Mobilt personvern. Godt personvern for apputviklere. Mai Mobilt personvern veileder for apputviklere 1. Mai 2014

Transkript

1 Mobilt personvern Godt personvern for apputviklere 1

2 Innhold Hvem er veilederen laget for?... 3 Behandler appen din personopplysninger?... 4 Hvem er ansvarlig for behandling av personopplysninger i appen?... 6 Hvilke opplysninger samler appen inn?... 9 Hvordan informere brukere og innhente samtykke? Hvordan gi brukere tilbakemelding og kontroll? Hvordan ivareta informasjonssikkerheten? Hvordan teste og vedlikeholde appen din? Vedlegg Eksempler på god (og dårlig) praksis Denne veilederen ble utviklet av det britiske Information Commissioner s Office i Innholdet er oversatt og tilpasset norske forhold av det norske Datatilsynet. 2

3 Hvem er veilederen laget for? Personopplysningsloven beskytter den enkeltes personvern. Når du utvikler mobilapper må du rette deg etter loven på samme måte som alle andre virksomheter. Denne veilederen hjelper deg å ivareta personvernet fra starten av utviklingen av en app. Denne veilederen er først og fremst beregnet for deg som driver med apputvikling for mobile enheter som smarttelefoner eller nettbrett, men ikke nødvendigvis eier appen. Den kan også være nyttig for utviklere av apper for andre enheter som anvender lignende teknologi, for eksempel smart-tv eller spillkonsoller. Veilederen vil også være nyttig for aktører som bestiller apper fra apputviklere (altså app-eiere som er behandlingsansvarlige). Du finner mer generell veiledning om personvern på Et typisk mobilt økosystem inneholder flere ulike komponenter; den mobile enheten, operativsystemet og diverse apper fra ulike leverandører. På sett og vis er det mobile økosystemet en videreutvikling av systemet som har blitt benyttet på datamaskiner i årevis. Det er likevel noen aspekter ved mobil teknologi som gjør at det er ekstra viktig å ivareta personvernet når man utvikler apper: Mobile enheter, som smarttelefoner og nettbrett, er bærbare, personlige, i hyppig bruk og som oftest slått på. Mobile enheter har som regel tilgang til forskjellige sensorer og data i enheten, for eksempel mikrofon, kamera og GPS-funksjoner, samt brukerdata, som e-post, tekstmeldinger og kontakter. Apper kan konfigureres på mange ulike måter, og det er ikke nødvendigvis klart for brukeren hvordan personopplysninger håndteres bak appens brukergrensesnitt. Mobile enheter har små skjermer, ofte med et berøringsbasert grensesnitt. Dette kan gjøre det mer utfordrende for apper å kommunisere personverninformasjon til brukerne på en effektiv måte. Forbrukernes forventning om at bruk og informasjon skal være enkel og lettlest kan medføre at utviklere ønsker å unngå at brukerne må forholde seg til omfattende avtaler og personvernerklæringer. Brukerne vil stole mer på apper som klart og tydelig ivaretar deres personvern. Apper, som bruker personopplysninger på en måte som gjør brukerne usikre på hva som foregår eller hvorfor, kan risikere å bli avinstallert eller slettet. Ved apputvikling, som ved all annen programvareutvikling, er det lettere å ivareta hensynet til personvern hvis det gjøres fra starten av, enn hvis det gjøres i etterkant. 3

4 Å ta hensyn til personvernet fra starten av et utviklingsløp kalles innebygd personvern eller Privacy by Design 1. Behandler appen din personopplysninger? Bruk av personopplysninger reguleres av personopplysningsloven. Personopplysninger defineres slik i loven: Personopplysning: opplysninger og vurderinger som kan knyttes til en enkeltperson. Vær oppmerksom på at definisjonen omfatter mer enn bare den typen informasjon som vanligvis anses å utgjøre en tradisjonell identifikator, som en persons navn eller et portrettbilde. Et godt eksempel på dette, ved bruk av apper på mobile enheter, er unike enhetsidentifikatorer som for eksempel IMEI-nummeret. Selv om dette nummeret ikke navngir personen, faller det inn under definisjonen av personopplysninger dersom det kan knyttes til en enkeltperson eller en liten gruppe. Eksempel Du skal utvikle en app som har som formål å vise kart. Brukerne kan laste ned kartene til sine mobile enheter fra din sentrale server. Deretter kan kartene benyttes på de mobile enhetene uten nettverkstilgang. Du tenker at det kan være nyttig å kartlegge hvilke brukere som laster de ulike kartene. Denne informasjonen kan brukes til å sende målrettede forslag til den enkelte bruker om hvilke andre kart de kan være interessert i. Du vurderer å bruke følgende data for å identifisere dem som laster ned kartene: enhetens IMEI-nummer, MAC-adressen til enhetens trådløse nettverkstilkobling, og telefonnummeret tilknyttet den mobile enheten. Du innser at alle disse identifikatorene kan utgjøre personopplysninger, og for å gjøre det enkelt, bestemmer deg for å unngå å bruke denne type informasjon. I stedet velger du å innhente brukernes samtykke til bruk av funksjonen som sender ut kartforslag. Når en bruker samtykker til dette, tildeles han eller hun en unik og tilfeldig generert identifikator som brukes kun for denne appen

