Web için geliştirme yaparken gizliliği korumak amacıyla yapılması gereken önemli şeylerin listesi.
Temel bilgiler
Kursun tamamında belirli konular tekrar tekrar gündeme geldi. Kullanıcılarınızın gizliliğini korumak için, onlar hakkında ihtiyacınız olan minimum bilgiyi bilmek, neye ihtiyacınız olduğu ve neden ihtiyacınız olduğu konusunda dürüst ve şeffaf olmak ve sahip olduğunuz öğeleri artık ihtiyaç duymadığınız anda kaldırmak dahildir. Ayrıca, başkalarının yapabileceklerinden ve kullanıcılarınızın verileriyle yapabileceklerinden siz de sorumlusunuz. Bu da, verinin ne olduğunu dürüst ve şeffaf bir biçimde
Daha büyük kuruluşlarda, dağıtım ortamlarınız ve tarayıcılarınızdaki en son teknik değişiklikleri takip etmek ve kullanıcılarınızın gizliliği üzerindeki teknik ve yasal değişikliklerin etkilerini anlamak için çalışan roller veya ekipler olabilir. Ancak daha küçük bir kuruluşun kullanıcı gizliliği, değişen ortamın halihazırda alınmış kararları nasıl etkileyebileceği ve bundan sonra vereceğiniz kararlarda neleri dikkate almanız gerektiği konularında yine de bilinçli olması gerekir. Bu modülde, hem gizlilik tercihleriniz hem de kullanıcılarınızın gereksinimleri ve gizlilikle ilgili tercihlerinizle olan iletişiminizi sürdürmeye yönelik bazı en iyi uygulamalar özetlenmektedir.
Yaptığınız işlerin farkında olun
Buradaki ilk en iyi uygulama understanding. Kullanıcılarınız hakkında bildiklerinizin ve bunları neden bildiğinizin farkında olmanız gerekir. Ayrıca iş ortaklarınızın kullanıcılarınız hakkında ne bildiğini ve bunu nasıl bulduklarını da bilmeniz gerekir. Bu, gizlilik politikanızın belgelenmiş bir bölümü olmalıdır. Bu listeyi oluşturmak en başta zor ve zaman alan bir iş. Ancak daha önemlisi, işletmeniz ve sizin için de aydınlatıcı. Kullanıcılarınız hakkında ne kadar veri toplayıp depoladığınızı görmek çoğu zaman şaşırtıcı (ve hoş olmayan) bir durum olabilir. Bu bilgilerin belgelenmesi yalnızca veri toplama ve gizlilik konusunda değil, aynı zamanda sistemlerinizin kullanıcı deneyimi ve temel yazılım hakkında da bilgi sahibi olmanızı sağlar. Çoğu zaman güncellenmesi gereken ve unutulmuş olan, geçerliliğini yitirmiş köşeler veya geçersiz talepler söz konusudur.
Yapılması gerekenler
Kullanıcıya bağlanabilecek her veri parçası için şunları açıkça belgeleyin:
- Ne için toplandığını gösteren belirli bir liste.
- Ne zaman silineceği (ve yalnızca kendi ekibiniz tarafından değil, kullanıcı tarafından nasıl silinebileceği)
- Verileri toplama yönteminiz
Sonuçların yalnızca bu soruları yalnızca cevaplamaya yetecek ayrıntı düzeyinde toplandığından emin olun.
Bu belge dahili kullanım içindir ve eksiksiz ve eksiksiz olmalıdır. Ancak güven atmosferi oluşturmak önemli olduğu için bunu kullanıcılar açısından herkese açık bir şekilde belgelemek önemli olabilir. Bu hem müşteri ilişkileri açısından genel açıdan faydalı hem de kullanıcılarınızın, verilerin kötüye kullanılmayacağına inandıkları takdirde işle ilgili kararlar vermek için ihtiyaç duydukları verileri gönüllü olarak paylaşmaları daha olasıdır. Herkese açık olan bu belge, daha genel gizlilik politikanıza bağlıdır (aslında, gizlilik politikanızın önemli bir kısmını oluşturur) ve bunun kullanıcılarınızın anlayabileceği bir biçimde (yasal ifadeyle birlikte) yazılması, güven ilişkisi kurmanıza yardımcı olur.
