Wij behandelen in deze cursus de volgende onderwerpen.
Er zijn verschillende bronnen waaruit incidenten en datalekken blijken. Er zijn de gebruikelijke overzichten van beveiligingsincidenten in een SIM of Defender of Sentinel van MS356. De verwerkingsverantwoordelijke kan gebruik maken van een Coordinated Vulnerability Disclosure (CVD). Een essentiële bron voor incidenten en datalekken zijn medewerkers die begrijpen wat incidenten en datalekken zijn en alert te ontdekken. Voor deze categorie kan er een klokkenluidersprocedure nodig zijn om een relevante inventarisatie samen te stellen.
Wij raken bij het opsporen van incidenten en datalekken kwaadwillende bedrijven en personen die incidenten en datalekken gebruiken voor de verwerkingsverantwoordelijke af te persen.
De wetgever en de toezichthouders verwachten dat verwerkers van persoonsgegevens binnen 72 uur datalekken doorgeven aan verwerkingsverantwoordelijken. Om dit mogelijk te maken zijn er duidelijke afspraken, verwerkersovereenkomsten nodig waarin duidelijke afspraken over procedures en processen zijn gemaakt. De verschillende rollen van de verwerkingsverantwoordelijke, de verwerker van persoonsgegevens en de toezichthouder moet duidelijk zijn. Elke rol vervult een taak en heeft de beschikking over bevoegdheden. De FG ziet toe of coördineert de taken met als doel de belangen van de betrokkenen te dienen en de aansprakelijkheids- en kostenrisico’s voor de verwerkingsverantwoordelijke te beperken. De processen rond datalekken ondersteunt de verwerkingsverantwoordelijke en verwerker met een managementsysteem.
De achilles van het organiseren van datalekken is het opbouwen en behouden van een voldoende kennisniveau bij het management en de medewerkers datalekken te onderkennen en passend te handelen.
Wij laten in de cursus voorbeelden van een managementsysteem en bewustwordings- en trainingsprogramma’s zien.
Doelgroep
De FG ziet toe op de processen datalekken. De FG van een beperkte bedrijfsorganisatie zal veel uitvoerende taken vervullen in de processen datalekken. De CISO interesseert zich in de wettelijke en contractuele verplichtingen meldplicht datalekken en zal de definities van incidenten en datalekken willen gebruiken voor het organiseren van de informatiebeveiliging. De compliance manager zal regelmatig de effectiviteit van de meldplicht datalek procedures en processen toetsen. Het management zal de hulp van de compliance manager inroepen voor het onderzoeken van de oorzaak en bepalen van de gevolgen van geconstateerde datalekken.
Het management en de medewerkers maken gebruik van bewustwordings- en trainingsprogramma’s waarin cursussen aandacht geven datalekken; wat zijn datalekken en wat moet ik doen?
Cursuscategorie governance en compliance
Het organiseren van datalekken raakt alle facetten van het beschermen van persoonsgegevens (alle artikelen van de AVG). Wij kunnen artikel 33 AVG, meldplicht datalekken beschouwen als een essentieel onderdeel van de governance, risk en compliance.
De rol van de FG is bij het organiseren van het melden van datalekken niet vrijblijvend of kan naar believen worden ingericht. De wetgever en de toezichthouder verwachten inbreng van de FG én de FG ziet erop toe dat het organiseren van de verantwoordingsplicht adequaat plaatsvindt.
