De AVG en uw contentproces

Het AVG-traject en de gevolgen voor contentcreatie, vertalingen, digitale experiences en distributie

"De digitale toekomst van Europa kan alleen op vertrouwen worden gegrondvest. Degelijke algemene standaarden voor gegevensbescherming bieden mensen de zekerheid dat ze controle houden over hun persoonsgegevens", aldus Andrus Ansip, vicepresident voor de digitale eengemaakte markt, in december 2015

De algemene verordening gegevensbescherming (AVG) van de Europese Unie

In navolging van de plannen van de Europese Commissie om de gegevensbescherming te hervormen en Europa voor te bereiden op het digitale tijdperk, is het kader voor de algemene verordening gegevensbescherming (AVG) gecreëerd. De gerelateerde wetgeving wordt inmiddels doorgevoerd.

De AVG is wetgeving van de Europese Unie (EU) die is ontworpen om personen meer controle te verlenen over hun persoonsgegevens; gegevens die betrekking hebben op een geïdentificeerde of identificeerbare persoon of, anders uitgedrukt, gegevens op basis waarvan, eventueel in combinatie met andere gegevens, een persoon kan worden geïdentificeerd.

De AVG biedt een reeks regels die aangeven hoe organisaties binnen en buiten de EU en de Europese Economische Ruimte (EER) persoonsgegevens behoren te gebruiken voor het verhandelen of verkopen van goederen of diensten en daarbij de zekerheid moeten bieden dat informatie goed wordt beschermd en veilig wordt verwerkt en bewaard.  De verordening is bedoeld om de gegevensprivacy te verbeteren en gelijk te schakelen voor alle personen binnen de EU/EER en bij de verwerking van persoonsgegevens van mensen over de hele wereld door organisaties uit de EU/EER. 

Hoewel het een zware taak lijkt om aan de AVG te voldoen, biedt deze feitelijk een kans om vertrouwen op te bouwen bij (potentiële) klanten door ze een belangrijke plaats binnen uw gegevensstrategie te geven, zodat u succes kunt boeken in het digitale tijdperk.

Inzicht in alle aspecten van de AVG

In het huidige tijdperk van inzicht is het belangrijk de vier hoofdconcepten van de AVG te begrijpen en te weten wat wordt bedoeld met persoonsgegevens en de verwerking van deze gegevens:

Persoonsgegevens

Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

Verwerking

Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens.

Verwerkingsverantwoordelijke

Natuurlijke persoon of rechtspersoon die het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

Gegevensverwerker

Natuurlijke persoon of rechtspersoon die namens de verwerkingsverantwoordelijke persoonsgegevens verwerkt.

De AVG-uitdagingen overwinnen

Artikel 5 van de AVG bevat een duidelijke beschrijving van zes principes met betrekking tot alle persoonsgegevens en hoe u deze moet gebruiken. Aan de hand hiervan kunt u de juiste voorbereiding voor naleving treffen en zo de AVG-uitdagingen overwinnen. De verwerkingsverantwoordelijke is verantwoordelijk voor het naleven van deze principes en moet kunnen aantonen dat dit daadwerkelijk gebeurt. Tevens moet deze over de mogelijkheid beschikken om te reageren op verzoeken van personen met betrekking tot hun gegevens.  De verwerkingsverantwoordelijke kan zich in sommige situaties echter beroepen op bepalingen van de AVG om de mate waarin aan dergelijke verzoeken wordt voldaan, te beperken.

  • Verwerking op een wijze die rechtmatig, eerlijk en transparant is voor de betrokkene.
  • Voor welbepaalde, uitdrukkelijk omschreven en legitieme doeleinden verzamelen en niet verwerken op een met die doeleinden onverenigbare wijze.
  • Ervoor zorgen dat informatie toereikend is, ter zake is en beperkt is tot het noodzakelijke voor de doeleinden waarvoor de informatie wordt verwerkt ('minimale gegevensverwerking').
  • Ervoor zorgen dat informatie nauwkeurig is en zo nodig wordt bijgewerkt.
  • Identificatie alleen toestaan gedurende de periode die noodzakelijk is voor de verwerking van persoonsgegevens met een bepaald doel.
  • Verwerking op een wijze die garandeert dat de persoonsgegevens voldoende beveiligd zijn.

