Ga naar de inhoud

Privacybeleid: compliance eisen, normenkader en privacy policy

Het beveiligingsbeleid rust op een raamwerk met relevante (wettelijke en contractuele) compliance eisen, verplichtingen en een – op basis van een risicogerichte aanpak – getroffen en te treffen beheers- en beveiligingsmaatregelen. Jaarlijks verantwoordt de bedrijfsleiding zich over de werking van de maatregelen waarmee persoonsgegevens effectief zijn beschermd en geeft aan welke aanvullende en andere maatregelen in het komende verantwoordingsjaar zullen worden genomen.

Het bedrijf organiseert het privacy-, beveiligings-, en compliance beleid in een jaarlijkse cyclus van formuleren van beoogde doelstellingen, treffen van maatregelen en voldoen aan de (wettelijke) verantwoording dat bedrijfs- en persoonsgegevens effectief zijn beschermd. Voor het beschermen van categorieën van gegevens maakt de bedrijfsleiding gebruik van een lifecycle die begint met het laten ontstaan van de gegevens tot het doen verwijderen van deze gegevens.

In deze cursus behandelen wij de beleidsvoorbereiding voor het opstellen van een privacybeleid, gegevensbeschermingsbeleid of privacy-, beveiligings- en compliance-policy.

Introductie van de docenten:

Afhankelijk van de aard en omvang van de verwerkingen van persoonsgegevens treft de verwerkingsverantwoordelijke passende technische en organisatorische maatregelen om te waarborgen en aan te tonen dat de verwerkingen in overeenstemming met de AVG-verplichtingen worden uitgevoerd (artikel 24.1 AVG). De bedrijfsleiding evalueert en indien nodig actualiseert de getroffen maatregelen. Ten behoeve van deze regelkring stelt de verwerkingsverantwoordelijke een passend gegevensbeschermingsbeleid op en voert het uit (artikel 24.2). Deze wettelijke verplichting past binnen good governance, risk en compliance zoals uitgewerkt in de corporate governance code die door beursgenoteerde bedrijven worden nageleefd en waarvan allerlei sectorale governance codes zijn afgeleid.

De wetgever vraagt van een verwerkingsverantwoordelijke een privacy-, beveiligings- en compliance-beleid dat wordt uitgevoerd. Als het beleid niet wordt uitgevoerd geeft de bedrijfsleiding aan wat de oorzaken zijn (de evaluatie) en ontwikkelt een nieuw beleid. Het getuigt van good governance dat het beleid onderdeel uitmaakt van de jaarlijkse maatschappelijke verantwoording (financiële verantwoording met toelichting plus bestuursverslag en een (samenstellings)verklaring van een registeraccountant).

Wat bepaalt het privacy-, beveiligings-, en compliance-beleid? Wij maken een opsomming:

  • De bedrijfsactiviteiten en de aard en omvang van de verwerkingen van persoonsgegevens;
  • Relevante wet- en regelgeving. Internationale, Europese en Nationale, sectorale, aanpalende wet- en regeling;
  • Relevante beheers- en beveiligingsstandaarden. Bijvoorbeeld ISO- en NIST-standaarden;
  • De risico-gerichte selectie van passende beheers- en beveiligingsmaatregelen; en
  • Het stelsel van monitoren van de compliance met de verplichtingen uit het beleid.

Als een verwerking categorieën van persoonsgegevens verwerkt gaat het verantwoordelijk management na of de verwerking voldoet aan de wettelijke criteria (geldige grondslag, data minimalisatie, passende beveiligings- en beheermaatregelen, naleven van de bewaartermijnen en de betrokkene moet haar rechten kunnen uitoefenen). Wij zouden de wettelijke criteria aan verwerkingen kunnen zien als een lifecycle van een gegevens-set.

De deelnemers aan de cursus leren aan de hand van de inventarisatie van de bedrijfsactiviteiten de verwerkingen, en hieraan gerelateerde gegevens-sets, te onderkennen. Elke gegevens-set gaat door een lifecycle. Vervolgens leert de deelnemer relevante wetgeving, als mede de uitleg, te onderkennen in “legal sources” en in perspectief te plaatsen. Er ontstaat een model van “compliance requirements” en “compliance concerns”. Uiteindelijk ontstaat een model voor het samenstellen van een hanteerbaar privacy-, beveiligings- en compliance-policy.

