Ga naar de inhoud

Overzicht en inzicht in de verantwoordelijkheden

De verwerkingsverantwoordelijke en verwerker van persoonsgegevens moeten overzicht en inzicht hebben in alle verwerkingen waarvoor hij verantwoordelijk en aansprakelijk is. De AVG verplicht hier zelfs toe (artikel 30 AVG, Register van de verwerkingsactiviteiten). De meldplicht datalekken, waaraan de verantwoordelijke onverwijld moet voldoen, vereist dat de verwerkingsverantwoordelijke zich goed heeft voorbereid.

Dit betekent dat niet alleen de verwerkingen moeten worden gedocumenteerd, maar meer nog dat inzicht gaat ontstaan in:

  • Corporate family met juridische entiteiten;
  • Per entiteit een hiërarchisch overzicht van bedrijfsactiviteiten, bedrijfsprocessen en rollen en een hiërarchisch afdelingen en rollen;
  • In de bedrijfsprocessen zijn de rollen met taken, bevoegdheden en verantwoordelijkheden en beheers- en beveiligingsmaatregelen opgenomen. De bedrijfsprocessen worden door IT-systemen ondersteund en medewerkers die rollen vervullen sturen de bedrijfsprocessen aan;
  • De verwerkingsverantwoordelijke gebruikt een risicogerichte aanpak bij het bepalen van de aard en omvang van de beheers- en beveiligingsmaatregelen; en
  • Interne controle en compliance informatie geven de werking van de getroffen beheers- en beveiligingsmaatregelen aan waarmee de persoonsgegevens effectief beschermd worden.

Het register van verwerkingen ondersteunt de verwerkingsverantwoordelijke met een passende privacy-, security- en compliance-administratie. Ter voorkoming van het door een toezichthouder verwerpen van een dergelijke administratie zal de administratie voldoen aan de verplichtingen die de fiscus stelt aan een financiële administratie.

Introductie van de docent(en):

Doelgroep

De bedrijfsleiding en het afdelingsmanagement hebben er bedrijfsmatig een belang bij dat er overzicht en inzicht is in de bedrijfsactiviteiten en bedrijfsprocessen. Met behulp van het overzicht weet de verwerkingsverantwoordelijke het verantwoordelijkheids- en aansprakelijkheidsdomein te bepalen. De bedrijfsleiding heeft het inzicht in de bedrijfsactiviteiten nodig voor het organiseren van de bedrijfsactiviteiten met bedrijfsprocessen waarbij de persoonsgegevens effectief worden beschermd worden. Het inzicht leidt tot een kostenefficiënte verwerking van bedrijfs- en persoonsgegevens.

Op bedrijfsniveau benoemt de bedrijfsleiding een reputatiemanager die zorgt voor het beheer van de juridische (holding, werkmaatschappijen en samenwerkingsverbanden) en functionele structuren die bestaan uit bedrijfsactiviteiten, bedrijfsprocessen en rollen plus bedrijfsactiviteiten, afdelingen en rollen,

Op afdelingsniveau benoemt een manager een coördinator die zorgt dat medewerkers gekoppeld worden aan rollen.

De CISO en compliance-manager vervullen adviserende rollen en de FG ziet toe het register, het PSCa.

Het opbouwen van het verantwoordelijkheids- en aansprakelijkheidsdomein is een bedrijfsspecifieke klus en raakt alle onderdelen van de bedrijfsorganisatie. Wij adviseren een In house trainingsprogramma samen te stellen en op afroep aan nieuwe medewerkers te geven.

Doelen

Het register van verwerkingen mag – tijdens toezicht door de Autoriteit Persoonsgegevens of procedures bij een rechtbank – niet ter discussie staan. In het kader van belastingheffing gaat de belastingdienst er van uit dat de administratie accuraat is opgebouwd en onderwerp van interne controle is. Een overzicht uit een spreadsheet leidt al snel tot het verwerpen van een dergelijke administratie.

In deze cursus bespreken wij de criteria aan een administratie; in deze situatie de PSCa. Vervolgens geven wij aan wat een verwerkingsverantwoordelijke mag verwachten van een dergelijke administratie. Een overzicht met alle verwerkingen van persoonsgegevens plus de uitkomsten van interne controle dat het overzicht volledig is.

In de AVG zijn er meer verplichtingen die vragen om een PSCa. Denk bijvoorbeeld aan het systematisch vastleggen van toestemmingen van betrokkene. De PSCa kunnen wij ook gebruiken voor het vastleggen van overwegingen die ten grondslag liggen aan juridische compliance verplichtingen. Een essentiële toepassing is het vastleggen van bewijs van effectieve werking van getroffen beheers- en beveiligingsmaatregelen.

De reputatiemanager beheert het overzicht met de corporate family (holding en werkmaatschappijen). Hierbij horen ook de samenwerkingsverbanden uitgewerkt in vennootschappen onder firma of joint ventures. Vervolgens werkt de reputatiemanager in samenwerking met het management de bedrijfsactiviteiten, bedrijfsprocessen en rollen uit, alsmede de bedrijfsactiviteiten, afdelingen en rollen.

In de PSCa legt de verwerkingsverantwoordelijke controledoelen en bevindingen uit interne controle en compliance processen vast. De confrontatie van doelstellingen en bevindingen beoordeelt de verwerkingsverantwoordelijke met behulp van een Risk Register als onderdeel van de PCSa. Op deze wijze krijgt de bedrijfsleiding en het management inzicht in de aansprakelijkheids- en kostenrisico’s.

In de gebruikelijke verantwoordingscyclus vormt de PSCa het object van onderzoek voor het organiseren van de verantwoordingsverplichting.

Tijdens de workshop van de cursus laten wij voorbeelden van PDSa zien. Desgewenst kunnen wij een practicum inlassen.

Cursuscategorie organiseren van bedrijfsactiviteiten

Het opbouwen van een register van verwerkingen (artikel 30 AVG en andere registratieverplichtingen) dat voldoet aan de fiscale eisen aan een administratie vraagt om een professionele ondersteuning van een IT-systeem. Met behulp van een Risk Register kan een verwerkingsverantwoordelijke daadwerkelijk risico-gericht beheers- en beveiligingsmaatregelen treffen.

De inventarisatie van de IT-systemen en informatie over welke bedrijfsprocessen door dergelijke systemen ondersteund worden biedt de bedrijfsleiding en het management waardevolle informatie over de passendheid en mogelijkheden systemen te vervangen door betere.

De rol van de FG ziet toe dat alle verwerkingen van persoonsgegevens in het register van verwerkingen zijn opgenomen. Bedrijfsorganisaties met een bescheiden rol zal de FG het register met verwerkingen voeren. Het is verstandig dat de bedrijfsleiding de FG ondersteunt met een adequaat PSCa voor het voeren van de administratie van verwerkingen en andere administratieve verplichtingen uit de AVG.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot de cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma materieel en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een juridische, bedrijfskundige of bestuurskundige achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Wij bieden een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga hier naar het overzicht met de programma’s en categorieën van cursussen.