Technology Update: Hoe privacy proof is jouw app?(2)
-
Upload
immovator -
Category
Technology
-
view
426 -
download
1
description
Transcript of Technology Update: Hoe privacy proof is jouw app?(2)
![Page 1: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/1.jpg)
Arnold Roosendaal en Johanneke Siljee
18 november 2014
![Page 2: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/2.jpg)
Programma
13.30-13.40 Opening/welkom13.40-14.10 Uitdagingen rond Apps en Privacy –jouw visie14.10-14.50 Wet- en regelgeving van privacy voorapps14.50-15.10 Case: Connected TV15.10-15.30 Pauze15.30-16.10 Privacy technologie16.10-16.50 Uitdagingen en kansen, oog op vervolg16.50-17.00 Afsluiting
![Page 3: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/3.jpg)
![Page 4: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/4.jpg)
Johanneke Siljee
Security
Privacy
Identity Management
![Page 5: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/5.jpg)
Stellingen
Een binaire quiz om erin te komen
![Page 6: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/6.jpg)
Ik heb niks te verbergen
1. Eens
2. Oneens
![Page 7: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/7.jpg)
(Nu vanuit perspectief van je bedrijf)Ik heb niks te verbergen
1. Eens
2. Oneens
![Page 8: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/8.jpg)
Derde partijen mogen advertenties in mijn app verzorgen
1. Eens
2. Oneens
![Page 9: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/9.jpg)
Voor gerichte advertenties mag ik die derde partijen gegevens over
gebruikers verschaffen1. Eens
2. Oneens
![Page 10: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/10.jpg)
Derde partijen mogen zelf via de app gegevens verzamelen
1. Eens
2. Oneens
![Page 11: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/11.jpg)
Met het accepteren van de machtigingen voor een app verlenengebruikers mij ook toestemming om
hun gegevens te verwerken
1. Eens
2. Oneens
![Page 12: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/12.jpg)
Met een overzicht van app-machtigingen voldoe ik aan de
informatieverplichtingen uit de Wbp
1. Eens
2. Oneens
![Page 13: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/13.jpg)
Bij een app voor een mobiele device is het automatisch toegestaan om locatiegegevens te verwerken
1. Eens
2. Oneens
![Page 14: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/14.jpg)
Voor het gebruik van analytischecookies heb ik toestemming nodig van
de gebruiker
1. Eens
2. Oneens
![Page 15: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/15.jpg)
De cookiewet is niet van toepassing op game consoles en smart TV’s
1. Eens
2. Oneens
![Page 16: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/16.jpg)
Bij een update van een bestaande app hoef ik niet nog een keer om
toestemming te vragen
1. Eens
2. Oneens
![Page 17: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/17.jpg)
Als mijn app geen persoonlijkegegevens verzamelt hoef ik de
gebruiker geen toestemming te vragenvoor het downloaden van de app
1. Eens
2. Oneens
![Page 18: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/18.jpg)
Wanneer de gebruiker mijtoestemming geeft om zijn adresboekte lezen mag ik deze gegevens ook aan
derde partijen verschaffen
1. Eens
2. Oneens
![Page 19: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/19.jpg)
Het is veel beter om apart toestemming te vragen voor
verschillende categorieënpersoonsgegevens
1. Eens
2. Oneens
![Page 20: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/20.jpg)
Met het oog op de toekomst is het hetbeste om in een keer toestemming te
vragen voor het gebruik van zoveelmogelijk gegevens
1. Eens
2. Oneens
![Page 21: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/21.jpg)
Een privacy policy is onzin, die leesttoch niemand
1. Eens
2. Oneens
![Page 22: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/22.jpg)
Als ik een goede, korte privacy policy zou hebben zou ik hem meteen
gebruiken1. Eens
2. Oneens
![Page 23: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/23.jpg)
De gebruiker moet mij blindelingskunnen vertrouwen
1. Eens
2. Oneens
![Page 24: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/24.jpg)
Ik verzamel alleen gegevens die absoluut noodzakelijk zijn voor mijn
app1. Eens
2. Oneens
![Page 25: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/25.jpg)
Ik pas alle mogelijke manieren van gegevensbescherming toe in mijn app
1. Eens
2. Oneens
![Page 26: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/26.jpg)
Ik zou veel meer bescherming in mijnapp toepassen als ik maar wist hoe ik
dat makkelijk kan doen1. Eens
2. Oneens
![Page 27: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/27.jpg)
Privacy is een unique selling point voormijn app
1. Eens
2. Oneens
![Page 28: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/28.jpg)
Uitdagingen rond Apps en Privacy – uw visie
Wat kwam u bekend voor?
