Pengenalan undang-undang Eropa tentang privasi data online akan memiliki konsekuensi penting dalam cara organisasi memperlakukan data pribadi penggunanya dalam hal situs web dan aplikasi, baik Android atau iOS. Undang-undang baru ini menimbulkan pertanyaan bagi organisasi yang secara teratur menangani data pribadi penduduk Eropa.
Apa dampak undang-undang terhadap aplikasi dan operasi web online?
Secara umum, undang-undang ini memastikan bahwa seseorang memiliki kendali atas data mereka. Ini berarti bahwa ketika sebuah organisasi meminta informasi pribadi secara online, itu harus memberi tahu pelanggan apa yang terjadi pada data mereka.
Aspek utama dari undang-undang baru ini adalah sebagai berikut:
- Akses lebih mudah ke data Anda sendiri. Pengguna memiliki lebih banyak informasi tentang bagaimana data mereka digunakan. Informasi ini harus tersedia dengan cara yang jelas.
- Kemampuan untuk memindahkan data. Seharusnya lebih mudah untuk mentransfer data pribadi Anda ke penyedia layanan lain.
- Opsi untuk menghapus data Anda. Jika Anda tidak lagi ingin data Anda digunakan dan ada alasan yang sah untuk itu, Anda harus menghapus data pribadi Anda.
- Ketahui kapan data Anda diretas. Saat sebuah organisasi telah diretas, Anda harus memberi tahu otoritas yang sesuai tentang acara ini sesegera mungkin. Dengan cara ini, pengguna dapat melakukan pengukuran.
Jadi bagaimana Anda menerapkan aplikasi yang sesuai? GDPR dan memberi pengguna kendali atas data pribadi mereka? Berikut beberapa tips untuk menerapkannya.
Kiat untuk mengembangkan aplikasi yang sesuai dengan GDPR
Tentukan apakah aplikasi membutuhkan semua data pribadi yang diminta
Implementasi privasi yang ideal untuk mematuhi GDPR adalah mengumpulkan data pribadi sesedikit mungkin. Dengan data pribadi Anda dapat memikirkan: nama, tanggal lahir, tempat tinggal, dll. Ini, tentu saja, tidak mungkin dalam semua situasi, karena informasi ini terkadang diperlukan. Penting dalam situasi apa pun bahwa manajemen dan pengembang menentukan informasi apa yang paling penting untuk dikumpulkan.
Enkripsi semua informasi pribadi
Jika aplikasi perlu menyimpan informasi pribadi yang sensitif, penting untuk mengenkripsi data ini dengan benar menggunakan algoritme enkripsi yang kuat, termasuk hashing. Dalam kasus pelanggaran data Ashley Madison, semua informasi tersedia dalam teks biasa.
Ini memiliki konsekuensi penting bagi penggunanya. Harus dinyatakan secara eksplisit bahwa semua data pribadi dienkripsi, sehingga data ini tidak dapat digunakan jika aplikasi web diretas. Ini juga termasuk informasi tentang: alamat, nomor telepon dan tempat tinggal.
Pikirkan OAUTH untuk mentransfer data
Dengan OAuth, pengguna dapat membuat akun hanya dengan menggunakan akun yang berbeda. Protokol ini menyediakan sistem masuk tunggal dan tidak membantu mengumpulkan lebih banyak informasi daripada yang diperlukan.
Gunakan komunikasi yang aman melalui HTTPS
Banyak organisasi tidak menggunakan HTTPS untuk situs web mereka karena dianggap tidak perlu. Misalnya, jika aplikasi tidak memerlukan jenis autentikasi apa pun, HTTPS mungkin tampaknya tidak diperlukan. Namun, sangat mudah untuk melewatkan sesuatu. Beberapa aplikasi mengumpulkan informasi pribadi melalui formulir "Hubungi Kami".
Jika informasi ini dikirim dalam teks yang jelas, itu akan terlihat di Internet. Juga, Anda harus memastikan bahwa sertifikat SSL diterapkan dengan benar dan tidak rentan terhadap bahaya yang terkait dengan protokol SSL.
Beri tahu pengguna bagaimana Anda menangani informasi "hubungi kami"
Aplikasi tidak hanya mengumpulkan informasi melalui autentikasi atau langganan. Data juga dikumpulkan melalui formulir kontak. Ini biasanya informasi pribadi seperti: nomor telepon, tempat tinggal dan alamat email. Ini memberi tahu pengguna berapa lama dan bagaimana data ini disimpan. Sangat disarankan untuk menggunakan keamanan yang baik untuk menyimpan informasi ini.
