Technology Update: Privacy in Apps
description
Transcript of Technology Update: Privacy in Apps
![Page 1: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/1.jpg)
Arnold Roosendaal en Marc van Lieshout
2 december 2013
![Page 2: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/2.jpg)
Programma
13.20-13.30 Opening/welkom 13.30-14.00 Uitdagingen rond Apps en Privacy – uw
visie 14.00-14.30 Schets van privacyvraagstukken rond apps en privacy 14.30-15.10 Case 1: Connected TV 15.10-15.30 Pauze 15.30-16.20 Case 2: App ontwikkeling 16.20-16.50 Uitdagingen en kansen, oog op vervolg 16.50-17.00 Afsluiting
![Page 3: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/3.jpg)
•Veiligheid Energie Gebouwde
Omgeving
Mobiliteit
Public Safety
Informatie-
Maatschappij
Energy Industrial
Innovation Built
Environment
Healthy
Living
Mobility Information
Society
ICT
3
TNO – Dutch Research and Technology Organisation
![Page 4: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/4.jpg)
One of THE knowledge
partners on privacy &
identity management
national and international
Privacy related research
- User perception studies -
Privacy impact assessment
- Gebruik van open source data
- PI Lab opening Innovatie en
privacy en de rechten van
burgers (EP)
- “a bite too big”
Cookie Rapport
- FP 7 Virtuoso
- Assessment van
nieuwe privacy
verordening
Monitoring Veiligheid &
ICT (2011-2014)
- Drivers en barriers voor
Privacy by Design in Nederland
(EL&I/TNO))
- Online Trustmarks (EC)
![Page 5: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/5.jpg)
![Page 6: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/6.jpg)
![Page 7: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/7.jpg)
Uitdagingen rond Apps en Privacy – uw visie
Stellingen
![Page 8: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/8.jpg)
Uitdagingen rond Apps en Privacy – uw visie
Wat kwam u bekend voor?
Waar wilt u meer over weten?
Wat is uw visie over aanpak/mogelijkheden?
Waar liggen knelpunten/uitdagingen?
![Page 9: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/9.jpg)
Schets van privacyvraagstukken rond apps en privacy
![Page 10: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/10.jpg)
Onderzoek naar houding van gebruikers
TRUSTe (2013):
76% van gebruikers downloadt een app niet als men het niet vertrouwt (2012:
68%)
MEF Global Privacy Report (2013):
70% van gebruikers wil weten wanneer en wat een app aan persoonsgegevens
verzamelt
Slechts 37% van de gebruikers heeft geen moeite met het delen van persoonlijke
gegevens
Vrouwen en ouderen zijn bezorgder dan jongeren; zorg in opkomende markten is
groter dan in Westen/VS.
Pew International (2012) onder Amerikaanse tieners:
51% vermijdt bepaalde apps vanwege privacyzorgen;
26% heeft app verwijderd omdat deze persoonlijke informatie verzamelde die de
tieners niet wilden delen.
46% zet location tracking features uit vanwege privacyzorgen
![Page 11: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/11.jpg)
UDID
GPS locatie
Leeftijd
Geslacht
UDID
Gebruikersnaam
Stad/provincie
E-mailadres
UDID
GPS locatie
Beluisterde nummer
Stad
Greystripe
Medialets
Adwhirl
Mobclix AdMob
Flurry
4th Screen
Advertising
DoubleClick
UDID
Adresboek Bron: Computeridee, 2011
~25% van de apps stuurt
heimelijk gegevens door
Grindr
Paper toss
Shazam
Viber
![Page 12: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/12.jpg)
Hoe hiermee om te gaan?
Juridische insteek:
Persoonlijke gegevens; toestemming
Derdeverstrekking; doelbepaling
Beveiliging
Organisatorische insteek
Inschatting privacyrisico’s
Privacy policies
…
Technische insteek
Dataminimalisatie
Transparantie
Kwaliteitsbewaking/beveiliging
![Page 13: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/13.jpg)
Aanpak vanmiddag
Uitleg aan de hand van twee cases:
- Connected TV
- App ontwikkeling
![Page 14: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/14.jpg)
Connected TV en privacy
iMMovator Technology Update
2 december 2013
Marc van Lieshout, Arnold Roosendaal
![Page 15: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/15.jpg)
Outline
Wat is connected TV?
Welke gegevens kunnen verwerkt worden?
Welke privacy issues brengt dat met zich mee?
