Richtlinie für Verfahren für interne Datenschutz-Audits



Ähnliche Dokumente
Dok.-Nr.: Seite 1 von 6

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Internes Audit. Medizinische Universität Wien

Richtlinie zur Festlegung von Verantwortlichkeiten im Datenschutz

AKH-DER-P-5.3. Gültig ab: Version:1.0.1 Seite 1 von 5

eickert Prozessablaufbeschreibung Notarztdienst Bodenwerder, Anette Eickert 1 Prozessdaten 2 Zweck 3 Ziel 4 Prozessverantwortlicher

Internes Audit. Länderübergreifende Verfahrensanweisung. Inhalt. 1 Zweck, Ziel

Delta Audit - Fragenkatalog ISO 9001:2014 DIS

1 GELTUNGSBEREICH UND ZWECK

Lenkung der QM-Dokumentation

Lenkung von Dokumenten und Aufzeichnungen. Studienabteilung

Name Funktion Datum Unterschrift

Sanktionsreglement zu den Richtlinien für Regionalmarken. Eigentümer: IG Regionalprodukte Letzte Aktualisierung: Version: 4.

Managementbewertung Managementbewertung

Qualitätsmanagement: Dokumentieren. Kontrollieren. Verfolgen.

Abweichungen. Anforderungen / Zitate aus den Rechtsvorschriften

Dokumentenlenkung - Pflicht oder Kür-

Muster mit Beispiel Verifikation des Basis-Sicherheitschecks im Rahmen der Zertifizierung nach ISO auf der Basis von IT- Grundschutz

PB QMS-Umstellungsverfahren

Lenkung von Dokumenten

Verfahrensanweisung Umgang mit Beschwerden.doc INHALT

Hinweise zum elektronischen Meldeformular

Digital signierte Rechnungen mit ProSaldo.net

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH EN 16001

Beispielfragen L4(3) Systemauditor nach AS/EN9100 (1st,2nd party)

Brands Consulting D A T E N S C H U T Z & B E R A T U N G

GPP Projekte gemeinsam zum Erfolg führen

robotron*e count robotron*e sales robotron*e collect Anmeldung Webkomponente Anwenderdokumentation Version: 2.0 Stand:

LEISTUNGSBESCHREIBUNG ZERTIFIZIERUNG NACH VDA 6.X

Ihr Logo. Was ist ein Audit? Audit. Auditnachweise. Auditkriterien

1 Welche Veränderungen kann die Umsetzung eines Qualitätsmanagement-Systems in einer Organisation mit sich bringen?

Microsoft Office 365 Kalenderfreigabe

Dienstleistungsvertrag

Dokumentenarchivierung

Anleitung Software-Plattform Offline-Checklisten

Interne Audits - klassisch oder softwaregestützt? DGQ-Regionalkreis Schleswig-Holstein, IHK zu Kiel, Haus der Wirtschaft

SharePoint Demonstration

Zertifizierungsvorgaben zur ISO/TS 16949:2002 Regeln für die Anerkennung durch die IATF - 3. Ausgabe Häufig gestellte Fragen (FAQs)

Erstellung eines Verfahrensverzeichnisses aus QSEC

QMH Kundeninformation Update EWQ QMBox EWQ Technik. EWQ QMBox: Änderungen Version 7 (Technische Aufstellung)

1. In welchen Prozess soll LPA eingeführt werden und warum? (Auslöser und Prozess)

104 WebUntis -Dokumentation

Installationsanleitung. Novaline Datenarchivierung / GDPdU

Qualitätsaudits und Management-Review

Installieren von Microsoft Office Version 2.1

Dialyse Benchmark - Online so funktioniert s

Das vorliegende Dokument beinhaltet vertrauliche Informationen und darf nicht an Dritte weitergereicht werden.

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Telekommunikation Ihre Datenschutzrechte im Überblick

Sie haben das Recht, binnen vierzehn Tagen ohne Angabe von Gründen diesen Vertrag zu widerrufen.

