Beleid inzake beheer van incidenten met betrekking tot persoonsgegevens en inbreuken in de financiële sector

Het Beleid inzake beheer van incidenten met betrekking tot persoonsgegevens en inbreuken in de financiële sector definieert vereisten voor het identificeren, melden, triëren, classificeren, beoordelen, indammen, melden, documenteren, afsluiten en verbeteren naar aanleiding van incidenten met betrekking tot persoonsgegevens en inbreuken in verband met persoonsgegevens binnen PIMS-toepassingsgebieden in de financiële sector. Het is van toepassing wanneer de organisatie optreedt als verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker of subverwerker in een financiële-sectorcontext, en omvat ook systemen, toepassingen, diensten, processen, leveranciers, verwerkers, subverwerkers en derde partijen die persoonsgegevens binnen de reikwijdte verwerken, opslaan, verzenden, ondersteunen, raadplegen of anderszins beïnvloeden. Het beleid is expliciet ontworpen als vervangende variant voor de financiële sector voor PII15 en vereist dat organisaties voor hetzelfde toepassingsgebied kiezen voor PII15 of PII15-FS, om dubbele verplichtingen, registers en werkzaamheden voor auditbewijsmateriaal te voorkomen. Het doel van het beleid is te waarborgen dat incidenten met betrekking tot persoonsgegevens en inbreuken consistent, tijdig, rechtmatig, veilig en met bewijsmateriaal dat geschikt is voor audits worden afgehandeld. REG10 — register voor incidenten met betrekking tot persoonsgegevens en inbreuken wordt vastgesteld als het primaire bewijsobject, terwijl ondersteunende registers de incidentregistratie verbinden met het bredere PIMS-bewijsmodel. REG01 wordt gebruikt voor reikwijdte, belanghebbenden, sectorale context, klantcontext, contractuele context en rapportagecontext. REG02 koppelt getroffen verwerkingsactiviteiten, categorieën persoonsgegevens, categorieën betrokkenen, doeleinden, systemen en diensten. REG03 legt updates van de Verklaring van toepasselijkheid en toepasselijkheid van beheersmaatregelen vast, waaronder de vervanging van PII15 door PII15-FS. REG04 ondersteunt de koppeling met privacyrisico, DPIA, resterend privacyrisico en behandeling, terwijl REG08, REG09, REG11 en REG12 interfaces met derde partijen, internationale doorgiften, training en audit- of bewijsmateriaal voor corrigerende maatregelen dekken. Operationeel vereist het beleid dat elk gemeld of gedetecteerd vermoed incident met betrekking tot persoonsgegevens in de financiële sector binnen één werkdag na ontvangst in REG10 wordt vastgelegd, of eerder wanneer termijnen voor kennisgeving, klantcommunicatie of rapportage kunnen worden geactiveerd. Incidenten moeten binnen 24 uur na incidentintake worden geclassificeerd als niet-PII-gebeurtenis, vermoed incident met betrekking tot persoonsgegevens, bevestigd incident met betrekking tot persoonsgegevens, bevestigde inbreuk in verband met persoonsgegevens, incident met betrekking tot persoonsgegevens in de financiële sector, ernstig incident in de financiële sector, significante cyberdreiging of registratie waarvan de classificatie in afwachting is. De datalekbeoordeling moet rekening houden met getroffen persoonsgegevens, betrokkenen, systemen, diensten, verwerkingsactiviteiten, verwerkers, subverwerkers, doorgiften, risico's, klanten, tegenpartijen en herstelmaatregelen. Het beleid vereist ook bewaring van bewijsmateriaal, indamming binnen gedefinieerde termijnen, validatie van herstel en gedocumenteerde afsluitingsbesluiten die classificatie, kennisgevingsbesluit, indammingsstatus, herstelstatus, restrisico, corrigerende maatregelen en volledigheid van bewijsmateriaal omvatten. Het beleid onderscheidt verplichtingen van verwerkingsverantwoordelijken, gezamenlijke verwerkingsverantwoordelijken, verwerkers en subverwerkers. Verwerkingsverantwoordelijken moeten besluiten over meldingen van inbreuken vastleggen, bewijsmateriaal voor meldingen aan de toezichthoudende autoriteit voorbereiden wanneer dat vereist is, en communicatie met betrokkenen beoordelen wanneer een hoog risico is geïdentificeerd. Verwerkers en subverwerkers moeten klantinstructies, contractuele kennisgevingsverplichtingen, opwaartse meldketens en vereisten voor routing van bewijsmateriaal beoordelen, waarbij registraties worden bijgehouden in REG08 en REG10. Verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken moeten vóór toepasselijke termijnen voor externe kennisgeving worden gecoördineerd en gedocumenteerd. Voor incidenten met hoge impact met betrekking tot persoonsgegevens in de financiële sector en significante cyberdreigingen moet de Incident Response Coordinator rapportagetriggers van toezichthouders in de financiële sector beoordelen en beslissingsbewijsmateriaal in REG10 bewaren. Governance, meting en verbetering zijn ingebouwd in de beleidslevenscyclus. De privacyverantwoordelijke / PIMS-manager moet open REG10-incidenten ten minste wekelijks beoordelen tot afsluiting, en topmanagement moet binnen 24 uur na classificatie escalatie ontvangen voor bevestigde incidenten met hoge impact in de financiële sector, majeure incidenten of significante cyberdreigingen. Metrieken omvatten maandelijkse aantallen vermoedelijke en bevestigde incidenten, inbreuken, ernstige incidenten in de financiële sector en significante cyberdreigingen, evenals tijdigheid van meldingen van inbreuken, tijdigheid van rapportage in de financiële sector, indamming, herstel, validatie van herstelactiviteiten en prestaties van respons door derde partijen. Het beleid vereist verder jaarlijkse beoordeling, post-incident-evaluatie na majeure gebeurtenissen, interne auditbeoordeling, uitzonderingsbeheer, handhaving via REG12-non-conformiteiten en hersteltraining via REG11 wanneer tekortkomingen in bewustwording of communicatie optreden.