personvern for apputviklere

30
Personvern for apputviklere Atle Årnes, fagdirektør teknologi

Upload: bjorn-sloth

Post on 26-Jul-2015

114 views

Category:

Mobile


2 download

TRANSCRIPT

Page 1: Personvern for apputviklere

Personvern for apputviklereAtle Årnes, fagdirektør teknologi

Page 2: Personvern for apputviklere

2

Alt kobles til internett, datahøsting og personvern

• Ved å installere en app på din smarttelefon slipper du en fremmed ganske så nært inn på deg. Hvem er denne fremmede og hvilke opplysninger henter han ut? Det er stor konkurranse i markedet for mobilapplikasjoner. Ikke bare skal appen være interessant og funksjonell. Det begynner å bli en økende bevissthet om at appene samtidig må være trygge å bruke. Hvordan kan du utvikle apper som ivaretar sikkerheten og personvernet samtidig som de er spennende og funksjonelle?

Page 3: Personvern for apputviklere

Sjekkpunkt

• Behandles personopplysninger?

• Personopplysning:• Opplysninger og vurderinger som

kan knyttes til en enkeltperson.

• Behandling av personopplysninger:• Enhver bruk av personopplysninger,

som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.

3

Page 4: Personvern for apputviklere

Personopplysninger

• Fødselsnummer: 13087846271• Telefonnummer: 22396900• IP-adresse: 195.159.103.82• Bilnummer: BL 23456• Bluetooth MAC: 17:35:52:78:4B:CA• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9• Autpass-brikke-ID: 7483920983278394• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5

4

Page 5: Personvern for apputviklere

Sensorer

• TYPE_ACCELEROMETER• TYPE_AMBIENT_TEMPERATURE• TYPE_GRAVITY• TYPE_GYROSCOPE• TYPE_LIGHT• TYPE_LINEAR_ACCELERATION• TYPE_MAGNETIC_FIELD• TYPE_ORIENTATION• TYPE_PRESSURE• TYPE_PROXIMITY• TYPE_RELATIVE_HUMIDITY• TYPE_ROTATION_VECTOR• TYPE_TEMPERATURE• TYPE_SIGNIFICANT_MOTION• TYPE_STEP_COUNTER• TYPE_STEP_DETECTOR• TYPE_GAME_ROTATION_VECTOR• TYPE_GEOMAGNETIC_ROTATION_VECTOR• TYPE_MAGNETIC_FIELD_UNCALIBRATED• TYPE_ORIENTATION

5

• Wifi P2P• Bluetooth BLE• NFC • GPS• Digitalt kompass• GSM• Kameraer• Mikrofon

Page 6: Personvern for apputviklere

6

Samtykke

• Man trenger tillatelse til å behandle personopplysninger. Vanligvis er samtykke fra den registrerte det aktuelle behandlingsgrunnlag:

• Krav til samtykke:– Frivillig– Informert– Uttrykkelig

Page 7: Personvern for apputviklere

mange aktører – uklare ansvarsforhold – ulik jurisdiksjon

7

Bruker

Apputviklere

Mobiltlf.operatør(Eks. Telenor, Netcom)

Operativsystem(Eks. Android, iOS)

Mobiltlf.leverandør(Eks. Samsung, Apple,

Nokia)

App-butikken(Google Play, App

Store)

Tredjepart,Eks. analyse og markedsførings

selskap

Appansvarlig/bestiller

Page 8: Personvern for apputviklere

8

Dette er nødvendig

• Hvem er behandlingsansvarlig, hvilket lovverk.

• Hvilke opplysninger samles inn.

• Rett til innsyn.

• Full informasjon i app-butikken.

• Informasjon i appen.

• Kobling til nettsidene med mer info.

