際際滷

際際滷Share a Scribd company logo

Brunel-Whitepaper-Apps-privacywetgeving 1072014

F
Frank Del Gatto
1 of 16
Download to read offline
Where piracy meets privacy Populaire apps in strijd met privacywetgeving Brunel, mei 2014
2 Quick scan Brunel: Populaire apps in strijd met privacywetgeving
3 Management summary 4 Inleiding 5 1. Wetgeving en richtlijnen 6 2. Resultaten 9 3. Conclusie 11 4. Aanbevelingen 12 5. Bijlage 13 6. Over Brunel 14 Inhoud
4 Management summary Bij de ontwikkeling van apps voor smartphones, tablets en smart-TVs zijn meerdere partijen betrokken. Alle partijen, zowel verantwoorde- lijke(n) als bewerkers van persoonsgegevens, moeten voldoen aan de geldende privacy- wetgeving. Uit een quick scan van Brunel blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Bij de top 25 gratis apps uit Nederland blijkt onder meer dat 88 procent van de onderzochte apps niet of onvoldoende transparant is over de verwerking van persoonsgegevens. Gebruikers weten niet waarvoor hun gegevens worden verzameld en bij wie deze terechtkomen. Om aan de geldende wet- en regelgeving te voldoen, dienen app- ontwikkelaars, al dan niet in opdracht van een opdrachtgever, privacy by design toe te passen. Al bij aanvang van het ontwikkelingsproces van de app moet rekening worden gehouden met de verplichtingen op grond van de wet, zoals volledige transparantie over verwerking van persoonsgegevens, toestemming van de gebruiker en beveiliging van persoonsgegevens. Privacy by design draagt bij aan waarborging van de privacy van de gebruikers van apps en daarmee aan het vertrouwen van de gebruikers en commerci谷le succes.
5 Inleiding Apps zijn niet meer weg te denken uit het dage- lijkse leven. Ze maken het leven gemakkelijker, maar ze verzamelen ook grote hoeveelheden persoonsgegevens zoals contactinformatie, fotos en locatiegegevens. Met die data kunnen app-ontwikkelaars en/of hun opdrachtgevers namelijk nieuwe diensten aanbieden. De Engelse privacy-waakhond ICO heeft in 2013 een enqu棚te uitgevoerd waaruit bleek dat 62 procent van de gebruikers van apps zich toch enige zorgen maakt over de privacy en 49 procent daarvan ziet zelfs af van het downloaden. Dat betekent dat de verantwoor- delijke partijen zoals app-ontwikkelaars, klanten mislopen doordat ze niet transparant zijn over het gebruik van gegevens. Zowel juridisch als commercieel gezien is het in het belang van de verantwoordelijke om te voldoen aan wet- en regelgeving. Partijen die hier geen gevolg aan geven, lopen afgezien van risicos op boetes en dwangsommen een achterstand op qua betrouwbaarheid en daarmee ook op het commerci谷le succes. Uit de praktijk blijkt dat gebruikers van een app vaak onvoldoende ge誰nformeerd worden over het gebruik van persoonsgegevens op de smartphone en tablet. Een duidelijke Privacy Policy ontbreekt vaak en ook de beveiligings- maatregelen zijn niet altijd op orde. Zo moeten bijvoorbeeld persoonsgegevens die over het internet worden verstuurd, versleuteld zijn. Dat gebeurt niet altijd. Als dienstverlener op het gebied van onder andere Legal, IT en Marketing & Communicatie heeft Brunel een quick scan uitgevoerd onder de top 25 gratis apps van Nederlandse bedrijven. In dit rapport wordt verslag gedaan van de quick scan: in hoeverre voldoen de 25 apps aan de privacywetgeving?
6 1. Wetgeving en richtlijnen Ontwikkelaars en providers die apps aanbieden aan Nederlandse gebruikers, dienen zich te houden aan de Nederlandse privacywetgeving. De verplichtingen staan in de Wet bescherming persoonsgegevens en de Telecommunicatiewet. Deze wetgeving is gebaseerd op de Europese Privacy Richtlijn en E-Privacy Richtlijn. 1 Verantwoordelijke is de partij die bepaalt wat er met de persoonsgegevens gebeurt. Hij stelt de doelen vast van het gebruik van persoonsgegevens. Hij kan daarvoor instructies geven aan een derde partij die in zijn opdracht persoonsgegevens verwerkt (de bewerker). Een app- ontwikkelaar kan dus zowel verantwoor- delijke zijn maar ook werken in opdracht van een andere partij als bewerker waarbij hij niet zelfstandig persoonsgegevens voor eigen doelen verwerkt. Een greep uit de eisen voor Nederlandse app-ontwikkelaars: De gebruiker moet altijd volledig worden ge誰nformeerd over het exacte gebruik van persoonsgegevens. Wat gebeurt er met de verzamelde data? Verantwoordelijken1 dienen aan de gebruiker toestemming te vragen voor het verzamelen van persoonsgegevens. Dit mag niet via de Algemene Gebruiksvoorwaarden, maar dient voor ieder onderdeel, voor ieder gebruiksdoel vooraf apart te worden geformuleerd en door de gebruiker goedgekeurd te zijn. Deze zogeheten granular consent houdt in dat wanneer bijvoorbeeld opt-in is vereist, de verantwoordelijke daar apart toestemming voor dient te vragen en de gebruiker het desbetreffende gebruiksdoel dient aan te vinken om akkoord te gaan. Gebruiksdoelen moeten helder zijn en mogen niet tussentijds zonder toestemming van de gebruiker worden gewijzigd. Gebruiker moet tussentijds toestemming kunnen intrekken. Verzamelde persoonsgegevens worden dan verwijderd en de app wordt gede誰nstalleerd. Verantwoordelijke van de persoonsgegevens mag niet meer gegevens verzamelen dan nodig is voor zijn gebruiksdoel. De beveiliging van persoonsgegevens moet zowel organisatorisch als technisch passend zijn conform de Wet bescherming persoonsgegevens en Richtsnoeren van het CBP. De privacyverklaring moet leesbaar en begrijpelijk zijn voor de gebruiker. Apps voor kinderen dienen aan meer voorwaarden te voldoen. Bij kinderen onder de 13 jaar geven ouders toestemming (dit dient te worden opgenomen in de Gebruiksvoorwaarden) en moet de informatie over gebruik van persoonsgegevens eenvoudig zijn.
