Beleid inzake het privacy-informatiemanagementsysteem

Het beleid inzake het privacy-informatiemanagementsysteem stelt het PIMS van de organisatie vast voor de verwerking van persoonlijk identificeerbare informatie in de context van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker. Het verklaarde doel is het definiëren van verplichte governancevereisten voor het vaststellen, implementeren, onderhouden, monitoren en voortdurend verbeteren van het PIMS. Het beleid is ontworpen ter ondersteuning van verantwoordingsplichtig, risicogebaseerd en door bewijsmateriaal gestuurd beheer van de verwerking van PII binnen de toepasselijke PIMS-rollen. Het is van toepassing op het PIMS-toepassingsgebied, de organisatorische context, belanghebbenden, grenzen, rolbepaling, privacybeleid, privacydoelstellingen, privacyrisicobeoordeling, behandeling van privacyrisico's, de PIMS-verklaring van toepasselijkheid, governance, monitoring, interne audit, directiebeoordeling, non-conformiteit, corrigerende maatregelen en gedocumenteerd bewijsmateriaal dat nodig is om conformiteit en verantwoordingsplicht aan te tonen. Een centraal kenmerk van het beleid is de nadruk op gedefinieerde verantwoordingsplicht. Het topmanagement moet het PIMS-toepassingsgebied in REG01 goedkeuren vóór de initiële implementatie en binnen 30 dagen na elke wezenlijke wijziging, het beleid en de PIMS-doelstellingen jaarlijks in REG12 goedkeuren en tijdens de directiebeoordeling prestaties, openstaande risico's, non-conformiteiten, corrigerende maatregelen en verbeterbesluiten beoordelen. De Privacy Lead / PIMS Manager onderhoudt kernregistraties van het PIMS, waaronder contextkwesties, belanghebbenden, doelstellingen, de verklaring van toepasselijkheid, besluiten over risicobehandeling, de bewijsindex, metrieken, uitzonderingen, corrigerende maatregelen en registraties van beleidsbeoordelingen. Proceseigenaren classificeren de PIMS-rol van de organisatie voor elke verwerkingsactiviteit met PII voordat de verwerking begint, terwijl leveranciers-/inkoopeigenaren de verdeling van verantwoordelijkheden van gezamenlijke verwerkingsverantwoordelijken, klantinstructies voor verwerking, goedgekeurde regelingen voor subverwerking, leveranciersgovernance en extern geleverde PIMS-relevante processen documenteren. Het beleid koppelt PIMS-governance aan operationele beheersing. Een privacyrisicobeoordeling moet worden gestart voordat nieuwe of wezenlijk gewijzigde verwerking van PII begint, en de noodzaak van een DPIA moet worden vastgesteld voordat verwerkingsactiviteiten met hoog risico of wezenlijk gewijzigde verwerking door een verwerkingsverantwoordelijke doorgaan. Goedgekeurde besluiten over behandeling van privacyrisico's worden geregistreerd vóór implementatie van de behandeling, en systeemeigenaren moeten PIMS-operationele beheersmaatregelen bevestigen vóór livegang voor systemen die PII verwerken. De Information Security Lead is verantwoordelijk voor het documenteren van de toepasselijke beveiligingsbaseline voor PII en het onderhouden van de implementatiestatus van beveiligingsmaatregelen, waarbij privacygovernance wordt gekoppeld aan de beveiligingsbaseline voor persoonsgegevens en de verklaring van toepasselijkheid. Deze structuur helpt waarborgen dat toepassingsgebied, verwerkingsactiviteiten, toepasselijkheid van beheersmaatregelen, leveranciersregelingen en risicoregistraties op elkaar afgestemd blijven vóór directiebeoordeling en certificeringsgerelateerde wijzigingen. Het beleid definieert ook vereisten voor auditeerbaarheid en voortdurende verbetering. De Privacy Lead / PIMS Manager moet vóór elke interne audit een PIMS-bewijsindex onderhouden, gedocumenteerde informatie bewaren volgens vereisten voor bewaring van bewijsmateriaal, elk kwartaal prestatiemetrieken onderhouden en de status van doelstellingen rapporteren vóór directiebeoordeling. De minimale set metingen omvat het percentage verwerkingsactiviteiten binnen het toepassingsgebied met actuele rolclassificatie, het percentage toepasselijke beheersmaatregelen met actuele implementatiestatus, openstaande non-conformiteiten en achterstallige corrigerende maatregelen, en privacyrisicobeoordelingen die op goedkeuring wachten. Interne-audit-/nalevingsbeoordelaars moeten beoordelingsresultaten binnen 15 werkdagen rapporteren, tijdens interne audits de volledigheid van bewijsmateriaal steekproefsgewijs beoordelen, bewijsmateriaal voor afsluiting van verlopen uitzonderingen verifiëren en de doeltreffendheid van corrigerende maatregelen binnen 30 dagen na gemelde afsluiting verifiëren. Uitzonderingen, handhaving en onderhoud worden behandeld als formele PIMS-processen in plaats van informele afwijkingen. Aangevraagde uitzonderingen moeten worden gedocumenteerd voordat de afwijking plaatsvindt, vóór goedkeuring op privacyrisico worden beoordeeld en elk kwartaal tot afsluiting worden beoordeeld. Uitzonderingen die geaccepteerde drempels voor privacyrisico overschrijden, vereisen goedkeuring door het topmanagement vóór implementatie. Vermoede non-conformiteiten moeten binnen vijf werkdagen worden geregistreerd, achterstallige majeure corrigerende maatregelen moeten naar het topmanagement worden geëscaleerd en onopgeloste majeure non-conformiteiten moeten bij elke directiebeoordeling worden beoordeeld. Het beleid zelf wordt jaarlijks beoordeeld en binnen 30 dagen na wezenlijke wijzigingen in wetgeving, organisatie, verwerking, technologie of certificeringstoepassingsgebied, waarbij goedgekeurde wijzigingen binnen 30 dagen na publicatie in REG11 worden gecommuniceerd.