Skip links
5 stappen om GDPR-conform te worden met je mobiele app

5 stappen om GDPR-conform te worden met je mobiele app

De algemene verordening inzake gegevensbescherming (AVG / GDPR) nadert snel en schrijft voor dat bedrijven de persoonsgegevens en de privacy van Europese burgers moeten beschermen. Bedrijven zouden er nu al aan moeten werken om ervoor te zorgen dat nieuwe en bestaande app-projecten allemaal aan de verordening voldoen. Bereid je goed voor met dit 5-stappenplan.

Nodes heeft in heel Europa divisies en klanten, die allemaal worden getroffen door de komende regelgeving.

Geschreven door Oliver Wang Hansen en Laus Breyen. Beiden werken als onderdeel van de GDPR Taskforce  bij Nodes. 

Burgers gaan de controle over hun gegevens terugkrijgen. Zij moeten weten wanneer zij gegevens aan een bedrijf verstrekken en gebruik maken van hun recht om hun gegevens terug te krijgen of te worden vergeten. Dat is de overkoepelende doelstelling van de nieuwe Europese GDPR wet die op 25 mei in heel Europa van kracht zal zijn. 

De mantra “Hoe meer gegevens, hoe beter” wordt met de nieuwe wet ernstig op de proef gesteld, omdat bedrijven moeten kunnen documenteren welke gegevens ze verzamelen, hoe deze gegevens opslaan en hoe ze deze data delen. Daarnaast moeten ze bewijzen dat de consument in de eerste plaats toestemming heeft gegeven om specifieke gegevens te verzamelen.

Dit is niet alleen belangrijk voor consumenten, maar ook voor bedrijfsapps. In het algemeen geldt het voor alle digitale platforms die persoonlijk identificeerbare gegevens verzamelen. Als je de regels overtreedt, zijn de gevolgen ernstig. De boete kan oplopen tot 20 miljoen euro of 4% van de wereldwijde inkomsten. 

Bovendien staat het imago van je onderneming op het spel, met het risico klanten te verliezen als hun data gelekt wordt.  Bedrijven moeten hun gegevens in kaart brengen en zich bewust worden van welke gegevens ze verzamelen en hoe ze die controleren.

Het is niet alleen een taak voor de IT-afdeling, maar ook een zaak voor het management om prioriteit te geven aan welke datapunten cruciaal zijn om de relevante en persoonlijke klantervaring te creëren.

We hebben een vijf stappenplannen opgezet om bedrijven te helpen hun apps conform te maken.

Stap 1: Beoordeling van de privacy van gebruikersinterface

Met GDPR kunnen bedrijven zich niet langer verschuilen achter een eindeloze terms & conditions sheet. In plaats daarvan moeten zij duidelijk maken hoe en waarom zij de gegevens verzamelen. Alle aspecten van een app moeten worden beoordeeld om te bepalen waar een gebruiker toestemming moet geven en hoe dat in wisselwerking staat met de algemene voorwaarden.

Bijvoorbeeld, een fitness app: Als je een gebruiker vraagt om zijn of haar gegevens over gewicht, lengte en leeftijd in te voeren, moet je meedelen met welk doel je dat soort gegevens verzamelt. In dit geval dus voor hun fitness.

Deze methode wordt “privacy by design” genoemd. Het is een mentaliteit die de gegevensbeveiliging van de gebruiker op de eerste plaats zet en daarom moet het integreren met de UI, zodat er voortdurend uitleg wordt gegeven zonder de gebruikerservaring aan te tasten.

Het kan zelfs de gebruikerservaring verbeteren als de apps de waarde voor de gebruiker duidelijk communiceren.

Stap 2: Data- en system mapping

De gegevens worden op gestandaardiseerde wijze opgeslagen in een database. Maar dat is zelden de enige plaats waar de gegevens terechtkomen. Misschien heeft Facebook ook toegang tot de gegevens, of komt het terecht in de handen van een push-provider of een ander ERP-systeem dat de door het bedrijf verzamelde informatie beheert. 

In een tweede stap worden alle verschillende subsystemen en integraties in kaart gebracht, die worden gebouwd op de laag waar de gegevens worden opgeslagen en verwerkt.

Op die manier kan een bedrijf alle aanraakpunten die betrokken zijn bij de data documenteren. Door de mapping kan het bedrijf snel reageren als een gebruiker zijn gegevens wil ophalen of als er een datalek optreedt.

Tegelijkertijd geeft het meer inzicht in datagebruik: ben je gegevens aan het verzamelen die nergens worden gebruikt, dan moet je beslissen om ze te verwijderen of te gebruiken.

Stap 3: Beveiligingscontrole

Veiligheid is nog altijd erg belangrijk. Sommige bedrijven werken al continu aan beveiliging door middel van app-onderhoud, terwijl anderen er nu snel voor gaan zorgen dat beveiliging voorop staat. De meerderheid van de bedrijven die professioneel met apps werken, hebben een servicecontract met een leverancier die continu onderhoud uitvoert. In de derde stap wordt de beveiliging van de systemen geanalyseerd.

Hackers verbeteren voortdurend hun vaardigheden om zo een lek te vinden. En omdat sommige apps een paar jaar oud zijn, testen we op zwakke plekken in de stack om er zeker van te zijn dat ze niet verlopen zijn.

Wij zorgen ervoor dat alle frameworks en systemen up-to-date, en geven ze een score van 1 tot 5.

Stap 4: Contracten en boekhouding

Een belangrijk deel van de verplichtingen bestaat uit het bewaken van contracten met alle leveranciers en onderaannemers. 

Het is belangrijk dat de gegevens van een bedrijf niet worden bewaard bij die van een ander bedrijf, zodat één login meerdere gegevens inbreuken kan veroorzaken. 

Als dit veilig is, heeft het bedrijf de sleutel voor zijn eigen gegevens, wat ook een voordeel is als je diensten binnenshuis of naar een andere leverancier wilt verhuizen.

Stap 5: Proces Aanbeveling

Op basis van de vier voorgaande stappen voeren we een rapport uit waarin de compliance van een bedrijf op verschillende aanraakpunten wordt beoordeeld.

Het rapport geeft ook inzicht in de manier waarop gebruikers hun gegevens kunnen terugkrijgen, wissen of bewerken, evenals een procedure voor gegevens inbreuken.

Neem contact op met Nodes om tips te krijgen over hoe jouw app compliant kan worden of als je meer wilt weten over hoe jouw app op dit moment voldoet aan de komende GDPR.

Call Now ButtonNeem contact op!