Henkilötietopoikkeamien ja henkilötietojen tietoturvaloukkausten hallintapolitiikka

Henkilötietopoikkeamien ja henkilötietojen tietoturvaloukkausten hallintapolitiikka määrittää, miten organisaatio tunnistaa, ilmoittaa, luokittelee, arvioi, rajaa, ilmoittaa eteenpäin, dokumentoi, sulkee ja hyödyntää parantamisessa henkilötietopoikkeamat ja henkilötietojen tietoturvaloukkaukset henkilötietojen hallintajärjestelmän soveltamisalassa. Sen ilmoitettu tarkoitus on varmistaa, että poikkeamat ja tietoturvaloukkaukset käsitellään johdonmukaisesti, viipymättä, lainmukaisesti, turvallisesti ja valmiudella auditointia varten. Politiikkaa sovelletaan rekisterinpitäjän, yhteisrekisterinpitäjän, henkilötietojen käsittelijän ja alikäsittelijän konteksteissa, ja se ulottuu järjestelmiin, sovelluksiin, palveluihin, prosesseihin, toimittajiin, henkilötietojen käsittelijöihin, alikäsittelijöihin ja kolmansiin osapuoliin, jotka käsittelevät, säilyttävät, siirtävät, tukevat, käyttävät tai muutoin vaikuttavat henkilötietoihin PIMS:n soveltamisalassa. Politiikan keskeinen ominaisuus on sen integroitu todentavan aineiston malli. REG10 — henkilötietopoikkeama- ja tietoturvaloukkausrekisteri on ensisijainen näyttöobjekti poikkeamien ja tietoturvaloukkausten hallinnassa, ja tukevat rekisterit tuottavat kontekstia ja jäljitettävyyttä. REG01 tukee soveltamisalan, oikeudellisen, sopimusperusteisen, toimialakohtaisen, asiakkaaseen liittyvän ja raportointikontekstin määrittämistä. REG02 liittää vaikutuksen kohteena olevat käsittelytoimet, henkilötietoluokat, rekisteröityjen luokat, käyttötarkoitukset ja järjestelmät. REG04 tukee tietosuojariskin, DPIA:n ja jäännösriskin yhteyksiä. REG08 tallentaa henkilötietojen käsittelijöihin, alikäsittelijöihin, asiakkaisiin, toimittajiin ja kolmansien osapuolten poikkeamarajapintoihin liittyvät tiedot. REG09:ää käytetään, kun poikkeamat vaikuttavat rajat ylittävään käsittelyyn, REG11 tukee koulutusta ja pätevyyttä koskevaa näyttöä, ja REG12 kattaa auditoinnin, poikkeamat, korjaavat toimenpiteet ja parantamisen todentavan aineiston. Tämä rakenne auttaa varmistamaan, etteivät poikkeamatallenteet jää irrallisiksi laajemmasta PIMS:stä. Politiikka asettaa yksityiskohtaiset vaatimukset valmiudelle, vastaanotolle, luokittelulle, tietoturvaloukkauksen arvioinnille, rajaamiselle, palautumiselle, ilmoittamiselle, viestinnälle, todentavan aineiston suojaamiselle ja opituille asioille. Epäillyt henkilötietopoikkeamat tulee kirjata viipymättä, ja jokainen ilmoitettu tai havaittu epäilty poikkeama tulee merkitä REG10:een yhden arkipäivän kuluessa vastaanottamisesta tai aiemmin, jos ilmoitus- tai asiakasraportoinnin määräajat voivat käynnistyä. Henkilötietoihin liittyvien tietoturvatapahtumien tekninen luokittelu tulee suorittaa 24 tunnin kuluessa havaitsemisesta, ja jokainen REG10-merkintä tulee luokitella 24 tunnin kuluessa vastaanotosta muuksi kuin henkilötietotapahtumaksi, epäillyksi henkilötietopoikkeamaksi, vahvistetuksi henkilötietopoikkeamaksi tai vahvistetuksi henkilötietojen tietoturvaloukkaukseksi, ellei keskeneräisen luokittelun syytä dokumentoida. Tietoturvaloukkauksen arviointia varten politiikka edellyttää vaikutuksen kohteena olevien käsittelytoimien, henkilötietoluokkien, rekisteröityjen luokkien, järjestelmien, henkilötietojen käsittelijöiden, alikäsittelijöiden, siirtopaikkojen ja tietosuojariskien tunnistamista ennen ilmoituspäätösten viimeistelyä. Ilmoitus- ja viestintävelvoitteet erotetaan roolin mukaan. Rekisterinpitäjien osalta politiikka edellyttää dokumentoituja viranomaisilmoituksia koskevia päätöksiä jokaisesta vahvistetusta henkilötietojen tietoturvaloukkauksesta ilman aiheetonta viivytystä siten, että ilmoitus, ilmoittamatta jättämisen perustelu tai viivästyksen perustelu säilytetään REG10:ssä. Kun viestintä vaikutuksen kohteena oleville rekisteröidyille käynnistyy, politiikka edellyttää sisällön, kohderyhmän, ajoituksen, toimitustavan ja hyväksyntää koskevan näytön kirjaamista. Henkilötietojen käsittelijöiden ja alikäsittelijöiden osalta politiikka edellyttää ilmoittamista vaikutuksen kohteena oleville rekisterinpitäjille, asiakkaille, ylemmän ketjun henkilötietojen käsittelijöille tai hyväksyttyihin sopimusperusteisiin kanaviin ilman aiheetonta viivytystä ja sovellettavien sopimusmääräaikojen puitteissa. Vaikutuksiltaan merkittävien henkilötietopoikkeamien osalta se edellyttää myös oikeudellisten, toimialakohtaisten, finanssialan, kyberturvallisuuteen liittyvien, sopimusperusteisten, asiakkaaseen liittyvien ja palvelun vastaanottajaa koskevien raportointiperusteiden arviointia soveltuvin osin. Hallinnointi, mittaaminen ja parantaminen on sisällytetty prosessiin. Tietosuojavastaava / PIMS-päällikkö omistaa poikkeamien ja tietoturvaloukkausten hallintaprosessin ja varmistaa, että REG10 ylläpidetään sulkemiseen saakka. Tietoturvapoikkeamiin reagoinnin koordinaattori hallitsee vastaanoton, luokittelun, rajaamistyönkulun, tilan seurannan, sulkemisen ja opitut asiat. Tietoturvatoiminto johtaa teknistä tutkintaa, rajaamista, poistamista, palautumista, todentavan aineiston säilyttämistä ja juurisyyanalyysiä, kun järjestelmät tai tietoturvakontrollit ovat mukana. Ylin johto saa eskaloinnin vahvistetuista vaikutuksiltaan merkittävistä henkilötietopoikkeamista 24 tunnin kuluessa luokittelusta ja katselmoi vaikutuksiltaan merkittävät poikkeamat, ilmoitettavat tietoturvaloukkaukset, erääntyneet korjaavat toimenpiteet ja olennaiset vaikutukset johdon katselmoinnissa. Mittareihin sisältyvät poikkeamamäärät, luokittelun ja rajaamisen ajoitus, ilmoittamisen oikea-aikaisuus, korjaavien toimenpiteiden ikääntyminen, kolmansien osapuolten reagoinnin suorituskyky ja harjoitusten suorittaminen. Politiikka edellyttää myös vuosittaista katselmointia, poikkeaman jälkiarviointia vaikutuksiltaan merkittävien poikkeamien tai vahvistettujen tietoturvaloukkausten jälkeen sekä vuosittaista sisäisen tarkastuksen toteutuskatselmointia.