in d
e a
pp-o
mgevin
g
Toeste
mm
ing
in d
e a
pp-o
mgevin
g
Voorbeeld:
Henk BultemaDDMA
Voorbeeld Vaarwater App - 3Voorbeeld:
Henk BultemaDDMA
Per functie aparte toestemming Per app recht van verzet
Conclusie
Verschaffen informatie en vragen om toestemming in app-omgeving (app-store is onvoldoende!)
Meer werk en verantwoordelijkheid voor de app-ontwikkelaar
App-stores volgen verschillende policies mbt tot wat is toegestaan en wat niet
Techniek – Privacy vanaf het eerste ontwerp
Functioneelontwerp
Technischontwerp
Invoering
Hoe? Verschillende strategieën
Source: J.H. Hoepman, Privacy Design Strategies, APC 2012
Minimise
1. Select before you collect
2. Beperk het doel van de gegevensverzameling
3. Beperk gegevensdeling
4. Stel specifieke bewaartermijnen in
5. Vernietig gegevens als deze niet meer gebruikt worden
6. Gebruik pseudoniemen
7. Anonimiseer alle data
Bewaartermijnen en vernietiging gegevens
Bewaartermijn is in principe:
zolang als nodig is voor het kunnen verzorgen van de dienst.
Indien gebruiker de app verwijdert, verdwijnt daarmee ook de verleende toestemming om gegevens van/over de gebruiker tegebruiken, tenzij … (contract, wettelijke verplichting, expliciete
toestemming, …)
Een gebruiker moet in staat zijn de verzamelde gegevens in te zienen mee te nemen
Gegevens die niet meer gebruikt (mogen) worden moeten onklaarworden gemaakt (vernietiging, anonimisering)
Separate
Lokaal opslaan
Lokaal verwerken
Data van verschillende bronnen ook op verschillende plekken opslaan
en niet linken als dat niet nodig is.
Ga ervanuit dat shared storage onveilig is (adresboek, picture
gallery, audio files, maar ook caches en temporary storage)
Vanuit security perspectief kan het veiliger zijn om centraal op te slaan
Aggregate
Aggregeer over tijd
Aggregeer over ruimte
(opslaan van plaatsnaam, niet
GPS-coördinaten)
Aggregeer over meerdere
gebruikers
Hide (beveiliging)
Encryptie: versleutelen van de
Communicatie (TLS)
Opgeslagen gegevens
Gebruik standaard encryptie methodes en
implementaties, ga niet zelf iets maken
Authenticatie en autorisatie
Username/ww (salted & hashed), biometrie
Toegangsverlening (Oauth)
Technieken als Proxy with Tor, OTR chat protocol
Beveiligingsaandachtpunten specifiek voormobiele apps
Inter-app injection flaws: apps zijn kwetsbaar zijn als er input vanuit
een andere app wordt geaccepteerd. Zorg dat de input wordt
gechecked (sanitised)
Niet checken van SSL/TLS certificaten: alleen SSL/TLS encryptie
gebruiken is niet genoeg om zeker te zijn van een beveiligde
verbinding, check ook het certificaat zelf.
Centrale server niet goed beveiligd: Accepteer alleen sterk
versleutelde verbindingen naar de server, zorg dat de server
certificaten geldig zijn.
Inform
Transparancy software design patterns
Privacy Policy Text
Welcome E-mail with Privacy Text
Privacy Policy Icons
Q&A list
Privacy Tutorial
Personal Data Insight Table
Personal Data Infographic
Personal data insight overlay
Personal data insight on data entry
Privacy Dashboard
Privacy Reminder
Third-party Data Access Notification
Digital File with Personal Data
Privacy Awareness Comic
Privacy Awareness Video
Video about Transparency
Transparency Awareness Website
Transparency Awareness Mobile
App
Advertising Companies graph
Privacy Transparency label
Customizable Privacy Transparency
label
ACT privacy dashboard
Example:
Example:
Example:
Control
Granulaire controle geven aan de gebruiker over wat er met de data
mag gebeuren
Informed Consent
Privacy Dashboard
Sticky policies
ISO JTC SC27 family of privacy standards
IS
29134
4th WD
IS
29190
1st CD
IS
29100
:2011
Managem
ent
Fra
mew
ork
Contr
ols
IS
27018
:2014
IS
291513rd WD
IS
27002
:2013
IS
29191
:2012
IS
29101
:2013
Privacy
Framework
Privacy Impact
Assessment –
Methodology
Privacy Capability
Maturity Model
Privacy
Architecture
Framework
Code of Practice for
PII protection in
public clouds
acting as PII processors
Code of
practice for
PII protection
Code of
practice for
info. sec.
management
Req. for
partially anony-
mous, partially
unlinkable authent.
WG 5
SD2
Privacy
Reference List
(freely available)
Technolo
gy
http://www.jtc1sc27.din.de/
Vooruitblik
Vooruitblik
Conclusies vandaag:
Er zijn wel een aantal uitdagingen
Soms juridisch
Soms technisch
Vaak: vertaling van juridisch naar technisch en compliance
Vooruitblik
Nu is vaak adequate beveliging van persoonsgegevens nog de
gekozen weg
Verordening gaat accountability centraal stellen
Wat kunnen we daar nu al mee doen?
Vooruitblik
Samenstellen van een privacy bijsluiter
Gericht op beknopte informatieverschaffing
In de app-store
Transparantie bieden, vertrouwen scheppen
Vooruitblik
Oplossingen om privacybeleid naar concrete implementatievereisten
te vertalen
Privacy by Design
Om accountability aan te tonen
In de vorm van?
Technische tools
Vertaalmodel
Praktische guidelines
…
…
Privacy Design Patterns voor apps
Verzamelen en opschrijven van de best practices
Specifiek voor privacy:
welke oplossingen werken het best, hoe ontwerp je dat, hoe
implementeer je dat?
In de vorm van software design patterns
Mogelijkheid voor technologiecluster
Gezamenlijke vraag over concrete toepassing van een technologie
of gerelateerde oplossing
Deelname van (minimaal) 5 MKB bedrijven, die ook een specifieke
case kunnen inbrengen
Resultaten verspreiden onder minimaal 20 MKB bedrijven
Mogelijkheid voor technologiecluster
Deelnemende bedrijven betalen gezamelijk 10% van prijs van het
onderzoek (bijv. 1-2k/bedrijf, bij meerdere bedrijven lagere prijs per
bedrijf)
Dat wordt aangevuld met onderzoeksgelden
Totale omvang technologiecluster is maximaal 50k
Totale doorlooptijd onderzoek is maximaal 6 maanden
Hartelijk dank en graag tot ziens!
Arnold Roosendaal ([email protected])
Johanneke Siljee ([email protected])