En son gelişmeleri kaçırmayın
İkinci en iyi uygulama güncel kalmaktır. Bu sektör genel bir kural olarak hızla hareket ediyor. Gizlilik de hızla değişen bir alan; güncel kalmak başlı başına zor olabilir. Kullanabileceğiniz teknoloji sık sık değişecek olsa da kullanıcıların beklentileri de aynı hızla değişecektir. Geride kalmamak önemlidir. Rakiplerinizin gerisinde kalmayı başarabilirseniz gizliliği korumaya yönelik bir konum elde ederek gerçek bir rekabet avantajı elde edebilirsiniz. Kullanıcı gizliliğini yönetmek ve sektörün nasıl değişim geçirebileceğini anlamak, yalnızca kişinin işi olmayabilir. Uzman olmanıza gerek yok ama birinin bir kısmı işi olmalıdır. Eğitim veya konferans bütçesinin bir kısmını sektör trendleri ve mevzuat güncellemelerinden haberdar olmaya ayırın.
Gizlilikle ilgili değişen tutumlara ve en iyi uygulamalara ayak uydurmak zor olabilir. Bunun için gidilebilecek tek bir yer uygun değil. Bunun nedeni kısmen, gizlilik korumasının birçok farklı sektörün birçok farklı bölümünü etkileyen geniş kapsamlı bir alan olmasıdır. Ancak, kullanıcılarınızın ve diğer kullanıcıların gizliliğini en iyi şekilde nasıl koruyabileceğinize ilişkin pek çok farklı konu oldukça tartışmalı ve bu konudaki yaklaşımlar çoğu zaman birbiriyle çakışır. Bu kursta, izlenecek bir yol ve bazı en iyi uygulamalar belirledik, ancak kendi yaklaşımınızı hedeflerinize, kuruluşunuzun ihtiyaçlarına ve kullanıcılarınızın ihtiyaçlarına en uygun şekilde sentezlemek sizin için faydalı olacaktır. Değişen normlar ve şu anda yapılacak en iyi şeyler hakkında güncel bilgiler edinmenize yardımcı olmak için sizin, yönetiminiz ve çevrenizdeki ekibiniz için bir kaynak listesi derledik.
Tarayıcılar tarafından yapılan bazı gizlilik değişiklikleri teknik niteliktedir ve geliştirici ekipleri tarafından anlaşılması gerekir. Örneğin, çerezlerde SameSite=varsayılan olarak Lax şeklinde yapılan değişikliği düşünün. Bu değişiklik bazı sitelerdeki özellikleri etkiledi, dolayısıyla teknik değişiklikler gerektirebilir. Önceden duyurulan ve kullanıma sunulmadan önce denenmiştir. Bu, kullanıcı gizliliğini etkileyebilecek değişikliklere iyi bir örnektir (bu örnekte söz konusu değişiklik iyileştirmedir) ve doğru şekilde başa çıkabilmesi için uygulamalarınızda değişiklik yapılması gerekebilir.
Kaynaklar
Tarayıcı tedarikçileri ve web platformu geliştiricileri
Çoğu web geliştirme ekibi için gizlilik ve kullanıcı korumasıyla ilgili en güncel sektör uygulamalarını takip etmek için en iyi yerler, tarayıcı tedarikçileri ve tüketici verilerini koruma kuruluşlarıdır. Duyurular ve basın bültenleri için bu, tarayıcı tedarikçi ekibinin blog'ları anlamına gelir: Bunların büyük bir kısmı teknolojiler ve gizlilikle ilgili olmayan konular hakkındadır, ancak gizlilikle ilgili duyurular olduğunda burada görünürler:
- Webkit (https://webkit.org/blog/)
- Chrome (https://developer.chrome.com/blog/ ve https://blog.chromium.org/)
- Firefox (https://hacks.mozilla.org/)
- Edge (https://blogs.windows.com/msedgedev/)
- Samsung Developers (https://developer.samsung.com/blog).
