Ga naar de inhoud

Governance & Compliance, wetgeving in breed perspectief

De wetgever en de toezichthouders hechten veel waarde aan de Accountability van de bedrijfsleiding voor het effectief voldoen aan wettelijke verplichtingen. In artikel 5.2 AVG vraagt de wetgever aan de verwerkingsverantwoordelijke zich te verantwoorden voor het realiseren van het gegevensbeschermingsbeleid, de interne en externe privacy policy. Fiscale wetgeving vraagt om aangiften gebaseerd op fiscale feiten die in administraties zijn vastgelegd en waarbij de bedrijfsleiding zich ook verantwoord in een fiscale jaarrekening plus toelichting.

De verantwoording is het object van onderzoek voor een onafhankelijke deskundige voor het afgeven van een “verklaring van juistheid”. Hiervoor is nodig dat het uitvoeren van het gegevensbeschermingsbeleid Auditable is. Voor het organiseren van de verantwoordingsplicht en desgewenst de bevestiging door een kundige professional maken wij gebruik van bestaande governance, risk en compliance structuren (Accountable zijn voor het realiseren van beleid is de randvoorwaarde voor Auditable zijn; een bevestiging van een deskundige bij de verantwoording).

Wij hebben het organiseren van governance & compliance verdeeld over drie cursussen:

In deze cursus behandelen wij de wetgeving in een breed perspectief. Hierbij volgen wij een “rode draad” langs verschillende wettelijke kaders.

Introductie van de docenten:

Category:

Doelgroep

De bedrijfsactiviteiten van de verwerkingsverantwoordelijke of verwerker van persoonsgegevens geven richting aan bedrijfsspecifieke wettelijke en contractuele compliance verplichtingen. Risico-gedreven ontwikkelt de bedrijfsleiding en het afdelingsmanagement een verzameling van beheers- en interne controledoelstellingen die vervolgens door het management en medewerkers uitgewerkt worden in interne beheers- en controlemaatregelen. De beheers- en controlemaatregelen vinden wij in bedrijfsprocessen waarmee bedrijfsactiviteiten effectief georganiseerd zijn.

Door het bedrijfsspecifieke juridische framework uit te breiden met andere wettelijke en contractuele verplichtingen ontstaat er een praktische bedrijfsspecifieke governance & compliance aanpak.

Bij het samenstellen van het bedrijfsspecifieke juridische framework gaat het erom dat op basis van “comply or explain” een policy framework ontstaat dat gericht is op het organiseren van compliance met wettelijke verplichtingen, waaronder het beschermen van persoonsgegevens. Het afdelingsmanagement en -coördinatoren zijn in staat met de hulp van de FG, de CISO en de compliance medewerker een passende en praktisch policy framework op te stellen. In deze cursus behandelen wij een beproefde aanpak, verwijzen naar gezaghebbende standaarden en bronnen en laten ondersteunende systemen zien.

Voordat u deze cursus volgt is het aan te bevelen succesvol de cursus ‘privacybeleid: compliance eisen, normenkader en privacy policy‘ te volgen.

Doelen

Het systematisch kennen van de bedrijfsactiviteiten en ondersteunende bedrijfsprocessen waarin beheers- en controlemaatregelen zijn opgenomen maakt (een risico-gerichte) verantwoordingsaanpak mogelijk. Het vastleggen van de overwegingen voor het al dan niet treffen van beheers- en controlemaatregelen maakt deze aanpak Auditable.

Het aandragen van praktische beheers- en controlemaatregelen hangt af van beschikbare architecturen (bijvoorbeeld cloud met zero trust en traditionele beveiliging op basis van een “kasteel” benadering) en door de organisatie gebruikte informatiesystemen. Standaardisatie instituten en cloud platformen bieden overzichten met maatregelen die toezichthouders mogen verwachten. In de cursus bespreken wij casussituaties gericht op het samenstellen en documenteren van controledoelstellingen en beheersmaatregelen die leiden tot de policy framework.

De Corporate governance code biedt een denkkader voor de bedrijfsleiding. In dienst van het samenstellen van een praktisch framework maken wij gebruik van de code.

Cursuscategorie governance & compliance

Het uitgangspunt is dat de bedrijfsleiding – risico gericht – wenst te voldoen aan relevante wettelijke en contractuele verplichtingen. Zo zal de verwerkingsverantwoordelijke en verwerker van persoonsgegevens zijn compliant met wettelijke en contractuele verplichtingen. Boetes en andere sancties van de Nederlandse toezichthouder, Autoriteit persoonsgegevens, laat zien dat niet compliant gedrag leidt tot sancties met boetes van materieel belang. Hiermee verschilt de AVG niet met wet- en regelgeving uit niet-EU landen.

Het geeft (de bedrijfsleiding van) verwerkingsverantwoordelijken en verwerkers van persoonsgegevens comfort de AVG als onderdeel de Corporate governance code na te leven (slechts beursgenoteerde bedrijven moeten deze code naleven). Hiermee zal de verwerkingsverantwoordelijke in het bestuursverslag over het privacy policy en de resultaten daarvan in de maatschappelijke verantwoording verslag doen. De accountant belast met de wettelijke controle zal nagaan wat de risico’s zijn op een sanctie van materieel belang of objectieve verhinderingen voor het uitvoeren van een audit, en vaststellen dat het bestuursverslag juist is.

Het systematische verzamelen, vastleggen en borgen van het bewijs van werking van getroffen beheers- en beveiligingsmaatregelen gericht op effectieve bescherming van persoonsgegevens vormt de basis voor de verantwoordingsplicht van de bedrijfsleiding en het object van onderzoek voor de deskundige professional die zich uitspreekt over de juistheid van de verantwoording.

Wij sluiten daarom aan bij het samenstellen van ‘de interne en externe privacy policy’ als een resultaat van een beleidsvoorbereidingscyclus.

De rol van de FG is bij het uitschrijven of toezien op governance en compliance is niet vrijblijvend of kan naar believen worden ingericht. De wetgever en de toezichthouder verwachten inbreng van de FG én de FG ziet erop toe dat het organiseren van de verantwoordingsplicht adequaat plaatsvindt

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot de cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma goverance en compliance en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een juridische, bedrijfskundige of bestuurskundige achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Wij bieden een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga hier naar het overzicht met de programma’s en categorieën van cursussen.

Gerelateerde Opleidingen