De invoering van Europese wetgeving op online gegevensprivacy zal belangrijke gevolgen hebben voor de manier waarop organisaties omgaan met de persoonsgegevens van hun gebruikers in termen van websites en applicaties, zowel Android als IOS. Deze nieuwe wet roept vragen op bij organisaties die regelmatig persoonsgegevens van Europese ingezetenen verwerken.
Welke impact heeft wetgeving op online webapplicaties en -operaties?
In het algemeen zorgt deze wet ervoor dat een persoon controle heeft over zijn gegevens. Dit betekent dat wanneer een organisatie online persoonlijke informatie opvraagt, zij de klant moet vertellen wat er met hun gegevens gebeurt.
De belangrijkste aspecten van deze nieuwe wetgeving zijn de volgende:
- Gemakkelijker toegang tot uw eigen gegevens. De gebruiker heeft meer informatie over het gebruik van zijn gegevens. Deze informatie moet op een duidelijke manier beschikbaar worden gesteld.
- Mogelijkheid om gegevens te verplaatsen. Het moet eenvoudiger zijn om uw persoonsgegevens over te dragen aan een andere dienstverlener.
- Optie om uw gegevens te verwijderen. Als u niet langer wilt dat uw gegevens worden gebruikt en daar een geldige reden voor is, moet u uw persoonsgegevens verwijderen.
- Weet wanneer uw gegevens zijn gehackt. Op het moment dat een organisatie is gehackt, dient u zo snel mogelijk de bevoegde autoriteit op de hoogte te stellen van dit evenement. Op deze manier kunnen gebruikers de metingen uitvoeren.
Dus hoe implementeer je een compliant applicatie? GDPR en geeft de gebruiker controle over zijn persoonlijke gegevens? Hier zijn enkele tips om het toe te passen.
Tips voor het ontwikkelen van AVG-compatibele apps
Bepaal of de app alle persoonlijke gegevens nodig heeft die hij vraagt
De ideale privacy-implementatie voor voldoen aan de AVG is om zo min mogelijk persoonsgegevens te verzamelen. Bij persoonsgegevens kunt u denken aan: naam, geboortedatum, woonplaats, etc. Dit is natuurlijk niet in alle situaties mogelijk, omdat deze informatie soms nodig is. Het is in elke situatie belangrijk dat het management en de ontwikkelaars bepalen wat de meest noodzakelijke informatie is om te verzamelen.
Versleutel alle persoonlijke informatie
Als een applicatie gevoelige persoonlijke informatie moet opslaan, is het belangrijk om deze gegevens goed te versleutelen met behulp van sterke versleutelingsalgoritmen, waaronder hashing. In het geval van het datalek van Ashley Madison was alle informatie beschikbaar in platte tekst.
Dit heeft belangrijke gevolgen gehad voor zijn gebruikers. Er moet expliciet vermeld worden dat alle persoonsgegevens versleuteld zijn, deze gegevens kunnen dus niet gebruikt worden in het geval de webapplicatie gehackt wordt. Hieronder vallen ook gegevens over: adres, telefoonnummers en woonplaats.
Denk aan AUTH om gegevens over te dragen
Met OAuth kunnen gebruikers eenvoudig een account aanmaken door een ander account te gebruiken. Deze protocollen bieden een eenmalige aanmelding en helpen niet om meer informatie te verzamelen dan nodig is.
Gebruik beveiligde communicatie via HTTPS
Veel organisaties gebruiken HTTPS niet voor hun websites omdat men denkt dat dit niet nodig is. Als een toepassing bijvoorbeeld geen enkele vorm van verificatie vereist, lijkt HTTPS misschien niet nodig. Het is echter gemakkelijk om iets te missen. Sommige applicaties verzamelen persoonlijke informatie via het "Contact"-formulier.
Als deze informatie in duidelijke tekst wordt verzonden, is deze zichtbaar op internet. Je moet er ook voor zorgen dat SSL-certificaten correct worden toegepast en niet vatbaar zijn voor gevaren die verband houden met SSL-protocollen.
Laat gebruikers weten hoe u omgaat met 'contact'-informatie
Apps verzamelen niet alleen informatie via authenticatie of abonnementen. Gegevens worden ook verzameld via contactformulieren. Dit zijn meestal persoonlijke gegevens zoals: telefoonnummer, woonplaats en e-mailadres. Het informeert gebruikers hoe lang en hoe deze gegevens worden opgeslagen. Het wordt sterk aanbevolen om een goede beveiliging te gebruiken om deze informatie op te slaan.
