De laatste maanden is heel Europa in de ban van de nieuwe privacywetgeving: de AVG. Veel bedrijven zijn extra maatregelen aan het nemen om te zorgen dat ze aan de nieuwe regels kunnen voldoen, in dit artikel gaan we daar wat dieper op in.

Deze wet gaat, na een overgangsperiode van 2 jaar, op 25 mei 2018 officieel in. Grote dataverzamelaars hebben het meeste werk om de privacy van hun klanten te kunnen garanderen. Dat Apple al jaren de nadruk legt op beveiliging en privacy levert ze nu een enorme voorsprong op. Hoe Apple precies omgaat met privacy en de AVG vertel ik hieronder.



Data is geen core business

Om te beginnen is het verzamelen van jouw data, om het vervolgens te gebruiken als marketingtool of door te verkopen, niet de corebusiness van Apple. Ze verdienen hun geld met diensten zoals Apple Music en iTunes en natuurlijk de populaire hardware. Hierdoor heeft Apple niks te winnen bij het inzien of verzamelen van jouw persoonsgegevens en des te meer bij het waarborgen van optimale privacy. Het is dus een stuk makkelijker voor Apple om te voldoen aan de nieuwe wetgeving dan andere tech bedrijven zoals Facebook of Google.




Voorkomen is beter dan genezen

Apple wil voorkomen dat jouw privacy in het geding is. Ze doet dit door zo veel mogelijk data versleuteld op te slaan en alleen lokaal te bewaren. Op jouw eigen apparaat dus. Wat niet verstuurd hoeft te worden, wordt ook niet verstuurd. En als het wel nodig is dan gaat dit zo veilig mogelijk. Tim Cook zegt hierover:

“When we use data to create better experiences for you, we work hard to do it in a way that doesn’t compromise your privacy. One example is our pioneering use of Differential Privacy, where we scramble your data and combine it with the data of millions of others. So we see general patterns, rather than specifics that could be traced back to you. These patterns help us identify things like the most popular emoji, the best QuickType suggestions, and energy consumption rates in Safari.”

De vier principes die Apple hierbij aanhoudt zijn:

• Zo weinig mogelijk data verzamelen
• Zo veel mogelijk transparantie bieden
• Processen op het apparaat zelf uitvoeren
• Gebruik van goede beveiliging en encryptie

Meer informatie over hoe Apple jouw privacy waarborgt vind je op deze pagina.

Nieuwe maatregelen in maart doorgevoerd

In maart 2018 heeft Apple ook een aantal nieuwe maatregelen genomen om nog een stap te nemen in het voldoen aan de AVG. Zo krijg je nu een privacyscherm te zien als je voor het eerst een applicatie opent op een apparaat met het laatste besturingssysteem. Hierin wordt je kort op de hoogte gesteld van hoe Apple binnen deze App omgaat met privacy en kun je doorklikken naar de desbetreffende webpagina. De inhoud is niet bepaald veranderd, maar het is vooral duidelijker geworden.



Daarnaast zijn er nieuwe tools gekomen voor ontwikkelaars. Deze tools moeten bijdragen om data aanvragen van Europeese gebruikers te kunnen verwerken. Hierdoor kunnen de ontwikkelaars de data van hun app in iCloud beter beheren en kunnen gebruikers hun data makkelijker wissen.

Data, en Apple ID aanpassen of verwijderen

Een onderdeel van de AVG is onder andere het recht op dataportabiliteit, vergetelheid en inzage. Apple heeft inmiddels een pagina toegevoegd waar je je gegevens kunt downloaden, aanpassen, deactiveren of verwijderen en voldoet hiermee ruimschoots aan de eisen die de AVG stelt.

Geen verwerker

Apple is geen verwerker van data. Ze slaan het versleuteld op en verwerken dus ook niks. Ze kunnen er niet eens in kijken zonder jouw toestemming. Je hoeft dus ook geen verwerkerovereenkomst te sluiten met Apple als je bijvoorbeeld een zaak hebt en je zakelijke contacten of afspraken opslaat in iCloud. Zorg er wel voor dat je persoonsgegevens van je klanten goed beschermt en weeg de risico’s voor het opslaan van data in welke cloud dan ook af voor jouw bedrijf. Meer over de AVG en wat het voor jou betekent als je een bedrijf hebt vind je hier.


