Ga naar de inhoud

Governance & Compliance, praktische organisatie – toepassen gedragscode

Het door een wetgever aan een bedrijf opleggen van verplichtingen lokt bij de bedrijfsleiding de vraag aan de toezichthouder uit welke beheersmaatregelen toereikend zijn. Een dergelijke vraag is gerechtvaardigd omdat de bedrijfsleiding – risico gericht – beheersmaatregelen mag nemen waarbij bedrijfs- en persoonsgegevens ‘effectief’ beschermd worden of het aangegeven belastbaar bedrag ‘volledig’ is. De woorden ‘effectief’ en ‘volledig’ geven aan dat het beschermen van persoonsgegevens en het aangeven van het belastbaar bedrag een resultaatverplichting is. Aan de andere kant onderkent de wetgever dat er risico’s zijn die de bedrijfsleiding inschat; een inspanningsverplichting.

Voor een toezichthouder zullen de gedocumenteerde afwegingen om risico’s te nemen bij het treffen van beheersmaatregelen doorslaggevend zijn bij het aanrekenen van tekortkomingen in de administratieve organisatie en interne controle en voeren van een systematische vastlegging van compliance feiten in een administratie.

Een uitgewerkt voorbeeld van het formuleren van een toetsingskader voor het treffen van toereikende beheersmaatregelen waarmee persoonsgegevens effectief beschermd zullen zijn is het door de verwerkingsverantwoordelijke toepassen van een gedragscode (artikel 40 – 43 AVG) en het organiseren van de verantwoordingsplicht (artikel 5.2 AVG). MYOBI heeft de faciliteit van gedragscode voor haar gebruikers van Informatie Ecosystemen uitgewerkt, zie uitleg MYOBI voldoen aan de verantwoordingsplicht.

Wij bespreken in deze cursus het toepassen van gedragscodes. Het gebruikersdomein van de gedragscode speelt hierbij een essentiële rol. In het voorbeeld van MYOBI zijn de domeingen: persoonlijke PDS- en bedrijfsmatige IE-gebruikers. Het is mogelijk dat er sectorale, functionele, of bedrijfsmatige gebruikers zijn. Bedrijfsmatige gebruikers sluiten aan bij AVG Binding Corporate Rules (BCR).

Wij hebben het organiseren van governance en compliance verdeeld over twee cursussen:

In deze cursus behandelen wij de praktische organisatie – toepassen gedragscode. Wij adviseren de cursus Governance en Compliance, wetgeving in breed perspectief eerst te volgen voordat u met de praktische organisatie aan de slag gaat.

Kenmerken van deze cursus

  • Opleiding functionaris voor gegevensbescherming.
  • Desgewenst onderdeel in house trainingsprogramma en masterclass.
  • Gebruikers van MYOBI IE gebruiken de cursus voor het verdiepen van hun kennis.

Introductie van de docenten:

Category:

De AVG gaat uit van een lifecycle data protection management system, zie artikel 25 AVG – Gegevensbescherming door ontwerp en door standaardinstellingen (ook wel Privacy by Design en Privacy by Default). De verwerkingsverantwoordelijke treft risk based beheersmaatregelen én zorgt voor compliance met wettelijke en contractuele verplichtingen.

In de cursus ‘Governance en Compliance, wetgeving in breed perspectief‘ bespreken wij de juridische compliance vereisten die nader in beheersdoelen zijn uitgewerkt en concreet zijn gemaakt in beheer- en beveiligingsmaatgelen. Nu staan wij voor de taak na te gaan of de maatregelen effectief zijn geweest en dat de verwerkingsverantwoordelijke kan voldoen aan de verantwoordingsplicht. Hiermee sluiten wij AVG-regelkring; dit wordt ook aangegeven met de lifecycle data protection management system.

De FG ziet toe op de volkomenheid van de lifecycle en het bewijs van effectieve werking. De FG zal samenwerken met de CISO en compliance managers. De bedrijfsleiding doet een operationeel beroep de FG als een organisaties bestaat uit een beperkte bezetting van rollen.

