Αυτή η πολιτική εξηγεί πώς πρέπει να λαμβάνεται, να τεκμηριώνεται και να εφαρμόζεται η συναίνεση και η εξουσιοδότηση των χρηστών, ώστε να διασφαλίζεται νόμιμη και υπεύθυνη πρόσβαση σε οργανωτικά περιβάλλοντα.
Σκοπός αυτής της πολιτικής είναι ο καθορισμός των αρχών που διέπουν τη συναίνεση των χρηστών και την εξουσιοδότηση πρόσβασης σε συστήματα, δεδομένα και ψηφιακούς πόρους. Εφαρμόζεται σε εργαζομένους, διαχειριστές, συνεργάτες και κάθε άλλον εξουσιοδοτημένο χρήστη.
Η συναίνεση και η εξουσιοδότηση είναι διακριτές έννοιες. Και οι δύο απαιτούνται όταν αυτό προβλέπεται από τη νομοθεσία ή από εσωτερικούς κανόνες διακυβέρνησης.
Η συναίνεση αναφέρεται στη συνειδητή, εθελοντική και ρητή συμφωνία ενός χρήστη ή υποκειμένου δεδομένων για την παροχή πρόσβασης ή την εκτέλεση δραστηριοτήτων επεξεργασίας.
Η εξουσιοδότηση αναφέρεται στους τεχνικούς και διοικητικούς ελέγχους που καθορίζουν ποιες ενέργειες επιτρέπεται να εκτελεί ένας πιστοποιημένος χρήστης.
Η συναίνεση δεν παρέχει αυτόματα απεριόριστη πρόσβαση. Οι εξουσιοδοτήσεις πρέπει πάντα να περιορίζονται σε καθορισμένους ρόλους και σε νόμιμους σκοπούς.
Διοικητικά προνόμια, δυνατότητες παρακολούθησης και πρόσβαση σε ευαίσθητα συστήματα απαιτούν πρόσθετη αιτιολόγηση, τεκμηρίωση και αυξημένο έλεγχο.
Οι οργανισμοί είναι υπεύθυνοι για τη λήψη συναίνεσης των χρηστών πριν από την ενεργοποίηση πρόσβασης, παρακολούθησης ή δραστηριοτήτων επεξεργασίας δεδομένων, όταν αυτό απαιτείται από τον νόμο.
Η συναίνεση πρέπει να είναι σαφής, τεκμηριωμένη και να παρέχεται με τρόπο κατανοητό για τους χρήστες. Δεν πρέπει να χρησιμοποιούνται έμμεσοι ή κρυφοί μηχανισμοί συναίνεσης όταν απαιτείται ρητή συναίνεση.
Η πρόσβαση πρέπει να παρέχεται βάσει καθορισμένων ρόλων, αρμοδιοτήτων και λειτουργικών αναγκών. Η αρχή του ελάχιστου δικαιώματος πρέπει να εφαρμόζεται πάντοτε.
Οι εξουσιοδοτήσεις πρέπει να επανεξετάζονται τακτικά και να ενημερώνονται άμεσα όταν αλλάζουν οι ρόλοι ή όταν η πρόσβαση δεν είναι πλέον απαραίτητη.
Οι αποφάσεις σχετικά με τη συναίνεση και την εξουσιοδότηση πρέπει να τεκμηριώνονται ώστε να υποστηρίζονται εσωτερικοί έλεγχοι, επιθεωρήσεις και κανονιστικά αιτήματα.
Τα αρχεία πρέπει να αποδεικνύουν πότε δόθηκε η συναίνεση, ποια πρόσβαση εξουσιοδοτήθηκε και ποιος την ενέκρινε.
Η ευθύνη για τη λήψη συναίνεσης, τον καθορισμό κανόνων εξουσιοδότησης και την εφαρμογή ελέγχων πρόσβασης ανήκει αποκλειστικά στον οργανισμό. Παραβιάσεις αυτής της πολιτικής ενδέχεται να οδηγήσουν σε αναστολή πρόσβασης ή σε εσωτερικά πειθαρχικά μέτρα.