Apps en privacy
Wereldwijd zijn er ongeveer 5 miljoen apps te downloaden in de 2 populairste stores, de Apple App Store en de Google Play Store. De gemiddelde Nederlander heeft 26 apps op zijn/haar smartphone staan. Onze agenda, sociaal leven en nog veel meer kunnen in zo’n klein apparaat gestopt worden. Inmiddels is het een soort levensader, maar er hangen ook gevaren aan deze ontwikkeling. Wat gebeurt er met de data van mensen, hoe veilig is die, en in hoeverre kun je grote bedrijven vertrouwen dat ze ethisch omgaan met jouw gegevens? Facebook is al meerdere keren door de mand gevallen, maar wat gebeurt er nog meer?
TikTok: populair, maar is het veilig?
TikTok komt het afgelopen halfjaar frequent in het nieuws naar voren. Volgens Donald Trump werd de privacy van gebruikers in gevaar gebracht. Bytedance, het moederbedrijf achter TikTok, ontkende dat daar sprake van zou zijn. Desalniettemin werd besloten dat TikTok haar Amerikaanse tak moest verkopen. Deze zaak loopt nog steeds - Bytedance kreeg tot tot 4 december om tot een deal te komen. Inmiddels is de deadline verlopen en de onderhandelingen tussen de Amerikaanse overheid en TikTok gaan vooralsnog door. Er is geen nieuwe deadline gesteld.
Het lijkt erop dat Oracle en Walmart straks een deel van TikTok in handen krijgen. Het laatste woord over deze zaak is nog niet gezegd, want juridisch suddert het een en ander door. In Nederland doet het AP onderzoek naar TikTok en ook in veel andere Europese landen wordt bekeken of de app wel voldoet aan privacy-eisen.
CoronaMelder als voorbeeld
Er zijn weinig apps die zoveel aandacht van beveiligingsexperts, privacy experts en heel Nederland hebben gekregen als de CoronaMelder. In april, toen de app werd aangekondigd, schreven we al over de zorgen rondom ethiek en privacy. Nu de app eenmaal uitgerold is, zijn de geluiden over privacy en veiligheid vooral positief. In het filmpje hieronder kan je kort zien hoe jouw privacy gewaarborgd is bij het gebruik van de CoronaMelder.
Met de CoronaMelder app kan jij een melding ontvangen wanneer je recent in de buurt bent geweest van iemand die positief is getest op corona. Deze persoon moet dat dan wel hebben aangegeven in de app. De achterliggende technologie is Bluetooth. Door Bluetooth aan te zetten zet de CoronaMelder een unieke code op jouw telefoon. Als er blijkt dat je 15 minuten of langer in de buurt geweest bent van een positief getest persoon krijg je een melding.
Uitslag CoronaMelder: veiligheid staat voorop
Waar er in het begin veel zorgen waren over de privacy rondom de app, zijn de geluiden na publicatie van de app medio oktober vooral positief. De Consumentenbond is tevreden, en in een artikel van Tweakers geeft beveiligingsexpert Brenno de Winter aan dat er een app is opgeleverd die voldoet aan de hoogste standaarden.
Wel blijkt dat mensen soms een melding krijgen terwijl zij op een grotere afstand dan anderhalve meter waren. "In het overgrote deel van de gevallen herkent de app de afstand correct. Maar in een klein deel van de gevallen was je op grotere afstand", aldus Ron Roozendaal, leidinggevende van de CoronaMelder-app.
Phishing en spoofing: wees bedacht
Mensen zetten steeds meer gegevens van zichzelf online, of gebruiken gegevens om toegang te krijgen tot mobiel bankieren en andere toepassingen. Aangezien deze persoonlijke informatie veel waard kan zijn is het voor personen met slechte bedoelingen interessant om deze informatie te bemachtigen. Dat proberen mensen op verschillende manieren. Denk bijvoorbeeld aan de nepberichten via WhatsApp of SMS waarin iemand zich voordoet als een familielid en om geld vraagt. Of de berichten waarin staat dat je z.s.m. een factuur aan de Belastingdienst moet voldoen, omdat anders de deurwaarder langskomt. Dit soort boevenpraktijken vallen onder de termen phishing en spoofing.
