Welk effect heeft GDPR op je CMS?

GDPR wetgeving toepassen op jouw website

Er zijn veel functionaliteiten in websites/Content Management Systemen die persoonsgegevens verzamelen en gebruiken. GDPR heeft hier effect op. In deze blog meer informatie hierover.
Welke verantwoordelijkheden hebben organisaties en hoe beïnvloeden de rechten van individuen vanuit GDPR hen?
In onze eerste blog hebben we een algemene inleiding gegeven op de GDPR. In deze blog duiken we dieper in de rol van persoonsgegevens in relatie tot Content Management Systemen en hoe de rechten van personen ten opzichte van jouw organisatie veranderen.
 

1. Welke rechten hebben personen onder GDPR?

Personen krijgen door de GDPR meer rechten:
  • Allereerst het recht dat persoonsgegevens op rechtmatige wijze verwerkt worden. Organisaties mogen niet méér persoonsgegevens verwerken dan noodzakelijk voor het doel van de verwerking. Zo is het niet nodig om je postadres te vragen om een nieuwsbrief te kunnen versturen.
  • Via het recht op transparantie moet je in een privacyverklaring in begrijpelijke taal melden dat en waarom persoonlijke gegevens worden verwerkt. Men kan rechtstreeks aan je vragen of en welke persoonsgegevens je verwerkt.
  • Personen moeten expliciete toestemming geven voor het verwerken van gegevens. Dit moet een actieve handeling zijn (vooringevulde checkoxes zijn een no-go. Men moet de toestemming ook weer eenvoudig kunnen intrekken.
  • Het recht op dataportabiliteit: elke persoon mag zijn persoonsgegevens bij je opvragen. En je moet ze in leesbaar formaat op kunnen leveren zodat ze meegenomen kunnen worden naar een andere partij.
  • En het meest bekende recht;  het recht om vergeten te worden. Het betekent dat personen het recht hebben te eisen dat de verwerkingsverantwoordelijke alle persoonlijke gegevens die zij over hem heeft, wist. Er zijn wel uitzonderingen om dit niet verplicht te zijn, maar die laten we hier buiten beschouwing. Uiteraard moet het CMS je ondersteunen bij de mogelijkheid data te wissen. En deze verplichting raakt ook andere plekken waar het bedrijf de persoonsgegevens verwerkt, bijvoorbeeld CRM's, maar ook met andere onderaannemers of partijen.

2. Invloed van GDPR op Content Management Systemen en hoe organisaties hun werk doen

Er zijn veel functionaliteiten in websites/Content Management Systemen die persoonsgegevens verzamelen en gebruiken, maar ook met pseudo-anonieme data en anonieme data. Deze laatste categorie valt buiten de GDPR, want deze zijn niet herleidbaar naar een individu. Die laten we buiten beschouwing in deze blog. 
Persoonsgegevens die een rol spelen in een CMS zijn bijvoorbeeld emailadressen voor inschrijvingen  op een nieuwsbrief of formulieren die een bezoeker invult op de site. Pseudo-anonieme data zijn versleutelde data, maar die nog wel terug te leiden zijn naar een persoon. Bijvoorbeeld tracking-ID’s, en data in webanalyses. 
 
  • Voor e-mailmarketing, zoals nieuwsbrieven, zegt de GDPR dat je het e-mailadres van personen op wettige wijze moet verzamelen. Dit betekent concreet dat je via je website in heel duidelijke taal toestemming van de persoon moet krijgen om zijn e-mail te mogen gebruiken voor het verzenden van die specifieke nieuwsbrief (opt-in). Daarnaast moet je de toestemming opslaan en moet de persoon deze toestemming eenvoudig kunnen intrekken.
  • Voor webanalyses via bijvoorbeeld Google Analytics verzamel je ook persoonsgegevens. Via Google Analytics, verwerk je persoonsgegevens van je websitebezoekers met analytische cookies. Het is mogelijk om Google Analytics privacy vriendelijk in te stellen in je Google Analytics account. Dat betekent onder andere dat je geen gegevens met Google deelt (bijvoorbeeld voor advertentiedoeleinden, om het surfgedrag te delen over verschillende apparaten en meerdere sessies), IP adressen anonimiseert. In een volgende blog gaan we hier uitgebreider op in.
  • Zoals hiervoor aangegeven kunnen personen vragen een kopie aan te leveren van alle persoonlijke gegevens die je over hem verzamelt. Je CMS moet in staat zijn om de gegevens te exporteren om deze aan de persoon te overhandigen. En de betrokkene heeft ook het recht om al die gegevens, ergens anders mee naartoe te nemen en deze in een ander CMS te uploaden. Het CMS moet dus in staat zijn om de gegevens te exporteren in een menselijk leesbaar formaat (dataportabiliteit). Deze regels betekenen dat je dit technisch en organisatorisch ingericht moet hebben.

