Bei diesem Beitrag wird mir aus der Seele gesprochen - gerade die aus dem QM bekannte Überprüfung der Korrekturmaßnahmen, in diesem Fall die Überprüfung des Systems anhand der Dokumentation nach einiger Zeit, wird sehr häufig vernachlässigt:

https://www.dr-datenschutz.de/it-prinzip-it-works-es-laeuft-auch-ohne-sicherheit-oder/