DATA PROTECTIE OFFICER (DPO)

Transcriptie

1 PRAKTIJKOPLEIDING DATA PROTECTIE OFFICER (DPO) FUNCTIONARIS VOOR GEGEVENSBESCHERMING (FG) ERKEND DOOR HET NEDERLANDS REGISTER PRIVACY OPLEIDINGEN NRPO

2 5-DAAGSE PRAKTIJKOPLEIDING DATA PROTECTIE OFFICER (DPO) Volledige, actuele en direct toepasbare kennis voor het implementeren en borgen van privacy & dataprotectie in uw organisatie 2 KIES DE OPTIE DIE BIJ U PAST 2-Daagse opleiding met stappenplan, praktijkopdrachten en examen 5-Daagse opleiding met stappenplan, roadmaps, uitgebreide IT en Security, praktijkopdrachten en examen In-company opleiding, toegespitst op de praktijk van uw eigen organisatie en optioneel examen

3 DATA PROTECTIE OFFICER (DPO/FG) VERPLICHT Vanaf 25 mei 2018 zijn alle overheidsinstanties, publieke organisaties en bedrijven (onder omstandigheden) verplicht een Data Protectie Officer (DPO/FG) aan te stellen. Een Data Protectie Officer (DPO/FG) houdt toezicht op de toepassing en naleving van de nieuwe Europese privacy wetgeving. Daarnaast informeert, adviseert en rapporteert de DPO/FG over de mate waarin het privacy- en beveiligingsbeleid gerealiseerd en geborgd is. Burgers, patiënten, personeelsleden e.a. kunnen bij de Data Protectie Officer (DPO/FG) terecht voor informatie over hun verwerkte persoonsgegevens en voor klachten. GROTE VERANTWOORDELIJKHEID VAN DE DATA PROTECTIE OFFICER (DPO/FG) De Europese Algemene Verordening Gegevensbescherming (AVG) wordt gekenmerkt door vele onduidelijkheden. Wat wel duidelijk is, is dat u tal van nieuwe verplichtingen krijgt plus de verantwoordelijkheid (accountability) om aan te tonen dat u zich aan de wet houdt. In deze complete en actuele opleiding worden alle eisen waaraan met name organisaties in uw organsatie moeten voldoen behandeld. Tal van specifieke en complexe onderwerpen op het gebied van privacy en dataprotectie in publieke organisaties komen aan bod, zoals PIA s, Big Data, privacy awareness, privacy en de WOB, de WED en privacy bij publiekszaken. Er is ruimschoots gelegenheid uw vragen te stellen aan de zeer deskundige docenten. 3 DATA PROTECTIE OFFICER (DPO/FG) - NIEUWE PROFESSIONELE KENNIS EN VAARDIGHEDEN Als Data Protectie Officer (DPO) dient u niet alleen juridisch deskundig te zijn, maar moet u ook verstand hebben van o.m. informatiebeveiliging (security), IT, compliance, audit, risk management en administratieve organisatie (AO). Aan de publieke Data Protection Officer (DPO) worden daarnaast nog tal van specifieke eisen gesteld. Denk bijvoorbeeld aan gekwalificeerde integriteitsnormen, bijzondere rechtskennis, transparantie en privacy data governance. Actuele vakkennis en deskundigheid op al deze gebieden, conform de eisen die de nieuwe AVG stelt, lijkt haast een onmogelijkheid. De zeer deskundige docenten van deze 5-daagse praktijkopleiding gaan ervoor zorgen dat u tijdig en evidence-based in uw organisatie over voldoende kennis en expertise beschikt om aan deze uitdaging het hoofd te bieden.