Claire is Apple Certified Support Professional en helpt ondernemers met advies en ondersteuning op het gebied van Apple apparaten. Na vier jaar ervaring op te hebben gedaan bij iCentre Delft, startte ze in 2013 met haar eigen bedrijf: Passion Support.


Het nieuws op MacFreak wordt gesponsord door Upgreatest (ssd upgrades op locatie)

Apple verwerkt wel degelijk persoonlijke data, immers ze stellen je ook controle vragen voor het geval je je account kwijt raakt als, "wat was je eerste merk auto" of wat dan ook.

Ze slaan ergens je telefoonnummer op ... Anders valt er niet te werken, denk aan bijvoorbeeld, iMessage. Verder koppelen ze de gegevens (in verband met DRM) door middel van een signatuur van de software, computer aan je Apple ID ...

En zo kunnen we een pagina volschrijven.

Verder kent GDPR het onderscheid tussen Data Processor en Data Controller. Dat is waar, maar iemand die de data binnen eigen gelederen verwerkt, is nu niet opeens ontslagen van het voldoen aan GDPR wetgeving.

Je hebt nog immer de Data Compliance principes waaraan voldaan moet worden en welke door de Data Controller, lees Apple in dit geval, geborgd dienen te worden.

Verder stelt Art.24 van GDPR dat de data controller verantwoordelijk blijft voor het implementeren van passende technische en organisatorische maatregelen om te garanderen dat aan de wettelijke bepalingen wordt voldaan, alsook dient deze het bestaan en werking hiervan aan te tonen.
Er was veel te doen om data processors, daar er geen "erfschuld" bestaat in het kader van GDPR.

Als Apple, Microsoft, KPN, een ministerie of welke organisatie dan ook een derde partij inschakeld voor de verwerking (van delen) van data, dan is het niet zo dat men de verantwoordelijkheid kan afschuiven op de genoemde verwerkende partij (data processor). Als de verwerkende partij, door middel van (periodieke) verklaringen (en "keuringen"), kan aantonen dat deze (verwerker, of processor in het engels) aan de vereisten van GDPR voldoet, dan heeft de feitelijke verantwoordelijke partij (lees: een onderneming of organisatie die de data juridisch beheert, oftewel de controller), enige zekerheid dat ook de externe (ingehuurde) partij aan de vereisten voldoet.

Toch is er een opmerkelijke maar: de richtlijn GDPR (General Data Protection Regulation), bestaat al sinds 2016. Sterker nog, van 2016 tot 25 mei 2018 goldt er een "overgangsperiode".
Daarnaast hebben we nog de e-privacyverordening welke bedoeld is om meer invulling aan de algemene GDPR regels te geven door zaken inzake electronische communicatie, alsmede zaken als "tracking" en "marketing" te specificeren.

Na de GDPR richtlijn moesten landelijke overheden dit vertalen naar landelijke wetgeving, vandaar dat we de DSVGO in Duitsland en Oostenrijk hebben, de AVG in Nederland, RODO in Polen, SOU in Zweden, enzovoorts.

Overigens is het opmerkelijk dat bij Analyses van verschillende insituties blijkt dat de ENIGE twee landen die feitelijk (op overheidsniveau) klaar zijn voor GDPR Duitsland en Oostenrijk zijn. De rest heeft lopen flierenfluiten, polderen, overloos vergaderen, workshops houden, vergaderen, kennissessies organiseren en feitelijk niets doen dus. Wel miljarden verbranden van publieksgeld. Overigens is dat een probleem op landelijk en regionaal overheidsniveau en niet zozeer op Europees niveau. Maar wel collectief naar Europa wijzen natuurlijk ...

Daarnaast is Apple naast hardware leverancier, ook aanbieder van websites, software-leverancier en verwerkt het diverse gegevens uit het privedomein of biedt daar een koppeling toe. Denk aan Homekit, maar vooral ook aan Healthkit.

