AVG compliant apps

AVG compliant apps: 15 Stappen om AVG (GDPR)-compliant apps te ontwikkelen

De introductie van de Europese Online Data privacy wetgeving zal grote gevolgen hebben hoe organisaties omgaan met persoonlijke data van hun gebruikers. Deze nieuwe wet zorgt voor vragen bij organisaties die op regelmatige basis omgaan met persoonlijke data van Europese inwoners. Wat voor impact heeft de wetgeving op online web applicaties en operaties?

In grote lijnen zorgt deze wet ervoor dat een individu controle heeft over zijn data. Dit betekent dat wanneer een klant online wordt gevraagd naar persoonlijke informatie, de organisatie deze klant moet vertellen wat er met hun data gebeurd.

De belangrijkste doelen van deze nieuwe wetgeving (Europese Online Data privacy) zijn als volgt:

  • Makkelijker toegang tot jouw eigen data. De gebruiker heeft meer inzicht hoe hun data wordt gebruikt. Deze informatie moet op een heldere manier beschikbaar zijn.
  • Mogelijkheid om data te verplaatsen. Het moet makkelijker zijn om jouw persoonlijke data over te brengen naar een andere service provider.
  • Optie om jouw data te laten verwijderen. Als je niet langer wil dat jouw data gebruikt wordt en er is hier een geldige reden voor, dan moet jouw persoonlijke data worden verwijderd.
  • Weten wanneer jouw data is gehackt. Op het moment dat een organisatie is gehackt moet deze zo snel mogelijk de juiste instantie op de hoogte brengen van deze gebeurtenis. Op deze manier kunnen gebruikers de maatregelen nemen.

Dus hoe implementeer je een applicatie die AVG (GDPR)-compliant is en de gebruiker controle geeft over hun persoonlijke data? Hier volgen 15 stappen om dit toe te passen.

Stappenplan AVG (apps)

Bij deze bieden we een stappenplan hoe je AVG compliant apps kunt maken. De 15 stappen staan hieronder weergegeven, en staan later in detail beschreven.

  1. Persoonlijke informatie: Bepaal of de app alle persoonlijke data nodig heeft die wordt gevraagd
  2. Versleutelen: Versleutel alle persoonlijke informatie
  3. OAUTH: Denk aan OAUTH om data over te brengen
  4. Beveiligde communicatie: Gebruik beveiligde communicatie door middel van HTTPS
  5. Contact: Laat gebruikers weten hoe je omgaat met “neem contact op” informatie
  6. sessies en cookies: Zorg dat sessies en cookies verlopen
  7. Business intelligence: Volg gebruikers niet voor business intelligence
  8. Logs: Vertel de gebruiker over logs
  9. Logs bewaren: Bewaar logs op een veilige plaats
  10. Beveiligingsvragen: stel beveiligingsvragen aan de gebruiker
  11. Algemene voorwaarden: Stel duidelijke algemene voorwaarden op
  12. Data delen: Let op met data delen met andere partijen en leg dit vast
  13. Hacken: Stel duidelijke richtlijnen op als jouw app wordt gehackt
  14. Data verwijderen: Verwijder data van gebruikers die de service stoppen
  15. Kwetsbaarheden: Verwijder kwetsbaarheden

1. Bepaal of de app alle persoonlijke data nodig heeft die wordt gevraagd

De ideale privacy implementatie om AVG (GDPR)-compliant te zijn is door het verzamelen van zo min mogelijk persoonlijke data. Bij persoonlijke data kun je denken aan: naam, geboortedatum, woonplaats, etc.. Dit is natuurlijk niet mogelijk in elke situatie aangezien deze informatie soms noodzakelijk is. Het is belangrijk dat het management en ontwikkelaars in elke situatie bepalen wat de meest noodzakelijke informatie is die verzameld moet worden.

2. Versleutel alle persoonlijke informatie

Als een applicatie belangrijke persoonlijke data moet opslaan is het belangrijk om deze data op de juiste wijze te versleutelen met een sterk versleutel algoritme inclusief hashing.

Voorbeeld situatie

In de zaak van de Ashley Madison datalek was alle persoonlijke informatie in normale tekst beschikbaar. Dit heeft grote gevolgen gehad voor haar gebruikers. Het moet nadrukkelijk vermeld worden dat alle persoonlijke data versleuteld wordt, zodat deze data niet gebruikt kan worden, mocht de web applicatie gehackt worden. Hieronder valt ook informatie met betrekking tot: adres, telefoonnummers en woonplaats.

3. Denk aan OAUTH om data over te brengen

Met OAUTH kunnen gebruikers een account creëren door simpelweg een ander account te gebruiken. Deze protocollen zorgen voor een enkele sign-on en helpen om niet meer informatie te verzamelen dan nodig is.

4. Gebruik beveiligde communicatie door middel van HTTPS

Veel organisaties maken geen gebruik van HTTPS voor hun websites, omdat gedacht wordt dat dit niet nodig is. Dit is voor te stellen als bijvoorbeeld een applicatie geen vorm van authenticatie nodig. Het is echter makkelijk om iets over het hoofd te zien. Sommige applicaties verzamelen persoonlijke informatie via het “neem contact op” formulier. Als deze informatie in duidelijke tekst wordt verstuurd is deze zichtbaar voor het internet. Daarnaast moet je zeker zijn dat de SSL certificaten op de juiste manier worden toegepast en niet vatbaar zijn voor gevaar in verband met SSL protocollen.