7 Twee voorbeelden uit de dagelijkse praktijk Een Amerikaanse app-ontwikkelaar ontwikkelt in opdracht van een Nederlandse telecomprovider een nieuwe app. De Amerikaanse partij is Safe Harbor gecertificeerd en ondertekent een bewerkersovereenkomst. Gaandeweg het proces blijkt de Amerikaanse partij de beschikking te willen krijgen over alle data om zelfstandig analyses te doen in opdracht van derde partijen zoals advertentiebureaus. Binnen de sales- en marketingafdeling van het telecombedrijf is nog niet duidelijk voor welke doelen de persoons- en verkeersgegevens worden verwerkt. Er blijken veel mogelijk足heden maar de definitieve toepassing wordt nog niet vastgesteld. Als de app bijna gebruiksklaar is en net voordat een pilot van start gaat wordt Legal gevraagd om advies over de noodzakelijke opt in- en opt out vereisten en het opstellen van gebruiksvoorwaarden. Daar blijkt dat een granular opt in voor gebruik van bepaalde verkeersgegevens technisch gezien niet meer zo makkelijk kan worden ingebouwd. Het blijkt dat het originele design hier geen rekening mee heeft gehouden. De pilot wordt on hold gezet en partijen beraden zich over de exacte gebruiksdoelen en de rol van de app-ontwikkelaar als bewerker. Dit leidt dus uiteindelijk tot vertraging en extra kosten. WhatsApp Inc voldeed niet aan de privacy-wetgeving Een ander voorbeeld betreft WhatsApp Inc. Het CBP en de Canadese privacy toezichthouder hebben gezamenlijk onderzoek gedaan naar WhatsApp. Deze Amerikaanse partij hield zich niet aan de Europese en Canadese privacy wetgeving. Zo werden data van inactieve gebruikers door WhatsApp te lang bewaard. Daarnaast had WhatsApp toegang tot de gehele telefoonlijst (ook van niet-WhatsApp-gebruikers!). Ook de beveiliging van data was niet op orde. WhatsApp heeft na uitkomst van het rapport van het CBP en de Canadese toezichthouder beterschap beloofd en de nodige aanpassingen gedaan. Onlangs werd bekend dat WhatsApp is overgenomen door Facebook. Dit zal wellicht weer een hoop vragen oproepen ten aanzien van verzameling en toepassing van data. Europees en internationaal niveau Privacy van apps staat hoog op de internationale agenda. Zo publiceerde de Working Party 29 (de privacy-toezichthoud- ers van de EU) in februari 2013 een opiniestuk over het waarborgen van privacy bij de ontwikkeling van apps. Alle partijen die bij de ontwikkeling van een app betrokken zijn (zoals de ontwikkelaars en de app-store) dienen zich te houden aan de richtsnoeren die in de opinie van WP 29 genoemd zijn. Ook de Engelse toezichthouder ICO heeft een Guidance opgesteld. Dit document bevat praktische informatie voor app-ontwikkelaars. Tijdens de International Data Protection & Privacy Commis- sioners Conference eind september 2013 stond onder andere de appification of society centraal. Er werd gesproken over de uitdaging slim om te gaan met de enorme toename van apps en de privacy-perikelen die daarbij de kop op steken. Uit de conferenties, richtlijnen en wetgeving blijkt dat er op het gebied van mobile privacy nog veel winst te behalen valt. Toezichthouders hebben gedurende de conferentie met elkaar afgesproken de verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Desnoods zullen zij gezamenlijk handhavend optreden.
8 Overeenstemming 辿n tegenstrijdig Sommige apps zijn bijzonder ambigu in het naleven van de privacywetgeving, zo bewijst een app die gegevens bijhoudt van hardloopactiviteiten als locatie, snelheid, hartritme. De gebruiker kan data uploaden naar een cloud service, de resultaten delen met andere app-users en linken naar diverse socialmedia-sites. In overeenstemming met privacywetgeving In strijd met privacywetgeving Er is een icoon zichtbaar die aangeeft dat geo-locatieservices actief zijn. De kaart op het beginscherm toont dat locatiegegevens worden verwerkt. Er is een duidelijke startknop aanwezig die geactiveerd dient te worden voordat de data worden verzameld. Iconen geven duidelijk aan naar welke externe sites de data te uploaden is. Er is geen vooraf ingestelde verplichting om te uploaden. De gebruiker kan op eenvoudige wijze de privacy-settings zien en aanpassen. De gebruiker kan met een eenvoudige delete-knop bepaalde activiteiten verwijderen. Bij het installeren vraagt de app toestemming om een smsje te sturen. Er is geen uitleg waarom dat nodig zou zijn. Er is geen transparantie over het uploaden naar andere sites. De gebruiker kan met 辿辿n vraag beantwoorden of hij zijn hardloopactiviteiten openbaar wil maken. Als de gebruiker dit weer wil wijzigen, is moeilijk te vinden hoe hij dit kan uitzetten. IMEI-nummers (unique identifiers) zijn gelinkt aan de fitnessactiviteiten die worden ge端pload naar externe sites. Wanneer de gebruiker fitnessactiviteiten deelt, deelt hij ook automatisch de exacte locatie- gegevens. Dit is niet uit te zetten of te vervagen tot bijvoorbeeld de dichtstbijzijnde stad.
9 2. Resultaten Het merendeel (88 procent) beschikt wel over een Privacy-beleid, maar heeft in de app-store of in de app geen link naar het Privacy-beleid opgenomen. Er is zelfs 辿辿n app die helemaal geen privacy-voorwaarden vermeldt. Niet in de app-store, niet op de website van de verantwoordelijke en niet in de app zelf na het downloaden. 88% Om te onderzoeken hoe het gesteld is met de privacy van app-gebruikers is een quick scan uitgevoerd op de top 25 gratis apps van Nederlandse bedrijven (zie bijlage). De apps zijn beoordeeld op vier punten: Onderzocht is in hoeverre de verantwoordelijke (de app-ontwikkelaar) zich aan deze punten heeft gehouden. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? De gebruiker dient al in de app-store een duidelijke verwijzing te vinden naar het privacy-beleid van de verantwoordelijke. Slechts 8 procent van de onderzochte bedrijven geeft in het Privacy-beleid specifiek aan dat het Privacy Statement van toepassing is op de verwerking van persoonsgegeven in het kader van de app. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? 3. Op welke wijze geeft de gebruiker toestemming op opt out voor gebruik van zijn persoonsgegevens? 4. Heeft de verantwoordelijke zijn contactgegevens vermeld?