Privacy door ontwerp en standaardinstellingen

Om de problematiek van de AVG en uw contentproces op de juiste wijze op te lossen is het belangrijk inzicht te verkrijgen in de persoonsgegevens die u verwerkt, over de juiste processen te beschikken en de transparantie te waarborgen voor uw klanten. Als het om uw contentproces gaat, kan SDL u in de juiste richting sturen en u ondersteunen door de juiste maatregelen te treffen voor naleving van de AVG.

Alle gegevensbeheerders zijn in het kader van de AVG verplicht om 'gegevensbescherming door ontwerp en door standaardinstellingen' te implementeren, wat betekent dat de bescherming van persoonsgegevens een fundamentele overweging tijdens de levenscyclus voor gegevensverwerking in alle projecten behoort te zijn – van het vastleggen tot het verwijderen. 

In het kader van privacy door ontwerp hebben wij, in overeenstemming met de principes van veilige softwareontwikkeling, bij de ontwikkeling van onze software anonimiteit opgenomen in het ontwerp van processen en systemen waarmee gegevens worden vastgelegd. Naar aanleiding van de hoge standaarden die wij daarmee bereiken, wordt onze software tegenwoordig door de meest privacybewuste organisaties ter wereld gebruikt (waaronder inlichtingendiensten, banken en overheidsinstellingen) als integraal onderdeel van hun processen voor de bescherming van gegevensprivacy. 

Bij het gebruik van SDL-software is uw organisatie de verwerkingsverantwoordelijke voor alle persoonsgegevens die via onze software worden verwerkt (op locatie of in de cloud). Als u ons SaaS-aanbod (Software as a Service) gebruikt, is SDL de gegevensverwerker met betrekking tot de opslag of overdracht van de persoonsgegevens. In het kader van privacy door ontwerp zorgen wij ervoor dat de SaaS-implementatie in een beveiligde omgeving plaatsvindt, zodat de beveiliging toereikend is.

Onze belofte aan u: een oplossing voor uw contentproces met de AVG

Bij SDL verbinden wij ons ertoe klanten te helpen bij de naleving van de AVG door u de vereiste functionaliteit te bieden en u te begeleiden bij uw contentproces – van het creëren tot het vertalen en verspreiden.  Wij ondersteunen u bij een verantwoord gebruik van de functionaliteit in onze software om de naleving van de AVG te vereenvoudigen.

Klik op de onderstaande onderwerpen voor meer informatie over hoe onze software u kan ondersteunen.

Vertaalsoftware en services van SDL

Neem allereerst de privacykwesties in overweging voor mensen die onze software gebruiken. 

In overeenstemming met privacy door ontwerp minimaliseert onze vertaalsoftware de hoeveelheid gegevens van gebruikers die wordt bewaard en biedt de software gebruikers controle over wat wordt bewaard, doordat zij bijvoorbeeld een gebruikersnaam kunnen kiezen die hen niet identificeerbaar maakt zonder verwijzing naar elders opgeslagen gegevens (in feite een pseudoniem). 

De complexere kwesties hebben betrekking op de wijze waarop persoonsgegevens worden behandeld in materiaal dat wordt vertaald. 

