Ga naar de inhoud

Transparantie en effectueren van rechten aan betrokkenen

Met de AVG geeft de wetgever de betrokkene controle en regie over eigen gegevens. Het gevolg is dat de verwerkingsverantwoordelijke transparant naar de betrokkene moet zijn over voor welke doelen en op welke wijze de persoonsgegevens van een betrokkene worden verwerkt. Het resultaat van transparant zijn is dat de betrokkene in staat is te beoordelen in hoeverre de bescherming van zijn of haar persoonsgegevens effectief is. Als de betrokkene van oordeel is dat de bescherming ontoereikend is dan kan hij of zij haar rechten uitoefenen (zie cursus Overzicht huidige privacywetgeving).

De centrale vraag in deze cursus is: hoe organiseert een verwerkingsverantwoordelijke en verwerker van persoonsgegevens voldoende transparantie en wat is ervoor nodig om betrokkenen te faciliteren hun rechten te laten uitoefenen? Het beantwoorden van deze vraag vindt plaats tegen de achtergrond dat de verwerker bepaalt in hoeverre de door de verwerkingsverantwoordelijke verstrekte informatie transparant en toegankelijk is. In het kader van het uitoefenen van toezicht of gerechtelijke procedures moet de verwerkingsverantwoordelijke aantonen dat er informatie aan betrokkenen is verstrekt én dat de betrokkenen de informatie begrijpen. Bij het organiseren van transparantie over verwerkingen van persoonsgegevens en faciliteren van rechten van betrokkene zal de verwerkingsverantwoordelijke gebruik wensen te maken van een privacy, security en compliance administratie (PSCa, zie Overzicht & inzicht in de verantwoordelijkheden & aansprakelijkheden).

In deze cursus bespreken wij de situaties waarin de aandacht voor het organiseren van transparantie nodig is en hoe een verwerkingsverantwoordelijke en verwerker van persoonsgegevens de rechten van betrokkenen kan organiseren.

In die gevallen waarin persoonsgegevens worden doorgegeven naar derde landen omdat bedrijven hun bedrijfsactiviteiten internationaal hebben georganiseerd, stelt de AVG nadere eisen. Deze eisen gelden ook voor de wijze waarop betrokkenen hun rechten kunnen uitoefenen. Speciale aandacht gaat in deze cursus dan ook uit naar het in Europees en internationaal verband organiseren van rechten van betrokkenen. Deze rechten zijn gespiegeld in de verplichtingen van verwerkersverantwoordelijken en verwerkers van persoonsgegevens. Hoe kan de bedrijfsleiding dit met legal operations in de diverse lidstaten en derde landen effectief organiseren, welke documenten en contracten zijn nodig en hoe organiseert het bedrijf het contractmanagement?

Transparantie over het verwerken van persoonsgegevens en faciliteren van rechten van betrokkenen is een weerbarstig onderwerp. Het handmatig voldoen aan deze vereisten trekt een operationele wissel op de organisatie. Een adequate ondersteuning bestaat uit een effectief PSCa en kennismanagement beschermen persoonsgegevens, doortastende compliance en een praktische FG.

Introductie van de docenten:

Doelgroep

Het register van verwerkingen toont alle bedrijfsprocessen van een verwerkingsverantwoordelijke waarin een afdeling persoonsgegevens verwerkt. De bedrijfsleiding ondersteunt het register van verwerkingen met een privacy, security en compliance administratie (PSCa) omdat de administratie niet ter discussie mag komen te staan. De administratie ondersteunt ook de transparantieverplichtingen en rechten van betrokkene. De FG ziet toe op het toepassen van de PSCa en voor organisaties met een beperkte personele bezetting verzorgt de FG zelf de administratie.

In deze cursus behandelen wij informatie en toegang tot persoonsgegevens (afdeling 2 AVG). De betrokkene heeft recht op transparantie over hoe zijn of haar persoonsgegevens worden verwerkt en op toegang tot deze gegevens.

