Politik for risikovurdering vedrørende databeskyttelse og DPIA

Politikken for risikovurdering vedrørende databeskyttelse og DPIA definerer, hvordan en organisation identificerer, vurderer, risikobehandler, godkender, gennemgår og dokumenterer risici vedrørende databeskyttelse inden for PIMS-omfanget. Formålet er at sikre, at risici vedrørende databeskyttelse og DPIA-forpligtelser håndteres, før behandling af PII skaber uacceptabel risiko for registrerede eller for PIMS. Politikken gælder for nye og væsentligt ændrede behandlingsaktiviteter vedrørende PII på tværs af kontekster med dataansvarlig, fælles dataansvarlig, databehandler og underdatabehandler. Den omfatter også systemer, applikationer, tjenester, forretningsprocesser, leverandører, databehandlere, underdatabehandlere, internationale overførsler og datadelingsordninger, der påvirker behandling af PII. Et centralt element i politikken er dens REG04-baserede driftsmodel. Screening af risici vedrørende databeskyttelse, DPIA-screening, risikovurdering, behandlingsplaner, accept af restrisiko, beslutninger om høring, godkendelser og gennemgangsstatus dokumenteres i REG04 med understøttende bevismateriale knyttet til REG02, REG03, REG08, REG09, REG10, REG11 og REG12. Politikken undgår udtrykkeligt at oprette særskilte DPIA-, risiko- eller høringsregistre uden for REG04. Dette bidrager til at bevare ét samlet revisionsspor for screeningsresultater, beslutninger om fuld DPIA, risikovurderinger, behandlingsansvarlige, forfaldsdatoer, restrisiko, godkendelsesstatus og gennemgangsdatoer. Politikken fastsætter obligatoriske udløsende forhold for screening af risici vedrørende databeskyttelse og fastlæggelse af fuld DPIA. Procesejere/virksomhedsejere skal iværksætte REG04-screening, før ny eller væsentligt ændret behandling, der er registreret i REG02, påbegyndes. Behandling hos dataansvarlige, der sandsynligvis medfører høj risiko, kræver en fuld DPIA, før behandlingen påbegyndes. Politikken fremhæver behandling, der omfatter aktiviteter i stor skala, systematisk overvågning, profilering, automatiserede afgørelser, særlige kategorier af personoplysninger, oplysninger om straffedomme og lovovertrædelser, sårbare registrerede, innovativ teknologi og væsentlig behandlingsændring som forhold, der skal forelægges den ansvarlige for databeskyttelse/PIMS-ansvarlige, før behandlingen starter. Den kræver også ny screening, før PII anvendes til et nyt formål, en ny modtager tilføjes, en ny databehandler eller underdatabehandler introduceres, systemarkitekturen ændres, eller en ny international overførsel påbegyndes. Risikobehandling og eskalering er også klart defineret. Hvor risiko vedrørende databeskyttelse overstiger den godkendte accepttærskel, skal procesejeren/virksomhedsejeren registrere en behandlingsplan i REG04, før behandlingen fortsætter. Handlinger vedrørende sikkerhed, systemdesign, leverandører, kontraktlige forhold og assurance tildeles den relevante rolle og skal implementeres før idriftsættelse i produktionsmiljøet, onboarding, fornyelse eller den godkendte forfaldsdato. Høj restrisiko vedrørende databeskyttelse for behandling hos dataansvarlige kræver godkendelse fra øverste ledelse, før behandlingen påbegyndes eller fortsættes. Hvor der fortsat består høj restrisiko efter risikobehandling, registrerer den ansvarlige for databeskyttelse/PIMS-ansvarlige beslutningen om forudgående høring i REG04, og øverste ledelse godkender fortsættelse, suspension, redesign eller høringshandlinger, før behandlingen fortsætter. Krav til styring, overvågning og håndhævelse sikrer, at processen forbliver aktiv efter den indledende godkendelse. Den ansvarlige for databeskyttelse/PIMS-ansvarlige gennemgår åbne risici vedrørende databeskyttelse og forfaldne risikobehandlingshandlinger månedligt, rapporterer status for risici vedrørende databeskyttelse og DPIA'er kvartalsvist og før ledelsens gennemgang samt afstemmer aktive REG04-risikoregistreringer mod registreringer i REG02-fortegnelsen over behandlingsaktiviteter. Politikken definerer målinger for screeningsdækning, aktive fulde DPIA'er, forfaldne gennemgange, høje restrisici, status for risikobehandlingshandlinger, gennemsnitlig lukningstid, leverandørhandlinger, sikkerhedsrelaterede risikobehandlingshandlinger, hændelsesdrevet revurdering og revisionskonstateringer. Undtagelser skal anmodes før afvigelse, vurderes med hensyn til påvirkning af databeskyttelse, juridiske forhold, certificering, drift og registrerede, og tildeles en udløbsdato, der ikke overstiger 90 dage. Manglende, unøjagtigt, ufuldstændigt, forfaldent eller ikke-godkendt REG04-bevismateriale behandles som en afvigelse i REG12.