Als materialen persoonsgegevens bevatten, is de volgende methode het eenvoudigst en betrouwbaarst om privacy door ontwerp toe te passen:

  1. Voorzie content tijdens het voorbereiden van de bestanden van pseudoniemen: Zorg er met andere woorden voor dat een projectmanager (of iemand met een vergelijkbare functie) de persoonsgegevens in het bronbestand van de content door pseudoniemen vervangt voordat het bestand wordt doorgegeven aan een vertaler, serviceprovider of andere gebruiker.
  2. Verwijder de lijst met de werkelijke namen en de bijbehorende pseudoniemen wanneer de werkelijke namen zijn teruggezet: Wanneer de vertaalde content is voltooid en goedgekeurd terwijl deze nog is voorzien van pseudoniemen, zet de projectmanager de werkelijke namen terug, zodat het eindproduct de vereiste persoonsgegevens bevat. De projectmanager kan de lijst met pseudoniemen vervolgens verwijderen.

Houd er tot slot rekening mee dat de verwerkingsverantwoordelijke (de persoon die de content blootstelt aan onze software of vertalers) verantwoordelijk is voor de gegevens in deze content en naleving van de AVG.   Dit aspect kan niet worden beheerd met onze software of gegevensverwerkers, maar met een paar eenvoudige procedures kunnen we u helpen bij de naleving van de AVG. 


Hoe voorziet u content van pseudoniemen?

Het is zonder menselijke supervisie onmogelijk om volledig nauwkeurig automatisch te bepalen welke persoonsgegevens moeten worden voorzien van pseudoniemen. Maar dit kan wel eenvoudiger worden gemaakt. Wij hebben een app ontwikkeld die gratis verkrijgbaar is in de SDL AppStore en de volgende mogelijkheden biedt: 

  • Complexe zoekopdrachten uitvoeren op de broncontent met regular expressions (regex) om te controleren op persoonsgegevens. 
  • Specifieke id's vervangen door willekeurige tokens. 
  • Later echte namen terugzetten door de app toe te passen op het doelbestand. 

Om deze app te gebruiken, moet u eerst uw bestanden exporteren en converteren naar de XLIFF-indeling (afhankelijk van de software waarmee u bestanden voorbereidt voor het vertaalproces). Als u persoonsgegevens die worden verwerkt via de SDL-software wilt beschermen (om nog maar te zwijgen over uw intellectuele eigendom en andere gevoelige informatie), zijn er meerdere beveiligingslagen en -maatregelen vereist. 

Als u wilt controleren of uw vertaalproces voldoet aan de AVG, voert u de evaluatie van SDL uit, die organisaties helpt te bepalen welke technologieën en stappen kunnen worden geïmplementeerd om de naleving van de AVG te vereenvoudigen met betrekking tot het vertaal- en lokalisatieproces.


Machinevertaling en persoonsgegevens

Bij machinevertalingen (MT) van SDL op basis van Software as a Service wordt de content die door klanten ter vertaling wordt ingediend niet permanent bewaard. Content wordt voor deze services opgeslagen zolang dit nodig is om de vertaling te maken. 

Als u SDL MT aanschaft met een talencombinatie die wordt getraind met uw vertaalde content, moet u zorgen dat er geen persoonsgegevens in de trainingscontent staan. Mogelijk moet u de trainingsgegevens voorzien van pseudoniemen, zodat deze geen persoonsgegevens meer bevatten.

SDL Tridion DX (SDL Tridion Sites en SDL Tridion Docs) en privacy door ontwerp

Alle klanten van SDL Tridion Sites of SDL Tridion Docs, die beide deel uitmaken van de SDL Tridion DX-suite, moeten controleren of hun implementatie voldoet aan de AVG en dienen best practices aan te houden op het gebied van privacy, beveiliging en codering. Met betrekking tot documentatie en content behoren uw huidige privacyverklaringen op uw website te staan en moeten bezoekers op de hoogte worden gesteld wanneer persoonsgegevens worden verzameld, waarvoor zo nodig expliciet toestemming moet worden gevraagd. Neem ook opties in overweging die gebruikers de volgende mogelijkheden bieden:


  • Instemmen met de verwerking van persoonsgegevens door expliciet toestemming te geven (opt in) of door registratie.
  • Voorkeuren beheren via selfservicefunctionaliteit.
  • Afmelden, toestemming intrekken of op andere wijze bezwaar maken tegen gegevensverwerking.