De bedrijfsleiding en het afdelingsmanagement en -coördinatoren zijn betrokken bij het samenstellen van de verantwoording op basis van het systematisch verzamelde bewijs van effectieve werking van beheers- en beveiligingsmaatregelen.

Er ontstaat voor de accountant, belast met de controle (of samenstellen) van de jaarrekening, in het lifecycle data protection management system een object van onderzoek voor het afgeven van een verklaring bij de verantwoording door de bedrijfsleiding (in het bestuursverslag).

Doelgroep

De bedrijfsleiding kan de wettelijke en contractuele verplichtingen met betrekking tot het effectief beschermen van persoonsgegevens afleiden (zie de cursus Governance en Compliance, wetgeving in breed perspectief). Voor het concretiseren van de verplichtingen maken wij gebruik van de door de wetgever aangereikte gedragscode (artikel 40 – 43 AVG) die wij plaatsen binnen de cyclus van de maatschappelijke verantwoording. Hiermee ontstaat een genuanceerd lifecycle data protection management system.

De cursist maakt kennis met deze concepten en legt verbanden. Ter illustratie behandelen wij een voorbeeld van het toepassen van een gedragscode en een lifecycle data protection management system waar de compliace requirements, control objectives, en controls in business processes zijn opgenomen.

Voor het afleggen van verantwoording over de effectiviteit van beheersmaatregelen waarmee de persoonsgegevens effectief zijn beschermd zullen een aantal essentiële vraagstukken worden besproken:

  • Voor de bedrijfsleiding is het verantwoordingsmodel en de lifecycle data protection management system volkomen om een verantwoording af te leggen. Met name het afleiden van beheersdoelen, het verzamelen van bewijs van effectieve werking van beheers- en beveiligingsmaatregelen en reageren van incidenten en datalekken vormen onderwerpen van gesprek;
  • Het Risk Register geeft gemotiveerd aan al dan niet nadere onderzoeken in te stellen. Hoe bedient de bedrijfsleiding het management het Risk Register en wat zijn objectieve maatregelen van belang? en
  • Het inrichten van de compliance cyclus dat leidt tot een verantwoording van de leiding kan op verschillende manieren worden georganiseerd. Een aantal scenario’s.

Het organiseren van governance, risk en compliance met wettelijke en contractuele verplichting op het vlak van beschermen persoonsgegevens en over de uitkomsten verantwoording aan het maatschappelijk verkeer afleggen vraagt op een duidelijk projectplan, strakke planning en doortastende leiding van de compliance manager in samenwerking met de FG.

In de cursus behandelen wij verschillende varianten van plannen van aanpak, de uitwerking, het beoordelen van bevindingen en uiteindelijk risk based opstellen van de verantwoording van de bedrijfsleiding, het verslag van bevindingen voor het bestuursverslag en managen van de accountant belast met de controle van de maatschappelijke verantwoording waarbinnen de verantwoordingsplicht AVG is opgenomen.

Cursisten nemen wij mee in het paradigma van registeraccountants en IT-Auditors en wat de scope en reikwijdte van hun bevestiging van de verantwoording van de bedrijfsleiding kan zijn.

Cursuscategorie governance en compliance

De bedrijfsleiding wenst het organiseren van de verantwoordingsplicht beschermen persoonsgegevens praktisch uit te voeren. Wij sluiten daarom aan bij het samenstellen van de interne en externe privacypolicy als is een resultaat van een beleidsvoorbereidingscyclus.

De rol van de FG is bij het uitschrijven of toezien op governance en compliance is niet vrijblijvend of kan naar believen worden ingericht. De wetgever en de toezichthouder verwachten inbreng van de FG én de FG ziet erop toe dat het organiseren van de verantwoordingsplicht adequaat plaatsvindt.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot de cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma goverance en compliance en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een juridische, bedrijfskundige of bestuurskundige achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Wij bieden een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga hier naar het overzicht met de programma’s en categorieën van cursussen.

Gerelateerde Opleidingen