Innebygd personvern i praksis for app-utviklere

SINTEF INFOSEC

iphone-app-permissions-locationHva skal en lommelykt-app med tilganger til både kontaktliste og Internett-tilkobling? I et innlegg om Windows 8.1, har vi omtalt hvordan operativsystemet tillater brukeren å skru av og på ulike tilganger på app-nivå, for eksempel lokasjon, kamera og mikrofon. IOS7 har også en del muligheter for å styre dette, som på bildet til høyre. Nå ser dessuten det samme til å komme i Android, ettersom versjon 4.3 (i det skjulte) muliggjør slike blokkeringer via en egen app. Android blir dessverre liggende etter her, etter å ha fjernet svært lovende funksjonalitet som ble først sluppet ved en glipp.

Men hva er konsekvensene for deg som utvikler apps? Hva skjer med brukeropplevelsen dersom mange tilganger blir skrudd av, men brukeren fremdeles vil bruke appen din? Og hva skjer med forretningsmodellen for gratis-apper?

android-facebook-app-ops

Du spør kanskje hvorfor noen vil bruke en kart-app uten å tillate deling av lokasjonen sin. Eller hvorfor en huskeliste-app som vil ha tilgang til kamera og mikrofon kan være verd å unngå. Svaret er at folk har forskjellige oppfatninger av personvern, og hvordan de vurderer risiko tilknyttet bruk av noe så magisk som en app. “Ja, men jeg har da ikke noe å skjule?”, sier du? Jeg tror ikke det er uten grunn at premiss-leverandører for app-industrien som Apple og Microsoft nå lager slik funksjonalitet for å enkelt og greit skru av uønskede tilganger.

Et grunnleggende eksempel, brukt i et tidligere innlegg om innebygd personvern, er en kart-applikasjon som nødvendigvis vil tilby seg å bruke din nåværende posisjon som utgangspunkt. Dette er brukervennlig og flott, men kanskje stoler du ikke på tilbyderen med din eksakte posisjon til enhver tid, f.eks. hjemme. Da er det fint at applikasjonen tilbyr deg å skrive inn en adresse, slik at de som ønsker kan bruke en fullverdig kart-opplevelse, uten å frykte for personvernet. Funksjonalitet er ivaretatt + personvern er ivaretatt = vinn-vinn-situasjon (og flere fornøyde kunder).

win8.1-privacyBrukeropplevelse er nemlig ikke bare hva app-utviklerne klarer å få til med kode og design. Det handler også om hvordan brukerne selv opplever at de kan forstå og kontrollere appen de bruker. For mange innebærer slik kontroll en kontroll over eget (og andres) personvern, og når LinkedIn-appen ber om tilgang til hele kontaktlisten din (eller arbeidsgiverens epost-system), er det faktisk noen som velger bort en slik app og heller benytter seg av den generelle web-appen. Men i svært mange tilfeller er det slett ikke nødvendig å fremmedgjøre brukerne slik.

Så hvordan forholder man seg til dette som utvikler? For det første at du ganske enkelt forholde deg til det, eller så vil appen din oppleves som full av feil for de som benytter seg av personverninnstillingene (eller bare prøver å spare litt batteri!). Sånt blir det dårlige anmeldelser av, og gjerne et noe utvidet behov for support…

Det viktigste stikkordet videre er gjennomsiktighet. Det er ikke bare å lesse på med ønskede tilganger, uten at noen kan forstå hvorfor de er brukt – selv om dette ofte gjøres i utviklingsfasen. Gi uansett brukerne opplysninger om hva tilgangene brukes til, og hva som skjer hvis de deaktiveres (eller hva de kan vinne på å aktivere). Gjør det gjerne både i Marketplace/AppStore/Play-beskrivelsen, ved første oppstart, og ikke mist dynamisk etter ønske/behov inni appen. Og gjerne på egne nettsider, slik som f.eks. Sparebanken1.

Bygg inn personvernet fra starten. Tenk på at brukere vil ønske å skru av tilganger, og gi de heller en oppmuntrende beskjed dersom de har skrudd av for mye til at det kan fungere. Dette har konsekvenser for arkitekturen, men er fullt mulig å få til. Gi gjerne brukeren alle insentiver du vil for å bruke den fantastiske funksjonaliteten du vil tilby, men gjør det også mulig å bruke det mest essensielle uten å gi bort kontroll over verdifulle ressurser.

Det er også fullt mulig å ha forretningsmodeller som at hvis brukeren ikke betaler så er det brukeren selv som er produktet. Men som app-leverandør må man bli stadig mer ærlig på dette. Og skal vi tro markedet for gratis-apper, er det mer enn mange nok som bytter personvern mot funksjonalitet, så kundegrunnlaget vil neppe kollapse. Heller tvert i mot.

Oppdatert 27. januar 2014 med link til Sparebank1 sin app-info-side.

Oppdatert 18. mars 2014 for å reflektere at Google har trukket tilbake APIet for styring av app-tilganger i Android, samt link til innlegg om informasjonslekkasje via app-tilganger.