10 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? Het Privacy-beleid dient transparant te zijn; het dient duidelijk te maken met welk doel de persoonsgegevens wel en niet worden gebruikt. Dat kan bijvoorbeeld door aan te geven dat persoons- gegevens niet worden gedeeld met derde partijen of door te vermelden dat persoonsgegevens gebruikt kunnen worden voor onderzoeksdoeleinden. Bijna alle onderzochte apps (88 pro- cent) blijken niet of niet voldoende transparant. In die gevallen is niet duidelijk welke derde partijen de beschikking krijgen over persoonsgegevens of voor welke doeleinden de persoons- gegevens worden gebruikt. In 40 procent van de gevallen scoort de verantwoordelijke qua transparantie over zowel het doeleinde als de doorgifte naar derde partijen negatief. Meer- dere bedrijven (48 procent) geven een zeer algemene doelom- schrijving in de Privacy Statement. Ze stellen dan bijvoorbeeld dat persoonsgegevens worden verwerkt ten behoeve van de app, maar ook voor hun dochtermaatschappijen. Die activiteiten kunnen erg afwijken van de doelomschrijving van de app zelf. 56% van diverse bedrijven geven In het Privacybeleid aan dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks iets terug te vinden van Privacy Settings. 24% van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics. 12%Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt 3. Op welke wijze geeft de gebruiker toestemming opt in -opt out voor gebruik van zijn persoonsgegevens? Opvallend is dat alle apps nauwelijks tot geen granular choice aanbieden. Gebruikers moeten veelal akkoord gaan met een privacyverklaring die een hele reeks al dan niet opgesomde gebruiksdoeleinden bevat. De vraag is dan ook om welke persoonsgegevens het gaat. Als er al een doelomschrijving is, is vaak niet kenbaar gemaakt voor welke verwerking van persoonsgegevens de gebruiker wel of geen toestemming geeft. Kortom: de gebruiker weet niet waar hij toestemming voor verleent. Het is niet geoorloofd om toestemming via de akkoord- verklaring op de algemene voorwaarden of Privacy Statement te verkrijgen. Daar waar krachtens de wet opt-in is vereist, dient de gebruiker daadwerkelijk actief zijn toestemming te verlenen. In het Privacybeleid van diverse bedrijven (56 procent) is wel aangeven dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks nog iets terug te vinden van Privacy Settings (aan-uit) voor de gebruiker. Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt. Dit is in strijd met privacywetgeving. Bij gebruik van locatiegegevens, links naar social media en cookies - anders dan functionele en analy- tische cookies moet actief toestemming worden gegeven door gebruiker. 24 procent van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics.
11 4. Heeft de verantwoordelijke zijn contactgegevens vermeld? De verantwoordelijke is verplicht contactgegevens te vermelden, zodat de gebruiker weet tot wie hij zich kan wenden om zijn rechten uit te oefenen op grond van de privacywetgeving. Alle verantwoordelijken voldoen hier aan. Een app vermeldt echter geen link vanuit de app-store naar contactgegevens en op de website zijn de contactgegevens moeilijk te vinden. 3. Conclusie Uit de quick scan van de top 25 gratis Nederlandse apps blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Met name op het gebied van transparantie en toestemmingsvereisten voldoen verantwoordelijken niet altijd aan de wet- en regelgeving. Zo is 88 procent niet transparant over het verwerken van persoonsgegevens. Een gebruiker weet vaak niet waar hij toestemming voor geeft omdat hij onvoldoende en niet specifiek genoeg wordt ge誰nformeerd over het gebruik van zijn persoonsgegevens (welke persoonsgegevens worden voor welk doel bewaard, door welke partijen worden de gegevens bewaard). Het Privacy Statement voldoet ook zelden aan de wettelijke richtsnoeren. In de app-store ontbreekt vaak een verwijzing naar het Privacy Statement en in slechts 8 procent van de gevallen heeft het Privacy Statement specifiek betrekking op de app. Op 辿辿n punt scoren de apps allemaal goed: alle verantwoordelijken vermelden, zoals de wet het voorschrijft, hun contactgegevens. 100% @
12 4. Aanbevelingen Bij een goede app is de gebruiker in control. Dat wil zeggen dat de app transparant is over het hoe en waarom van het bewaren van gebruikersgegevens. Om aan alle privacywetgeving te voldoen, dient de ontwikkelaar al bij de eerste ontwikkelingsfase privacy mee te nemen. In een vroeg stadium moet dus al worden bedacht wat de ontwikkelaar wil met de app, wat de doeleinden zijn en welke gegevens daarvoor nodig zijn. Zo wordt voorkomen dat de gebruiker straks geen toestemming heeft gegeven voor een bepaalde verwerking. Privacy by design is het sleutelwoord om een app privacy compliant te maken. Wet- en regelgeving dienen onderdeel te zijn van het design aan het begin van het proces. Dit voorkomt vertraging in de planning en onnodige kosten. Hieronder een aantal tips voor het werken volgens privacy by design: Maak gebruik van een Privacy Impact Assessment in de eerste ontwikkelingsfase. Dit betreft een uitgebreide vragenlijst en checklist waarmee privacy-risicos in kaart worden gebracht, noodzakelijke maatregelen worden genomen en aanbevelingen worden gedaan om te voldoen aan privacywet- en regelgeving. In sommige gevallen is het twijfelachtig of bepaalde gegevens beschouwd moeten worden als persoonsgegevens (bijvoorbeeld een MAC-adres). Bij twijfel is het verstandig om de gegevens te behandelen als persoonsgegevens. Ontwikkelaars moeten weten of zij als verantwoordelijke worden beschouwd. Door de bank genomen geldt de regel dat wie het beleid omtrent de persoonsgegevens bepaalt, als verantwoordelijke gezien wordt. Stel een goed beleid op waarin is vastgelegd welke persoonsgegevens er met welk doel worden verzameld. Bovenmatige verzameling van data is in strijd met de wet. Stel ook bewaartermijnen vast. Verwerk alleen die persoonsgegevens die in overeenstemming zijn voor het doel. Werk aan minimalisatie. Wanneer fotos worden opgeslagen op een centrale server, zorg er dan voor dat onnodige metadata (datum, locatie, etc.) wordt gestript. Download dus niet meer gegevens dan nodig is voor het gebruik van de app. Wees extra alert als het gaat om kinderen. Gebruikers moeten het recht hebben om de gegevens permanent te laten vernietigen. Minimaliseer en anonimiseer daar waar mogelijk. De privacy-policy hoeft niet als een lap tekst te worden opgenomen, maar kan ook op manieren worden aangeboden die meer passend en gebruiksvriendelijk zijn bij gebruik van het touchscreen van de smartphone of Tablet (layered approach). Praktische tips voor het schrijven van een Privacy Policy: Eenvoudige en begrijpelijke taal als de app voor kinderen is bedoeld. Volledige transparantie over gebruik van data is cruciaal. Niet alleen uitleggen welke data wordt gebruikt maar ook waarom. Informatie over gebruik van persoonsgegevens moet worden aangeboden voordat de gebruiker de app downloadt, maar voorkom het dubbel aanbieden van informatie. Aangeven wat de verantwoordelijke niet doet met bepaalde data kan ook heel verhelderend zijn. Zet een duidelijk contactadres op de pagina van de app- store. De gebruiker heeft op basis van de Wet bescherming persoonsgegevens een inzagerecht en kan daartoe een verzoek indienen. Het is aan te bevelen de gebruiker een granular choice aan te bieden. Dit betekent dus per gebruiksdoel de gebruiker informeren en om toestemming vragen. Zorg voor encryptie indien passwords, gebruikersnamen en unieke ID-nummers worden verwerkt.
