Presented by: For:

© ETSI 2018

22.10.2018

The Privacy Challenge in IoTETSI STF 547

Olajumoke OgunbekunSTF 547 Member

ETSI IoT Week

© ETSI 2018 2

Content 

Dealing with PrivacyPrivacy vs SecurityGDPR ‐ OverviewePrivacy ‐ Overview

Privacy in STF 547Approach taken in the Technical ReportsPrivacy in context of IoTA Use Case on Privacy

Conclusion

Agenda

© ETSI 2018

The Privacychallenge

© ETSI 2018 4

Privacy

The concept of privacy overlaps, but does not coincide, with the concept of data protection. The right to privacy is enshrined in the Universal Declaration of Human Rights (Article 12) as well as in the European Convention of Human Rights (Article 8). 

Personal Data: any information relating to an identified or identifiable natural person ('data subject'); an identifiable person is one who can be identified, directly or indirectly, in particular by reference to an identification number or to one or more factors specific to his physical, physiological, mental, economic, cultural or social identity

© ETSI 2018 5

Privacy and Security

Privacy and security are separate concepts in the sense, for example, that  privacy can be perceived independently of security 

But they are complementary, given that in reality security is an enabler of privacy. It can be stressed that security is a basic requirement for the effective protection of privacy.

Designing for privacy by default may use Privacy‐Enhancing Technologies (PET) which is a security tool to reinforce the privacy design (PET: Techniques that allow online users to protect the privacy of their personally identifiable information (PII))

The STF work aims to convey a clear message regarding the relationship between privacy and security, 

© ETSI 2018 6

GDPR Overview

General Data Protection Regulation (GDPR) has been introduced to protect personal data not all data, due largely to the increase in technology and free flow of information.

GDPR  is the General Data Protection Regulation, also referred to as Regulation (EU) 2016/679.  It has been created by the European Parliament and Council to strengthen and unify data privacy for EU individuals as well as regulate the international transfer of their data.

It came into force on 25th May 2018 as a Regulation

Recent examples of Privacy scandal: 

Facebook’s launch of Portal has been stymied by trust issues: “The company’s privacy scandals have made us wary of its connected devices”

Amazon confirms Alexa recorded and shared a family's conversation

© ETSI 2018 7

Best Practice to be adopted in GDPR

Guidance can be of great relevance, especially, for organizations that are aiming to go beyond the threshold of compliance, beyond the minimum requirements for compliance.

For example, privacy by design, established under Article 25 of the GDPR, could be broken down into the following set of principles: 

No personal data by default principle: avoid personal data collection or creation by default, except where, when and to the extent required.

‘As‐If’ principle: design and engineer IoT ecosystems as‐if these will process personal data, now or in a later phase.

De‐Identification by default principle: de‐identify, sanitise or delete personal data as soon as there is valid legal basis anymore.

Data minimization by default: only process data where, when and to the extent required, and delete or de‐identity other data.

Encryption by default principle: encrypt personal data by default and include digital rights and digital rights management thereto.

© ETSI 2018 8

ePrivacy Overview

ePrivacy Directive or Regulation is to improve the “cookie law” it aims to simplify the rules regarding cookie and streamline cookie consent in a more user friendly way.

It will include new forms of electronic communication in IoT

The scope of the ePrivacy would apply to any business that provides any form of online communication service, uses online tracking technologies, or engages in electronic direct marketing

ePrivacy compliments the GDPR regulations

Its expected to go‐live sometime in 2019

© ETSI 2018 9

Key point of ePrivacy

New players: Same level of confidentiality of communications is expected for new teleco as traditional telecoms operators.

Stronger rules: Single set of rules for protection apply to all businesses across EU. 

Communications content and metadata: Privacy is guaranteed for communications like the time and the location of a call. Metadata have a high privacy component and must be anonymised or deleted if users did not give their consent unless the data is needed for billing.

New business opportunities: Once consent is given for communications data (content and/or metadata) to be processed, traditional telecoms operators will have more opportunities to provide additional services and to develop their businesses. 

Protection against spam: The proposal bans unsolicited electronic communications by emails, SMS, and automated calling machines.

© ETSI 2018

Privacy in STF 547

© ETSI 2018 11

ETSI STF 547 Technical Reports Regarding Privacy 

© ETSI 2018 12

Privacy in the context of IoT

The Technical Report proposes an approach that suggest reinforcing the role of human users with privacy concerns at the heart of IoT and as the users and beneficiaries of IoT. 

© ETSI 2018 13

STF 547: The approach to Privacy (1/2)

Analysing how IoT Security can improve IoT Privacy by discussing and reflecting upon a set of use cases relevant for the IoT environment. 

The use cases are to be drawn from an ongoing EU Project on smart homes.

Reviewing the privacy standardisation gap identified in ETSI TR103 376 (by STF 505) and analysing whether some of these gaps have been resolved since the completion of the work 

Studying how the classical approach (landscaping, gap analysis, recommendations, human‐to‐machine PIA) based on technical standards could be complemented by non‐standard based technical measures of IoT applications/services (massive data, machine‐to‐machine) to comply with IoT Privacy EU framework (ePrivacy Regulation and GDPR), also, in light of the use case scenarios to be discussed. 

© ETSI 2018 14

STF 547: The approach to Privacy (2/2)

Pointing at the fundamental shifts taking place in relation to privacy under EU Law, including: 

the shift from rule‐based frameworks to principle‐based frameworks, 

the necessity to go beyond mere compliance to meaningful accountability and 

the implementation of impact‐based measures.

Using the Data Protection Impact Assessment (DPIA), as introduced under the GDPR, in order to demonstrate how technical standards can be complemented by non‐standard based technical measures.

© ETSI 2018 15

STF 547: Stakeholders of Privacy

Privacy TR and Teaching TR will propose the obligation on organization from GDPR and ePrivacy considering both regulations and standards relevant for following groups of stakeholders: 

Individual end users

Professionals designing IoT products

Professionals using IoT products

Organizations 

© ETSI 2018 16

Privacy: a Use Case

In the case where a Blood Pressure machine needs to be optimised with regards to privacy,  who should be the “end user” ?

Is consent required from 

the patient (e.g. a 84yrs old lady) using a medical equipment connected via a network to a server 

the supplier of the equipment?

a relative or Carer of a vulnerable user?

Is the hospital or health service delivery point consent also needed as the end user?

© ETSI 2018 17

Conclusion:The challenge of Privacy in IoT and the work of STF 547

Identifying 

privacy in various domains in IoT

the Stakeholders that are impacted by Privacy

the personal data and who owns the data

how stakeholders need to think of Privacy as part of design not an afterthought

the implication of non‐compliance with Regulation not just standards.

IoT form  a clear example of hyper connectivity and  distributed control,  as such appropriate safeguards are needed to ensure that individuals’ right to privacy is effectively protected.

Make sure that work of STF 547 will provide useful guidelines to IoT systems designers when dealing with privacy.

© ETSI 2018 18

Thank you for your attention!

Contact Details: Olajumoke OgunbekunEX2 Management Consulting Ltd.jogunbekun@yahoo.com

STF547 Homepage: 

https://portal.etsi.org/STF/STFs/STFHomePages/STF547

STF 547 at ETSI Security Week 2018