De introductie van de Europese Online Data privacy wetgeving zal grote gevolgen hebben hoe organisaties omgaan met persoonlijke data van hun gebruikers. Deze nieuwe wet zorgt voor vragen bij organisaties die op regelmatige basis omgaan met persoonlijke data van Europese inwoners. Wat voor impact heeft de wetgeving op online web applicaties en operaties?
In grote lijnen zorgt deze wet ervoor dat een individu controle heeft over zijn data. Dit betekent dat wanneer een klant online wordt gevraagd naar persoonlijke informatie, de organisatie deze klant moet vertellen wat er met hun data gebeurd.
De belangrijkste doelen van deze nieuwe wetgeving (Europese Online Data privacy) zijn als volgt:
Dus hoe implementeer je een applicatie die AVG (GDPR)-compliant is en de gebruiker controle geeft over hun persoonlijke data? Hier volgen 15 stappen om dit toe te passen.
Bij deze bieden we een stappenplan hoe je AVG compliant apps kunt maken. De 15 stappen staan hieronder weergegeven, en staan later in detail beschreven.
De ideale privacy implementatie om AVG (GDPR)-compliant te zijn is door het verzamelen van zo min mogelijk persoonlijke data. Bij persoonlijke data kun je denken aan: naam, geboortedatum, woonplaats, etc.. Dit is natuurlijk niet mogelijk in elke situatie aangezien deze informatie soms noodzakelijk is. Het is belangrijk dat het management en ontwikkelaars in elke situatie bepalen wat de meest noodzakelijke informatie is die verzameld moet worden.
Als een applicatie belangrijke persoonlijke data moet opslaan is het belangrijk om deze data op de juiste wijze te versleutelen met een sterk versleutel algoritme inclusief hashing.
Voorbeeld situatie
In de zaak van de Ashley Madison datalek was alle persoonlijke informatie in normale tekst beschikbaar. Dit heeft grote gevolgen gehad voor haar gebruikers. Het moet nadrukkelijk vermeld worden dat alle persoonlijke data versleuteld wordt, zodat deze data niet gebruikt kan worden, mocht de web applicatie gehackt worden. Hieronder valt ook informatie met betrekking tot: adres, telefoonnummers en woonplaats.
Met OAUTH kunnen gebruikers een account creëren door simpelweg een ander account te gebruiken. Deze protocollen zorgen voor een enkele sign-on en helpen om niet meer informatie te verzamelen dan nodig is.
Veel organisaties maken geen gebruik van HTTPS voor hun websites, omdat gedacht wordt dat dit niet nodig is. Dit is voor te stellen als bijvoorbeeld een applicatie geen vorm van authenticatie nodig. Het is echter makkelijk om iets over het hoofd te zien. Sommige applicaties verzamelen persoonlijke informatie via het “neem contact op” formulier. Als deze informatie in duidelijke tekst wordt verstuurd is deze zichtbaar voor het internet. Daarnaast moet je zeker zijn dat de SSL certificaten op de juiste manier worden toegepast en niet vatbaar zijn voor gevaar in verband met SSL protocollen.
Applicaties verzamelen niet alleen informatie door middel van authenticatie of inschrijvingen. Zoals hierboven vernoemd, wordt data ook verzameld door bijvoorbeeld contactformulieren. Dit omvat vaak persoonlijke informatie zoals: telefoonnummer, woonplaats en e mailadres. Laat gebruikers weten voor hoelang en op welke manier deze data wordt opgeslagen. Het wordt sterk aangeraden om gebruik te maken van goede beveiliging om deze informatie op te slaan.
Om AVG (GDPR)-compliant te zijn moeten gebruikers op de hoogte zijn hoe cookies worden gebruikt door de applicatie. De gebruiker moet worden geïnformeerd dat de applicatie gebruik maakt van cookies. Daarnaast moest optie aangeboden worden om cookies te weigeren. Zorg ervoor dat cookies op de juiste manier worden verwijderd als iemand uitlogt of niet langer actief is.