13 5. Bijlage Top 25 apps (eerste week april 2014) In willekeurige volgorde: 1. Veilig Verkeer Nederland 2. De Bijenkorf for I Pad 3. Weet ik veel (spel van RTL) 4. Consumentenbond Kiosk 5. Ziggo tv 6. NOS 7. Rabo bankieren 8. NPO Nieuws 9. ING bankieren 10. Allerhande koken 11. Telegraaf krant 12. Vakantieveilingen 13. KPN i TV online 14. NS Reisplanner 15. De telegraaf nieuws 16. Funda 17. Buienradar 18. KLM for i Pad 19. RTL XL 20. Weeronline HD 21. Marktplaats 22. Horizon TV (UPC) 23. Nu.nl 24. GTST Quiz 25. SBS 6
14 6. Over Brunel Brunel is een wereldwijde zakelijke dienstverlener gespecialiseerd in projectmanagement, detachering en consultancy in de vakgebieden Engineering, IT, Legal, Finance, Marketing & Communicatie en alle disciplines in de olie- en gasindustrie. Sinds haar oprichting in 1975 heeft Brunel zich ontwikkeld tot een internationale groep met ruim 13.000 medewerkers en een jaaromzet van bijna 1,3 miljard euro (2013). Brunel opereert vanuit een eigen internationaal netwerk met 109 kantoren in 40 landen. Brunel International NV is genoteerd aan Euronext Amsterdam NV en opgenomen in de Amsterdam Midkap Index (AMX). Engineering Life Sciences & Healthcare Marcom Finance Legal & HR IT 13.000 specialisten Projectmanagement, Detachering en Consultancy miljard 1,3 in 2013: Omzet
15 Canada United States of America Russia Kazachstan Poland Denmark Libya Italy Germany Qatar Iraq Kuwait Kingdom of Saudi Arabi Chad United Arab Emirates Sultanate of Oman Nigeria Cameroon Spain Angola Brazil United Kingdom India China The Netherlands France Singapore Indonesia Malaysia JapanSouth Korea Philippines Papua New Guinea Australia Thailand Austria Czech Republic Switzerland Belgium New Zealand Norway Meer da 10.00 m wereldw 97 kant 34 land Meer da actieve ervaring Omzet EUR 1,2 in 2012 40 Landen 6 Continenten 109 kantoren 109 Branches Oil, Gas & Mining Industry Services Infrastructure Insurance & Banking Life Sciences & Healthcare
Brunel-Whitepaper-Apps-privacywetgeving 1072014

Recommended

Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
Media Perspectives
SO SOU Kladno Dubsk叩 - pedstaven鱈 邸koly
SO SOU Kladno Dubsk叩 - pedstaven鱈 邸kolySO SOU Kladno Dubsk叩 - pedstaven鱈 邸koly
SO SOU Kladno Dubsk叩 - pedstaven鱈 邸koly
drahokoupil
Statistical Process Control - utilizzo dei funnel plot per il confronto tra i...
Statistical Process Control - utilizzo dei funnel plot per il confronto tra i...Statistical Process Control - utilizzo dei funnel plot per il confronto tra i...
Statistical Process Control - utilizzo dei funnel plot per il confronto tra i...
Elena Nannipieri
Gi畛i thi畛u kh坦a h畛c
Gi畛i thi畛u kh坦a h畛cGi畛i thi畛u kh坦a h畛c
Gi畛i thi畛u kh坦a h畛c
Ti畛u Ng動 Nhi
Brunel_Marktvisie_Marketing_2016_HR
Brunel_Marktvisie_Marketing_2016_HRBrunel_Marktvisie_Marketing_2016_HR
Brunel_Marktvisie_Marketing_2016_HR
Frank Del Gatto
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers webBenchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Benchmarkonderzoek Inbraakpreventie mobiele medewerkers web
Irma Schaap
AVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishersAVG compliance in zeven checks - voor devs en publishers
AVG compliance in zeven checks - voor devs en publishers
Olivier Oosterbaan
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Richard Claassens CIPPE
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
Gezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGezondheidsapps, een overzicht
Gezondheidsapps, een overzicht
Gene Vangampelaere
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
Huub de Jong
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Henk Fernald
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima forma
CTB xRM
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobePresentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Het Organisatieteam
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
Wim Strik
Strategische App Ontwikkeling
Strategische App OntwikkelingStrategische App Ontwikkeling
Strategische App Ontwikkeling
Arnd Brugman
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Plek
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?
Thei Geurts
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhoven
Etienne Martens
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
Harry Heijligers, PMP NLP
eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 eFocus kennissessie trends 2011
eFocus kennissessie trends 2011
Valtech
eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011
Jasper Leunk
eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011
Sebastiaan Bode
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DDMA
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Hessel van Tuinen
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
Ann Steyaert

More Related Content

Similar to Brunel-Whitepaper-Apps-privacywetgeving 1072014 (20)

De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
Gezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGezondheidsapps, een overzicht
Gezondheidsapps, een overzicht
Gene Vangampelaere
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
Huub de Jong
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Henk Fernald
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima forma
CTB xRM
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobePresentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Het Organisatieteam
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
Wim Strik
Strategische App Ontwikkeling
Strategische App OntwikkelingStrategische App Ontwikkeling
Strategische App Ontwikkeling
Arnd Brugman
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Plek
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?