Anlage eines neuen Geschäftsjahres in der Office Line

Überprüfung der digital signierten E-Rechnung

Homebanking-Abkommen

How to do? Projekte - Zeiterfassung

BSV Ludwigsburg Erstellung einer neuen Internetseite

Online Web-Portal für Lohnsummendeklarationen. Release 4.0. Benutzerhandbuch

Produktbeschreibung utilitas Ticketsystem

Installationsanweisung Gruppenzertifikat

Nutzung dieser Internetseite

ICS-Addin. Benutzerhandbuch. Version: 1.0

Anleitung zur Bearbeitung von Prüferkommentaren in der Nachreichung

Regelung zur Dokumentation

1. Sicherheitsprofilwechsel HBCI-Sicherheitsdatei

Tutorial. Wie kann ich meinen Kontostand von meinen Tauschpartnern in. übernehmen? Zoe.works - Ihre neue Ladungsträgerverwaltung

Schritte zum Systempartner Stufe Großhandel

STECKBRIEF 1 st, 2 nd, 3 rd PARTY AUDITOR

Online-Dienste des EPA

Dokumentenarchivierung mit SelectLine-Produkten

Sicherheitseinstellungen... 2 Pop-up-Fenster erlauben... 3

Arbeiten Sie gerne für die Ablage?

I n f o r m a t i o n s s i c h e r h e i t i n G e m e i n d e n B e v ö l k e r u n g s z a h l < 6 000

Sicherheit, Transparenz und Datenschutz. Die Qualitätssiegel des DDV bei Adressdienstleistungs- Unternehmen.

Abschnitt 2 Vier Fragen, jeweils 5 Punkte pro Frage erreichbar (Maximal 20 Punkte)

Quickreferenz V1.1. Frank Naumann

Import der Schülerdaten Sokrates Web

Zentraler Veranstaltungskalender der Hochschule Landshut

Benutzerhandbuch. Leitfaden zur Benutzung der Anwendung für sicheren Dateitransfer.

Solidpro Support- Richtlinien

Benutzeranleitung Service Desk Tool Erizone

END USER GUIDE IBS TICKET SYSTEM HOW-TO. Dokumenten Kontrolle. Version 1.1. Datum IBS Ticket System End User How-To D.doc.

Konzernrichtlinie der TÜV AUSTRIA HOLDING AG. zum Thema. Beschwerdeverfahren

Management von Beschwerden und Einsprüchen

Öffnen und Hochladen von Dokumenten

Die Beschreibung bezieht sich auf die Version Dreamweaver 4.0. In der Version MX ist die Sitedefinition leicht geändert worden.

nach 20 SGB IX" ( 3 der Vereinbarung zum internen Qualitätsmanagement nach 20 Abs. 2a SGB IX).

Der große VideoClip- Wettbewerb von Media Markt.

Neues Servicetool für Datensicherung und Automatische Datensicherung

Version NotarNet Bürokommunikation. Bedienungsanleitung für den ZCS-Import-Assistenten für Outlook

Insight aus der Webseite!

Microsoft Office 365 Domainbestätigung

Tutorial: Wie nutze ich den Mobile BusinessManager?

Qualitätsmanagement-Handbuch Das QM-System Struktur des QM-Systems

Ablauf Vorstellungsgespräch

Umgang mit der Software ebuddy Ändern von IP Adresse, Firmware und erstellen von Backups von ewon Geräten.

