Im Bereich der Softwareentwicklung gibt es ein Konzept, das verwendet wird, um ausstehende Bugs und Fixes zu beschreiben, die noch auf Software angewendet werden müssen, bekannt als „technische Schulden“. Technische Schulden häufen sich, wenn es kleine Korrekturen gibt, die erledigt werden sollten, aber andere größere Korrekturen oder Änderungen mit hoher Priorität Vorrang haben. Es kann sich auch darauf beziehen, eine Funktion “quick and dirty” entwickelt zu bekommen, in dem Wissen, dass Sie diese Funktion zu einem späteren Zeitpunkt neu entwickeln müssen – und diese Schulden anhäufen.
Die Reinvestition in ein bestehendes Produkt ist nicht nur aus Kostensicht ein Problem, sondern wirkt sich auch auf die Skalierbarkeit des Geschäfts aus. Technische Schuld ist ein Overhead, der sich über Ihnen abzeichnet und darauf wartet, zu einem ungünstigen Zeitpunkt seinen Kopf zu erheben, oft wenn Sie eine Funktion bereitstellen müssen, die von einer zuvor bereitgestellten „Schnelllösung“ abhängt. Dies erfordert viel mehr Aufwand als erwartet, da sowohl der vorherige Fix als auch das neue Feature neu entwickelt werden müssen, was möglicherweise einen Deal oder eine Veröffentlichung gefährdet und alle beteiligten Teams frustriert.
Eine ähnliche Art von Schulden existiert im Bereich der Privatsphäre, und ich würde argumentieren, dass sie weniger sichtbar sind als Schulden im Code. Probleme im Code werden im Allgemeinen in einem Problemverfolgungssystem nachverfolgt, oder zumindest werden (hoffentlich) irgendwo Kommentare zum Quellcode hinzugefügt. Datenschutzschulden sind weitaus schlimmer, da Sie sie oft erst erkennen, wenn es zu spät ist.
Wie werden Datenschutzschulden aufgebaut?
Im Gegensatz zu Code, wo die Schulden aufgrund einer bewussten Entscheidung und des Bewusstseins, dass sie „irgendwann“ aussortiert werden müssen, ansteigen, können Datenschutzschulden aufgrund von Unwissenheit angehäuft werden. In vielen Fällen werden die Schulden erst sichtbar, wenn ein potenzieller Kunde ein obligatorisches Sicherheitsbewertungsdokument als Voraussetzung für den Geschäftsabschluss sendet.
Bei Sicherheitsbewertungen ging es in der Vergangenheit genau darum: Sicherheit. Heutzutage sehen wir, dass der Datenschutz an diese Bewertungen angehängt oder insgesamt als separate Bewertungen bereitgestellt wird, insbesondere mit dem Schwerpunkt auf der DSGVO (der Allgemeinen Datenschutzverordnung) in Europa und Großbritannien, dem California Consumer Privacy Act und Bill 64 in Quebec. Plötzlich sind Datenschutzrichtlinien und -verfahren in den Vordergrund gerückt, anstatt nur Produkte und Funktionen, da Kunden verpflichtet sind, zu überprüfen, ob Ihre Praktiken mit Ihrer Richtlinie übereinstimmen.
Da die Datenschutzschuld regelmäßig unterschätzt wird, kann sie sich auf subtile Weise anhäufen. Unternehmen gehen fälschlicherweise davon aus, dass Datenschutz nur Richtlinien sind, obwohl er sich tatsächlich auf alle Facetten des Geschäfts bezieht und für viele Unternehmen eine neue Art der Arbeitsweise darstellt. Selbst in Organisationen, die sich ihrer Verpflichtungen bewusster sind, kann die Verschuldung willentlich steigen, da der Datenschutz als ein Grollkauf angesehen wird, der eine Menge Papierkram, Richtlinien und Verfahren für sehr wenig finanzielle oder geschäftliche Belohnung implementiert. Es ist eine Versicherungspolice „für den Fall“, dass etwas schief geht, was nicht weiter von der Wahrheit entfernt sein könnte. Bei Datenschutzprogrammen geht es darum, ein Unternehmen von oben bis unten ethisch und skalierbar aufzubauen.
