Kurzanleitung: Das globale Datenschutzprogramm von Coupa

Übersicht

Wir haben unser Datenschutzprogramm mit den folgenden Zielen konzipiert:

• Um die Compliance-Bemühungen unserer Kunden zu unterstützen und die internationale Präsenz unserer Kunden und unserer eigenen Aktivitäten widerzuspiegeln;
• Um sich an vertrauenswürdigen und getesteten Datenschutz- und Governance-Frameworks auszurichten, um die Robustheit unserer Datenschutzbemühungen zu gewährleisten
• Über die gesetzlichen Verpflichtungen hinauszugehen und die Erwartungen breiterer Interessengruppen zu erfüllen

In diesem Dokument erfahren Sie mehr über unser Datenschutzprogramm.

Weltweiter Geltungsbereich unseres Datenschutzprogramms

Das Datenschutzprogramm von Coupa ist der DSGVO, CCPA, CPRA, VCDPA, CPA, UCPA, CTDPA, FedRAMP, HIPAA, PIPEDA und den Datenschutzgesetzen von Mexiko, Brasilien, Kolumbien, Südafrika, Australien, Singapur, Japan, China, Indien und dem Vereinigten Königreich zugeordnet.

Wir haben analysiert, aus welchen Ländern die Nutzer unserer Kunden auf unsere Plattform zugreifen, und diese Gerichtsbarkeiten machen mehr als 90 % unserer Nutzer aus. Wir beobachten regulatorische Entwicklungen weltweit und bewerten ihre Auswirkungen auf unsere eigenen und die Aktivitäten unserer Kunden.

Unser Datenschutzprogramm wird regelmäßig überprüft und aktualisiert, um seine Relevanz zu erhalten. Alle Änderungen an unseren Produkten durchlaufen einen strengen Überprüfungsprozess, um sicherzustellen, dass die Datenschutzanforderungen eingebettet sind.

Vertrauenswürdige und geprüfte Datenschutz- und Governance-Frameworks

Das Datenschutzprogramm von Coupa ist ISO27701- und APEC PRP-zertifiziert und ist zusammen mit allen anderen wichtigen Compliance-Domänen in unseren Enterprise Risk Management-Prozess integriert. Auf diese Weise werden alle Compliance-Bemühungen koordiniert, und es gibt sowohl einen funktionsübergreifenden Informationsfluss von oben nach unten als auch von unten nach oben, um Compliance-Anforderungen und -Erwartungen zu verwalten.

Darüber hinaus verfolgen wir einen ganzheitlichen Ansatz für ein risikobasiertes Datenschutzprogramm, das mehr als nur regulatorische Risiken berücksichtigt. Um dies zu erreichen, haben wir Praktiken ausgereifter Governance-Rahmenbedingungen wie dem Sarbanes-Oxley Act eingeführt, um eine umfassende Risiko- und Kontrollmatrix für unsere Datenschutzaktivitäten zu schaffen. Dieser Ansatz stellt die Rechenschaftspflicht sowie das Design und die Betriebseffektivität unseres Datenschutzprogramms auf einer kontinuierlichen Basis sicher, bei der die Datenschutzkontrollen mit der gleichen Strenge wie für die Zwecke der Finanzberichterstattung dokumentiert werden.

Erfüllung der Erwartungen der Stakeholder über die gesetzlichen Verpflichtungen hinaus

Das Datenschutzprogramm von Coupa ist an den Nachhaltigkeitsstandards von GRI und SASB ausgerichtet, da wir glauben, dass Datenschutz mehr ist als nur die Einhaltung gesetzlicher Vorschriften. Wir betrachten Datenschutz als ein grundlegendes Menschenrecht, das sowohl die betroffenen Personen als auch unsere Gesellschaft betrifft.

Wir gehen davon aus, dass ESG-Standards Teil der obligatorischen externen Berichterstattungspraktiken werden, und wir haben unser Datenschutzprogramm entsprechend gestaltet, um diese Anforderungen zu erfüllen.

Wir vergleichen unser Datenschutzprogramm regelmäßig mit verschiedenen Reifegradmodellen und Best Practices, um es auf dem neuesten Stand und erstklassig zu halten. Das ComplOrg-Modell, das im Folgenden vorgestellt wird, beschreibt, wie Compliance-Domänen typischerweise im Laufe der Zeit in Organisationen reifen:

Reifegrade	Kurzbeschreibung
01      Sporadisch und ad-hoc	Der Fokus liegt auf den offensichtlichsten/kritischsten Bereichen, aber dies kann dazu führen, dass das Unternehmen vielen Compliance-Schwachstellen ausgesetzt ist
02      Geplant, aber nicht umfassend/dokumentiert	Es gibt einen bewussten Fokus auf die wichtigsten Bereiche, aber das Compliance-Programm ist möglicherweise nicht umfassend und/oder die Organisation ist möglicherweise nicht in der Lage, die Compliance nachzuweisen, wenn keine geeignete Dokumentation vorhanden ist
03      Umfassend und dokumentiert	Das Compliance-Programm ist umfassend und die Compliance-Aktivitäten werden dokumentiert
04      Ausgerichtet auf freiwilliges ESG	Compliance kann die freiwillige ESG-Berichterstattung mit den relevanten Daten und Metriken unterstützen, um die Erwartungen der wichtigsten Stakeholder zu erfüllen
05      Integrierte Compliance-Funktion	Alle Compliance-Domänen werden berücksichtigt, und es wird eine formelle Risikobewertung durchgeführt, um zu begründen, warum einzelne Domänen nicht als signifikant angesehen werden und warum sie aus dem Geltungsbereich der integrierten Compliance-Funktion ausgeschlossen werden
06      In ERM integriert	Compliance-Domänen sind mit der ERM-Funktion der Organisation verknüpft
07      In externe Berichterstattung integriert	Compliance-Domänen liefern Input für die obligatorischen externen Berichte der Organisation

Publikationen:

Wir haben eine Reihe von Dokumenten zu bestimmten datenschutzbezogenen Themen erstellt, die für Ihre Compliance-Bemühungen hilfreich sein können.

• Risikobewertung der DSGVO-Übertragung
• FISA-Erklärung
• Richtlinie zu Anfragen und Anfragen betroffener Personen
• Whitepaper zu Datenschutz und Sicherheit in China

Diese Unterlagen erhalten Sie auf Anfrage. Wenden Sie sich an Ihren Coupa-Kontakt, um sie zu erhalten.