Nya integritetsöversikten i App Store inte tillräcklig för företagen

Publicerad 2021-01-20 | Författare Christoffer Widjeback


Apple har nyligen infört fler kontrollparametrar vid granskning av appar inför publicering på deras App Store. Sedan starten av App Store 2009 så har Apple granskat alla appar i deras App Store innan publicering för att säkerställa att de följer Apples riktlinjer. I huvudsak har riktlinjerna fokuserat på appens syfte, kategori, innehåll, målgrupp m.m. men fram till nu saknat en tydlig integritetsdeklaration, dvs. en förteckning över vilka behörigheter en app begär och vilken data en app kan samla in.

Över 90% av alla appar på App Store är gratis att ladda ned. Men det betyder inte att de är gratis att utveckla. Det har i kölvattnet av App Stores inträde och apparnas uppbyggnad samt ekosystem uppstått en stor handel av data, lite i skymundan. Handeln med användar- och användningsdata har blivit en viktig intäktsfaktor för apputgivarna, där den insamlade datan sedan säljs vidare för att exempelvis kunna anpassa annonser i andra sammanhang. Det finns färdiga ramverk för apputvecklare att inkludera i en app för att kunna samla in och tjäna pengar på data, så kallad ”data monetization”. Det är alltså en systematiserad och vedertagen metod.

Nu gör Apple det tydligare för användaren vilken data som kan komma att samlas in och i vilket syfte data kan komma att användas. Integritetsupplysningar har förvisso förbättrats genom åren. Med exempelvis åtkomstnotiser när en app begär en viss behörighet såsom ex. kamera eller hälsodata så kan användaren ta ett aktivt beslut. Med iOS 14 så kan användare dessutom välja om en app skall få tillgång till endast vissa bilder eller hela kamerarullen. Men användaren har inte med tydlighet kunnat avgöra skälet till behörigheten och vad det skulle kunna leda till.

Det krävs sedan slutet av 2020 att appens utgivare skapar en integritetsdeklaration för att redogöra behörigheter och dataåtkomst. De kategoriseras in i ”Data som används för att spåra dig”, ”Data som är kopplade till dig” och ”Data som inte kopplas till dig”. Deklarationen krävs för att kunna publicera en ny app eller en uppdatering av en befintlig app. Det är dock oklart om det sker en verifiering att deklarationen faktiskt stämmer överens med verkligheten. Men det är definitivt ett steg i rätt riktning.

Hur påverkar detta användaren?

Det är bra att Apple driver på utvecklingen av integritetsfrågor för att upplysa och synliggöra hur data kan komma att behandlas. Den allmänna förståelsen för hur det fungerar i praktiken är låg hos många användare. Med en integritetsdeklaration som presenteras i samband med att man laddar ned en app har en större sannolikhet att bli läst än ”Terms and conditions”. Därmed kommer troligen förståelsen att öka. Men det finns utmaningar med att hantera de juridiska aspekterna när detta sätts i en företagskontext.

Hur påverkar detta företagen?

De företag som tillåter fri installation av appar i verksamhetens smartphones har svårt att kontrollera datainsamling och dess potentiella spridning. Den grundläggande orsaken till detta är att smartphones är konsumentprodukter och de är designade för individen. Detta innebär att det är helt och hållet upp till användaren att avgöra vilka behörigheter en viss app skall beviljas och det kan inte styras av it-avdelningen. Det kan dessutom vara svårt för en enskild användare att avgöra vilka behörigheter och vilken datainsamling som är rimlig för en enskild app, exempelvis att den produktiva skanner-appen samlar in platsdata och personuppgifter för vidareförsäljning i marknadsföringssyfte – en datainsamling som inte krävs för appens funktion. Och den största frågan: var tar datat vägen?

Bakom skynket sker en stor handel av data. Möjligheten att kontrollera alla organisationer som får tillgång till datat och juridiskt bedöma om företaget accepterar denna spridning kan inte utföras av användaren. Det behövs jurister för att avgöra detta. Det krävs ett samlat sätt att hantera dataåtkomster och juridik kopplat till appar, annars blir det inte tillräckligt värdefullt för företag och organisationer. Ansvaret måste flyttas från slutanvändaren till centrala funktioner som kan tillsätta resurser att strukturerat hantera potentiellt dataläckage från appar.

Slutsatsen med införandet av integritetsdeklarationen är att det är ett steg i rätt riktning för konsumenter. Det gör det lättare för dem att välja appar som ”känns bra”. Men för företaget som vill ha kontroll på spridning av data så är det fortsatt svårarbetat. Det krävs helt enkelt en teknisk och juridisk certifieringsprocess för att kunna avgöra om en enskild app kan godkännas för användning i verksamheten.

 

Läs mer: Hur kan verksamheten tillåta appar och samtidigt ha kontroll på sin data?

Promobility är en IT-partner inom mobilitet och Mobil IT. Vi arbetar med Mobile Device Management (MDM), Enterprise Mobility Management (EMM), Unified Endpoint Management (UEM), IT-säkerhet, iOS och Android-utveckling m.m. Vi är baserade i Stockholm och Karlstad men arbetar över hela Sverige och Skandinavien.

Integritetspolicy

© Copyright 2021 Promobility