Waar wilt u meer over weten?
Wat is uw visie over aanpak/mogelijkheden?
Waar liggen knelpunten/uitdagingen?
![Page 29: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/29.jpg)
Schets van privacyvraagstukken rond apps en privacy
![Page 30: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/30.jpg)
Onderzoek naar houding van gebruikers
TRUSTe (2013):
76% van gebruikers downloadt een app niet als men het niet vertrouwt (2012:
68%)
MEF Global Privacy Report (2013):
70% van gebruikers wil weten wanneer en wat een app aan persoonsgegevens
verzamelt
Slechts 37% van de gebruikers heeft geen moeite met het delen van persoonlijke
gegevens
Vrouwen en ouderen zijn bezorgder dan jongeren; zorg in opkomende markten is
groter dan in Westen/VS.
Pew International (2012) onder Amerikaanse tieners:
51% vermijdt bepaalde apps vanwege privacyzorgen;
26% heeft app verwijderd omdat deze persoonlijke informatie verzamelde die de
tieners niet wilden delen.
46% zet location tracking features uit vanwege privacyzorgen
![Page 31: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/31.jpg)
UDID
GPS locatie
Leeftijd
Geslacht
UDID
Gebruikersnaam
Stad/provincie
E-mailadres
UDID
GPS locatie
Beluisterde nummer
Stad
Greystripe
Medialets
Adwhirl
MobclixAdMob
Flurry
4th Screen
Advertising
DoubleClick
UDID
AdresboekBron: Computeridee, 2011
~25% van de apps stuurt
heimelijk gegevens door
Grindr
Paper toss
Shazam
Viber
![Page 32: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/32.jpg)
Hoe hiermee om te gaan?
Juridische insteek:
Persoonlijke gegevens; toestemming
Derdeverstrekking; doelbepaling
Beveiliging
Organisatorische insteek
Inschatting privacyrisico’s
Privacy policies
…
Technische insteek
Dataminimalisatie
Transparantie
Kwaliteitsbewaking/beveiliging
![Page 33: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/33.jpg)
Aanpak vanmiddag
Juridisch
Organisatorisch
ConnectedTV case
pauze
Technisch
![Page 34: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/34.jpg)
Eisen vanuit de Wbp
Informatieverplichtingen
Rechtmatige grondslag
Doelbinding
Bewerkersovereenkomst (!)
Recht van inzage
Recht van correctie
Beveiliging
Bewaartermijn
![Page 35: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/35.jpg)
Informatieverplichtingen
In het bijzonder met betrekking tot cookies
Art. 11.7a(1)a Tw jo. Art. 33-34 Wbp
De eindgebruiker moet voldoende specifiek weten welke gegevens
over hem verwerkt worden, voor welke doeleinden, door wie, en waar
hij terecht kan met eventuele vragen of klachten
![Page 36: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/36.jpg)
Rechtmatige grondslag
Informatieverplichtingen zijn noodzakelijk om van ondubbelzinnige
toestemming te kunnen spreken (art. 8 Wbp jo. 11.7a Tw)
Ondubbelzinnige toestemming is de grondslag die hier van
toepassing is
Instemming, dus geen opt-out
Let op: Default settings in de browser van de TV
![Page 37: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/37.jpg)
Rechtmatige grondslag
Art. 8f Wbp kent 2 stappen:
1. Proportionaliteit en subsidiariteit
2. Belangenafweging
![Page 38: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/38.jpg)
Doelbinding
Persoonsgegevens mogen alleen worden verwerkt voor een specifiek
omschreven doel
Verdere verwerking is alleen toegestaan indien dit aansluit bij het
oorspronkelijke doel van de verwerking, anders is een nieuwe
grondslag vereist
![Page 39: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/39.jpg)
Bewerkersovereenkomst
Overeenkomst tussen verantwoordelijke en derde partijen die
optreden als bewerker (Art. 14(2) Wbp)
De overeenkomst moet betrekking hebben op de
gegevensverwerking
![Page 40: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/40.jpg)
Recht van inzage
Iedereen mag met redelijke tussenpozen vragen of, en zo ja welke
persoonsgegevens van hem worden verwerkt. (Art. 35 Wbp)
Het antwoord moet in begrijpelijke vorm bevatten:
Een volledig overzicht van de door u verwerkte gegevens van de
betrokkene.