Pastikan sesi dan cookie kedaluwarsa
untuk mematuhi GDPR, pengguna harus mengetahui cara aplikasi menggunakan cookie. Pengguna harus diberi tahu bahwa aplikasi menggunakan cookie dan menawarkan opsi untuk menolak cookie. Pastikan cookie dihapus dengan benar jika seseorang logout atau tidak lagi aktif.
Jangan lacak pengguna untuk intelijen bisnis
Banyak aplikasi eCommerce melacak pengguna untuk melihat apa yang mereka cari menggunakan hasil pencarian dan produk yang mereka beli. Perusahaan seperti Netflix dan Amazon sering menggunakan informasi ini untuk menampilkan produk yang disarankan. Karena informasi ini disimpan untuk tujuan komersial, pengguna harus memiliki pilihan untuk menerimanya atau tidak.
Jika persetujuan kemudian diberikan untuk menyimpan informasi ini, pengguna harus diberi tahu bagaimana informasi ini disimpan dan untuk berapa lama. Tentu saja, semua informasi pribadi harus dienkripsi.
Beri tahu pengguna tentang catatan
Banyak aplikasi menggunakan lokasi atau alamat IP untuk mengotorisasi login. Informasi ini disimpan jika seseorang mencoba untuk melewati otentikasi ini. Memberi tahu pengguna bahwa informasi ini akan disimpan dan untuk berapa lama. Jangan simpan informasi sensitif di log, seperti kata sandi.
Pertanyaan keamanan
Banyak aplikasi menggunakan pertanyaan keamanan untuk mengonfirmasi identitas pengguna. Cobalah untuk memastikan bahwa informasi ini tidak mengandung data pribadi apa pun, seperti nama ibu pengguna dan bahkan warna favoritnya. Jika memungkinkan, coba gunakan autentikasi dua faktor. Jika itu tidak memungkinkan, biarkan pengguna mengajukan pertanyaan mereka sendiri dan memperingatkan bahwa itu berisi informasi pribadi. Informasi pribadi harus disimpan terenkripsi.
Buat syarat dan ketentuan yang jelas
Jangan mencoba menyembunyikan syarat dan ketentuan Anda. Agar sesuai dengan GDPR berdasarkan undang-undang privasi UE yang baru, syarat dan ketentuan harus tersedia di halaman arahan. Selain itu, syarat dan ketentuan harus jelas dan dapat diakses setiap saat ketika pengguna menelusuri aplikasi.
Pengguna diharuskan untuk menyetujui syarat dan ketentuan sebelum mereka dapat mengakses aplikasi. Ini berlaku terutama ketika syarat dan ketentuan umum telah diubah. Tak perlu dikatakan bahwa syarat dan ketentuan tersedia dalam bahasa yang dapat dipahami semua orang.
Berbagi data dengan pihak lain
Jika organisasi Anda berbagi data pribadi dengan pihak lain, hal ini harus dinyatakan dalam syarat dan ketentuan umum. Ini mungkin melalui afiliasi, lembaga pemerintah, atau plugin pihak ketiga.
Tetapkan pedoman yang jelas jika aplikasi Anda diretas
Salah satu aspek terpenting hukum eropa adalah bahwa pengguna harus diberi tahu jika aplikasi telah diretas. Organisasi harus menetapkan pedoman yang jelas untuk menggambarkan tugas dan langkah-langkah yang akan diambil organisasi. Perlu diingat bahwa pengguna diinformasikan pada waktu yang tepat.
Hapus data pengguna yang menghentikan layanan
Banyak aplikasi web tidak secara jelas menyatakan apa yang terjadi pada informasi pribadi ketika akun dihapus atau seseorang membatalkan. Dengan undang-undang baru, perusahaan harus menghapus semua informasi pribadi. Harus dipahami bahwa seseorang dapat berhenti menggunakan layanan dan kemudian informasi mereka akan dihapus. Organisasi yang memperlakukan akun yang dihapus sebagai tidak aktif mungkin melanggar hukum.
Hilangkan kerentanan
Salah satu risiko privasi terbesar muncul karena aplikasi ini rentan. Ini selalu menjadi risiko ketika sistem menangani informasi pengguna yang sensitif. Aplikasi yang tidak dikembangkan untuk mendeteksi risiko tepat waktu lebih mungkin untuk diretas. Pastikan organisasi Anda memiliki program untuk mendeteksi risiko cyber dan melakukan tes keamanan.