Door disclaimers toe te voegen schept u de juiste verwachtingen bij bezoekers van de website. Als u een nieuwe site wilt ontwikkelen die gebruikmaakt van nieuwe technologieën met gevolgen voor de privacy of als u activiteiten met betrekking tot persoonsgegevens bijhoudt, is het raadzaam een effectbeoordeling van gegevensbescherming uit te voeren om te controleren of u de juiste privacymaatregelen hebt getroffen. Wees ook duidelijk over beveiliging, gedragscodes en certificeringen, en minimaliseer de risico's met beveiligingsback-ups en privacytraining voor de belangrijkste belanghebbenden.

Specifiek met betrekking tot SDL Tridion-sites kunt u alle functies blijven gebruiken zolang u maatregelen neemt inzake de persoonsgegevens. De functies die betrekking hebben op context voor bezoekers, optimalisatie van experiences of rationalisering moeten met meer zorg worden behandeld. Hiertoe behoren:

  • Ambient Data Framework
  • Context Cartridge
  • Audience Manager
  • CRM-accelerators en -connectors
  • Door gebruikers gegenereerde content
  • BluePrinting
  • Contextuele sjablonen
  • API's voor contentdelivery
  • Experience Optimization

Bekijk ons webinar of neem contact op met uw lokale Tridion-contactpersoon als u meer wilt weten over het gebruik van deze functies in overeenstemming met de AVG. U kunt hier ook meer over de AVG en SDL Tridion DX lezen in onze blogserie.

Beveiliging voor gegevensbescherming

Infrastructuur beveiligen 

SDL biedt de vereiste beveiliging om de vertrouwelijkheid, integriteit en veiligheid van gegevens te beschermen. Wij hanteren het strengste beveiligingsproces om de veiligheid van uw gegevens te garanderen.

Voor implementaties van SDL-software op locatie is uw infrastructuur uw verantwoordelijkheid. Uw IT-afdeling moet ervoor zorgen dat servers en computers waarop SDL-software wordt gehost toereikend is beveiligd met het oog op mogelijke risico's (naar het oordeel van de verwerkingsverantwoordelijke). 

Voor door SDL gehoste (cloudgebaseerde) software en services is SDL een gegevensverwerker en volgen wij de hoogste beveiligingsstandaarden voor de infrastructuur. Hoewel alle door SDL beheerde producten zijn geïmplementeerd op een service van een cloudserviceprovider die zorg draagt voor een infrastructuur en services conform ISO27001, ISO9001, ISO27018 enzovoort, worden alle SDL-sites beheerd in overeenstemming met de ISO27002-norm voor best practices, maar zijn sommige ISO27001-gecertificeerd en breiden wij actief de ISO27001-certificeringen uit. 

Wij bieden een hoge mate van flexibiliteit om te voldoen aan beveiligingsvereisten van klanten. Aarzel niet om hierover contact met ons op te nemen. Naast de basisbeveiligingsmaatregelen die wij met u overeenkomen, bieden wij eveneens optionele geavanceerde beveiligingsmogelijkheden op basis van beheerde beveiliging.

In geval van een lek 

Als u inzake onze cloudgebaseerde software wilt dat wij actief lekken opsporen en melden waarvoor een meldingsplicht geldt in het kader van de AVG, kunt u ons om meer informatie vragen over het beheerproces voor beveiligingsincidenten dat is ontworpen conform de ISO27035-norm. 

Veilige softwareontwikkeling 

Beveiliging is nooit een bijzaak in ons ontwikkelingsproces. Wij betrekken technici en architecten vanaf het begin bij het proces en volgen een plan – dat de infrastructuur-, applicatie- en databaselaag omvat – waarin specifieke risicobeoordelingen, ontwikkeling van beveiligingsmaatregelen en beveiligingstests zijn opgenomen om ervoor te zorgen dat betrouwbare beveiliging een centraal onderdeel is van de software.

