DBF-overholdelse er en investering, potentielt betydelig for en lille virksomhed, og den skal planlægges rationelt.
Hvorfor investere i DBF (GDPR) overholdelse?
Investering i DBF-overholdelse drives af forretningsbehov snarere end frygt for bøder. Store virksomhedskunder, aktive kunder eller medarbejdere, risici for brud eller mange anmodninger skubber normalt virksomheder til en sådan investering. Mindre virksomheder skal identificere de parter, der driver deres overholdelsesindsats, prioritere dem og fokusere på de mest kritiske aspekter af overholdelse for at holde omkostningerne under kontrol.
Hvor skal du investere først?
Der kan gøres meget for at overholde DBF (GDPR), men normalt skal der i praksis gøres meget mindre, og i en bestemt rækkefølge. DBF er ikke en sort-hvid, compliant-eller-ikke certificering som mange andre compliance-krav. DBF kommer med mange gråzoner, og virksomheder kan vælge niveauet af accepterede risici ved manglende overholdelse.
For eksempel, tænk på en virksomhed, der betjener flere store erhvervskunder som leverandør (behandler). Den kan investere i sin Databehandlingsaftale, velbeskrevne sikkerhedsforanstaltninger, automatiseret support til håndtering af anmodninger fra registrerede, inventar over underbehandlere og beviser for medarbejderuddannelse, fordi disse aspekter er anmodet af kundernes privatlivsafdelinger. Den kan være minimalt compliant på andre områder, såsom at have en grundlæggende privatlivspolitik for hjemmesiden, eller have groft aggregerede optegnelser i registrene over behandlingsaktiviteter.
Løbende aktiviteter
Mere om dette
Hvordan forbliver du compliant?
DBF-overholdelse er en kontinuerlig proces, og efter den indledende opsætning skal du periodisk gennemgå den og justere den, ofte årligt.
Det ville også involvere operationelle aktiviteter for at håndtere dine overholdelsesgaps, risikoreducerende tiltag, registrere brud, ændringer i kontrakter og leverandører samt besvare anmodninger fra enkeltpersoner. Disse aktiviteter understøttes bedst af passende værktøjer, såsom PrivacyDocs.
Dokumentation
Mere om dette
DBF-dokumenter at opbevare
Dokumentation af DBF-overholdelse og opbevaring af overholdelsesbeviser kan være vigtigere end selve overholdelsen. De fleste krav til DBF-overholdelse henviser til dokumentation eller dokumenterede vurderinger, beslutninger, meddelelser, kontrakter. For eksempel gør det ikke at informere personer om opbevaringsperioder for en behandling det ikke-kompatibelt (selvom det ikke er umiddelbart ulovligt).
Virksomheder er forpligtet til at holde virkeligheden af behandling af personoplysninger gennem deres systemer og manuelle processer i overensstemmelse med løfter, meddelelser, politikker, kontrakter og andre dokumenter. Individuelle personer kan kontrollere dette gennem 'ret til indsigt'-anmodninger, hvor de kan anmode virksomheder om en kopi af de data, som virksomhederne behandler for at validere lovligheden af behandlingen. Virksomheder, der behandler personoplysninger som leverandører (der fungerer som databehandlere), skal give deres kunder (der fungerer som dataansvarlige) ret til at revidere dem.
Omkostninger
Mere om dette
Omkostninger ved overholdelse
Dokumentation af din DBF (GDPR) overholdelse medfører visse omkostninger, primært tid. Et typisk omkostningsmønster er som følger:
- Indledende opsætningsspids
- Flad vedligeholdelse og forbedring af overholdelse. Tænk på en dedikeret medarbejder, der har en DBF-dag en gang om måneden.
- Forberedelse til ændringer. Tænk på ekstra DBF-arbejde, der kræves for at onboarde en ny leverandør eller introducere et nyt system.
- Reagere på brud. Det sker ad hoc (nå, de fleste brud er ikke planlagt på forhånd) og varierer fra en times arbejde til en virksomhedsomfattende nødsituation.
De fleste mindre virksomheder fokuserer ikke på behandling af personoplysninger som deres kerneforretning. De kræver ikke betydelige yderligere investeringer for at forblive DBF (GDPR) compliant, normalt på niveau med flere persontimer om året.
Intern eller Ekstern
Alle i virksomheden skal have en grundlæggende forståelse af DBF (GDPR), og et 1-2 timers introduktionskursus er en uundgåelig investering. Medarbejdere, der er ansvarlige for DBF-overholdelse, ville typisk investere flere dage for at få grundlæggende driftskendskab til DBF. For at kunne vurdere og evaluere overholdelse, ville en medarbejder skulle bruge måneder på DBF.
For mange mindre virksomheder giver det mening at investere i operationel viden om DBF (GDPR) for en til to medarbejdere og ikke investere i at udvikle professionel DBF-overholdelsesekspertise internt.
En sådan medarbejder, støttet af PrivacyDocs-værktøjet, kan udføre 90 % eller mere af overholdelsesopgaverne. En ekstern specialiseret DBF-konsulent ville derefter kun være nødvendig for at skabe tillid til overholdelsesstatusen (for at gennemgå dokumentationen), besvare spørgsmål, udføre vurderinger og hjælpe med brud på persondata.
PrivacyDocs
PrivacyDocs-tilbudet er et værktøj, der specifikt er rettet mod virksomheder, der har nogen med grundlæggende operationel viden om DBF internt. Denne person, støttet af det specialiserede PrivacyDocs-værktøj og lejlighedsvis hjælp fra vores DBF-konsulenter, kunne sikre overholdelse. Denne opsætning ville også begrænse overholdelsesomkostningerne, da eksterne konsulenter har tendens til at være dyrere end interne medarbejdere og kan udvikle DBF-overholdelse på et meget detaljeret niveau.