Op maandag 2 december organiseerden we voor de eerste keer een Technology Update samen met TNO. In één middag bijgepraat over een nieuwe, actuele ontwikkeling. Na vragen uit het netwerk over hoe om te gaan met de privacy van je gebruikers in je apps stond de eerste Technology Update volledig in het teken van privacy in apps. Hoe privacy-proof is jouw app, aan welke regels moet je voldoen en welke tools bestaan er al?
De bijeenkomst begon met een serie prikkelende stellingen waar de deelnemers via een stemkastje eens of oneens op konden stemmen. De stellingen, die som wat breed en ongenuanceerd waren, zorgden direct voor veel discussie en verschillende meningen. Mag je derden partijen toegang geven tot je app om advertenties te verzorgen? De groep was verdeeld. Mogen deze partijen gegevens verzamelen van jouw gebruikers voor gerichte advertenties? Wederom was de groep verdeeld, al waren de meeste deelnemers het oneens met de stelling. Tenzij je de gebruikers er goed en expliciet over informeert is het not-done.
Na deze opwarmronde schetste Marc van Lieshout (TNO) de gevoeligheid van privacy in apps door de resultaten van een aantal onderzoeken naar de houding en acties van gebruikers richting apps te noemen. Aan de ene kant is te zien dat gebruikers steeds meer nadenken over het wel/niet downloaden van een app vanwege privacy-overwegingen, maar aan de andere kant zie je dat bij populaire apps, zoals Facebook, er snel over deze zorg heen gestapt wordt, omdat de app zonder toestemming niet te gebruiken is. Naast de onrust bij app-bouwers, over wat er wel en niet mag, is er dus ook onrust bij gebruikers, over wat apps wel en niet van jou kunnen bijhouden en wat daarmee gebeurt.
Opvallend is dat adresgegevens en locatiegegevens door gebruikers als privacy gevoelig worden beschouwd, terwijl een app-bouwer vaak niet eens precies weet waar je je bevindt (vaak wordt er geen GPRS gebruikt, maar en globale schatting van je locatie gedaan). Toegang tot foto’s en de camera van je device geven gebruikers al eerder, terwijl foto’s en gezichten daarop met nieuwe technologieën gemakkelijk te gebruiken zijn, en te herkennen zijn.
Marc van Lieshout (TNO)
Juridisch kader
Arnold Roosendaal (TNO) ging vervolgens in op het juridische kader waar je als app-bouwer mee te maken hebt. De eerste case die daarbij aan bod komt is rondom Connect TV’s. Gegevens die via Connected TV’s verzameld kunnen worden zijn kijkgedrag, surfgegevens, locatie en allerlei andere informatie die in de apps gevraagd worden. Daarvoor dient echter wel toestemming gevraagd te zijn. Onlangs was in het nieuws dat LG gegevens van hun gebruikers onversleuteld doorgaf om gerichte advertenties aan te bieden, zelfs als de optie is uitgeschakeld. Een andere bekende case is het TP Vision Onderzoek waar we uit leren waar de toezichthouder specifiek naar kijkt bij privacy in Connected TV apps.
Om welke privacy issues gaat het? Het gaat om persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijk persoon. Vanuit de Wet Bescherming Persoonsgegevens (Wbp) worden er verschillende eisen gesteld aan het verzamelen van persoonsgegevens:
Informatieverplichting: De eindgebruiker moet specifiek weten welke gegevens over hem verwerkt worden, voor welke doeleinden, door wie, en waar hij terecht kan met eventuele vragen of klachten. informatieverplichtingen zijn noodzakelijk om van ondubbelzinnige toestemming te kunnen spreken. Het gaat om instemming, dus geen opt-out.
Rechtmatige grondslag: Voor het verzamelen van persoonsgegevens heb je een rechtmatige grondslag nodig, bijvoorbeeld toestemming van de eindgebruiker. Daarbij spelen proportionaliteit (hoeveel gegevens verzamel je, en zijn die functioneel) en subsidiariteit (kun je de gegevens ook op een minder privacy gevoelige manier verzamelen?) mee. Daarnaast wordt dit getoetst aan de hand van een belangenafweging. Een voorbeeld is de gegevens die de NS verzameld via hun OV-chipkaarten. Het in en uitchecken is privacy gevoelig, maar noodzakelijk voor het functioneren van het betaalsysteem. Voor abonnementshouders geldt dit niet, die hebben al betaald, maar die gegevens gebruikt de NS voor de verbetering van de dienstverlening (gegevens over de drukte op bepaalde trajecten). Arnold geeft aan dat dit een grijs gebied is als je gaat kijken naar de verschillende uitwerkingen. Hoe specifiek moet je zijn? Iedere keer toestemming vragen kan bijvoorbeeld ook tot een ongewenste praktijk leiden waarbij gebruikers gek worden van het iedere keer toestemming geven (denk aan de cookies discussie).
Doelbinding: persoonsgegevens mogen alleen worden verwerkt voor een specifiek omschreven doel. Verdere verwerking is alleen toegestaan indien dit aansluit bij het oorspronkelijk doel van de verwerking, anders is een nieuwe grondslag vereist.