3. Wat is een Functionaris voor Gegevensbescherming (FG) en ben je verplicht deze aan te stellen? 

Een Functionaris voor Gegevensbescherming (in het Engels: Data Protection Officer) houdt toezicht op de toepassing en naleving van de AVG. Of jouw organisatie verplicht is deze aan te stellen, hangt af van het type organisatie. Er zijn drie verschillende scenario's waarin een organisatie een FG moet benoemen.
  1. Als de verwerking wordt uitgevoerd door overheden en publieke organisaties.
  2. Als de organisatie vanuit hun kernactiviteiten op grote schaal individuen volgt (profilering van mensen voor het maken van risico-inschattingen, cameratoezicht en monitoring van iemands gezondheid)
  3. Als de organisatie op grote schaal bijzondere persoonsgegevens verwerkt en dit een kernactiviteit is. Bijzondere persoonsgegevens zijn gegevens over iemands ras, gezondheid, politieke opvatting, lidmaatschap van de vakbond, religieuze of filosofische overtuigingen.
Iets wat veel bedrijven zou kunnen ontheffen van de verplichting een Functionaris Gegevensbescherming aan te stellen, is het criterium over ‘grote schaal’. Wil je hier meer over weten, lees de richtlijn die de Autoriteit Persoonsgegevens heeft gepubliceerd.
 

4. Is GDPR alleen maar kommer en kwel? 

Het lijkt alsof de GDPR alleen maar kommer en kwel is. Maar GDPR is geïntroduceerd voor jou en mij; het geeft burgers namelijk meer controle over de manier waarop organisaties met persoonsgegevens omgaan. Het moet dingen zo transparant mogelijk maken; als een persoon ermee instemt dat persoonsgegevens worden verwerkt, stemt hij in met iets wat hij begrijpt en waarvan hij de consequenties kent. De EU meent dat persoonlijke gegevens van waarde zijn en dat het noodzakelijk is om deze te beschermen en te beveiligen. Bovendien is er de duidelijkheid van verantwoordelijkheid. En bedrijven die verklaren dat ze volledig GDPR-compliant zijn, dan zou de impact kunnen betekenen dat de reputatie van het bedrijf toeneemt. En dat is de positieve keerzijde van de GDPR!
Tot slot: Dit onderwerp kan verstrekkende gevolgen hebben voor je organisatie. In de komende maanden plaatsen we meer blogs en we zullen dit onderwerp ook bespreken met onze klanten. Bijvoorbeeld om te vertellen wat de nieuwe versie van Kentico, versie 11, in petto heeft om je te helpen bij de implementatie van GDPR in je organisatie. 

GDPR en Online Marketing seminar

Wij organiseerden met Kentico op 7 december een gratis seminar over GDPR & Online Marketing. Tijdens de interactieve workshop kregen de deelnemers inzicht in de uitdagingen en oplossingen op het gebied van privacy en GDPR voor hun organisatie. Daarnaast waren er vakinhoudelijke professionals en ervaringsdeskundigen die hun visie gaven over de nieuwste ontwikkelingen op het gebied van online marketing. 
Op 8 maart organiseren wij weer een gratis seminar: GDPR en online marketing, houd onze website in de gaten voor meer info!


DISCLAIMER: Alle gegevens en informatie in deze blogpost zijn alleen voor informatieve doeleinden. TrueLime geeft geen garanties met betrekking tot de nauwkeurigheid, volledigheid, actualiteit, geschiktheid of geldigheid van de hierin opgenomen informatie. We raden je aan een advocaat te raadplegen voor juridisch advies met betrekking tot GDPR-conformiteit.