Page 9: Personvern for apputviklere

9

Privacy by design - Innebygd personvern

1. Vær i forkant, forebygg fremfor å reparere2. Gjør personvern til standardinnstilling3. Bygg personvern inn i designet4. Skap full funksjonalitet: Både-og, ikke enten-eller5. Ivareta informasjonssikkerhet fra start til slutt6. Vis åpenhet7. Respekter brukerens personvern

Page 10: Personvern for apputviklere

Uklare ansvarsforhold:

Side 10

•Uklart for brukeren hvem som er ansvarlig for behandlingen av personopplysningene som samles inn. Er det:

• Den som har bestilt applikasjonen (eks. Norsk Tipping)?• Utvikler av løsningen?• Apple eller Google som driver app-butikken?• Hvilket ansvar har tredjeparter (eks. Flurry)?• Utfordringer knyttet til jurisdiksjon

Page 11: Personvern for apputviklere

Uklare ansvarsforhold

• Uklare ansvarsforhold = vanskelig å praktisere sine rettigheter etter loven – hvor skal man rette kravet om innsyn?

• Mangel på tilstrekkelig informasjon fra appansvarlige medfører at nedlasting av apper i dag må baseres på tillit• Tillit til at det lille av informasjon på Google Play er korrekt og

fremstår tillitvekkende• Tillitt til at Apples system med forhåndsgodkjenning fungerer

godt.

Side 11

Page 12: Personvern for apputviklere

12

Sikkerhet i forhold til personvern

Page 13: Personvern for apputviklere

13

Sikkerhet

• Sikkerhetens fiende:

–Kostnader (utstyret skal være ekstremt billig)

–Utstyrets effektivitet (Beskyttelse og kryptering minsker effektiviteten)

Page 14: Personvern for apputviklere

Registreringer

14

Page 15: Personvern for apputviklere

15

Helsinki airport, sporer de reisende

Page 16: Personvern for apputviklere

iBeacons

• iBeacon is Apple's implementation of Bluetooth low-energy (BLE) wireless technology

• The beacons themselvers are small, cheap Bluetooth transmitters.

• Apps installed on your iPhone listen out for the signal transmitted by these beacons and respond accordingly when the phone comes into range.

• The technology could be a big step towards mobile payments.

16

Page 17: Personvern for apputviklere

17

Ikke stabile klare løsninger

• Muligheter i iOS.• Android ikke klare med løsning.• Samsung Placedge platform med Gigalane

Beacon solution

Page 18: Personvern for apputviklere

18

Samsung Placedge

Page 19: Personvern for apputviklere

Beacon-butikker og tredjeparter

AA

AA

BB

BB BB

CC CC

CC

Page 20: Personvern for apputviklere

Personvernpolicy

20

Page 21: Personvern for apputviklere

WIFI

21

Page 22: Personvern for apputviklere

Store aktører

Page 23: Personvern for apputviklere

Hva må gjøres bedre:

• Finne eks på at det ikke står oppført hvem som er ansvarlig. Både utvikler og appleverandør på siden

• Ansvaret må tydeliggjøres: • Appen skal ha en behandlingsansvarlig• Hvem dette er må kommuniseres tydelig utad (dette pålagt i

henhold til personopplysningsloven)

• Personvernerklæring må utarbeides: • I app-butikken: info før nedlasting• Inne i selve appen: info tilgjengelig etter nedlasting• På hjemmesiden til eier av appen: tydeliggjør ansvar og

jurisdiksjon

Side 23

Page 24: Personvern for apputviklere

På europeisk nivå

• Geolokalisering av mobiltelefoner• Adferdsbasert annonsering på internett• Ansiksgjenkjennelse på nett- og mobiltjenester• Unntak fra kravet om samtykke til cookies• Om apper• Retningslinjer for samtykke for cookies• Anonymiseringsteknikker• Utviklingen for Internett of things• Device fingerprinting

24

Page 25: Personvern for apputviklere

25

Page 26: Personvern for apputviklere

Utfordring: Mangel på åpenhet

Page 27: Personvern for apputviklere

Acxiom: «verdens største selskap ingen har hørt om»

Page 28: Personvern for apputviklere

[email protected]: +47 22 39 69 00

datatilsynet.nopersonvernbloggen.no

Atle Årnes er fagdirektør for teknologi i Datatilsynet. Hans hovedarbeidsfelt er personvern innenfor telekommunikasjons- og internettjenester, eID og biometri, samt samferdsel og intelligente transportsystemer. Han deltar i europeisk og internasjonal koordinering av personvernarbeid.

Page 29: Personvern for apputviklere

29

ITS – Intelligente transportsystemer

Page 30: Personvern for apputviklere

30

BLE