Thei Geurts
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhoven
Etienne Martens
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
Harry Heijligers, PMP NLP
eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 eFocus kennissessie trends 2011
eFocus kennissessie trends 2011
Valtech
eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011
Jasper Leunk
eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011
Sebastiaan Bode
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DDMA
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Hessel van Tuinen
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
Ann Steyaert
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
Gezondheidsapps, een overzicht
Gezondheidsapps, een overzichtGezondheidsapps, een overzicht
Gezondheidsapps, een overzicht
Gene Vangampelaere
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
Huub de Jong
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
Henk Fernald
Benchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima formaBenchmark rapport 2014 - Projectinformatie in optima forma
Benchmark rapport 2014 - Projectinformatie in optima forma
CTB xRM
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - AdobePresentatie AppGarage - Pieter van Helvoirt - Adobe
Presentatie AppGarage - Pieter van Helvoirt - Adobe
Het Organisatieteam
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
avg-presentatie-yoostock
avg-presentatie-yoostockavg-presentatie-yoostock
avg-presentatie-yoostock
Wim Strik
Strategische App Ontwikkeling
Strategische App OntwikkelingStrategische App Ontwikkeling
Strategische App Ontwikkeling
Arnd Brugman
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Weg met WhatsApp - Waarom WhatsApp ongeschikt is voor zakelijke communicatie ...
Plek
De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?De kenniseconomie: fictie of werkelijkheid?
De kenniseconomie: fictie of werkelijkheid?
Thei Geurts
Presentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhovenPresentatie 14 april 2018 joomladagen eindhoven
Presentatie 14 april 2018 joomladagen eindhoven
Etienne Martens
GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18GDPR - Presentatie - 2015-07-18
GDPR - Presentatie - 2015-07-18
Harry Heijligers, PMP NLP
eFocus kennissessie trends 2011
eFocus kennissessie trends 2011 eFocus kennissessie trends 2011
eFocus kennissessie trends 2011
Valtech
eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011eFocus Kennissessie Trends 2011
eFocus Kennissessie Trends 2011
Jasper Leunk
eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011eFocus Kennissessie - Online Trends 2011
eFocus Kennissessie - Online Trends 2011
Sebastiaan Bode
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DM Barometer - Special: Privacy in de marketingbranche (2010 Q2)
DDMA
KPN Cloud - whitepaper
KPN Cloud - whitepaperKPN Cloud - whitepaper
KPN Cloud - whitepaper
KPNZorg
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Lrkc invloedvanmobieleappsophetleefritmeinnederland-111025083235-phpapp02
Hessel van Tuinen
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
20110926 onderzoek 8_invloed_van_mobiele_apps_op_het_leefritme_in_nederland
Ann Steyaert

Brunel-Whitepaper-Apps-privacywetgeving 1072014

  • 1. Where piracy meets privacy Populaire apps in strijd met privacywetgeving Brunel, mei 2014
  • 2. 2 Quick scan Brunel: Populaire apps in strijd met privacywetgeving
  • 3. 3 Management summary 4 Inleiding 5 1. Wetgeving en richtlijnen 6 2. Resultaten 9 3. Conclusie 11 4. Aanbevelingen 12 5. Bijlage 13 6. Over Brunel 14 Inhoud
  • 4. 4 Management summary Bij de ontwikkeling van apps voor smartphones, tablets en smart-TVs zijn meerdere partijen betrokken. Alle partijen, zowel verantwoorde- lijke(n) als bewerkers van persoonsgegevens, moeten voldoen aan de geldende privacy- wetgeving. Uit een quick scan van Brunel blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Bij de top 25 gratis apps uit Nederland blijkt onder meer dat 88 procent van de onderzochte apps niet of onvoldoende transparant is over de verwerking van persoonsgegevens. Gebruikers weten niet waarvoor hun gegevens worden verzameld en bij wie deze terechtkomen. Om aan de geldende wet- en regelgeving te voldoen, dienen app- ontwikkelaars, al dan niet in opdracht van een opdrachtgever, privacy by design toe te passen. Al bij aanvang van het ontwikkelingsproces van de app moet rekening worden gehouden met de verplichtingen op grond van de wet, zoals volledige transparantie over verwerking van persoonsgegevens, toestemming van de gebruiker en beveiliging van persoonsgegevens. Privacy by design draagt bij aan waarborging van de privacy van de gebruikers van apps en daarmee aan het vertrouwen van de gebruikers en commerci谷le succes.
  • 5. 5 Inleiding Apps zijn niet meer weg te denken uit het dage- lijkse leven. Ze maken het leven gemakkelijker, maar ze verzamelen ook grote hoeveelheden persoonsgegevens zoals contactinformatie, fotos en locatiegegevens. Met die data kunnen app-ontwikkelaars en/of hun opdrachtgevers namelijk nieuwe diensten aanbieden. De Engelse privacy-waakhond ICO heeft in 2013 een enqu棚te uitgevoerd waaruit bleek dat 62 procent van de gebruikers van apps zich toch enige zorgen maakt over de privacy en 49 procent daarvan ziet zelfs af van het downloaden. Dat betekent dat de verantwoor- delijke partijen zoals app-ontwikkelaars, klanten mislopen doordat ze niet transparant zijn over het gebruik van gegevens. Zowel juridisch als commercieel gezien is het in het belang van de verantwoordelijke om te voldoen aan wet- en regelgeving. Partijen die hier geen gevolg aan geven, lopen afgezien van risicos op boetes en dwangsommen een achterstand op qua betrouwbaarheid en daarmee ook op het commerci谷le succes. Uit de praktijk blijkt dat gebruikers van een app vaak onvoldoende ge誰nformeerd worden over het gebruik van persoonsgegevens op de smartphone en tablet. Een duidelijke Privacy Policy ontbreekt vaak en ook de beveiligings- maatregelen zijn niet altijd op orde. Zo moeten bijvoorbeeld persoonsgegevens die over het internet worden verstuurd, versleuteld zijn. Dat gebeurt niet altijd. Als dienstverlener op het gebied van onder andere Legal, IT en Marketing & Communicatie heeft Brunel een quick scan uitgevoerd onder de top 25 gratis apps van Nederlandse bedrijven. In dit rapport wordt verslag gedaan van de quick scan: in hoeverre voldoen de 25 apps aan de privacywetgeving?
