Politik for Privacy Information Management System (PIMS)

Politikken for Privacy Information Management System etablerer organisationens PIMS for behandling af personhenførbare oplysninger (PII) i kontekster som dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler. Dens angivne formål er at definere obligatoriske styringskrav for etablering, implementering, vedligeholdelse, overvågning og løbende forbedring af PIMS. Politikken er udformet til at understøtte ansvarlig, risikobaseret og bevisdrevet styring af PII-behandling på tværs af de relevante PIMS-roller. Den omfatter PIMS-omfang, organisatorisk kontekst, interesserede parter, afgrænsninger, fastlæggelse af PIMS-rolle, databeskyttelsespolitik, databeskyttelsesmål, risikovurdering vedrørende databeskyttelse, risikobehandling vedrørende databeskyttelse, PIMS-anvendelighedserklæring, styring, overvågning, intern revision, ledelsens gennemgang, afvigelser, korrigerende handling og dokumenteret bevismateriale, der er nødvendigt for at dokumentere overensstemmelse og ansvarlighed. Et centralt element i politikken er dens fokus på defineret ansvarlighed. Øverste ledelse skal godkende PIMS-omfang i REG01 før første implementering og inden for 30 dage efter enhver væsentlig ændring, godkende politikken og PIMS-målsætningerne i REG12 årligt samt gennemgå performance, åbne risici, afvigelser, korrigerende handlinger og forbedringsbeslutninger under ledelsens gennemgang. Den ansvarlige for databeskyttelse/den PIMS-ansvarlige vedligeholder centrale PIMS-registreringer, herunder forhold vedrørende kontekst, interesserede parter, målsætninger, anvendelighedserklæringen, beslutninger om risikobehandling, bevisindekset, metrikker, undtagelser, korrigerende handlinger og registreringer af politikgennemgang. Procesejere klassificerer organisationens PIMS-rolle for hver PII-behandlingsaktivitet, før behandlingen påbegyndes, mens leverandør-/indkøbsansvarlige dokumenterer fordeling af ansvar som fælles dataansvarlig, kundens instruks for behandling, godkendte underdatabehandlerordninger, leverandørstyring og eksternt leverede PIMS-relevante processer. Politikken kobler PIMS-styring til operationel kontrol. Risikovurdering vedrørende databeskyttelse skal igangsættes, før ny eller væsentligt ændret PII-behandling påbegyndes, og behovet for DPIA skal fastlægges, før højrisiko- eller væsentligt ændret behandling som dataansvarlig fortsætter. Godkendte beslutninger om risikobehandling vedrørende databeskyttelse registreres, før behandlingsimplementering iværksættes, og systemejere skal bekræfte PIMS-operationelle kontroller før idriftsættelse i produktionsmiljøet for systemer, der behandler PII. Den informationssikkerhedsansvarlige er ansvarlig for at dokumentere den relevante PII-sikkerhedsbaseline og vedligeholde implementeringsstatus for sikkerhedskontroller, hvorved databeskyttelsesstyring kobles til PII-sikkerhedsbaselinen og anvendelighedserklæringen. Denne struktur hjælper med at sikre, at omfang, behandlingsaktiviteter, kontrolanvendelighed, leverandørordninger og risikoregistreringer forbliver afstemt før ledelsens gennemgang og certificeringsrelaterede ændringer. Politikken definerer også krav til revisionsbarhed og løbende forbedring. Den ansvarlige for databeskyttelse/den PIMS-ansvarlige skal vedligeholde et PIMS-bevisindeks før hver intern revision, opbevare dokumenterede oplysninger i henhold til krav til opbevaring af bevismateriale, vedligeholde performancemetrikker kvartalsvist og rapportere målsætningsstatus før ledelsens gennemgang. Minimumssættet af målinger omfatter procentdelen af omfattede behandlingsaktiviteter med aktuel rolleklassificering, procentdelen af relevante kontroller med aktuel implementeringsstatus, åbne afvigelser og forsinkede korrigerende handlinger samt risikovurderinger vedrørende databeskyttelse, der afventer godkendelse. Interne revisions-/efterlevelsesgennemgangsansvarlige skal rapportere gennemgangsresultater inden for 15 arbejdsdage, udtage stikprøver af bevismaterialets fuldstændighed under interne revisioner, verificere lukningsbevismateriale for udløbne undtagelser og verificere effektiviteten af korrigerende handlinger inden for 30 dage efter rapporteret lukning. Undtagelser, håndhævelse og vedligeholdelse behandles som formelle PIMS-processer og ikke som uformelle afvigelser. Anmodede undtagelser skal dokumenteres, før afvigelsen opstår, vurderes for databeskyttelsesrisiko før godkendelse og gennemgås kvartalsvist indtil lukning. Undtagelser, der overstiger accepterede tærskler for databeskyttelsesrisiko, kræver godkendelse fra øverste ledelse før implementering. Mistænkte afvigelser skal registreres inden for fem arbejdsdage, forsinkede væsentlige korrigerende handlinger skal eskaleres til øverste ledelse, og uløste væsentlige afvigelser skal gennemgås ved hver ledelsesgennemgang. Selve politikken gennemgås årligt og inden for 30 dage efter væsentlige ændringer i retlige, organisatoriske, behandlingsmæssige, teknologiske eller certificeringsmæssige omfangsforhold, og godkendte ændringer kommunikeres i REG11 inden for 30 dage efter offentliggørelse.