Glöm inte apparna när ni anpassar för GDPR

Alla mobilappar, till och med spel, innefattas av GDPR och det är därför viktigt att persondata hanteras på rätt sätt även i mobilappar. Läs mer om hur ni bör tänka när det kommer till GDPR-anpassning för appar.

http://Caterina

Caterina Franceschi

Jurist / projektledare

caterina.franceschi@consid.se 070-834 06 98

Apparna minst lika viktiga att GDPR-anpassa

Den 25 maj 2018 slopades PuL, Personuppgiftslagen, och den så kallade General Data Protection Regulation (GDPR) trädde i kraft. De allra flesta företag är bekanta med detta och har vidtagit åtgärder som måste göras av befintliga IT-system. Men många glömmer mobilapparna!

Alla mobilappar, till och med spel innefattas av GDPR och det är därför viktigt att persondata hanteras på rätt sätt även i era mobilappar. Något som kanske inte är glasklart i förordningen, men blir det när vi djupdyker och tittar på exempelvis artikel 25 och artikel 32.

Kryptering, anonymisering och skydd av vilande uppgifter

Det gäller att dataskydd prioriteras till att vara något som man hela tiden avsiktligt föregår i sin IT-miljö, där även mobilapplikationer inkluderas. Det finns gott om verktyg och tekniker tillgängliga för att skydda personuppgifter när det kommer till kryptering av kommunikation, anonymisering av personlig information eller skydd av inaktiv eller vilande data på mobila enheter.

Det gäller också att man har ett arbetssätt och en metod som i utvecklingen av appen säkerställer att den uppfyller kraven kring säkerhet genom att minimera hantering av personuppgifter som samlas in och används samt att appen kommunicerar till externa system på ett säkert sätt

Det finns alltså en viktig aspekt som inte bara handlar om tekniska förutsättningar, utan också hur man väljer att appen exponerar mot känsliga data i andra system.

 

Appar extra känsliga

I förordningen är det tydligt hur teknologierna, som används för att skydda personuppgifter, ska användas för att bli rätt enligt lagen. Mobila applikationer är särskilt utsatta och därmed extra riskfyllda eftersom data i applikationen används på enheter som både är uppkopplade och bärbara, vilket innebär att det är ökad risk att enheten blir stulen eller tappas bort som i sin tur leder till att känsliga personuppgifter kan hamna i fel händer.

Krypterad kommunikation samt lagring av data krävs för att uppfylla detta krav och utöver krypteringen rekommenderas åtgärder för att minska sårbarheten av er applikation för att i slutändan minimera riskerna som den förknippas med.

 

GDPR Best Practices

I vår bransch pratar vi ofta om best practises, vilket innebär att det finns en rad olika rekommendationer för att enklare uppnå ett så bra resultat som möjligt. Detta utifrån väl fungerande och beprövade praxis som finns att tillgå för stunden. Vi har ringat in följande områden som särskilt viktiga:

Kryptering

  • Appar ska använda SSL eller HTTPS för extern kommunikation.
  • Vid kommunikation av personuppgifter måste denna data krypteras.
  • Giltigt certifikat ska användas så att din app inte accepterar alla säkerhetscertifikat och ska helst knytas till ett särskilt certifikat som säkerställer att du kommunicerar med den specifikt avsedda servern.

Personlig data

Personlig information är inte bara information som samlats in från en användare via formulär utan den innehåller också information som din app kan komma åt på enheten, inklusive telefonnummer, SMS, fotodata och hälsorelaterade data.

  • Säkerställ att din app begränsar åtkomsten till data till minsta möjliga grad som krävs för funktionen.
  • Om information ska överföras från enheten, se till att det tydligt kommunicerar och ge användaren har ger sitt samtycke.
  • Appen ska i grunden byggas så nätt som möjligt när det gäller databearbetning, för att ha så lite data som möjligt som behöver kontrolleras.

Uppdateringars sårbarhet

Många överträdelser är fullt ut undvikbara genom att:

  • Ni säkerställer att appen ständigt hålls uppdaterad.
  • Appen inte använder gamla OS-principer med kända sårbarheter som kan utnyttjas.

Vad kan ni göra?

Nedan följer en lista på några av de insatser man behöver göra för att säkerställa att ens app är GDPR-anpassad.

  • Ta tid till att förstå hur er app samlar in och använder personuppgifter.
  • Se till att ni uppfyller kraven för att kryptera datakommunikation och lagring av personuppgifter.
  • Upprätthåll god dokumentation och följa principerna för mobil autentisering, kryptering och säker dataöverföring
  • Ta hjälp av extern teknisk part för att utreda de tekniska förutsättningarna.
  • Underhåll och uppdatera ständigt era applikationer för att säkerställa att ni inte utsätter användarna för onödiga sårbarheter.

Vi hjälper er GDPR-anpassa apparna

Vi på Consid har mångårig erfarenhet av datasäkerhet och behandling av personuppgifter i appar. Vi har, sedan långt innan GDPR:s intåg, jobbat tätt med världsledande organisationer för att säkerställa personlig integritet och datasäkerhet i både stora och små applösningar. Är ni osäkra på vad ni behöver göra? Hör av er via formuläret nedan.

Vill du veta mer om GDPR?

Skicka ett meddelande så hör vi av oss så snart vi kan

    Kontakta mig direkt

    Caterina

    Caterina Franceschi

    Jurist / projektledare

    Caterina är expert på cookies och den nya EU-vägledningen. Hon vägleder organisationer gällande nya cookiebanners...

    Caterina är expert på cookies och den nya EU-vägledningen. Hon vägleder organisationer gällande nya cookiebanners och tekniska val.

    caterina.franceschi@consid.se 070-834 06 98

    Läs mer om GDPR