5 Selv om unike identifikatorer av denne typen i noen tilfeller ikke identifiserer en person, kan de helt klart gjøre det. De må dermed håndteres deretter, når du designer en app. Hvis du er usikker på om dataene du bruker samlet utgjør personopplysninger, vil det være enklere å behandle dem som personopplysninger fra starten av enn å måtte endre appen i ettertid. 5

6 Hvem er ansvarlig for behandling av personopplysninger i appen? Når du utvikler en app må du avklare hvem som er ansvarlig for behandlingen av brukernes personopplysninger. Begrepet behandlingsansvarlig er definert på følgende måte i personopplysningsloven: Behandlingsansvarlig: den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes. Det betyr at den som bestemmer hva personopplysningene skal brukes til og derfor også hvorfor opplysningene samles inn, er behandlingsansvarlig. I praksis vil det være virksomhetens øverste administrative leder som er behandlingsansvarlig. Lederen kan delegere oppgaver nedover i organisasjonen, men den øverste ledelsen har fortsatt ansvaret for at behandling av personopplysninger skjer på en god måte. Hvis appen kun kjøres på den mobile enheten, og ikke samler inn eller overfører data til andre steder, er ikke appen omfattet av lovens bestemmelser. Hvis appen derimot overfører brukernes personopplysninger til et annet sted for videre behandling, må du gi brukeren informasjon om overføringen, og eventuelt hvem som er behandlingsansvarlig for de overførte opplysningene. Uansett om du samler inn personopplysninger via apper eller nettsider, skal brukerne få tydelig informasjon om hvor og hvordan personopplysninger blir behandlet. I tabllen under finner du noen eksempler på hvem som er behandlingsansvarlig i ulike situasjoner: 6

7 Eksempel på app Enkel notatfunksjon: Appen din gjør det mulig for brukerne å ta enkle notater og lagre dem på enheten for senere bruk. Notatene kan i noen tilfeller inneholde personopplysninger. Sosiale medier: Appen gjør det mulig for brukerne å dele informasjon med hverandre, inkludert å foreslå venner basert på kontakter lagret på den enkelte brukers enhet. Hvem er behandlingsansvarlig? Brukerne har full kontroll over eventuelle personopplysninger som legges inn i appen, slik at det ikke vil være andre behandlingsansvarlige enn brukeren selv i dette tilfellet. Du vil være behandlingsansvarlig for alle personopplysninger som mottas av den sentrale serveren. Dette er mulig fordi appen kommuniserer med en sentral server som du har kontroll over. Du åpner ikke for annonsering fra tredjeparter, men sørger for all annonsering selv. Sosiale medier (nettskybasert): Som beskrevet overfor bortsett fra at den sentrale serveren er tilknyttet en leverandør av nettskytjenester. Reklamefinansiert spill: Appen er et spill som kan lastes ned gratis og finansieres gjennom reklame som leveres via en tredjeparts reklamenettverk. Reklamenettverket kan benytte personopplysninger til å levere reklame basert på historiske surfeinteresser. Brukeranmeldelser: Formålet med appen din er å legge inn brukeranmeldelser på en tredjeparts nettside som du ikke har kontroll over. Du vil være behandlingsansvarlig for alle personopplysninger som mottas av den sentrale serveren. Nettskyleverandøren har rollen som databehandler (se definisjon under). Reklamenettverket vil være behandlingsansvarlig. Som utvikler eller appeier er du pliktig å informere brukerne om hvilke personopplysninger som vil bli samlet inn, hvor de vil bli brukt, av hvem og hvilke kontrolltiltak som vil være tilgjengelig for brukerne. Organisasjonen som er ansvarlig for nettsiden for slike anmeldelser vil være behandlingsansvarlig for alle personopplysninger som overføres til nettsiden. Som utvikler vil du ikke være behandlingsansvarlig, men du bør likevel informere klart og tydelig om hva som vil skje med opplysningene som overføres via din app. 7

