Beleid inzake privacyrollen, verantwoordelijkheden en verantwoordingsplicht

Het Beleid inzake privacyrollen, verantwoordelijkheden en verantwoordingsplicht definieert hoe de organisatie verantwoordelijkheden binnen haar privacy-informatiemanagementsysteem toewijst, documenteert, communiceert, beoordeelt en verbetert. Het toepassingsgebied omvat personeel, functies, systemen, leveranciers, verwerkers, subverwerkers en relaties met gezamenlijke verwerkingsverantwoordelijken die deelnemen aan of invloed hebben op de verwerking van persoonsgegevens binnen het PIMS-toepassingsgebied. Het beleid is van toepassing in contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, waardoor het relevant is voor de volledige set privacybedrijfsmodellen die in het document wordt beschreven. Het maakt ook duidelijk dat het geen nieuwe organisatorische functietitels creëert; in plaats daarvan definieert het canonieke PIMS-rollen die kunnen worden toegewezen aan bestaand personeel of bestaande functies wanneer de vereiste toewijzing, competentie, onafhankelijkheid en vereisten voor belangenconflicten zijn gedocumenteerd. Het beleid stelt een gestructureerd PIMS-rolmodel en een op bewijsmateriaal gebaseerde benadering van verantwoordingsplicht vast. Topmanagement moet het canonieke rolmodel in REG01 goedkeuren vóór de eerste implementatie en daarna jaarlijks. De Privacy Lead / PIMS Manager onderhoudt roltoewijzingen op naam, verantwoordelijkheidsgebieden en bevoegdheidsniveaus in REG01, inclusief actualiseringen na personele of organisatorische wijzigingen. Verwerkingseigenaarschap is gekoppeld aan REG02, waarin Process Owners / Business Owners verantwoordelijke eigenaren toewijzen voor elke verwerkingsactiviteit met betrekking tot persoonsgegevens voordat de verwerking begint, en System Owners / Application Owners verantwoordelijke systeemeigenaren documenteren vóór livegang. Eigenaarschap van leveranciers-, verwerkers-, subverwerkers- en gegevensdelingsrelaties met derden en relaties met gezamenlijke verwerkingsverantwoordelijken wordt vóór onboarding of goedkeuring van overeenkomsten vastgelegd in REG08. Een centraal onderdeel van het beleid is het beheer van rolcombinaties, functiescheiding en onafhankelijkheid. Het beleid staat praktische rolcombinatie toe, ook voor kleine en middelgrote organisaties, maar vereist documentatie voordat combinaties van kracht worden. Rolcombinaties waarbij de Privacy Lead / PIMS Manager, Data Protection Officer / Privacy Advisor, Information Security Lead, Incident Response Coordinator of Internal Audit / Compliance Reviewer betrokken zijn, vereisen goedkeuring door Topmanagement in REG01. De Internal Audit / Compliance Reviewer moet vóór elke audit of nalevingsbeoordeling in REG12 onafhankelijkheid documenteren ten opzichte van het PIMS-proces dat wordt beoordeeld. Wanneer conflicten in de functiescheiding niet kunnen worden vermeden, moeten compenserende beheersmaatregelen worden vastgelegd en moet de Data Protection Officer / Privacy Advisor binnen vijf werkdagen na identificatie zorgen over onafhankelijkheid of belangenconflicten vastleggen. Het beleid definieert ook verantwoordingsplicht binnen verantwoordelijkheden van verwerkingsverantwoordelijken, gezamenlijke verwerkingsverantwoordelijken, verwerkers en subverwerkers. Verwerking door een verwerkingsverantwoordelijke vereist vastgelegd verantwoordelijkheidseigenaarschap, eigenaarschap van het verwerkingsdoel en eigenaarschap van bewijsmateriaal in REG02 voordat de verwerking begint. Verdeling van verantwoordelijkheden bij gezamenlijke verwerkingsverantwoordelijken, eigenaarschap van klantinstructies voor verwerkers, eigenaarschap van toezicht op subverwerkers, goedkeuringsstatus en escalatiepaden voor verantwoordelijkheden van derden worden beheerd via REG08. De Privacy Lead / PIMS Manager verifieert rolclassificatieregistraties in REG02 en REG08 elk kwartaal en binnen 15 werkdagen na een wezenlijke wijziging. Het beleid vereist verder dat privacyadvies, input over verantwoordelijkheid voor de beveiliging van persoonsgegevens, verantwoordelijkheid voor escalatie van inbreuken en privacy-incidenten, onopgeloste geschillen over verantwoordelijkheden en rolgerelateerde escalaties worden gedocumenteerd in gedefinieerde bewijsobjecten. Governance, meting, uitzonderingen, handhaving en onderhoud zijn ingebouwd in het model voor verantwoordingsplicht. Topmanagement beoordeelt volledigheid, niet-ingevulde rollen, rolconflicten, uitzonderingen op verantwoordingsplicht en metrieken tijdens de directiebeoordeling. De Privacy Lead / PIMS Manager voert kwartaalbeoordelingen van verantwoordingsplicht uit, volgt niet-ingevulde en gecombineerde rollen, rapporteert voltooiing van rolbewustzijn, beheert uitzonderingen met gedefinieerde vervallimieten en registreert ontbrekende, onjuiste of verouderde toewijzingen als non-conformiteiten. Process Owners / Business Owners moeten de livegang van nieuwe of gewijzigde verwerking van persoonsgegevens voorkomen wanneer vereist rol- en verantwoordingsbewijsmateriaal ontbreekt. Internal Audit / Compliance Reviewers toetsen rolbewijsmateriaal, rapporteren bevindingen en verifiëren de doeltreffendheid van corrigerende maatregelen. Het beleid zelf moet jaarlijks en binnen 30 dagen na een wezenlijke wijziging van het PIMS-rolmodel worden beoordeeld.