Selecteer een pagina

55 procent van de apps in de Google Play Store voldoet niet aan de AVG. Wat moet je als app-ontwikkelaar doen?

We maken op onze smartphones en tablets gebruik van diverse apps waarvan het merendeel niet rechtmatig persoonsgegevens verwerkt.

Volgens SafeDK – een softwarebedrijf die het gebruik van softwareontwikkelingskits (SDK’s) in mobiele apps controleert – voldoet 55 procent van de apps uit de Google Play Store momenteel (september 2018) niet aan de Algemene Verordening Gegevensbescherming.

Privacybeleid Apple appstore en Google Playstore

Apple en Google hebben aangekondigd binnenkort apps die niet aan de Algemene Verordening Gegevensbescherming (AGV) voldoen te willen gaan verwijderen.

Veel organisaties focussen zich bij het ontwikkelen van verplicht privacybeleid op social media apps als Whatsapp, Facebook, Twitter en Instagram.

De rest van de apps op smartphones en tablets wordt vaak vergeten. Terwijl ook veel van die apps voor datalekken kunnen zorgen.

PrivacyZone.nl beschrijft in dit artikel de risico’s voor de bedrijven die eigen apps hebben en de gebruikers van deze apps.

 

Veel apps verzamelen de volgende persoonsgegevens:

 

  • Gebruikersnaam
  • Wachtwoord
  • Emailadres
  • Mobiele telefoonnummer
  • IP adressen, Cookie ID ́s, IMEI nummer en andere elektronische identifyers
  • Contacten uit het adresboek
  • Bestanden die op het apparaat voorkomen zoals foto’s, video’s en andere bestanden
  • Informatie die de appgebruiker in de app invoert
  • Bestanden die de appgebruiker via de app verstuurt
  • Informatie over het gebruik van de app
  • Beelden die van de appgebruiker worden gemaakt via de camera
  • Stemopnamen die van de appgebruiker worden gemaakt via de microfoon
  • Log-in gegevens van social media accounts
  • Locatiegegevens

Laten we eerst eens naar deze apps kijken vanuit het blikpunt van de gebruiker.

Medewerkers die de apps gebruiken.

Mogen / kunnen deze medewerkers zelf apps installeren op hun smartphone of tablet?

Wie controleert of de apps voldoen aan de AVG?

Worden de apps ook vermeld in het verwerkingsregister?

Wordt er bij de AVG awareness training ook aandacht aan de risico’s van apps besteed?

Hoe zit het met privégebruik van de zakelijke telefoon? Mag dat? Is daar beleid voor ontwikkeld?

En hoe zit het omgekeerd met het zakelijk gebruik van privé smartphones en tablets. Hoe groot is de kans op zakelijke datalekken door deze privétoestellen?

Is er een Bring Your Own Device policy?

En laten we vervolgens eens vanuit het oogpunt kijken van organisaties die zelf een eigen app voor smartphones of tablets laten ontwikkelen.

Ben je een ontwikkelaar van apps? Dan is het in verband met de AVG van belang om te controleren of deze app niet te veel gegevens verzamelt.

Apps voor smartphones en tablets maken gebruik van verschillende privacygevoelige technische opties op deze apparaten. Ze hebben bijvoorbeeld toegang tot positiegegevens, de camera, de microfoon en het adresboek van de gebruiker.

Veel van de gegevens waar de app toegang tot heeft zijn echter helemaal niet nodig voor de functionaliteit het programma.

 

Ontwikkelaars van apps overtreden vaak bewust of onbewust de nieuwe Europese privacyregels.

Een van die regels is bijvoorbeeld ‘dataminimalisatie’. De app mag niet meer gegevens verwerken of vragen dan absoluut nodig is om goed te kunnen functioneren.

Sommige apps willen voortdurend toegang tot bestanden, media en foto’s. Of deze autorisaties echt nodig zijn voor de functionaliteit van de app is dan twijfelachtig.

 

Elke gebruiker die een applicatie installeert, geeft toestemming voor de bijbehorende gegevensverwerking.

Overtreding van wettelijke voorschriften kan leiden tot ongeldigheid van de gehele toestemming. Dit kan voor de ontwikkelaar leiden tot juridische problemen.