Hierin verschilt Apple niets van Google of Microsoft. Wat wel diametraal anders is, is de wijze hoe de gegevens worden beveiligd, gerubriceerd, geannomiseerd en weer ontsloten. Maar daar moeten we toch de nodige voorzichtigheid in betrachten.

Beveiligingen kunnen worden gekraakt, het annomiseren van gegevens kan op verschillende niveaus en in het verleden is gebleken dat op de meest ingenieuze wijze toch de identiteit van apparaten of mensen herleid kan worden en het ontsluiten van gegevens aan ondernemingen of organisaties brengt wederom een aanvullend risico.

Al een tijdje zijn cookies niet relevant meer, maar is het veel interessanter te kijken naar de lettertypen die beschikbaar zijn op je computer, de schermgrootte, je muisgebruik (de wjize hoe je over een plaatje of over het scherm beweegt verraard wie achter de computer zit) ...
Aan de hand van dergelijke profiling is gebleken dat in sommige gevallen geannomiseerde gegevens opeens toch niet meer zo annoniem waren.

En mijn grootste zorg: klik-vee. Mensen die appjes voor alles en nog wat installeren en toestemming verlenen (zonder dat ze in details de overeenkomst lezen) om aan de haal te gaan met hun data.
Verzekeraars staan letterlijk te watertanden bij mechanismen als Healthkit, Homekit, Locatievoorzieningen ... Zo kun je mensen tracken bij het autorijden en een verzekeringspremie daarop afstemmen...

Mede hierom hebben we GDPR. Maar het is niet genoeg. Apple is momenteel niet mijn grootste zorg als het gaat om Privacy, maar zeker niet mijn minste zorg: Apple is en blijft een commerciele toko en dat betekend dat ook veel kan veranderen met een nieuwe CEO. Tim heeft niet het eeuwige leven en nieuw management kan een bedrijf een goede of juist slechte kant opdrijven.

Microsoft is een mooi voorbeeld: waar Balmer weigerde naar andere platformen te kijken dan Windows, draait onder het nieuwe bewindt Microsoft Outlook op Android, iOS, hebben we development tools van Linux, Mac tot en met Windows, kun je Linux vanuit de Microsoft installer aanvinken als subsysteem onder Windows en meer ...

Kortom, Apple verwerkt gewoon privacygevoelige data. De technische implementatie om de toegang hiertoe zo moeilijk mogelijk daargelaten.

Tot slot moeten we de dingen niet door elkaar halen. EEN VERWERKERSOVEREENKOMST? Die is nodig (meestal) in een "Business to Business context", oftewel als een organisatie of bedrijf een ander bedrijf inschakeld voor de verwerking van gegevens. De verantwoordelijke (controller) sluit een overeenomst met een verwerker (processor) inzakede verwerking van privacy-gevoelige gegevens.

Ik zie mensen echt binnenlopen op dit onderwerp door onzin te verkopen. Afgelopen maanden ben ik me rot geschokken hoe we - vooral in de Benelux - munt weten te slaan uit dergelijke zaken. Dus evenals de overdaad aan ONNODIGE mails inzake GDPR naar het publiek toe, hoef jij als consument niet met iedereen een overeenkomst te tekenen  . Volslagen kul en zinloos, uitzonderingen daargelaten.

Fijn weekend!

Doctor

@doctor_apple:
Bedankt voor deze bijdrage; zeer leerzaam.

Kan iemand mij het volgende uitleggen. Ik heb mijn informatie aangevraagd, gewoon nieuwsgierig wat je allemaal krijgt.


MAAR.... Is dit ook de precies dezelfde data die overheden over mij kunnen opvragen bij Apple?

Ik denk dan aan een situatie waar politie en justitie mij al een tijdje aan het volgen zijn omdat ze denken dat ik een boef ben. Dan vragen ze bij de rechter een papiertje dat Apple mijn gegevens moet afstaan en dan krijgt de overheid deze gegevens of is dat weer iets anders?

@ doctor_apple: volgens mij gaat het hier om semantische haarkloverij, aan het begin van het stuk staat "Om te beginnen is het verzamelen van jouw data, om het vervolgens te gebruiken als marketingtool of door te verkopen, niet de corebusiness van Apple."

De zin dat Apple geen "verwerker van data" is moet je dan volgens mij ook zo lezen.