Politika praćenja, revizije i poboljšanja PIMS-a

Politika praćenja, revizije i poboljšanja PIMS-a definira zahtjeve organizacije za vrednovanje učinkovitosti sustava upravljanja informacijama o privatnosti u području praćenja, mjerenja, analize, vrednovanja, unutarnje revizije, preispitivanja od strane uprave, postupanja s nesukladnostima, korektivnih radnji i kontinuiranog poboljšanja. Njezina je navedena svrha osigurati da organizacija vrednuje učinkovitost PIMS-a, provjerava usklađenost PIMS-a, identificira nesukladnosti, ispravlja slabosti sigurnosnih kontrola i kontinuirano poboljšava PIMS koristeći objektivne dokaze. Politika se primjenjuje na sve PIMS procese, kontrole, politike, registre, objekte dokaza, sustave, dobavljače, izvršitelje obrade, podizvršitelje obrade i aranžmane dijeljenja podataka unutar opsega PIMS-a. Obuhvaća i kontekste organizacije kao voditelja obrade, zajedničkog voditelja obrade, izvršitelja obrade i podizvršitelja obrade, što je čini relevantnom za upravljanje privatnošću i aktivnosti operativnog osiguranja. Ključno obilježje politike jest njezin konsolidirani model dokaza. REG12 se koristi kao primarno mjesto za program praćenja, definicije metrika, program audita, rezultate revizije, dokaze preispitivanja od strane uprave, nesukladnosti, korektivne radnje, iznimke i radnje poboljšanja. Potporni dokazi dolaze iz REG01 do REG11, uključujući ulazne podatke o aktivnostima obrade iz REG02, status sigurnosnih kontrola iz REG03, ažuriranja rizika za privatnost iz REG04, dokaze osiguranja dobavljača i izvršitelja obrade iz REG08, ulazne podatke o trendovima incidenata i povreda iz REG10 te status završetka obuke iz REG11. Politika zahtijeva da Voditelj privatnosti / Voditelj PIMS-a definira metode mjerenja, učestalost, izvor dokaza, ciljeve i odgovorne uloge za svaku metriku PIMS-a prije početka ciklusa mjerenja te da tromjesečno konsolidira rezultate. Zahtjevi za reviziju i pregled strukturirani su oko planiranja temeljenog na riziku, dokumentiranih dokaza i neovisnosti. Pregledavatelj za unutarnju reviziju / usklađenost mora pripremiti godišnji program unutarnje revizije PIMS-a temeljen na riziku u REG12 i definirati cilj, kriterije, opseg, metodu, osnovu uzorkovanja i rok izvješćivanja prije početka terenskog dijela revizije. Neovisnost revizora i provjere sukoba interesa moraju se evidentirati prije svakog revizijskog angažmana. Revizijske aktivnosti uključuju testiranje primjenjivog statusa implementacije kontrola PIMS-a u odnosu na REG03, evidentiranje odabranih uzoraka dokaza o obradi osobnih podataka i dokumentiranje rezultata u roku od 15 radnih dana nakon završetka revizije. Prihvaćenim nalazima moraju se dodijeliti vlasnici korektivnih radnji u REG12 u roku od 10 radnih dana od prihvaćanja rezultata revizije. Preispitivanje od strane uprave, korektivne radnje i poboljšanje također su strogo uređeni. Najviše rukovodstvo mora provesti preispitivanje PIMS-a od strane uprave najmanje jednom godišnje u REG12, uz pregled prethodnih radnji, metrika učinkovitosti PIMS-a, statusa ciljeva privatnosti, nesukladnosti, korektivnih radnji, rezultata praćenja, rezultata revizije, rizika za privatnost, osiguranja dobavljača i ulaznih podataka o promjenama zainteresiranih strana. Nesukladnosti se moraju evidentirati, temeljni uzroci i planovi korektivnih radnji dostaviti, krajnji rokovi i kriteriji prihvata odobriti, dokazi o dovršetku zadržati, a djelotvornost provjeriti. Kontinuirano poboljšanje pokreće se tromjesečnim pregledom rezultata praćenja, rezultata revizije, trendova incidenata, statusa rizika za privatnost, statusa osiguranja dobavljača i trendova korektivnih radnji. Ako se ista kategorija nalaza pojavi dva ili više puta u razdoblju od 12 mjeseci, politika zahtijeva izradu sistemske radnje poboljšanja u REG12.