BS 10012:2009 (British Standard 10012:2009) ist ein Standard für das Management personenbezogener Daten in Organisationen. Er bietet Organisationen eine Anleitung, wie sie die Sicherheit, Richtigkeit und Qualität personenbezogener Daten gewährleisten und die einschlägigen Datenschutzgesetze einhalten können. Der Anwendungsbereich des Standards gilt für alle personenbezogenen Daten, einschließlich manueller und automatisierter Informationen.
BS 10012:2009 umreißt die Anforderungen für die Verwaltung personenbezogener Daten innerhalb von Organisationen, die Prozesse und Verfahren für die Beschaffung, die Überprüfung, die Speicherung, den Schutz und die Entsorgung personenbezogener Daten umfassen. Der Standard behandelt auch die Notwendigkeit für Organisationen, ein Datensicherheitsmanagementsystem (DSMS) einzurichten und zu implementieren.
Die Norm verlangt von Organisationen, dass sie Verantwortlichkeiten für die Verwaltung und den Schutz personenbezogener Daten festlegen und zuweisen. Außerdem müssen Organisationen Richtlinien und Verfahren für die Verwaltung personenbezogener Daten sowie für die Sicherstellung ihrer Richtigkeit und Qualität entwickeln. Die Organisationen müssen außerdem ihre DSMS auditieren, um sicherzustellen, dass sie mit dem Standard übereinstimmen.
BS 10012:2009 verlangt von Organisationen, Verantwortlichkeiten für die Verwaltung und den Schutz von personenbezogenen Daten zu identifizieren und zuzuweisen. Schlüsselpersonen müssen identifiziert und ihnen Rollen und Verantwortlichkeiten zugewiesen werden, um sicherzustellen, dass personenbezogene Daten in Übereinstimmung mit dem Standard verwaltet werden.
Organisationen müssen einen Prozess für die Beschaffung, die Überprüfung, die Speicherung, den Schutz und die Entsorgung personenbezogener Daten einrichten und implementieren. Dazu gehört auch, dass personenbezogene Daten sicher aufbewahrt und nur an befugtes Personal weitergegeben werden.
Organisationen müssen auch ein DSMS einrichten, um sicherzustellen, dass personenbezogene Daten sicher und geschützt sind. Das System sollte Verfahren zur Kontrolle des Zugriffs auf personenbezogene Daten, zum Schutz vor unbefugter Nutzung oder Offenlegung und zur Überwachung ihrer Nutzung umfassen.
Organisationen müssen Grundsätze und Verfahren für den Datenschutz entwickeln, einschließlich der Art und Weise, wie personenbezogene Daten erfasst und verwendet werden, wie sie gespeichert und gesichert werden und wie sie entsorgt werden. Diese Richtlinien und Verfahren müssen regelmäßig überprüft und aktualisiert werden.
Organisationen müssen sicherstellen, dass personenbezogene Daten genau und aktuell sind und dass sie sicher aufbewahrt werden. Sie müssen auch sicherstellen, dass alle Änderungen an den Daten ordnungsgemäß dokumentiert werden.
Organisationen müssen ihre DSMS regelmäßig prüfen, um sicherzustellen, dass sie mit dem Standard übereinstimmen. Die Audits sollten Prüfungen der Sicherheitsmaßnahmen des Systems, der Datengenauigkeit und -qualität sowie der Datenschutzrichtlinien und -verfahren umfassen.