Ga naar de inhoud

Lifecycle data protection management

De commissie LIBE heeft voorgesteld de AVG-verplichting in lifecycle data protection management op te nemen. In de uiteindelijke tekst van de AVG is deze verplichting niet opgenomen, echter, de structuur van de AVG is de lifecycle overeind gebleven. Wat wordt bedoeld met een dergelijk model? Wat zijn de uitgangspunten en de architecturen? Hoe is een en ander uitgewerkt in modellen voor Attribute Based Credentials en welke afsprakencomplexen liggen hieraan ten grondslag. In deze cursus bespreken wij de lifecycle data protection management.

Met behulp van lifecycle data protection management oefent de betrokkene regie uit over zijn of haar gegevens. Dat heeft de Europese commissie met behulp van twee projecten aangetoond.

In de cursus bespreken wij de gedachte achter lifecycle data protection management en refereren wij de twee uitwerkingen die wij mogen beschouwen als referentie voor lifecycles die thans operationeel zijn.

De cursus is theoretisch van aard en sluit goed aan bij de mogelijkheden van Cloud platformen. Wij kiezen in deze cursus het perspectief van de betrokkene die regie wenst uit te voeren over zijn/ haar leven/ gegevens.

Introductie van de docenten:

Doelgroep

De wetgever zet in de AVG de betrokkene centraal door hem of haar de regie (terug) te geven over de eigen gegevens. Het gevolg is dat de verwerkingsverantwoordelijke de rechten van de betrokkene dient te faciliteren. Wij noemen dat de AVG-verplichtingen.

Een persoon heeft een verzameling eigenschappen of attributen. Voorbeelden van persoonlijke eigenschappen kunnen zijn: gedisciplineerd, gedreven, enthousiast, gestructureerd, flexibel, empathisch enzovoort. De eigenschappen veranderen naarmate een persoon ouder wordt of andere posities vervult in het maatschappelijk leven.

Als een verwerkingsverantwoordelijke de beschikking krijgt over de gegevens over de eigenschappen van een betrokkene dan heeft de verwerkingsverantwoordelijke de verplichting deze gegevens actueel te houden. De verwerkingsverantwoordelijke draagt ook de verplichting de vertrouwelijkheid van deze gegevens te borgen en de gegevens beschikbaar te houden. Zijn de gegevens niet meer nodig dan vernietigt de verwerkingsverantwoordelijke de gegevens. Hiermee hebben wij de fases van de lifecycle data protection management aangegeven.

 Over de werking van de beheers- en beveiligingsmaatregel waarmee de persoonsgegevens effectief worden beschermd legt de verwerkingsverantwoordelijke verantwoording af.

Wij mogen verwachten dat een betrokkene zijn/ haar categorieën gegevens met behulp van een Personal Data Store (PDS) of een Persoonlijk identificeerbare informatie (PII) managet. De betrokken onderhoudt de eigen gegevens, maakt afspraken met de verwerkingsverantwoordelijke over het creëren, het opslaan, het gebruiken, het archiveren en het vernietigen van persoonsgegevens, ontvangt verantwoordingsinformatie over compliance met wettelijke en contractuele verplichtingen. Artikel 20 AVG, recht op overdraagbaarheid van gegevens of dataportabiliteit, zorgt ervoor dat de betrokkene probleemloos gegevens over eigenschappen met verschillende verwerkingsverantwoordelijken kan delen. Het komt erop neer dat niet de administratie van de verwerkingsverantwoordelijke centraal staat maar wel de administratie van de betrokkene.

De FG’s zien toe dat de rechten van betrokkenen in voldoende mate worden nagekomen.

Doelen

De Europese commissie heeft duidelijke doelen omschreven bij het aanbesteden van pilots voor PDS-infrastructuren waarmee betrokkenen lifecycle data protection management kunnen uitvoeren. Wij bespreken deze belangrijke pilots waarmee wij de deelnemers aan de cursus de intentie van de wetgever tonen.

Met behulp van lifecycle data protection management krijgt de betrokkene grip op de categorieën van gegevens met zijn of haar eigenschappen. Samengevat onderkennen wij de volgende fases van het gebruik van persoonsgegevens.

Wij bespreken de lifecycle en geven aan hoe de participatie van betrokkenen de kwaliteit van het verwerken van (persoons)gegevens kan verbeteren.

Er zijn inmiddels varianten van PDS/ PII ontwikkeld en operationeel beschikbaar gemaakt. Betrokkenen maken slechts op beperkte schaal gebruik van deze functionaliteiten.

Cursuscategorie organiseren van bedrijfsactiviteiten

Het in de cursus centraal zetten van de betrokkenen bij voeren van regie over persoonsgegevens vult een ander perspectief dan die van de verwerkingsverantwoordelijke. De betrokkenen managet de eigen categorieën van gegevens en maakt afspraken over het verwerken van de gegevens. De bedrijfsactiviteiten, bedrijfsprocessen en ondersteunende IT van de verwerkingsverantwoordelijke moet gereed zijn de betrokkene compliant met de eisen uit de AVG te bedienen.

De aard en omvang van de impact op bestaande processen en ondersteunende IT-systemen van verwerkingsverantwoordelijke als gevolg persoonsgedreven verwerkingen is omvangrijk.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma materieel en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige of bestuurskundige en juridische achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.