8 Hvis du er en behandlingsansvarlig og skal behandle personopplysninger med elektroniske hjelpemidler plikter du å melde fra til Datatilsynet 30 dager før behandlingen starter. Flere detaljer og unntak fra meldeplikten finner du på Datatilsynets hjemmesider. 2 Vær oppmerksom på at selv om andre utfører tjenester som webhosting for deg, vil ansvaret for å ivareta personvernet alltid ligge hos den behandlingsansvarlige altså den som er oppdragsgiver. Personopplysningsloven krever at du inngår en databehandleravtale med underleverandører, som også må inneholde krav til informasjonssikkerhet hos. 3 I personopplysningsloven er begrepet databehandler definert på følgende måte: Databehandler: den som behandler personopplysninger på vegne av den behandlingsansvarlige. Hvis du jobber med å utvikle en app på vegne av en kunde, vil du som regel ikke være behandlingsansvarlig. Kunden vil derimot måtte sikre at behandlingen av personopplysninger er i samsvar med regelverket. Det er derfor hensiktsmessig at du tar hensyn til personvern og informasjonssikkerhet i utviklingsarbeidet. Avhengig av forholdet til kunden, kan du også bli ansett som en databehandler. Hvis du er databehandler så skal det foreligge en skriftlig avtale med behandlingsansvarlig. Loven sier også at databehandler har et selvstendig ansvar for å ivareta informasjonssikkerhet til personopplysningene som behandles. Den som er behandlingsansvarlig er ansvarlig for å forstå hvordan alle programvarekomponenter i appen fungerer for å ha oversikt over hvordan brukernes personopplysninger behandles. For eksempel kan appen inneholde markedsføringsrelatert kode som kan medføre overføring og behandling av personopplysninger til tredjeparter. Dersom personopplysninger overføres til land utenfor Det europeiske økonomiske samarbeidsområdet (EØS), gjelder spesielle regler se personopplysningsloven 30 og våre nettsider for mer informasjon om dette

9 Hvilke opplysninger samler appen inn? Sett av tid tidlig i designfasen til å vurdere hvilke typer data appen din kan få tilgang til, samle inn eller overføre. Tenk også over hvordan dette kan berøre brukerne av appen. For hver type data du ønsker å samle inn, må du dokumentere at innsamlingen har et legitimt formål, og i hvilken grad du er berettiget til å samle inn slik data. Du bør også, for hver type data som skal brukes, vurdere hvilke følger det kan få for en bruker av appen dersom dataene skulle bli misbrukt. I tillegg bør du også vurdere hvor presist og hvor enkelt en spesifikk person eller enhet kan identifiseres basert på disse opplysningene. Du bør kun samle inn og behandle det minimum av data som er nødvendig av hensyn til appens formål. Personopplysningsloven tillater ikke innsamling av data fordi den kan komme til nytte en gang i fremtiden, selv når brukeren samtykker til å gi deg tilgang til opplysningene. Det er også en fordel for deg å sitte på minst mulig data, ettersom dette automatisk reduserer risikoen for at opplysninger kan komme på avveier eller behandles feil. I tillegg må du unngå å oppbevare personopplysninger lenger enn det som strengt tatt er nødvendig. Du bør derfor definere hvor lenge personopplysningene skal lagres og sørge for at brukerne får informasjon om dette. Eksempel Du utvikler en app for sosiale medier, som laster opp eksisterende bilder fra en mobil enhet til din sentrale server, og du ønsker å unngå å samle inn unødvendige personopplysninger. Du legger derfor inn som en standardinnstilling, at appen skal fjerne unødvendige metadata fra hvert enkelt bilde før de lastes opp. Dette kan for eksempel være hvilken dato de ble tatt eller stedsangivelser (lagret i Exif-format). 9