Een omschrijving van:
het doel of de doeleinden van de gegevensverwerking;
de categorieën van gegevens waarop uw verwerking betrekking
heeft;
de ontvangers of categorieën van ontvangers.
Alle beschikbare informatie over de herkomst van de gegevens.
![Page 41: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/41.jpg)
Recht op correctie (verwijderen) (1/2)
De betrokkene mag u verzoeken zijn gegevens te corrigeren. (Art. 36,
37, 38 Wbp)
Correctie houdt in:
verbeteren;
aanvullen;
verwijderen;
afschermen; of
op een andere manier er voor zorgen dat u de onjuiste gegevens
niet langer gebruikt.
![Page 42: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/42.jpg)
Recht op correctie (verwijderen) (2/2)
U bent alleen verplicht te corrigeren als de gegevens:
feitelijk onjuist zijn;
onvolledig of niet ter zake dienend zijn voor het doel waarvoor u ze
verwerkt; of
op andere wijze in strijd met een voorschrift van de Wbp of een
andere wet zijn verwerkt.
Right to be Forgotten (draft European Data Protection Regulation)
![Page 43: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/43.jpg)
Beveiliging
U moet passende technische en organisatorische maatregelen
nemen om het verlies van gegevens of onrechtmatige verwerking
tegen te gaan. (Art. 13 Wbp)
passend: afweging van risico’s en kosten van de maatregelen
maatregelen moeten er mede op gericht zijn onnodige
verzameling of verdere verwerking te voorkomen.
Beveiliging moet steeds adequaat zijn: periodiek nagaan of
systeem aanpassing behoeft, bijvoorbeeld door technologische
ontwikkelingen.
![Page 44: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/44.jpg)
Verordening
In 2012, the EU commission made a proposal for a reform of the data
protection directive [45]. The major changes, if approved, of the reform
are:
Privacy by design: Generally speaking, this principle says that any
infrastructure dealing with personal data should be designed to
provide the best possible protection of the user’s privacy.
Privacy by default: The user’s consent can’t be assumed. He has to
give his consent explicitly.
The right to be forgotten: Users may ask service providers to be
removed with all personal data stored.
Portability: When changing service providers, it should be possible to
transfer the user’s personal data.
![Page 45: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/45.jpg)
Waar is het lastig?
Derde partijen
Wie is verantwoordelijk?
Wie moet toestemming verkrijgen?
![Page 46: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/46.jpg)
Juridische eisen en handhaving
De juridische eisen mbt toestemming voor cookies zijn niet volledig
helder
Handhaving lijkt te verschillen
Toezichthouder is echter streng, dus altijd rekening mee houden
![Page 47: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/47.jpg)
Toestemming vragen
Wanneer moet dat nu? Voor cookies? Gaat het dan om HTML-based
toepassingen? Dus niet alleen web, maar ook game consoles, STBs
etc.?
Wet heet in volksmond ‘cookiewet’, maar gaat over toegang tot
gegevens op device van de eindgebruiker. Dus niet technologie-
specifiek HTML. Ook device fingerprinting en browser fingerprinting.
Let dus op bij HTML5 applicaties.
![Page 48: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/48.jpg)
Wijziging cookiewet met instemming Cbp
Geen toestemming vereist voor cookies met geringe impact op
privacy, zoals bijvoorbeeld analytische cookies
Geldt dat ook bij derde partijen?
