LES I: DE DATA PROTECTION OFFICER/FG ? TAKEN, POSITIONERING EN FUNCTIEPROFIEL
In deze eerste les wordt op basis van relevante theorieën een focus aangebracht voor een goede vervulling van de taken, rollen en verantwoordelijkheden van de DPO/FG. U krijgt antwoord op vragen als: welke taken horen nu wel of juist niet bij de DPO/FG? Welke incompatibiliteitseisen gelden daarbij? Waar moet de DPO/FG idealiter worden gepositioneerd binnen een organisatie (organogram)? Hoe ziet het functieprofiel van een professionele DPO/FG eruit? Uit welke onderdelen bestaat dit functieprofiel en hoe moeten deze worden bewaakt? Na afronding van dit lesdeel kunt u deze vragen zelfstandig beantwoorden en kunt u alle onderwerpen uit deze les praktisch toepassen binnen uw eigen organisatie. De volgende onderwerpen komen aan de orde:
De DPO/FG in de Europese Data Protection Regulation (GDPR)Professionele kwaliteiten van de DPO/FGDeskundigheid op het gebied van wet- en regelgevingTaakgerichte competentiesMonitoren, informeren en adviserenDe contactfunctie van de DPO/FGDe positie van de DPO/FGGeheimhoudingsverplichtingenAccountability van de DPO/FGRelatie met de Autoriteit Persoonsgegevens (AP)CHECKLIST: Taken, positionering en functieprofiel van de DPO/FGLES II:
HET PRIVACYPLAN ? OPZET EN STRUCTUUR
In de tweede les staan het opzetten en praktisch uitwerken van een overkoepelend privacyplan centraal. In dit plan worden, aan de hand van 8 logische stappen, alle (hoofd)taken van de DPO/FG overzichtelijk op een rij gezet. Naast een uitgebreid toezichtsplan voor de dagelijkse praktijk, worden ook de taken op het gebied van 'informeren en adviseren' nader gedefinieerd en beschreven. De volgende onderwerpen worden behandeld:
Aanpak en inrichting van het inzichtStappenplanHet privacyprofiel van uw organisatieDe General Data Protection Regulation (GDPR) / Algemene Verordening Gegegevensbescherming (AVG)Privacy nulmetingPDCA-cyclusCompliance monitoringKlachtafhandelingInternationaal verkeer van persoonsgegevensKernpunten van toezichtsmanagementAccountabilityPrivacy governanceCHECKLIST: Opzet en structuur van het privacyplanLES III: HET PRIVACYPLAN ? STAP 1 Privacy visie, beleid en strategie
Een belangrijke succesfactor voor de uitvoering van de taken van de DPO/FG is de afstemming (alignment) met de diverse stadia van privacy ontwikkelingen binnen de eigen organisatie. Is er nog geen privacy visie binnen uw organisatie, dan moet hierover in concreto worden geadviseerd. Een belangrijke resultante van de privacy visie van uw organisatie is immers het daarop afgestemde privacy beleid, dat weer een belangrijk onderdeel is van het toezicht van de DPO/FG. Explicitering van de strategische doelen van uw organisatie, gekoppeld aan het privacy beleid, geeft de DPO/FG belangrijke richtsnoeren in het kader van het privacy toezicht en praktisch advies. Na bestudering van dit lesdeel kunt u als DPO/FG een effectieve en resultaatgerichte 'alignment' controle uitvoeren en het privacy plan optimaliseren. De volgende items worden behandeld:
Stappenplan privacy visie, beleid en strategiePrivacy profiel van uw organisatieStrategische privacy doelenGedrag en cultuurPrivacy e-learningPrivacy awareness programma: inhoud, opzet en managementCHECKLIST: Privacy visie, beleid en strategieLES IV: HET PRIVACYPLAN ? STAP 2 Inventarisatie van verwerkingen
Een noodzakelijke voorwaarde voor een effectief toezicht is basale kennis van persoonsgegevens die in de organisatie worden verwerkt. In deze les staat dan ook het maken van een profiel centraal als basis voor het inventariseren van persoonsgegevens ten behoeve van een effectief toezicht. Het houden van een openbaar register komt volgens de General Data Protection Regulation (GDPR) te vervallen. Toch is het hebben van een dergelijk overzicht van verwerkingen van persoonsgegevens belangrijker dan ooit. Waarom? Omdat het toezicht van de DPO/FG zich ook uitstrekt over de invulling van privacy zorgplichten door de verantwoordelijke (uw eigen organisatie). Na bestudering van dit lesdeel kunt u een inzichtelijk profiel van uw organisatie maken met als doel het inrichten van toezicht en het optimaliseren van het privacyplan. Aan de orde komen:
