55 procent van de apps in de Google Play Store voldoet niet aan de AVG. Wat moet je als app-ontwikkelaar doen?

We maken op onze smartphones en tablets gebruik van diverse apps waarvan het merendeel niet rechtmatig persoonsgegevens verwerkt.

Volgens SafeDK – een softwarebedrijf die het gebruik van softwareontwikkelingskits (SDK’s) in mobiele apps controleert – voldoet 55 procent van de apps uit de Google Play Store momenteel (september 2018) niet aan de Algemene Verordening Gegevensbescherming.

Privacybeleid Apple appstore en Google Playstore

Apple en Google hebben aangekondigd binnenkort apps die niet aan de Algemene Verordening Gegevensbescherming (AGV) voldoen te willen gaan verwijderen.

Veel organisaties focussen zich bij het ontwikkelen van verplicht privacybeleid op social media apps als Whatsapp, Facebook, Twitter en Instagram.

De rest van de apps op smartphones en tablets wordt vaak vergeten. Terwijl ook veel van die apps voor datalekken kunnen zorgen.

PrivacyZone.nl beschrijft in dit artikel de risico’s voor de bedrijven die eigen apps hebben en de gebruikers van deze apps.

 

Veel apps verzamelen de volgende persoonsgegevens:

 

  • Gebruikersnaam
  • Wachtwoord
  • Emailadres
  • Mobiele telefoonnummer
  • IP adressen, Cookie ID ́s, IMEI nummer en andere elektronische identifyers
  • Contacten uit het adresboek
  • Bestanden die op het apparaat voorkomen zoals foto’s, video’s en andere bestanden
  • Informatie die de appgebruiker in de app invoert
  • Bestanden die de appgebruiker via de app verstuurt
  • Informatie over het gebruik van de app
  • Beelden die van de appgebruiker worden gemaakt via de camera
  • Stemopnamen die van de appgebruiker worden gemaakt via de microfoon
  • Log-in gegevens van social media accounts
  • Locatiegegevens

Laten we eerst eens naar deze apps kijken vanuit het blikpunt van de gebruiker.

Medewerkers die de apps gebruiken.

Mogen / kunnen deze medewerkers zelf apps installeren op hun smartphone of tablet?

Wie controleert of de apps voldoen aan de AVG?

Worden de apps ook vermeld in het verwerkingsregister?

Wordt er bij de AVG awareness training ook aandacht aan de risico’s van apps besteed?

Hoe zit het met privégebruik van de zakelijke telefoon? Mag dat? Is daar beleid voor ontwikkeld?

En hoe zit het omgekeerd met het zakelijk gebruik van privé smartphones en tablets. Hoe groot is de kans op zakelijke datalekken door deze privétoestellen?

Is er een Bring Your Own Device policy?

En laten we vervolgens eens vanuit het oogpunt kijken van organisaties die zelf een eigen app voor smartphones of tablets laten ontwikkelen.

Ben je een ontwikkelaar van apps? Dan is het in verband met de AVG van belang om te controleren of deze app niet te veel gegevens verzamelt.

Apps voor smartphones en tablets maken gebruik van verschillende privacygevoelige technische opties op deze apparaten. Ze hebben bijvoorbeeld toegang tot positiegegevens, de camera, de microfoon en het adresboek van de gebruiker.

Veel van de gegevens waar de app toegang tot heeft zijn echter helemaal niet nodig voor de functionaliteit het programma.

 

Ontwikkelaars van apps overtreden vaak bewust of onbewust de nieuwe Europese privacyregels.

Een van die regels is bijvoorbeeld ‘dataminimalisatie’. De app mag niet meer gegevens verwerken of vragen dan absoluut nodig is om goed te kunnen functioneren.

Sommige apps willen voortdurend toegang tot bestanden, media en foto’s. Of deze autorisaties echt nodig zijn voor de functionaliteit van de app is dan twijfelachtig.

 

Elke gebruiker die een applicatie installeert, geeft toestemming voor de bijbehorende gegevensverwerking.

Overtreding van wettelijke voorschriften kan leiden tot ongeldigheid van de gehele toestemming. Dit kan voor de ontwikkelaar leiden tot juridische problemen.

Apps moeten voordat ze voor de eerdte keer worden geactiveerd volgens de AVG expliciet toestemming vragen voor de verwerking van persoonsgegevens. Aan die eis wordt door veel apps niet voldaan.

Veel apps maken gebruik van Amerikaanse of Aziatische webservers. Datatransmissie naar deze servers wordt als onveilig beschouwd.

Een app moet worden ontwikkeld in overeenstemming met de regelgeving inzake gegevensbescherming. In de toekomst zullen daar ook de bepalingen van de ePrivacy Verordening nog bij komsn. Deze ePrivacyregelgeving vervangt de bepalingen van de Telecomwet, die nu nog van toepassing is.

De oude en de nieuwe privacyregels bepalen dat er op een begrijpelijke en gemakkelijk toegankelijke manier toestemming moet worden gevraagd voor het verwerken van persoonsgegevens.

Aansprakelijkheid ontwikkelaar app

Als je een eigen app in de Google Play Store of de Apple App Store hebt moet je te allen tijde aan de toezichthouder kunnen aantonen dat je voldoet aan de bepalingen van de AVG.