![Page 49: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/49.jpg)
Wijziging cookiewet
Onderscheid functionele en niet-functionele cookies
Op dit moment is voor alle niet-functionele cookies toestemming
vereist: rechtsvermoeden persoonsgegevens
Op basis van Tw toestemming
Op basis van Wbp ondubbelzinnige toestemming
Maar: ook impliciete toestemming
![Page 50: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/50.jpg)
Wijziging cookiewet
Bij geringe gevolgen privacy soepeler
Voor analytische cookies die niet het surfgedrag van de gebruiker
volgen -> geen toestemming meer vereist
Vervolgens is dan ook de grondslag uit art. 8(f) Wbp mogelijk:
gerechtvaardigd belang
![Page 51: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/51.jpg)
Voorstel Verordening
Recent nieuwe versie:
Pseudonymous data geen persoonsgegevens
Optie voor Chinese Walls constructie: betekent grote kentering in
uitgangspunten gegevensbescherming
![Page 52: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/52.jpg)
2 lijnen
Cookiewet
EU Algemene Verordening Gegevensbescherming
Vraag hoe dat uitwerkt
Centraal uitgangspunt (Verordening): Accountability
Privacy by Design; Data Protection by Default
![Page 53: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/53.jpg)
Initial
Privacy-activiteiten worden ad hoc uitgevoerd.
Repeatable
Privacybeleid is gedefinieerd:
• Commitment van het senior management.
• Algemeen bewustzijn en betrokkenheid.
• Specifieke plannen voor activiteiten met een hoog privacy-risico.
Defined
Privacybeleid en aanpak binnen de organisatie zijn op orde:
• Uitvoering risicoassessments.
• Prioriteiten zijn vastgesteld en bijbehorende resources zijntoebedeeld.
• Activiteiten worden gecoordineerd en uitgevoerd voorprivacybewaking.
Managed
Een consequent effectief niveau van het omgaan met privacy is ingebedin de organisatie:
• Vroegtijdig betrekking van privacy in nieuwe systemen en processen.
• Privacy is geintegreerd in functies en in performance doelstellingen
• Monitoring op organisatie- en functioneel niveau
• Periodieke review van risicoinschattingen.
Optimizing
Continue verbetering privacy controls, praktijken, policies:
• Veranderingen worden systematisch onderzocht op privacy impact.
• Specifieke resources worden ingezet om privacydoelen te bereiken.
• Hoog niveau van cross-functionele organisatie en teamwork omprivacydoelen te bereiken.
De organisatie – het Privacy Maturity Model
Source: www.theia.org – Global Technology Auditing Guide 5
![Page 54: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/54.jpg)
De organisatie - Privacy Policies - 1
![Page 55: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/55.jpg)
De organisatie - Privacy Policies -2
![Page 56: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/56.jpg)
De organisatie - Privacy Policies - 3
![Page 57: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/57.jpg)
De organisatie - Privacy Policies - 4
Tools beschikbaar voor genereren privacy policy!
MEF Werkgroep over Apps en privacy
![Page 58: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/58.jpg)
De organisatie - Privacy Impact Assessment
TRUSTe: http://www.truste.com/products-and-services/enterprise-privacy/TRUSTed-apps
![Page 59: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/59.jpg)
TRUSTed Apps
Comprehensive Privacy Risk Assessment
Data collection, external app calls, permissions, & governance analysis
Dedicated privacy account manager
Privacy Findings Report
Includes gap analysis, key findings and basic reporting
Transparent App Developer Data Flows
Identifies Consumer Data being collected
Identifies Consumer Data being transmitted to 3rd parties
Mobile Optimized Disclosures
Graphical, short notice privacy policy
Easily identifies consumer information that the app accesses, shares & retains (i.e. location, tracking technologies, targeted advertising)
Cross-Platform Capabilities
Dispute Resolution Service
Management of privacy-focused consumer feedback and complaints
TRUSTe Certified Privacy Seal (optional)
#1 global privacy brand
![Page 60: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/60.jpg)
Conclusies
Organisatorische inbedding van belang
Steun van hoger management van belang
Processen en procedures transparant en bekend
Borging instrumenten als privacy audits
![Page 61: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/61.jpg)
Connected TV en privacy
![Page 62: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/62.jpg)
Outline
Wat is connected TV?
