Embed Size (px)
Citation preview
Personvern for apputviklere
Alt kobles til internett, datahøsting og personvern
• Ved å installere en app på din smarttelefon slipper du en fremmed ganske så nært inn på deg. Hvem er denne fremmede og hvilke opplysninger henter han ut? Det er stor konkurranse i markedet for mobilapplikasjoner. Ikke bare skal appen være interessant og funksjonell. Det begynner å bli en økende bevissthet om at appene samtidig må være trygge å bruke. Hvordan kan du utvikle apper som ivaretar sikkerheten og personvernet samtidig som de er spennende og funksjonelle?
2
Sjekkpunkt
• Behandles personopplysninger?
• Personopplysning:
• Opplysninger og vurderinger som kan knyttes til en enkeltperson.
• Behandling av personopplysninger:
• Enhver bruk av personopplysninger, som for eksempel innsamling, registrering, sammenstilling, lagring og utlevering eller en kombinasjon av slike bruksmåter.
3
Personopplysninger
• Fødselsnummer: 13087846271
• Telefonnummer: 22396900
• IP-adresse: 195.159.103.82
• Bilnummer: BL 23456
• Bluetooth MAC: 17:35:52:78:4B:CA
• Wi-Fi-adresse MAC: 12:44:32:45:7B:C9
• Autpass-brikke-ID: 7483920983278394
• UDID: f7426bd759856431d9ae2c99175407a0dcd67ab5
4
Sensorer
• TYPE_ACCELEROMETER
• TYPE_AMBIENT_TEMPERATURE
• TYPE_GRAVITY
• TYPE_GYROSCOPE
• TYPE_LIGHT
• TYPE_LINEAR_ACCELERATION
• TYPE_MAGNETIC_FIELD
• TYPE_ORIENTATION
• TYPE_PRESSURE
• TYPE_PROXIMITY
• TYPE_RELATIVE_HUMIDITY
• TYPE_ROTATION_VECTOR
• TYPE_TEMPERATURE
• TYPE_SIGNIFICANT_MOTION
• TYPE_STEP_COUNTER
• TYPE_STEP_DETECTOR
• TYPE_GAME_ROTATION_VECTOR
• TYPE_GEOMAGNETIC_ROTATION_VECTOR
• TYPE_MAGNETIC_FIELD_UNCALIBRATED
• TYPE_ORIENTATION
5
• Wifi P2P
• Bluetooth BLE
• NFC
• GPS
• Digitalt kompass
• GSM
• Kameraer
• Mikrofon
•
Samtykke
• Man trenger tillatelse til å behandle personopplysninger. Vanligvis er samtykke fra den registrerte det aktuelle behandlingsgrunnlag:
• Krav til samtykke:
– Frivillig
– Informert
– Uttrykkelig
6
mange aktører – uklare ansvarsforhold – ulik jurisdiksjon
7
Bruker
Apputviklere
Mobiltlf.operatør(Eks. Telenor, Netcom)
Operativsystem(Eks. Android, iOS)
Mobiltlf.leverandør(Eks. Samsung, Apple,
Nokia)
App-butikken(Google Play, App
Store)
Tredjepart,Eks. analyse og markedsførings
selskap
Appansvarlig/bestiller
Dette er nødvendig
• Hvem er behandlingsansvarlig, hvilket lovverk.
• Hvilke opplysninger samles inn.
• Rett til innsyn.
• Full informasjon i app-butikken.
• Informasjon i appen.
• Kobling til nettsidene med mer info.
8
Privacy by design - Innebygd personvern
9
1. Vær i forkant, forebygg fremfor å reparere
2. Gjør personvern til standardinnstilling
3. Bygg personvern inn i designet
4. Skap full funksjonalitet: Både-og, ikke enten-eller
5. Ivareta informasjonssikkerhet fra start til slutt
6. Vis åpenhet
7. Respekter brukerens personvern
Uklare ansvarsforhold:
Side 10
•Uklart for brukeren hvem som er ansvarlig for behandlingen av personopplysningene som samles inn. Er det:
• Den som har bestilt applikasjonen (eks. Norsk Tipping)?
• Utvikler av løsningen?
• Apple eller Google som driver app-butikken?
• Hvilket ansvar har tredjeparter (eks. Flurry)?
• Utfordringer knyttet til jurisdiksjon
Uklare ansvarsforhold
• Uklare ansvarsforhold = vanskelig å praktisere sine rettigheter etter loven – hvor skal man rette kravet om innsyn?
• Mangel på tilstrekkelig informasjon fra appansvarligemedfører at nedlasting av apper i dag må baseres på tillit• Tillit til at det lille av informasjon på Google Play er korrekt og fremstår
tillitvekkende
• Tillitt til at Apples system med forhåndsgodkjenning fungerer godt.
Side 11
Helsinki airport, sporer de reisende
12
iBeacons
• iBeacon is Apple's implementation of Bluetooth low-energy (BLE) wireless technology
• The beacons themselvers are small, cheap Bluetooth transmitters.
• Apps installed on your iPhone listen out for the signal transmitted by these beacons and respond accordingly when the phone comes into range.
• The technology could be a big step towards mobile payments.
13
Ikke stabile klare løsninger
• Muligheter i iOS.
• Android ikke klare med løsning.
• Samsung Placedge platform med Gigalane Beaconsolution
14
Store aktører
Hva må gjøres bedre:
• Finne eks på at det ikke står oppført hvem som er ansvarlig. Både utvikler og appleverandør på siden
• Ansvaret må tydeliggjøres:
• Appen skal ha en behandlingsansvarlig
• Hvem dette er må kommuniseres tydelig utad (dette pålagt i henhold til personopplysningsloven)
• Personvernerklæring må utarbeides:
• I app-butikken: info før nedlasting
• Inne i selve appen: info tilgjengelig etter nedlasting
• På hjemmesiden til eier av appen: tydeliggjør ansvar og jurisdiksjon
Side 16
På europeisk nivå
• Geolokalisering av mobiltelefoner
• Adferdsbasert annonsering på internett
• Ansiksgjenkjennelse på nett- og mobiltjenester
• Unntak fra kravet om samtykke til cookies
• Om apper
• Retningslinjer for samtykke for cookies
• Anonymiseringsteknikker
• Utviklingen for Internett of things
• Device fingerprinting
17
Telefon: +47 22 39 69 00
datatilsynet.no
personvernbloggen.no
Atle Årnes er fagdirektør for teknologi i Datatilsynet.
Hans hovedarbeidsfelt er personvern innenfor
telekommunikasjons- og internettjenester, eID og biometri,
samt samferdsel og intelligente transportsystemer. Han
deltar i europeisk og internasjonal koordinering av
personvernarbeid.
