Glamorous Goat

15 Stappen om AVG (GDPR)-compliant apps te ontwikkelen

15 Stappen om AVG (GDPR)-compliant apps te ontwikkelen

De introductie van de Europese Online Data privacy wetgeving zal grote gevolgen hebben hoe organisaties omgaan met persoonlijke data van hun gebruikers. Deze nieuwe wet zorgt voor vragen bij organisaties die op regelmatige basis omgaan met persoonlijke data van Europese inwoners. Wat voor impact heeft de wetgeving op online web applicaties en operaties?

In grote lijnen zorgt deze wet ervoor dat een individu controle heeft over zijn data. Dit betekent dat wanneer een organisatie online vraagt naar persoonlijke informatie deze de klant moet vertellen wat er met hun data gebeurd.

De belangrijkste aspecten van deze nieuwe wetgeving is als volgt:

  • Makkelijker toegang tot jouw eigen data. De gebruiker heeft meer inzicht hoe hun data wordt gebruikt. Deze informatie moet op een heldere manier beschikbaar zijn.
  • Mogelijkheid om data te verplaatsen. Het moet makkelijker zijn om jouw persoonlijke data over te brengen naar een andere service provider.
  • Optie om jouw data te laten verwijderen. Als je niet langer wil dat jouw data gebruikt wordt en er is hier een geldige reden voor, dan moet jouw persoonlijke data worden verwijderd.
  • Weten wanneer jouw data is gehackt. Op het moment dat een organisatie is gehackt moet deze zo snel mogelijk de juiste instantie op de hoogte brengen van deze gebeurtenis. Op deze manier kunnen gebruikers de maatregelen nemen.

Dus hoe implementeer je een applicatie die AVG (GDPR)-compliant is en de gebruiker controle geeft over hun persoonlijke data? Hier volgens 15 tips om dit toe te passen.

1. Bepaal of de app alle persoonlijke data nodig heeft die wordt gevraagd

De ideale privacy implementatie om AVG (GDPR)-compliant te zijn is door het verzamelen van zo min mogelijk persoonlijke data. Bij persoonlijke data kun je denken aan: naam, geboortedatum, woonplaats, etc.. Dit is natuurlijk niet mogelijk in elke situatie aangezien deze informatie soms noodzakelijk is. Het is belangrijk dat in elke situatie management en ontwikkelaars bepalen wat de meest noodzakelijke informatie is die verzameld moet worden.

2. Versleutel alle persoonlijke informatie

Als een applicatie belangrijke persoonlijke informatie moet opslaan is het belangrijk om deze data op de juiste wijze te versleutelen met sterke versleutel algoritme inclusief hashing. In de zaak van de Ashley Madison datalek was alle informatie in normale tekst beschikbaar. Dit heeft grote gevolgen gehad voor haar gebruikers. Het moet nadrukkelijk vermeld worden dat alle persoonlijke data versleuteld wordt, zodat deze data niet gebruikt kan worden, mocht de web applicatie gehackt worden. Hieronder valt ook informatie met betrekking tot: adres, telefoonnummers en woonplaats.

3. Denk aan OAUTH om data over te brengen

Met OAUTH kunnen gebruikers een account creëren door simpelweg een ander account te gebruiken. Deze protocollen zorgen voor een enkele sign-on en helpen om niet meer informatie te verzamelen dan nodig is.

4. Gebruik beveiligde communicatie door middel van HTTPS

Veel organisaties maken geen gebruik van HTTPS voor hun websites, omdat er gedacht wordt dat het niet nodig is. Als bijvoorbeeld een applicatie geen vorm van authenticatie nodig heeft dan lijkt HTTPS misschien niet nodig. Het is echter makkelijk om iets over het hoofd te zien. Sommige applicaties verzamelen persoonlijke informatie via de “neem contact op” formulier. Als deze informatie in duidelijke tekst wordt verstuurd is deze zichtbaar voor het internet. Daarnaast moet je zeker zijn dat de SSL certificaten op de juiste manier worden toegepast en niet vatbaar zijn voor gevaar in verband met SSL protocollen.

5. Laat gebruikers weten hoe je omgaat met “neem contact op” informatie

Applicaties verzamelen niet alleen informatie door middel van authenticatie of inschrijvingen. Data wordt ook verzameld door contactformulieren. Dit is vaak persoonlijke informatie zoals: telefoonnummer, woonplaats en e mailadres. Laat gebruikers weten voor hoelang en op welke manier deze data wordt opgeslagen. Het wordt sterk aangeraden om gebruik te maken van goede beveiliging om deze informatie op te slaan.

