Politik for PII-nøjagtighed og -kvalitet

Politikken for PII-nøjagtighed og -kvalitet definerer, hvordan en organisation opretholder nøjagtighed, fuldstændighed, aktualitet, tilstrækkelighed og relevans af personhenførbare oplysninger, der behandles inden for et Privacy Information Management System. Det angivne formål er at sikre, at PII, som organisationen anvender, forbliver nøjagtige og egnede til de behandlingsformål, der er registreret i PIMS, og at unøjagtige, ufuldstændige, forældede eller omtvistede PII berigtiges, synkroniseres eller eskaleres ved brug af kontrolleret bevismateriale. Politikken gælder på tværs af kontekster med dataansvarlige, fælles dataansvarlige, databehandlere og underdatabehandlere, hvor den dataansvarliges forpligtelser behandles som primære, og databehandler- eller underdatabehandlerforpligtelser gælder, når organisationen understøtter den dataansvarliges instrukser om berigtigelse, synkronisering eller nøjagtighed. Politikken er struktureret omkring praktiske operationelle kontroller frem for et selvstændigt datakvalitetsprogram. Den opretter udtrykkeligt ikke et særskilt datakvalitetsregister, en masterdata-styringsfunktion, en ramme for kvalitet af analysedata eller en ramme for kvalitet af AI-træningsdata. I stedet indarbejder den krav til nøjagtighed og kvalitet i eksisterende PIMS-registreringer og arbejdsgange. REG02 anvendes til at registrere den ansvarlige for datanøjagtighed, autoritativ kilde, markeringer for registreringer med stor betydning, hyppighed af gennemgang af nøjagtighed, metoder til nøjagtighedskontrol, systemkoblinger og indikatorer for forældede data. REG06 anvendes til krav om berigtigelse fra registrerede og accepterede berigtigelsespunkter. REG08 understøtter fordelinger mellem fælles dataansvarlige, kundeforpligtelser til støtte for berigtigelse, godkendte instruktionskanaler, bevismateriale vedrørende databehandlere og underdatabehandlere, underretninger til modtagere og efterfølgende bekræftelser. REG12 konsoliderer overvågningsstatus, mangler, undtagelser, afvigelser, korrigerende handlinger og bevismateriale til ledelsens gennemgang. Et centralt element i politikken er begrebet registrering med stor betydning. Politikken definerer dette som en PII-registrering, der anvendes til at give, afslå, ændre eller væsentligt påvirke adgang til en tjeneste, en kontrakt, et ansættelsesforhold, et finansielt resultat, et helbredsrelateret resultat, en afgørelse om berettigelse, en identitetsbeslutning, en risikobeslutning eller en anden beslutning, hvor unøjagtige PII væsentligt kan påvirke en registreret. Disse registreringer er omfattet af specifikke kontroller: De skal klassificeres i REG02, før den dataansvarliges behandling begynder, og årligt derefter, gennemgås mindst årligt og kontrolleres før anvendelse, når datoer for gennemgang er overskredet. Systemejere skal identificere indikatorer for forældede data for systemregistreringer med stor betydning før idriftsættelse i produktionsmiljøet og inden for 30 dage efter væsentlig ændring af systemet. Hvor nøjagtighedsproblemer med stor betydning forbliver uafklarede, gentager sig eller overskrider godkendte forfaldsdatoer, kræver politikken eskalering til REG12 og, hvor det er nødvendigt, til øverste ledelse. Arbejdsgangen for berigtigelse forbinder håndtering af privatlivsrettigheder, forretningsmæssig validering og teknisk implementering. Krav om berigtigelse fra registrerede kobles fra REG06 til den berørte REG02-behandlingsaktivitet inden for fem arbejdsdage efter tildeling. Accepterede berigtigelsespunkter skal tildeles både procesejeren eller virksomhedsejeren og systemejeren eller den applikationsansvarlige inden for to arbejdsdage efter, at de er overgået til substantiel gennemgang. Procesejeren validerer foreslåede berigtigelser mod den autoritative kilde, behandlingsformålet og den aktuelle REG02-registrering inden for 10 arbejdsdage, mens systemejeren implementerer godkendte berigtigelser i kildesystemet og registrerer fuldførelse i REG06 og REG02 inden for fem arbejdsdage efter godkendelse eller senest på den godkendte forfaldsdato. Politikken kræver også dokumenteret rådgivning før afslag på berigtigelse, lukning af omtvistede sager eller beslutninger om berigtigelse med stor betydning, og den dirigerer resultater, der alene vedrører sletning, opbevaringsbegrænsning, sletning eller bortskaffelse, til den relaterede arbejdsgang, når berigtigelse alene ikke er det krævede resultat. Synkronisering og tilsyn behandles også udtrykkeligt. Før en godkendt berigtigelse implementeres, skal relevante kildesystemer, tilknyttede applikationer, replikaer, grænseflader og rapporter identificeres i REG02. Godkendte berigtigelser skal derefter synkroniseres på tværs af identificerede systemer inden for omfanget, mens modtagere, databehandlere eller datadelingsparter spores gennem REG08, når efterfølgende opdateringer er påkrævet. Kvartalsvise målinger omfatter procentdelen af REG02-behandlingsaktiviteter med stor betydning, der har en aktuel gennemgang af nøjagtighed, åbne og forfaldne berigtigelsespunkter fra REG06 samt uafklarede synkroniseringsfejl fra REG08 og REG12. Undtagelser skal anmodes om, vurderes, tidsbegrænses til højst 90 dage og lukkes eller revurderes. Politikken gennemgås årligt og inden for 30 dage efter væsentlig juridisk ændring, behandlingsændring, systemændring eller ændring af certificeringsomfanget, hvor væsentlige ændringer godkendes af øverste ledelse før offentliggørelse.