Dit soort criminaliteit neemt de laatste jaren in populariteit toe. Het houdt bijvoorbeeld in dat personen een e-mail naar je toe sturen, die bijna identiek is aan het origineel, om vervolgens achter je inloggegevens of bankgegevens te komen. Degene die hier vooral de dupe van worden, zijn oudere mensen. Deze manier van criminaliteit is voor de overheid en politie erg lastig te verhelpen omdat de personen in kwestie vaak moeilijk te traceren zijn.
Berichten van dit soort internetboeven kunnen bedrieglijk echt overkomen. Wees daarom altijd bedacht en kritisch.
Cookies, wat doen die?
Cookies kunnen inbreuk maken op je privacy. Veel cookies zijn handig, maar sommige cookies volgen je surfgedrag over meerdere websites. Er worden kleine tekstbestanden op je computer achter gelaten, zodat je website bezoek hierin opgeslagen worden. Zo is het voor bedrijven interessant om te weten op wat voor websites jij de laatste tijd geweest bent om zo een aanbevolen advertentie te plaatsen. Zo ben je sneller geneigd om hier op te klikken en dus uiteindelijk dit product aan te schaffen.
Let ook op welke rechten je geeft aan een app. Zo zijn er zaklamp apps die toegang willen tot je microfoon, adresboek en andere gegevens. Waarom zou dat nodig zijn? Ga niet zomaar akkoord wanneer een app om toegang vraagt die eigenlijk volstrekt overbodig is.
“Alle apps waarbij je toegang geeft tot je micofoon of foto’s zijn doodeng”
Meldplicht bij datalekken
Op 19 augustus 2020 zijn er bij Marriot, een grote hotel keten, de gegevens van 500 miljoen gasten op straat komen te liggen. Bij deze gegevens zaten ook de creditcard gegevens van de gasten bij, die natuurlijk erg waardevol zijn voor de desbetreffende hackers. Dit is maar een enkel voorbeeld van velen, waaruit blijkt dat het bij tal bedrijven nog niet op orde is qua dataveiligheid. De boete die Marriot boven het hoofd hangt heeft een omvang van 99,2 miljoen pond. Als het bij grote organisaties zoals Marriot al kan gebeuren, hoeveel lekken zullen er dan wel niet bij MKB bedrijven ontstaan zijn?
Er zijn in 2019 bijna 27.000 datalekken gebeld bij de Autoriteit Persoonsgegevens (AP). Er was een forse stijging te zien, namelijk 29%, ten opzichte van 2018. De sector die het hardste geraakt werd was de financiële factor, zoals verwacht. Aangezien er een meldingsplicht staat op de datalekken zullen de meeste datalekken gemeld zijn. Veel bedrijven hebben inmiddels strenge protocollen in werking. Stuur je bijvoorbeeld per abuis een email met vertrouwelijke info naar de verkeerde persoon? Dan zal je dat vaak moet melden, en zo snel mogelijk.
Bescherm jezelf met 2-stap verificatie
Eindgebruikers kunnen als een tijdje de 2-stap verificatie (2fa) toepassen. Hierin wordt er steeds een unieke code doorgegeven naar het opgeven e-mail adres om deze vervolgens te verifiëren. Ook kunnen gebruikers kiezen voor om een SMS te sturen naar het geregistreerde nummer om aan de hand hiervan in te loggen. Hierdoor moet er dus nog een extra stap ondergaan worden naast het invoeren van het wachtwoord om het zo moeilijker te maken voor mensen met slechte bedoelingen om in te loggen. Deze persoon zal namelijk niet alleen de accountgegevens te pakken moeten krijgen, maar ook nog eens de telefoon van de persoon in kwestie.
Algemene verordening gegevensbescherming (AVG)
Op 25 mei 2018 is de algemene verordening gegevensbescherming (AVG) ingevoerd. Zo moeten bedrijven kunnen bewijzen dat er toegang is gegeven om bij bestanden van iemands telefoon te kunnen. Het was niet meer genoeg om dit ergens te noteren en het moest dus echt aangetoond worden. Bij deze AVG-wet werd ook de meldingsplicht ingevoerd. Zo werd het verplicht een melding te maken als er een data lek gevonden werd. Als dit niet gedaan wordt, en het wordt dus verzwegen, wordt dit als een strafbaar feit gezien.