De bewijsplicht strekt zich ook uit tot de beveiliging van gegevensverwerking, de bescherming van de rechten van betrokkenen en de naleving van de algemene gegevensbeschermingsbeginselen.

Je bent verplicht een verwerkingsregister bij te houden en effectbeoordelingen op het gebied van gegevensbescherming op te stellen.

Privacy by design & privacy by default

De Europese privacyrichtlijnen schrijven voor dat een interne strategie moet worden ontwikkeld voor de tenuitvoerlegging van de vereisten inzake gegevensbescherming.

Enerzijds moet de eigenaar van een app ervoor zorgen dat de Europese pivacyregels worden nageleefd.

Anderzijds moet hij de gebruiker de mogelijkheid bieden om het gebruik van zijn persoonsgegevens te controleren of te wijzigen.

Elke app moet zo worden geprogrammeerd dat hij alleen de gegevens verzamelt en opslaat die nodig zijn voor de gegevensverwerking.

3.500 organisaties lekken persoonsgegevens via verkeerd ingestelde Google Groups

Securitybedrijf Kenna Security ontdekte bij onderzoek naar een aantal topdomeinen en meer dan 9600 organisaties met publieke Google Groups-instellingen diverse datalekken. Ruim 3.500 van deze organisaties bleken door verkeerd ingestelde privacyinstellingen gevoelige e-mail publiekelijk te delen.

Het gaat om ziekenhuizen, universiteiten, kranten, televisiestations en Amerikaanse overheidsinstellingen.

Google Groups is een onderdeel van Googles G Suite. Organisaties kunnen er online fora en e-mailgroepen mee aanmaken. Standaard staan deze groepen op “privé” ingesteld.

Het is ook mogelijk om de privacyinstellingen aan te passen en uitgewisselde e-mails voor iedereen toegankelijk te maken.

Google bevestigt dat sommige klanten per ongeluk gevoelige informatie hebben gedeeld als gevolg van verkeerd ingestelde Google Groups-instellingen.

Om dit te voorkomen heeft Google een uitleg online geplaatst met adviezen om Google Groups juist in te stellen en krijgen organisaties het advies dit te controleren.

Misleiding by design door Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram

NRC keek met twee ervaren ontwerpers hoe Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram hun nieuwe voorwaarden aan hun klanten opdringen.

 

De bedrijven gebruiken ‘foute’ vormgeving om toestemming te krijgen voor hun privacyinstellingen. De vuistregel: hoe meer data bedrijven van je nodig hebben, hoe meer moeite het kost om je dataspoor te beperken, concludeert NRC.

Misleiding by design dus.

Maar dat mag toch helemaal niet volgens de AVG?

Er wordt toch duidelijk privacy by design geeist?

Klopt. Maar privacy by design betekent in de AVG iets anders dan de vormgeving van websites en buttons waarmee om toestemming wordt gevraagd.

Privacy by design betekent dat organisaties nieuwe apparaten en applicaties zo moeten maken dat op voorhand al kan worden ingespeeld op toekomstige bedreigingen door hackers.

Dat gaat niet over de misleidende vormgeving.

Maar dat wil niet zeggen dat Facebook & Co er zo eenvoudig mee weg komen. Dat ze een maas in de privacywet hebben gevonden.

De AVG is ook heel duidelijk over de manier waarop toestemming moet worden gevraagd.

Toestemming moet ondubbelzinnig zijn.

Dit betekent dat er voor de verantwoordelijke geen twijfel mag bestaan of de betrokkene wel echt bedoelt dat hij akkoord gaat met de gegevensverwerking.

Als de grote internetbedrijven duidelijk bezig zijn om hun klanten op het verkeerde been te zetten is er toch duidelijk geen sprake van ondubbelzinnig verkregen toestemming?

De verantwoordelijkheid voor het duidelijk onomwonden niet mis te verstaan vragen om toestemming ligt bij de organisatie die de persoonsgegevens wil verwerken.

Zo specifiek mogelijk

Dat betekent dat de organisatie zo specifiek mogelijk dient te vertellen waar een klant mee akkoord gaat.

En dat moet zo gebeuren dat een doorsneegebruiker het allemaal begrijpt.

De analyse van de manipulatieve trucs van Apple, Google, Microsoft, Twitter, Facebook, WhatsApp en Instagram is in ieder geval wel helder. Er is duidelijk sprake van misleiding.

Hoe reageert de Autoriteit Persoonsgegevens?

Ik ben benieuwd hoe de Autoriteit Persoonsgegevens reageert op de trucs van de online marktleiders.

Lees het artikel in NRC en oordeel zelf. Waarom je toch weer op OK klikt…

GDPR Nieuwsmonitor PrivacyZone

Het is voor alle organisaties van groot belang om op de hoogte te blijven met actuele ontwikkelingen rond privacywetgeving, jurisprudentie, risico’s  en innovaties die betrekking hebben op hun vakgebied. De GDPR bepaalt dat iedere organisatie inspeelt op actuele bedreigingen en ontwikkelingen. PrivacyZone doet dat onder meer aan de hand van eenvoudige zoekopdrachten op Google. Daarnaast maken wij gebruik van de rss-dienst Feedly, waarin wij deze zoekopdrachten monitoren in Google en social media.