Policy för hantering av personuppgiftsincidenter och incidentanmälan i finanssektorn

Policy för hantering av personuppgiftsincidenter och incidentanmälan i finanssektorn definierar krav för att identifiera, rapportera, triagera, klassificera, bedöma, begränsa, anmäla, dokumentera, avsluta och förbättra hanteringen av personuppgiftsincidenter och anmälningspliktiga personuppgiftsincidenter inom PIMS-omfattningar i finanssektorn. Den gäller när organisationen agerar som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde i ett finanssektorsammanhang, och den omfattar även system, applikationer, tjänster, processer, leverantörer, personuppgiftsbiträden, underbiträden och tredje parter som behandlar, lagrar, överför, stödjer, får åtkomst till eller på annat sätt påverkar personuppgifter inom omfattningen. Policyn är uttryckligen utformad som en ersättningsvariant för finanssektorn till PII15, och den kräver att organisationer väljer antingen PII15 eller PII15-FS för samma omfattning för att undvika dubbla skyldigheter, register och arbete med revisionsbevis. Syftet med policyn är att säkerställa att personuppgiftsincidenter och anmälningspliktiga incidenter hanteras konsekvent, skyndsamt, lagenligt, säkert och med underlag som är redo för revision. REG10 – register över personuppgiftsincidenter och incidentanmälan etableras som primärt underlagsobjekt, medan stödjande register kopplar incidentposten till den bredare PIMS-underlagsmodellen. REG01 används för omfattning, intressenter, sektorsspecifik kontext, kundkontext, avtalskontext och rapporteringskontext. REG02 kopplar berörda behandlingsaktiviteter, kategorier av personuppgifter, kategorier av registrerade, ändamål, system och tjänster. REG03 fångar upp tillämpbarhetsförklaring och uppdateringar av kontrollernas tillämplighet, inklusive ersättningen av PII15 med PII15-FS. REG04 stödjer integritetsrisk, DPIA, kvarstående risk och riskbehandlingskoppling, medan REG08, REG09, REG11 och REG12 omfattar gränssnitt mot tredje part, internationella överföringar, utbildning samt revisionsunderlag eller underlag för korrigerande åtgärder. Operativt kräver policyn att varje rapporterad eller upptäckt misstänkt personuppgiftsincident i finanssektorn registreras i REG10 inom en arbetsdag från mottagandet, eller tidigare när tidsfrister för avisering, kundkommunikation eller rapportering kan utlösas. Incidenter ska klassificeras inom 24 timmar från mottagandet som en händelse utan personuppgifter, misstänkt personuppgiftsincident, bekräftad personuppgiftsincident, bekräftad anmälningspliktig personuppgiftsincident, personuppgiftsincident i finanssektorn, större incident i finanssektorn, betydande cyberhot eller post med väntande klassificering. Bedömning av en personuppgiftsincident ska beakta berörda personuppgifter, registrerade, system, tjänster, behandlingsaktiviteter, personuppgiftsbiträden, underbiträden, överföringar, risker, kunder, motparter och avhjälpande åtgärder. Policyn kräver också bevarande av underlag, begränsning inom definierade tidsramar, validering av återställning och dokumenterade avslutsbeslut som inkluderar klassificering, beslut om anmälan, begränsningsstatus, återställningsstatus, kvarstående risk, korrigerande åtgärder och underlagets fullständighet. Policyn skiljer mellan skyldigheter för personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde. Personuppgiftsansvariga ska registrera beslut om anmälan av personuppgiftsincident, ta fram underlag för anmälan till tillsynsmyndighet när detta krävs och granska kommunikation med registrerade när hög risk har identifierats. Personuppgiftsbiträden och underbiträden ska bedöma kundinstruktioner, avtalsenliga aviseringsskyldigheter, uppströms aviseringskedjor och krav på styrning av underlag, med poster som bevaras i REG08 och REG10. Ansvar för gemensamt personuppgiftsansvariga ska samordnas och dokumenteras före tillämpliga tidsfrister för extern avisering. För personuppgiftsincidenter med hög påverkan i finanssektorn och betydande cyberhot ska incidenthanteringskoordinatorn utvärdera rapporteringsutlösare enligt finanssektorns regulatoriska krav och bevara beslutsunderlag i REG10. Styrning, mätning och förbättring är inbyggda i policyns livscykel. Dataskyddsansvarig / PIMS-ansvarig ska granska öppna REG10-incidenter minst varje vecka fram till avslut, och högsta ledningen ska få eskalering för bekräftade incidenter med hög påverkan i finanssektorn, större incidenter eller betydande cyberhot inom 24 timmar efter klassificering. Mätetal omfattar månadsvisa antal misstänkta och bekräftade incidenter, anmälningspliktiga incidenter, större incidenter i finanssektorn och betydande cyberhot, samt tidsenlighet för anmälan av personuppgiftsincident, tidsenlighet för rapportering inom finanssektorn, begränsning, återställning, validering av återställning och svarsprestation hos tredje part. Policyn kräver dessutom årlig granskning, efterincidentgranskning efter större händelser, granskning av internrevision, hantering av undantag, tillämpning genom REG12-avvikelser och avhjälpande utbildning genom REG11 när brister i medvetenhet eller kommunikation uppstår.