Beleid inzake beheer van rechten van betrokkenen

Het Beleid inzake beheer van rechten van betrokkenen stelt de verplichte aanpak van de organisatie vast voor het beheren van verzoeken van betrokkenen of hun gemachtigden. De reikwijdte dekt de volledige levenscyclus van de afhandeling van verzoeken tot uitoefening van rechten: het ontvangen, valideren, beoordelen, afhandelen, weigeren, verlengen, afsluiten, monitoren en met bewijsmateriaal onderbouwen van verzoeken. Het is van toepassing op toegang, rectificatie, wissing, beperking, overdraagbaarheid, bezwaar, geautomatiseerde besluitvorming, routing van instructies tot intrekking van toestemming, klachten en gerelateerde verzoeken om informatie. Het beleid is ontworpen voor contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, waarbij taken van verwerkers en subverwerkers gelden wanneer ondersteuning wordt geleverd aan een verwerkingsverantwoordelijke, klant of bovenliggende verwerker op basis van gedocumenteerde instructies. Het doel van het beleid is ervoor te zorgen dat verzoeken tot uitoefening van rechten van betrokkenen consistent, rechtmatig, veilig, binnen gedefinieerde termijnen en met bewijsmateriaal dat gereed is voor audits worden behandeld. Het vereist dat elk verzoek binnen twee werkdagen na ontvangst in REG06 wordt geregistreerd en wordt geclassificeerd voordat de beoordeling begint. Vereiste classificatievelden omvatten verzoektype, verzoekkanaal, verzoekdatum, identiteitsreferentie van de verzoeker, aangewezen eigenaar, interne vervaldatum, wettelijke of contractuele vervaldatum en actuele status. Voor verwerkingsverantwoordelijken moet de Privacy Lead / PIMS-manager de ontvangst bevestigen of de volgende vereiste communicatie verstrekken binnen vijf werkdagen na incidentintake. Verzoeken moeten ook worden gekoppeld aan relevante REG02-verwerkingsactiviteiten voordat afhandelingsacties worden toegewezen, zodat beslissingen over antwoorden zijn gebaseerd op verwerkingsregistraties, doeleinden, categorieën persoonsgegevens, systemen, ontvangers en bewaarbeperkingen. Een belangrijk operationeel aandachtspunt is identiteitsverificatie en veilige beoordeling. Voordat persoonsgegevens worden verstrekt of gevraagde wijzigingen worden aangebracht, moet de Privacy Lead / PIMS-manager de identiteit van de verzoeker of de bevoegdheid van de gemachtigde in REG06 verifiëren. Wanneer de identiteit of bevoegdheid onvoldoende is, mag alleen de minimaal noodzakelijke aanvullende informatie voor verificatie worden gevraagd. Het beleid wijst verzoeken met een hoog risico, betwiste, onduidelijke, buitensporige, herhaalde, geweigerde of gedeeltelijk afgehandelde verzoeken toe aan de Functionaris voor gegevensbescherming (FG) / Privacy Advisor voor beoordeling voordat de beslissing wordt gecommuniceerd. Het vereist ook beoordeling door de systeemeigenaar / applicatie-eigenaar van antwoordextracten om niet-gerelateerde persoonsgegevens en ongeautoriseerde gegevens van derden uit te sluiten, en beoordeling door de Information Security Lead van leveringsmethoden voordat grote volumes, gevoelige, bijzondere categorieën of hoogrisico-persoonsgegevens worden verstrekt. Afhandelingseisen zijn specifiek voor de aard van het recht. Bedrijfseigenaren moeten resultaten van zoekacties voor toegang uiterlijk tien werkdagen vóór de antwoordtermijn verstrekken. Systeemeigenaren moeten goedgekeurde acties voor rectificatie, wissing, beperking of onderdrukking voltooien en bewijsmateriaal van voltooiing in REG06 registreren. Antwoordpakketten voor toegang en overdraagbaarheid moeten via een geautoriseerde methode worden geleverd, waarbij leveringsbewijsmateriaal vóór afsluiting wordt geregistreerd. Bezwaarverzoeken moeten worden beoordeeld en geregistreerd voordat betwiste verwerking wordt voortgezet of gestopt. Verzoeken die uitsluitend geautomatiseerde besluiten betreffen, vereisen beoordeling voordat de organisatie een uitkomst, route voor menselijke tussenkomst of motivering voor weigering verstrekt. Wanneer goedgekeurde uitkomsten kennisgeving vereisen aan verwerkers, subverwerkers, gezamenlijke verwerkingsverantwoordelijken, ontvangers of partijen voor gegevensdeling die in REG08 zijn geregistreerd, moet de Vendor / Procurement Owner die kennisgeving coördineren. Het beleid definieert ook eisen voor governance, meting, uitzonderingen en handhaving. De Privacy Lead / PIMS-manager is eigenaar van de workflow voor verzoeken tot uitoefening van rechten, de REG06-structuur, termijnen, toewijzingsregels en afsluitcriteria, met ten minste jaarlijkse beoordeling en updates na een wezenlijke wijziging. Metrieken omvatten maandelijkse meting van verzoeken naar type, status, bedrijfseigenaar en verwerkingsactiviteit, maandelijkse rapportage van te late items, kwartaalmetingen van percentages voor weigering, gedeeltelijke afhandeling en verlenging, en kwartaalbeoordeling van terugkerende thema’s, klachten, geschillen en corrigerende maatregelen. Geplande audits moeten een steekproef nemen uit afgesloten REG06-registraties en bevindingen over kwaliteit van bewijsmateriaal, tijdigheid en afsluiting in REG12 registreren. Uitzonderingen moeten vóór implementatie in REG12 worden goedgekeurd, met toegewezen vervaldatums, eigenaren en compenserende beheersmaatregelen. Handhavingsbepalingen vereisen non-conformiteiten, escalatie van niet-medewerking door derden, toewijzing door management van eigenaarschap voor corrigerende maatregelen bij systemische tekortkomingen en REG10-beoordeling wanneer een non-conformiteit wijst op ongeautoriseerde verstrekking, verlies, wijziging, onbeschikbaarheid of een ander vermoed incident met betrekking tot persoonsgegevens.