Anonim

Bildnachweis: Wright Studio / Shutterstock

Die allgemeine Datenschutzanforderung der Europäischen Union (DSGVO) ist offiziell in ein vollstreckbares Gesetz eingetreten. Viele Unternehmen haben unzählige Stunden mit der Umsetzung von Richtlinien und rechtlichen Überprüfungen verbracht, doch laut einer Reihe von Umfragen ist eine überraschend geringe Anzahl von Unternehmen GDPR-fähig. Große Technologieunternehmen, darunter Microsoft und Facebook, haben Änderungen der globalen Richtlinien in Übereinstimmung mit dem Gesetz angekündigt und signalisiert, dass weitere Änderungen in Vorbereitung sind. Wenn Ihr Unternehmen jemals Nutzer in der EU bedient (auch zufällig), sollten Sie jetzt wichtige Schritte in Richtung Compliance unternehmen, sofern Sie dies noch nicht getan haben.

Die Nichteinhaltung der DSGVO-Bestimmungen führt zu hohen Strafen: entweder 20 Millionen Euro (rund 24, 7 Millionen US-Dollar) oder vier Prozent des Umsatzes eines Unternehmens, je nachdem, welcher Wert höher ist. Das ist genug, um ein kleines Unternehmen endgültig zum Erliegen zu bringen. Bei nicht konformen Unternehmen besteht möglicherweise die Hoffnung, den Aufsichtsbehörden nachzuweisen, dass Sie sich nach Treu und Glauben bemüht haben und auf die Einhaltung der Vorschriften hinarbeiten, indem Sie einen Berater einstellen. Aber es gibt ein paar Dinge, die Sie über GDPR-Berater wissen sollten, bevor Sie einen Vertrag unterschreiben. [ Nicht vertraut mit den Anforderungen der DSGVO ? Hier ist, was kleine Unternehmen wissen müssen.]

Identifizierung erfahrener Berater

Datenverarbeitungsberater wissen, dass die DSGVO eine große Nachfrage nach ihren Dienstleistungen generiert hat und die Branche scheinbar über Nacht boomt. Greg Sparrow, Senior Vice President und General Manager von CompliancePoint, sagte, dieser Anstieg an Beratern habe die Branche in zwei Haupttypen von Beratern aufgeteilt.

"Es gibt Organisationen oder Einzelpersonen, die seit 10 bis 20 Jahren beteiligt sind, und die DSGVO ist nur ein Teil ihrer Karriere", sagte Sparrow. "Oder es gibt diejenigen, die wirklich nicht viel Erfahrung haben."

Dies ist ein Problem für Unternehmen, zumal viele im Rennen sind, um die Einhaltung der Vorschriften zu gewährleisten. Glücklicherweise bieten Branchenverbände wie das IAPP bereits Zertifizierungsprogramme für Berater an, mit deren Hilfe Unternehmen die legitimen Berater identifizieren können, die versuchen, die Umsetzung der DSGVO zu nutzen. Aber diese GDPR-spezifischen Zertifizierungen sind für viele sehr neu, um sie abgeschlossen zu haben. Außerdem, so Sparrow, reiche eine Zertifizierung allein möglicherweise nicht aus.

"Ich würde auch [Zertifizierung] mit Branchenerfahrung verknüpfen", sagte er. "Viele Leute haben Zertifizierungen, aber keine praktische Branchenerfahrung. Sie haben das College verlassen und sich zertifizieren lassen, weil sie wissen, dass [Datenschutz] gefragt ist. [Es ist wichtig, diese Kombination aus Zertifizierung und Branchenerfahrung zu finden."

Sparrow empfahl, einen erfahrenen, zertifizierten Berater zu suchen und diese dann in einen unternehmensweiten Prozess zur Implementierung von Richtlinien einzubinden. Dies bedeutet, dass Berater, Rechtsteams, Verkaufs- und Marketingteams und Unternehmen zusammenkommen, um am runden Tisch zu diskutieren, wie am besten vorgegangen werden kann.

Was können kleine Unternehmen tun?

Für kleine Unternehmen summiert sich die Rechnung schnell. Die Einhaltung der DSGVO ist ein gewaltiges Unterfangen, ganz zu schweigen von der Aufrechterhaltung des täglichen Betriebs und der Erforschung neuer Richtlinien. In einigen Fällen ist es ein logistischer Albtraum für kleinere Unternehmen, insbesondere für Unternehmen mit begrenztem Budget, alle Anforderungen der DSGVO an Transparenz und Verbraucherkontrolle von Daten zu erfüllen. Was können kleine Unternehmen also tun?

