Am mai scris despre subiectul acesta, dar acum prezint perspectiva auditorului.

Am „construit„ un instrument de lucru (să îi spunem „working program„) (acum în Excel, în curînd în SharePoint) care să mă ajute atunci cînd, în cadrul unei misiuni de audit, ajung și la subiectul „protecția datelor personale„. Abordarea folosită este din teorie (COBIT+BMIS+ISO27701+Ghiduri WP29):

1. Am luat toate articolele GDPR și le-am împărțit în 4 domenii: Identificare date cu caracter personal; Guvernare și management; Protecție; Raportare. Fiecare domeniu are sub-domenii.
2. Articolele corespunzătoare fiecăruia dintre domenii le-am circumscris apoi, conform BMIS (vezi imaginea), pe 3 „subiecte„: People-Process-Technology (PPT)

3. Dacă avem „procese„ înseamnă că trebuie să avem și roluri („people„) asociate. Din acest motiv am luat în calcul: top-management, CISO, juridic, conformitate, DPO, HR, IT manager, data center manager manageri operaționali (per proces), marketing, persoana împuternicită….(aici m-am folosit de RACI chart din COBIT)

4. Am construit un set de peste 150 de întrebări împărțite pe subdomenii (aici m-am folosit de ISO27701 și WP29). Fiecărei întrebări i-am asociat articolul/articolele/pargraful/litera din GDPR.

5. Pentru fiecare întrebare la care răspunsul este „Nu„ am asociat o recomandare de tip „PPT„ (aici m-am folosit de Ghidurile WP29)

6. În funcție de numărul de răspunsuri „Da„ am asociat un nivel de maturitate al sub-domeniului revizuit: Inițial, Parțial, Optimizat (o adaptare după maturiy/capability level din COBIT)