Apps moeten voordat ze voor de eerdte keer worden geactiveerd volgens de AVG expliciet toestemming vragen voor de verwerking van persoonsgegevens. Aan die eis wordt door veel apps niet voldaan.

Veel apps maken gebruik van Amerikaanse of Aziatische webservers. Datatransmissie naar deze servers wordt als onveilig beschouwd.

Een app moet worden ontwikkeld in overeenstemming met de regelgeving inzake gegevensbescherming. In de toekomst zullen daar ook de bepalingen van de ePrivacy Verordening nog bij komsn. Deze ePrivacyregelgeving vervangt de bepalingen van de Telecomwet, die nu nog van toepassing is.

De oude en de nieuwe privacyregels bepalen dat er op een begrijpelijke en gemakkelijk toegankelijke manier toestemming moet worden gevraagd voor het verwerken van persoonsgegevens.

Aansprakelijkheid ontwikkelaar app

Als je een eigen app in de Google Play Store of de Apple App Store hebt moet je te allen tijde aan de toezichthouder kunnen aantonen dat je voldoet aan de bepalingen van de AVG.

De bewijsplicht strekt zich ook uit tot de beveiliging van gegevensverwerking, de bescherming van de rechten van betrokkenen en de naleving van de algemene gegevensbeschermingsbeginselen.

Je bent verplicht een verwerkingsregister bij te houden en effectbeoordelingen op het gebied van gegevensbescherming op te stellen.

Privacy by design & privacy by default

De Europese privacyrichtlijnen schrijven voor dat een interne strategie moet worden ontwikkeld voor de tenuitvoerlegging van de vereisten inzake gegevensbescherming.

Enerzijds moet de eigenaar van een app ervoor zorgen dat de Europese pivacyregels worden nageleefd.

Anderzijds moet hij de gebruiker de mogelijkheid bieden om het gebruik van zijn persoonsgegevens te controleren of te wijzigen.

Elke app moet zo worden geprogrammeerd dat hij alleen de gegevens verzamelt en opslaat die nodig zijn voor de gegevensverwerking.

Bij de loodgieter thuis lekt het het meest. Hoe zit dat met datalekken bij juristen?

Bij de loodgieter thuis lekt het vaak het meest… De verklaring is simpel. Goede loodgieters zijn schaars. Ze hebben het zo druk dat ze thuis nergens aan toe komen. Of er gewoon geen energie meer voor hebben.

Bij een lekke kraan is dat de eigen keuze en het eigen probleem van de loodgieter. Al zal hij waarschijnlijk de schade die ontstaan is door de waterlekkage niet kunnen verhalen op zijn verzekering als blijkt dat hij zelf als vakman erger had kunnen voorkomen.

Sinds 25 mei 2018 denken we bij lekkages niet alleen meer aan water-, gas- of olielekken. We denken ook aan datalekken. En dat levert een mooi bruggetje op richting advocaten en juristen die zich bezig houden met de Algemene Verordening Gegevensbescherming.

Als het bij de loodgieter thuis het meeste lekt, hoe zit dat dan eigenlijk als het om datalekken gaat bij juristen? Hoe goed hebben AVG-specialisten hun zaken zelf voor elkaar?

AVG Cloud Register, de Groninger producent van handige en praktische AVG software waarmee ook PrivacyZone werkt, deed daar ruim een maand na het ingaan van de nieuwe privacywetgeving AVG onderzoek naar.

Uit het onderzoek van AVG Cloud Register blijkt dat slechts 14 procent van de websites van 50 onderzochte juristenkantoren, die berichten of adviseren over de AVG, zélf voldoen aan deze nieuwe wet.

De websites behoren toe tot juridische bureau’s die actief zijn op het gebied van privacy & ICT Recht, AVG workshops geven, FG is of via twitter of de bedrijfswebsite over de AVG heeft bericht. Deze juridische bureau’s liepen qua omvang uiteen van zelfstandigen tot partijen met 100+ werknemers.

Veel (technische) misverstanden

AVG Cloud Register signaleert op Twitter dat er nog veel misverstanden en onwetendheid is omtrent de AVG en privacy. De implementatie van technische aspecten die erbij komen kijken, blijkt zelfs voor de partijen die bekend zijn met de wet- en regelgeving, alsnog een struikelblok te zijn. Ook PrivacyZone komt tot die conclusie op basis van praktijkervaring en gesprekken met diverse ondernemers na AVG presentaties.