  • 6. 6 1. Wetgeving en richtlijnen Ontwikkelaars en providers die apps aanbieden aan Nederlandse gebruikers, dienen zich te houden aan de Nederlandse privacywetgeving. De verplichtingen staan in de Wet bescherming persoonsgegevens en de Telecommunicatiewet. Deze wetgeving is gebaseerd op de Europese Privacy Richtlijn en E-Privacy Richtlijn. 1 Verantwoordelijke is de partij die bepaalt wat er met de persoonsgegevens gebeurt. Hij stelt de doelen vast van het gebruik van persoonsgegevens. Hij kan daarvoor instructies geven aan een derde partij die in zijn opdracht persoonsgegevens verwerkt (de bewerker). Een app- ontwikkelaar kan dus zowel verantwoor- delijke zijn maar ook werken in opdracht van een andere partij als bewerker waarbij hij niet zelfstandig persoonsgegevens voor eigen doelen verwerkt. Een greep uit de eisen voor Nederlandse app-ontwikkelaars: De gebruiker moet altijd volledig worden ge誰nformeerd over het exacte gebruik van persoonsgegevens. Wat gebeurt er met de verzamelde data? Verantwoordelijken1 dienen aan de gebruiker toestemming te vragen voor het verzamelen van persoonsgegevens. Dit mag niet via de Algemene Gebruiksvoorwaarden, maar dient voor ieder onderdeel, voor ieder gebruiksdoel vooraf apart te worden geformuleerd en door de gebruiker goedgekeurd te zijn. Deze zogeheten granular consent houdt in dat wanneer bijvoorbeeld opt-in is vereist, de verantwoordelijke daar apart toestemming voor dient te vragen en de gebruiker het desbetreffende gebruiksdoel dient aan te vinken om akkoord te gaan. Gebruiksdoelen moeten helder zijn en mogen niet tussentijds zonder toestemming van de gebruiker worden gewijzigd. Gebruiker moet tussentijds toestemming kunnen intrekken. Verzamelde persoonsgegevens worden dan verwijderd en de app wordt gede誰nstalleerd. Verantwoordelijke van de persoonsgegevens mag niet meer gegevens verzamelen dan nodig is voor zijn gebruiksdoel. De beveiliging van persoonsgegevens moet zowel organisatorisch als technisch passend zijn conform de Wet bescherming persoonsgegevens en Richtsnoeren van het CBP. De privacyverklaring moet leesbaar en begrijpelijk zijn voor de gebruiker. Apps voor kinderen dienen aan meer voorwaarden te voldoen. Bij kinderen onder de 13 jaar geven ouders toestemming (dit dient te worden opgenomen in de Gebruiksvoorwaarden) en moet de informatie over gebruik van persoonsgegevens eenvoudig zijn.
  • 7. 7 Twee voorbeelden uit de dagelijkse praktijk Een Amerikaanse app-ontwikkelaar ontwikkelt in opdracht van een Nederlandse telecomprovider een nieuwe app. De Amerikaanse partij is Safe Harbor gecertificeerd en ondertekent een bewerkersovereenkomst. Gaandeweg het proces blijkt de Amerikaanse partij de beschikking te willen krijgen over alle data om zelfstandig analyses te doen in opdracht van derde partijen zoals advertentiebureaus. Binnen de sales- en marketingafdeling van het telecombedrijf is nog niet duidelijk voor welke doelen de persoons- en verkeersgegevens worden verwerkt. Er blijken veel mogelijk足heden maar de definitieve toepassing wordt nog niet vastgesteld. Als de app bijna gebruiksklaar is en net voordat een pilot van start gaat wordt Legal gevraagd om advies over de noodzakelijke opt in- en opt out vereisten en het opstellen van gebruiksvoorwaarden. Daar blijkt dat een granular opt in voor gebruik van bepaalde verkeersgegevens technisch gezien niet meer zo makkelijk kan worden ingebouwd. Het blijkt dat het originele design hier geen rekening mee heeft gehouden. De pilot wordt on hold gezet en partijen beraden zich over de exacte gebruiksdoelen en de rol van de app-ontwikkelaar als bewerker. Dit leidt dus uiteindelijk tot vertraging en extra kosten. WhatsApp Inc voldeed niet aan de privacy-wetgeving Een ander voorbeeld betreft WhatsApp Inc. Het CBP en de Canadese privacy toezichthouder hebben gezamenlijk onderzoek gedaan naar WhatsApp. Deze Amerikaanse partij hield zich niet aan de Europese en Canadese privacy wetgeving. Zo werden data van inactieve gebruikers door WhatsApp te lang bewaard. Daarnaast had WhatsApp toegang tot de gehele telefoonlijst (ook van niet-WhatsApp-gebruikers!). Ook de beveiliging van data was niet op orde. WhatsApp heeft na uitkomst van het rapport van het CBP en de Canadese toezichthouder beterschap beloofd en de nodige aanpassingen gedaan. Onlangs werd bekend dat WhatsApp is overgenomen door Facebook. Dit zal wellicht weer een hoop vragen oproepen ten aanzien van verzameling en toepassing van data. Europees en internationaal niveau Privacy van apps staat hoog op de internationale agenda. Zo publiceerde de Working Party 29 (de privacy-toezichthoud- ers van de EU) in februari 2013 een opiniestuk over het waarborgen van privacy bij de ontwikkeling van apps. Alle partijen die bij de ontwikkeling van een app betrokken zijn (zoals de ontwikkelaars en de app-store) dienen zich te houden aan de richtsnoeren die in de opinie van WP 29 genoemd zijn. Ook de Engelse toezichthouder ICO heeft een Guidance opgesteld. Dit document bevat praktische informatie voor app-ontwikkelaars. Tijdens de International Data Protection & Privacy Commis- sioners Conference eind september 2013 stond onder andere de appification of society centraal. Er werd gesproken over de uitdaging slim om te gaan met de enorme toename van apps en de privacy-perikelen die daarbij de kop op steken. Uit de conferenties, richtlijnen en wetgeving blijkt dat er op het gebied van mobile privacy nog veel winst te behalen valt. Toezichthouders hebben gedurende de conferentie met elkaar afgesproken de verschillende spelers in de app-industrie aan te spreken en te wijzen op hun verantwoordelijkheden. Desnoods zullen zij gezamenlijk handhavend optreden.
