Innføringen av europeisk lovgivning vedr personvern på nett vil få viktige konsekvenser i måten organisasjoner behandler personopplysningene til sine brukere når det gjelder nettsider og applikasjoner, enten Android eller IOS. Denne nye loven reiser spørsmål for organisasjoner som regelmessig håndterer personopplysninger om europeiske innbyggere.
Hvilken innvirkning har lovgivning på nettapplikasjoner og drift?
Generelt sett sikrer denne loven at en person har kontroll over dataene sine. Dette betyr at når en organisasjon ber om personlig informasjon på nettet, må den fortelle kunden hva som skjer med dataene deres.
Hovedaspektene ved denne nye lovgivningen er følgende:
- Enklere tilgang til dine egne data. Brukeren har mer informasjon om hvordan dataene deres brukes. Denne informasjonen skal gjøres tilgjengelig på en tydelig måte.
- Evne til å flytte data. Det skal være lettere å overføre dine personopplysninger til en annen tjenesteleverandør.
- Mulighet for å slette dataene dine. Hvis du ikke lenger ønsker at dataene dine skal brukes og det er en gyldig grunn til det, må du slette dine personopplysninger.
- Finn ut når dataene dine har blitt hacket. I det øyeblikket en organisasjon har blitt hacket, må du informere den aktuelle myndigheten om denne hendelsen så snart som mulig. På denne måten kan brukerne ta målene.
Så hvordan implementerer du en kompatibel applikasjon? GDPR og gir brukeren kontroll over sine personlige data? Her er flere tips for å bruke det.
Tips for utvikling av GDPR-kompatible apper
Finn ut om appen trenger alle personopplysningene den ber om
Den ideelle personvernimplementeringen for overholde GDPR er å samle inn så lite personopplysninger som mulig. Med personopplysninger kan du tenke på: navn, fødselsdato, bosted osv. Dette er selvfølgelig ikke mulig i alle situasjoner, da denne informasjonen noen ganger er nødvendig. Det er viktig i enhver situasjon at ledelsen og utviklerne bestemmer hva som er den mest nødvendige informasjonen å samle inn.
Krypter all personlig informasjon
Hvis en applikasjon trenger å lagre sensitiv personlig informasjon, er det viktig å kryptere disse dataene riktig ved å bruke sterke krypteringsalgoritmer, inkludert hashing. I tilfellet Ashley Madison datainnbrudd var all informasjon tilgjengelig i ren tekst.
Dette har fått viktige konsekvenser for brukerne. Det må eksplisitt opplyses om at alle personlige data er kryptert, så disse dataene kan ikke brukes i tilfelle nettapplikasjonen blir hacket. Dette inkluderer også opplysninger om: adresse, telefonnummer og bosted.
Tenk OAUTH for å overføre data
Med OAuth kan brukere opprette en konto ved å bruke en annen konto. Disse protokollene gir en enkelt pålogging og hjelper ikke med å samle inn mer informasjon enn nødvendig.
Bruk sikker kommunikasjon over HTTPS
Mange organisasjoner bruker ikke HTTPS for sine nettsider fordi det antas at det ikke er nødvendig. For eksempel, hvis en applikasjon ikke krever noen form for autentisering, kan det hende at HTTPS ikke virker nødvendig. Det er imidlertid lett å gå glipp av noe. Noen applikasjoner samler inn personlig informasjon gjennom "Kontakt oss"-skjemaet.
Sendes denne informasjonen i klartekst, vil den være synlig på Internett. Det bør du også sørge for SSL-sertifikater brukes riktig og er ikke utsatt for farer knyttet til SSL-protokoller.
Fortell brukerne hvordan du håndterer "kontakt oss"-informasjon
Apper samler ikke bare informasjon gjennom autentisering eller abonnementer. Data samles også inn via kontaktskjemaer. Dette er vanligvis personopplysninger som: telefonnummer, bosted og e-postadresse. Den informerer brukerne om hvor lenge og hvordan disse dataene lagres. Det anbefales på det sterkeste å bruke god sikkerhet for å lagre denne informasjonen.