Tarayıcıların uygulamayı planladığı öğeleri anlamak ve kullanmayı düşündüğünüz, ileride kullanıma sunulacak ve teklif edilen API'lerle ilgili duruşunu belirlemek için durum sayfaları ve konum sayfaları bulunmaktadır:
- WebKit (https://webkit.org/status ve https://github.com/WebKit/standards-positions)
- Chrome (https://chromestatus.com/features ve https://developer.chrome.com/tags/deprecations/)
- Edge (https://developer.microsoft.com/en-us/microsoft-edge/status/)
- Firefox (https://mozilla.github.io/standards-positions/)
Gizlilikle ilgili kuruluşlar
Elbette tarayıcı tedarikçilerinin pozisyonları bu görüşmede yalnızca bir giriştir. Mevcut durumda gizlilik korumasını iyileştirmek için çabalayan kuruluşlar da var ve bunları yakından takip etmek yararlı olacaktır. Bu uzun bir listedir, ancak size birkaç örnek verebiliriz:
- EFF'nin gizlilik sorunu (https://www.eff.org/issues/privacy).
- Open Rights Group'un dijital gizlilik girişimi (https://www.openrightsgroup.org/category/online-privacy).
- IAPP (https://iapp.org/).
Resmi kurum: kuruluşlar
Bu bölgeyi daha yakından izlemek amacıyla, onlardan takip edilecek başka aktörler de var. Resmi kurumların kararları ve yaklaşımları bu konuda en büyük etkiye sahiptir:
- AB'de Avrupa Veri Koruma Kurulu.
- ICO, Birleşik Krallık'ta.
- Kaliforniya'daki Kaliforniya Gizlilik Koruma Ajansı.
- Veri Koruma Afrika
- IAPP'nin Asya genelinde veri korumasına genel bakışı.
Yaygın medya gizliliği raporları, genellikle daha çok "büyük teknoloji" firmalara ve resmi kuruluşlara odaklanır. Bu da, daha küçük bir şirket veya kuruluşta yapılan işten kaldırılmış gibi görünebilir. Ayrıca genellikle ABD merkezli. Ancak yine de, gelecekteki kuralların farkında olmanız faydalı olacaktır. Böylece ekibiniz ve çevrenizdeki yönetim yapıları gibi hazırlıklı olabilirsiniz.
Ayrıca, Kasım 2022'de Heather Burns tarafından yayınlanan Understanding Privacy'ye de göz atabilirsiniz. Burada, veri gizliliği alanının tamamını ve bu konuda bilmeniz gerekenleri iyi bir şekilde görebilirsiniz. Önerilir.
Kendine bakma
Gelişmelerden haberdar olmak, kendi bakış açınızı da takip etmek anlamına gelir. Kendi yazılımınızı understanding bir parçası olarak, kendi veri koleksiyonunuzun ve üçüncü taraf iş ortaklarınızın denetimlerini ve incelemelerini yaptınız. Bu denetimler bir defalık bir süreç değildir: Düzenli aralıklarla tekrarlanmalı ve yazılım değişiklikleri oldukça güncellenmelidir. Diğer teknik belgelerde olduğu gibi gizlilik denetimi dokümanlarının da geliştirme kapsamında güncel tutulmasını zorunlu kılmak faydalı olabilir. Yeni bir sürüm daha fazla veri topluyorsa gizlilik denetimini nelerin toplandığını, neden ve ne zaman silineceğini içerecek şekilde güncellemek, herkese açık belgelerde açıklanan yeni sürümün API'leri için benzer öneme sahiptir.
Yapılması gerekenler
- Sektörün ve kullanıcıların gizlilikle ilgili beklentilerinin zaman içinde nasıl değişebileceği konusunda güncel bilgi edinin. Tam zamanlı bir pozisyon için bütçe ya da yeterli ihtiyaç olmasa bile bir ekipteki bir kişi gizlilikle ilgili konulara özellikle ilgi gösterir. Gizliliğin, kişinin işinin resmi bir parçası olmasını sağlayarak ve bu sorumluluğun beraberinde getirdiği avantajlara yer vererek bunu resmi bir şekle sokmayı düşünün.
