Ga naar de inhoud

Hoe kan en moet ik handelen na een datalek?

Wij hebben in de cursus Voorbereid te zijn op een datalek gezien dat het onderkennen, vastleggen en organiseren van een datalek “de nodige voeten in aarde heeft”. Nu kent de organisatie datalekken en moeten de datalekken worden afgewerkt binnen een termijn van 72 uur. Welke stappen moeten hierbij worden doorlopen en welke besluiten moeten worden genomen? Welke rol speelt de FG? En wat als nu er toch een sanctie moet worden opgelegd?

Wij onderkennen de volgende cursussen gericht op datalekken:

Incidenten en datalekken kunnen verscheidend en omvangrijk zijn. Het door het datalekteam steeds selecteren van de relevante en voor de verwerkingsverantwoordelijke risicovolle incidenten en datalekken is een uitdaging. Elk geselecteerd datalek analyseert en beoordeelt het datalekteam onder supervisie van de FG (organisaties met een beperkte omvang zal de FG de melding doen of een persoon die is aangewezen). De motivatie van wel of niet melden van een datalek aan de aan de Autoriteit Persoonsgegevens legt het datalekteam vast. Een gemeld datalek volgt het datalekteam op met een impact analyse, een verbeterplan voor het treffen van andere of betere beheers- en beveiligingsmaatregelen, training van medewerkers, en inventariseren van leermomenten. Alle stappen documenteert het datalekteam om achteraf vast te stellen dat de juiste beslissingen zijn genomen.

Jurisprudentie, opvattingen over de scope en reikwijdte van incidenten en datalekken, en IT-ontwikkelingen van het ondersteunen van bedrijfsprocessen vragen aanpassingen van het onderkennen en handelen bij incidenten en datalekken. De docenten onderhouden de cursus, deelnemers houden twee jaar lang toegang tot de cursus en wij adviseren de deelnemers de cursus om de twee jaar opnieuw te volgen.

Introductie van de docenten:

Wij behandelen in deze cursus de volgende onderwerpen.

Er zijn verschillende bronnen waaruit incidenten en datalekken blijken. Er zijn de gebruikelijke overzichten van beveiligingsincidenten in een SIM of Defender of Sentinel van MS356. De verwerkingsverantwoordelijke kan gebruik maken van een Coordinated Vulnerability Disclosure (CVD). Een essentiële bron voor incidenten en datalekken zijn medewerkers die begrijpen wat incidenten en datalekken zijn en alert te ontdekken. Voor deze categorie kan er een klokkenluidersprocedure nodig zijn om een relevante inventarisatie samen te stellen.

Wij raken bij het opsporen van incidenten en datalekken kwaadwillende bedrijven en personen die incidenten en datalekken gebruiken voor de verwerkingsverantwoordelijke af te persen.

De wetgever en de toezichthouders verwachten dat verwerkers van persoonsgegevens binnen 72 uur datalekken doorgeven aan verwerkingsverantwoordelijken. Om dit mogelijk te maken zijn er duidelijke afspraken, verwerkersovereenkomsten nodig waarin duidelijke afspraken over procedures en processen zijn gemaakt. De verschillende rollen van de verwerkingsverantwoordelijke, de verwerker van persoonsgegevens en de toezichthouder moet duidelijk zijn. Elke rol vervult een taak en heeft de beschikking over bevoegdheden. De FG ziet toe of coördineert de taken met als doel de belangen van de betrokkenen te dienen en de aansprakelijkheids- en kostenrisico’s voor de verwerkingsverantwoordelijke te beperken. De processen rond datalekken ondersteunt de verwerkingsverantwoordelijke en verwerker met een managementsysteem.

De achilles van het organiseren van datalekken is het opbouwen en behouden van een voldoende kennisniveau bij het management en de medewerkers datalekken te onderkennen en passend te handelen.

Wij laten in de cursus voorbeelden van een managementsysteem en bewustwordings- en trainingsprogramma’s zien.

Doelgroep

De FG ziet toe op de processen datalekken. De FG van een beperkte bedrijfsorganisatie zal veel uitvoerende taken vervullen in de processen datalekken. De CISO interesseert zich in de wettelijke en contractuele verplichtingen meldplicht datalekken en zal de definities van incidenten en datalekken willen gebruiken voor het organiseren van de informatiebeveiliging. De compliance manager zal regelmatig de effectiviteit van de meldplicht datalek procedures en processen toetsen. Het management zal de hulp van de compliance manager inroepen voor het onderzoeken van de oorzaak en bepalen van de gevolgen van geconstateerde datalekken.

Het management en de medewerkers maken gebruik van bewustwordings- en trainingsprogramma’s waarin cursussen aandacht geven datalekken; wat zijn datalekken en wat moet ik doen?

Cursuscategorie governance en compliance

Het organiseren van datalekken raakt alle facetten van het beschermen van persoonsgegevens (alle artikelen van de AVG). Wij kunnen artikel 33 AVG, meldplicht datalekken beschouwen als een essentieel onderdeel van de governance, risk en compliance.

De rol van de FG is bij het organiseren van het melden van datalekken niet vrijblijvend of kan naar believen worden ingericht. De wetgever en de toezichthouder verwachten inbreng van de FG én de FG ziet erop toe dat het organiseren van de verantwoordingsplicht adequaat plaatsvindt.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot de cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma goverance en compliance en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een juridische, bedrijfskundige of bestuurskundige achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Wij bieden een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga hier naar het overzicht met de programma’s en categorieën van cursussen.