Politika spremljanja, presoje in izboljševanja PIMS

Politika spremljanja, presoje in izboljševanja PIMS določa zahteve organizacije za ocenjevanje uspešnosti sistema upravljanja informacij o zasebnosti na področjih spremljanja, merjenja, analize, vrednotenja, notranje revizije, pregleda vodstva, obravnave neskladnosti, korektivnih ukrepov in nenehnega izboljševanja. Njen namen je zagotoviti, da organizacija ocenjuje uspešnost PIMS, preverja skladnost PIMS, identificira neskladnosti, odpravlja slabosti kontrol in PIMS nenehno izboljšuje z uporabo objektivnih dokazil. Politika se uporablja za vse procese PIMS, kontrole, politike, registre, dokazne objekte, sisteme, dobavitelje, obdelovalce, podobdelovalce in ureditve deljenja podatkov znotraj obsega PIMS. Zajema tudi kontekste organizacije kot upravljavca, skupnega upravljavca, obdelovalca in podobdelovalca, zato je pomembna tako za upravljanje zasebnosti kot za operativne dejavnosti zagotavljanja zaupanja. Opredeljujoča značilnost politike je njen konsolidirani model dokazil. REG12 se uporablja kot primarna lokacija za program spremljanja, opredelitve metrik, program presoj, rezultate presoj, dokazila o pregledu vodstva, neskladnosti, korektivne ukrepe, izjeme in ukrepe izboljševanja. Podporna dokazila izhajajo iz REG01 do REG11, vključno z vhodi o dejavnostih obdelave iz REG02, statusom varnostnih kontrol iz REG03, posodobitvami tveganj za zasebnost iz REG04, dokazili o zagotovilih dobaviteljev in obdelovalcev iz REG08, vhodi o trendih incidentov in kršitev iz REG10 ter statusom dokončanja usposabljanja iz REG11. Politika zahteva, da vodja zasebnosti / vodja PIMS pred začetkom merilnega cikla za vsako metriko PIMS opredeli metode merjenja, pogostost, vir dokazil, cilje in odgovorne vloge ter rezultate konsolidira četrtletno. Zahteve glede presoje in pregleda so strukturirane okoli načrtovanja na podlagi tveganj, dokumentiranih dokazil in neodvisnosti. Pregledovalec notranje revizije / skladnosti mora v REG12 pripraviti letni program notranjih presoj PIMS na podlagi tveganj ter pred začetkom terenskega dela presoje opredeliti cilj, merila, obseg, metodo, podlago za vzorčenje in rok poročanja. Pred vsako dodelitvijo presoje je treba evidentirati neodvisnost presojevalca in preverjanje nasprotij interesov. Dejavnosti presoje vključujejo testiranje statusa implementacije uporabljivih kontrol PIMS glede na REG03, evidentiranje izbranih vzorcev dokazil o obdelavi osebno določljivih podatkov in dokumentiranje rezultatov v 15 delovnih dneh po zaključku presoje. Sprejetim ugotovitvam je treba v REG12 dodeliti lastnike korektivnih ukrepov v 10 delovnih dneh po sprejemu rezultatov presoje. Pregled vodstva, korektivni ukrepi in izboljševanje so prav tako strogo nadzorovani. Najvišje vodstvo mora najmanj enkrat letno v REG12 izvesti vodstveni pregled PIMS, pri katerem pregleda predhodne ukrepe, metrike uspešnosti PIMS, status ciljev zasebnosti, neskladnosti, korektivne ukrepe, rezultate spremljanja, rezultate presoj, tveganja za zasebnost, zagotovila dobaviteljev in vhode o spremembah zainteresiranih strani. Neskladnosti je treba evidentirati, predložiti temeljne vzroke in načrte korektivnih ukrepov, odobriti roke zapadlosti in merila sprejemljivosti, hraniti dokazila o zaključku ter preveriti učinkovitost. Nenehno izboljševanje temelji na četrtletnem pregledu rezultatov spremljanja, rezultatov presoj, trendov incidentov, statusa tveganj za zasebnost, statusa zagotovil dobaviteljev in trendov korektivnih ukrepov. Kadar se ista kategorija ugotovitev pojavi dvakrat ali večkrat v 12 mesecih, politika zahteva, da se v REG12 ustvari sistemski ukrep izboljševanja.