Aandachtspunten bij cloudomgevingen

Het cloudteam van SDL werkt nauw samen met onze ontwikkelteams en architecten om oplossingen te implementeren waarin rekening wordt gehouden met gegevensprivacy en gegevensbeveiliging. Hierbij wordt het principe van 'privacy door ontwerp' toegepast. Voor door SDL gehoste (cloudgebaseerde) software en services is SDL een gegevensverwerker en volgen wij de hoogste beveiligingsstandaarden voor de infrastructuur. Hoewel alle door SDL beheerde producten zijn geïmplementeerd via een cloudserviceprovider die zorg draagt voor een infrastructuur en services conform SOC (1, 2 en 3) en ISO (27001, 9001, 27018 enz.), worden alle SDL-sites beheerd in overeenstemming met de best practices volgens ISO-27002 en zijn sommige sites ISO-27001-gecertificeerd. SDL breidt actief zijn ISO-27001-certificering uit.

SDL raadt u het volgende aan om een proactieve benadering van gegevensprivacy en -beveiliging in de cloud te bewerkstelligen: 

  • Voorzie in ISO-certificering: voer controles in elke fase van het contentproces in om gegevens te beschermen, audit trails te bieden en procedures voor beveiligingsgebeurtenissen op te stellen. 
  • Voorzie in goed configuratiebeheer en goede vindbaarheid van gegevens: voor elke server die u beheert, moet inzicht worden verkregen in de servergerelateerde klanten/gegevens om volledige transparantie te bieden. 
  • Voorzie in uitgebreid beleid en een uitgebreide toolset/roadmap voor beveiliging:
        - Toegang op basis van least privilege
        - Volledig IAM-beleid (Identity and Access Management; identiteits- en toegangsbeheer)
        - Meervoudige verificatie op meerdere niveaus, waar toepasselijk
        - Beleid voor sterke wachtwoorden: regelmatige controles van alle toegangslogboeken en inactieve accounts
        - Regelmatige analyses van beleid en tools met een Data Privacy Officer en beveiligingsraad om de actieve roadmap te bepalen 
  • Voorzie in inbreukdetectie/-preventie, waar mogelijk. 
  • Zorg ervoor dat gegevens worden gecodeerd tijdens overdracht en opslag, waar mogelijk. 
  • Zorg ervoor dat alle cloudmedewerkers een verplichte training volgen over gegevensprivacy/-bescherming. 
  • Zorg ervoor dat alle datacenters en hostingproviders over alle relevante certificaten beschikken en alle vereiste beveiligingsfuncties bieden. 
  • Zorg ervoor dat u uw beleid voor het bewaren van gegevens begrijpt en duidelijk formuleert, en bied middelen om opgeslagen back-upgegevens te beheren.
        - Zorg dat er een veilige en volledige verwijderingsprocedure is 
  • Zorg ervoor dat actieve gegevens kunnen worden gevolgd, bevroren, gedownload, aangepast en/of verwijderd.
Webinars en presentaties
Infographics
Blogs

SDL heeft gegevensprivacy en de AVG centraal gesteld bij haar activiteiten

Als bedrijf dat digitale experiences mogelijk maakt en het creëren van de beste customer journeys bevordert, heeft SDL gegevensprivacy en de AVG centraal gesteld bij alle activiteiten, zodat:

  • Persoonsgegevens eerlijk en rechtmatig worden behandeld
  • Gegevens veilig worden opgeslagen
  • Elk gegevenslek wordt gemeld
  • Informatie alleen wordt bewaard zolang dit nodig is
  • Wordt bijgehouden wie toegang tot gegevens verkrijgt
  • Gegevens worden verstrekt wanneer dit wordt verzocht