Uit onderzoek van de Consumentenbond blijkt ook dat 69% van de grote Nederlandse websites niet voldoen aan de AVG.

Ruwe onderzoeksresultaten

AVG Cloud Register keek voor zijn onderzoek naar de websites van juristen naar de volgende punten:

  • De aanwezigheid van een privacy statement
    74% voldeed hieraan, bij 26% ontbrak het privacystatement volledig, hoewel er wel persoonsgegevens middels bijvoorbeeld een contactformulier konden worden ingevuld;
  • De juistheid van het privacy statement
    67% van de eerder genoemde 74% waren correct, de overige 50% had onwaarheden of hiaten in hun privacystatement;
  • Google IP-adres anonimisering
    Binnen de AVG is het opslaan van een ip-adres een gegevensverwerking. Elke website die (veelal) Google Analytics gebruikt moet daarom hiervoor òf aan de websitebezoeker toestemming vragen middels een cookiemelding òf deze IP-adressen anonimiseren.
    Van de onderzochte partijen had 30% deze juist ingesteld en anonimiseerde 60% de ip-adressen van hun bezoekers niet. Vier procent leek geen bezoekersgedrag te volgen, voor de overige zes procent was het niet te achterhalen of ze aan de correcte of incorrecte kant zaten omtrent ip anonimisering voor Google Analytics;
  • Cookie implementatie
    Ondanks de reeds geldende Telecommunicatiewet, bleek de implementatie van cookies de grootste struikelblok voor juridische bureau’s: Slechts 26% deed dit conform AVG en Telecommunicatiewet.
    Van de 50 onderzochte websites, hanteerden 18 websites onterecht geen cookie-venster. Door gebruik van bijvoorbeeld niet privacy vriendelijke Youtube maar vooral social media widgets, was dit wel op zijn plaats.
  • Versleuteling persoonsgegevens
    Van gegevensversleuteling middels SSL certificaat, waarmee https en het groene slotje wordt bemachtigd, was in 76% van de onderzochte websites sprake. Aanvullend had 8% een certificaat, maar was dit incorrect geïmplementeerd.

Het percentage partijen die alle bovenstaande aspecten juist hebben uitgevoerd kwam op slechts 14%. Daarnaast ontbrak het bij 12% slechts aan één van bovenstaande zaken en kwamen ze daarmee in de buurt van AVG en privacy compliance.

De overige 74% voldoen op cruciale of meerdere vlakken niet aan de wetgeving. Hetgeen dat hieruit geconcludeerd kan worden, is dat kennis veelal bij de deur lijkt te stoppen op het gebied van privacy.

Voor organisaties is het noodzaak om de juiste partij aan te wijzen voor een verlengstuk op theoretische of juist praktische kennis.

Voor privacy compliance blijkt samenwerking  tussen juristen, programmeurs en security-experts buiten “ingewikkelde” informatiesystemen voor bijvoorbeeld zorg om, ook reeds noodzakelijk voor websites of webshops.

Conclusie van het onderzoek van AVG Cloud Register: bij AVG specialisten is de kans op datalekken net zo groot als bij andere ondernemingen. Bij de juristen ‘lekt’ het thuis net als bij de loodgieters.

Organisaties die hun zaken nog niet op orde hebben hoeven zich kortom niet te schamen. Maar zij moeten net als de AVG juristen langzamerhand wel beginnen een plan van aanpak te maken.

PrivacyZone weet uit ervaring dat het handig en verstandig is om daarvoor een externe privacymanager in te schakelen. Iemand van buiten die met een kritische blik professioneel jouw organisatie kan doorlichten en dan een gefundeerd plan van aanpak kan voorstellen. Een plan dat niet alleen goed is voor je AVG-verplichtingen, maar ook voor managers die wel eens op een andere manier naar hun organisatie willen laten kijken.

