De kosten van naleving kunnen grofweg in drie categorieën worden onderverdeeld: het vaststellen van naleving, operationele naleving en risicobeheer.
Compliance vaststellen
Een persoon vinden
Iemand moet de AVG-taken afhandelen. Dat kan jij zijn of iemand anders. Jij of een interne medewerker moeten behoorlijk wat tijd besteden aan het begrijpen van de AVG-naleving op een basisniveau. Het is vergelijkbaar met andere nalevings- en certificeringsschema's. Je kunt een expert zijn op de gebieden, maar je moet toch veel tijd besteden aan het doornemen van de specifieke documenten die moeten worden opgesteld.
Het is vaak goedkoper om een externe consultant in te huren dan om intern diepgaande expertise op te bouwen. De meeste kleine en middelgrote bedrijven hebben een paar dagen van een AVG-specialist nodig om de naleving vast te stellen en een paar uur per jaar om deze te onderhouden. Een interne, intern opgeleide specialist zou veel meer tijd besteden aan het leren van de vaardigheid en zou voortdurend tijd nodig hebben om deze te onderhouden.
Opstellen van een inventaris van verwerkingsactiviteiten
De kosten worden bepaald door de diversiteit van de activiteiten voor de verwerking van persoonsgegevens die uw bedrijf uitvoert. U moet alle activiteiten (delen van computersystemen of handmatige processen) ontdekken die persoonsgegevens omvatten en een inventaris opstellen. Deze inventaris wordt 'Register van Verwerkingsactiviteiten' genoemd en de meeste bedrijven moeten er een bijhouden.
De hoeveelheid en het granulariteitsniveau van deze activiteiten variëren. Hier zijn enkele indicatoren:
- Eenvoudige website: 3-5 activiteiten (onderhoud van de website, back-ups en beveiliging, cookies, componenten van derden).
- Marketing: 3-5 (klanten- of prospectdatabase, mailinglijst, een of twee specifieke campagnes)
- Verkopen: 1-3 (bestellingen verwerken, bestelling levering of uitvoering, retouren)
- Klantenservice: 1-2 (ondersteuningsdatabase, ontvangst van verzoeken)
- HR en werkgelegenheid: 1-5 (HR-bestanden, werving, ontslag, promotie, salarisadministratie). Ze worden vaak gecombineerd en (gedeeltelijk) uitbesteed.
- Bedrijfsprocessen: varieert, 1 per geautomatiseerde stroom die u beheert
Een klein bedrijf met een paar werknemers zou doorgaans 10-20 verwerkingsactiviteiten moeten registreren. Een groter bedrijf zou iets meer nodig hebben. Bij het kiezen van je PrivacyDocs-abonnement kun je beginnen met het goedkoopste 'kleinbedrijf'-plan, dat geschikt is voor de meeste kleine en middelgrote bedrijven. Je blijft waarschijnlijk binnen de grenzen ervan tijdens het eerste jaar van je GDPR-werk en kunt indien nodig upgraden naar het grotere 'middelgrote bedrijf'-plan.
Kosten van elk register van verwerkingsactiviteiten
Elke verwerkingsactiviteit heeft een registratie nodig in de Registers van Verwerkingsactiviteiten van Persoonsgegevens. Het kost het volgende:
- 1 uur om een verwerkingsactiviteit te ontdekken (denk eraan om met uw IT- of marketingteam te praten om te begrijpen wat er daadwerkelijk aan de hand is)
- 4 uur om de eerste opzet te maken (denk aan een interview van 1 uur met jou, iemand die het proces kent, en iemand die verantwoordelijk is voor het proces) en 1 uur om het op te zetten en op te schrijven
- 1-4 uur voor follow-ups (ontbrekende details vinden, relevante contracten, kennisgevingen getoond aan de betrokkenen, enz.)
Denk aan twee activiteiten per dag, aangezien sommige van deze processen voor kleine bedrijven sneller kunnen verlopen dan voor grotere bedrijven.
Kosten van beoordelingen
Bij het opstellen van de inventaris kan het je opvallen dat een activiteit een aanvullende beoordeling nodig heeft: Gegevensbeschermingseffectbeoordeling (GEB) voor risicovollere operaties, Beoordeling van legitieme belangen (BLB) voor activiteiten die steunen op jouw legitieme belang als bedrijf, en Overdrachteffectbeoordeling (TIA) als je systemen gebruikt die worden beheerd door niet-EU-leveranciers (en in enkele landen die een adequate bescherming bieden)
Dit zijn omvangrijke documenten en kunnen 1 tot 5 dagen duren om te voltooien.
Operationele Naleving
Operationele AVG-compliance vereist minder inspanning, vooral voor bedrijven die niet veel veranderen.
Werk de Registers van Verwerkingsactiviteiten bij
Volgens de AVG (GDPR) moeten de registraties worden bijgewerkt voordat er wijzigingen in de verwerking plaatsvinden en periodiek. Een jaarlijkse beoordeling is vaak voldoende voor processen die naar verwachting niet zullen veranderen (zoals de meeste administratieve processen).
1-3 persoonuren zijn vaak voldoende per verwerking. U kunt verwachten daadwerkelijk te praten en aanvullende details te krijgen tijdens de eerste beoordeling, en in de volgende jaren gewoon de jaarlijkse 'is het nog steeds hetzelfde?' e-mails te sturen.
Inbreuken registreren
Wanneer mensen fouten maken of uw systemen worden gehackt, moet u persoonsgegevensinbreuken registreren in een intern register (onderdeel van de PrivacyDocs-suite). Elke inbreukregistratie bestaat uit drie delen:
- Registratie (1 uur van een privacy-expert en 1 uur van een domeinexpert)
- Risicobeoordeling (1 uur van een privacy-expert en 1 uur van een domeinexpert)
- Voorgestelde mitigatiemaatregelen (variëren)
- Meld het aan de autoriteit voor gegevensbescherming en aan betrokkenen als de inbreuk een hoger risico met zich meebrengt dat niet is ingedamd (4-20 uur).
De meeste inbreuken (zoals het verkeerd typen van een e-mailontvanger) vereisen minder dan 4 uur om te documenteren.
Reageren op verzoeken van betrokkenen
Verzoeken van betrokkenen (zoals verzoeken om informatie die over een bepaalde persoon is opgeslagen of verzoeken om vergeten te worden) worden vaak vervuld door de specialist gegevensbescherming, bemiddeld door de juridische afdeling. De kosten van de reactie variëren, met een minimum van 1 uur.
Risico's beheren
De risicoanalyses kunnen de risico's benadrukken die moeten worden verminderd door processen te wijzigen of documentatie bij te werken. De bijbehorende kosten voor risicobeheer en risicobeperking kunnen de grootste zijn. Sommige bedrijven vertrouwen op computersystemen of bedrijfsprocessen die niet compliant zijn en aanzienlijke wijzigingen vereisen om compliant te worden.
In de praktijk is risicobeheer voor de meeste bedrijven die niet afhankelijk zijn van de verwerking van persoonsgegevens als kern van hun bedrijfsvoering, niet duur.
Hulp krijgen
Het inschakelen van een professionele dienst, zoals de PrivacyDocs GDPR-adviesdienst, is vaak de meest kosteneffectieve manier om GDPR-naleving te bereiken en te behouden. Het is belangrijk om uw consultants te focussen en te sturen op de GDPR-nalevingsaspecten die u echt moet hebben. Er zijn veel aspecten die leuk zijn om te hebben, maar die acceptabele risico's van niet-naleving vormen als ze ontbreken.