Welke gegevens kunnen verwerkt worden?
Technische mogelijkheden
![Page 63: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/63.jpg)
Wat is connected TV?
IPTV
Interactieve TV
TV verbonden met internet, waardoor extra diensten kunnen worden
aangeboden of aanvullingen kunnen worden gemaakt op het lineaire
TV-signaal
![Page 64: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/64.jpg)
Wat is connected TV?
“The term ‘connected TV’ is regularly used to refer to a television set
which can itself receive and display on screen both traditional linear
programmes and Internet content. In addition, it is still a hybrid
receiving device if, although the TV itself is not capable of connecting to
the Internet, it is connected to another device which does have an
Internet connection (e.g. a Blu-Ray player, games console, digital
receiver / set-top box).”
EP Draft Report on Connected TV, (2012/2300(INI))
![Page 65: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/65.jpg)
Welke gegevens kunnen verwerkt worden?
Kijkgedrag
Surfgegevens
Locatie
Allerlei andere informatie op basis van applicaties die ontwikkeld zijn
voor Connected TV
Daarbij kunnen we ook kijken naar apps voor mobiele devices
(smartphone, tablet) die bijvoorbeeld fungeren als tweede scherm
![Page 66: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/66.jpg)
![Page 67: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/67.jpg)
(Nabije) toekomst
Onderscheid maken tussen verschillende kijkers binnen een
aansluiting (huishouden)
Mogelijk op basis van analyseren kijkgedrag
Ook mogelijk op basis van tijdstip en zender
Kan de abonnementhouder toestemming voor verwerking
persoonsgegevens geven voor alle kijkers binnen een aansluiting?
Ook bij bijv. een studentenhuis?
![Page 68: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/68.jpg)
Welke privacy issues?
Het gaat om persoonsgegevens
Oordeel CBP in TP Vision onderzoek
persoonsgegeven: elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon (Art. 1a Wbp)
![Page 69: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/69.jpg)
Privacy Enhancing Technologies voor Connected TV
Authenticatie
Gezichtsherkenning
Spraakherkenning
Anonieme recommender systemen
Transparantie en controle
*zie na de pauze*
![Page 70: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/70.jpg)
PAUZE
![Page 71: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/71.jpg)
Apps en Privacy
De technologie
http://xkcd.com/538//
![Page 72: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/72.jpg)
Gebrek aan transparantie (“wat wordt door wie voor welk doel
verzameld?”)
60 van de 150 top apps hebben geen privacy policy (FPF studie
2012)
Gebrek aan vrije en geïnformeerde toestemming
92% van gebruikers wil meer mogelijkheden bij toestemming (niet
alleen maar ‘Ja’ of ‘Nee’) (GSMA studie 2012)
Slechte veiligheidsmaatregelen
Problemen door datalek bij app developer of van app zelf
Weinig aandacht voor doelbeperking en mimimalisatie
Privacyrisico’s van apps (art 29 WP)
Per dag 1600 nieuwe apps!
Per gebruiker ~40 apps
![Page 73: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/73.jpg)
![Page 74: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/74.jpg)
Persoonlijke gegevens
Wat zijn persoonlijke gegevens?
“Tot een persoon herleidbaar …”
IP-adres? Volgens art 29 WP wel!
UDID? Volgens art 29 WP wel
Speciale categorie: gevoelige gegevens (medisch, financieel, politiek, genderspecifiek, …)
Locatiegegevens
Contacten
UDID/IMEI/IMSI
Identiteit van het data subject
Identiteit (“naam”) van het device
Foto’s en video’s
Credit card/betaalinformatie
SMS/Whats app berichten
Browsing geschiedenis
Authenticatie credentials
Biometrie gegevens
![Page 75: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/75.jpg)
Voorbeeld Vaarwater App - 1
Wat zijn de
voorwaarden van Art 29 WP voor
informatieverschaffing en
toestemmingsverlening
in dit geval?
