Politik for håndtering af PII-hændelser og brud i den finansielle sektor

Politik for håndtering af PII-hændelser og brud i den finansielle sektor definerer krav til identifikation, rapportering, triage, klassificering, vurdering, inddæmning, anmeldelse/underretning, dokumentation, lukning og forbedring på baggrund af PII-hændelser og brud på persondatasikkerheden inden for PIMS-omfang i den finansielle sektor. Den gælder, hvor organisationen fungerer som dataansvarlig, fælles dataansvarlig, databehandler eller underdatabehandler i en finansiel sektorkontekst, og den omfatter også systemer, applikationer, tjenester, processer, leverandører, databehandlere, underdatabehandlere og tredjeparter, der behandler, lagrer, overfører, understøtter, tilgår eller på anden måde påvirker PII inden for omfanget. Politikken er udtrykkeligt udformet som en erstatningsvariant for PII15 i den finansielle sektor og kræver, at organisationer vælger enten PII15 eller PII15-FS for samme omfang for at undgå dobbelte forpligtelser og registre samt dobbelt arbejde med revisionsbevismateriale. Politikkens formål er at sikre, at PII-hændelser og brud håndteres ensartet, rettidigt, lovligt, sikkert og med revisionsklart bevismateriale. REG10 — register over PII-hændelser og brud etableres som det primære bevisobjekt, mens understøttende registre forbinder hændelsesregistreringen med den bredere PIMS-bevismodel. REG01 anvendes til omfang, interessenter, sektor-, kunde-, kontrakt- og rapporteringskontekst. REG02 knytter berørte behandlingsaktiviteter, PII-kategorier, kategorier af registrerede, formål, systemer og tjenester. REG03 registrerer anvendelighedserklæring og opdateringer af kontrollernes anvendelighed, herunder erstatningen af PII15 med PII15-FS. REG04 understøtter databeskyttelsesrisiko, DPIA, restrisiko og kobling til risikobehandling, mens REG08, REG09, REG11 og REG12 dækker tredjepartsgrænseflader, internationale overførsler, træning og revisions- eller korrigerende handlingsbevismateriale. Operationelt kræver politikken, at enhver rapporteret eller detekteret mistænkt PII-hændelse i den finansielle sektor registreres i REG10 inden for én arbejdsdag efter modtagelse eller hurtigere, hvor underretnings-, kunde- eller rapporteringsfrister kan udløses. Hændelser skal klassificeres inden for 24 timer efter modtagelse som en ikke-PII-hændelse, mistænkt PII-hændelse, bekræftet PII-hændelse, bekræftet brud på persondatasikkerheden, PII-hændelse i den finansielle sektor, større hændelse i den finansielle sektor, væsentlig cybertrussel eller post med afventende klassificering. Vurdering af brud skal omfatte berørt PII, registrerede, systemer, tjenester, behandlingsaktiviteter, databehandlere, underdatabehandlere, overførsler, risici, kunder, modparter og afhjælpende foranstaltninger. Politikken kræver også sikring af bevismateriale, inddæmning inden for definerede tidsrammer, validering af genopretning og dokumenterede lukningsbeslutninger, der omfatter klassificering, beslutning om anmeldelse/underretning, inddæmningsstatus, genopretningsstatus, restrisiko, korrigerende handlinger og fuldstændighed af bevismateriale. Politikken skelner mellem forpligtelser for dataansvarlige, fælles dataansvarlige, databehandlere og underdatabehandlere. Dataansvarlige skal registrere beslutninger om anmeldelse/underretning ved brud, udarbejde bevismateriale for anmeldelse til tilsynsmyndigheder, når det kræves, og gennemgå kommunikation til registrerede, hvor høj risiko identificeres. Databehandlere og underdatabehandlere skal vurdere kundens instruks, kontraktlige underretningsforpligtelser, upstream-underretningskæder og krav til routing af bevismateriale, med registreringer vedligeholdt i REG08 og REG10. Ansvarsområder for fælles dataansvarlige skal koordineres og dokumenteres før gældende frister for ekstern underretning. For PII-hændelser i den finansielle sektor med højt konsekvensniveau og væsentlige cybertrusler skal hændelseskoordinatoren vurdere regulatoriske rapporteringsudløsere for den finansielle sektor og opbevare beslutningsbevismateriale i REG10. Styring, måling og forbedring er indbygget i politikkens livscyklus. Den databeskyttelsesansvarlige / PIMS-ansvarlige skal gennemgå åbne REG10-hændelser mindst ugentligt indtil lukning, og øverste ledelse skal modtage eskalering for bekræftede hændelser i den finansielle sektor med højt konsekvensniveau, større hændelser eller væsentlige cybertrusler inden for 24 timer efter klassificering. Metrikker omfatter månedlige optællinger af mistænkte og bekræftede hændelser, brud, større hændelser i den finansielle sektor og væsentlige cybertrusler samt rettidighed for anmeldelse/underretning ved brud, rettidighed for rapportering i den finansielle sektor, inddæmning, genopretning, validering af genetablering og tredjepartsresponsperformance. Politikken kræver desuden årlig gennemgang, efterhændelsesgennemgang efter større hændelser, intern revision, undtagelseshåndtering, håndhævelse gennem REG12-afvigelser og afhjælpende træning gennem REG11, hvor der forekommer svigt i bevidsthed eller kommunikation.