Privacy en security zijn nog steeds ondergeschoven kindjes in de mobiele appwereld. Afgelopen jaren waren er talloze berichten van apps die stiekem privacygevoelige data oogsten. En dat gedrag is niet beperkt tot de honderdduizenden obscure apps waarvan niemand heeft gehoord. Zo heeft bijna 40 procent van de 150 populairste mobiele apps überhaupt geen privacyvoorwaarden, bleek uit onderzoek vorig jaar.

Veelsoortige persoonsgegevens

En mobiele devices en apps genereren heel veel privacygevoelige data, variërend van contactgegevens tot geolocatie, van unieke IMEI, IMSI en UDID-nummers tot betaalgegevens, van biometrische kenmerken tot persoonlijke foto's en video's.

Om het tij te keren komt privacytoezichthouder CBP, samen met Europese waakhonden verenigd in de Artikel 29 werkgroep, met een uitgebreid document, vooral gericht op developers. Het biedt een waslijst aan eisen en aanbevelingen op privacy en securitygebied, waar momenteel heel veel apps niet aan voldoen.

Verplichtingen

Zo moeten apps duidelijk toestemming vragen voor verwerking van persoonsgegevens vóórdat de app informatie van het apparaat haalt of daar informatie op plaatst, inclusief een uitleg waarom en waarvoor gegevens worden gebruikt. Bovendien mogen alleen gegevens worden verzameld die echt nodig zijn voor de gewenste functionaliteit.

Gebruikers moeten hun toestemming kunnen intrekken en alle verzamelde data moet dan worden verwijderd. Uiteraard moeten er leesbare, begrijpelijke en goed toegankelijke privacyvoorwaarden zijn en dient de developer “de benodigde technische en organisatorische maatregelen treffen om de persoonsgegevens te beveiligen". Voor apps voor kinderen gelden nog veel strengere eisen.

Het CBP beveelt ook aan om melding te doen in het geval van datalekkage en gebruikers zelf de mogelijkheid te geven om te bepalen hoe lang privé-informatie mag worden bewaard. Onlangs publiceerde ook de Amerikaanse FTC privacyrichtlijnen voor app-ontwikkelaars, maar die zijn veel vrijblijvender.