  • 8. 8 Overeenstemming 辿n tegenstrijdig Sommige apps zijn bijzonder ambigu in het naleven van de privacywetgeving, zo bewijst een app die gegevens bijhoudt van hardloopactiviteiten als locatie, snelheid, hartritme. De gebruiker kan data uploaden naar een cloud service, de resultaten delen met andere app-users en linken naar diverse socialmedia-sites. In overeenstemming met privacywetgeving In strijd met privacywetgeving Er is een icoon zichtbaar die aangeeft dat geo-locatieservices actief zijn. De kaart op het beginscherm toont dat locatiegegevens worden verwerkt. Er is een duidelijke startknop aanwezig die geactiveerd dient te worden voordat de data worden verzameld. Iconen geven duidelijk aan naar welke externe sites de data te uploaden is. Er is geen vooraf ingestelde verplichting om te uploaden. De gebruiker kan op eenvoudige wijze de privacy-settings zien en aanpassen. De gebruiker kan met een eenvoudige delete-knop bepaalde activiteiten verwijderen. Bij het installeren vraagt de app toestemming om een smsje te sturen. Er is geen uitleg waarom dat nodig zou zijn. Er is geen transparantie over het uploaden naar andere sites. De gebruiker kan met 辿辿n vraag beantwoorden of hij zijn hardloopactiviteiten openbaar wil maken. Als de gebruiker dit weer wil wijzigen, is moeilijk te vinden hoe hij dit kan uitzetten. IMEI-nummers (unique identifiers) zijn gelinkt aan de fitnessactiviteiten die worden ge端pload naar externe sites. Wanneer de gebruiker fitnessactiviteiten deelt, deelt hij ook automatisch de exacte locatie- gegevens. Dit is niet uit te zetten of te vervagen tot bijvoorbeeld de dichtstbijzijnde stad.
  • 9. 9 2. Resultaten Het merendeel (88 procent) beschikt wel over een Privacy-beleid, maar heeft in de app-store of in de app geen link naar het Privacy-beleid opgenomen. Er is zelfs 辿辿n app die helemaal geen privacy-voorwaarden vermeldt. Niet in de app-store, niet op de website van de verantwoordelijke en niet in de app zelf na het downloaden. 88% Om te onderzoeken hoe het gesteld is met de privacy van app-gebruikers is een quick scan uitgevoerd op de top 25 gratis apps van Nederlandse bedrijven (zie bijlage). De apps zijn beoordeeld op vier punten: Onderzocht is in hoeverre de verantwoordelijke (de app-ontwikkelaar) zich aan deze punten heeft gehouden. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? De gebruiker dient al in de app-store een duidelijke verwijzing te vinden naar het privacy-beleid van de verantwoordelijke. Slechts 8 procent van de onderzochte bedrijven geeft in het Privacy-beleid specifiek aan dat het Privacy Statement van toepassing is op de verwerking van persoonsgegeven in het kader van de app. 1. Is er een Privacy Statement opgenomen die betrekking heeft op gebruik van de app? 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? 3. Op welke wijze geeft de gebruiker toestemming op opt out voor gebruik van zijn persoonsgegevens? 4. Heeft de verantwoordelijke zijn contactgegevens vermeld?
  • 10. 10 2. Is de app voldoende transparant als het gaat om verwerking van persoonsgegevens en doorgifte naar derde partijen? Het Privacy-beleid dient transparant te zijn; het dient duidelijk te maken met welk doel de persoonsgegevens wel en niet worden gebruikt. Dat kan bijvoorbeeld door aan te geven dat persoons- gegevens niet worden gedeeld met derde partijen of door te vermelden dat persoonsgegevens gebruikt kunnen worden voor onderzoeksdoeleinden. Bijna alle onderzochte apps (88 pro- cent) blijken niet of niet voldoende transparant. In die gevallen is niet duidelijk welke derde partijen de beschikking krijgen over persoonsgegevens of voor welke doeleinden de persoons- gegevens worden gebruikt. In 40 procent van de gevallen scoort de verantwoordelijke qua transparantie over zowel het doeleinde als de doorgifte naar derde partijen negatief. Meer- dere bedrijven (48 procent) geven een zeer algemene doelom- schrijving in de Privacy Statement. Ze stellen dan bijvoorbeeld dat persoonsgegevens worden verwerkt ten behoeve van de app, maar ook voor hun dochtermaatschappijen. Die activiteiten kunnen erg afwijken van de doelomschrijving van de app zelf. 56% van diverse bedrijven geven In het Privacybeleid aan dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks iets terug te vinden van Privacy Settings. 24% van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics. 12%Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt 3. Op welke wijze geeft de gebruiker toestemming opt in -opt out voor gebruik van zijn persoonsgegevens? Opvallend is dat alle apps nauwelijks tot geen granular choice aanbieden. Gebruikers moeten veelal akkoord gaan met een privacyverklaring die een hele reeks al dan niet opgesomde gebruiksdoeleinden bevat. De vraag is dan ook om welke persoonsgegevens het gaat. Als er al een doelomschrijving is, is vaak niet kenbaar gemaakt voor welke verwerking van persoonsgegevens de gebruiker wel of geen toestemming geeft. Kortom: de gebruiker weet niet waar hij toestemming voor verleent. Het is niet geoorloofd om toestemming via de akkoord- verklaring op de algemene voorwaarden of Privacy Statement te verkrijgen. Daar waar krachtens de wet opt-in is vereist, dient de gebruiker daadwerkelijk actief zijn toestemming te verlenen. In het Privacybeleid van diverse bedrijven (56 procent) is wel aangeven dat in sommige gevallen opt in-vereist is. Maar vervolgens is in de app nauwelijks nog iets terug te vinden van Privacy Settings (aan-uit) voor de gebruiker. Bij 12 procent van de apps zijn vinkjes voor locatiegegevens, social media (Twitter) en cookie-instellingen vooraf al aangevinkt. Dit is in strijd met privacywetgeving. Bij gebruik van locatiegegevens, links naar social media en cookies - anders dan functionele en analy- tische cookies moet actief toestemming worden gegeven door gebruiker. 24 procent van de bedrijven vermeldt in hun Privacy Statement dat ze gebruik maken van Google Analytics.