- Gizlilik denetimi belgelerini, API belgelerinde olduğu gibi dokümantasyon sürecinizin daha önceki bölümlerinden uzak tutun.
- Hangi verileri topladığınıza ve hangi üçüncü tarafları kullandığınıza yönelik denetimleri düzenli olarak veya önemli özellikler değiştiğinde tekrar yapın. İstenilen bilgileri keşfetmek için yazılımınızı yeni bir kullanıcı olarak test edin ve bunu denetimlere ekleyin.
Aşırı erişimi önleyin ve erişimi kontrol edin
Üçüncü en iyi uygulama, aşırı erişimi önlemektir. Yani, verilerle yapacağınızdan daha fazlasını yapmaktan kaçınmak ve gelecekte faydalı olması ihtimaline karşı spekülatif biçimde veri toplamaktan kaçınmak gerekir. Kullanıcı gizliliğini korumak için istediğiniz kültürü belirlemek üzere süreçlerinizi uyarlamak da buna dahildir. Kültürel değişim zor olsa da, başarıyla gerçekleştirildiğinde kendini büyük ölçüde koruyacaktır. Bu da daha kolaydır.
Kullanımlarınızı belgeleyin
Daha önce ele aldığımız en iyi uygulamalardan biri olan kullanıcı verilerinin tam olarak ne için toplandığını belgelemeyi düşünün. Bu belge, neyi, neden yaptığınızı anlamanız için önemlidir ancak bu kurala uyulmasını sağlamak da eşit derecede önemlidir. Birisi halihazırda toplanmış verileri yeni analizler için kullanmayı önerirse, bu öneriyi geri sürün, çünkü veriler toplanmama nedeni bu değildir. Veri anlamanın diğer yönleri de buna yardımcı olur: Veriler yalnızca kabul edilebilir en düşük ayrıntı düzeyinde toplanır ve kullanıldıktan sonra silinir. Çünkü, mevcut veri yoksa yeni analizler için mevcut verilerin yeniden kullanılması mümkün değildir.
Kullanıcı verilerinin kullanımıyla ilgili süreçler ve kurallar belirleyin.
Bu zor olabilir. Elde edilecek içgörüler olduğunda ve bunu daha önce verilen bir vaatten başka hiçbir şeyin engellediği durumlarda kullanıcı ilişkisinin yapısını açıklamak zordur. Ancak kullanıcının verileri belirli bir amaç için size girdiğini ve sizin (ve ekibinizin) verileri başka bir amaçla kötüye kullanmamanız gerektiğini göz önünde bulundurmak önemlidir. Bu durumda iyi bir yaklaşım, kullanıcı verilerine erişim konusunda bir miktar işlem gerektirmektir. Her çalışma sürecine, sorunu gerçekten önemsemek yerine zorunlu bir "gizlilik" bileşeni eklemekten kaçınmak çok önemlidir. Çünkü bu bileşen, kısa sürede herkesin görmezden geldiği (ve özellikle de hiç kimsenin okumadığı evrak işlerinden hiç kimse daha fazla evrak işinden hoşlanmayan) bir "onay kutusu" özelliğine dönüşebilir.
