1 Gegenstand der Prüfung von Managementsystemen sind insbesondere:
- die Datenschutzpolitik;
- die Dokumentation von Zielen, Risiken und Massnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit;
- die organisatorischen und technischen Vorkehrungen zur Umsetzung der festgelegten Ziele und Massnahmen, insbesondere zur Behebung von Mängeln.
2 Der EDÖB erlässt Richtlinien über die Mindestanforderungen an das Managementsystem. Er berücksichtigt dabei die internationalen Anforderungen an die Errichtung, den Betrieb, die Überwachung und die Verbesserung solcher Managementsysteme und insbesondere die folgenden technischen Normen:
- SN EN ISO 9001, Qualitätsmanagementsysteme, Anforderungen;
- SN EN ISO/IEC 27001, Informationstechnik, IT-Sicherheitsverfahren, Informationssicherheits-Managementsysteme, Anforderungen;
- SN EN ISO/IEC 27701, IT-Sicherheitsverfahren, Erweiterung zu ISO/IEC 27001 und ISO/IEC 27002 für das Management von Informationen zum Schutz der Privatsphäre, Anforderungen und Richtlinien.