Anlegen eines Nebennutzers an der e Vergabe 5.0

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

AVE Verfahren Erst-Zertifizierung

Standard-Kontaktformular

Transkript:

Richtlinie für Verfahren für interne Datenschutz-Audits Freigabedatum: Freigebender: Version: Referenz: Klassifikation: [Freigabedatum] Leitung 1.0 DSMS 01-01-R-05 Inhaltsverzeichnis 1 Ziel... 2 2 Anwendungsbereich... 2 3 Politik... 2 4 Definitionen... 2 5 Zuständigkeiten... 2 6 Praxisteil... 2 6.1 Erstellung des Audit-Plans... 2 6.2 Qualifikation der Auditoren... 3 6.3 Terminierung der internen Audits... 3 6.4 Planung und Vorbereitung der internen Audits... 3 6.5 Durchführung des Audits... 3 6.6 Dokumentation des Audits, Feststellungen und Korrekturen... 3 6.7 Schließung des Audits... 4 6.8 Folgeaudits... 4 6.9 Weiterleitung der Ergebnisse an die Leitung... 4 6.10 Management-Reviews... 4 7 Die Ergebnisse der Audits werden vom Datenschutzbeauftragten zusammengefasst und im Rahmen des Dokumentenfreigabe... 4 8 Änderungshistorie... 5 9 Anlage... 5 9.1 Formular: Programm für interne Datenschutz-Audits (DSMS 01-01-F-03)... 5 9.2 Formular: Bericht zum internen Audit (DSMS 01-01-F-04)... 5 Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 1/5

1 Ziel Diese Richtlinie beschreibt verbindlich die Anforderungen an die Planung, Vorbereitung, Durchführung, Berichterstattung, Folgeaktionen und Beendigung von internen Datenschutz-Audits. 2 Anwendungsbereich Diese Richtlinie ist von der Leitung, den Verfahrensverantwortlichen und den Vertragsverantwortlichen und dem Datenschutzbeauftragten umzusetzen. 3 Politik Diese Richtlinie soll sicherstellen, dass ein unabhängiges System zur Überprüfung der Umsetzung sowie der permanenten Verbesserung des Datenschutz-Managementsystems eingesetzt wird. Dies wird mittels einer gelenkten Methode zur Planung, Terminierung, Koordination und Durchführung von Audits sowie die damit verbundenen Tätigkeiten erreicht. 4 Definitionen Audit Datenschutz-Management-Systems (DSMS) VerfahrenAbweichung Feststellung 5 Zuständigkeiten 1. Die Leitung ist für die Umsetzung dieser Richtlinie verantwortlich. 2. Die Leitung erstellt einen Audit-Plan. 3. Der Datenschutzbeauftragte bestimmt die Auditoren und koordiniert die Audits 4. Die Auditoren führen die Audits, dokumentieren die Audits und melden die Ergebnisse dem Datenschutzbeauftragten. 5. Die Audit-Abweichungen werden von den Verantwortlichen behoben. 6 Praxisteil 6.1 Erstellung des Audit-Plans Die Leitunghat einen Plan für Audits gemeinsam mit dem Datenschutzbeauftragten festzulegen, wobei der Datenschutzbeauftragte, in Abstimmung mit der Leitung, jährliche Audit-Schwerpunkte festlegt (in der Regel Audit eines Verfahrens). Im Audit-Plan werden der Anwendungsbereich und die Frequenz des Audit-Besuchs zusammen mit dem Auditor abgebildet. Der Audit-Plan wird von der Leitung überprüft und freigegeben. Die Leitung wird den Plan für Audits spätestens drei Monate vor dem ersten Audit-Termin vorschlagen. Bei der Terminierung des Audit-Besuchs sind folgende Aspekte zu beachten: Kommentar [SR1]: Alternative 2: Vollaudits: der den Anwendungsbereich des Datenschutz-Management- Systems abdeckt und er hat sicherzustellen, dass jeder Aspekt des Datenschutz-Management-Systems mindestens jährlich auditiert wird Geschäftsanforderungen, schwere der Feststellungen des vorhergehenden Audit-Besuchs, Audit-Besuche in der gleichen räumlichen Gegend, Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 2/5

