Ga naar de inhoud

Data Protection Impact Assessment (DPIA), toepassen

Het beschikken over een Privacy-, Security en Compliance-administratie (PSCa) waarin een risicoregister is opgenomen helpt bij het organiseren van DPIA’s. Zie “Privacy, Security and Compliance accounting” voor nadere informatie.

De uitkomsten van een DPIA kan een verhoogd risico voor de vrijheden en het kunnen uitoefenen van de rechten van de betrokkene inhouden. Als de verwerkingsverantwoordelijke geen andere of aanvullende maatregelen treft raadpleegt zij de toezichthoudende autoriteit (zie artikel 36 AVG).

Het DPIA-plan kan in een breder kader wordt geplaatst. De scope en reikwijdte kan de compliance manager verbreden naar bedrijfs- en persoonsgegevens of financiële, fiscale, bancaire of statistische gegevens. Het is de moeite waard de samenhang tussen verantwoordingen vast te stellen en naar mogelijke compliance synergie te streven.

In de AVG noemt de wetgever expliciet de rol van de FG bij het uitvoeren van DPIA’s.

Introductie van de docenten:

Category:

Het voorbereiden, het plannen, het uitvoeren en het bespreken van de uitkomsten van gegevensbeschermingseffectbeoordeling of Data Protection Impact Assessement (DPIA), artikel 35 AVG vraagt van de compliance manager (of als het gaat om een bescheiden bedrijfsomvang de FG) kennis en ervaring met het uitvoeren van onderzoeken/ assessments naar de effectiviteit van het beschermen van persoonsgegevens. In het kader van het beschermen van persoonsgegevens gaat het om het gefundeerd en professioneel inschatten van de waarschijnlijk van een hoog risico voor een natuurlijk persoon bij het uitoefenen van zijn rechten en vrijheden bij het verwerken van persoonsgegevens. Het uitoefenen van vrijheden kunnen wij omschrijven als een betrokkene die ongestoord regie over de eigen gegevens kan uitoefenen.

Het doel van het onderzoek kan ook gericht zijn op de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid of het compliant met de wetgeving verantwoording afleggen over het effectief beschermen van persoonsgegevens. Wij onderkennen de volgende onderzoeksgebieden: technische informatie infrastructuur, effectieve werking van applicatie- en gebruikersmaatregelen en het ‘by design’ opnemen van beheers-, beveiligings-, en compliance maatregelen in bedrijfsprocessen waarmee het management de bedrijfsactiviteiten organiseert en die ondersteund worden door IT-systemen.

De compliance manager stelt het DPIA-plan op met een horizon van een jaar (veelal laat de manager het jaar samenvallen met de planning van de financiële verantwoording en sluit het DPIA-plan aan bij de wettelijke verantwoording van artikel 5.2 AVG). Op basis van het risicoregister en de plannen voor het selecteren of ontwerpen van nieuwe systemen plant de compliance managers de DPIA’s. In de jaarplanning zit ruimte voor het uitvoeren van DPIA’s als gevolg van resultaten van interne compliance, incidenten en datalekken. In het DPIA-plan zijn de opmerkingen van de FG verwerkt en de bedrijfsleiding keurt het plan goed om uit te voeren.

Doelgroep

De doelgroep voor deze cursus zijn alle medewerkers van een bedrijf die betrokken zijn bij het verwerken van persoonsgegevens waarop een DPIA wordt uitgevoerd. Goed geïnformeerde medewerkers zijn essentieel voor de constructieve uitkomsten van uitgevoerde assessments. De medewerkers kennen veelal de zwakke plekken in de beheers-, beveiligings-, en compliance-maatregelen waarmee de persoonsgegevens effectief beschermd worden. Ook leveren zij waardevolle suggesties voor het versterken van de maatregelen.

De bedrijfsleiding en het management keuren het DPIA-plan al dan niet goed en zijn zich ervan bewust dat de uitkomsten van de DPIA’s bouwstenen zijn van het fundament om te voldoen aan de wettelijke verantwoordingsplicht voor het effectief beschermd hebben van persoonsgegevens.

Het management treft passende maatregelen.

De compliance manager, of de FG als de bedrijfsorganisatie bescheiden is van de verwerkingsverantwoordelijke, bereid en plant het DPIA-plan. De CISO kan adviseren over de effectiviteit van de ingezette maatregelen.

Het is belangrijk dat alle betrokkene weten wat gaat gebeuren bij het uitvoeren van een DPIA.