Veel e-commerce applicaties volgen gebruikers om te zien waarnaar ze opzoek zijn met behulp van zoekresultaten en producten die ze kopen. Vaak gebruiken bedrijven zoals Netflix en Amazon deze informatie om voorgestelde producten te tonen. Aangezien deze informatie wordt opgeslagen voor commerciële doeleinden moet de gebruiker de optie hebben om dit te accepteren of niet. Als vervolgens toestemming wordt gegeven om deze informatie bij te houden moet de gebruiker op de hoogte worden gebracht hoe deze informatie wordt opgeslagen en voor hoelang. Natuurlijk moet alle persoonlijke informatie worden versleuteld.
Veel applicaties maken gebruik van locaties of IP adressen om een login te autoriseren. Deze informatie wordt opgeslagen voor het geval iemand deze authenticatie probeert te omzeilen. Houd gebruikers op de hoogte dat deze informatie wordt opgeslagen en voor hoelang. Sla geen gevoelige informatie op in logs, zoals het wachtwoord.
Bewaar logs die persoonlijke informatie bevatten op een veilige plaats en vertel de gebruiker wat er met deze logs gebeurt. Hoe wordt deze informatie opgeslagen en voor hoelang? De logs zelf moeten worden versleuteld.
Bij veel applicaties worden beveiligingsvragen gesteld om de identiteit van een gebruiker te bevestigen. Probeer ervoor te zorgen dat deze informatie geen persoonlijke informatie bevat, zoals de naam van de gebruikers (zelfs niet hun favoriete kleur). Wanneer mogelijk, probeer dan gebruik te maken van two-factor authenticatie. Als dat niet mogelijk is, laat dan de gebruiker zijn eigen vragen bedenken en waarschuw dat deze persoonlijke informatie bevatten. Persoonlijke informatie moet versleuteld worden opgeslagen.
Algemene voorwaarden moeten duidelijk zijn en mogen niet verstopt zijn. Om AVG (GDPR)-compliant te zijn onder de nieuwe EU privacy wetgeving moeten de algemene voorwaarden beschikbaar zijn op de landingspagina. Daarnaast moeten de algemene voorwaarden duidelijk en toegankelijk zijn ten alle tijden wanneer de gebruiker navigeert door de applicatie. Het is noodzakelijk om gebruikers de algemene voorwaarden te laten accepteren, voordat zij toegang kunnen krijgen tot de app. Dit geldt ook (al helemaal) wanneer de algemene voorwaarden zijn gewijzigd. Het is vanzelfsprekend dat de algemene voorwaarden beschikbaar zijn in een taal die iedereen kan begrijpen.
Als jouw organisatie persoonlijke data deelt met andere partijen dan moet dit worden genoemd in de algemene voorwaarden. Dit kan zijn door middel affiliates, overheidsinstanties of externe plugins.
Een van de meest belangrijke aspecten van de Europese wetgeving is dat gebruikers op de hoogte moeten worden gebracht als een app is gehackt. Daarnaast moeten organisaties duidelijke richtlijnen opstellen om de taken en stappen te omschrijven die de organisatie zal ondernemen wanneer dit gebeurt. Denk hierbij aan dat de gebruiker tijdig wordt geïnformeerd.
Veel webapplicaties geven niet duidelijk aan wat er gebeurt met persoonlijke informatie wanneer een account wordt verwijderd of iemand opzegt. Met de nieuwe wetgeving moeten bedrijven duidelijk maken dat iemand kan stoppen met het gebruik van de service en dat vervolgens zijn informatie wordt verwijderd. Organisaties die een verwijderd account behandelen als inactief kunnen in strijd zijn met de wet.
Een van de grootste risico’s omtrent privacy ontstaat door kwetsbaarheid van de app. Dit is altijd een risico wanneer een systeem (gevoelige) persoonlijke informatie verwerkt. Een applicatie die niet is ontwikkeld om risico’s tijdig op te sporen zullen eerder worden gehackt. Zorg ervoor dat jouw organisatie een programma heeft om cyberrisico’s op te sporen en tests uit te voeren omtrent de veiligheid.
Ik help je graag met al je vragen. Je mag me altijd even bellen of mailen.