Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen.
DSGVO Artikel 5F

Die ISO 9001 definiert den Begriff der dokumentierten Information. Der Schutz dokumentierter Information wird in Kapitel 7.5 der ISO 9001 gefordert. Zu den wichtigsten Maßnahmen in diesem Zusammenhang zählen ein Berechtigungskonzept für die IT-Services, mit dem Ziel, den Zugriff auf die Daten zu beschränken, und die Datensicherung, die uns vor dem Verlust der Daten schützt.

Befugnisse der Beschäftigten des Unternehmens werden durch Rollen in den IT-Services abgebildet. Im QM-System unterscheiden wir Rollen der Organisation und in den Projekten. Die Rollen bestimmen, welche Daten sie sehen und mit welchen Funktionen sie die Daten bearbeiten können. Zugriffsrechte werden ausschließlich über die Mitgliedschaft in Gruppen im zentrale LDAP-Verzeichnis geregelt. Damit wissen wir, wer welche Daten verändern kann.

Die Quintessenz beim Schutz dokumentierter Information lässt sich auf zwei wesentliche Punkte reduzieren. Zum Einen ist es wichtig, dokumentierte Information nur dort aufzubewahren, wo sie erwartet wird und wo, also in welchem IT-Service, für ihren Schutz Sorge getragen wird. Zum Anderen ist es wichtig, die Befugnisse für den Zugriff auf dokumentierte Information auf Basis eines zentral gepflegten und dokumentierten LDAP-Verzeichnisses zu regeln. Damit ist das LDAP-Verzeichnis selbst eine sehr wichtige dokumentierte Information.