Införandet av europeisk lagstiftning om dataintegritet online kommer att få viktiga konsekvenser i det sätt på vilket organisationer behandlar sina användares personuppgifter när det gäller webbplatser och applikationer, oavsett om det är Android eller IOS. Denna nya lag väcker frågor för organisationer som regelbundet hanterar personuppgifter om europeiska invånare.
Vilken inverkan har lagstiftningen på webbapplikationer och drifter online?
Generellt sett säkerställer denna lag att en individ har kontroll över sina uppgifter. Det innebär att när en organisation begär personlig information online måste den berätta för kunden vad som händer med deras data.
De viktigaste aspekterna av denna nya lagstiftning är följande:
- Enklare tillgång till din egen data. Användaren har mer information om hur deras data används. Denna information måste göras tillgänglig på ett tydligt sätt.
- Möjlighet att flytta data. Det borde vara lättare att överföra dina personuppgifter till en annan tjänsteleverantör.
- Möjlighet att radera din data. Om du inte längre vill att dina uppgifter ska användas och det finns en giltig anledning till det, måste du radera dina personuppgifter.
- Ta reda på när din data har hackats. I det ögonblick som en organisation har blivit hackad måste du informera den behöriga myndigheten om denna händelse så snart som möjligt. På så sätt kan användarna ta måtten.
Så hur implementerar du en kompatibel applikation? GDPR och ger användaren kontroll över sina personuppgifter? Här är flera tips för att tillämpa det.
Tips för att utveckla GDPR-kompatibla appar
Bestäm om appen behöver alla personliga uppgifter som den begär
Den idealiska integritetsimplementeringen för följa GDPR är att samla in så lite personuppgifter som möjligt. Med personuppgifter kan du tänka på: namn, födelsedatum, bostadsort osv. Detta är naturligtvis inte möjligt i alla situationer, eftersom denna information ibland är nödvändig. Det är viktigt i alla situationer att ledning och utvecklare bestämmer vad som är den mest nödvändiga informationen att samla in.
Kryptera all personlig information
Om en applikation behöver lagra känslig personlig information är det viktigt att kryptera dessa data ordentligt med hjälp av starka krypteringsalgoritmer, inklusive hashing. I fallet med Ashley Madisons dataintrång var all information tillgänglig i klartext.
Detta har fått viktiga konsekvenser för dess användare. Det måste uttryckligen anges att all personlig information är krypterad, så denna data kan inte användas i fall webbapplikationen hackas. Här ingår även uppgifter om: adress, telefonnummer och bostadsort.
Tänk på OAUTH för att överföra data
Med OAuth kan användare skapa ett konto helt enkelt genom att använda ett annat konto. Dessa protokoll ger en enkel inloggning och hjälper inte till att samla in mer information än nödvändigt.
Använd säker kommunikation över HTTPS
Många organisationer använder inte HTTPS för sina webbplatser eftersom de inte tycker att det är nödvändigt. Till exempel, om en app inte kräver någon typ av autentisering kanske HTTPS inte verkar nödvändigt. Det är dock lätt att missa något. Vissa applikationer samlar in personlig information via formuläret "Kontakta oss".
Om denna information skickas i klartext kommer den att synas på Internet. Det bör du också se till SSL-certifikat tillämpas korrekt och är inte mottagliga för faror relaterade till SSL-protokoll.
Låt användarna veta hur du hanterar "kontakta oss"-information
Appar samlar inte bara in information genom autentisering eller prenumerationer. Data samlas också in via kontaktformulär. Detta är vanligtvis personuppgifter såsom: telefonnummer, bostadsort och mailadress. Den informerar användarna om hur länge och hur denna data lagras. Det rekommenderas starkt att använda god säkerhet för att lagra denna information.
Se till att sessioner och cookies löper ut
till följa GDPR, måste användarna vara medvetna om hur applikationen använder cookies. Användaren måste informeras om att applikationen använder cookies och erbjuds möjligheten att avvisa cookies. Se till att cookies raderas korrekt om någon loggar ut eller inte längre är aktiv.
Spåra inte användare för business intelligence
Många e-handelsappar spårar användare för att se vad de letar efter med hjälp av sökresultat och de produkter de köper. Företag som Netflix och Amazon använder ofta denna information för att visa föreslagna produkter. Eftersom denna information lagras för kommersiella ändamål måste användaren ha möjlighet att acceptera den eller inte.
Om samtycke ges i efterhand för att behålla denna information ska användaren informeras om hur denna information lagras och hur länge. Självklart ska all personlig information vara krypterad.
Informera användaren om uppgifterna
Många applikationer använder platser eller IP-adresser för att auktorisera en inloggning. Denna information lagras i fall någon försöker kringgå denna autentisering. Meddelar användarna att denna information kommer att lagras och hur länge. Lagra inte känslig information i loggar, som lösenordet.
Säkerhetsfrågor
Många applikationer använder säkerhetsfrågor för att bekräfta en användares identitet. Försök att se till att denna information inte innehåller några personliga uppgifter, såsom namnet på användarens mamma och inte ens favoritfärgen. Försök att använda tvåfaktorsautentisering när det är möjligt. Om det inte är möjligt, låt användaren ställa sina egna frågor och varna att den innehåller personlig information. Personlig information ska lagras krypterad.
Gör tydliga villkor
Försök inte att dölja dina villkor. För att vara GDPR-kompatibel enligt EU:s nya integritetslagstiftning måste villkoren finnas tillgängliga på målsidan. Dessutom måste villkoren vara tydliga och alltid tillgängliga när användaren surfar i applikationen.
Användare måste godkänna villkoren innan de kan komma åt appen. Detta gäller särskilt när de allmänna villkoren har ändrats. Det säger sig självt att villkoren är tillgängliga på ett språk som alla kan förstå.
Dela data med andra parter
Om din organisation delar personuppgifter med andra parter ska detta framgå av de allmänna villkoren. Detta kan vara via affiliates, statliga myndigheter eller tredjeparts plugins.
Sätt tydliga riktlinjer om din app hackas
En av de viktigaste aspekterna av europeisk lag är att användare ska meddelas om en app har blivit hackad. Organisationer bör fastställa tydliga riktlinjer för att beskriva uppgiften och de steg som organisationen kommer att vidta. Tänk på att användaren informeras i god tid.
Radera data för användare som stoppar tjänsten
Många webbapplikationer anger inte tydligt vad som händer med personlig information när ett konto raderas eller någon avslutar. Med den nya lagstiftningen måste företag radera alla personuppgifter. Det ska förstås att någon kan sluta använda tjänsten och då kommer deras information att raderas. Organisationer som behandlar ett borttaget konto som inaktivt kan vara mot lagen.
Eliminera sårbarheter
En av de största integritetsriskerna uppstår eftersom appen är sårbar. Detta är alltid en risk när ett system hanterar känslig användarinformation. En applikation som inte har utvecklats för att upptäcka risker i tid är mer sannolikt att hackas. Se till att din organisation har ett program för att upptäcka cyberrisker och utföra säkerhetstester.