Centraal staat het risicoregister, dat onderdeel is van de PSCa. Het register is opgebouwd uit control objectives aan de ene kant en uitkomsten van interne compliance-maatregelen en DPIA’s aan de andere kant. Het vormt de basis voor rapportages aan de bedrijfsleiding en het management.

Doelen

Een gegevensbeschermingseffectbeoordeling/ DPIA schat de risico’s van het verliezen van vrijheid van en het kunnen uitoefenen van rechten door een betrokkene in bij het door een verwerkingsverantwoordelijke verwerken van persoonsgegevens. De verwerkingsverantwoordelijke wint voor het uitvoeren van DPIA’s advies in bij de FG. De wetgever heeft en de toezichthouder kan het uitvoeren van DPIA’s voor bepaalde verwerkingen van persoonsgegevens verplichtstellen. Interne compliance-uitkomsten, beheers- en beveiligingsincidenten en datalekken kunnen aanleiding zijn DPIA’s uit te voeren.

De risicoschatting op basis van een DPIA heeft een impact op het risicoregister. Het kan een bevestiging zijn van het effectief beschermen van persoonsgegevens of het kan de aanleiding zijn passende beheers-, beveiligings-, of compliance-maatregelen ‘by design’ te nemen in de bedrijfsprocessen. De bevestigingen van een effectieve bescherming van persoonsgegevens vormen de basis voor het organiseren van de verantwoordingsplicht uit artikel 5.2 AVG.

Het organiseren van een jaarlijkse DPIA-plan dat aansluit op de verantwoordings- en audit cyclus van de financiële- en fiscale verantwoording is een te bevelen. Het DPIA-plan kan bestaan uit de volgende stappen:

  • Voorbereiden van DPIA’s, zie de cursus ‘Data Protection Impact Assessment (DPIA), methode en technieken’. Het opbouwen van bewustzijn voor het toepassen van DPIA’s onder medewerkers en trainen van direct betrokkenen voor het uitvoeren van DPIA’s is een essentiële randvoorwaarde voor het verzilveren van de toegevoegde waarde van het uitvoeren van een DPIA-plan.
  • Vaststellen dat het Privacy-, Security-, en Compliance-administratie (PSCa) is bijgewerkt. Het PSCa, waarin het risicoregister is opgenomen, biedt een overzicht en een inzicht in de aard en omvang, en het risicoprofiel van verwerkingen. Op basis van het PSCa maakt de compliance manager een selectie van mogelijk uit te voeren DPIA’s. In het DPIA-plan creëert de compliance manager ruimte voor het uitvoeren van incidentele DPIA’s.
  • Elke DPIA vraagt een eigen aanpak en een team met de juiste kennis. Deels levert de afdeling die verantwoordelijk is voor het verwerpen van de persoonsgegevens de operationele kennis en deels brengen professionals kennis over het uitvoeren van DPIA’s in.
  • De bedrijfsleiding en het management stemmen in met de DPIA-plan en de compliance manager, of de FG van bedrijven met een bescheiden bezitting, voert – samen met de medewerkers en professionals – het DPIA-plan uit.
  • De compliance manager plant de DPIA’s, vraagt tijd voor de inzet van medewerkers van het afdelingsmanagement en managet het uitvoeren van DPIA’s.
  • Het bespreken van de bevindingen, de risicoschatting en adviezen voor verbeteringen bespreekt de compliance manager met de betrokkenen medewerkers. Na acceptatie neemt de compliance manager de rapportage op in het PSCa.

In de cursus bespreken wij het organiseren en uitvoeren van een DPIA-plan. Casus gericht werken wij een aantal DPIA’s uit voor de technische verwerking van persoonsgegevens, beoordelen van applicatie en gebruikersmaatregelen, beoordelen van compliance-maatregelen en samenstellen van non-functionele eisen aan te kopen of te bouwen IT-systemen.

Wij bereiden graag casussituaties van deelnemers aan de cursus voor en bespreken mogelijke oplossingen tijdens de workshop.

Cursuscategorie Assessment & Audit

DPIA’s toepassen is een praktische cursus. Het behandelt een aanpak voor het organiseren en uitvoeren van DPIA’s die voldoen aan de AVG en passen binnen een breder compliance-kader.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs met toereikende IT en bedrijfskennis verzorgen deze cursus. Zij verzorgen het programma assessment & audit en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige, juridische en IT-achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.

Gerelateerde Opleidingen