Unbestrittenermassen müssen die Verfahren der Aufbewahrung und Archivierung dokumentiert werden (Art. 4 GeBüV). Die Grundanforderung besteht dabei darin, die Kernprozesse der Archivierung und Aufbewahrung zu verstehen und nachvollziehen zu können. Die Dokumentation dient primär dazu, die Ordnungsmässigkeit der eingesetzten Prozesse, Systeme und Verfahren (v.a. IKS) überprüfen zu können. Wie diese Dokumentation auszusehen hat, wird nicht bestimmt und wird der Praxis überlassen. Das Schweizerische Recht hat den ganzen Lebenszyklus im Auge, d.h. von der Entstehung der Daten bis zu deren Vernichtung. Umfang und Inhalt der Dokumentation hängen von der Art des Geschäfts und der Risikoexposition ab. Insofern kann es keine allgemein gültige Anweisung geben, wie diese Dokumentation auszusehen hat. Insbesondere ist es völlig unnötig, Komponenten und Prozesse zu beschreiben, die bereits dokumentiert sind (z.B. wie das Software Change Management funktioniert). Wie wir die Dokumentation gestalten und was wichtige Inhalte sind, erfahren Sie im Praxisleitfaden Information Governance.
Umgang mit Datenrisiken: Meldung Datenschutzverletzung
Eine Meldung Datenschutzverletzung oder "Data Breach Notification" bezieht sich auf den Prozess, bei dem eine Organisation oder ein Unternehmen dazu verpflichtet ist, die zuständigen Datenschutzbehörden und allenfalls auch betroffenen Personen über eine Verletzung der...
0 Kommentare