  • 11. 11 4. Heeft de verantwoordelijke zijn contactgegevens vermeld? De verantwoordelijke is verplicht contactgegevens te vermelden, zodat de gebruiker weet tot wie hij zich kan wenden om zijn rechten uit te oefenen op grond van de privacywetgeving. Alle verantwoordelijken voldoen hier aan. Een app vermeldt echter geen link vanuit de app-store naar contactgegevens en op de website zijn de contactgegevens moeilijk te vinden. 3. Conclusie Uit de quick scan van de top 25 gratis Nederlandse apps blijkt dat de verantwoordelijken vaak wel enkele stappen hebben genomen om aan de wetgeving te voldoen, maar dat er nog wel het nodige te verbeteren valt. Met name op het gebied van transparantie en toestemmingsvereisten voldoen verantwoordelijken niet altijd aan de wet- en regelgeving. Zo is 88 procent niet transparant over het verwerken van persoonsgegevens. Een gebruiker weet vaak niet waar hij toestemming voor geeft omdat hij onvoldoende en niet specifiek genoeg wordt ge誰nformeerd over het gebruik van zijn persoonsgegevens (welke persoonsgegevens worden voor welk doel bewaard, door welke partijen worden de gegevens bewaard). Het Privacy Statement voldoet ook zelden aan de wettelijke richtsnoeren. In de app-store ontbreekt vaak een verwijzing naar het Privacy Statement en in slechts 8 procent van de gevallen heeft het Privacy Statement specifiek betrekking op de app. Op 辿辿n punt scoren de apps allemaal goed: alle verantwoordelijken vermelden, zoals de wet het voorschrijft, hun contactgegevens. 100% @
  • 12. 12 4. Aanbevelingen Bij een goede app is de gebruiker in control. Dat wil zeggen dat de app transparant is over het hoe en waarom van het bewaren van gebruikersgegevens. Om aan alle privacywetgeving te voldoen, dient de ontwikkelaar al bij de eerste ontwikkelingsfase privacy mee te nemen. In een vroeg stadium moet dus al worden bedacht wat de ontwikkelaar wil met de app, wat de doeleinden zijn en welke gegevens daarvoor nodig zijn. Zo wordt voorkomen dat de gebruiker straks geen toestemming heeft gegeven voor een bepaalde verwerking. Privacy by design is het sleutelwoord om een app privacy compliant te maken. Wet- en regelgeving dienen onderdeel te zijn van het design aan het begin van het proces. Dit voorkomt vertraging in de planning en onnodige kosten. Hieronder een aantal tips voor het werken volgens privacy by design: Maak gebruik van een Privacy Impact Assessment in de eerste ontwikkelingsfase. Dit betreft een uitgebreide vragenlijst en checklist waarmee privacy-risicos in kaart worden gebracht, noodzakelijke maatregelen worden genomen en aanbevelingen worden gedaan om te voldoen aan privacywet- en regelgeving. In sommige gevallen is het twijfelachtig of bepaalde gegevens beschouwd moeten worden als persoonsgegevens (bijvoorbeeld een MAC-adres). Bij twijfel is het verstandig om de gegevens te behandelen als persoonsgegevens. Ontwikkelaars moeten weten of zij als verantwoordelijke worden beschouwd. Door de bank genomen geldt de regel dat wie het beleid omtrent de persoonsgegevens bepaalt, als verantwoordelijke gezien wordt. Stel een goed beleid op waarin is vastgelegd welke persoonsgegevens er met welk doel worden verzameld. Bovenmatige verzameling van data is in strijd met de wet. Stel ook bewaartermijnen vast. Verwerk alleen die persoonsgegevens die in overeenstemming zijn voor het doel. Werk aan minimalisatie. Wanneer fotos worden opgeslagen op een centrale server, zorg er dan voor dat onnodige metadata (datum, locatie, etc.) wordt gestript. Download dus niet meer gegevens dan nodig is voor het gebruik van de app. Wees extra alert als het gaat om kinderen. Gebruikers moeten het recht hebben om de gegevens permanent te laten vernietigen. Minimaliseer en anonimiseer daar waar mogelijk. De privacy-policy hoeft niet als een lap tekst te worden opgenomen, maar kan ook op manieren worden aangeboden die meer passend en gebruiksvriendelijk zijn bij gebruik van het touchscreen van de smartphone of Tablet (layered approach). Praktische tips voor het schrijven van een Privacy Policy: Eenvoudige en begrijpelijke taal als de app voor kinderen is bedoeld. Volledige transparantie over gebruik van data is cruciaal. Niet alleen uitleggen welke data wordt gebruikt maar ook waarom. Informatie over gebruik van persoonsgegevens moet worden aangeboden voordat de gebruiker de app downloadt, maar voorkom het dubbel aanbieden van informatie. Aangeven wat de verantwoordelijke niet doet met bepaalde data kan ook heel verhelderend zijn. Zet een duidelijk contactadres op de pagina van de app- store. De gebruiker heeft op basis van de Wet bescherming persoonsgegevens een inzagerecht en kan daartoe een verzoek indienen. Het is aan te bevelen de gebruiker een granular choice aan te bieden. Dit betekent dus per gebruiksdoel de gebruiker informeren en om toestemming vragen. Zorg voor encryptie indien passwords, gebruikersnamen en unieke ID-nummers worden verwerkt.
  • 13. 13 5. Bijlage Top 25 apps (eerste week april 2014) In willekeurige volgorde: 1. Veilig Verkeer Nederland 2. De Bijenkorf for I Pad 3. Weet ik veel (spel van RTL) 4. Consumentenbond Kiosk 5. Ziggo tv 6. NOS 7. Rabo bankieren 8. NPO Nieuws 9. ING bankieren 10. Allerhande koken 11. Telegraaf krant 12. Vakantieveilingen 13. KPN i TV online 14. NS Reisplanner 15. De telegraaf nieuws 16. Funda 17. Buienradar 18. KLM for i Pad 19. RTL XL 20. Weeronline HD 21. Marktplaats 22. Horizon TV (UPC) 23. Nu.nl 24. GTST Quiz 25. SBS 6
  • 14. 14 6. Over Brunel Brunel is een wereldwijde zakelijke dienstverlener gespecialiseerd in projectmanagement, detachering en consultancy in de vakgebieden Engineering, IT, Legal, Finance, Marketing & Communicatie en alle disciplines in de olie- en gasindustrie. Sinds haar oprichting in 1975 heeft Brunel zich ontwikkeld tot een internationale groep met ruim 13.000 medewerkers en een jaaromzet van bijna 1,3 miljard euro (2013). Brunel opereert vanuit een eigen internationaal netwerk met 109 kantoren in 40 landen. Brunel International NV is genoteerd aan Euronext Amsterdam NV en opgenomen in de Amsterdam Midkap Index (AMX). Engineering Life Sciences & Healthcare Marcom Finance Legal & HR IT 13.000 specialisten Projectmanagement, Detachering en Consultancy miljard 1,3 in 2013: Omzet
  • 15. 15 Canada United States of America Russia Kazachstan Poland Denmark Libya Italy Germany Qatar Iraq Kuwait Kingdom of Saudi Arabi Chad United Arab Emirates Sultanate of Oman Nigeria Cameroon Spain Angola Brazil United Kingdom India China The Netherlands France Singapore Indonesia Malaysia JapanSouth Korea Philippines Papua New Guinea Australia Thailand Austria Czech Republic Switzerland Belgium New Zealand Norway Meer da 10.00 m wereldw 97 kant 34 land Meer da actieve ervaring Omzet EUR 1,2 in 2012 40 Landen 6 Continenten 109 kantoren 109 Branches Oil, Gas & Mining Industry Services Infrastructure Insurance & Banking Life Sciences & Healthcare
AboutCopyright
息 2025 際際滷