Natuurlijk, er zijn diverse goede AVG-werkboeken in omloop en wij weten dat veel bedrijven privacyverklaringen en verwerkingsovereenkomsten van collegas kopieren (foei, dat mag niet!), maar de kans dat er dan belangrijke zaken vergeten worden is reeel, blijkt uit de praktijk. Of er worden foute voorbeelden gekopieerd, van een bedrijf dat zelf weer fout van een ander had gekopieerd.

PrivacyZone kent de valkuilen en werkt samen met diverse specialisten. Privacymanagement is te ingewikkeld om het er in je eentje even bij te doen aan de hand van een handboek. Zelfs gespecialiseerde juristen tonen dat aan met hun websites.

En zeg nou zelf: als de auto een onderhoudsbeurt nodig is koop je toch ook geen handboek zodat je het er even zelf bij kunt doen?

Je administratie laat je – over het algemeen – toch ook door een accountant of administratiekantoor doen?

 

Hoe gaan verzekeraars om met onze privacy?

Verzekeraars lijken totaal nog niet klaar voor de privacywet. Dat weet ik uit eigen recente ervaring. En een onderzoek van Security.nl bevestigt het vermoeden dat veel verzekeringsbedrijven nog steeds veel meer persoonsgegevens verzamelen dan nodig is.

Security.nl onderzocht het privacybeleid websites van 37 Nederlandse verzekeraars. Daarover straks meer. Eerst mijn eigen praktijkervaring.

“Wat doet u met mijn persoonsgegevens?”, vroeg ik onlangs bij een schadeherstelbedrijf. Er zat een deuk in mijn auto. De eigenaar van de zaak had de schade getaxeerd en vertelde dat hij de hele afhandeling met de verzekering voor me zou rekenen. Prima service. Toch?

Als privacymanager was ik echter verbaasd dat ik nergens een handtekening hoefde te zetten. Geen idee welke processen er nu in gang gezet zouden worden. Ondertussen was er al wel een kopie gemaakt van rijbewijs en verzekeringspapieren.

Kortom maar eens gevraagd wat er nu met mijn gegevens ging gebeuren.

De schadehersteller keek me verbaasd aan. Waarom zou ik dat moeten willen weten? Alles wordt toch prima geregeld?

“Privacywet? Nog nooit van gehoord. Ik ben schadehersteller. Het systeem dat ik gebruik wordt door alle schadeherstelbedrijven gebruikt. Het is aangesloten op de systemen van alle verzekeraars waar hij zaken mee doet.”

De gegevens die een klant met schade achterlaat worden in het systeem ingevoerd en naar de verzekeraar gestuurd.

Is er een verwerkingsovereenkomst?

“Nog nooit van gehoord.”

Is er nog helemaal geen enkele verzekeraar die u geinformeerd heeft over de privacywet? Over maatregelen die zij genomen hebben?

“Nee. Geen enkele verzekeraar. Ik heb wel een formulier gekregen van de leverancier van mijn kopieerapparaat. Maar dat heb ik nog niet gelezen.”

Hebt u een idee wat zij nog meer met de persoonsgegevens van uw klanten zouden kunnen doen?

“Ze hebben me wel eens gevraagd om een enquete uit te zetten onder mijn klanten. Maar daar doe ik niet aan mee. Daar heb ik geen tijd voor.”

Ik was verbaasd. Een paar weken vooVerzekeraars hebben vaak een slecht imago. Waarom grijpen die bedrijven de GDPR niet aan om hun imago op te poetsen?

Security.nl dacht hetzelfde. De website stelde daarom de websites van 37 verzekeraars op de proef. Welke informatie verzamelen verzekeraars eigenlijk als je hun website bezoekt?

Security.nl onderzocht de verzekeringsites op:

  • Bij akkoord cookies en sortering naar aantal waargenomen trackers 
  • Bij akkoord cookies en sortering naar het aantal externe verbindingen
  • Bij niet akkoord cookies en maximaal data rond’zingen’ gesorteerd op aantal trackers en aantal verbindingen

Het resultaat van het onderzoek?

Security.nl concludeert dat de goedkoopste verzekeraars niet per se compenseren via privacy afbraak en reclame inkomsten.

En dat zeker niet de duurste verzekeraars niet méér privacy bieden. “Integendeel! Hoe groter hoe professioneler getrackt?”

Het hele onderzoek vindt u hier op Security.nl.