Politika tal-Ġestjoni tal-Inċidenti tal-PII u tal-Ksur tad-Data Personali

Il-Politika tal-Ġestjoni tal-Inċidenti tal-PII u tal-Ksur tad-Data Personali tiddefinixxi kif organizzazzjoni tidentifika, tirrapporta, tagħmel triage, tevalwa, trażżan, tinnotifika, tiddokumenta u tagħlaq inċidenti tal-PII u ksur ta’ data personali fi ħdan il-kamp ta’ applikazzjoni tal-PIMS, u ttejjeb abbażi tagħhom. L-għan iddikjarat tagħha huwa li tiżgura li l-inċidenti u l-ksur jiġu mmaniġġjati b’mod konsistenti, fil-pront, legalment, b’mod sigur u b’evidenza lesta għall-awditjar. Il-politika tapplika fil-kuntesti ta’ kontrollur, kontrollur konġunt, proċessur u subproċessur, u testendi għal sistemi, applikazzjonijiet, servizzi, proċessi, fornituri, proċessuri, subproċessuri u partijiet terzi li jipproċessaw, jaħżnu, jittrażmettu, jappoġġjaw, jaċċessaw jew b’xi mod ieħor jaffettwaw il-PII fi ħdan il-kamp ta’ applikazzjoni tal-PIMS. Karatteristika ċentrali tal-politika hija l-mudell integrat tagħha tal-evidenza. REG10 — ir-Reġistru tal-Inċidenti tal-PII u tal-Ksur tad-Data Personali huwa l-oġġett primarju ta’ evidenza għall-ġestjoni tal-inċidenti u tal-ksur, filwaqt li reġistri ta’ sostenn jipprovdu kuntest u traċċabbiltà. REG01 jappoġġja l-kamp ta’ applikazzjoni u l-kuntest legali, kuntrattwali, settorjali, tal-klijenti u tar-rappurtar. REG02 jorbot l-attivitajiet tal-ipproċessar affettwati, il-kategoriji tal-PII, il-kategoriji tal-prinċipali tal-PII, l-għanijiet u s-sistemi. REG04 jappoġġja r-rabta mar-riskju tal-privatezza, id-DPIA u r-riskju residwu. REG08 jirreġistra l-interfaċċi tal-inċidenti mal-proċessuri, mas-subproċessuri, mal-klijenti, mal-fornituri u mal-partijiet terzi. REG09 jintuża meta l-inċidenti jaffettwaw ipproċessar transkonfinali, REG11 jappoġġja l-evidenza tat-taħriġ u tal-kompetenza, u REG12 jaqbad l-evidenza tal-awditjar, tan-nuqqas ta’ konformità, tal-azzjoni korrettiva u tat-titjib. Din l-istruttura tgħin biex tiżgura li r-reġistri tal-inċidenti ma jkunux iżolati mill-PIMS usa’. Il-politika tistabbilixxi rekwiżiti dettaljati għat-tħejjija, l-intake, il-klassifikazzjoni, l-evalwazzjoni tal-ksur, it-trażżin, l-irkupru, in-notifika, il-komunikazzjonijiet, il-protezzjoni tal-evidenza u l-lessons learned. Inċidenti suspettati tal-PII għandhom jiġu rreġistrati fil-pront, u kull inċident suspettat irrappurtat jew skopert għandu jiddaħħal f’REG10 fi żmien jum tax-xogħol wieħed minn meta jiġi riċevut, jew qabel fejn jistgħu jiġu attivati skadenzi ta’ notifika jew ta’ rappurtar lill-klijent. It-triage tekniku ta’ avvenimenti tas-sigurtà li jinvolvu PII għandu jitlesta fi żmien 24 siegħa mis-sejba, u kull entrata f’REG10 għandha tiġi kklassifikata bħala avveniment mhux tal-PII, inċident suspettat tal-PII, inċident ikkonfermat tal-PII jew ksur ikkonfermat ta’ data personali fi żmien 24 siegħa mill-intake, sakemm ir-raġuni għall-klassifikazzjoni pendenti ma tkunx dokumentata. Għall-evalwazzjoni tal-ksur, il-politika teħtieġ l-identifikazzjoni tal-attivitajiet tal-ipproċessar affettwati, il-kategoriji tal-PII, il-kategoriji tal-prinċipali tal-PII, is-sistemi, il-proċessuri, is-subproċessuri, il-postijiet tat-trasferiment u r-riskji tal-privatezza qabel jiġu ffinalizzati d-deċiżjonijiet ta’ notifika. L-obbligi ta’ notifika u komunikazzjoni huma separati skont ir-rwol. Għall-kontrolluri, il-politika teħtieġ deċiżjonijiet dokumentati dwar notifika regolatorja għal kull ksur ikkonfermat ta’ data personali mingħajr dewmien bla bżonn, b’notifika, raġuni għal nuqqas ta’ notifika jew raġuni għal dewmien miżmuma f’REG10. Meta tiġi attivata komunikazzjoni lill-prinċipali tal-PII affettwati, il-politika teħtieġ li l-kontenut, l-udjenza, iż-żmien, il-metodu tat-twassil u l-evidenza tal-approvazzjoni jiġu rreġistrati. Għall-proċessuri u s-subproċessuri, il-politika teħtieġ notifika lill-kontrolluri affettwati, lill-klijenti, lill-proċessuri upstream jew lill-kanali kuntrattwali approvati mingħajr dewmien bla bżonn u fi ħdan l-iskadenzi kuntrattwali applikabbli. Għal inċidenti tal-PII b’impatt għoli, teħtieġ ukoll evalwazzjoni tal-iskattaturi ta’ rappurtar legali, settorjali, tas-settur finanzjarju, taċ-ċibersigurtà, kuntrattwali, tal-klijenti u tar-riċevituri tas-servizz fejn applikabbli. Il-governanza, il-kejl u t-titjib huma inkorporati fil-proċess. Il-Kap tal-Privatezza / Maniġer tal-PIMS għandu s-sjieda tal-proċess tal-ġestjoni tal-inċidenti u tal-ksur u għandu jiżgura li REG10 jinżamm sal-għeluq. Il-Koordinatur tar-Rispons għall-Inċidenti jimmaniġġja l-intake, it-triage, il-fluss tax-xogħol tat-trażżin, it-traċċar tal-istatus, l-għeluq u l-lessons learned. Is-Sigurtà tal-Informazzjoni tmexxi l-investigazzjoni teknika, it-trażżin, l-eradikazzjoni, l-irkupru, il-preservazzjoni tal-evidenza u l-analiżi tal-kawża ewlenija fejn ikunu involuti sistemi jew kontrolli tas-sigurtà. It-Tmexxija Għolja tirċievi eskalazzjoni għal inċidenti tal-PII b’impatt għoli kkonfermati fi żmien 24 siegħa mill-klassifikazzjoni u tirrieżamina inċidenti b’impatt għoli, ksur notifikabbli, azzjonijiet korrettivi li qabżu l-iskadenza u impatti materjali waqt ir-Rieżami tal-Ġestjoni. Il-metriċi jinkludu volumi ta’ inċidenti, żmien għall-klassifikazzjoni u għat-trażżin, puntwalità tan-notifika, tul ta’ żmien tal-azzjonijiet korrettivi miftuħa, prestazzjoni tar-rispons ta’ partijiet terzi u tlestija tal-eżerċizzji. Il-politika teħtieġ ukoll rieżami annwali, rieżami wara l-inċident wara inċidenti b’impatt għoli jew ksur ikkonfermat, u rieżami annwali tal-implimentazzjoni mill-awditjar intern.