In de cursus ‘Privacybeleid: compliance eisen, normenkader en privacy policy’ hebben wij voor en bedrijfshuishouding een normenkader voor privacy, beveiliging en compliance besproken. Het normenkader kunnen wij versterken met verschillende algemeen geaccepteerde raamwerken die een overzicht geven van categorieën van beheersdoelstellingen, zie bijvoorbeeld het wereldwijd geaccepteerd kader van de ISO, NEN – ISO 27001.
De ISO 27001 beschrijft procesmatig hoe een organisatie bedrijfs- en persoonsgegevens kan beveiligen met als doel om de vertrouwelijkheid, beschikbaarheid en integriteit van informatie binnen de organisatie zeker kan stellen. Het ISO 27002 kader beschrijft de beheers- en beveiligingsmaatregelen en biedt een verdiepingsslag op ISO 27001. In het ISO 27701 raamwerk is het beschermen van persoonsgegevens uitgewerkt.
Het NIST Security and Privacy Controls for Information Systems and Organisations is een ander raamwerk dat wij goed kunnen gebruiken bij het effectief beschermen van persoonsgegevens.
Het “omarmen” van een algemeen geaccepteerd beveiligings- en privacy-kader helpt een bedrijf met het toepassen van een risico gerichte aanpak voor het treffen van passende technische en organisatorische beheers- en beveiligingsmaatregelen gericht op het beschermen van persoonsgegevens.
Wij gebruiken in deze cursus de wettelijke en contractuele compliance verplichtingen die wij vertalen in beheers- en beveiligingsdoelstellingen die het bedrijf “by design” opneemt haar bedrijfsprocessen waarmee bedrijfsactiviteiten effectief zijn georganiseerd. Deze voorbereiding geeft richting aan de aard en omvang van de te treffen beveiligingsmaatregelen.
Het implementeren en beheren van een bedrijfsspecifiek privacy- en beveiligingskader vraagt van de organisatie aandacht. Zie ‘Informatiebeveiliging – toepassen en beheren’.
Wij zullen ons beperken tot de generieke beheers- en beveiligingsmaatregelen (general controls), casussituatie bespreken en een Privacy, Security Compliance administratie (PSCa) demonstreren waarin wij risicogericht beheers- en beveiligingsmaatregelen kunnen aangeven.
Doelgroep
De bedrijfsleiding, het management en de medewerkers hebben een belang bij het treffen van passende technische en organisatorische beheers- en beveiligingsmaatregelen gericht op het effectief beschermen de bedrijfs- en persoonsgegeven. De belangen zijn veelal niet hetzelfde maar voor een succesvolle implementatie en beheer liggen de belangen in elkaars verlengde.
Het management, CISO en compliance management formuleren en updaten de bedrijfskaders jaarlijks en passen – indien noodzakelijk – de interne en externe privacy-, security- en compliance-policy aan. Dit is een jaarlijkse cyclus en kan onderdeel zijn van de verantwoordingsverplichting. Nemen wij het security and privacy kader van het NIST dan onderkennen wij de volgende ‘control families’, zie ‘Security and Privacy Controls for Information Systems and Organizations’, NIST Special Publication 800-53 Revision 5.
Het kwaliteitspallet van de controledoelstellingen is integriteit, confidentialiteit, beschikbaarheid en afleggen van verantwoording over de werking van de beheersmaatregelen waarmee bedrijfs- en persoonsgegevens effectief beschermd worden. Opmerkelijke aandachtsgebieden zijn bewustwordings- en trainingsprogramma’s (AT), incident en datalek respons (IR) en managen van ketenaanspakelijkheid (SR). Wij zien dat de ‘control families’ aansluiten op de Europese Algemene Verordening Gegevensbescherming (AVG).
Plannen (PL) en Program Management (PM) sluit aan bij de rol van het management en de bedrijfsprojectcoördinator. Het management vraagt een coördinator te zorgen voor kennisontwikkeling of doorvoeren van veranderingen. De coördinator houdt rekening met de specifieke wensen/ opvattingen van medewerkers en de non-functionele privacy, security en compliance eisen. De FG bevestigt de non-functionele eisen en ziet toe op het behalen van de doelstellingen van de planning en het programma management.
In deze cursus behandelen casussen van aandachtspunten uit de wet (de juridische compliance eisen) en bedrijfsspecifieke kaders. Wij bespreken het risicogericht treffen van passende beheers- en beveiligingsmaatregelen (RA).
De generieke beheers- en beveiligingsmaatregelen treffen alle rollen van medewerkers.
Wij adviseren een In-house trainingsprogramma samen te stellen en op afroep aan nieuwe medewerkers te geven.
Doelen
Het doel van deze cursus is het bij de bedrijfsleiding, het management en de medewerkers opbouwen van een basiskennisniveau op het vlak van het treffen van generieke beheers- en beveiligingsmaatregelen.
- Waarom zijn generieke maatregelen essentieel voor het beschermen van bedrijfs- en persoonsgegevens?
- Waaruit bestaan generieke beheersmaatregelen en wat wordt er beschermd?
- Wat zijn applicatiegerichte en wat is datagerichte maatregelen?
- Hoe organiseert een bedrijf de inzet van generieke beheersmaatregelen?
- Wat is risicogericht treffen van passende beheers- en beveiligingsmaatregelen?
- Voorbeelden van hoe bedrijven succesvol generieke beheersmaatregelen toepassen en welke trainingen zouden wie moeten volgen?
Wij behandelen thematisch de beheers- en beveiligingsmaatregelen.
Het risicogericht treffen en managen van beheers- en beveiligingsmaatregelen geeft de bedrijfsleiding en het management inzicht is de robuustheid van de generieke bescherming. Wij bespreken aan de hand van een casus hoe een bedrijfsorganisatie de aansturing van generieke maatregelen kan organiseren. Wij betrekken een beheeromgeving van een Cloud leverancier en de toepassing PSCa.
Desgewenst kunnen wij een practicum inlassen.
Cursuscategorie organiseren van bedrijfsactiviteiten
Het ontwerpen, implementeren en beheren van de generieke technische en organisatorische beheers- en beveiligingsmaatregelen is voor vele organisaties een zoektocht. De CISO en de compliance manager adviseren de bedrijfsleiding over deze infrastructuur. De FG ziet erop toe dat er voldoende werkende maatregelen worden getroffen voor het effectief beschermen van persoonsgegevens.
