Meteen naar de inhoud

Eendaagse Training Data Protection Impact assessment (DPIA)

Met een Data Protection Impact Assessment (DPIA) brengt u de risico’s in kaart van gegevensverwerkingen. U legt met een DPIA het fundament onder de naleving van de AVG in uw organisatie. De uitkomsten van een DPIA zijn bepalend voor de maatregelen die überhaupt noodzakelijk om aan de AVG te voldoen, maar ook om de risico’s van gegevensverwerkingen beheersbaar te houden. Daarnaast vormen de uitkomsten van een DPIA een document waarop iedereen in de organisatie steeds terug kan vallen. Nergens worden de gegevensverwerkingen zo uitgebreid beschreven als in een DPIA, zelfs niet in een register van verwerkingen.

Category:

Het programma DPIA gaat in op het juridische kader en de praktische uitvoering van een DPIA.

U gaat u aan de slag met een DPIA, die gebaseerd is op praktijkvoorbeelden. U krijgt handvatten om een aanpak voor het uitvoeren van een DPIA te formuleren. Ook krijgt u handvatten om de DPIA zelf uit te voeren en deze structureel in te bedden in de bedrijfsvoering, zodat u na de training precies weet hoe u een DPIA aanpakt, uitvoert en de uitkomsten laat beklijven in uw organisatie.

Bent u eigenlijk altijd verplicht om een DPIA uit te voeren? In artikel 35 van de AVG staat dat voor een verwerking, die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, de verwerkingsverantwoordelijke verplicht is een beoordeling (DPIA) uit te voeren van het effect van de beoogde verwerkingsactiviteiten op de bescherming van persoonsgegevens. Elke verwerkingsverantwoordelijke dient zelf te bepalen of zo’n verwerking met een hoog risico aan de orde is en moet zich hierover verantwoorden. De Autoriteit Persoonsgegevens heeft een lijst vastgesteld van verwerkingen van persoonsgegevens waarvoor in ieder geval een DPIA verplicht is. Daarnaast heeft de EDPB negen criteria vastgesteld, om te kunnen bepalen of sprake is van een verwerking met een hoog risico.

De DPIA kunnen wij zien als een compliance lifecycle omdat de leiding van een organisatie de vastgestelde risico’s voor het beschermen van persoonsgegevens met effectieve beheersmaatregelen naar een aanvaardbaar niveau dient te managen. Bedrijven plannen het uitvoeren van nieuwe DPIA’s. Daarbij betrekken zijde uitkomsten van reeds eerder uitgevoerde onderzoeken alsook nieuwe processen en IT-systemen.

Na het volgen van de training kunt u zelf bepalen of u te maken heeft met verwerkingen met een hoog risico waarvoor een DPIA moet worden uitgevoerd. Behalve dat u in staat om zelf een DPIA uit te voeren, kunt u ook de risico’s voor betrokkenen identificeren, analyseren en beoordelen. U kunt verbetervoorstellen benoemen om risico’s in te perken. Ook bent u in staat om een bedrijfsspecifiek DPIA-plan op te stellen.

Programma

  • Wat is een DPIA?
  • Wanneer moet u een DPIA uitvoeren?
  • Het belang van een DPIA in geval van een datalek;
  • Uitvoering van een DPIA;
  • De rol van de Functionaris voor Gegevensbescherming (FG) bij een DPIA;
  • Wat is de relatie van een DPIA met Privacy by Design en Privacy by Default?
  • DPIA Life Cycle Management:
    • Het opstellen van een DPIA-jaarplan; en
    • De verankering van de resultaten van een DPIA.
  • De inbedding van de DPIA in de bedrijfsvoering
  • De jaarlijkse verantwoording van de leiding over uitgevoerde DPIA’s.

Bij het samenstellen van het programma maken we gebruik van bestaande cursussen, die we bedrijfsspecifiek maken. Afhankelijk van de rol in de organisatie en de betrokkenheid van de medewerker bij het DPIA-plan en de uitvoering daarvan, kunnen medewerkers een workshop van een dagdeel of twee dagdelen volgen.

Organisatie van het programma

In samenspraak met de examencommissie beheren professionals van Duthler Associates deze in-house training. We maken gebruik van cursussen van de opleiding Functionaris voor Gegevensbescherming en van het PE-programma ‘beschermen persoonsgegevens’. Met behulp van deze in-house training bouwt een bedrijf basiskennis op over het belang van een DPIA, wanneer een DPIA verplicht is en wat de impact is van een DPIA.  Een selecte groep van medewerkers verwerft specifieke kennis over de uitvoering van een DPIA en het opstellen van een bedrijfsspecifiek DPIA-plan.

De training bestaat uit overdracht van feitelijke kennis en het aanreiken van vaardigheden om deze kennis toe te passen in praktijksituaties. Desgewenst kan de medewerker zijn of haar kennis toetsen door vragen te beantwoorden in een diagnostische toets.

Bedrijfsspecifieke leeromgeving

Het bedrijf maakt gebruik van de bedrijfsspecifieke leeromgeving, met bedrijfsspecifieke bewustwordings- en trainingsprogramma’s. Als een bedrijf gebruik maakt van het SBC Managementsysteem, dan heeft het de mogelijkheid om per gegevensverwerking de resultaten van een uitgevoerde DPIA vast te leggen. Tijdens de training kunnen we dat nader toelichten. Ook heeft het bedrijf dan sowieso al de beschikking over een bedrijfsspecifieke leeromgeving.

Aanmelden en investering

Deze in-house training verzorgen wij alleen voor bedrijven. Deelname is niet mogelijk via een open inschrijving. We starten met een gesprek om een indicatie te krijgen van veel voorkomende verwerkingen waarvoor een DPIA zal moeten worden uitgevoerd. In samenspraak met de opleidingsmanager en FG stellen wij daarna de inhoud van de training vast. Wij vullen de bedrijfsspecifieke leeromgevingen met leerpaden, gericht op rollen.

Interne en externe medewerkers komen en gaan. Het leerpad van het in house trainingsprogramma gebruikt het bedrijf voor het opleiden van nieuwe medewerkers. Wij onderhouden de generieke cursussen van het programma; de opleidingsmanager zorgt ervoor dat de bedrijfsspecifieke cursussen van het programma worden onderhouden.

Gerelateerde Opleidingen