Politik for databeskyttelse gennem design og standardindstillinger

Politikken for databeskyttelse gennem design og standardindstillinger definerer, hvordan krav til databeskyttelse skal integreres i nye og ændrede behandlingsaktiviteter vedrørende personhenførbare oplysninger (PII) inden for PIMS-omfanget. Den gælder på tværs af projekter, produkter, tjenester, systemer, applikationer, integrationer, indkøbsaktiviteter og ændringer i forretningsprocesser. Politikken er skrevet til kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler, herunder situationer, hvor organisationen designer, konfigurerer, ændrer eller driver behandling på vegne af en kunde, dataansvarlig eller opstrøms databehandler efter dokumenterede instrukser. Dens centrale formål er at sikre, at krav til databeskyttelse identificeres, implementeres og dokumenteres, før PII-behandling påbegyndes eller ændres væsentligt. Politikken lægger særlig vægt på formål, nødvendighed, dataminimering og standardindstillinger, der beskytter databeskyttelsen. Procesejere og virksomhedsejere skal dokumentere minimumskategorier af PII, kategorier af registrerede, kilder og formål i REG02 og REG04 før godkendelse af design for indsamling eller import. Systemejere og applikationsejere skal konfigurere standardindstillinger for behandling til den minimale PII-indsamling og -behandling, der er nødvendig for det dokumenterede formål, og skal registrere bevismateriale i REG04 før idriftsættelse i produktionsmiljøet. Valgfrie PII-felter, valgfrie behandlingsvalg, indstillinger, der som standard er slået fra, eksponeringsindstillinger for visninger og rapporter samt håndtering af midlertidige filer, caches, logfiler eller stagingregistreringer behandles alle som designfaseforpligtelser vedrørende databeskyttelse og ikke som efterfølgende driftsmæssige korrigeringer. Kobling til risikovurdering vedrørende databeskyttelse og DPIA er indbygget i designprocessen uden at erstatte den særskilte metodik, der er defineret i PII07. Den ansvarlige for databeskyttelse / PIMS-ansvarlige skal bekræfte, at risikovurdering vedrørende databeskyttelse og DPIA-screening er registreret i REG04 før designgodkendelse for ny eller væsentligt ændret PII-behandling. Risikobehandlingshandlinger vedrørende databeskyttelse gennem design, ejere og forfaldsdatoer skal registreres før lukning af gennemgangen, og implementeringsbevismateriale skal indsamles før idriftsættelse i produktionsmiljøet. For højrisiko- eller væsentligt ændret behandling som dataansvarlig kræver politikken desuden en kontrol efter implementering af databeskyttelse gennem design i REG04 senest 30 kalenderdage efter idriftsættelse i produktionsmiljøet. Hvor designforhold mangler, er ineffektive, forfaldne eller omgået, åbnes der en korrigerende handling i REG12. Politikken udvider også databeskyttelse gennem design til indkøb og tredjepartsrelationer. Leverandør- og indkøbsansvarlige skal registrere privacy-by-design-krav for leverandører, databehandlere, underdatabehandlere, SaaS-tjenester, platforme eller eksternt hostede systemer i REG08 før indkøbsgodkendelse. Nødvendighed, formål og minimumskategorier for tredjeparts-PII skal dokumenteres før ekstern behandling, datadeling eller indkøbsgodkendelse. Leverandørers understøttelse af standardindstillinger for databeskyttelse, dataminimering og kundekonfigurationsbehov skal registreres før onboarding, mens uløste leverandørmangler vedrørende databeskyttelse gennem design eskaleres til REG12 inden for fem arbejdsdage og før kontraktunderskrift. Styring, overvågning, håndhævelse og vedligeholdelse defineres gennem tilbagevendende cyklusser for bevismateriale og gennemgang. Den ansvarlige for databeskyttelse / PIMS-ansvarlige indsender kvartalsvise statusresuméer for databeskyttelse gennem design i REG12, beregner metrikker for fuldførelse og forfaldne handlinger og verificerer, at designbevismateriale fortsat er konsolideret i REG02, REG04, REG08 og REG12 før intern revision. Øverste ledelse gennemgår undtagelser med højt konsekvensniveau, blokerede beslutninger om idriftsættelse i produktionsmiljøet og tilbagevendende konstateringer under ledelsens gennemgang. Håndhævelsesbestemmelser kræver forhindring af idriftsættelse i produktionsmiljøet, hvor REG04-gennemgangen er ufuldstændig, forhindring af onboarding, hvor REG08-bevismateriale mangler, og suspension af ny eller ændret PII-behandling, indtil REG04-gennemgang, REG02-opdateringer og krævede REG12-undtagelser er fuldført.