aktuelle oder vorgeschlagene größere Änderungen an Prozessen, etc., jeder weitere gerechtfertigte Grund, der Auswirkungen auf die Terminierung des Audit- Besuchs Auswirkungen haben kann. 6.2 Qualifikation der Auditoren Audits werden einem Auditor zugewiesen, der für die jeweilige fachspezifische Audit-Art über eine entsprechende Qualifikation verfügt. Über die Angemessenheit der Qualifikation der Auditoren hat der Datenschutzbeauftragte zu entscheiden. Die Anforderungen an die Qualifikation der Auditoren legt der Datenschutzbeauftragte fest. Für die Durchführung fachspezifischen Audits können auch Dritte herangezogen werden. 6.3 Terminierung der internen Audits Der Datenschutzbeauftragte informiert die Auditoren über die bevorstehenden Audits, spätestens jedoch einen Monat vor dem Audit-Datum. 6.4 Planung und Vorbereitung der internen Audits Bei der Planung und Vorbereitung eines Audits hat der Auditor sicherzustellen, dass folgende Maßnahmen ergriffen werden: 1. Erstellung einer Audit-Checkliste und 2. Herstellung des Kontakts zur auditierenden Einheit, um einen für beide Seiten passenden Termin für das Audit festzulegen und den Audit-Umfang zu besprechen. 6.5 Durchführung des Audits Der Auditor führt die Prüfung anhand einer Checkliste als Leitfaden durch. Der Auditor zeichnet alle relevanten Details auf. Der Auditor erweitert seine Checkliste, wenn ergänzende Fragen notwendig sind, um die Einhaltung der festgelegten Anforderungen und die Effektivität der Elemente des Datenschutz-Managementsystems zu bestimmen. Vertraulichkeit während des Audits: Wenn bei einem internen Audit oder einer Prüfung durch Dritte der Zugriff auf Dateien oder Datenbanken notwendig ist, ist sicherzustellen, dass Maßnahmen ergriffen werden, die die Vertraulichkeit der personenbezogenen Daten wahren. Wenn es möglich ist, ist der Zugriff des Auditors soweit einzuschränken, dass er feststellen kann, dass eine Datei oder eine Datenbank existiert, sie eindeutig identifiziert und sicher ist. Wenn die Kontrolle des Inhalts wichtig ist, dann ist der Zugriff auf nicht-sensible Daten zu beschränken. Während eines Audits evaluiert der Auditor die festgestellten Nachweise und analysiert die scheinbaren Abweichungen um ihre Gültigkeit als Audit-Feststellungen sicherzustellen. Wenn Abweichungen gefunden worden sind und der Ergreifung von Korrekturmaßnahmen zugestimmt worden ist, zeichnet der Auditor die Korrekturmaßnahmen auf. Wenn Korrekturmaßnahmen während des Audits umgesetzt worden sind, sind die Abweichungen zu schließen. 6.6 Dokumentation des Audits, Feststellungen und Korrekturen Nach Abschluss eines Audits fertigt der Auditor einen formalen Audit-Bericht an. Der Audit-Bericht besteht aus 1. einem Deckblatt, 2. einem Audit-Protokoll, 3. einer Anzahl an dokumentierten Abweichungen, für jede Abweichung wird ein eigener Report angelegt, einschließlich der Abweichungen, die während des Audits abgestellt worden sind und Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 3/5