Wenn Schulden das Endergebnis beeinflussen
Je länger Sie Ihre derzeitigen Verfahren beibehalten, desto mehr werden sie eingebettet. Wenn Ihre Richtlinien Ihre regulatorischen Verpflichtungen zum Datenschutz nicht berücksichtigen, werden Ihre Teams die Datenschutzgrundsätze nicht in ihren täglichen Betrieb integrieren. Dies führt dazu, dass Teams unzureichende (oder sogar schlechte) Verfahren einbetten, die immer schwieriger zu erschüttern sind. Wenn Sie in einen neuen Markt expandieren, mit einem größeren Kunden zusammenarbeiten oder in eine regulierte Branche eintreten, wird der Turnaround umso schwieriger und schleppender.
In Wirklichkeit gilt: Je größer Ihre Organisation wird, desto mehr Bewusstsein ist für den Datenschutz erforderlich. Je komplexer Ihr Produkt wird, desto größer wird Ihre Verantwortung in Bezug auf Datenschutz-Folgenabschätzungen. Je mehr Informationen Sie sammeln, desto schwieriger ist es, die gesetzlichen (und oft verfassungsmäßigen) Rechte von Einzelpersonen zu verfolgen und darauf zu reagieren. Einfach ausgedrückt: Wenn Sie heute reaktiv mit dem Datenschutz umgehen, geraten Sie bei der Expansion morgen ins Hintertreffen.
Diese Situationen können so sein, als ob Sie eine letzte Forderung nach einer Kreditkarte erhalten, von der Sie nicht wussten, dass Sie sie haben. Im Sicherheitsbereich gibt es viele Korrekturen, die schnell für angeforderte Bewertungen implementiert werden können und oft auf bestehenden Richtlinien und Verfahren innerhalb des Unternehmens aufbauen. Der Datenschutz kommt jedoch überraschend, und Datenschutzprogramme werden nicht in Tagen implementiert; sie dauern Monate oder sogar Jahre.
Schulden abwerfen
Datenschutzschulden treten meistens in Form von fehlenden Richtlinien, unzureichenden Verfahren, mangelndem Bewusstsein in der Organisation und letztendlich mangelnder Transparenz der von einem Unternehmen verarbeiteten personenbezogenen Daten auf. Jeden dieser Punkte (sogar einzeln) anzugehen, erfordert enorme Anstrengungen, aber wenn er in einem gleichmäßigen Tempo gehandhabt und frühzeitig angegangen wird, ist er alles andere als unüberwindbar oder unerschwinglich.
Ein wichtiger Ansatz, um Datenschutzschulden effektiv anzugehen, besteht darin, sie von vornherein zu stoppen und damit zu beginnen, die Schulden zurückzuzahlen, die Sie bereits haben. Privatsphäre ist kein Ziel; Es ist ein fortlaufender Prozess des Investierens und Abhebens, aber sobald Sie Ihre Zahlungen im Griff haben, wird es einfach zu verwalten und kann sogar als Wettbewerbsvorteil dienen.
Um an diesen Punkt zu gelangen, müssen Sie die Privatsphäre an den Diskussionstisch bringen und Ihren Zahlungsplan zusammenstellen. Der Umgang mit dem Datenschutz beginnt mit Bewusstsein, und der Umgang mit Schulden beginnt mit der Bewältigung Ihrer Datenschutzanforderungen in einer definierten Roadmap, die für Ihr Unternehmen sinnvoll ist. Datenschutz ist keine einzelne Verantwortung; Das gesamte Führungsteam muss sich seiner Rolle bei der Investition in den Datenschutz bewusst sein.
In der Lage zu sein, transparent und schnell auf Bewertungen zu reagieren, verkürzt die Bearbeitungszeit von Verkaufszyklen. Durch die Einbeziehung von Privacy-First-Prinzipien in den Softwareentwicklungsprozess werden die Kosten für die Neuentwicklung nicht konformer Funktionen reduziert. Durch die Inventarisierung Ihrer Daten können Sie auf Datenanfragen reagieren und Bußgelder vermeiden. Mit einem übergreifenden, ausgereiften Programm können Sie in großem Umfang expandieren, ohne die Integrität der Privatsphäre Ihrer Kunden zu gefährden. Investieren Sie in Ihre Privatsphäre und beseitigen Sie Ihre Schulden, und die Skalierbarkeit (aus Datenschutz- und Sicherheitsperspektive) beginnt sich von selbst zu verwalten.