10 Eksempel Appen din bruker GPS-koordinater for å anbefale interessante aktiviteter i nærheten av stedet hvor brukeren befinner seg. Databasen med mulige forslag til aktiviteter ligger lagret på en sentral server, som du har kontroll over. Ett av dine designmål er å minimere mengden data som appen laster ned fra den sentrale serveren. Du designer dermed appen slik at den geografiske plasseringen sendes til den sentrale serveren ved bruk. Dette sørger for at kun de nærmeste aktivitetene blir lastet ned. Du er også opptatt av å benytte minst mulig inngripende data om brukerne. Derfor designer du appen slik at standardinnstillingen gjør at appen selv skal finne ut hvilken by som er nærmest og så oppgi denne til den sentrale serveren for å unngå at de nøyaktige GPS-koordinatene lastes opp. Brukere som ønsker resultater basert på nøyaktige koordinater, kan selv endre denne innstillingen etter behov. Vær særlig nøye med bruken av personopplysninger hvis appen din er rettet mot barn. Det er vanskeligere for barn å forstå hva det vil si å gi noen tilgang til egne personopplysninger. Derfor er det større mulighet for at de vil angre på det eller at det får konsekvenser de ikke kunne ha forutsett. Det kan for eksempel være at de utsettes for reklame eller andre aktører får tilgang til deres informasjon. Du må gi brukere anledning til å slette personopplysningene sine, og eventuelle kontoer de har opprettet hos deg. Du kan kun gjøre et unntak fra dette hvis det er lovpålagt at du oppbevarer dataene. Det er fullt mulig å samle inn data om bruk av appen eller om programfeil, men dette skal gjøres på følgende måte: (1) med informert samtykke fra brukeren og/eller (2) ved bruk av anonymisert data (slik at ingen personopplysninger samles inn). Husk at hvis du velger anonymisering, skal dette gjøres på en så grundig måte at risikoen for at en bruker kan reidentifiseres, basert på disse dataene, er lik null. Selv om du velger anonymisering, må du huske at du også har ansvar for å sikre dataminimalisering. Det innebærer at du kun bør samle inn det minimum av personopplysninger som er nødvendig før dataene anonymiseres. Du bør utnytte operativsystemene innebygde muligheter for å innhente tillatelser, og andre lignende mekanismer på best mulig måte. Appen din bør kun be om tilgang til sensorer, tjenester eller andre opplysninger som er strengt tatt nødvendig. Hvis operativsystemet ikke har de mekanismene du har behov for, bør du informere brukene om hvorfor appen krever de spesifikke tillatelsene. 10

11 Alt dette utgjør typiske trinn i en vurdering av personvernkonsekvenser. Datatilsynet oppfordrer alle behandlingsansvarlige og utviklere til å gjennomføre en slik vurdering under prosjektplanleggingen. Du kan gjøre en enkel eller en mer omfattende vurdering av personvernkonsekvensene avhengig av prosjektets størrelse og type. En vurdering av personvernkonsekvenser kan også inngå som et element i en risikovurdering av appens informasjonssikkerhet. Hvis vurderingen av personvernkonsekvenser klart definerer hvilke personopplysninger som bør være konfidensielle, kan risikovurderingen si noe om hvorvidt appen faktisk sikrer slik konfidensialitet. 11

12 Hvordan informere brukere og innhente samtykke? Brukerne av en app må informeres om hva som vil skje med personopplysningene deres dersom de installerer og bruker appen. Dette er del av informasjonsplikten i personopplysningsloven. Det skal opplyses om formålet med behandlingen av personopplysningene. Når det gjelder bruken av personopplysninger i apper er det ikke alltid lett for brukeren å forstå hvorfor appeier trenger tilgang og hvordan informasjonen skal brukes. Da er det ekstra viktig med tydelig og lett forståelig informasjon til brukerne. Hvis du har foretatt en vurdering av personvernkonsekvensene i appen, kan du gjøre rapporten tilgjengelig for brukerne for å sikre bedre åpenhet og etterprøvbarhet, samt styrke tilliten de har til appen. Jo mer åpen du er om bakgrunnsmateriale om hvordan appen virker, jo bedre informert vil brukerne være. Mange organisasjoner informerer om personvern i en personvernerklæring på sine nettsider. Informasjonen bør også presenteres på andre måter som er bedre egnet for små skjermer og det berøringsbaserte grensesnittet på den typiske mobile enheten. Du kan finne mer informasjon om hva en personvernerklæring bør inneholde på Datatilsynets nettsider. 5 Viktige momenter å ha med når du skal informere brukerne om personvern i appen: Bruk et klart og enkelt språk. Tilpass språket til målgruppen. En app som skal hjelpe skolebarn med matteleksene, bør bruke et språk som barn kan forstå. Åpenhet om formålet er svært viktig. Du må informere om hvilke opplysninger appen behandler, samt til hvilket formål. Informasjon om personvern bør gjøres tilgjengelig før brukeren laster ned appen. Det kan gjøres i selve appbutikken eller ved å lenke til en personvernerklæring på virksomhetens nettside. Dersom du informerer om personvern først etter at appen er lastet ned og installert, skal du påse at det gjøres før appen behandler personopplysninger. Informasjonen bør også være permanent tilgjengelig i eller via appen, slik at brukeren kan finne relevant informasjon ved behov. For å gjøre personverninformasjon mest mulig tilgjenglig for brukeren på mobile enheter, kan du bruke en 'nivåbasert' tilnærmingsmåte med en oppsummering av de viktigste elementene først, og at mer detaljert informasjon gjøres lett tilgjengelig dersom brukeren ønsker tilgang til denne

