PIMS-politik for dokumenteret information og styring af bevismateriale

PIMS-politikken for dokumenteret information og styring af bevismateriale definerer obligatoriske krav til styring af den fulde livscyklus for dokumenteret information i et ledelsessystem for databeskyttelse. Omfanget dækker oprettelse, godkendelse, versionsstyring, beskyttelse, opbevaring, fremsøgning, oversættelse, tilbagetrækning og dokumentation af PIMS-registreringer. Politikken gælder for PIMS-politikker, registre, dokumenterede godkendelser, bevisregistreringer, revisionsbevismateriale, registreringer fra ledelsens gennemgang, bevismateriale for korrigerende handlinger og kontrollerede oversættelser, der anvendes til at dokumentere PIMS-overensstemmelse. Den er udarbejdet til kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler, hvilket gør den anvendelig på tværs af de roller, en organisation kan have ved behandling af PII. Et centralt element i politikken er dens anvendelse af de kanoniske PIMS-bevisobjekter REG01 til REG12 i stedet for at etablere et særskilt dokumentstyringsregister. Politikken fastsætter, at bevismateriale for styring af dokumenteret information vedligeholdes gennem disse bevisobjekter, hvor REG03 og REG12 specifikt anvendes til kontrolanvendelighed, revision, afvigelser, korrigerende handlinger og forbedringsbevismateriale. Denne tilgang har til formål at undgå unødvendigt administrativt dokumentstyringsarbejde, samtidig med at revisionsklare registreringer bevares til certificering, kunders assurance-anmodninger og løbende forbedring. REG12 anvendes bredt til indekset over dokumenteret information, adgangsniveauer, følsomhedsklassificeringer, godkendelsesstatus, versionshistorik, anmodninger om fremsøgning, godkendelser af videregivelse, opbevaringskategorier, tilbagetrækningsstatus, undtagelser og sporing af korrigerende handlinger. Politikken fastlægger detaljerede kontroller for oprettelse, godkendelse, versionsstyring og offentliggørelse. Før PIMS-dokumenteret information offentliggøres, skal den databeskyttelsesansvarlige / PIMS-ansvarlige tildele en dokumentidentifikator, ejer, versionsnummer, godkendelsesstatus, ikrafttrædelsesdato og gennemgangsdato i REG12. Øverste ledelse skal godkende centrale PIMS-politikker og væsentlige politikændringer før offentliggørelse, mens den databeskyttelsesansvarlige / PIMS-ansvarlige godkender bevismaterialeskabeloner eller indlejrede registerafsnit før operationel brug. Politikken kræver også, at versionshistorik og ændringsbegrundelse registreres før frigivelse, og at kommunikation om godkendte ændringer registreres i REG11 senest 30 dage efter offentliggørelse. Kvalitet og sporbarhed af bevismateriale behandles som operationelle krav og ikke som valgfrie dokumentationsopgaver. Den databeskyttelsesansvarlige / PIMS-ansvarlige skal definere navngivningskonventioner for bevismateriale, kvartalsvist og før ekstern revision afstemme REG03-kontrolreferencer med registreringer over politikbevismateriale samt anvende den godkendte eksportnavngivningskonvention, før bevismateriale deles til certificeringsrevision, kundeassurance eller regulatorisk respons. Procesejere / virksomhedsejere skal sikre, at behandlingsbevismateriale indeholder bevismaterialets ejer, dato, reference til behandlingsaktivitet, beslutningsstatus og godkendelsesstatus, før det lægges til grund ved revision. Interne revisorer / efterlevelsesgennemgangsansvarlige skal registrere mangler i fuldstændighed, nøjagtighed eller sporbarhed under planlagte revisioner eller efterlevelsesgennemgange. Politikken definerer også kontroller for adgang, beskyttelse, fremsøgning, videregivelse, opbevaring, tilbagetrækning, arkivering, bortskaffelse og flersproget versionsstyring. Repository-adgangsbegrænsninger skal registreres, før adgang tildeles, og gennemgås kvartalsvist, og adgang til PIMS-bevismateriale, der indeholder PII, skal godkendes, før den tildeles. Videregivelse af bevismateriale til eksterne revisorer, kunder, databehandlere, dataansvarlige, tilsynsmyndigheder eller andre eksterne parter kræver, at godkendelse og videregivelsens omfang registreres. Forældede versioner skal trækkes tilbage inden for definerede tidsfrister, tidligere godkendte politikversioner skal bevares, og arkivering eller sletning må ikke finde sted, før afhængigheder vedrørende audit hold, legal hold, hændelsesundersøgelse eller korrigerende handling er kontrolleret. Målinger, undtagelseshåndtering, håndhævelse og krav til årlig gennemgang sikrer, at dokumenteret information forbliver aktuel, fremsøgbar, beskyttet og afstemt med behovene for PIMS-overensstemmelse.