Ga naar de inhoud

Beheers-, beveiligings- en compliance-maatregelen

Het formuleren van compliance eisen en toepassen van normenkaders (bijvoorbeeld kaders van ISO en NIST) is een gangbare aanpak voor het afleiden van beheers-, beveiligings- en compliance-maatregelen waarmee de bedrijfsleiding de bedrijfs- en persoonsgegevens effectief beschermt. Het beschermen van gegevens kan betrekking hebben op de integriteit, de confidentialiteit, de toegankelijkheid, en het afleggen over de effectieve bescherming van gegevens. Het succesvol toepassen van de maatregelen hangt van de risico-gerichte aanpak van de bedrijfsleiding, het handig organiseren van bedrijfsprocessen, de mate waarin de IT deze processen ondersteunt en de doortastendheid van de medewerkers deze processen aan te sturen.

Wij stellen in deze cursus het beschermen van persoons- én bedrijfsgegevens centraal. Wij gebruiken hiervoor de Wet bescherming bedrijfsgeheimen. Wij verruimen het generieke legal framework privacy met beschermen bedrijfsgeheimen, formuleren compliance criteria en beheers- en beveiligingsdoelen.

Het invullen van de beheers- en beveiligingsdoelen is afhankelijk van de wijze waarop een bedrijf haar bedrijfsactiviteiten heeft georganiseerd, ondersteunt met IT en laat aansturen door management en medewerkers. In de cursus behandelen wij verschillende scenario’s en casussituaties.

Introductie van de docent(en):

Voor het organiseren van het beheers, beveiligings- en compliance-beleid van een bedrijfshuishouding onderkennen wij de bedrijfsactiviteiten, bepalen het relevante wettelijke kader, inventariseren wij de contractuele verplichtingen, nemen wij kennis van de beleidsdoelen van de bedrijfsleiding en onderzoeken hoe de bedrijfsprocessen ondersteund worden door IT en door medewerkers worden aangestuurd.

De architectuur van de IT geeft een indruk van de effectiviteit waarmee de bedrijfsprocessen kunnen worden ondersteund. De expliciete kennis van het management en de medewerkers geeft een indruk van de effectiviteit waarmee de bedrijfsprocessen worden aangestuurd.

Het verzamelen van toereikende informatie over ”wat moet”, “wat kan” en “wat de bedrijfsleiding risico gericht wil” vormen de ingrediënten voor een praktisch uitvoerbaar beheers-, beveiligings-, en compliance-beleid. Deze beleidsvorming sluit aan bij de corporate governance code die door beursgenoteerde bedrijven worden nageleefd en waarvan allerlei sectorale governance codes zijn afgeleid. Uiteraard plant de bedrijfsleiding de realisatie van het beleid en verantwoordt de bedrijfsleiding zich over de werking van de beheersmaatregelen waarmee de bedrijfs- en persoonsgegevens effectief worden beschermd.

Methoden en hulpmiddelen

Het in kaart brengen en houden van het aansprakelijkheids- en het verantwoordelijkheidsdomein wordt veelal vergeten bij het organiseren van de beheers-, beveiligings- en compliance-maatregelen. Heeft het bedrijf de entiteiten in kaart dan inventariseert de reputatiemanager van de bedrijfshuishouding de bedrijfsactiviteiten. De bedrijfsactiviteiten organiseert een bedrijf met bedrijfsprocessen waarin “by design” de beheersmaatregelen zijn opgenomen. Bedrijfsprocessen worden ondersteund door IT en aangestuurd door het management en de medewerkers.

De bedrijfsactiviteiten bepalen de toepasbare wetgeving en het bedrijf leidt uit de wetgeving de compliance verplichtingen en aandachtspunten af. De compliance verplichtingen vertalen zich in beheersdoelstellingen die bepalend zijn voor het te formuleren beleid.

Voor niet-functionele eisen bestaan normenkaders (bijvoorbeeld ISO en NIST).

Wij bespreken in de cursus een methode het beleid in een cyclus systematisch af te leiden. Wij laten een tool zien waarmee goed gedocumenteerd de beheersdoelstellingen afgeleid kunnen worden.

Behandelen van casussituaties

Het vraagt handigheid van het management een voor de bedrijfshuishouding passend set van beheers-, beveiligings-, en compliance-maatregelen te kiezen die opgenomen kunnen worden in bedrijfsprocessen die door IT-systemen worden ondersteund en door medewerkers worden aangestuurd. Aan de hand van een aantal casus beschrijvingen bespreken wij verschillende scenario’s.

Doelgroep

Het afdelingsmanagement, in samenwerking met medewerkers, verzamelen informatie over incidenten en knelpunten in, en onderkennen en documenteren verbeterpunten voor, het organiseren van bedrijfsprocessen. Deze informatie en kennis van zaken is waardevol voor het ontwikkelen van nieuw beleid op het vlak van het treffen van betere beheers-, beveiligings- en compliance-maatregelen.

De FG beoordeelt het beleid en adviseert over eventuele aanpassingen. De information security officer (CISO) en de compliance manager realiseren mede het beleid en de accountant belast met de controle of het samenstellen van de jaarrekening beoordeelt de realisatie van het beleid.

Deze cursus biedt de deelnemers praktische handvaten gebruik te maken van de verzamelde expliciete en impliciete informatie en kennis. Gezien de samenhang met het kennismanagement programma’s kunnen wij ons voorstellen dat een bedrijf de voorkeur geeft aan een In house training.

Doelen

Het ontwikkelen, toepassen en evalueren van beheers-, beveiligings-, en compliance-beleid (een lifecycle) biedt de bedrijfshuishouding kansen de bedrijfsprocessen effectiever en kostenefficiënter te organiseren

De deelnemers kunnen na het volgen van deze cursus een legal framework samenstellen met relevante wetgeving en op basis van dit framework juridische compliance eisen en aandachtspunten uitwerken. Wij behandelen een aantal veelvoorkomende normenkaders die aansluiten op de compliance eisen. Door de compliance eisen te categoriseren kan de cursist interne controledoelen benoemen die wij beschouwen als de pijlers waarop het beleid rust.

Wij staan stil bij de lifecycle van de gegevens-set van verwerkingen van bedrijfs- en persoonsgegevens.

Cursuscategorie governance en compliance

De wetgever beschouwt het gegevensbeschermingsbeleid als de eerste stap naar het treffen van passende technische en organisatorische beheers- en beveiligingsmaatregelen. Toezichthouders verwachten dat er beleid is. Afhankelijk van de bedrijfsactiviteiten en de wijze waarop die zijn georganiseerd geeft de bedrijfshuishouding het beleid risico gedreven vorm. Het formuleren van beleid moeten wij zien als uitkomst van een beleidscyclus. Met het doorlopen van de cyclus organiseert de bedrijfsleiding draagvlak bij het management en medewerkers het beleid uit te voeren.

Het beleid en de achterliggende overwegingen vormen ook het uitgangspunt voor het organiseren van het verantwoordingsmechanisme als onderdeel van good governance.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren professionals verzorgen deze cursus. Zij verzorgen het programma goverance en compliance en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een juridische, bedrijfskundige of bestuurskundige achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Wij bieden een deelnemer een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin programma’s toegankelijk zijn (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga hier naar het overzicht met de programma’s en categorieën van cursussen.