Beleid inzake internationale doorgifte van persoonsgegevens

Het Beleid inzake internationale doorgifte van persoonsgegevens stelt eisen vast voor het identificeren, goedkeuren, registreren, beoordelen, beperken en opschorten van internationale doorgiften van persoonsgegevens. Het is van toepassing op activiteiten als verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker waarbij persoonsgegevens beschikbaar worden gesteld aan, toegankelijk zijn vanuit, opgeslagen worden in, gehost worden in, verstrekt worden aan of anderszins worden doorgegeven buiten de goedgekeurde verwerkingsgrens die in REG02 of REG09 is vastgelegd. De reikwijdte omvat interne gelieerde ondernemingen, externe ontvangers, verwerkers, subverwerkers, dienstverleners, supporttoegang, hostinglocaties, beheer op afstand, verdere doorgiften, verzoeken van een overheidsinstantie om verstrekking en doorgiftegerelateerde wijzigingen in dienstverlening. Een centraal kenmerk van het beleid is de op bewijsmateriaal gebaseerde aanpak. Het beleid bepaalt dat internationale doorgiften moeten worden geïdentificeerd voordat verwerking begint of wijzigt, en dat goedgekeurde doorgifteregistraties in REG09 moeten worden onderhouden. REG09 is het primaire bewijsobject voor doorgiften, terwijl REG02, REG08 en REG12 ondersteunend bewijsmateriaal leveren voor verwerkingsactiviteiten, leveranciers- en verwerkersrelaties, uitzonderingen, non-conformiteiten, corrigerende maatregelen en directiebeoordeling. Vereiste REG09-velden omvatten doorgiftebestemming, ontvanger, PIMS-rol, doorgiftemechanisme, ondersteunend bewijsmateriaal, beoordelingsdatum en eigenaar. Deze structuur is bedoeld om de organisatie te helpen verantwoordingsplichtige governance van doorgiften aan te tonen zonder dubbele registers voor doorgifte-impactbeoordelingen of SCC's te creëren. Het beleid definieert beheersmaatregelen voor selectie, goedkeuring en risicobeoordeling van doorgiftemechanismen. Voor doorgiften door de verwerkingsverantwoordelijke legt de Privacy Lead/PIMS-manager het goedgekeurde doorgiftemechanisme en het ondersteunende bewijsmateriaal in REG09 vast voordat de doorgifte begint. De functionaris voor gegevensbescherming (FG)/privacyadviseur beoordeelt bewijsmateriaal voor doorgiftemechanismen vóór goedkeuring van nieuwe, wezenlijk gewijzigde of risicovollere internationale doorgiften van persoonsgegevens en voert de beoordeling van doorgifterisico's uit wanneer deze wordt geactiveerd. Wanneer op technische waarborgen wordt vertrouwd, legt de informatiebeveiligingsverantwoordelijke de afhankelijkheidsstatus van technische waarborgen vast in REG09 of REG12. Als het resterende doorgifterisico hoog is, moet topmanagement de voortzetting van de doorgifte in REG12 goedkeuren voordat dat risico wordt geaccepteerd. Governance voor verwerkers, subverwerkers en verdere doorgifte wordt eveneens behandeld. De eigenaar Leveranciersmanagement/Inkoop moet gedocumenteerde klantautorisatie of klantinstructie in REG08 en REG09 verkrijgen voordat internationale doorgiften van persoonsgegevens door verwerkers worden geïnitieerd, autorisatie van subverwerkers en doorlegvoorwaarden voor doorgiften vastleggen, en verdere doorgifte door verwerkers of subverwerkers voorkomen totdat klantautorisatie is vastgelegd. Het beleid vereist ook dat routes voor verdere doorgifte, categorieën ontvangers, beperkingen en verplichtingen vóór goedkeuring worden vastgelegd. Verzoeken van buitenlandse overheidsinstanties om verstrekking moeten, waar uitvoerbaar, vóór verstrekking in REG09 of REG12 worden vastgelegd, of binnen één werkdag wanneer voorafgaande registratie niet uitvoerbaar is; privacy-significante verzoeken moeten, waar uitvoerbaar, door een privacyadviseur worden beoordeeld. Doorlopende governance wordt uitgevoerd via gedefinieerde eisen voor beoordeling, meting, uitzonderingen en handhaving. Actieve doorgifteregistraties worden ten minste jaarlijks en binnen 30 dagen na een wezenlijke wijziging van een doorgifte beoordeeld, terwijl de Privacy Lead/PIMS-manager achterstallige doorgiftebeoordelingen, onvolledige registraties, opgeschorte doorgiften en openstaande doorgifte-uitzonderingen ten minste elk kwartaal beoordeelt. Metrieken omvatten het percentage actieve REG09-registraties met volledig bewijsmateriaal voor doorgiftemechanismen, achterstallige doorgiftebeoordelingen, opgeschorte of uitgestelde doorgiften, achterstallig bewijsmateriaal van verwerkers of derde partijen, en niet-gematchte REG02-verwerkingsactiviteiten met potentiële indicatoren voor internationale doorgifte. Uitzonderingen moeten in REG12 worden vastgelegd voordat zij actief worden, een eigenaar, een vervaldatum, een compenserende beheersmaatregel en een beoordelingsfrequentie toegewezen krijgen, en ten minste maandelijks worden beoordeeld tot afsluiting. Non-conformiteiten moeten worden vastgelegd wanneer niet-geregistreerde doorgiften, niet-ondersteunde doorgiftemechanismen, ontbrekende autorisatie, achterstallige beoordelingen, ontbrekend bewijsmateriaal voor verdere doorgifte of ongeautoriseerde voortzetting worden vastgesteld.