DSF-efterlevnad är en investering, potentiellt betydande för ett litet företag, och den behöver planeras rationellt.
Varför investera i DSF (GDPR) efterlevnad?
Att investera i DSF-efterlevnad drivs av affärsbehov snarare än rädsla för böter. Stora företagskunder, aktiva kunder eller anställda, risker för överträdelser eller många förfrågningar driver vanligtvis företag till en sådan investering. Mindre företag behöver identifiera de parter som driver deras efterlevnadsinsatser, prioritera dem och fokusera på de mest kritiska aspekterna av efterlevnad för att hålla kostnaderna under kontroll.
Var bör du investera först?
Mycket kan göras för att följa DSF (GDPR), men vanligtvis måste mycket mindre göras i praktiken, och i en viss ordning. DSF är inte en svart-vitt, compliant-eller-icke-certifiering som många andra efterlevnadskrav. DSF kommer med många gråzoner, och företag kan välja nivån av accepterade icke-efterlevnadsrisker.
Tänk till exempel på ett företag som betjänar flera stora företagskunder som leverantör (behandlare). Det kan investera i sitt Avtal om Databehandling, välbeskrivna säkerhetsåtgärder, automatiserat stöd för hantering av begärningar från registrerade, en inventering av underleverantörer och bevis på medarbetarutbildning, eftersom dessa aspekter efterfrågas av kundernas integritetsavdelningar. Det kan vara minimalt efterlevande på andra aspekter, såsom att ha en grundläggande sekretesspolicy för webbplatsen, eller ha grovt aggregerade register i registren över behandlingsaktiviteter.
Pågående aktiviteter
Mer om detta
Hur håller du dig compliant?
DSF-efterlevnad är en kontinuerlig process, och efter den initiala installationen behöver du regelbundet granska den och justera den, ofta årligen.
Det skulle också involvera operativa aktiviteter för att hantera dina efterlevnadsgap, riskminskningsinsatser, registrera överträdelser, ändra kontrakt och leverantörer samt svara på individers förfrågningar. Dessa aktiviteter stöds bäst av lämpliga verktyg, såsom PrivacyDocs.
Dokumentation
Mer om detta
DSF-dokument att behålla
Att dokumentera DSF-efterlevnad och att bevara efterlevnadsbevis kan vara viktigare än efterlevnaden själv. De flesta kraven för DSF-efterlevnad hänvisar till dokumentation eller dokumenterade bedömningar, beslut, meddelanden, kontrakt. Till exempel, att inte informera individer om lagringsperioder för en behandling gör den icke-kompatibel (även om det inte är omedelbart olagligt).
Företag är skyldiga att hålla verkligheten av behandling av personuppgifter genom sina system och manuella processer i linje med löften, meddelanden, policyer, avtal och andra dokument. Individer kan kontrollera detta genom 'rätt att veta'-förfrågningar där de kan be företag om en kopia av de data som företagen behandlar för att validera lagligheten av behandlingen. Företag som behandlar personuppgifter som leverantörer (som agerar som personuppgiftsbiträden) måste ge sina kunder (som agerar som personuppgiftsansvariga) rätt att granska dem.
Kostnader
Mer om detta
Kostnader för efterlevnad
Dokumentation av din DSF (GDPR) efterlevnad medför vissa kostnader, främst tid. Ett typiskt kostnadsmönster ser ut som följer:
- Initial installationsspik
- Enkel efterlevnad underhåll och förbättring. Tänk på en dedikerad anställd som har en DSF-dag en gång i månaden.
- Förberedelse för förändringar. Tänk på extra DSF-arbete som krävs för att onboarda en ny leverantör eller införa ett nytt system.
- Reagera på överträdelser. Det sker ad hoc (ja, de flesta överträdelser är inte planerade i förväg) och varierar från en timmes arbete till en företagsomfattande nödsituation.
De flesta mindre företag fokuserar inte på behandling av personuppgifter som sin kärnverksamhet. De kräver ingen betydande ytterligare investering för att förbli DSF (GDPR) kompatibla, vanligtvis på nivån av flera person-timmar per år.
Intern eller Extern
Alla i företaget behöver ha en grundläggande förståelse för DSF (GDPR), och en 1-2 timmars introduktionskurs är en nödvändig investering. Anställda som ansvarar för DSF-efterlevnad skulle vanligtvis investera flera dagar för att få grundläggande operativ kunskap om DSF. För att kunna bedöma och utvärdera efterlevnad skulle en anställd behöva ägna månader åt DSF.
För många mindre företag är det meningsfullt att investera i operativ kunskap om DSF (GDPR) för en till två anställda och inte investera i att utveckla professionell DSF-efterlevnadsexpertis internt.
En sådan anställd, stödd av PrivacyDocs-verktyget, kan utföra 90 % eller mer av efterlevnadsuppgifterna. En extern specialiserad GDPR-konsult skulle då endast behövas för att skapa förtroende för efterlevnadsstatusen (för att granska dokumentationen), svara på frågor, genomföra bedömningar och hjälpa till med personuppgiftsincidenter.
PrivacyDocs
PrivacyDocs-erbjudandet är ett verktyg som specifikt riktar sig till företag som har någon med grundläggande operativ kunskap om DSF internt. Denna person, stödd av det specialiserade PrivacyDocs-verktyget och sporadisk hjälp från våra DSF-konsulter, skulle kunna säkerställa efterlevnad. Denna konfiguration skulle också begränsa efterlevnadskostnaderna, eftersom externa konsulter tenderar att vara dyrare än intern personal och kan utveckla DSF-efterlevnad på en mycket detaljerad nivå.