4 SUCCESFORMULE VAN DEZE PRAKTIJKOPLEIDING DATA PROTECTIE OFFICER (DPO/FG) De succesformule van deze praktijkopleiding is gebaseerd op het toetsen of u beschikt over alle noodzakelijke, actuele (theoretische) kennis en met name op het praktisch kunnen toepassen van de nieuwe privacy wetgeving. Voor alle DPOs zal het een behoorlijke uitdaging zijn om de theorie om te zetten naar de praktijk. Het vereist het nodige uitzoekwerk en ervaring om deze vertaalslag te kunnen maken. Uw zeer ervaren en toonaangevende experts op het gebied van privacy en dataprotectie zullen u met raad en daad en vele tips terzijde staan. Aan de hand van diverse praktijkopdrachten en een examen (thuisopdracht) kunt u zelf toetsen welke kennis en deskundigheid bij u (eventueel) nog ontbreken. VOOR WIE IS DEZE PRAKTIJKOPLEIDING ONMISBAAR? De verplichting tot het aanstellen van een Data Protectie Officer (DPO) geldt voor alle overheidsorganisaties en vrijwel alle organisaties in uw organsatie en voor niet-publieke organisaties die zich persoonsgegevens verwerken. De opleiding is met name bedoeld voor (toekomstige) Data Protectie Officers (DPOs/FGs) en iedereen die zijn of haar kennis over privacy en dataprotectie wil actualiseren en toetsen en/of medeverantwoordelijk is voor de verwerking en beveiliging van persoonsgegevens. Daarnaast denken wij o.a. aan privacy functionarissen, CISO s, informatiebeveiligers, compliance officers, beveiligingsbeheerders BRP, IT security managers, security officers Suwinet, IT managers, (staf)juristen, privacy juristen, beleidsmedewerkers (juridische zaken), (overheids)accountants, advocaten, informatiemanagers, informatie analisten, data managers, projectmanagers privacy, (privacy) auditors, fraude en/of veiligheidscoördinatoren, coördinatoren toezicht, klachtenfunctionarissen, risk managers, HR managers, (juridische)controllers en Business Intelligence (BI) professionals. 4 DATA PROTECTIE OFFICER (DPO) BEROEPSREGISTER Er bestaat nog geen van overheidswege erkend beroepsregister voor Data Protectie Officers (DPOs), ook al pretenderen sommige partijen deze wel te hebben. Er is derhalve ook geen officiële Data Protectie Officer (DPO) titel in omloop. Naar verwachting zal de Europese Commissie pas in 2019/2020 met richtlijnen voor privacy toezichthouders komen om Europese en nationale criteria vast te stellen.

5 Na het volgen van deze praktijkopleiding kunt u zich Data Protectie Officer (DPO) noemen. U ontvangt van ons een certificaat van deelname en u wordt indien gewenst - ingeschreven in het Nederlandse Register voor Privacy Opleidingen (NRPO). Dit register heeft juridisch gezien dezelfde status als ieder ander certificaat/register in Nederland. CURSUSMATERIAAL Naast de zeer uitgebreide cursusmap ontvangt u bij deze unieke praktijkopleiding het handboek Data Protectie Officer (DPO/FG), voorzien van roadmaps, tabellen, diagrammen en checklists voor de dagelijkse praktijk (t.w.v. 100,-). VOORKENNIS U heeft geen specifieke voorkennis nodig om deze praktijkopleiding succesvol te kunnen doorlopen. De 5-daagse opleiding Privacy & Dataprotectie in uw organsatie wordt gegeven op HBO/Bachelor niveau. 5

6 MODULE 1 KERNPUNTEN AVG DAG 1 ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) KERNPUNTEN GDPR/AVG implementatiewet, implementatieplan en implementatieprocessen Compliance in 5 stappen De rol van de DPO/FG bij implementatie De rol van het (lijn)management bij de implementatie Do s en don ts bij de implementatie van de EU GDPR/AVG De bijzondere juridische privacy context Van WP 29 naar EDPB Richtlijnen en Richtsnoeren van de AP Het NGFG 6 DE ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) PRAKTISCHE IMPLEMENTATIE Het AVG implementatiemodel (5 logische stappen) Rol, positie en taken van het implementatieteam Profiel samenstelling van het implementatieteam Alignment met privacy visie, missie en strategie Implementatiematrix GDPR/AVG Implementatie transponering privacy principles Implementatie van harde en zachte privacynormen Implementatie transponering privacy principles, rechten van betrokkenen, bewerkers overeenkomsten, gegevensverstrekking buiten de EU Bezwaar-, beroep- en klachtenprocedures Toezicht, rol, positie en taken van de DPO/FG Informatie- en adviesplicht van de DPO/FG

7 De rol van DPIA s (Data Protectie Impact Assessments) Risicobeoordelingen DPIAs Evidence produceren Data governance Geheimhoudingsplicht van het implementatieteam PRAKTIJKOPDRACHT MAAK EEN PLAN VAN AANPAK VOLGENS DE AVG TAKEN, POSITIONERING EN FUNCTIEPROFIEL VAN DE DATA PROTECTIE OFFICER (DPO/FG) Professionele kwaliteiten van de Data Protectie Officer (DPO/FG) Deskundigheid op het gebied van wet- en regelgeving Taakgerichte competenties Monitoren, informeren en adviseren De contactfunctie van de publieke DPO/FG De positie van de publieke DPO/FG Geheimhoudingsverplichtingen Accountability van de publieke DPO/FG Relatie met de Autoriteit Persoonsgegevens (AP) 7 PRAKTIJKOPDRACHT MAAK EEN FUNCTIEPROFIEL VAN DE DATA PROTECTIE OFFICER (DPO/FG) VOOR UW EIGEN ORGANISATIE OPZET EN STRUCTUUR VAN HET PRIVACY PLAN Het privacy profiel van uw organisatie Privacy nulmeting PDCA cyclus Compliance monitoring Klachtafhandeling

8 Internationaal verkeer van persoonsgegevens Kernpunten van toezichtsmanagement Accountability Privacy governance MODULE 2 WERKPLAN VAN DE DATA PROTECTIE OFFICER DAG 2 HET WERKPLAN VAN DE DATA PROTECTIE OFFICER (DPO/FG) Het privacyplan privacy visie, beleid en strategie 8 Stappenplan Privacy profiel van uw organisatie Strategische privacy doelen Gedrag en cultuur Privacy awareness programma: inhoud, opzet en management INVENTARISATIE EN REGISTER VAN VERWERKINGEN Stappenplan De rol van de publieke Data Protectie Officer (DPO/FG) bij het inventariseren van verwerkingen Data flow proces schema's Privacy zorgplichten en inventarisaties van verwerkingen Toezichtsprofiel van inventarisaties van verwerkingen

9 Informeren en adviseren volgens de AVG/GDPR Belang van een goede inventarisatie voor de uitoefening van de taken van de DPO/FG Een praktische methode voor risicoclassificaties van inventarisaties DE PRIVACY NULMETING, PRIVACY AWARENESS EN PRIVACY COMPLIANCE Stappenplan De toegevoegde waarde van een privacy nulmeting Opstellen van een privacy nulmeting Belang van data flow proces schema's Privacy zorgplichten in het perspectief van de privacy nulmeting PRIVACY AWARENESS IN UW ORGANSATIE Opzet en structuur van een privacy awareness programma in het publieke domein Cultural Change Management (CCM) Effectief stimuleren van privacy bewustwording Nut en noodzaak van passende maatregelen Bevorderen van samenwerking met stakeholders Omgang met conflicten Omgang met belangenverstrengelingen Opzet van een effectieve klachtenprocedure Externe stakeholderrapportage Relationship theory en privacy relatiemanagement (werknemers, burgers, NGO s en toezichthouders) 9 PRAKTIJKOPDRACHT MAAK EEN OPZET VAN EEN PRIVACY AWARENESS PROGRAMMA PRIVACY RISICOMANAGEMENT

10 DE PRIVACY GAP-ANALYSE Stappenplan Toegevoegde waarde van een privacy gap-analyse Opstellen van een privacy gap-analyse Privacy zorgplichten HET PRIVACY IMPLEMENTATIEPLAN Positionering en toegevoegde waarde van de Data Protectie Officer (DPO/FG) in het privacy implementatieplan De rol van de DPO/FG bij het bepalen van de ambitieniveaus De rol van de DPO/FG bij het vaststellen van een privacy implementatieplan SAMENWERKING EN GEGEVENSUITWISSELING MET KETENPARTNERS Publiekrechtelijke en niet-publiekrechtelijke samenwerkingsverbanden zoals gemeenschappelijke regelingen Rol en meerwaarde van een convenant bij samenwerking Aandachtspunten en valkuilen bij gegevensuitwisseling Aandachtspunten voor de DPO/FG bij een bewerkersovereenkomst Wat is de rol van de DPO/FG in samenwerkingsverbanden? Praktijkvoorbeelden: aanpak hennepteelt, georganiseerde criminaliteit, slimme samenleving ( smart cities ) 10

11 MODULE 3 TOEZICHTTAKEN VAN DE DPO/FG DAG 3 TOEZICHTSTAKEN VAN DE DATA PROTECTIE OFFICER (DPO/FG) HET EVALUATIE- EN MITIGATIEPLAN Stappenplan Toegevoegde waarde van de publieke Data Protectie Officer (DPO/FG) Rol van de DPO/FG bij het bepalen van de ambitieniveaus in het evaluatie- en mitigatieplan Rol van de DPO/FG bij het vaststellen van mitigaties Rol van de DPO/FG bij het vaststellen van het evaluatie- en mitigatieplan PRIVACY AUDITS Stappenplan certificering en auditing Toegevoegde waarde van de DPO/FG in certificeringstrajecten De rol van de DPO/FG bij het creëren van compliance evidence De rol van de DPO/FG bij het vaststellen van het certificeringstraject De rol van de DPO/FG als toezichthouder in het kader van een certificering De rol van de DPO/FG bij het creëren van compliance evidence voor keurmerk audits De rol van de DPO/FG bij het vaststellen van het privacy audit plan De rol van de DPO/FG in het kader van privacy keurmerk audits 11 INTEGRAAL TOEZICHTSMANAGEMENT MODEL VAN DE PUBLIEKE DPO/FG Toezicht Key Performance Indicators (KPI's) Toezicht KPI's meerjaren perspectief Toezicht evidence Data flow proces management voor toezicht Privacy zorgplichten in het perspectief van toezichtsmanagement

12 Informeren en adviseren Toezicht en handhaving gedurende het implementatie traject DE EXTERNE DATA PROTECTIE OFFICER (DPO/FG) Voordelen / nadelen Service Level Agreements (SLA s) Deliverables PRAKTIJKOPDRACHT MODULE 4 ROL DPO BIJ IT & SECURITY Schets de praktische hoofdlijnen van een privacyplan voor uw organisatie 12 DAG 4 ROL DPO BIJ IT & SECURITY Beveiliging van persoonsgegevens in uw organisatie Visie van de Autoriteit Persoonsgegevens (AP) op de beveiliging in het publieke domein Informatiebeveiliging in het publieke domein (BIG) PRAKTIJKCASE Privacy by Design (PbD) PRAKTIJKCASE Privacy by Default Privacy Impact Assessments (PIA s) in het publieke domein PIA rapportages in het publieke domein DFM (Data Flow Management) in het publieke domein

13 Eisen die de GDPR/AVG stelt aan de beveiliging van persoonsgegevens Vertaling van de wettelijke beveiligingseisen in uitganspunten voor het informatiebeveiligingsbeleid Integratie van het privacybeleid en het informatiebeveiligingsbeleid Relatie met de informatiebeveiligingsnormen (zoals ISO 27001) DATALEKKEN Meldplicht datalekken De rol van de publieke Data Protectie Officer (DPO/FG) bij datalekken Good privacy governance BEWERKERSOVEREENKOMSTEN De rol van de Data Protectie Officer (DPO/FG) Welke afspraken moeten in een bewerkersovereenkomst gemaakt worden? INTERNATIONALE BESCHERMING VAN PERSOONSGEGEVENS De rol van de Data Protectie Officer (DPO/FG) Waaraan moet doorgifte van persoonsgegevens aan derde landen en/of internationaal opererende organisaties voldoen? 13 BIG DATA IN UW ORGANSATIE De ethische en privacy randvoorwaarden van big data Smart city/sensor city Transformatie van de publieke sector Zelfredzaamheid in het publieke domein Van beleid naar gerichte innovatie Publieke data en open data Onderzoekstypologie (levering van data voor verschillende onderzoekstypen) Dilemma: spanningsveld tussen publieke en open data vs. de bescherming van persoonsgegevens (voorbeeldfunctie publieke sector) Privacy toetsingskader voor analyse en/of big data doeleinden Adequate anonimisering en/of pseudonomisering van data

14 PRIVACY EN ETHIEK IN HET PUBLIEKE DOMEIN Maatschappelijke voorbeeldfunctie DPO/FG en moreel ethische overwegingen Privacy compliance als ethische norm bij de overheid Privacy-ethische analyse schema s van dilemma s MODULE 5 14 DAG 5 PRIVACY KNELPUNTEN IN UW ORGANSATIE PRIVACY BY DESIGN (PbD) Privacy verhogende maatregelen (Privacy Enhancing Technologies, PET) Privacy by Design (PbD): achtergrond, bedoeling en betekenis Geautomatiseerde testomgevingen Apparaten die worden gebruikt door mobiele werknemers