Aşırı erişimden kaçınmanın en az direnç gösteren yöntem olmasını sağlayın
Ancak burada bürokrasinin sinir bozucu özelliğini kendi yararınıza kullanma şansınız var! Toplanan mevcut verileri incelemek için yeni analizin gerekçelendirildiği ve kaydedildiği bir "gizlilik talebi" doldurulması gerekiyorsa bürokrasiden kaçınmak veya evraklarda adın yer almamasını sağlamak için bu erişime gerçekten ihtiyaç duymayan projeler büyük olasılıkla bu iznin alınmasını önleyebilir. Kullanıcı verilerinin güvenliğiyle ilgili politikalar uyguluyor olabilirsiniz. Kaydedilen hesap ayrıntıları kısıtlanmıştır ve bir gerekçe göstermeden çalışanlara sunulmaz. Gizlilik gereksinimlerini bu mevcut politikalara bağlamayı düşünün. Kullanıcı gizliliği ile ilgili süreçlerin erken aşamalarında bir bütün olarak ele alınıyorsa bu durum kısa süre içinde planlamanın rutin bir parçası haline gelebilir. Mimarlar, geliştiriciler ve pazarlama uzmanlarının gizlilik korumasını şirket dışında uygulanan zor bir kısıtlama olarak değil, müşteri ilişkisinin temel bir parçası olarak görmesi hayati önem taşır.
Enerjiyi durdurmak yerine alternatiflerle geri çekilme
Önceki en iyi uygulamaları hayata geçirdikten sonra, yalnızca belirli ve ölçülebilir amaçlar için kullanıcı verilerini toplamış, kullanıcı tabanınız bu amaçlar hakkında bilgilendirilmiş ve bunları kavramış olacaksınız. Bununla birlikte, büyük bir kullanıcı verileri koleksiyonunuz da olacaktır ve işletmelerin, bu verileri toplanma nedenleri dışındaki nedenlerle kullanmak oldukça yaygın bir durumdur. Hedefiniz bu kullanımlara itiraz etmek olsa da alternatifler sunarak bunu yapmak önemlidir. Kullanıcılarınızdan 18-25, 25-35, 35-50, 50+ yaş aralıkları belirtmelerini istediğinizi varsayalım. Bu işlemi, farklı yaş grupları tarafından en çok hangi ürün türlerinin satın alındığını ölçmek için yaptınız ve kullanıcılara yaşlarının bu nedenle istendiğini açık bir şekilde bildirdiniz. Daha sonra birisi bu verilerin 25 yaşın altındaki her kullanıcıya reklam e-postası göndermek için kullanılmasını önerdiyse bu, mevcut veriler için yeni ve beyan edilmemiş bir kullanımdır ve buna izin verilmez. Ancak buradaki amacınız, beyan edilmeyen unsurlar için veri kullanmadan iş ihtiyacını karşılamanın bir yolunu bulmak olmalıdır. Herhangi bir alternatif önermeden bu iddiaya itiraz ederseniz kullanıcı gizliliği, kullanıcılarınızın size güvenmesinin temel bir parçası olmaktan çok daha önce uyarıda bulunulan, şirket dışından uygulanan kısıtlama gibi görünmeye başlar. Mümkün olduğunca, süreçlere durdurma enerjisi eklemekten kaçının. Bir bilgisayarın "hayır" demesinden daha kötü olan tek şey, "iç düzenleyici hayır" diyor. Bunun yerine, bu hedefe ulaşmak için kullanıcıların kişisel verilerini kullanmadan diğer yolları değerlendirin: Belki kime e-posta gönderileceği konusunda kılavuz olarak satın alınan ürünlerin listesini kullanın veya hedeflenmiş dağıtımdan tamamen kaçının. Ekibinizin, kullanıcılarınızın size neden güvendiğini ve bu güvenin neye dayandığını anlamasına yardımcı olun. Ardından, onların ve kullanıcılarınızın istediklerini yapmalarına yardımcı olun. Gizlilikten yararlanın.
Yapılması gerekenler
- Kullanıcı verilerine erişim için, adlandırılmış bir çalışandan yazılı (kısa, basit) bir gerekçe istemesi gerekir.
- Kullanıcı gizliliği şartlarını süreçlerinize mümkün olduğunca erken ekleyin.
- Gizlilikle ilgili endişeleri zorunlu bir "onay kutusu" özelliği olarak eklemekten kaçının.
- Daha önce tanımlandığı gibi verilerin silinmesini zorunlu kılın.
- Ekibin geri kalanının, kullanıcılarınızın gizliliğinden ödün vermeden hedeflerine nasıl ulaşacaklarını anlamalarına yardımcı olun.