Omkostningerne ved overholdelse kan groft opdeles i tre kategorier: etablering af overholdelse, operationel overholdelse og risikostyring.
Etablere overholdelse
Finde en person
Nogen skal håndtere DBF-opgaverne. Det kan være dig eller en anden. Du eller en intern medarbejder skal bruge en del tid på at forstå DBF-overholdelse på et grundlæggende niveau. Det ligner andre overholdelses- og certificeringsordninger. Du kan være ekspert inden for områderne, men du skal stadig bruge tid på at gennemgå de specifikke dokumenter, der skal oprettes.
Det er ofte billigere at ansætte en ekstern konsulent end at udvikle dybdegående ekspertise internt. De fleste små og mellemstore virksomheder har brug for et par dages arbejde fra en DBF-specialist for at etablere overholdelse og et par timer om året for at opretholde det. En intern, hjemmeuddannet specialist ville bruge meget mere tid på at lære færdigheden og ville kontinuerligt have brug for tid til at opretholde den.
Oprettelse af inventar over behandlingsaktiviteter
Omkostningerne bestemmes af mangfoldigheden af de aktiviteter, der behandler personoplysninger, som din virksomhed udfører. Du skal opdage alle aktiviteter (dele af computersystemer eller manuelle processer), der involverer personoplysninger, og oprette et inventar. Dette inventar kaldes 'Register over behandlingsaktiviteter' og de fleste virksomheder skal opretholde et.
Mængden og granularitetsniveauet af disse aktiviteter varierer. Her er nogle indikatorer:
- Simpel hjemmeside: 3-5 aktiviteter (drift af hjemmesiden, sikkerhedskopier og sikkerhed, cookies, tredjeparts komponenter).
- Marketing: 3-5 (kunde- eller prospektdatabase, mailingliste, en eller to specifikke kampagner)
- Salg: 1-3 (behandle ordrer, ordrelevering eller udførelse, returneringer)
- Kundesupport: 1-2 (supportdatabase, modtagelse af anmodninger)
- HR og ansættelse: 1-5 (HR-filer, ansættelse, afskedigelse, forfremmelse, løn). De kombineres ofte og (delvist) outsources.
- Forretningsprocesser: varierer, 1 pr. hvert automatiseret flow, du driver
En lille virksomhed, der ansætter et par personer, skal typisk registrere 10-20 behandlingsaktiviteter. En større virksomhed ville have brug for lidt mere. Når du vælger dit PrivacyDocs-abonnement, kan du starte med den billigste 'små virksomhed'-plan, som er egnet til de fleste små og mellemstore virksomheder. Du vil sandsynligvis holde dig inden for dens grænser i det første år af dit GDPR-arbejde og kan opgradere til den større 'mellemstore virksomhed'-plan efter behov.
Omkostninger ved hver optegnelse af behandlingsaktiviteter
Hver behandlingsaktivitet skal have en registrering i Registrene over Behandlingsaktiviteter for Personoplysninger. Det koster følgende:
- 1 time til at opdage en behandlingsaktivitet (tænk på at tale med dit IT- eller marketingteam for at forstå, hvad der faktisk foregår)
- 4 timer til at lave det indledende udkast (tænk på et 1-times interview med dig, en der kender behandlingen, og en der er ansvarlig for behandlingen) og 1 time til at opsætte og skrive det
- 1-4 timer til opfølgninger (finde manglende detaljer, relevante kontrakter, meddelelser vist til de registrerede osv.)
Tænk på to aktiviteter om dagen, da nogle af disse processer kan gå hurtigere for små virksomheder end for større virksomheder.
Omkostninger ved vurderinger
Når du opbygger inventaret, kan du indse, at en aktivitet kræver en yderligere vurdering: Vurdering af databeskyttelsens indvirkning (VDP) for risikofyldte operationer, Vurdering af legitim interesse (VLI) for aktiviteter, der er afhængige af din legitime interesse som virksomhed, og Vurdering af overførselsindvirkning (TIA), hvis du bruger systemer drevet af ikke-EU-leverandører (og i nogle lande, der tilbyder tilstrækkelig beskyttelse)
Dette er store dokumenter og kan kræve 1 til 5 dage at færdiggøre.
Operationel Overholdelse
Operationel DBF-overholdelse kræver mindre indsats, især for virksomheder der ikke ændrer sig meget.
Opdater Registrene over Behandlingsaktiviteter
Ifølge DBF (GDPR) skal optegnelserne opdateres før enhver ændring i behandlingen og periodisk. Årlig gennemgang er ofte tilstrækkelig for processer, der ikke forventes at ændre sig (som de fleste administrative processer).
1-3 persontimer er ofte tilstrækkelige pr. behandling. Du kan forvente at tale og få yderligere oplysninger ved den første gennemgang og blot sende de årlige 'er det stadig det samme?' e-mails i de følgende år.
Registrere overtrædelser
Når folk laver fejl, eller dine systemer bliver hacket, skal du registrere brud på persondata i et internt register (en del af PrivacyDocs-suiten). Hver registrering af brud involverer tre dele:
- Registrering (1 time med en privatlivsekspert og 1 time med en domæneekspert)
- Risikovurdering (1 time med en databeskyttelsesekspert og 1 time med en domæneekspert)
- Foreslåede afbødende foranstaltninger (varierer)
- Rapporter til databeskyttelsesmyndigheden og enkeltpersoner, hvis bruddet udgør en højere risiko, der ikke er indeholdt (4-20 timer).
De fleste brud (som at skrive en forkert e-mailmodtager) kræver mindre end 4 timer at dokumentere.
Besvar anmodninger fra registrerede
Anmodninger fra registrerede (såsom anmodninger om information, der er gemt om en bestemt person, eller anmodninger om at blive glemt) opfyldes ofte af databeskyttelsesspecialisten, formidlet af den juridiske afdeling. Omkostningerne ved svar varierer med et minimum på 1 time.
Håndtere risici
Risikovurderingerne kan fremhæve de risici, der skal afbødes ved at ændre processerne eller opdatere dokumentationen. De tilknyttede omkostninger ved risikostyring og risikoreduktion kan være de største. Nogle virksomheder er afhængige af it-systemer eller forretningsprocesser, der ikke er i overensstemmelse og kræver betydelige ændringer for at blive i overensstemmelse.
I praksis er risikostyring ikke dyrt for de fleste virksomheder, der ikke er afhængige af behandling af personoplysninger som kernen i deres forretning.
Få hjælp
At inddrage en professionel service, såsom PrivacyDocs GDPR-rådgivningstjeneste, er ofte den mest omkostningseffektive måde at opnå og opretholde GDPR-overholdelse på. Det er vigtigt at fokusere og styre dine konsulenter på de aspekter af GDPR-overholdelse, som du virkelig skal have. Der er mange aspekter, der er rare at have, men som udgør acceptable risici for manglende overholdelse, hvis de mangler.