Wanneer is een app veilig? Tool voor developers geeft antwoord

Alle ophef rond TikTok, Twitter, Zoom en anderen heeft te maken met de vraag of elke app wel veilig is. Consumenten organisaties, pers en politici benaderen die vraag altijd vanuit de gebruiker beredeneerd. Nu is er een checklist bestemd voor de makers, de developers. De toezichthouder FTC heeft met steun van vooral het Department of Health and Human Services een interactieve checklist opgesteld voor developpers. Aan de hand van 15 vragen krijgen ze horen of de app die  ontwikkelen wel legaal en veilig is. Dat het DHHS meedoet aan dit project komt omdat de beschermingseisen die HIPAA oplegt zo breed zijn. HIPAA gaat veel verder dan de Nederlandse NEN7510, maar de basis is enigszins gelijk: het beschermen van medische persoonsgegevens.

Vrijwilligheid en vervolgstap

De Appchecker gebruiken gebeurt op basis van vrijwilligheid. Het is echter wel zo dat als een developer een goed resultaat behaald hij als vervolgstap kan kiezen voor certificering. Het Health IT Certification Program is die vervolgstap. Daarbij wordt ook gekeken naar specifieke criteria voor technische capaciteiten op het gebied van privacy en beveiliging. Denk daarbij aan maatregelen om te voorkomen dat data wordt gedeeld met derden of het gebruik van advertenties om locaties vast te leggen. Verbieden is nadrukkelijk niet het enige dat het certificeringsprogramma nastreeft. Het tegenovergestelde is namelijk ook het geval. Apps die goed in elkaar zitten mogen koppelingen met de verzekeraars aanbieden.

Meertrapsraket

Wat aanspreekt aan dit model is in de eerste plaats de gelaagdheid. Het is een meertrapsraket. De eerste trap is het doorlopen van die FTC tool. Dat kost niets en de uitkomsten worden niet bijgehouden. Je kunt het als developper en als controleur zelfs toepassing als een van de checklists. Ook als de apps die je maakt over iets anders gaan dan “heathcare”. Wil je je positief onderscheiden van de rest, dan kies je naar het behalen van de nodige punten bij stap een voor de echte certificering. Net als bij een ISO27001 kun je dat proces makkelijker doorlopen als je al kunt aangeven dat je een voorafgaande “standaard” procedure met goed resultaat hebt afgerond.

Nederland?

Het klinkt allemaal zo logisch dat je verbaast zult zijn te horen dat iets dergelijks in Nederland niet bestaat. Jammer, zowel bouwers, aanbieders als gebruikers zouden daar baat bij hebben.