PIMS-beleid voor monitoring, audit en voortdurende verbetering

Het PIMS-beleid voor monitoring, audit en voortdurende verbetering definieert de vereisten van de organisatie voor het evalueren van de prestaties van het privacy-informatiemanagementsysteem op het gebied van monitoring, meting, analyse, evaluatie, interne audit, directiebeoordeling, afhandeling van non-conformiteiten, corrigerende maatregelen en voortdurende verbetering. Het vastgelegde doel is te waarborgen dat de organisatie de PIMS-prestaties evalueert, PIMS-conformiteit verifieert, non-conformiteiten identificeert, zwakten in beheersmaatregelen corrigeert en het PIMS voortdurend verbetert met objectief bewijsmateriaal. Het beleid is van toepassing op alle PIMS-processen, beheersmaatregelen, beleidslijnen, registers, bewijsobjecten, systemen, leveranciers, verwerkers, subverwerkers en regelingen voor gegevensdeling binnen het ISMS-toepassingsgebied van het PIMS. Het omvat ook de contexten waarin de organisatie optreedt als verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, waardoor het relevant is voor zowel privacygovernance als operationele assuranceactiviteiten. Een onderscheidend kenmerk van het beleid is het geconsolideerde bewijsmodel. REG12 wordt gebruikt als primaire locatie voor het monitoringprogramma, definities van metrieken, auditprogramma, auditresultaten, bewijsmateriaal voor directiebeoordeling, non-conformiteiten, corrigerende maatregelen, uitzonderingen en verbetermaatregelen. Ondersteunend bewijsmateriaal komt uit REG01 tot en met REG11, waaronder input over verwerkingsactiviteiten uit REG02, status van beveiligingsmaatregelen uit REG03, updates over privacyrisico's uit REG04, leveranciers- en verwerkersassurancebewijsmateriaal uit REG08, input over trends in incidenten en inbreuken uit REG10 en status van voltooide opleidingen uit REG11. Het beleid vereist dat de Privacy Lead / PIMS Manager voor elke PIMS-metriek de meetmethoden, frequentie, bewijsbron, doelstellingen en verantwoordelijke rollen definieert voordat de meetcyclus begint, en de resultaten elk kwartaal consolideert. De audit- en beoordelingsvereisten zijn gestructureerd rond risicogebaseerde planning, gedocumenteerd bewijsmateriaal en onafhankelijkheid. De Internal Audit / Compliance Reviewer moet een jaarlijks risicogebaseerd intern PIMS-auditprogramma in REG12 opstellen en het doel, de criteria, de reikwijdte, de methode, de steekproefbasis en de rapportagetermijn definiëren voordat het veldwerk begint. Onafhankelijkheid van de auditor en controles op belangenconflicten moeten vóór elke auditopdracht worden geregistreerd. Auditactiviteiten omvatten het toetsen van de implementatiestatus van toepasselijke PIMS-beheersmaatregelen aan REG03, het registreren van geselecteerde steekproeven van bewijsmateriaal over verwerking van persoonsgegevens en het documenteren van resultaten binnen 15 werkdagen na voltooiing van de audit. Geaccepteerde bevindingen moeten binnen 10 werkdagen na acceptatie van het auditresultaat in REG12 worden toegewezen aan eigenaren van corrigerende maatregelen. Directiebeoordeling, corrigerende maatregelen en verbetering worden eveneens strak beheerst. Topmanagement moet ten minste jaarlijks een PIMS-directiebeoordeling uitvoeren in REG12, waarbij eerdere acties, PIMS-prestatiemetrieken, status van privacydoelstellingen, non-conformiteiten, corrigerende maatregelen, monitoringresultaten, auditresultaten, privacyrisico's, leveranciersassurance en input over wijzigingen bij belanghebbenden worden beoordeeld. Non-conformiteiten moeten worden geregistreerd, oorzaken en plannen voor corrigerende maatregelen moeten worden ingediend, vervaldatums en acceptatiecriteria moeten worden goedgekeurd, voltooiingsbewijsmateriaal moet worden bewaard en de doeltreffendheid moet worden geverifieerd. Voortdurende verbetering wordt aangedreven door een kwartaalbeoordeling van monitoringresultaten, auditresultaten, incidenttrends, status van privacyrisico's, status van leveranciersassurance en trends in corrigerende maatregelen. Wanneer dezelfde bevindingencategorie binnen 12 maanden twee of meer keer voorkomt, vereist het beleid dat in REG12 een systemische verbetermaatregel wordt aangemaakt.