Stappenplan inventarisatie verwerkingen van persoonsgegevensDe rol van de DPO/FG bij het inventariseren van verwerkingenData flow proces schema'sPrivacy zorgplichten en inventarisaties van verwerkingenHet toezichtsprofiel van inventarisaties van verwerkingenInformeren en adviseren volgens de General Data Protection Regulation (GDPR)Belang van een goede inventarisatie voor de uitoefening van de taken van de DPO/FGRisico classificaties van inventarisaties; een praktische methodeCHECKLIST: Inventarisatie van verwerkingenLES V: HET PRIVACYPLAN ? STAP 3 Privacy awareness en privacy compliance op basis van de privacy nulmeting
Elk professioneel toezichtsplan begint met evidence-based informatie over de staat van privacy compliance: waar staat uw organisatie op het gebied van privacy compliance? Een privacy nulmeting is een effectieve manier om deze noodzakelijke evidence te creëren. Hoe zet u nu als DPO/FG een dergelijke nulmeting op en hoe richt u deze in? Hoe voert u een dergelijke privacy nulmeting praktisch uit? Wat zijn de do's en don'ts? Voor welke toezichtsdoeleinden kan een privacy nulmeting nog meer worden gebruikt? Wat is de relatie met de eerdere stappen in het toezichtsplan? Na afronding van dit lesdeel kunt u een effectieve en praktisch ingerichte nulmeting opzetten, inrichten en uitvoeren met als doel het optimaliseren van het privacyplan. De volgende onderwerpen worden behandeld:
Stappenplan privacy nulmetingDe toegevoegde waarde van een privacy nulmetingOpzetten van een privacy nulmetingBelang van data flow proces schema'sPrivacy zorgplichten in het perspectief van de privacy nulmetingInformeren en adviseren op basis van privacy nulmetingenToezicht en handhaving op basis van privacy nulmetingenAccountabilityCHECKLIST: Privacy nulmetingLES VI: HET PRIVACYPLAN ? STAP 4 De privacy gap-analyse
Op basis van het rapport van de privacy nulmeting wordt in de privacy gap-analyse een diepgaander onderzoek ingesteld naar hetgeen is geconstateerd. In dit onderzoek wordt een analyse van de huidige situatie, de gewenste situatie en de 'gaps' tussen deze twee situaties uitgevoerd. Het einddoel is om een helder en gestructureerd verbeterplan op te stellen en op basis van een privacy assessment (risico georiënteerd of DPIA gebaseerd) een lijst (checklist) met concrete acties te formuleren. Aan de orde komen:
Stappenplan privacy gap-analyseToegevoegde waarde van een privacy gap-analyseOpstellen van een privacy gap-analyseBelang van data flow proces schema'sPrivacy zorgplichten in het perspectief van de gap-analyseInformeren en adviseren op basis van privacy gap-analysesToezicht en handhaving op basis van privacy gap-analysesAccountabilityCHECKLIST: Privacy gap-analyseLES VII: HET PRIVACYPLAN ? STAP 5 Positionering van de DPO/FG in het privacy implementatieplan
Aan de hand van de resultaten en bevindingen uit de privacy nulmeting en privacy gap-analyse kan de DPO/FG vervolgens een helder en gestructureerd privacy implementatieplan opstellen. In deze les krijgt u antwoord op de volgende zaken:
Positionering en toegevoegde waarde van de DPO/FG in het privacy implementatieplanDe rol van de DPO/FG bij het bepalen van de ambitieniveausDe rol van de DPO/FG bij het vaststellen van een privacy maturity planDe rol van de DPO/FG bij het vaststellen van een privacy implementatieplanHet belang van data flow proces schema'sPrivacy zorgplichten in het perspectief van het implementatieplanInformeren en adviseren in het privacy implementatietrajectToezicht en handhaving gedurende het implementatietrajectAccountabilityCHECKLIST: Privacy implementatieplanLES VIII: HET PRIVACYPLAN ? STAP 6
Positionering van de DPO/FG in het evaluatie- en mitigatieplan
