Naleving van de AVG is een investering, potentieel significant voor een klein bedrijf, en moet rationeel worden gepland.
Waarom investeren in AVG (GDPR) compliance?
Investeren in AVG-compliance wordt gedreven door zakelijke behoeften in plaats van angst voor boetes. Grote zakelijke klanten, actieve klanten of werknemers, risico's van een inbreuk of talrijke verzoeken duwen bedrijven meestal naar een dergelijke investering. Kleinere bedrijven moeten de partijen identificeren die hun compliance-inspanningen aansteken, deze prioriteren en zich concentreren op de meest kritische aspecten van compliance om de kosten onder controle te houden.
Waar moet je als eerste investeren?
Er kan veel gedaan worden om te voldoen aan de AVG (GDPR), maar meestal moet er in de praktijk veel minder gedaan worden, en in een bepaalde volgorde. De AVG is geen zwart-wit, compliant-of-niet certificering zoals veel andere compliance-eisen. De AVG komt met veel grijze gebieden, en bedrijven kunnen het niveau van geaccepteerde niet-nalevingsrisico's kiezen.
Denk bijvoorbeeld aan een bedrijf dat verschillende grote zakelijke klanten bedient als leverancier (verwerker). Het kan investeren in zijn Gegevensverwerkingsovereenkomst, goed beschreven beveiligingsmaatregelen, geautomatiseerde ondersteuning bij het afhandelen van verzoeken van betrokkenen, een inventaris van subverwerkers en bewijs van training van werknemers, omdat deze aspecten door de privacyafdelingen van de klanten worden gevraagd. Het kan minimaal compliant zijn op andere aspecten, zoals het hebben van een basisprivacybeleid voor de website, of het hebben van grofweg geaggregeerde gegevens in de registers van verwerkingsactiviteiten.
Lopende activiteiten
Meer hierover
Hoe blijft u compliant?
De AVG-compliance is een continu proces en na de initiële opzet moet u deze periodiek herzien en vaak jaarlijks aanpassen.
Het zou ook operationele activiteiten omvatten om uw compliance-gaten te beheren, risicobeperkinginspanningen te doen, inbreukregistraties uit te voeren, contract- en leverancierswijzigingen door te voeren en te reageren op verzoeken van individuen. Deze activiteiten worden het beste ondersteund met geschikte tools, zoals PrivacyDocs.
Documentatie
Meer hierover
AVG-documenten om te bewaren
Het documenteren van AVG-compliance en het bewaren van compliance-evidentie kan belangrijker zijn dan de compliance zelf. De meeste vereisten voor AVG-compliance verwijzen naar documentatie of gedocumenteerde beoordelingen, beslissingen, kennisgevingen, contracten. Bijvoorbeeld, het niet informeren van personen over de bewaartermijnen van een verwerking maakt het niet-compliant (hoewel het niet onmiddellijk illegaal is).
Bedrijven zijn verplicht om de werkelijkheid van de verwerking van persoonsgegevens door hun systemen en handmatige processen in overeenstemming te houden met de beloften, kennisgevingen, beleidslijnen, contracten en andere documenten. Individuen kunnen dit controleren via 'recht op informatie'-verzoeken, waarin ze bedrijven kunnen vragen om een kopie van de gegevens die de bedrijven verwerken om de rechtmatigheid van de verwerking te valideren. Bedrijven die persoonsgegevens verwerken als leveranciers (optredend als verwerkers) moeten hun klanten (optredend als verantwoordelijken) het recht geven om hen te auditen.
Kosten
Meer hierover
Kosten van naleving
Het documenteren van uw AVG (GDPR) compliance brengt bepaalde kosten met zich mee, voornamelijk tijd. Een typisch kostenpatroon is als volgt:
- Initiële opzetpiek
- Eenvoudig onderhoud en verbetering van de compliance. Denk aan een toegewijde werknemer die eenmaal per maand een AVG-dag heeft.
- Voorbereiding op veranderingen. Denk aan extra AVG-werk dat nodig is om een nieuwe leverancier aan boord te halen of een nieuw systeem in te voeren.
- Reageren op inbreuken. Dit gebeurt ad-hoc (nou, de meeste inbreuken zijn niet van tevoren gepland) en varieert van een uur werk tot een noodsituatie op bedrijfsniveau.
De meeste kleinere bedrijven richten zich niet op de verwerking van persoonsgegevens als hun kernactiviteit. Ze hebben geen significante extra investeringen nodig om AVG (GDPR) compliant te blijven, meestal op het niveau van enkele persoon-uren per jaar.
Intern of Extern
Iedereen in het bedrijf moet een basisbegrip van de AVG (GDPR) hebben, en een inleidende cursus van 1-2 uur is een onmisbare investering. Werknemers die verantwoordelijk zijn voor de naleving van de AVG zouden doorgaans meerdere dagen investeren om basis operationele kennis van de AVG te verkrijgen. Om naleving te kunnen beoordelen en evalueren, zou een werknemer maanden aan de AVG moeten besteden.
Voor veel kleinere bedrijven is het logisch om te investeren in operationele kennis van de AVG (GDPR) voor één of twee medewerkers en niet te investeren in het ontwikkelen van professionele AVG-compliance-expertise intern.
Een dergelijke werknemer, ondersteund door het PrivacyDocs-toolkit, kan 90% of meer van de compliance-taken uitvoeren. Een externe gespecialiseerde GDPR-consultant zou dan alleen nodig zijn om vertrouwen te wekken in de staat van compliance (om de documentatie te beoordelen), vragen te beantwoorden, beoordelingen uit te voeren en te helpen bij inbreuken op persoonsgegevens.
PrivacyDocs
De PrivacyDocs-aanbieding is een tool die specifiek gericht is op bedrijven die iemand met basis operationele AVG-kennis in huis hebben. Deze persoon, ondersteund door de gespecialiseerde PrivacyDocs-toolkit en af en toe hulp van onze AVG-consultants, zou de naleving kunnen waarborgen. Deze opzet zou ook de nalevingskosten beperken, aangezien externe consultants doorgaans duurder zijn dan interne medewerkers en de AVG-naleving op een zeer gedetailleerd niveau kunnen ontwikkelen.