5. Laat gebruikers weten hoe je omgaat met “neem contact op” informatie

Applicaties verzamelen niet alleen informatie door middel van authenticatie of inschrijvingen. Zoals hierboven vernoemd, wordt data ook verzameld door bijvoorbeeld contactformulieren. Dit omvat vaak persoonlijke informatie zoals: telefoonnummer, woonplaats en e mailadres. Laat gebruikers weten voor hoelang en op welke manier deze data wordt opgeslagen. Het wordt sterk aangeraden om gebruik te maken van goede beveiliging om deze informatie op te slaan.

6. Zorg dat sessies en cookies verlopen

Om AVG (GDPR)-compliant te zijn moeten gebruikers op de hoogte zijn hoe cookies worden gebruikt door de applicatie. De gebruiker moet worden geïnformeerd dat de applicatie gebruik maakt van cookies. Daarnaast moest optie aangeboden worden om cookies te weigeren. Zorg ervoor dat cookies op de juiste manier worden verwijderd als iemand uitlogt of niet langer actief is.

avg compliant app ontwikkelen

7. Volg gebruikers niet voor business intelligence

Veel e-commerce applicaties volgen gebruikers om te zien waarnaar ze opzoek zijn met behulp van zoekresultaten en producten die ze kopen. Vaak gebruiken bedrijven zoals Netflix en Amazon deze informatie om voorgestelde producten te tonen. Aangezien deze informatie wordt opgeslagen voor commerciële doeleinden moet de gebruiker de optie hebben om dit te accepteren of niet. Als vervolgens toestemming wordt gegeven om deze informatie bij te houden moet de gebruiker op de hoogte worden gebracht hoe deze informatie wordt opgeslagen en voor hoelang. Natuurlijk moet alle persoonlijke informatie worden versleuteld.

8. Vertel de gebruiker over logs

Veel applicaties maken gebruik van locaties of IP adressen om een login te autoriseren. Deze informatie wordt opgeslagen voor het geval iemand deze authenticatie probeert te omzeilen. Houd gebruikers op de hoogte dat deze informatie wordt opgeslagen en voor hoelang. Sla geen gevoelige informatie op in logs, zoals het wachtwoord.

9. Bewaar logs op een veilige plaats

Bewaar logs die persoonlijke informatie bevatten op een veilige plaats en vertel de gebruiker wat er met deze logs gebeurt. Hoe wordt deze informatie opgeslagen en voor hoelang? De logs zelf moeten worden versleuteld.

10. Stel beveiligingsvragen aan de gebruiker

Bij veel applicaties worden beveiligingsvragen gesteld om de identiteit van een gebruiker te bevestigen. Probeer ervoor te zorgen dat deze informatie geen persoonlijke informatie bevat, zoals de naam van de gebruikers (zelfs niet hun favoriete kleur). Wanneer mogelijk, probeer dan gebruik te maken van two-factor authenticatie. Als dat niet mogelijk is, laat dan de gebruiker zijn eigen vragen bedenken en waarschuw dat deze persoonlijke informatie bevatten. Persoonlijke informatie moet versleuteld worden opgeslagen.

11. Stel duidelijke algemene voorwaarden op

Algemene voorwaarden moeten duidelijk zijn en mogen niet verstopt zijn. Om AVG (GDPR)-compliant te zijn onder de nieuwe EU privacy wetgeving moeten de algemene voorwaarden beschikbaar zijn op de landingspagina. Daarnaast moeten de algemene voorwaarden duidelijk en toegankelijk zijn ten alle tijden wanneer de gebruiker navigeert door de applicatie. Het is noodzakelijk om gebruikers de algemene voorwaarden te laten accepteren, voordat zij toegang kunnen krijgen tot de app. Dit geldt ook (al helemaal) wanneer de algemene voorwaarden zijn gewijzigd. Het is vanzelfsprekend dat de algemene voorwaarden beschikbaar zijn in een taal die iedereen kan begrijpen.

12. Data delen met derde partijen

Als jouw organisatie persoonlijke data deelt met andere partijen dan moet dit worden genoemd in de algemene voorwaarden. Dit kan zijn door middel affiliates, overheidsinstanties of externe plugins.

13. Stel duidelijke richtlijnen op als jouw app wordt gehackt

Een van de meest belangrijke aspecten van de Europese wetgeving is dat gebruikers op de hoogte moeten worden gebracht als een app is gehackt. Daarnaast moeten organisaties duidelijke richtlijnen opstellen om de taken en stappen te omschrijven die de organisatie zal ondernemen wanneer dit gebeurt. Denk hierbij aan dat de gebruiker tijdig wordt geïnformeerd.

14. Verwijder data van gebruikers die de service stoppen

Veel webapplicaties geven niet duidelijk aan wat er gebeurt met persoonlijke informatie wanneer een account wordt verwijderd of iemand opzegt. Met de nieuwe wetgeving moeten bedrijven duidelijk maken dat iemand kan stoppen met het gebruik van de service en dat vervolgens zijn informatie wordt verwijderd. Organisaties die een verwijderd account behandelen als inactief kunnen in strijd zijn met de wet.

15. Verwijder kwetsbaarheden

Een van de grootste risico’s omtrent privacy ontstaat door kwetsbaarheid van de app. Dit is altijd een risico wanneer een systeem (gevoelige) persoonlijke informatie verwerkt. Een applicatie die niet is ontwikkeld om risico’s tijdig op te sporen zullen eerder worden gehackt. Zorg ervoor dat jouw organisatie een programma heeft om cyberrisico’s op te sporen en tests uit te voeren omtrent de veiligheid.


Nog steeds niet helemaal duidelijk?

Ik help je graag met al je vragen. Je mag me altijd even bellen of mailen.