13 Figur 1a: Eksempel på en kort redegjørelse i en nivåbasert personvernerklæring 13

14 Figur 1b: Eksempel på en lengre redegjørelse fra samme nivåbaserte personvernerklæring God grafisk design, slik som bruk av farger og symboler, kan lette brukernes forståelse. Ta hensyn til hele brukeropplevelsen, inkludert brukernes første møte med appen i appbutikken. Hvis brukerne allerede har blitt informert om innsamling av personopplysninger i appbutikken, er det ikke alltid nødvendig at denne informasjonen gjentas under installering. Vær likevel oppmerksom på at appen kan ha vært tilgjengelig via andre kanaler, og at brukeren derfor kanskje ikke har lest informasjonen. Et eksempel på dette er standardapper er installert på enheten ved levering, eller 'side-loaded' apper som hentes fra andre kilder enn anerkjente appbutikker. 14

15 Figur 2: Eksempel på relevant informasjon om personvern i en appbutikk Hvis du utvikler apper for flere plattformer, må du ta hensyn til forskjellene mellom de mobile plattformene, og deres respektive appbutikker. Informasjon og funksjoner som er tilgjengelig på en plattform, er ikke alltid det samme i en annen. Vær særlig nøye med å forklare handlinger som kan være nye, uvante eller tungvinne for brukerne. Unngå å skjule viktig informasjon eller å villede brukerne på noen måte. 15

16 Eksempel Utvikleren av en app for avspilling av musikk ønsker at appen skal sette musikken på pause når enheten skal brukes til å ringe eller ta i mot telefonsamtaler. For å få til dette må appen be om tillatelse til å overvåke inngående og utgående samtaler. Apputvikleren oppdager at tillatelsen han har behov for, utgjør en del av en større pakke av funksjoner der brukeren må gi tillatelse til alle. Dette betyr at appen potensielt kan få tilgang til funksjonalitet eller data på enheten som strengt tatt ikke er nødvendig for appens opprinnelige formål (for eksempel tillatelse til å lytte til eller ta opp samtaler). Apputvikleren legger inn følgende redegjørelse i beskrivelsen i appbutikken: "For å kunne sette musikken på pause når du ringer eller mottar telefonsamtaler, trenger appen tilgang til å overvåke telefonloggen. Informasjon om hva du ikke skal gjøre, kan bidra til å tydeliggjøre appeierens intensjoner med bruken av personopplysninger. Du trenger ikke forklare noe som vil være åpenbart for en rimelig informert bruker. Hvis du utvikler en app for levering av bestillinger, vil det være åpenbart for brukeren at det er nødvendig å oppgi leveringsadressen for å kunne bruke tjenesten. Du trenger kun å forklare hvorfor du samler inn slike data dersom de skal brukes til andre og mindre åpenbare formål. Vurder å bruke "just in time"-varsler hvor brukeren får nødvendig informasjon rett før databehandlingen skal skje. Slike varsler kan være særlig nyttig ved innsamling av mer inngripende data som GPS-koordinater eller som ledetekster for appfunksjoner når de skal brukes for første gang. Du kan unngå bruk av for mange varsler ved at brukernes valg huskes i en viss tidsperiode før de får en ny påminnelse. 16

17 Figur 3: Eksempler på et "just in time"-varsel. Husk at dersom appen skal overføre data til en tredjepart, må brukeren informeres om dette på en hensiktsmessig måte. Det gjelder også informasjon om nettverk som driver med markedsføring basert på surfevaner. Slike nettverk kan faktisk i kontraktsform, kreve at du underretter brukerne eller innhenter deres samtykke før du overfører data. Hvis appen er helt eller delvis reklamefinansiert, bør du gjøre dette klart for brukerne og informere dem om eventuelle analysefunksjoner appen har. En mulighet er å tilby en betalingsversjon av appen som ikke inneholder reklame. 17

