Politik for PIMS-overvågning, revision og forbedring

Politikken for PIMS-overvågning, revision og forbedring definerer organisationens krav til evaluering af PIMS' performance på tværs af overvågning, måling, analyse, evaluering, intern revision, ledelsens gennemgang, håndtering af afvigelser, korrigerende handling og løbende forbedring. Det angivne formål er at sikre, at organisationen evaluerer PIMS' performance, verificerer PIMS-overensstemmelse, identificerer afvigelser, korrigerer kontrolsvagheder og løbende forbedrer PIMS ved hjælp af objektivt bevismateriale. Politikken gælder for alle PIMS-processer, kontroller, politikker, registre, bevisobjekter, systemer, leverandører, databehandlere, underdatabehandlere og datadelingsordninger inden for PIMS-omfanget. Den omfatter også organisationens kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler, hvilket gør den relevant for både styring af databeskyttelse og driftsmæssige assurance-aktiviteter. Et definerende kendetegn ved politikken er dens konsoliderede evidensmodel. REG12 anvendes som den primære placering for overvågningsprogrammet, metrikdefinitioner, revisionsprogram, revisionsresultater, bevismateriale til ledelsens gennemgang, afvigelser, korrigerende handlinger, undtagelser og forbedringshandlinger. Understøttende bevismateriale kommer fra REG01 til REG11, herunder input om behandlingsaktiviteter fra REG02, status for sikkerhedskontroller fra REG03, opdateringer om risici vedrørende databeskyttelse fra REG04, dokumentation for leverandør- og databehandlerassurance fra REG08, input om tendenser for hændelser og brud fra REG10 samt status for gennemført træning fra REG11. Politikken kræver, at den ansvarlige for databeskyttelse / PIMS-ansvarlige definerer målemetoder, frekvens, evidenskilde, mål og ansvarlige roller for hver PIMS-metrik, før målecyklussen begynder, og konsoliderer resultaterne kvartalsvist. Kravene til revision og gennemgang er struktureret omkring risikobaseret planlægning, dokumenteret bevismateriale og uafhængighed. Den interne revisions- / efterlevelsesgennemgangsansvarlige skal udarbejde et årligt risikobaseret internt PIMS-revisionsprogram i REG12 og definere formål, kriterier, omfang, metode, stikprøvegrundlag og rapporteringsfrist, før revisionsfeltarbejde påbegyndes. Revisorens uafhængighed og kontroller af interessekonflikter skal registreres før hver revisionstildeling. Revisionsaktiviteter omfatter test af implementeringsstatus for relevante PIMS-kontroller op imod REG03, registrering af udvalgte stikprøver af bevismateriale for behandling af personhenførbare oplysninger (PII) og dokumentation af resultater inden for 15 arbejdsdage efter revisionens afslutning. Accepterede konstateringer skal tildeles ejere af korrigerende handlinger i REG12 inden for 10 arbejdsdage efter accept af revisionsresultatet. Ledelsens gennemgang, korrigerende handling og forbedring er også stramt styret. Øverste ledelse skal gennemføre PIMS-ledelsens gennemgang mindst årligt i REG12 og gennemgå tidligere handlinger, PIMS-performancemetrikker, status for databeskyttelsesmål, afvigelser, korrigerende handlinger, overvågningsresultater, revisionsresultater, risici vedrørende databeskyttelse, leverandørassurance og input om ændringer fra interesserede parter. Afvigelser skal registreres, rodårsager og planer for korrigerende handlinger indsendes, forfaldsdatoer og acceptkriterier godkendes, dokumentation for fuldførelse opbevares, og effektivitet verificeres. Løbende forbedring drives af kvartalsvis gennemgang af overvågningsresultater, revisionsresultater, hændelsestendenser, status for risici vedrørende databeskyttelse, status for leverandørassurance og tendenser for korrigerende handlinger. Hvor samme konstateringskategori forekommer to eller flere gange inden for 12 måneder, kræver politikken, at der oprettes en systemisk forbedringshandling i REG12.