In store informatieverschaffing:
ONVOLDOENDE
Voorbeeld:
Henk BultemaDDMA
![Page 76: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/76.jpg)
Voorbeeld Vaarwater App - 2
Info
rmatie
in d
e a
pp-o
mgevin
g
Toeste
mm
ing
in d
e a
pp-o
mgevin
g
Voorbeeld:
Henk BultemaDDMA
![Page 77: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/77.jpg)
Voorbeeld Vaarwater App - 3Voorbeeld:
Henk BultemaDDMA
Per functie aparte toestemming Per app recht van verzet
![Page 78: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/78.jpg)
Conclusie
Verschaffen informatie en vragen om toestemming in app-omgeving (app-store is onvoldoende!)
Meer werk en verantwoordelijkheid voor de app-ontwikkelaar
App-stores volgen verschillende policies mbt tot wat is toegestaan en wat niet
![Page 79: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/79.jpg)
Techniek – Privacy vanaf het eerste ontwerp
Functioneelontwerp
Technischontwerp
Invoering
![Page 80: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/80.jpg)
Hoe? Verschillende strategieën
Source: J.H. Hoepman, Privacy Design Strategies, APC 2012
![Page 81: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/81.jpg)
Minimise
1. Select before you collect
2. Beperk het doel van de gegevensverzameling
3. Beperk gegevensdeling
4. Stel specifieke bewaartermijnen in
5. Vernietig gegevens als deze niet meer gebruikt worden
6. Gebruik pseudoniemen
7. Anonimiseer alle data
![Page 82: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/82.jpg)
Bewaartermijnen en vernietiging gegevens
Bewaartermijn is in principe:
zolang als nodig is voor het kunnen verzorgen van de dienst.
Indien gebruiker de app verwijdert, verdwijnt daarmee ook de verleende toestemming om gegevens van/over de gebruiker tegebruiken, tenzij … (contract, wettelijke verplichting, expliciete
toestemming, …)
Een gebruiker moet in staat zijn de verzamelde gegevens in te zienen mee te nemen
Gegevens die niet meer gebruikt (mogen) worden moeten onklaarworden gemaakt (vernietiging, anonimisering)
![Page 83: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/83.jpg)
Separate
Lokaal opslaan
Lokaal verwerken
Data van verschillende bronnen ook op verschillende plekken opslaan
en niet linken als dat niet nodig is.
Ga ervanuit dat shared storage onveilig is (adresboek, picture
gallery, audio files, maar ook caches en temporary storage)
Vanuit security perspectief kan het veiliger zijn om centraal op te slaan
![Page 84: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/84.jpg)
Aggregate
Aggregeer over tijd
Aggregeer over ruimte
(opslaan van plaatsnaam, niet
GPS-coördinaten)
Aggregeer over meerdere
gebruikers
![Page 85: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/85.jpg)
Hide (beveiliging)
Encryptie: versleutelen van de
Communicatie (TLS)
Opgeslagen gegevens
Gebruik standaard encryptie methodes en
implementaties, ga niet zelf iets maken
Authenticatie en autorisatie
Username/ww (salted & hashed), biometrie
Toegangsverlening (Oauth)
Technieken als Proxy with Tor, OTR chat protocol
![Page 86: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/86.jpg)
Beveiligingsaandachtpunten specifiek voormobiele apps
Inter-app injection flaws: apps zijn kwetsbaar zijn als er input vanuit
een andere app wordt geaccepteerd. Zorg dat de input wordt
gechecked (sanitised)
Niet checken van SSL/TLS certificaten: alleen SSL/TLS encryptie
gebruiken is niet genoeg om zeker te zijn van een beveiligde
verbinding, check ook het certificaat zelf.
Centrale server niet goed beveiligd: Accepteer alleen sterk
versleutelde verbindingen naar de server, zorg dat de server
certificaten geldig zijn.