18 Hvis du er behandlingsansvarlig, er det svært viktig at du gir deg til kjenne for brukerne, og er tilgjengelig for de av dem som ønsker å ta kontakt med deg. I større appbutikker er det vanlig at behandlingsansvarlig eller utvikler oppgir kontaktinformasjon i appkatalogen. Sørg for at du håndterer forespørsler fra brukere på en effektiv måte, også forespørsler om programfeil og funksjoner. Hvis du har en ekstern nettside, bør du sikre at all relevant informasjon også er tilgjengelig der. Husk at den som er behandlingsansvarlig etter personopplysningsloven har plikt til å gi de av brukerne som ber om det, innsyn i sine egne opplysninger. Dette kalles en innsynsbegjæring. For å redusere antallet innsynsbegjæringer, kan du velge å gi brukerne rutinemessig tilgang til sine personopplysninger, for eksempel ved innlogging på en nettjeneste. Selv om du ikke er behandlingsansvarlig, anbefaler vi at du gir brukerne en mulighet til å ta kontakt med deg. Dette vil kunne bidra til å øke brukernes tillit til deg. 18

19 Hvordan gi brukere tilbakemelding og kontroll? I noen apper kan det være hensiktsmessig å gi brukerne valgmuligheter for bruk av personopplysninger. Det gir brukerne bedre anledning til å ta gjennomtenkte beslutninger enn dersom de bare får et valg mellom alt eller ingenting. Gjør det enkelt for brukerne å gå gjennom og endre sine innstillinger i appen etter at den er installert og tatt i bruk. Gi dem tilgang til et sted i appstrukturen hvor de selv kan konfigurere de ulike innstillingene som ivaretar personvernet. Det bør være like lett å deaktivere en funksjon som det er å aktivere den. Hvis appen bruker personopplysninger som er sensitive eller opplysningene brukes på en måte utover det som er rimelig at brukeren forventer, bør du vurdere bruken av 'just in time'-varsler eller andre varslingssystemer, for å informere brukeren underveis. Hvis for eksempel GPS-tjenester skal kjøre i bakgrunnen eller at data skal lastes opp til Internett, kan du vurdere å bruke tydelige og gjenkjennelige ikoner for å indikere at dette skjer. Det bør også være mulig å stoppe handlingen (for eksempel avbryte overføring av data) når brukeren ønsker. Vedlegg har flere eksempler på hvordan du kan gi brukerne bedre tilbakemeldinger og større kontroll over sine personopplysninger. 19

20 Hvordan ivareta informasjonssikkerheten? Gjør deg kjent med hva som er god praksis for informasjonssikkerhet, og sørg for å integrere denne. Dette gjelder både når du designer appen og for eventuelle sentrale servere som appen skal kommunisere med. Se Datatilsynets veileder om internkontroll og informasjonssikkerhet. 6 Når du passord skal benyttes, sørg for formålstjenlig 'salting' og 'hashing' på eventuelle sentrale servere. I situasjoner hvor 'hashing' av passord ikke er mulig, for eksempel for en app for håndtering av passord, forklar hva dette innebærer for brukeren på en klar og tydelig måte. Bruk krypterte forbindelser under overføringer for å ivareta informasjonssikkerheten, for eksempel bruke SSL/TLS. Du bør alltid bruke krypterte forbindelser ved overføring av brukernavn, passord og annen sensitiv informasjon, inkludert enheters ID eller andre unike ID-er. For nettsteder som krever innlogging bør man benytte en kryptert forbindelse for all kommunikasjon så lenge man er innlogget. Hvis appen din lagrer opplysninger for senere bruk, bør du også vurdere å kryptere disse opplysningene. Krypteringsmetoden må da tilpasses til opplysningenes sensitivitet. Vurder om du etter omstendighetene, kan utnytte operativsystemets muligheter for kryptert lagring av data. Bruk anerkjente krypteringsmetoder fremfor å utarbeide din egen kryptografi. Bli kjent med de mest formålstjenlige krypteringsmetodene for overføring og/eller lagring av opplysninger, og implementer disse på etablert vis. Du bør unngå å lage egen kode for funksjonalitet som allerede har godt innarbeidede bruksområder som du kan benytte (for eksempel for betaling via app eller oppdatering av app). Du bør være forsiktig dersom appen din benytter data fra andre apper eller steder. Vær oppmerksom på opplysningenes sensitivitet i den opprinnelige sammenhengen, ikke kun i sammenheng med din app

