Persondataforordringen er på trapperne, og virksomheder bør allerede nu være i gang med sikre at nye og eksisterende app-projekter overholder forordningen. App-udviklings huset Nodes deler her deres 5-steps til at blive klar.
Artiklen er udarbejdet af Oliver Wang Hansen og Laus Breyen, som begge er en del af GDPR Taskforce hos Danmarks førende app-udviklingshus. Nodes har kunder over hele Europa, der påvirkes af den kommende forordning, og derfor har vi udviklet en proces, der hjælper dig til at få et overblik over, hvad der skal gøres ved din app for at leve op til forordningen.
Borgerne skal have kontrollen over deres data tilbage. De skal vide, hvornår de afgiver data til en virksomhed og have ret til at få den udleveret eller glemt. Det er det overordnede mål med den nye europæiske persondataforordring (GDPR), som rammer på tværs af Europa 25. maj.
Tidligere var devisen ‘jo flere data des bedre’. Men med de nye regler skal virksomheder kunne dokumentere, hvilke data de opsamler, hvordan de bliver opbevaret og delt – og at de har fået lov af brugeren til at opsamle specifikke data.
Det gælder også for virksomhedens apps. Ikke bare kunde- eller borgervendte apps men også medarbejderrettede apps – i det hele taget alle digitale platforme hvor der indsamles personhenførbare data.
Bryder man de nye regler, er konsekvenserne store og bøden for mangelfuld overholdelse kan løbe op i 20 millioner euro eller 4% af den globale omsætning.
Hertil kommer ridser i virksomhedens image, risiko for kundeflugt og generelt begrænsede muligheder for at drive forretning.
Kommer man i gang nu, så man er på forkant er der også muligheder i de nye regler. Virksomheder bør mappe data og blive bevidste om hvilke data der indsamles, og hvordan det håndteres. Data er guld, siger man, og af samme grund skal alt data ‘bogføres’ og dokumenteres.
Det er ikke kun en opgave for IT afdelingen, men noget ledelsen bør engagere sig i. Det handler nemlig også om at prioritere hvilke datapunkter, der er afgørende for at skabe den relevante og personlige kundeoplevelse.
Nodes har udviklet en metode, der i fem trin hjælper virksomheder med at få deres apps til at blive compliant:
Step 1: User Interface Privacy review
Med de nye regler er det ikke længere er nok at gemme sig bag lange Terms & Conditions, hvis man vil indsamle data. Bevisbyrden for samtykke til at indsamle data, ligger hos virksomheden, så brugerne skal forstå, hvilke data der bliver indsamlet og hvorfor.
Alle skærme i appen bør gennemgås for at finde ud af, hvor brugeren skal give samtykke – og hvordan det spiller sammen med de overliggende vilkår.
Beder man eksempelvis brugeren taste sin vægt ind i en fitness app, skal der også kommunikeres, hvad den data skal bruges til.
Det kaldes ”Privacy by design”. Det er et mindset om at sætte brugerens datasikkerhed øverst og det skal være en del af brugerinterfacet, så forklaringerne kommer løbende uden at det gør brugeroplevelsen dårligere. Faktisk kan det forbedre brugeroplevelsen, hvis det formidles godt og værdien synliggøres for kunden.
Step 2: Data- and system mapping
Data opsamles i en database, men det er sjældent det eneste sted, den lagres. Måske bliver det også sendt videre til Facebook, en push-provider eller et ERP-system, som er med til at berige de informationer, virksomheden selv opsamler.
I andet trin mappes alle de forskellige subsystemer og integrationer, der er lavet på det lag, hvor data gemmes og processeres. På den måde kan virksomheden dokumentere, hvordan brugerens data behandles, hvor den sendes hen og hvilke touchpoints der er undervejs.
Den kortlægning sætter virksomheden i stand til at reagere lynhurtigt, hvis en bruger ønsker sin data, eller der sker et data læk.
Samtidig giver det en højere bevidsthed om brugen af data: Opsamler og gemmer man data, som ikke bliver brugt nogle steder, skal der tages stilling til, om det skal fjernes eller om det skal bruges.
Step 3: Security check
I bund og grund er sikkerhed lige så vigtigt, som det altid har været.
Nogle arbejder løbende med det gennem kontinuerlig vedligeholdelse af virksomhedens apps, mens andre har fået et større juridisk incitament for at være sikker på, at der er styr på sikkerheden.
De fleste virksomheder som arbejder professionelt med apps har en serviceaftale med leverandøren, som gennemfører løbende vedligeholdelse.
I Step 3 analyseres sikkerheden i systemerne.
Hackere bliver bedre og bedre til at finde hullerne i de gængse frameworks. Og da nogle apps er flere år gamle, undersøger vi både svagheder i stack security, altså hvorvidt de forskellige frameworks og systemer er up-to-date.
Derudover ses der også på om der er nogle steder, der kræver mere sikkerhed eller om brugerens data bliver eksponeret uden samtykke, når man laver et API kald.
Sikkerheden rangeres på forskellige parametre fra 1-5, således at en indsats kan prioriteres i det fremadrettede arbejde.
Step 4: Contracts and accounts
En vigtigt del i ‘at have orden i sit data penalhus’ er at have styr på kontrakter og konti med alle leverandører og underleverandører.
Det er vigtigt, at virksomhedens data ikke opbevares samme sted som andre virksomheders data, så ét login kan medføre databrud flere steder.
På den måde får virksomheden selv nøglen til al sin data, hvilket også er en fordel, hvis man på et tidspunkt vil flytte sine services in house eller over til en anden udbyder.
Step 5: Process recommendation
Analysen i de fire forudgående punkter munder ud i én samlet rapport med en vurdering af virksomhedens compliance på de forskellige punkter. Derudover udarbejdes processer for hvordan brugere kan få udleveret, slettet eller redigeret data samt procedure i tilfælde af data læg.
Persondataforordningen stiller en lang række krav til hvordan virksomheder behandler data, dette gælder også apps.
Stadig i tvivl?
Er du i tvivl om hvordan I griber ovenstående proces an således at din app overholder lovgivningen d. 25. maj, opfordrer vi dig til at tage fat i en af vores eksperter eller læse mere om vores appudviklingsproces.