Bewerkersovereenkomst: dit is een overeenkomst tussen verantwoordelijke en derde partijen die optreden als bewerker. De overeenkomst moet betrekking hebben op de gegevensverwerking. Google Analytics is bijvoorbeeld een derde partij, maar Google wilde voorheen geen aparte bewerkersovereenkomsten sluiten. Dat geeft een probleem bij het bedrijf dat Google Analytics gebruikt zonder geldige bewerkersovereenkomst. Google sluit overigens sinds de TP Vision case wel dergelijke contracten af, waardoor het gebruik van Google Analytics mogelijk is binnen de Wbp.
Arnold Roosendaal (TNO)
Connected TV’s
Bij Connected TV’s spelen er vragen bij de uitwerking van deze juridische basis. Hoe zit het met verschillende kijkers binnen een aansluiting? Is 1x toestemming vragen dan voldoende? En ook al zijn de juridische eisen m.b.t. toestemming cookies helder, de handhaving lijkt te verschillen. En geldt dit ook voor HTML based toepassingen?
Apps
Marc van Lieshout gaat verder door specifieker naar apps te kijken. Privacyrisico’s die daar spelen zijn een gebrek aan transparantie (wat wordt er verzameld), gebrek aan vrije en geïnformeerde toestemming (veel gebruikers willen meer mogelijkheden dan alleen ja/nee), slechte veiligheidsmaatregelen en weinig aandacht voor doelbeperking.
Bij apps is het verplicht om vooraf toestemming te vragen voor alle gegevensverzameling, voor dat de app gedownload wordt. Maar er dient ook mogelijkheid te zijn om de toestemming weer in te trekken. Eigenlijk zou het voor de gebruiker fijner zijn als hij/zij toestemming kan geven voor het verzamelen van bepaalde gegevens, in plaats van voor alles wel/niet. Zo kan je je afvragen waarom bepaalde apps toegang willen krijgen tot je camera. Als je daar geen toestemming voor geeft zou je de app nog wel willen gebruiken, maar de functionaliteiten waarvoor je camera nodig is niet. Een app zou dan modulair opgebouwd moeten worden waarbij sommige functionaliteiten wel/niet bruikbaar zijn, afhankelijk of de gebruiker toestemming heeft gegeven.
Als gebruiker wil je ook makkelijk toegang krijgen tot informatie over deze functionaliteiten. Soms is het makkelijker om dit op een website na te lezen dan op het kleine schermpje van je telefoon. Privacy statements die meer dan 750 woorden bevatten worden vaak niet goed gelezen. Als app-bouwer kan je nadenken over makkelijkere manieren om te laten zien hoe je met privacy omgaat. Je zit als het ware in een spagaat: aan de ene kant wil je jezelf indekken vanwege het juridische kader en zo uitgebreid mogelijk zijn, voor de gebruiker wil je kort en bondig kunnen vertellen waar je hun gegevens voor gebruikt. Eigenlijk zou er een soort keurmerk moeten zijn waaraan gebruikers kunnen zien dat de privacy voorwaarden acceptabel zijn. Vanuit de zaal wordt de behoefte aan zo’n garantie bevestigd, maar tegelijkertijd wordt er afgevraagd welke instantie dat zou kunnen oppakken. Het College Bescherming Persoonsgegevens zou dat kunnen zijn, maar zij doen dat nu niet.
Marc toont ook het Privacy Maturity Model waarmee hij benadrukt dat privacy overwegingen gesteund moeten worden door alle lagen van de organisatie. Een organisatorische inbedding is van belang, en daarbij hoort ook steun van het hoger management. Voortbordurend op dit model bestaan er allerlei tools (privacy audits) waarmee je als bedrijf kan checken hoe goed je over privacy hebt nagedacht en wat er allemaal voor geregeld moet worden. Je kunt ongetwijfeld dingen hergebruiken, bijvoorbeeld van privacy statement die er al zijn gemaakt voor andere producten dan de app, maar apps verzamelen vaak toch andere gegevens en daarvoor moet je apart toestemming vragen.
Technology Update: Privacy in Apps from iMMovator
Vervolgonderzoek
Aan het einde van de Technology Update geven Marc en Arnold aan dat er mogelijkheid is voor vervolgonderzoek naar de vragen die tijdens de bijeenkomst naar boven komen. In een Technologie cluster van vijf MKB bedrijven wordt een gezamenlijke vraag over een concrete toepassing van een technologie of gerelateerde oplossing onderzocht. De deelnemers kunnen zelf concrete cases inbrengen waarmee ze met TNO onderzoekers aan de slag gaan. De deelnemende bedrijven betalen gezamenlijk 10% van de prijs van het onderzoek, de rest wordt aangevuld met onderzoeksgelden. Per deelnemend bedrijf komt dat neer op 1-2.000 euro.
Ben je geïnteresseerd in deelname aan een technologie cluster of wil je hier meer over weten? Neem dan contact op met Arnold Roosendaal via arnold.roosendaal@tno.nl of 088 866 2461.
Relevante links:
Verslag onderzoek naar doorgifte gegevens bij 30 populaire apps.
‘Apps & privacy’, Computer Idee nummer 8, jaargang 2011
Onderzoek naar gedrag Amerikaanse teenagers
Presentatie online app voor privacy policies (Happy funtimes)
Rol MEF bij lancering app for online privacy policies:
TRUSTe’s privacy impact assessment tools:
Overeenstemming over mobiele app privacy richtlijnen:
Foto’s: Rob Koenen