Stappenplan evaluatie- en mitigatieplanToegevoegde waarde van de DPO/FG in het evaluatie- en mitigatieplanRol van de DPO/FG bij het bepalen van de ambitieniveaus in het evaluatie- en mitigatieplanRol van de DPO/FG bij het vaststellen van mitigatiesRol van de DPO/FG bij het vaststellen van het evaluatie- en mitigatieplanBelang van data flow proces schema's in het evaluatie- en mitigatieplanPrivacy zorgplichten in het perspectief van het evaluatie- en mitigatieplanInformeren en adviseren in het evaluatie- en mitigatieplanToezicht en handhaving in het evaluatie- en mitigatieplanAccountabilityCHECKLIST: Evaluatie- en mitigatieplannenLES IX: HET PRIVACYPLAN ? STAP 7 Rol van de DPO/FG bij certificering en privacy keurmerk audits
Stappenplan certificering en auditingToegevoegde waarde van de DPO/FG in certificeringstrajectenDe rol van de DPO/FG bij het creëren van compliance evidenceDe rol van de DPO/FG bij het vaststellen van het certificeringstrajectDe rol van de DPO/FG als toezichthouder in het kader van een certificeringCHECKLIST: DPO/FG privacy certificeringToegevoegde waarde van de DPO/FG bij keurmerk auditsDe rol van de DPO/FG bij het creëren van compliance evidence voor keurmerk auditsDe rol van de DPO/FG bij het vaststellen van het privacy audit planDe rol van de DPO/FG in het kader van privacy keurmerk auditsCHECKLIST: Privacy keurmerk auditsLES X: HET PRIVACYPLAN ? STAP 8 Het integrale toezichtsmanagement model voor de DPO/FG
Privacy toezichtsmanagement planToezicht Key Performance Indicators (KPI's)Toezicht KPI's meerjaren perspectiefToezicht evidenceData flow proces management voor toezichtPrivacy zorgplichten in het perspectief van toezichtsmanagementInformeren en adviseren als onderdeel van het toezichtsmanagementToezicht en handhaving gedurende het implementatietrajectCHECKLIST: ToezichtsmanagementDE PROFESSIONELE DPO/FG ? INHOUDELIJK EXPERT
In de eerste 10 lesdelen van deze unieke cursus Certified European Data Protection Professional is, aan de hand van een aantal handige checklists, veel praktische informatie gedeeld ten behoeve van een modern en optimaal privacyplan voor de DPO/FG. Als DPO/FG wordt u als toezichthouder, informatiepunt/vraagbaak en adviseur ook (en vooral) geacht een inhoudelijk expert te zijn op diverse, voor uw organisatie relevante onderdelen. In de volgende lessen wordt u meegenomen in diverse diepte-analyses van voor u en uw organisatie relevante onderwerpen op het gebied van privacy en data protection. Tal van complexe en minder complexe zaken die van belang zijn voor u en uw organisatie worden diepgaand behandeld.
LES XI: DE DPO/FG ? INHOUDELIJKE VERDIEPING/1
Beveiliging van persoonsgegevensIn deze lesmodule leert u hoe u de eisen die de General Data Protection Regulation (GDPR) stelt aan de beveiliging van persoonsgegevens kunt vertalen in uitgangspunten voor het informatiebeveiligingsbeleid. Informatiebeveiliging is immers de basis van privacybescherming. U leert vervolgens het privacybeleid en het informatiebeveiligingsbeleid aan elkaar te relateren en indien gewenst met elkaar te integreren. Daarbij wordt vanzelfsprekend een relatie gelegd met de informatiebeveiligingsnormen (zoals bv. ISO 27001).Risico classificatie beveiliging van persoonsgegevensDe AVG schrijft voor dat uw organisatie passende technische en organisatorische maatregelen moet nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen moeten een passend beveiligingsniveau garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging en gelet op de risico's die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.De rol van de DPO/FG bij datalekkenDe meldplicht datalekken is een driedubbele meldplicht omdat datalekken moeten worden gemeld aan de Autoriteit Persoonsgegevens (AP) óf aan gedupeerden óf aan allebei. Het boeterisico is dubbel omdat u in geval van verzuim van de meldplicht in aanmerking komt voor de hoogste boete. Het datalek kan bovendien aanleiding geven tot onderzoek door de AP naar uw informatiebeveiligingsbeleid. Bij goede privacy governance valt u niets te verwijten, want u waarborgt dat gegevens steeds behoorlijk, zorgvuldig en in overeenstemming met de wet worden verwerkt. Good governance blijkt met name uit een coherente privacy management aanpak, de betrokkenheid van de DPO/FG conform het wettelijke profiel en een informatiebeveiligingsbeleid dat is gebaseerd op ISO 27001.