Welke eisen gelden vanuit de Wbp?
![Page 16: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/16.jpg)
Wat is connected TV?
IPTV
Interactieve TV
TV verbonden met internet, waardoor extra diensten kunnen worden
aangeboden of aanvullingen kunnen worden gemaakt op het lineaire
TV-signaal
![Page 17: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/17.jpg)
Wat is connected TV?
“The term ‘connected TV’ is regularly used to refer to a television set
which can itself receive and display on screen both traditional linear
programmes and Internet content. In addition, it is still a hybrid
receiving device if, although the TV itself is not capable of connecting to
the Internet, it is connected to another device which does have an
Internet connection (e.g. a Blu-Ray player, games console, digital
receiver / set-top box).”
EP Draft Report on Connected TV, (2012/2300(INI))
![Page 18: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/18.jpg)
Welke gegevens kunnen verwerkt worden?
Kijkgedrag
Surfgegevens
Locatie
Allerlei andere informatie op basis van applicaties die ontwikkeld zijn
voor Connected TV
Daarbij kunnen we ook kijken naar apps voor mobiele devices
(smartphone, tablet) die bijvoorbeeld fungeren als tweede scherm
![Page 19: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/19.jpg)
![Page 20: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/20.jpg)
Welke privacy issues?
Het gaat om persoonsgegevens
Oordeel CBP in TP Vision onderzoek
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon (Art. 1a Wbp)
![Page 21: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/21.jpg)
Eisen vanuit de Wbp
Informatieverplichtingen
Rechtmatige grondslag
Doelbinding
Bewerkersovereenkomst (!)
![Page 22: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/22.jpg)
Informatieverplichtingen
In het bijzonder met betrekking tot cookies
Art. 11.7a(1)a Tw jo. Art. 33-34 Wbp
De eindgebruiker moet voldoende specifiek weten welke gegevens
over hem verwerkt worden, voor welke doeleinden, door wie, en waar
hij terecht kan met eventuele vragen of klachten
![Page 23: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/23.jpg)
Rechtmatige grondslag
Informatieverplichtingen zijn noodzakelijk om van ondubbelzinnige
toestemming te kunnen spreken (art. 8 Wbp jo. 11.7a Tw)
Ondubbelzinnige toestemming is de grondslag die hier van
toepassing is
Instemming, dus geen opt-out
Let op: Default settings in de browser van de TV
![Page 24: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/24.jpg)
Rechtmatige grondslag
Art. 8f Wbp kent 2 stappen:
1. Proportionaliteit en subsidiariteit
2. Belangenafweging
![Page 25: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/25.jpg)
Doelbinding
Persoonsgegevens mogen alleen worden verwerkt voor een specifiek
omschreven doel
Verdere verwerking is alleen toegestaan indien dit aansluit bij het
oorspronkelijke doel van de verwerking, anders is een nieuwe
grondslag vereist
![Page 26: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/26.jpg)
Bewerkersovereenkomst
Overeenkomst tussen verantwoordelijke en derde partijen die
optreden als bewerker (Art. 14(2) Wbp)
De overeenkomst moet betrekking hebben op de
gegevensverwerking
Google Analytics sluit alleen standaard overeenkomsten af met
partijen die hun diensten gebruiken
Zonder bewerkersovereenkomst is het gebruik van Google Analytics
in strijd met de Wbp
![Page 27: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/27.jpg)
Waar is het lastig?
Derde partijen
Google Analytics: Google is een derde partij
Maar Google wil geen aparte bewerkersovereenkomsten sluiten
Gebruik Google Analytics is dan niet rechtmatig
![Page 28: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/28.jpg)
(Nabije) toekomst
Onderscheid maken tussen verschillende kijkers binnen een
aansluiting (huishouden)
Mogelijk op basis van analyseren kijkgedrag
Ook mogelijk op basis van tijdstip en zender
Kan de abonnementhouder toestemming voor verwerking
persoonsgegevens geven voor alle kijkers binnen een aansluiting?
Ook bij bijv. een studentenhuis?
![Page 29: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/29.jpg)
![Page 30: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/30.jpg)
Juridische eisen en handhaving
De juridische eisen mbt toestemming voor cookies zijn helder
Maar handhaving lijkt te verschillen
Toezichthouder is echter streng, dus altijd rekening mee houden
![Page 31: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/31.jpg)
Toestemming vragen
Wanneer moet dat nu? Voor cookies? Gaat het dan om HTML-based
toepassingen? Dus niet alleen web, maar ook game consoles, STBs
etc.?
