Politik for styring af PII-hændelser og brud på persondatasikkerheden

Politik for styring af PII-hændelser og brud på persondatasikkerheden definerer, hvordan en organisation identificerer, rapporterer, triagerer, vurderer, inddæmmer, anmelder/underretter, dokumenterer, lukker og forbedrer på baggrund af PII-hændelser og brud på persondatasikkerheden inden for PIMS-omfanget. Det angivne formål er at sikre, at hændelser og brud håndteres konsekvent, rettidigt, lovligt, sikkert og med revisionsklart bevismateriale. Politikken gælder på tværs af kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler og omfatter systemer, applikationer, tjenester, processer, leverandører, databehandlere, underdatabehandlere og tredjeparter, der behandler, lagrer, transmitterer, understøtter, tilgår eller på anden måde påvirker PII inden for PIMS-omfanget. Et centralt element i politikken er dens integrerede bevismodel. REG10 — registret for PII-hændelser og brud på persondatasikkerheden er det primære bevisobjekt for styring af hændelser og brud, mens understøttende registre giver kontekst og sporbarhed. REG01 understøtter omfang, juridisk, kontraktlig, sektorspecifik, kunde- og rapporteringsmæssig kontekst. REG02 kobler berørte behandlingsaktiviteter, PII-kategorier, kategorier af registrerede, formål og systemer. REG04 understøtter kobling til risikovurdering vedrørende databeskyttelse, DPIA og restrisiko. REG08 registrerer hændelsesgrænseflader med databehandlere, underdatabehandlere, kunder, leverandører og tredjeparter. REG09 bruges, når hændelser påvirker grænseoverskridende behandling, REG11 understøtter bevismateriale for træning og kompetence, og REG12 registrerer revision, afvigelser, korrigerende handlinger og forbedringsbevismateriale. Denne struktur hjælper med at sikre, at hændelsesregistreringer ikke isoleres fra det bredere PIMS. Politikken fastsætter detaljerede krav til beredskab, intake, klassificering, vurdering af brud, inddæmning, genopretning, anmeldelse/underretning, kommunikation, beskyttelse af bevismateriale og erfaringer. Mistænkte PII-hændelser skal registreres rettidigt, og enhver rapporteret eller detekteret mistænkt hændelse skal indføres i REG10 inden for én arbejdsdag efter modtagelse eller tidligere, hvor frister for anmeldelse/underretning eller kunderapportering kan blive udløst. Teknisk triage af sikkerhedsevents, der involverer PII, skal være afsluttet inden for 24 timer efter detektion, og hver REG10-post skal klassificeres som et ikke-PII-event, en mistænkt PII-hændelse, en bekræftet PII-hændelse eller et bekræftet brud på persondatasikkerheden inden for 24 timer efter intake, medmindre årsagen til afventende klassificering dokumenteres. Ved vurdering af brud kræver politikken identifikation af berørte behandlingsaktiviteter, PII-kategorier, kategorier af registrerede, systemer, databehandlere, underdatabehandlere, overførselslokationer og risici vedrørende databeskyttelse, før beslutninger om anmeldelse/underretning færdiggøres. Forpligtelser vedrørende anmeldelse/underretning og kommunikation er adskilt efter rolle. For dataansvarlige kræver politikken dokumenterede beslutninger om regulatorisk anmeldelse for hvert bekræftet brud på persondatasikkerheden uden unødig forsinkelse, hvor anmeldelse/underretning, begrundelse for manglende anmeldelse/underretning eller begrundelse for forsinkelse opbevares i REG10. Hvor kommunikation til berørte registrerede udløses, kræver politikken, at indhold, målgruppe, tidspunkt, leveringsmetode og godkendelsesbevismateriale registreres. For databehandlere og underdatabehandlere kræver politikken underretning til berørte dataansvarlige, kunder, opstrøms databehandlere eller godkendte kontraktlige kanaler uden unødig forsinkelse og inden for gældende kontraktlige frister. For PII-hændelser med højt konsekvensniveau kræver den også vurdering af juridiske, sektorspecifikke, finanssektorrelaterede, cybersikkerhedsrelaterede, kontraktlige, kunde- og tjenestemodtagerrelaterede rapporteringsudløsere, hvor det er relevant. Styring, måling og forbedring er indbygget i processen. Den databeskyttelsesansvarlige / PIMS-ansvarlige ejer processen for styring af hændelser og brud og skal sikre, at REG10 vedligeholdes frem til lukning. Hændelseskoordinatoren styrer intake, triage, inddæmningsworkflow, statussporing, lukning og erfaringer. Informationssikkerhed leder teknisk undersøgelse, inddæmning, fjernelse, genopretning, bevaring af bevismateriale og rodårsagsanalyse, hvor systemer eller sikkerhedskontroller er involveret. Øverste ledelse modtager eskalering for bekræftede PII-hændelser med højt konsekvensniveau inden for 24 timer efter klassificering og gennemgår hændelser med højt konsekvensniveau, indberetningspligtige brud, forsinkede korrigerende handlinger og væsentlige påvirkninger under ledelsens gennemgang. Målinger omfatter hændelsesvolumener, tidsforbrug til klassificering og inddæmning, rettidighed for anmeldelse/underretning, alder på korrigerende handlinger, tredjepartsresponsperformance og gennemførelse af øvelser. Politikken kræver også årlig gennemgang, efterhændelsesgennemgang efter hændelser med højt konsekvensniveau eller bekræftede brud samt årlig intern revisionsgennemgang af implementeringen.