Richtlinie zur PIMS-Überwachung, zu Audits und zur Verbesserung

Die Richtlinie zur PIMS-Überwachung, zu Audits und zur Verbesserung definiert die Anforderungen der Organisation zur Bewertung der Leistung des Datenschutz-Informationsmanagementsystems über Überwachung, Messung, Analyse, Bewertung, internes Audit, Managementbewertung, Behandlung von Nichtkonformitäten, Korrekturmaßnahmen und kontinuierliche Verbesserung hinweg. Ihr festgelegter Zweck besteht darin, sicherzustellen, dass die Organisation die PIMS-Leistung bewertet, PIMS-Konformität verifiziert, Nichtkonformitäten identifiziert, Kontrollschwächen korrigiert und das PIMS anhand objektiver Nachweise kontinuierlich verbessert. Die Richtlinie gilt für alle PIMS-Prozesse, Kontrollen, Richtlinien, Register, Nachweisobjekte, Systeme, Lieferanten, Auftragsverarbeiter, Unterauftragsverarbeiter und Regelungen zur Datenweitergabe innerhalb des PIMS-Geltungsbereichs. Sie deckt außerdem die Kontexte der Organisation als Verantwortlicher, gemeinsam Verantwortlicher, Auftragsverarbeiter und Unterauftragsverarbeiter ab und ist damit sowohl für Datenschutz-Governance als auch für operative Sicherstellungstätigkeiten relevant. Ein bestimmendes Merkmal der Richtlinie ist ihr konsolidiertes Nachweismodell. REG12 wird als primärer Ort für das Überwachungsprogramm, Kennzahlendefinitionen, Auditprogramm, Auditergebnisse, Nachweise zur Managementbewertung, Nichtkonformitäten, Korrekturmaßnahmen, Ausnahmen und Verbesserungsmaßnahmen verwendet. Unterstützende Nachweise stammen aus REG01 bis REG11, einschließlich Eingaben zu Verarbeitungstätigkeiten aus REG02, Status von Sicherheitskontrollen aus REG03, Aktualisierungen zu Datenschutzrisiken aus REG04, Nachweise zur Lieferanten- und Auftragsverarbeitersicherstellung aus REG08, Eingaben zu Trends bei Vorfällen und Datenschutzverletzungen aus REG10 sowie Schulungsabschlussstatus aus REG11. Die Richtlinie verlangt, dass der Privacy Lead / PIMS Manager Messmethoden, Häufigkeit, Nachweisquelle, Zielwerte und rechenschaftspflichtige Rollen für jede PIMS-Kennzahl festlegt, bevor der Messzyklus beginnt, und die Ergebnisse vierteljährlich konsolidiert. Die Audit- und Bewertungsanforderungen sind nach risikobasierter Planung, dokumentierten Nachweisen und Unabhängigkeit strukturiert. Der interne Audit- und Compliance-Prüfer muss in REG12 ein jährliches risikobasiertes PIMS-internes Auditprogramm erstellen und Ziel, Kriterien, Geltungsbereich, Methode, Stichprobengrundlage und Berichtsfrist vor Beginn der Feldarbeit festlegen. Unabhängigkeit der Auditoren und Prüfungen auf Interessenkonflikte müssen vor jeder Auditzuweisung aufgezeichnet werden. Audittätigkeiten umfassen das Testen des Umsetzungsstatus anwendbarer PIMS-Kontrollen gegen REG03, das Erfassen ausgewählter Nachweisstichproben zur Verarbeitung personenbezogener Daten und die Dokumentation der Ergebnisse innerhalb von 15 Geschäftstagen nach Auditabschluss. Akzeptierte Feststellungen müssen innerhalb von 10 Geschäftstagen nach Annahme des Auditergebnisses in REG12 Verantwortlichen für Korrekturmaßnahmen zugewiesen werden. Managementbewertung, Korrekturmaßnahmen und Verbesserung werden ebenfalls eng gesteuert. Die oberste Leitung muss mindestens jährlich in REG12 eine PIMS-Managementbewertung durchführen und dabei frühere Maßnahmen, PIMS-Leistungskennzahlen, Status der Datenschutzziele, Nichtkonformitäten, Korrekturmaßnahmen, Überwachungsergebnisse, Auditergebnisse, Datenschutzrisiken, Lieferantensicherstellung und Eingaben zu Änderungen bei interessierten Parteien prüfen. Nichtkonformitäten müssen erfasst, Ursachen und Korrekturmaßnahmenpläne eingereicht, Fälligkeitstermine und Abnahmekriterien genehmigt, Abschlussnachweise aufbewahrt und die Wirksamkeit verifiziert werden. Kontinuierliche Verbesserung wird durch die vierteljährliche Überprüfung von Überwachungsergebnissen, Auditergebnissen, Vorfalltrends, Status von Datenschutzrisiken, Status der Lieferantensicherstellung und Trends bei Korrekturmaßnahmen vorangetrieben. Wenn dieselbe Feststellungskategorie innerhalb von 12 Monaten zwei- oder mehrmals auftritt, verlangt die Richtlinie, dass in REG12 eine systemische Verbesserungsmaßnahme erstellt wird.