Wet heet in volksmond ‘cookiewet’, maar gaat over toegang tot
gegevens op device van de eindgebruiker. Dus niet technologie-
specifiek HTML. Ook device fingerprinting en browser fingerprinting.
Let dus op bij HTML5 applicaties.
![Page 32: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/32.jpg)
Wijziging cookiewet met instemming Cbp
Geen toestemming vereist voor cookies met geringe impact op
privacy, zoals bijvoorbeeld analytische cookies
Geldt dat ook bij derde partijen?
![Page 33: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/33.jpg)
Wijziging cookiewet
Onderscheid functionele en niet-functionele cookies
Op dit moment is voor alle niet-functionele cookies toestemming
vereist: rechtsvermoeden persoonsgegevens
Op basis van Tw toestemming
Op basis van Wbp ondubbelzinnige toestemming
![Page 34: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/34.jpg)
Wijziging cookiewet
Bij geringe gevolgen privacy soepeler
Voor analytische cookies die niet het surfgedrag van de gebruiker
volgen -> geen toestemming meer vereist
Vervolgens is dan ook de grondslag uit art. 8(f) Wbp mogelijk:
gerechtvaardigd belang
![Page 35: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/35.jpg)
Voorstel Verordening
Recent nieuwe versie:
Pseudonymous data geen persoonsgegevens
Optie voor Chinese Walls constructie: betekent grote kentering in
uitgangspunten gegevensbescherming
![Page 36: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/36.jpg)
2 lijnen
Cookiewet
EU Algemene Verordening Gegevensbescherming
Vraag hoe dat uitwerkt
Centraal uitgangspunt (Verordening): Accountability
Privacy by Design; Data Protection by Default
![Page 37: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/37.jpg)
PAUZE
![Page 38: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/38.jpg)
Apps en Privacy
Naar een werkbare aanpak
Marc van Lieshout
IMMovator workshop 2 december 2013
![Page 39: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/39.jpg)
http://www.cagle.com/news/privacycartoons2/
![Page 40: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/40.jpg)
Gebrek aan transparantie (“wat wordt door wie voor welk doel
verzameld?”)
60 van de 150 top apps hebben geen privacy policy (FPF studie
2012)
Gebrek aan vrije en geïnformeerde toestemming
92% van gebruikers wil meer mogelijkheden bij toestemming (niet
alleen maar ‘Ja’ of ‘Nee’) (GSMA studie 2012)
Slechte veiligheidsmaatregelen
Weinig aandacht voor doelbeperking
Privacyrisico’s van apps (art 29 WP)
Per dag 1600 nieuwe apps!
Per gebruiker ~40 apps
![Page 41: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/41.jpg)
Hoe hiermee om te gaan?
Juridische insteek:
Welke juridische randvoorwaarden moet u in de gaten houden?
Organisatorische insteek
Welke hulpmiddelen zijn er om privacybescherming in uw organisatie te verankeren?
Technische insteek
Welke technische hulpmiddelen zijn er om privacybescherming te realiseren in uw producten en diensten?
![Page 42: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/42.jpg)
Juridische aanpak
Wanneer zijn gegevens persoonlijke gegevens?
Hoe om te gaan met de toestemmingsvereiste?
Hoe om te gaan met doelbepaling?
Een voorbeeld: Case Vaarwater
![Page 43: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/43.jpg)
Persoonlijke gegevens
Wat zijn persoonlijke gegevens?
“Tot een persoon herleidbaar …”
IP-adres? Volgens art 29 WP wel!
UDID? Volgens art 29 WP wel
Speciale categorie: gevoelige gegevens (medisch, financieel, politiek, genderspecifiek, …)
Locatiegegevens
Contacten
UDID/IMEI/IMSI
Identiteit van het data subject
Identiteit (“naam”) van het device
Credit card/betaalinformatie
SMS/Whats app berichten
Browsing geschiedenis
Authenticatie credentials
![Page 44: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/44.jpg)
Toestemming
Heimelijke gegevensverzameling niet toegestaan
Toestemming vragen voordat de app gedownload wordt voor alle gegevensverzameling
Vrij gegeven, specifiek, geïnformeerd
Vrij gegeven toestemming: mogelijkheid om Nee te zeggen.