21 Eksempel Formålet med appen er å gjøre det mulig for ansatte å vise og redigere dokumenter mens de er på farten i jobbsammenheng. Tilgang til dokumentene skjer gjennom et virtuelt nettverk (VPN) ved at appen kontakter en intern filserver som om den ansatte var på kontoret. På den interne filserveren er det også lagret er en del dokumenter som inneholder konfidensiell virksomhetsinformasjon, samt personopplysninger. Av hensyn til sikkerhetskonsekvensene ved et innbrudd på kontoret, benyttes fulldiskkryptering for serveren. Denne er fysisk adskilt og låst inne i et sikkert serverrom. Ettersom appen kan brukes til å vise de samme filene som serveren, bestemmer du deg for å legge inn lignende begrensninger, inkludert: ingen lagring av dokumenter på enheten med mindre kryptert lagring er aktivert begrenset mulighet til å ta skjermkopier av dokumenter i appen. I tillegg til den generelle sårbarheten som er knyttet til bruk av Internett eller datamaskiner, må du være bevisst på sårbarheter som mer spesifikt er knyttet til mobilapper, som: Injeksjonsproblemer mellom apper på samme måte som nettprogrammer kan være sårbare overfor SQL-injeksjoner, kan apper være sårbare overfor injeksjoner ved aksept av input fra andre apper. Sørg for at input blir rensket på en hensiktsmessig måte som også er tilpasset formålet, når din app aksepterer slik input. Mangelfull sjekk av SSL- /TLS-sertifikater bruk av krypteringen som ligger i en SSL- /TLS-forbindelse er ingen garanti for en sikker forbindelse. Du må også verifisere identiteten til den parten du kommuniserer med ved å sjekke sertifikatet. Hvis du foretrekker å bruke sertifikat-'pinning' i stedet for sertifikater fra en tiltrodd sertifikatutsteder, må du sikre at denne funksjonen er satt opp på riktig måte. Feilkonfigurering av SSL /TLS på sentrale servere påse at eventuelle sentrale servere kun tillater forbindelser med sterk kryptering og har et gyldig SSL - / TLS-sertifikat. Det begrensede grensesnittet på en mobil enhet, kan gjøre det vanskelig å fastslå sikkerhetsstatusen for SSL- / TLS-forbindelser. Hvis den mobile enheten foretar en grundig sjekk av forbindelsen og ender opp med å avvise forbindelsen grunnet en dårlig konfigurert server, kan appen din bli ubrukelig. 21

22 Avhengig av hvor omfattende risikoene for personvernet og informasjonssikkerheten er, vurder å foreta en sikkerhetstest av både appen og eventuelle sentrale servere før utrullingen. Skanning av sårbarhet, og grundig testing mot inntrengere kan avdekke potensielle problemer. Hvis du blir oppmerksom på eventuelle problemer og ivaretar disse på en god måte, vil det innebære en kvalitetssikring av appens sikkerhet. 22

23 Hvordan teste og vedlikeholde appen din? Installasjonsprosessen og forespørsler om enhetstillatelser er viktige områder for uttesting. Se for deg hva en ny bruker vil oppleve når han eller hun installerer appen og leser hvilke tillatelser den ber om. Husk å teste appen på alle plattformer du har utviklet den for. Når du gjør endringer i appens kode, test for å sikre at appens oppførere seg som forventet, og fremdeles er i samsvar med planen fra designfasen. Det er fort gjort å gjøre endringer under utviklingsarbeidet som kan virke ubetydelige, men som får store konsekvenser for informasjonssikkerheten. Du kan for eksempel få en aktivitet til å skje raskere ved å fjerne en skjermberøring, men kanskje en slik berøring er det som verifiserer brukerens samtykke. Dersom appen gir brukerne et valg mellom å tillate eller avvise tilgang til personopplysninger, må du teste brukernes erfaring i begge scenarioene. Sjekk at valget om å avvise slik tilgang, er reelt slik at ikke din fortsetter å bruke personopplysningene uansett. Dersom du gjennomførte en vurdering av personvernkonsekvensene tidligere, gå gjennom den og gi ut rapporten på nytt hvis det er relevant. Også etter at appen er gjort tilgjengelig for brukere, bør du sørge for at du holder det du har lovet. Sjekk for eksempel at opplysningene ikke beholdes lenger enn angitt lagringstid, og at sikkerhetsmekanismene holdes oppdatert og fremdeles er relevante. Særlig gjelder dette dersom operativsystemene lanserer nye funksjoner. Følg også med på den teknologiske utviklingen for mer personvernvennlige måter å løse appens oppgaver. Informer brukerne (og gi dem et valg) om eventuelle endringer i formålet med, eller omfanget av, datainnsamlingen. Du vil normalt måtte innhente brukernes samtykke til all ny databehandling, med mindre du har et annet juridisk grunnlag for slik behandling. Hvis du blir kjent med sikkerhetshull i appen, må du iverksette tiltak for å beskytte brukerne. Dette vil typisk innebære å fikse feilene i appens kode, samt å utgi en oppdatert versjon av appen. Dersom det er mulig, bør du også informere brukerne om appversjoner med kjente problemer, slik at de kan oppgradere for å beskytte seg selv. Hvis du blir kjent med faktiske sikkerhetsbrudd i systemer som du er ansvarlig for, må du umiddelbart iverksette tiltak for å utbedre problemet. Dette kan inkludere varsling av berørte brukere eller tvungen tilbakestilling av passord. Dersom avviket har ført til uautorisert utlevering av personopplysninger hvor konfidensialitet er nødvendig må du sørge for at å varsle Datatilsynets i en avviksmelding en-handlingsplan-for-virksomheter/ og 23