Doelgroep

Het management, onder leiding van de bedrijfsleiding, beoordeelt, ontwikkelt, implementeert en realiseert jaarlijks het privacybeleid. De FG beoordeelt het beleid en adviseert over eventuele aanpassingen. Het management en de medewerkers, de information security officer (CISO), de compliance manager realiseren het beleid en de accountant belast met de controle of het samenstellen van de jaarrekening beoordeelt de realisatie van het beleid en de aangedragen argumenten van het niet realiseren van het beleid marginaal en gaat na of het beleid voor het nieuwe jaar past binnen de financiële kaders.

Het afdelingsmanagement en medewerkers die bijzondere en omvangrijke verzamelingen van persoonsgegevens verwerken sturen en beheren deze verwerkingen. Hun betrokkenheid bij het opstellen, implementeren en beoordelen van het gegevensbeschermingsbeleid is essentieel voor het operationeel slagen van het beleid. Het vormen van beleid kunnen wij beschouwen als het startpunt van een veranderingsproces waarbij kennismanagement een bepalende rol speelt.

Afhankelijk van het beleidsvoornemen kan de doelgroep diverse zijn. De cursus biedt de FG, de CISO en de compliance manager waardevolle kennis. Het management, de trainingscoördinatoren en direct betrokken medewerkers van afdelingen die verantwoordelijk zijn voor het aansturen van persoonsgegevens ontvangen krijgen overzicht en inzicht in juridische compliance vereisten op het vlak van het beschermen van persoonsgegevens. Gezien de samenhang met kennismanagement programma’s kunnen wij ons voorstellen dat een bedrijf de voorkeur geeft aan een In house training.

Doelen

Het ontwikkelen en toepassen van het privacy-, beveiligings- en compliance-beleid hebben wij ondergebracht in twee cursussen:

De aanpak is generiek voor andere wettelijke- en contractuele verplichtingen.

De deelnemers kunnen na het volgen van deze cursus een juridische framework samenstellen met relevante wetgeving en op basis van dit framework juridische compliance eisen en aandachtspunten uitwerken. Wij behandelen een aantal veelvoorkomende normenkaders die aansluiten op de compliance eisen. Door de compliance eisen te categoriseren kan de cursist interne controledoelen benoemen die wij beschouwen als de pijlers waarop de privacy, beveiligings- en compliance-policy rust.

Wij staan stil bij de lifecycle van de gegevens-set van verwerkingen van persoonsgegevens.

De FG geeft de bedrijfsleiding advies over het samenstellen ven het privacy-beleid en ziet erop toe dat het beleid wordt gerealiseerd. Veelal stelt de FG het privacy-, beveiligings- en compliance-beleid op en bespreekt het beleid met de bedrijfsleiding.

Cursuscategorie governance en compliance

De wetgever beschouwt het gegevensbeschermingsbeleid als de eerste stap naar het treffen van passende technische en organisatorische beheers- en beveiligingsmaatregelen. De toezichthouder verwacht dat er beleid is. Afhankelijk van de bedrijfsactiviteiten en de wijze waarop die zijn georganiseerd geeft de verwerkingsverantwoordelijke het beleid risico gedreven vorm. Het formuleren van beleid moeten wij zien als uitkomst van een beleidscyclus. Met het doorlopen van de cyclus organiseert de bedrijfsleiding draagvlak bij het management en medewerkers het beleid uit te voeren.

Het beleid en de achterliggende overwegingen vormen ook het uitgangspunt voor het organiseren van het verantwoordingsmechanisme zoals dat in artikel 5.2 AVG is bedoeld.

De methode en de hulpmiddelen voor het beheren van de bedrijfsspecifieke “compliance sources”, het samenstellen van praktisch framework waaruit een bedrijf een samenhangend en toegankelijk overzicht kan samenstellen van compliance vereisten en aandachtspunten, kan voor elke wettelijke en contractuele verplichting worden uitgewerkt.

De rol is van de FG bij het uitschrijven van de privacy, security en compliance policies is niet vrijblijvend of kan naar believen worden ingericht. De wetgever en de toezichthouder verwachten inbreng van de FG én de FG ziet erop toe dat de in het beleid genoemde beheers- en beveiligingsmaatregelen worden geïmplementeerd en operationeel zijn met als doel dat de persoonsgegevens effectief beschermd zijn.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma goverance en compliance en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een juridische, bedrijfskundige of bestuurskundige achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Wij bieden een deelnemer een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin programma’s toegankelijk zijn (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga hier naar het overzicht met de programma’s en categorieën van cursussen.