Specifieke toestemming: bij voorkeur per type datacategorie (locatie, contact, UDID, …) aan te geven
Geïnformeerd: “we verzamelen deze gegevens om hiermee …”
Mogelijkheid tot intrekking toestemming bieden
Vanaf dat moment geen rechtsgrond voor benutting gegevens
Vernietigen of anonimiseren van gegevens
![Page 45: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/45.jpg)
Doelbepaling
Gegevensverzameling is toegestaan bij
Legitieme grondslag; wettelijke bepaling; uitvoering van een contract; leveren van een dienst
Duidelijk doel aangeven voor de gegevensverzameling
Niet excessief
Niet buitenproportioneel
Legitiem/contract
Derdeverstrekking
Toestemmingsvereiste (voor alle gegevens)
Legitiem/niet excessief etc.
Veiligheidsmaatregelen
![Page 46: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/46.jpg)
Voorbeeld Vaarwater App - 1
Wat zijn de
voorwaarden van Art 29 WP voor
informatieverschaffing en
toestemmingsverlening
in dit geval?
In store informatieverschaffing:
ONVOLDOENDE
Voorbeeld:
Henk Bultema DDMA
![Page 47: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/47.jpg)
Voorbeeld Vaarwater App - 2
Info
rmatie in d
e a
pp-o
mgevin
g
Toeste
mm
ing in d
e a
pp-o
mgevin
g
Voorbeeld:
Henk Bultema DDMA
![Page 48: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/48.jpg)
Voorbeeld Vaarwater App - 3 Voorbeeld:
Henk Bultema DDMA
Per functie aparte toestemming Per app recht van verzet
![Page 49: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/49.jpg)
Conclusie
Verschaffen informatie en vragen om toestemming in app-omgeving (app-store is onvoldoende!)
Meer werk en verantwoordelijkheid voor de app-ontwikkelaar
App-stores volgen verschillende policies mbt tot wat is toegestaan en wat niet
![Page 50: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/50.jpg)
Initial
Privacy-activiteiten worden ad hoc uitgevoerd.
Repeatable
Privacybeleid is gedefinieerd:
• Commitment van het senior management.
• Algemeen bewustzijn en betrokkenheid.
• Specifieke plannen voor activiteiten met een hoog privacy-risico.
Defined
Privacybeleid en aanpak binnen de organisatie zijn op orde:
• Uitvoering risicoassessments.
• Prioriteiten zijn vastgesteld en bijbehorende resources zijn toebedeeld.
• Activiteiten worden gecoordineerd en uitgevoerd voor privacybewaking.
Managed
Een consequent effectief niveau van het omgaan met privacy is ingebed in de organisatie:
• Vroegtijdig betrekking van privacy in nieuwe systemen en processen.
• Privacy is geintegreerd in functies en in performance doelstellingen
• Monitoring op organisatie- en functioneel niveau
• Periodieke review van risicoinschattingen.
Optimizing
Continue verbetering privacy controls, praktijken, policies:
• Veranderingen worden systematisch onderzocht op privacy impact.
• Specifieke resources worden ingezet om privacydoelen te bereiken.
• Hoog niveau van cross-functionele organisatie en teamwork om privacydoelen te bereiken.
De organisatie – het Privacy Maturity Model
Source: www.theia.org – Global Technology Auditing Guide 5
![Page 51: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/51.jpg)
De organisatie - Privacy Policies - 1
![Page 52: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/52.jpg)
De organisatie - Privacy Policies -2
![Page 53: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/53.jpg)
De organisatie - Privacy Policies - 3
![Page 54: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/54.jpg)
De organisatie - Privacy Policies - 4
Tools beschikbaar voor genereren privacy policy!
