Policy för hantering av dokumenterad information och underlag i PIMS

Policy för hantering av dokumenterad information och underlag i PIMS definierar obligatoriska krav för att styra hela livscykeln för dokumenterad information i ledningssystem för hantering av integritetsinformation. Omfattningen täcker skapande, godkännande, versionshantering, skydd, bevarande, hämtning, översättning, indragning och evidensföring av PIMS-poster. Policyn gäller PIMS-policyer, register, dokumenterade godkännanden, underlagsposter, revisionsbevis, underlag från ledningens genomgång, underlag för korrigerande åtgärder och styrda översättningar som används för att visa PIMS-överensstämmelse. Den är skriven för kontexter där organisationen agerar som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde eller underbiträde, vilket gör den tillämplig för de roller en organisation kan ha när den behandlar personuppgifter. En central egenskap i policyn är att den bygger på de kanoniska PIMS-underlagsobjekten REG01 till REG12 i stället för att skapa ett separat register för dokumentstyrning. Policyn anger att styrningsunderlag för dokumenterad information underhålls genom dessa underlagsobjekt, där REG03 och REG12 särskilt används för kontrollernas tillämplighet, revision, avvikelser, korrigerande åtgärder och förbättringsunderlag. Detta arbetssätt är avsett att motverka onödig dokumentstyrningsbyråkrati samtidigt som beredskap för revision bevaras för certifiering, kundförsäkran och ständig förbättring. REG12 används i stor utsträckning för index över dokumenterad information, åtkomstnivåer, känslighetsklassificeringar, godkännandestatus, versionshistorik, begäranden om hämtning, godkännanden av utlämnande, bevarandekategorier, indragningsstatus, undantag och uppföljning av korrigerande åtgärder. Policyn fastställer detaljerade kontroller för skapande, godkännande, versionshantering och publicering. Innan dokumenterad PIMS-information publiceras ska integritetsansvarig / PIMS-ansvarig tilldela dokumentidentifierare, ägare, versionsnummer, godkännandestatus, ikraftträdandedatum och granskningsdatum i REG12. Högsta ledningen ska godkänna centrala PIMS-policyer och väsentliga policyändringar före publicering, medan integritetsansvarig / PIMS-ansvarig godkänner underlagsmallar eller inbäddade registeravsnitt före operativ användning. Policyn kräver också att versionshistorik och ändringsmotivering registreras före frisläppande samt att kommunikation av godkända ändringar registreras i REG11 inom 30 dagar från publicering. Underlagskvalitet och spårbarhet behandlas som operativa krav, inte som frivilliga dokumentationsuppgifter. Integritetsansvarig / PIMS-ansvarig ska definiera namnkonventioner för underlag, stämma av REG03-kontrollreferenser mot policyunderlagsposter kvartalsvis och före extern revision samt tillämpa den godkända namnkonventionen för export innan underlag delas för certifieringsrevision, kundförsäkran eller regulatorisk respons. Processägare / verksamhetsägare ska säkerställa att behandlingsunderlag innehåller underlagsägare, datum, referens till behandlingsaktivitet, beslutsstatus och godkännandestatus innan det används som grund vid revision. Internrevision / granskare inom regelefterlevnad ska registrera brister i fullständighet, korrekthet eller spårbarhet under planerade revisioner eller granskningar av regelefterlevnad. Policyn definierar även kontroller för åtkomst, skydd, hämtning, utlämnande, bevarande, indragning, arkivering, bortskaffning och flerspråkig versionsstyrning. Åtkomstbegränsningar till arkiv ska registreras innan åtkomst beviljas och granskas kvartalsvis, och åtkomst till PIMS-underlag som innehåller personuppgifter ska godkännas innan den beviljas. Utlämnande av underlag till externa revisorer, kunder, personuppgiftsbiträden, personuppgiftsansvariga, tillsynsmyndigheter eller andra externa parter kräver godkännande och att omfattningen av utlämnandet registreras. Föråldrade versioner ska dras tillbaka inom definierade tidsramar, tidigare godkända policyversioner ska bevaras, och arkivering eller radering får inte ske förrän beroenden av revisionsspärr, juridiskt bevarande, incidentutredning eller korrigerande åtgärder har kontrollerats. Mätetal, undantagshantering, tillämpning och årliga granskningskrav säkerställer att dokumenterad information förblir aktuell, möjlig att hämta, skyddad och anpassad till PIMS:s behov av överensstämmelse.