24 Vedlegg 1 Eksempler på god (og dårlig) praksis Eksempel: En app gir brukerne anledning til å registrere data om treningsaktiviteter som for eksempel. løping eller sykling, samt lokasjon, høyde over havet, fart og puls. Disse opplysningene kan lastes opp til en nettskytjeneste for deling med andre brukere av appen. Appen åpner også for at brukerne kan kople seg til en rekke populære sosiale nettsider og automatisk legge ut oppdateringer med de siste aktivitetene. God praksis: Det er et kart på appens hovedskjermbilde med en tydelig markør som viser nåværende posisjon. Dette tydeliggjør at GPS-tjenester har tilgang til gjeldende posisjon. Et synlig ikon indikerer at enhetens GPSfunksjoner er aktivert. Et tydelig og gjenkjennbart ikon brukes som 'start'-knapp når data skal registreres. Det gis en klar indikasjon på hvilke eksterne nettsider brukeren kan laste opp dataene til når aktiviteten er fullført. Det er ingen krav om at data må lastes opp. Det er enkelt å få tilgang til innstillingene for å konfigurere eller vise nåværende tillatelser. Et enkelt grensesnitt gir anledning til å fjerne eller skjule aktiviteter som brukeren ikke lenger ønsker skal være offentlige. Når data skal lastes opp, gir appen brukeren anledning til å 'tåkelegge' posisjonen, for eksempel ved kun å oppgi navnet på nærmeste tettsted. Det er enkelt og raskt å permanent slette aktiviteter som brukeren ikke lenger ønsker å beholde (for eksempel. en sletteknapp ved siden av hver aktivitet i Dårlig praksis: Brukerne tvinges til eller gjør det vanskelig å bruke appen uten å linke til en sosial nettside med automatisk deling av de siste aktivitetene. Det finnes ingen informasjon om hvilke nettsider brukerens data vil bli lastet opp til. Første gang appen brukes blir brukeren spurt om å tillate offentlig deling av alle treningsaktiviteter via en forespørsel som dekker hele skjermen, mens deaktivering av denne funksjonen er vanskelig å finne i appen. Delte aktiviteter inkluderer alltid nøyaktige GPS-koordinater uten mulighet for å deaktivere denne funksjonen. Unike enhetsidentifikatorer (for eksempel. IMEI) blir integrert i eller knyttet til treningsaktivitetene som lagres eller lastes opp til eksterne nettsider. Under installeringen angis det at appen trenger tillatelse til å sende SMS-meldinger, men det gis ingen forklaring på hvorfor dette er nødvendig. Brukerne tvinges til eller tilbys ingen lettvint mulighet til å bruke appen uten å gi tilgang til de lagrede kontaktene (enten på enheten eller de sosiale nettsidene). Appen sender automatisk ut meldinger til hver enkelt kontakt som en form for viral markedsføring. ordfiler/3-02_avviksskjema.doc 24

25 en 'historie'-fane). Før opplasting av aktiviteter vises en dialogrute for bekreftelse og deretter en fremdriftsindikator med mulighet for å avbryte opplastingen. For å forhindre at mange påminnelser forstyrrer brukeropplevelsen, tilbys alternativet 'husk dette valget' med mulighet til å endre valget under innstillingene. Appen benytter seg av Bluetooth til å kommunisere med brukerens pulsmåler. Appen prøver imidlertid automatisk å kople seg opp mot alle andre enheter som også befinner seg i nærheten og brukeren gis ikke anledning til å begrense slik Bluetoothaktivitet. 25