Zorg ervoor dat sessies en cookies verlopen
naar voldoen aan de AVG, moeten gebruikers weten hoe de applicatie cookies gebruikt. De gebruiker moet worden geïnformeerd dat de applicatie cookies gebruikt en de mogelijkheid bieden om cookies te weigeren. Zorg ervoor dat cookies correct worden verwijderd als iemand uitlogt of niet meer actief is.
Gebruikers niet volgen voor business intelligence
Veel eCommerce-apps volgen gebruikers om te zien wat ze zoeken met behulp van zoekresultaten en de producten die ze kopen. Bedrijven zoals Netflix en Amazon gebruiken deze informatie vaak om voorgestelde producten weer te geven. Aangezien deze informatie wordt opgeslagen voor commerciële doeleinden, moet de gebruiker de mogelijkheid hebben om deze al dan niet te accepteren.
Als vervolgens toestemming wordt gegeven om deze informatie te bewaren, moet de gebruiker worden geïnformeerd hoe deze informatie wordt bewaard en voor hoe lang. Natuurlijk moeten alle persoonlijke gegevens worden versleuteld.
Informeer de gebruiker over de records
Veel applicaties gebruiken locaties of IP-adressen om een login te autoriseren. Deze informatie wordt opgeslagen voor het geval iemand deze authenticatie probeert te omzeilen. Informeert gebruikers dat deze informatie zal worden opgeslagen en voor hoe lang. Sla geen gevoelige informatie op in logboeken, zoals het wachtwoord.
Beveiligingsvragen
Veel toepassingen gebruiken beveiligingsvragen om de identiteit van een gebruiker te bevestigen. Probeer ervoor te zorgen dat deze informatie geen persoonlijke gegevens bevat, zoals de naam van de moeder van de gebruiker en zelfs niet de favoriete kleur. Probeer waar mogelijk tweefactorauthenticatie te gebruiken. Als dat niet mogelijk is, laat de gebruiker dan zijn eigen vragen stellen en waarschuw dat het persoonlijke informatie bevat. Persoonlijke informatie moet versleuteld worden opgeslagen.
Maak duidelijke voorwaarden
Probeer uw algemene voorwaarden niet te verbergen. Om GDPR-compliant te zijn onder de nieuwe EU-privacywetgeving, moeten de algemene voorwaarden beschikbaar zijn op de bestemmingspagina. Bovendien moeten de algemene voorwaarden duidelijk en te allen tijde toegankelijk zijn wanneer de gebruiker door de applicatie bladert.
Gebruikers moeten akkoord gaan met de algemene voorwaarden voordat ze toegang krijgen tot de app. Dit geldt met name wanneer de algemene voorwaarden zijn gewijzigd. Vanzelfsprekend zijn de voorwaarden beschikbaar in een voor iedereen begrijpelijke taal.
Gegevens delen met andere partijen
Als uw organisatie persoonsgegevens deelt met andere partijen, moet dit in de algemene voorwaarden worden vermeld. Dit kan via gelieerde ondernemingen, overheidsinstanties of plug-ins van derden.
Stel duidelijke richtlijnen in als je app is gehackt
Een van de belangrijkste aspecten van europees recht is dat gebruikers een melding moeten krijgen als een app is gehackt. Organisaties moeten duidelijke richtlijnen opstellen om de taak en de stappen die de organisatie zal nemen te beschrijven. Houd er rekening mee dat de gebruiker tijdig wordt geïnformeerd.
Gegevens verwijderen van gebruikers die de service stoppen
Veel webapplicaties geven niet duidelijk aan wat er met persoonlijke informatie gebeurt wanneer een account wordt verwijderd of iemand annuleert. Met de nieuwe wetgeving moeten bedrijven alle persoonlijke informatie verwijderen. Het moet duidelijk zijn dat iemand kan stoppen met het gebruik van de service en dat zijn informatie dan wordt verwijderd. Organisaties die een verwijderd account als inactief beschouwen, zijn mogelijk tegen de wet.
Elimineer kwetsbaarheden
Een van de grootste privacyrisico's ontstaat doordat de app kwetsbaar is. Dit is altijd een risico wanneer een systeem gevoelige gebruikersinformatie verwerkt. Een applicatie die niet is ontwikkeld om risico's op tijd te detecteren, heeft een grotere kans om gehackt te worden. Zorg ervoor dat uw organisatie een programma heeft om cyberrisico's te detecteren en beveiligingstests uit te voeren.