Glöm inte apparna när ni planerar för GDPR!

 

 

Den 25 maj 2018 slopas PuL, Personuppgiftslagen, och den så kallade General Data Protection Regulation (GDPR) träder i kraft. De allra flesta företag är bekanta med detta och planerar för vilka åtgärder och anpassningar som måste göras av verksamhetens befintliga IT-system. Glöm då inte att även era mobilappar påverkas! Alla mobilappar, till och med spel innefattas av GDPR och det är därför viktigt att persondata hanteras på rätt sätt även i era mobilappar.

Att appar även innefattas är mer eller mindre tydligt i förordningen och när vi djupdyker och tittar på exempelvis artikel 25 och 32 hittar vi följande:

Det gäller att dataskydd prioriteras till att vara något som man hela tiden avsiktligt föregår i sin IT-miljö, där även mobilapplikationer inkluderas. Det finns gott om verktyg och tekniker tillgängliga för att skydda personuppgifter när det kommer till kryptering av kommunikation, anonymisering av personlig information eller skydd av inaktiv eller vilande data på mobila enheter. Det gäller också att man har ett arbetssätt och en metod som i utvecklingen av appen säkerställer att den uppfyller kraven kring säkerhet genom att minimera hantering av personuppgifter som samlas in och används samt att appen kommunicerar till externa system på ett säkert sättDet finns alltså en viktig aspekt som inte bara handlar om tekniska förutsättningar, utan också hur man väljer att appen exponerar mot känsliga data i andra system.

Vi ser att detta stycke förklarar hur teknologierna, som används för att skydda personuppgifter, ska användas för att bli rätt enligt lagen. Mobila applikationer är särskilt utsatta och därmed extra riskfyllda eftersom data i applikationen används på enheter som både är anslutna och bärbara, vilket innebär att det är ökad risk att enheten blir stulen eller tappas bort som i sin tur leder till att känsliga personuppgifter kan hamna i fel händer. Krypterad kommunikation samt lagring av data krävs för att uppfylla detta krav och utöver krypteringen rekommenderas åtgärder för att minska sårbarheten av er applikation för att i slutändan minimera riskerna som den förknippas med.

Best Practices

I vår bransch pratar vi ofta om best practises, vilket innebär att det finns en rad olika rekommendationer för att enklare uppnå ett så bra resultat som möjligt. Detta utifrån väl fungerande och beprövade praxis som finns att tillgå för stunden. Vi har ringat in följande områden som särskilt viktiga:

Kryptering

  • Appar ska använda SSL eller HTTPS för extern kommunikation.
  • Vid kommunikation av personuppgifter måste denna data krypteras.
  • Giltigt certifikat ska användas så att din app inte accepterar alla säkerhetscertifikat och ska helst knytas till ett särskilt certifikat som säkerställer att du kommunicerar med den specifikt avsedda servern.

Personlig data
Personlig information är inte bara information som samlats in från en användare via formulär utan den innehåller också information som din app kan komma åt på enheten, inklusive telefonnummer, SMS, fotodata och hälsorelaterade data.

  • Säkerställ att din app begränsar åtkomsten till data till minsta möjliga grad som krävs för funktionen.
  • Om information ska överföras från enheten, se till att det tydligt kommunicerar och ge användaren har ger sitt samtycke.
  • Appen ska i grunden byggas så nätt som möjligt när det gäller databearbetning, för att ha så lite data som möjligt som behöver kontrolleras.

Uppdateringars sårbarhet
Många överträdelser är fullt ut undvikbara genom att:

  • Ni säkerställer att appen ständigt hålls uppdaterad.
  • Appen inte använder gamla OS-principer med kända sårbarheter som kan utnyttjas.

 

Vad kan ni göra?

  • Ta tid till att förstå hur er app samlar in och använder personuppgifter.
  • Se till att ni uppfyller kraven för att kryptera datakommunikation och lagring av personuppgifter.
  • Upprätthåll god dokumentation kring kryptering- och dataöverföringsprinciper.
  • Ta hjälp av extern teknisk part för att utreda de tekniska förutsättningarna.
  • Underhåll och uppdatera ständigt era applikationer för att säkerställa att ni inte utsätter användarna för onödiga sårbarheter.

Consid – ett prisvinnande bolag

Consid är ett av Sveriges snabbast växande bolag som erbjuder konsulttjänster inom IT, management och digital marknadsföring. Företaget startades 2000 av Peter Hellgren och Henrik Sandell och har idag nära 1000 anställda. Omsättningen för 2019 var 1 050 000 000 kronor.

Gasellföretag Dagens Industri

Gasellföretag
8 år i rad

Superföretag Veckans Affärer IT-konsultbolag

Superföretag
7 år i rad

Karriärföretag 2020

Karriärföretag
5 år i rad

Sveriges bästa arbetsgivare Universum IT-bolag

Sveriges bästa
arbetsgivare

Läs mer om våra utmärkelser