Sørg for at økter og informasjonskapsler utløper
Til overholde GDPR, må brukere være klar over hvordan applikasjonen bruker informasjonskapsler. Brukeren bør informeres om at applikasjonen bruker informasjonskapsler og tilbys muligheten til å avvise informasjonskapsler. Sørg for at informasjonskapsler er riktig fjernet hvis noen logger ut eller ikke lenger er aktive.
Ikke spor brukere for business intelligence
Mange e-handelsapper sporer brukere for å se hva de leter etter ved hjelp av søkeresultater og produktene de kjøper. Selskaper som Netflix og Amazon bruker ofte denne informasjonen til å vise foreslåtte produkter. Siden denne informasjonen lagres for kommersielle formål, må brukeren ha muligheten til å godta den eller ikke.
Dersom det i ettertid gis samtykke til å beholde denne informasjonen, skal brukeren informeres om hvordan denne informasjonen lagres og hvor lenge. Selvfølgelig skal all personlig informasjon være kryptert.
Informer brukeren om postene
Mange applikasjoner bruker lokasjoner eller IP-adresser for å autorisere en pålogging. Denne informasjonen lagres i tilfelle noen prøver å omgå denne autentiseringen. Varsler brukere om at denne informasjonen vil bli lagret og hvor lenge. Ikke lagre sensitiv informasjon i logger, som passordet.
Sikkerhetsspørsmål
Mange applikasjoner bruker sikkerhetsspørsmål for å bekrefte en brukers identitet. Prøv å sørge for at denne informasjonen ikke inneholder noen personlige data, for eksempel navnet på brukerens mor og ikke engang favorittfargen. Når det er mulig, prøv å bruke tofaktorautentisering. Hvis det ikke er mulig, la brukeren stille sine egne spørsmål og advare om at den inneholder personlig informasjon. Personopplysninger skal lagres kryptert.
Lag klare vilkår og betingelser
Ikke prøv å skjule vilkårene og betingelsene dine. For å være GDPR-kompatibel i henhold til EUs nye personvernlovgivning, må vilkårene og betingelsene være tilgjengelige på landingssiden. I tillegg må vilkårene og betingelsene være klare og tilgjengelige til enhver tid når brukeren blar gjennom applikasjonen.
Brukere må godta vilkårene og betingelsene før de kan få tilgang til appen. Dette gjelder spesielt når de generelle vilkårene er endret. Det sier seg selv at vilkårene og betingelsene er tilgjengelige på et språk som alle kan forstå.
Dele data med andre parter
Hvis organisasjonen din deler personopplysninger med andre parter, bør dette fremgå av de generelle vilkårene. Dette kan være gjennom tilknyttede selskaper, offentlige etater eller tredjeparts plugins.
Sett klare retningslinjer hvis appen din blir hacket
En av de viktigste aspektene ved europeisk lov er at brukere skal varsles hvis en app har blitt hacket. Organisasjoner bør etablere klare retningslinjer for å beskrive oppgaven og trinnene organisasjonen vil ta. Husk at brukeren blir informert i tide.
Slett data til brukere som stopper tjenesten
Mange nettapplikasjoner oppgir ikke tydelig hva som skjer med personlig informasjon når en konto blir slettet eller noen avslutter. Med det nye lovverket må bedrifter slette alle personopplysninger. Det skal forstås at noen kan slutte å bruke tjenesten og da vil informasjonen deres slettes. Organisasjoner som behandler en slettet konto som inaktiv kan være i strid med loven.
Eliminer sårbarheter
En av de største personvernrisikoene oppstår fordi appen er sårbar. Dette er alltid en risiko når et system håndterer sensitiv brukerinformasjon. En applikasjon som ikke er utviklet for å oppdage risiko i tide, er mer sannsynlig å bli hacket. Sørg for at organisasjonen din har et program for å oppdage cyberrisiko og utføre sikkerhetstester.