4. zusätzlichen en zu Beobachtungen. Die Audit-Feststellungen werden auf dem Audit-Deckblatt zusammengefasst, einschließlich einer fortlaufenden Nummer und der Natur der Abweichung. Wenn der Auditor unterstützende Dokumentationen nutzt, sollten diese Dokumente als Beobachtung dem Audit-Report beigefügt werden. Dies liegt im Ermessen des Auditors und sollte auf dem Audit- Deckblatt vermerkt werden. Der Auditor erhält die Unterschrift des Leiters der auditierten Einheit. Mit der Unterschrift erkennt der Unterschreibende die Feststellungen des Auditors sowie die Abweichung an. Eine Kopie des Audit- Deckblatts ist der auditierten Einheit auszuhändigen und der gesamte Audit-Bericht, zusammen mit allen Arbeitspapieren, ist an den Datenschutzbeauftragten zu übermitteln. Der Datenschutzbeauftragte wird alle Arbeitspapiere, die nicht Bestandteil des offiziellen Audit- Berichts sind, separat archivieren. Nach Erhalt des ausgefüllten Audit-Berichts, analysiert der Datenschutzbeauftragte den Audit-Report und behandelt jede Abweichung gemäß der Richtlinie Korrekturmaßnahmen und vorbeugende Maßnahmen. Dazu wird jeder Bericht über Abweichungen mit einer eindeutigen Nummer versehen und in die Übersicht über Abweichungen aufgenommen. 6.7 Schließung des Audits Wenn alle während des Audits festgestellten Abweichungen abgestellt worden sind, markiert der Datenschutzbeauftragte den Vorgang auf dem Audit-Deckblatt als geschlossen. Eine vollständige Kopie des Audit-Reports ist der auditierten Einheit zuzusenden. Die auditierte Einheit bestätigt, dass der Vorgang geschlossen werden kann. 6.8 Folgeaudits Wenn der Datenschutzbeauftragte berechtigte Gründe hat, zu glauben, dass die Ursache für eine Abweichung zu ähnlichen Abweichungen in anderen Einheiten führen kann, kann er Folge-Audits in den betroffenen Einheiten anordnen. Die Folge-Audits müssen im Einklang mit dieser Richtlinie geplant werden. Sollten Folge-Audits notwendig sein, so werden die Folge-Audits im Einklang mit dieser Richtlinie durchgeführt. 6.9 Weiterleitung der Ergebnisse an die Leitung Die Ergebnisse des Audits werden vom Datenschutzbeauftragten an die Leitung weitergegeben. 6.10 Management-Reviews 7 Die Ergebnisse der Audits werden vom Datenschutzbeauftragten zusammengefasst und im Rahmen des Dokumentenfreigabe Rolle Funktion Name des Freigebenden Freigabe Freigabe- Datum Autor Datenschutzbeauftragter Stephan Rehfeld Elektronische Freigabe Eigentümer Leitung Elektronische Freigabe Freigebender Leitung Elektronische Freigabe Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 4/5

8 Änderungshistorie Datum Revisionsnummer Autor Beschreibung der Änderung 1.0 Stephan Rehfeld Veröffentlichung der Arbeitsanweisung 9 Anlage 9.1 Formular: Programm für interne Datenschutz-Audits (DSMS 01-01-F-03) Name der Aufbewahrungs-Ort Verantwortlicher für Aufbewahrung Maßnahme zum Schutz der Aufbewahrungs- Dauer Programm für interne Datenschutz- Audits (in elektronischer Form) Rechner von [Stellenbezeichnung] Leitung Nur[Stellenbezeichnung] und der interne Auditor haben die Berechtigung für das Erstellen von Einträgen oder für Änderungen am Jährlichen Programm für interne Audits. Programme werden für die Dauer von 3 Jahren aufbewahrt Kommentar [DK2]: Üblicherweise die Person, die das Jährliche Programm genehmigt hat 9.2 Formular: Bericht zum internen Audit (DSMS 01-01-F-04) Name der Aufbewahrungs-Ort Verantwortlicher für Aufbewahrung Maßnahme zum Schutz der Aufbewahrungs- Dauer Bericht zum internen Audit (in elektronischer Form) Rechner des internen Auditors und von [Stellenbezeichnung] Interner Auditor Berichte werden schreibgeschützt gespeichert Berichte werden für die Dauer von 3 Jahren aufbewahrt Kommentar [DK3]: Üblicherweise in PDF-Format Referenz DSMS 01-01-R-05 Version 1.0 vom 18.3.2014 Seite 5/5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback