Doelgroep
Wij staan in deze cursus voor de taak de interne en externe privacy policy ten behoeve van de verwerkingsverantwoordelijke en verwerker van persoonsgegevens op te stellen en te onderhouden. Wij hanteren de volgende uitgangspunten:
- Het formuleren van het beleid is het resultaat van een jaarlijkse beleidscyclus die op hoofdlijnen bestaat uit het inventariseren van relevante wetgeving en onderkennen van juridische compliance verplichtingen en aandachtpunten (de cursus privacybeleid: compliance eisen, normenkader en privacy policy);
- Het risicogericht formuleren van passende technische en organisatorische beheers- en beveiligingsmaatregelen;
- Het bewustmaken en trainen van management en medewerkers die de beheersmaatregelen gaan implementeren en toepassen (onderdeel van kennismanagement);
- In artikel 4.20 AVG spreekt de wetgever over ‘bindende bedrijfsvoorschriften’: beleid inzake de bescherming van persoonsgegevens… en in artikel 39 AVG is het de taak van de FG toezien op naleving van deze verordening en van het beleid van de verwerkingsverantwoordelijke of de verwerker met betrekking tot de bescherming van persoonsgegevens…;
- De communicatie aan betrokkenen (bijvoorbeeld klanten en medewerkers) in verband met het verwerken van persoonsgegevens is beknopt, transparant, in begrijpelijks en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal (artikel 12 AVG en de rechtsoverwegingen zoals 39 en 58 AVG); en
- Het privacy-, beveiligings- en compliance-beleid is de norm waaraan getoetst wordt bij het vervullen van de wettelijke verantwoordingsplicht inzake het effectief beschermen van de persoonsgegevens en de betrokkenen faciliteren bij het uitoefenen van hun rechten.
De wetgever verwacht een privacybeleid, privacy policy, en een FG die actief toeziet op de realisatie van het beleid. Hiermee is het beleid niet vrijblijvend. Het management en de staf begrijpt het beleid en dat geldt ook voor de externe betrokkenen en partners. Wij kunnen het privacybeleid en de beleidsontwikkeling privacy, security en compliance inpassen in de kaders van good governance, risk en compliance zoals uitgewerkt in de corporate governance code.
Wij hebben in de cursus privacybeleid: compliance eisen, normenkader en privacy policy een genuanceerde beschrijving opgenomen van de doelgroep en verwijzen daarna. Wij vullen de doelgroep aan met communicatiemedewerkers en desgewenst adviseurs die de privacy policies beoordelen.
Voordat u deze cursus volgt is het aan te bevelen succesvol de cursus privacybeleid: compliance eisen, normenkader en privacy policyte volgen.
Doelen
Het ontwikkelen en toepassen van het privacybeleid hebben wij ondergebracht in twee cursussen:
- Privacybeleid: compliance eisen, normenkader en privacy policy; en
- Privacybeleid: Intern en extern privacy policy.
Wij gaan ervan uit dat de cursist de cursus ‘privacybeleid: compliance eisen, normenkader en privacy policy’ succesvol heeft gevolgd. Hiermee is de formele onderbouwing van het privacy, security en compliance-beleid of de privacy policy beschikbaar en zijn het management en de medewerkers bereid de implementatie beheers- en beveiligingsmaatregelen die voortvloeien uit de privacy policy uit te voeren.
Wij staan nu voor de taak de interne en externe privacy, security en compliance policy uit te schrijven en op te nemen in de governance, risk en compliance cycli.
- Het persoonlijke klantperspectief en de randvoorwaarden van de beleidsontwikkeling zijn de kaders voor het uitschrijven van de externe privacy policy. Het bedrijf kent haar klanten, kent de informatiebehoefte en zorgt ervoor dat de externe policy door zoveel mogelijk betrokkenen wordt begrepen; en
- Het management- en de medewerkersperspectief en de beleidsvoorbereiding zijn de kaders voor het uitschrijven van de interne privacy policy. Deze policy dient ook als een “bevestiging” van de scope en reikwijdte van de afgesproken wijzigingen in de bedrijfsprocessen en interne controlemaatregelen waarmee de verwerkingen van persoonsgegevens in bedrijfsactiviteiten georganiseerd zijn. De interne policy heeft draagvlak nodig om veranderingen succesvol door te voeren (zie het programma kennismanagement).
De bedrijfsleiding (veelal de FG) formuleert het interne en externe privacybeleid en creëert hiermee een compliance verplichting aan het maatschappelijk verkeer. Een uitvoerbaar beleid vormt een duidelijke bouwsteen in de governance cyclus. De cursist is in staat een hanteerbaar privacy-, beveiligings-, en compliance-beleid te formuleren.
De betrokkene weet wat verwacht kan worden van de verwerkingsverantwoordelijke met betrekking tot het effectief beschermen van persoonsgegevens en zal de privacybeleid gebruiken als een toetssteen voor het uitoefenen van zijn of haar rechten.
De FG adviseert de bedrijfsleiding over de teksten van de privacybeleid en gaat na in hoeverre het beleid wordt gerealiseerd.
Cursuscategorie governance en compliance
Het interne en externe privacybeleid is een resultaat van een beleidsvoorbereidingscyclus en is input voor de governance, risk en compliance cyclus van de bedrijfsleiding. Het intern en extern te communiceren privacybeleid is gericht op respectievelijk de medewerkers en de externe betrokkene. Het privacybeleid kan onderdeel zijn van een bredere beleidsscoop.
De rol is van de FG bij het formuleren van gegevensbeschermingsbeleid is niet vrijblijvend of kan naar believen worden ingericht. De wetgever en de toezichthouder verwachten inbreng van de FG.