PIMS-beleid voor beheer van gedocumenteerde informatie en bewijsmateriaal

Het PIMS-beleid voor beheer van gedocumenteerde informatie en bewijsmateriaal definieert verplichte eisen voor het beheersen van de volledige levenscyclus van gedocumenteerde informatie van het privacy-informatiemanagementsysteem. De reikwijdte omvat het aanmaken, goedkeuren, onder versiebeheer plaatsen, beschermen, bewaren, opvragen, vertalen, intrekken en aantonen van PIMS-registraties. Het beleid is van toepassing op PIMS-beleid, registers, gedocumenteerde goedkeuringen, bewijsregistraties, auditbewijsmateriaal, registraties van directiebeoordelingen, bewijsmateriaal voor corrigerende maatregelen en beheerste vertalingen die worden gebruikt om PIMS-conformiteit aan te tonen. Het is opgesteld voor contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, waardoor het toepasbaar is op de rollen die een organisatie kan vervullen bij de verwerking van persoonsgegevens. Een centraal kenmerk van het beleid is het gebruik van de canonieke PIMS-bewijsobjecten REG01 tot en met REG12, in plaats van het aanmaken van een afzonderlijk documentbeheersregister. Het beleid bepaalt dat bewijsmateriaal voor de beheersing van gedocumenteerde informatie via deze bewijsobjecten wordt onderhouden, waarbij REG03 en REG12 specifiek worden gebruikt voor toepasselijkheid van beheersmaatregelen, audit, non-conformiteit, corrigerende maatregelen en verbeterbewijsmateriaal. Deze aanpak is bedoeld om onnodige documentbeheerbureaucratie te voorkomen en tegelijk auditklare registraties te behouden voor certificering, assurance richting klanten en voortdurende verbetering. REG12 wordt uitgebreid gebruikt voor de index van gedocumenteerde informatie, toegangsniveaus, gevoeligheidsclassificaties, goedkeuringsstatus, versiehistorie, opvragingsverzoeken, goedkeuringen voor verstrekking, bewaarcategorieën, intrekkingsstatus, uitzonderingen en opvolging van corrigerende maatregelen. Het beleid stelt gedetailleerde beheersmaatregelen vast voor aanmaak, goedkeuring, versiebeheer en publicatie. Voordat PIMS-gedocumenteerde informatie wordt gepubliceerd, moet de Privacy Lead / PIMS-manager in REG12 een documentidentificator, eigenaar, versienummer, goedkeuringsstatus, ingangsdatum en beoordelingsdatum toewijzen. Topmanagement moet kernbeleid van het PIMS en wezenlijke beleidswijzigingen vóór publicatie goedkeuren, terwijl de Privacy Lead / PIMS-manager bewijssjablonen of ingesloten registersecties vóór operationeel gebruik goedkeurt. Het beleid vereist ook dat versiehistorie en wijzigingsmotivering vóór vrijgave worden vastgelegd en dat communicatie over goedgekeurde wijzigingen binnen 30 dagen na publicatie in REG11 wordt geregistreerd. Bewijskwaliteit en traceerbaarheid worden behandeld als operationele vereisten, niet als optionele documentatietaken. De Privacy Lead / PIMS-manager moet naamgevingsconventies voor bewijsmateriaal definiëren, REG03-verwijzingen naar beheersmaatregelen elk kwartaal en vóór een externe audit afstemmen op beleidsbewijsregistraties, en de goedgekeurde naamgevingsconventie voor export toepassen voordat bewijsmateriaal wordt gedeeld voor certificeringsaudits, assurance richting klanten of respons aan toezichthouders. Proceseigenaren / bedrijfseigenaren moeten ervoor zorgen dat verwerkingsbewijsmateriaal de eigenaar van het bewijsmateriaal, datum, verwijzing naar de verwerkingsactiviteit, besluitstatus en goedkeuringsstatus bevat voordat erop wordt gesteund voor auditdoeleinden. Interne audit-/nalevingsbeoordelaars moeten hiaten in volledigheid, juistheid of traceerbaarheid vastleggen tijdens geplande audits of nalevingsbeoordelingen. Het beleid definieert ook beheersmaatregelen voor toegang, bescherming, opvraging, verstrekking, bewaring, intrekking, archivering, vernietiging en meertalig versiebeheer. Toegangsbeperkingen voor repositories moeten vóór het verlenen van toegang worden vastgelegd en elk kwartaal worden beoordeeld, en toegang tot PIMS-bewijsmateriaal dat persoonsgegevens bevat moet vooraf worden goedgekeurd. Verstrekking van bewijsmateriaal aan externe auditors, klanten, verwerkers, verwerkingsverantwoordelijken, toezichthoudende autoriteiten of andere externe partijen vereist dat goedkeuring en reikwijdte van de verstrekking worden vastgelegd. Verouderde versies moeten binnen vastgestelde termijnen worden ingetrokken, eerdere goedgekeurde beleidsversies moeten worden bewaard, en archivering of verwijdering mag niet plaatsvinden voordat afhankelijkheden met betrekking tot audit hold, legal hold, incidentonderzoek of corrigerende maatregelen zijn gecontroleerd. Metrieken, afhandeling van uitzonderingen, handhaving en jaarlijkse beoordeling zorgen ervoor dat gedocumenteerde informatie actueel, opvraagbaar, beschermd en afgestemd blijft op de behoeften voor PIMS-conformiteit.