"Während die Einhaltung der DSGVO für alle Unternehmen schwierig sein kann, sehen sich kleine Unternehmen einer Reihe einzigartiger Herausforderungen gegenüber", sagte Dana Simberkoff, Chief Risk, Privacy und Information Security Officer bei AvePoint. "Wenn Führungskräfte kleiner und mittlerer Unternehmen ihre Sicherheitsprogramme verbessern und gleichzeitig ihre Budgets unter Kontrolle halten möchten, ist es für sie am wichtigsten zu verstehen, wie Daten, Menschen und Standorte zusammenwachsen, um Muster - sowohl für gute als auch für schlechte - übergreifend und innerlich zu erzeugen Nur wenn Sie Ihre vorhandenen Daten verstehen, können Sie sie effektiv schützen. "

Simberkoff schlug die folgenden Schritte für kleine Unternehmen vor, die mit der Einhaltung der DSGVO befasst sind:

  • Vertrauen, aber Verifizieren: Mitarbeiter, die mit Daten umgehen, sollten geschult werden, um alle sensiblen Daten zu identifizieren und zu klassifizieren. Stellen Sie regelmäßig sicher, dass die Mitarbeiter die geltenden Richtlinien sowie die ihnen zur Verfügung gestellten Schulungen und Tools verstehen und dass diese alle in den täglichen Betrieb integriert werden.
  • Verstehen Sie die Daten Ihrer Organisation: Stellen Sie sicher, dass Sie vollständig verstehen, wie Daten erstellt, gesammelt, verarbeitet und gespeichert werden. Darüber hinaus müssen Sie wissen, wie Daten entsorgt werden. Ein gründliches Verständnis wird den Unternehmen helfen, kluge Richtlinien zu entwickeln. B. die Abgrenzung zwischen arbeitsbezogenen Daten und personenbezogenen Daten.

"Während ein Berater kleinen Unternehmen bei der Umsetzung dieser Strategien helfen kann, können Eigentümer und ihre Mitarbeiter diese Aufgaben definitiv selbst übernehmen", sagte Simberkoff. "Dies stellt nicht nur sicher, dass sie GDPR-konform sind, sondern spart ihnen auch Geld und verringert das Risiko, dass Betrüger ihre sensiblen Daten in den Griff bekommen."

Es ist auch wichtig, dass kleine Unternehmen, die die Datenverarbeitung häufiger auslagern als große Unternehmen, kontrollieren, wie ihre Lieferanten die gesammelten Daten verwenden. Selbst wenn ein kleines Unternehmen alles in seiner Macht Stehende unternimmt, um konform zu bleiben, könnte es sein, dass das Unternehmen am Haken liegt, wenn einer seiner Zulieferpartner die von der DSGVO festgelegten Standards nicht erfüllt.

"Die Durchsetzung wird nicht nur in der Verantwortung der EU liegen, da die Unternehmen selbst ihre Lieferanten überwachen müssen, um sicherzustellen, dass die Daten, die die Lieferanten in ihrem Namen nutzen, tatsächlich konform sind. Wenn nicht, entsteht ein Risiko", so Thomas Pasquet. Mitbegründer von Ogury. "Diese unvorbereiteten Unternehmen werden in heißem Wasser stehen, da es länger als zwei bis drei Wochen dauert, die Art und Weise zu ändern, in der Sie Daten sammeln und verarbeiten."

Mit anderen Worten, der beste Zeitpunkt, um auf Compliance hinzuarbeiten, war im vergangenen Monat. Die nächstbeste Zeit ist gerade jetzt; heute.

Mein Unternehmen hat seinen Sitz in den USA. Warum sollte es mich interessieren?

Während die DSGVO die Europäische Union abdeckt, sind Daten fließender und internationaler Natur. Auch wenn Ihr Unternehmen nicht direkt in Europa geschäftlich tätig ist, erfassen und verarbeiten Sie möglicherweise Daten, die aus der EU stammen. Dies reicht aus, um Sie direkt in den Geltungsbereich der DSGVO einzubeziehen und Sie einem Risiko für diese hohen Bußgelder auszusetzen, wenn Sie die Vorschriften nicht einhalten.

"Die neue Verordnung wird sich auf alle Unternehmen auswirken, die mit Daten von EU-Bürgern befasst sind", sagte Pasquet. "Selbst wenn Sie nur wenige Daten über Bürger eines der Länder haben, in denen die DSGVO durchgesetzt wird, können Sie möglicherweise hohe Bußgelder in Höhe von bis zu 24, 7 Millionen US-Dollar oder 4 Prozent Ihres Jahresumsatzes für die schwerwiegendsten Verstöße erhalten. Mit Konsequenzen, die sich daraus ergeben." schrecklich, es ist kein Risiko wert. "

Selbst für Unternehmen, die absolut zu 100% sicher sind, dass sie keine Daten von EU-Bürgern erfassen (was keine leichte Aufgabe ist), könnte ein gewisser Anschein der Einhaltung der DSGVO aus mehreren Gründen von Vorteil sein. Laut Sparrow ist es nicht nur eine gute Übung zum Aufbau von Marken, den Verbrauchern zu demonstrieren, dass Sie sich um ihre Privatsphäre kümmern und das Beste tun, um sie zu schützen, sondern Ihr Unternehmen in die Lage zu versetzen, sich zwangsläufig besser an Vorschriften wie die DSGVO anzupassen auftauchen.

"Auf internationaler Ebene geht es hier voran. Wenn Sie international operieren wollen, müssen Sie sich damit auseinandersetzen", sagte Sparrow. "Unabhängig davon, ob Sie glauben, dass Sie für die DSGVO in Frage kommen oder nicht, sollten sie diesen Weg in irgendeiner Form oder auf irgendeine Weise beschreiten. Organisationen, die [künftige Vorschriften] am besten handhaben, sind diejenigen, die die Dinge gerade tun."