Politik for databeskyttelsestræning, bevidstgørelse og kompetence

Politik for databeskyttelsestræning, bevidstgørelse og kompetence fastlægger, hvordan en organisation styrer databeskyttelsestræning i sit Privacy Information Management System. Formålet er at sikre, at personer, hvis arbejde påvirker behandling af personhenførbare oplysninger (PII), forstår deres ansvar, gennemfører træning efter en fastlagt kadence, opretholder rollerelevant kompetence og udarbejder revisionsbart bevismateriale for træning, bevidstgørelse og eskalering. Politikken gælder på tværs af dataansvarlig-, fælles dataansvarlig-, databehandler- og underdatabehandlerkontekster og er dermed relevant for organisationer, der håndterer personhenførbare oplysninger (PII) direkte, samt organisationer, der handler efter kundens instruks eller gennem tredjepartsbehandlingsordninger. Omfanget er bevidst bredt og operationelt. Det omfatter personale, kontrahenter, midlertidigt ansatte, relevante tredjeparter, databehandlere, underdatabehandlere og andre interesserede parter, hvis arbejde kan påvirke behandling af personhenførbare oplysninger (PII), registreredes rettigheder, databeskyttelsesrisiko, informationssikkerhed relateret til personhenførbare oplysninger (PII), databehandlerinstrukser, databeskyttelseshændelser, dokumenteret information eller efterlevelsesbevismateriale. Politikken dækker identifikation af målgrupper for databeskyttelsestræning, onboarding-træning, årlig genopfriskningstræning, rollebaseret og hændelsesudløst træning, bevismateriale for gennemført træning, eskalering ved manglende gennemførelse, gennemgang af træningseffektivitet samt dokumentation for træningsassurance hos databehandlere, underdatabehandlere og tredjeparter. Et centralt element i politikken er dens bevismodel. Den fastslår, at der ikke oprettes en særskilt træningsmatrix, dashboard, kompetenceregister, disciplinærregister eller kundetræningsregister. I stedet registreres træningstildelinger, gennemførelser, påmindelser, dokumentation for kompetence og dokumentation for bevidstgørelse i REG11. Undtagelser, eskaleringer, afvigelser, korrigerende handlinger og bevismateriale for gennemgang registreres i REG12. Dokumentation for træningsassurance hos databehandlere, underdatabehandlere og tredjeparter registreres i REG08, hvor det er relevant, mens input fra hændelseslæring kan kobles via REG10. Denne tilgang hjælper med at holde databeskyttelsestræning sporbar uden at duplikere registre eller skabe unødvendig administrativ byrde. Politikken fastlægger specifikke træningskadencer og udløsende forhold. Grundlæggende awareness-træning i databeskyttelse skal tildeles inden for 10 arbejdsdage efter onboarding for personale med adgang til personhenførbare oplysninger (PII) eller PIMS-ansvar, og personale skal gennemføre databeskyttelsestræning ved onboarding, før ikke-overvåget adgang til personhenførbare oplysninger (PII) godkendes, eller inden for 30 dage efter onboarding, alt efter hvad der indtræffer først. Årlig genopfriskningstræning i databeskyttelse skal tildeles mindst én gang hver 12. måned. Målrettet genopfriskningstræning kræves inden for 30 dage efter en væsentlig ændring af databeskyttelsespolitikken, en væsentlig ændring af en PIMS-proces, en revisionskonstatering, en tilbagevendende træningsfejl eller relevant læring fra en PII-hændelse. Rollebaseret træning kræves også, før personale påtager sig ansvar, der vedrører behandlingsgrundlag, privatlivsmeddelelser, samtykke, registreredes rettigheder, DPIA'er, opbevaring, deling, internationale overførsler, privilegeret adgang, sikkerhedsadministration, logning, overvågning eller hændelsessupport. Styring og håndhævelse er indbygget i politikken gennem definerede ansvarsområder, overvågning og eskalering. Den databeskyttelsesansvarlige / PIMS-ansvarlige vedligeholder træningsindhold, tildelinger, bevismateriale for gennemførelse, bekræftelser og dokumentation for effektivitet. Procesejere understøtter gennemførelse for personale under deres ansvar, systemejere verificerer træning, før de godkender privilegeret adgang eller adgang til PII-systemer med højt konsekvensniveau, og leverandør-/indkøbsansvarlige vedligeholder træning eller tilsvarende dokumentation for assurance for leverandører, databehandlere, underdatabehandlere og eksterne medarbejdere. Politikken kræver kvartalsvis gennemgang af gennemførelse, overskreden træning, rollebaserede tildelinger og undtagelser, hvor uløste huller i bevismateriale rapporteres før ledelsens gennemgang. Interne revisions-/efterlevelsesgennemgangsansvarlige udtager stikprøver af REG11- og REG12-bevismateriale i henhold til den godkendte revisionsplan og understøtter løbende forbedring og ansvarlighed, der er klar til certificering.