Sinds de meldplicht datalekken is ingevoerd kunt u dus geconfronteerd worden met zware boetes. Iets dat veel meer impact heeft, is dat de Autoriteit Persoonsgegevens (AP) kan eisen dat bij een datalek activiteiten stilgelegd worden. Als DPO/FG bent u de aangewezen persoon om de juridische impact van een datalek te verkleinen. Wanneer en aan wie moet u melden? Wat moet u doen om boetes te voorkomen?De rol van de DPO/FG in het kader van bewerkersovereenkomstenEen bewerkersovereenkomst is een begrip uit de privacy regelgeving. De bewerker is degene die, ten behoeve van de verantwoordelijke (uw organisatie), persoonsgegevens verwerkt zonder aan diens rechtstreekse gezag onderworpen te zijn. Welke rol dient de DPO/FG te spelen in het kader van een bewerkersovereenkomst en welke afspraken moeten in een bewerkersovereenkomst gemaakt worden?De rol van de DPO/FG in het internationale verkeer van persoonsgegevensVerwerking van persoonsgegevens van betrokkenen in de EU die plaatsvindt buiten de EU is aan strenge regels gebonden. Het is belangrijk dat persoonsgegevens ook in het internationale verkeer beschermd worden. De docenten nemen met u de voorwaarden door waaraan doorgifte van persoonsgegevens aan derde landen en/of internationaal opererende organisaties moet voldoen. Wat is de rol van de DPO/FG in het kader van de internationale bescherming van persoonsgegevens?LES XII: DE DPO/FG ? INHOUDELIJKE VERDIEPING/2 Praktische oplossingen en normenkaders voor de implementatie van beveiligingsmaatregelen ter waarborging van privacy
Normenkaders voor informatiebeveiliging: ISO27000, Information Security Forum, CoBit, NISTProcedurele en technische maatregelenRisico management vanuit de privacy principesPreventieve, detectieve, correctieve en repressieve maatregelenAfgeleide privacy principes naar maatregelenSamenhang van informatiebeveiliging en privacyPrivacy maatregelen uit de ISOAanvullende maatregelen uit andere normenkadersToetsing van maatregelenKPI's voor het waarborgen van privacyInterne en externe auditsResultaten van audits en toepassing als bewijslast bij de melding van een datalekVeiligstellen van bewijslastLES XIII: DE DPO/FG ? INHOUDELIJKE VERDIEPING/3
(Big) data: privacy en ethiekDe inzet van (big) data is niet alleen een technische, maar ook een ethische uitdaging. Uw organisatie dient na te denken over de ethische en privacy randvoorwaarden van data en deze in te bouwen in projecten (procesmatig) en in systemen (technisch ontwerp). In deze lesmodule worden alle vragen op het gebied van privacy en ethiek in de context van (big) data behandeld.Privacy by DesignPrivacy by Design houdt in dat u tijdens de ontwikkeling van producten en diensten (zoals informatiesystemen) aandacht besteedt aan privacy verhogende maatregelen, ook wel Privacy Enhancing Technologies (PET) genoemd. Daarnaast verwerkt u alleen die gegevens die noodzakelijk zijn voor het doel van de verwerking. Doet u dit niet dan is de kans groot dat u later, op grond van de wet, zeer tijdrovende en kostbare noodzakelijke aanpassingen moet doen. In deze lesmodule worden de achtergrond, de bedoeling en de betekenis van het principe 'Privacy by Design' toegelicht.Internet of Things (IoT): voorwaarden, voordelen en privacy issuesOok benieuwd hoe het Internet of Things (IoT) uw organisatie verder brengt? Hoe u hiermee bedrijfsprocessen versoepelt? Welke innovaties mogelijk zijn met IoT? In deze lesmodule wijden de docenten u in in de toepassingsmogelijkheden van het Internet of Things (IoT) en de voorwaarden, voordelen en privacy issues ervan.Privacy of ThingsBedrijven die apparaten, die via het internet met elkaar communiceren, aanbieden, moeten in hun privacy voorwaarden eveneens duidelijk zijn welke gegevens zij precies verzamelen en gebruiken, voor welk doel dat gebeurt en hoe lang ze deze gegevens bewaren.LES XIV: DE DPO/FG ? INHOUDELIJKE VERDIEPING/4
