Kritikalitätsbewertungen

Bei einer Kritikalitätsbewertung wird die Risikobewertung verwendet, um die anfängliche Risikostufe einer Verarbeitungsaktivität zu bestimmen. Anhand der resultierenden Kritikalitätspunktzahl kann das Datenschutzteam die Aktivität entsprechend priorisieren oder priorisieren. Ein Beispiel für einen Kritikalitätsfaktor könnten sein, dass anhand der Bewertungsfragen ermittelt wird, ob personenbezogene Daten in einer Weise verarbeitet werden, die wichtige Entscheidungen beeinflusst oder eine autonome Entscheidungsfindung ermöglicht.

Kritikalitätsbewertungen können mit einer der folgenden beiden Methoden durchgeführt werden.

Manuelle Kritikalitätsbewertung

Bei Verwendung der manuellen Methode initiiert ein Datenschutz-Manager die Kritikalitätsbewertung aus einer Verarbeitungsaktivität. Wenn Sie bereits an einer Verarbeitungsaktivität arbeiten und deren Relevanz bewerten möchten, können Sie diese Bewertung manuell mit der Aktion Kritikalität bewerten auf der Anwenderoberfläche auslösen. Wenn Sie die Kritikalitätsbewertung auslösen, berechnet das System automatisch die Kritikalitätspunktzahl basierend auf den bereits in den Feldern des Formulars „Verarbeitungsaktivität“ verfügbaren Informationen. Auf der Registerkarte Regulatorische Details einer Verarbeitungsaktivität können Sie die risikobezogenen Details angeben. Nach der Eingabe dieser Informationen werden beim Auslösen der Kritikalitätsbewertung diese Werte zur Berechnung der Risikopunktzahl verwendet. Das System kann die Kritikalitätspunktzahl bei manueller Auslösung mehrmals berechnen. Jedes Mal werden die neuesten Daten verwendet, die in den Feldern für Verarbeitungsaktivität und regulatorischen Details eingegeben wurden.

Automatisierte Kritikalitätsbewertung

Bei der automatisierten Methode verwendet der Datenschutzmanager die standardmäßig bereitgestellte automatisierte Risikobewertungsmethode für Kritikalitätsfaktoren (Automated Risk Assessment Methodology), um die Kritikalitätspunktzahl einer Verarbeitungsaktivität zu berechnen. Die Datenschutzmanager müssen diesen RAM veröffentlichen, bevor er verwendet werden kann. Standardmäßig wird der RAM im Status Entwurf bereitgestellt. Wenn ein Benutzer eine Screening-Bewertung durchführt, wird er aufgefordert, eine Reihe von Fragen zu beantworten, einschließlich Fragen zur Kritikalitäts- und Risikobewertung. Wenn der Benutzer bei der Überprüfungsbewertung Antworten auf diese kritikalitätsbezogenen Fragen gibt, berechnet das System automatisch die Kritikalitätsrisikopunktzahl. Die berechnete Punktzahl wird dann auf der Übersichtsseite angezeigt, wenn der Benutzer mit der Verarbeitungsaktivität fortfährt. Da jeweils nur zwei RAMs unterstützt werden, müssen alle anderen vorhandenen Kritikalitätsfaktoren-RAMs deaktiviert werden. Es ist wichtig zu beachten, dass alle laufenden Risikobewertungen, die diesem RAM zugeordnet sind, abgebrochen werden, wenn ein vorhandener Kritikalitätsfaktoren-RAM deaktiviert wird.

Bewertungen des Datenschutzrisikos

Datenschutzrisikobewertungen sind detaillierte Bewertungen, die durchgeführt werden, wenn die Kritikalitätspunktzahl hoch ist. Bewerten Sie jedes Risiko, das mit der Verarbeitungsaktivität verbunden ist, und kennen Sie die aggregierte Risikopunktzahl für die Verarbeitungsaktivität. Nachdem Sie die Datenschutzrisiken bewertet haben, können Sie die Datenschutzrisikosituation in der Risiko-Heatmap im Übersichtsbereich anzeigen. Die Heatmaps enthalten detaillierte Informationen zu Ihren inhärenten und Restrisiken. In der folgenden Abbildung können Sie verstehen, wie Sie die detaillierte Risikobewertung initiieren können.

Risiko-Heatmap-Punktzahlen

Die Ergebnisse der Risikobewertung und die Risiko-Heatmaps werden auf der Startseite der Verarbeitungsaktivität angezeigt (siehe folgende Abbildung).

Einzelheiten zur Durchführung von Risikobewertungen finden Sie unter Konfigurationen der Datenschutzbewertung.