6. Zorg dat sessies en cookies verlopen

Om AVG (GDPR)-compliant te zijn moeten gebruikers op de hoogte zijn hoe cookies worden gebruikt door de applicatie. De gebruiker moet worden geïnformeerd dat de applicatie gebruik maakt van cookies en de optie aanbieden om cookies te weigeren. Zorg ervoor dat cookies op de juiste manier worden verwijderd als iemand uitlogt of niet langer actief is.

avg compliant app ontwikkelen

7. Volg gebruikers niet voor business intelligence

Veel e-commerce applicaties volgen gebruikers om te zien waarnaar ze opzoek zijn met behulp van zoekresultaten en producten die ze kopen. Vaak gebruiken bedrijven zoals Netflix en Amazon deze informatie om voorgestelde producten te tonen. Aangezien deze informatie wordt opgeslagen voor commerciële doeleinden moet de gebruiker de optie hebben om dit te accepteren of niet. Als vervolgens toestemming wordt gegeven om deze informatie bij te houden moet de gebruiker op de hoogte worden gebracht hoe deze informatie wordt opgeslagen en voor hoelang. Natuurlijk moet alle persoonlijke informatie worden versleuteld.

8. Vertel de gebruiker over logs

Veel applicaties maken gebruik van locaties of IP adressen om een login te autoriseren. Deze informatie wordt opgeslagen voor het geval iemand deze authenticatie probeert te omzeilen. Houd gebruikers op de hoogte dat deze informatie wordt opgeslagen en voor hoelang. Sla geen gevoelige informatie op in logs, zoals het wachtwoord.

9. Bewaar logs op een veilige plaats

Bewaar logs die persoonlijke informatie bevatten op een veilige plaats en vertel de gebruiker wat er met deze logs gebeurt. Hoe wordt deze informatie opgeslagen en voor hoelang? De logs zelf moeten worden versleuteld.

10. Beveiligingsvragen

Bij veel applicaties worden beveiligingsvragen gebruikt om de identiteit van een gebruiker te bevestigen. Probeer ervoor te zorgen dat deze informatie geen persoonlijke informatie bevat, zoals de naam van de gebruikers moeder en zelfs niet de favoriete kleur. Wanneer mogelijk, probeer dan gebruik te maken van two-factor authenticatie. Als dat niet mogelijk is, laat dan de gebruiker zijn eigen vragen bedenken en waarschuw dat deze persoonlijke informatie bevat. Persoonlijke informatie moet versleuteld worden opgeslagen.

11. Stel duidelijke algemene voorwaarden op

Probeer jouw algemene voorwaarden niet te verbergen. Om AVG (GDPR)-compliant te zijn onder de nieuwe EU privacy wetgeving moeten de algemene voorwaarden beschikbaar zijn op de landingspagina. Daarnaast moeten de algemene voorwaarden duidelijk en toegankelijk zijn ten alle tijden wanneer de gebruiker navigeert door de applicatie. Het is noodzakelijk om gebruikers de algemene voorwaarden te laten accepteren, voordat zij toegang kunnen krijgen tot de app. Dit geldt helemaal wanneer de algemene voorwaarden zijn gewijzigd. Het is vanzelfsprekend dat de algemene voorwaarden beschikbaar zijn in een taal die iedereen kan begrijpen.

12. Data delen met andere partijen

Als jouw organisatie persoonlijke data deelt met andere partijen dan moet dit worden genoemd in de algemene voorwaarden. Dit kan zijn door middel affiliates, overheidsinstanties of externe plugins.

13. Stel duidelijke richtlijnen op als jouw app wordt gehackt

Een van de meest belangrijke aspecten van de Europese wetgeving is dat gebruikers op de hoogte moeten worden gebracht als een app is gehackt. Organisaties moeten duidelijke richtlijnen opstellen om de taak en stappen te omschrijven die de organisatie zal ondernemen. Denk hierbij aan dat de gebruiker tijdig wordt geïnformeerd.

14. Verwijder data van gebruikers die de service stoppen

Veel webapplicaties geven niet duidelijk aan wat er gebeurt met persoonlijke informatie wanneer een account wordt verwijderd of iemand opzegt. Met de nieuwe wetgeving moeten bedrijven alle persoonlijke informatie verwijderen. Het moet duidelijk zijn dat iemand kan stoppen met het gebruik van de service en dat vervolgens zijn informatie wordt verwijderd. Organisaties die een verwijderd account behandelen als inactief kunnen in strijd zijn met de wet.

15. Verwijder kwetsbaarheden

Een van de grootste risico’s omtrent privacy ontstaat doordat de applicatie kwetsbaar is. Dit is altijd een risico wanneer een systeem omgaat met gevoelige gebruikers informatie. Een applicatie die niet ontwikkeld is om risico’s tijdig op te sporen zullen eerder worden gehackt. Zorg ervoor dat jouw organisatie een programma heeft om cyberrisico’s op te sporen en tests uit te voeren omtrent de veiligheid.

Nog steeds niet helemaal duidelijk?

Ik help je graag met al je vragen. Je mag me altijd even bellen of mailen.

BEL ME DIRECT

Posted

in

by

Hugo Melis

Tags:

Comments

Leave a Reply

Your email address will not be published. Required fields are marked *