Beleid inzake privacyrisicobeoordeling en DPIA

Het beleid inzake privacyrisicobeoordeling en DPIA definieert hoe een organisatie privacyrisico's binnen de PIMS-reikwijdte identificeert, beoordeelt, behandelt, goedkeurt, beoordeelt en met bewijsmateriaal onderbouwt. Het doel is te waarborgen dat privacyrisico's en DPIA-verplichtingen worden behandeld voordat verwerking van persoonsgegevens een onaanvaardbaar risico voor betrokkenen of voor het privacy-informatiemanagementsysteem creëert. Het beleid is van toepassing op nieuwe en wezenlijk gewijzigde verwerkingsactiviteiten met persoonsgegevens in contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker. Het omvat ook systemen, toepassingen, diensten, bedrijfsprocessen, leveranciers, verwerkers, subverwerkers, internationale doorgiften en regelingen voor gegevensdeling die verwerking van persoonsgegevens beïnvloeden. Een centraal kenmerk van het beleid is het op REG04 gebaseerde operationele model. Privacyrisicoscreening, DPIA-screening, risicobeoordeling, behandelplannen, acceptatie van resterend privacyrisico, besluiten over raadpleging, goedkeuringen en beoordelingsstatus worden gedocumenteerd in REG04, met ondersteunend bewijsmateriaal gekoppeld aan REG02, REG03, REG08, REG09, REG10, REG11 en REG12. Het beleid vermijdt uitdrukkelijk het aanmaken van afzonderlijke DPIA-, risico- of raadplegingsregisters buiten REG04. Dit helpt om één audittrail voor bewijsmateriaal te behouden voor screeningsresultaten, volledige DPIA-besluiten, risicoclassificaties, eigenaren van behandeling, vervaldatums, resterend privacyrisico, goedkeuringsstatus en beoordelingsdatums. Het beleid stelt verplichte triggers vast voor privacyrisicoscreening en de bepaling of een volledige DPIA nodig is. Proceseigenaren/bedrijfseigenaren moeten REG04-screening starten voordat nieuwe of wezenlijk gewijzigde verwerking die in REG02 is vastgelegd, begint. Verwerking door een verwerkingsverantwoordelijke die waarschijnlijk een hoog risico oplevert, vereist een volledige DPIA voordat de verwerking begint. Het beleid benoemt verwerking met grootschalige activiteiten, systematische monitoring, profilering, geautomatiseerde besluitvorming, bijzondere categorieën persoonsgegevens, gegevens over strafrechtelijke veroordelingen of strafbare feiten, kwetsbare betrokkenen, innovatieve technologie en wezenlijke wijziging van de verwerking als onderwerpen die vóór de start van de verwerking aan de Privacy Lead/PIMS-manager moeten worden voorgelegd. Het vereist ook herscreening voordat persoonsgegevens voor een nieuw doel worden gebruikt, een nieuwe ontvanger wordt toegevoegd, een nieuwe verwerker of subverwerker wordt geïntroduceerd, de systeemarchitectuur wordt gewijzigd of een nieuwe internationale doorgifte wordt gestart. Risicobehandeling en escalatie zijn eveneens duidelijk gedefinieerd. Wanneer privacyrisico de goedgekeurde acceptatiedrempel overschrijdt, moet de proceseigenaar/bedrijfseigenaar een behandelplan in REG04 vastleggen voordat de verwerking doorgaat. Acties op het gebied van beveiliging, systeemontwerp, leveranciers, contractuele maatregelen en assurance worden toegewezen aan de relevante rol en moeten worden uitgevoerd vóór livegang, onboarding, verlenging of de goedgekeurde vervaldatum. Hoog resterend privacyrisico voor verwerking door een verwerkingsverantwoordelijke vereist goedkeuring door topmanagement voordat de verwerking begint of wordt voortgezet. Wanneer na behandeling een hoog resterend privacyrisico blijft bestaan, legt de Privacy Lead/PIMS-manager het besluit over voorafgaande raadpleging vast in REG04 en keurt topmanagement voortzetting, opschorting, herontwerp of raadplegingsacties goed voordat de verwerking doorgaat. Governance-, monitoring- en handhavingseisen waarborgen dat het proces actief blijft na initiële goedkeuring. De Privacy Lead/PIMS-manager beoordeelt openstaande privacyrisico's en achterstallige behandelacties maandelijks, rapporteert de status van privacyrisico's en DPIA's elk kwartaal en vóór de directiebeoordeling, en stemt actieve REG04-risicoregistraties af op REG02-registraties in de verwerkingsinventaris. Het beleid definieert metrieken voor screeningsdekking, actieve volledige DPIA's, achterstallige beoordelingen, hoge resterende privacyrisico's, status van behandelacties, gemiddelde afsluitingstijd, leveranciersacties, beveiligingsbehandelacties, incidentgedreven herbeoordeling en auditbevindingen. Uitzonderingen moeten vóór afwijking worden aangevraagd, worden beoordeeld op impact voor privacy, juridische zaken, certificering, operatie en betrokkenen, en een vervaldatum krijgen die niet langer is dan 90 dagen. Ontbrekend, onnauwkeurig, onvolledig, achterstallig of niet-goedgekeurd REG04-bewijsmateriaal wordt in REG12 als non-conformiteit behandeld.