MEF Werkgroep over Apps en privacy
![Page 55: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/55.jpg)
De organisatie - Privacy Impact Assessment
TRUSTe: http://www.truste.com/products-and-services/enterprise-privacy/TRUSTed-apps
![Page 56: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/56.jpg)
TRUSTed Apps
Comprehensive Privacy Risk Assessment
Data collection, external app calls, permissions, & governance analysis
Dedicated privacy account manager
Privacy Findings Report
Includes gap analysis, key findings and basic reporting
Transparent App Developer Data Flows
Identifies Consumer Data being collected
Identifies Consumer Data being transmitted to 3rd parties
Mobile Optimized Disclosures
Graphical, short notice privacy policy
Easily identifies consumer information that the app accesses, shares & retains (i.e. location, tracking technologies, targeted advertising)
Cross-Platform Capabilities
Dispute Resolution Service
Management of privacy-focused consumer feedback and complaints
TRUSTe Certified Privacy Seal (optional)
#1 global privacy brand
![Page 57: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/57.jpg)
Conclusies
Organisatorische inbedding van belang
Steun van hoger management van belang
Processen en procedures transparant en bekend
Borging instrumenten als privacy audits
![Page 58: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/58.jpg)
Techniek - Dataminimalisatie
1.Select before you collect
2.Beperk het doel van de
gegevensverzameling
3.Beperk gegevensdeling
4.Stel specifieke
bewaartermijnen in
5.Vernietig gegevens als
deze niet meer gebruikt
worden
![Page 59: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/59.jpg)
Techniek - Bewaartermijnen en vernietiging gegevens
Bewaartermijn is in principe:
zolang als nodig is voor het kunnen verzorgen van de dienst.
Indien gebruiker de app verwijdert, verdwijnt daarmee ook de verleende toestemming om gegevens van/over de gebruiker te gebruiken, tenzij … (contract, wettelijke verplichting, expliciete
toestemming, …)
Een gebruiker moet in staat zijn de verzamelde gegevens in te zien en mee te nemen
(data portability -> Google Data Liberation Front)
Gegevens die niet meer gebruikt (mogen) worden moeten onklaar worden gemaakt (vernietiging, anonymisering)
![Page 60: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/60.jpg)
Techniek – Privacy vanaf het eerste ontwerp
Functioneel ontwerp
Technisch ontwerp
Invoering
![Page 61: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/61.jpg)
Privacy Guaranteeing Execution Container
Secret Sharing
Reputation systems Transparency tools
Privacy-Enhancing Intelligent Software Agents
Support for legal protection: sticky policies,
log files & watermarking
Information expiration date
Zero-knowledge proofs
Blind signatures
Audit logs
Pseudonyms
Encryption schemes Attribute-based credentials
Private information retrieval
Anonymous credentials
Steganography
Cryptography
Mix networks
Onion routing Protecting
Enabling P3P
Transparency
![Page 62: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/62.jpg)
Conclusies
Technische mogelijkheden voor afscherming/minimalisering voorhanden
Lastig in de praktijk te brengen (kosten, kennis, belemmeringen)
Lastig te ‘vertalen’ naar gebruikers
Startpunt: “technische en organisatorische maatregelen voor de beveiliging van gegevens”
![Page 63: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/63.jpg)
![Page 64: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/64.jpg)
Vooruitblik
![Page 65: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/65.jpg)
Vooruitblik
Conclusies vandaag:
Er zijn wel een aantal uitdagingen
Soms juridisch
Soms technisch
Vaak: vertaling van juridisch naar technisch en compliance
![Page 66: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/66.jpg)
Vooruitblik
Nu is vaak adequate beveliging van persoonsgegevens nog de
gekozen weg
Verordening gaat accountability centraal stellen
Wat kunnen we daar nu al mee doen?
![Page 67: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/67.jpg)
Vooruitblik
Oplossingen om privacybeleid naar concrete implementatievereisten
te vertalen
Privacy by Design
Om accountability aan te tonen
In de vorm van?
Technische tools
Vertaalmodel
Praktische guidelines
…
…
![Page 68: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/68.jpg)
Mogelijkheid voor technologiecluster
Gezamenlijke vraag over concrete toepassing van een technologie
of gerelateerde oplossing
Deelname van (minimaal) 5 MKB bedrijven, die ook een specifieke
case kunnen inbrengen
Resultaten verspreiden onder minimaal 20 MKB bedrijven
![Page 69: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/69.jpg)
Mogelijkheid voor technologiecluster
Deelnemende bedrijven betalen gezamelijk 10% van prijs van het
onderzoek (bijv. 1-2k/bedrijf, bij meerdere bedrijven lagere prijs per
bedrijf)
Dat wordt aangevuld met onderzoeksgelden
Totale omvang technologiecluster is maximaal 50k
Totale doorlooptijd onderzoek is maximaal 6 maanden
![Page 70: Technology Update: Privacy in Apps](https://reader034.fdocuments.us/reader034/viewer/2022042715/558bdaf8d8b42ae76a8b4637/html5/thumbnails/70.jpg)
Hartelijk dank en graag tot ziens!
Marc van Lieshout ([email protected])
Arnold Roosendaal ([email protected])