Policy för hantering av incidenter som rör personuppgifter och personuppgiftsincidenter

Policyn för hantering av incidenter som rör personuppgifter och personuppgiftsincidenter definierar hur en organisation identifierar, rapporterar, triagerar, bedömer, begränsar, anmäler, dokumenterar, stänger och förbättrar hanteringen av incidenter som rör personuppgifter och personuppgiftsincidenter inom omfattningen för ledningssystem för hantering av integritetsinformation. Det uttalade syftet är att säkerställa att incidenter och personuppgiftsincidenter hanteras konsekvent, skyndsamt, rättsenligt, säkert och med underlag som har beredskap för revision. Policyn gäller i sammanhang där organisationen är personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde, och omfattar system, applikationer, tjänster, processer, leverantörer, personuppgiftsbiträden, underbiträden och tredje parter som behandlar, lagrar, överför, stödjer, får åtkomst till eller på annat sätt påverkar personuppgifter inom PIMS-omfattningen. En central del av policyn är dess integrerade underlagsmodell. REG10 – register över incidenter som rör personuppgifter och personuppgiftsincidenter är det primära underlagsobjektet för incident- och personuppgiftsincidenthantering, medan stödjande register ger kontext och spårbarhet. REG01 stödjer kontext för omfattning, rättsliga krav, avtalskrav, sektorskrav, kundkrav och rapportering. REG02 kopplar berörda behandlingsaktiviteter, kategorier av personuppgifter, kategorier av registrerade, ändamål och system. REG04 stödjer koppling till integritetsrisk, DPIA och kvarstående risk. REG08 registrerar incidentgränssnitt med personuppgiftsbiträden, underbiträden, kunder, leverantörer och tredje parter. REG09 används när incidenter påverkar gränsöverskridande behandling, REG11 stödjer underlag för utbildning och kompetens, och REG12 fångar underlag för revision, avvikelse, korrigerande åtgärder och förbättring. Denna struktur bidrar till att säkerställa att incidentposter inte isoleras från det bredare PIMS. Policyn anger detaljerade krav på beredskap, mottagning, klassificering, bedömning av personuppgiftsincident, begränsning, återhämtning, anmälan, kommunikation, skydd av underlag och erfarenhetsåterföring. Misstänkta incidenter som rör personuppgifter ska registreras skyndsamt, och varje rapporterad eller upptäckt misstänkt incident ska föras in i REG10 inom en arbetsdag från mottagandet, eller tidigare när tidsramar för anmälan eller kundrapportering kan utlösas. Teknisk triagering av säkerhetshändelser som rör personuppgifter ska slutföras inom 24 timmar efter upptäckt, och varje REG10-post ska klassificeras som en händelse som inte rör personuppgifter, misstänkt incident som rör personuppgifter, bekräftad incident som rör personuppgifter eller bekräftad personuppgiftsincident inom 24 timmar från mottagning, om inte skälet till väntande klassificering dokumenteras. För bedömning av personuppgiftsincident kräver policyn identifiering av berörda behandlingsaktiviteter, kategorier av personuppgifter, kategorier av registrerade, system, personuppgiftsbiträden, underbiträden, överföringsplatser och integritetsrisker innan beslut om anmälan färdigställs. Anmälnings- och kommunikationsskyldigheter skiljs åt efter roll. För personuppgiftsansvariga kräver policyn dokumenterade beslut om regulatorisk anmälan för varje bekräftad personuppgiftsincident utan onödigt dröjsmål, där anmälan, motivering till att inte anmäla eller motivering till fördröjning bevaras i REG10. När kommunikation till berörda registrerade utlöses kräver policyn att innehåll, målgrupp, tidpunkt, leveransmetod och godkännandeunderlag registreras. För personuppgiftsbiträden och underbiträden kräver policyn anmälan till berörda personuppgiftsansvariga, kunder, uppströms personuppgiftsbiträden eller godkända avtalskanaler utan onödigt dröjsmål och inom tillämpliga avtalsfrister. För personuppgiftsincidenter med hög påverkan kräver den också utvärdering av rapporteringsutlösare av rättslig, sektorsspecifik, finanssektorsrelaterad, cybersäkerhetsrelaterad, avtalsrelaterad, kundrelaterad och tjänstemottagarrelaterad karaktär där detta är tillämpligt. Styrning, mätning och förbättring är inbyggda i processen. Dataskyddsansvarig / PIMS-ansvarig äger processen för incident- och personuppgiftsincidenthantering och ska säkerställa att REG10 underhålls fram till stängning. Incidenthanteringskoordinatorn hanterar mottagning, triagering, arbetsflöde för begränsning, statusuppföljning, stängning och erfarenhetsåterföring. Informationssäkerhet leder teknisk utredning, begränsning, eliminering, återhämtning, bevarande av underlag och rotorsaksanalys där system eller säkerhetskontroller berörs. Högsta ledningen får eskalering för bekräftade personuppgiftsincidenter med hög påverkan inom 24 timmar efter klassificering och granskar incidenter med hög påverkan, rapporteringspliktiga överträdelser, försenade korrigerande åtgärder och väsentlig påverkan under ledningens genomgång. Mätetal omfattar incidentvolymer, tidsåtgång för klassificering och begränsning, punktlighet i anmälningar, ålder på korrigerande åtgärder, svarsprestation från tredje part och genomförande av övningar. Policyn kräver även årlig granskning, efterincidentgranskning efter incidenter med hög påverkan eller bekräftade personuppgiftsincidenter samt årlig internrevisionsgranskning av genomförandet.