15 INTERNET OF THINGS (IOT) Toepassingsmogelijkheden van het Internet of Things (IoT) Voordelen, voorwaarden en privacy issues van IoT Ethische vraagstukken in het publieke domein PRIVACY EN PROFILING Wat houdt profiling in? In welke gevallen en onder welke voorwaarden is profiling toegestaan? Welke procedures en maatregelen moet u nemen om aan de eisen die de\ GDPR/AVG aan profiling stelt te kunnen voldoen? RECHTEN VAN BETROKKENEN Rechtsbescherming van betrokkenen Klachtrecht Recht op inzage Recht op materiële en immateriële schadevergoeding 15 PRIVACY KLACHTENPROCEDURES Privacy klachten tegen uw organisatie Nederlands Privacy Klachten Instituut (NPKI) als extra rechtsvoorziening De Nederlandse Privacy Ombudsman (NPO) PRIVACY SCHADECLAIM PROCEDURES Schadevergoedingsacties Falend toezicht van de DPO/FG in het publieke domein Claims voor immateriële en materiële schade

16 PRIVACY KNELPUNTEN IN UW ORGANSATIE (3) Privacy en risicolocaties in het publieke domein Ontvangstbalies en openbare ruimtes Open kantooromgevingen Open werkplekken Gedeelde werkruimtes Kantoren bij ramen PRIVACY EVIDENCE VAN DE AUTORITEIT PERSOONSGEGEVENS (AP) Overleggen van bewijs voor het daadwerkelijk naleven van privacy verplichtingen richting de Autoriteit Persoonsgegevens (AP) Privacy audit technieken Borging van de AP Richtsnoeren Beveiliging van Persoonsgegevens Kernpunten beveiliging van ISO27001, ISO27002, ISO 29100NEN7510, NEN7512 en NEN7513 (logging) Rol van de DPO/FG bij beveiligingsmaatregelen Praktische afspraken met de CISO/CIO/CISA Eenduidige Normatiek Single Information Audit (ENSIA) Toegevoegde waarde van audits en certificeringen Beveiligingsafspraken met ketenpartners Opzet en werking van privacy audits ex art. 39 AVG 16 PRIVACY COMPLIANCE INSTRUMENTEN Welke compliance instrumenten zijn er met betrekking tot privacy en hoewerken deze? PRIVACY AUDITS Opzet van een privacy audit Eisen die aan een privacy audit gesteld worden Hoe formuleert u de opdracht voor een privacy audit? Hoe houdt u toezicht op de uitvoering van een privacy audit?

17 DATA PROTECTIE IMPACT ASSESSMENT (DPIAs) De verschillende soorten DPIA s Noodzaak en opzet van een DPIA bepalen voor verschillende situaties Hoe voert u een DPIA uit? Hoe moet u de omgang met het DPIA advies waarderen? PRAKTIJKOPDRACHT Schrijf als DPO/FG een advies op in het kader van een Data Protectie Impact Assessment (DPIA) op verzoek van de voorzitter van een DPIA team HOOFDDOCENT Privacy & Dataprotectie in publieke organisaties docenten Uw docent, mr. drs. Romeo Kadir MA LLM MSc MSc EMBA EMoC, is een toonaangevende expert op het gebied van privacy en gegevensbescherming en tevens eindredacteur van de succesvolle schriftelijke (en online) opleiding Data Protectie Officer (DPO) in de praktijk. Romeo Kadir houdt zich al ruim 25 jaar professioneel bezig met privacy en dataprotectie en heeft vele Data Protectie Officers (DPO's) en Functionarissen voor de Gegevensbescherming (FG's) opgeleid. Zelf heeft hij in 2003 aan de basis gestaan van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG). Op dit moment bekleedt Romeo een aantal Data Protectie Officer (DPO) gerelateerde functies bij verschillende organisaties en treedt hij als externe Data Protectie Officer (DPO) op voor een aantal (publieke) organisaties. Bij de Universiteit van Utrecht (UU) verricht hij wetenschappelijk onderzoek naar het 'functioneel optimum van de DPO' in de vorm van advies aan de European Dataprotectie Board (EDPB) en de Europese Commissie. Regelmatig verzorgt hij lezingen in het kader van Incompany permanente educatie programma s, voor internationale data privacy congressen, symposia en events in bijvoorbeeld Brussel, Parijs en Los Angeles. 17 Romeo Kadir is auteur van het eerste Handboek Data Protectie Officer (DPO/FG) in de EU. Daarnaast is hij hoofdredacteur van het Handboek Implementatie AVG, dat voor publicatie is geprogrammeerd op 25 mei 2018 (datum van toepassing worden van de AVG in Europa). STARTDATA Voor alle actuele en praktische informatie, zie of stuur een naar: info@dpoconsultancy.nl