Voor MKB bedrijven is de nieuwe AVG wet eentje waar zij hun handen vol aan hebben. Kleinere bedrijven hebben natuurlijk geen enorme rechten afdelingen tot hun beschikking en moeten dit allemaal zelf uitvogelen. De AVG wet is heel erg complex beschreven waardoor het moeilijk te begrijpen is, maar ook voor grote instanties als de Belastingdienst is en was de AVG een enorme kluif.
Nog een belangrijk gevolg van deze wet was dat er mega boetes uitgedeeld kon worden. Deze boetes kunnen oplopen tot wel 4% van de jaaromzet. Dit klinkt misschien als een klein bedrag maar als het bedrijf een omzet van 1 miljard draait kom je toch al gauw op een boete van 40 miljoen uit.
"De AVG is een moeras waar de ondernemer in verdwijnt."
Boetes worden ook echt uitgedeeld
Er is in 2019 een boete uitgedeeld aan het Hegaziekenhuis die 460.000 euro bedraagt. De reden hiertoe was dat er onvoldoende interne beveiliging aanwezig was die de patiëntendossiers moesten beschermen. Naast deze eerste AVG-boete moest de interne beveiliging verbeterd worden. Dit is een voorbeeld dat het beleid ook daadwerkelijk gehandhaafd wordt. Er zijn ondertussen meerdere boetes uitgedeeld aan verschillende instanties, waaronder Uber (600.000) en de KLNTB (525.000).
Het Hegaziekenhuis heeft na de boete gekregen te hebben orde op zaken gesteld. De beveiliging van de patiënten is aangescherpt en nu op het juiste niveau, volgens de AP.
Tips voor jouw veiligheid
Hieronder nog wat tips om jouw eigen privacy te verbeteren. Voor velen een kwestie van "gezond verstand", maar in de praktijk gaat het nog heel vaak mis.
- Maak het hackers niet te makkelijk om je wachtwoord te kraken. Kies niet voor "welkom123", "hond" of je naam en geboortejaar;
- Log uit wanneer je klaar bent met bijv. internetbankieren;
- Installeer een AdBlocker om vervelende advertenties, pop-ups en tracking techniek te vermijden;
- Gebruik altijd de 2-stap verificatie om je accounts beter te beveiligen.
Het gebeurt vaak dat consumenten denken dat het erg veel werk is om wat extra stappen qua veiligheid te doorlopen en het dus ook niet doen. Toch kan je dit soort richtlijnen beter wel hanteren, vooral met het oog op de immense hoeveelheid creditcard fraude, phishing, spoofing e.d. die elk jaar gebeurt. Better safe than sorry! Meer tips over dataveiligheid en privacy lezen? We verwijzen je graag naar deze website waar er tientallen beschreven staan.
Privacy zal altijd belangrijk blijven
Privacy is een woord wat door iedereen anders geïnterpreteerd wordt. Het is daarom van belang dat hier een duidelijke wetgeving omheen gehangen wordt die waar nodig veranderd kan worden, zoals in 2018 gedaan werd. Het is voor alle bedrijven relevant om de data goed te beveiligen. In de toekomst zal de impact en het risico van slechte databeveiliging alleen maar duidelijker worden omdat hackers steeds maar weer nieuwe manieren vinden om binnen te treden. Wil jouw bedrijf een app laten maken? Houd dan ook goed rekening met privacy.
Besteed daarom continu aandacht aan databeveiliging en inventariseer risico's door kritische vragen te stellen over welke data je gaat bewaren, waar je deze bewaart en waarom. Stel actiepunten op om jouw app of platform te beschermen. Wees je bewust van de risico's en bescherm jezelf. Meer weten? Als app ontwikkelaar met ruim 13 jaar ervaring helpen we je graag.
Inhoud
Gepubliceerd op 2 december 2020