![Page 87: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/87.jpg)
Inform
Transparancy software design patterns
Privacy Policy Text
Welcome E-mail with Privacy Text
Privacy Policy Icons
Q&A list
Privacy Tutorial
Personal Data Insight Table
Personal Data Infographic
Personal data insight overlay
Personal data insight on data entry
Privacy Dashboard
Privacy Reminder
Third-party Data Access Notification
Digital File with Personal Data
Privacy Awareness Comic
Privacy Awareness Video
Video about Transparency
Transparency Awareness Website
Transparency Awareness Mobile
App
Advertising Companies graph
Privacy Transparency label
Customizable Privacy Transparency
label
ACT privacy dashboard
![Page 88: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/88.jpg)
Example:
![Page 89: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/89.jpg)
Example:
![Page 90: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/90.jpg)
Example:
![Page 91: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/91.jpg)
![Page 92: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/92.jpg)
Control
Granulaire controle geven aan de gebruiker over wat er met de data
mag gebeuren
Informed Consent
Privacy Dashboard
Sticky policies
![Page 93: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/93.jpg)
ISO JTC SC27 family of privacy standards
IS
29134
4th WD
IS
29190
1st CD
IS
29100
:2011
Managem
ent
Fra
mew
ork
Contr
ols
IS
27018
:2014
IS
291513rd WD
IS
27002
:2013
IS
29191
:2012
IS
29101
:2013
Privacy
Framework
Privacy Impact
Assessment –
Methodology
Privacy Capability
Maturity Model
Privacy
Architecture
Framework
Code of Practice for
PII protection in
public clouds
acting as PII processors
Code of
practice for
PII protection
Code of
practice for
info. sec.
management
Req. for
partially anony-
mous, partially
unlinkable authent.
WG 5
SD2
Privacy
Reference List
(freely available)
Technolo
gy
http://www.jtc1sc27.din.de/
![Page 94: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/94.jpg)
Vooruitblik
![Page 95: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/95.jpg)
Vooruitblik
Conclusies vandaag:
Er zijn wel een aantal uitdagingen
Soms juridisch
Soms technisch
Vaak: vertaling van juridisch naar technisch en compliance
![Page 96: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/96.jpg)
Vooruitblik
Nu is vaak adequate beveliging van persoonsgegevens nog de
gekozen weg
Verordening gaat accountability centraal stellen
Wat kunnen we daar nu al mee doen?
![Page 97: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/97.jpg)
Vooruitblik
Samenstellen van een privacy bijsluiter
Gericht op beknopte informatieverschaffing
In de app-store
Transparantie bieden, vertrouwen scheppen
![Page 98: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/98.jpg)
Vooruitblik
Oplossingen om privacybeleid naar concrete implementatievereisten
te vertalen
Privacy by Design
Om accountability aan te tonen
In de vorm van?
Technische tools
Vertaalmodel
Praktische guidelines
…
…
![Page 99: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/99.jpg)
Privacy Design Patterns voor apps
Verzamelen en opschrijven van de best practices
Specifiek voor privacy:
welke oplossingen werken het best, hoe ontwerp je dat, hoe
implementeer je dat?
In de vorm van software design patterns
![Page 100: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/100.jpg)
Mogelijkheid voor technologiecluster
Gezamenlijke vraag over concrete toepassing van een technologie
of gerelateerde oplossing
Deelname van (minimaal) 5 MKB bedrijven, die ook een specifieke
case kunnen inbrengen
Resultaten verspreiden onder minimaal 20 MKB bedrijven
![Page 101: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/101.jpg)
Mogelijkheid voor technologiecluster
Deelnemende bedrijven betalen gezamelijk 10% van prijs van het
onderzoek (bijv. 1-2k/bedrijf, bij meerdere bedrijven lagere prijs per
bedrijf)
Dat wordt aangevuld met onderzoeksgelden
Totale omvang technologiecluster is maximaal 50k
Totale doorlooptijd onderzoek is maximaal 6 maanden
![Page 102: Technology Update: Hoe privacy proof is jouw app?(2)](https://reader033.fdocuments.in/reader033/viewer/2022060121/5594c3311a28ab8b3d8b463e/html5/thumbnails/102.jpg)
Hartelijk dank en graag tot ziens!
Arnold Roosendaal ([email protected])
Johanneke Siljee ([email protected])