Policy för PIMS-övervakning, revision och förbättring

Policyn för PIMS-övervakning, revision och förbättring definierar organisationens krav för att utvärdera prestanda för ledningssystem för hantering av integritetsinformation inom övervakning, mätning, analys, utvärdering, internrevision, ledningens genomgång, hantering av avvikelser, korrigerande åtgärder och ständig förbättring. Det angivna syftet är att säkerställa att organisationen utvärderar PIMS-prestanda, verifierar PIMS-överensstämmelse, identifierar avvikelser, korrigerar kontrollbrister och ständigt förbättrar PIMS med objektivt underlag. Policyn gäller för alla PIMS-processer, kontroller, policyer, register, underlagsobjekt, system, leverantörer, personuppgiftsbiträden, underbiträden och upplägg för datadelning inom ISMS-omfattningen. Den omfattar även organisationens kontexter som personuppgiftsansvarig, gemensamt personuppgiftsansvarig, personuppgiftsbiträde och underbiträde, vilket gör den relevant för både integritetsstyrning och operativa säkerställandeaktiviteter. En utmärkande egenskap hos policyn är dess konsoliderade underlagsmodell. REG12 används som primär plats för övervakningsprogrammet, definitioner av mätetal, revisionsprogram, revisionsresultat, underlag för ledningens genomgång, avvikelser, korrigerande åtgärder, undantag och förbättringsåtgärder. Stödjande underlag kommer från REG01 till REG11, inklusive indata om behandlingsaktiviteter från REG02, status för säkerhetskontroller från REG03, uppdateringar av integritetsrisker från REG04, underlag för leverantörs- och personuppgiftsbiträdesförsäkran från REG08, trendindata för incidenter och personuppgiftsincidenter från REG10 samt status för genomförda utbildningar från REG11. Policyn kräver att Privacy Lead / PIMS Manager definierar mätmetoder, frekvens, underlagskälla, mål och ansvariga roller för varje PIMS-mätetal innan mätcykeln inleds samt konsoliderar resultaten kvartalsvis. Kraven för revision och granskning är strukturerade kring riskbaserad planering, dokumenterat underlag och oberoende. Internal Audit / Compliance Reviewer ska ta fram ett årligt riskbaserat PIMS-internrevisionsprogram i REG12 och definiera mål, kriterier, omfattning, metod, urvalsgrund och rapporteringsfrist innan fältarbetet inleds. Kontroller av revisorns oberoende och intressekonflikter ska registreras före varje revisionsuppdrag. Revisionsaktiviteter omfattar testning av tillämplig status för genomförande av PIMS-kontroller mot REG03, registrering av valda urval av underlag för behandling av personuppgifter och dokumentation av resultat inom 15 arbetsdagar efter slutförd revision. Accepterade iakttagelser ska tilldelas ägare för korrigerande åtgärder i REG12 inom 10 arbetsdagar från godkännande av revisionsresultatet. Ledningens genomgång, korrigerande åtgärder och förbättring är också strikt styrda. Högsta ledningen ska genomföra ledningens genomgång av PIMS minst årligen i REG12, med granskning av tidigare åtgärder, PIMS-prestandamätetal, status för integritetsmål, avvikelser, korrigerande åtgärder, övervakningsresultat, revisionsresultat, integritetsrisker, leverantörsförsäkran och indata om ändringar från intressenter. Avvikelser ska registreras, rotorsaker och planer för korrigerande åtgärder lämnas in, förfallodatum och acceptanskriterier godkännas, underlag för slutförande bevaras och effektivitet verifieras. Ständig förbättring drivs genom kvartalsvis granskning av övervakningsresultat, revisionsresultat, incidenttrender, status för integritetsrisker, status för leverantörsförsäkran och trender för korrigerande åtgärder. När samma iakttagelsekategori inträffar två eller fler gånger inom 12 månader kräver policyn att en systematisk förbättringsåtgärd skapas i REG12.