Privacy evidence voor de Autoriteit Persoonsgegevens (AP)Het overleggen van bewijs van het daadwerkelijk naleven van privacy verplichtingen richting de Autoriteit Persoonsgegevens (AP) staat hier centraal. Aan de hand van audit technieken leert u als DPO/FG welke bewijsmiddelen kunnen worden gehanteerd om deze 'evidence' vast te leggen.Privacy compliance instrumentenEr zijn verschillende instrumenten om te controleren of u persoonsgegevens op de juiste manier beschermt. Zo kunt u bijvoorbeeld een audit laten uitvoeren. Deze lesmodule geeft aan welke compliance instrumenten er zijn met betrekking tot privacy en hoe deze werken.Data Protection Impact Assessment (DPIA)Een Data Protection Impact Assessment (DPIA) wordt in sommige situaties impliciet of expliciet verplicht gesteld. U leert de verschillende soorten DPIA's kennen en u leert de noodzaak en opzet van een DPIA te bepalen voor verschillende organisatiespecifieke situaties. U zult in staat zijn een DPIA uit te voeren en de resultaten daarvan te beoordelen. In deze lesmodule worden de noodzaak en opzet van een Data Privacy Impact Assessment (DPIA) voor verschillende situaties behandeld.Privacy auditsIn deze lesmodule leert u de opzet van en de eisen die aan een privacy audit worden gesteld. U kunt de opdracht voor een privacy audit formuleren en toezicht houden op de uitvoering ervan.Privacy assurancePrivacy assurance is van groot belang voor uw organisatie, niet alleen vanwege de eisen die de wet stelt, maar ook vanwege de grote reputatieschade die uw organisatie kan oplopen als vertrouwelijke klantgegevens openbaar worden.Privacy keurmerkenDe Algemene Verordening Gegevensbescherming (AVG) onderstreept het belang van professionele gedragscodes en privacy keurmerken (seals). Het Nederlands Privacy Keurmerk (NPK) kan bij het creëren van 'evidence' in de zin van de AVG van doorslaggevende betekenis zijn. Het Nederlands Privacy Keurmerk speelt niet alleen een rol richting de Autoriteit Persoonsgegevens (AP), maar ook richting andere kwaliteitskaders (bijvoorbeeld HKZ), data governance, accountability richting andere stakeholders, accountants en last but not least, aansprakelijkheidsverzekeraars.LES XV: DE DPO/FG ? INHOUDELIJKE VERDIEPING/5
Privacy en profilingIn deze lesmodule leert u wat profiling inhoudt, in welke gevallen en onder welke voorwaarden profiling is toegestaan en welke procedures en maatregelen getroffen moeten worden om aan de regels die de General Data Protection Regulation (GDPR) aan profiling stelt te kunnen voldoen. U leert het privacy en compliance beleid zodanig in te richten dat u aan de voorwaarden op dit punt voldoet.Rechten van betrokkenenVoor de DPO/FG speelt de feitelijke rechtsbescherming van betrokkenen een steeds belangrijkere rol. Zo is het klachtrecht van betrokkenen in de General Data Protection Regulation (GDPR) verscherpt op het gebied van het 'recht op inzage' alsook het recht om materiële en immateriële schadevergoeding te vorderen wegens schending van de privacy en/of data protection.Privacy klachtenproceduresDeze lesmodule is speciaal ontwikkeld voor behandelaars van privacy klachten en privacy geschillen. Behandeld worden de speciale aspecten van klachtbehandeling als de klacht een schending betreft van de privacy en data protection.Privacy schadeclaimproceduresWanneer uw organisatie verantwoordelijk is voor schending van de privacy bent u volgens de wet verplicht in overleg te treden over de vergoeding van de schade aan de gedupeerde(n).