De transparantieverplichting kan voor het afdelingsmanagement een weerbarstige vraagstukken zijn. Het externe privacy beleid geeft de betrokkene een idee hoe het bedrijf met persoonsgegevens wordt omgegaan (zie het privacybeleid – interne en externe privacy beleid). De interne controle en compliance maatregelen geven informatie over de effectiviteit van het gehanteerde beleid. Deze informatie kan het afdelingsmanagement gebruiken om aan betrokkene te verstrekken (een voorbeeld van het door een bedrijf verstrekken van risicogerichte informatie aan het maatschappelijk verkeer is het Accountability Seal Register van MYOBI Vertrouwensnetwerk).

De verwerkingsverantwoordelijke, in het bijzonder het afdelingsmanagement, communiceert met de betrokkene in een beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm en in duidelijke en eenvoudige taal, in het bijzonder wanneer de informatie specifiek voor een kind bestemd is (artikel 12 AVG).

Voor het verwerken van persoonsgegevens is een grondslag nodig (artikelen 5 en 6 AVG). Als de grondslag toestemming van de betrokken of een overeenkomst is dan ligt dit vast in de PSCa. Het verantwoordelijk afdelingsmanagement beheert de overeenkomsten en toestemmingen.

De betrokkene heeft toegang tot de eigen persoonsgegevens (afdeling 2 AVG). Voordat de verwerkingsverantwoordelijke informatie kan verstrekken is de authenticiteit van identiteit van de betrokkene vastgesteld en het verzoek duidelijk. Het proces van het afwerken van het verzoek documenteert de verwerkingsverantwoordelijke in het PSCa.

De afdelingsmanager benoemt een coördinator die de verzoeken van betrokkenen verzorgt, het proces documenteert en interne controle uitoefent. De compliance-manager doet onderzoek naar het afwerken van verzoeken en documenteert de uitkomsten van de onderzoeken. De FG adviseert de afdelingscoördinator en ziet toe op het PSCa.

Internationaal opererende bedrijven die de rechten van betrokkenen en verplichtingen van verwerkersverantwoordelijken en verwerkers van persoonsgegevens wensen te organiseren staan centraal in deze cursus. Hoe kan de bedrijfsleiding de legal operations op internationale schaal effectief organiseren, welke documenten en contracten zijn nodig en hoe organiseert het bedrijf het contractmanagement.

De effectiviteit van getroffen juridische beheersmaatregelen is afhankelijk van het gedeeld kennisniveau van de medewerkers die de maatregelen moeten toepassen. Wij bevelen aan In house trainingen toe te passen met als doel een bedrijfsspecifiek gedeeld kennisniveau beschermen persoonsgegevens in stand te houden.

Het is belangrijk dat ook andere medewerkers die betrokken zijn bij het organiseren van het effectueren van de rechten van betrokkenen, ook op Europese schaal en internationaal verband, beschikken over eenzelfde kennisniveau. Afhankelijk van de aard en omvang van de verwerkingen is het aan te bevelen deze medewerkers In house trainingen aan te bieden als onderdeel van het kennismanagement.

Wij adviseren sowieso een In-house trainingsprogramma samen te stellen en op afroep aan nieuwe medewerkers aan te bieden.

Voor de genoemde rollen zijn verschillende leerpaden beschikbaar.

Doelen

De rechten van betrokkenen serieus nemen door het treffen van passende maartregelen helpt compliant te zijn met wettelijke verplichtingen én het versterkt de relatie met consumenten klanten en medewerkers. Na het volgen van deze cursus kan de deelnemer een inschatting maken van de scope en reikwijdte van de te treffen maatregelen gericht op transparant zijn over het verwerken van persoonsgegevens en adequaat faciliteren van betrokkenen die hun rechten uitoefenen.

De rechten van een betrokkene is duidelijk omschreven in de AVG en uitgewerkt door toezichthouders in guidelines. Het doel van het uitoefenen van de rechten door een betrokkene kan verschillend zijn. Een betrokkene wenst geïnformeerd te worden over verwerkingen van persoonsgegevens, het kan een reactie zijn op signalen in de media of de betrokkene wij de relatie met de verwerkingsverantwoordelijke terugbrengen tot een minimum. Op basis van de opgedane kennis kan de deelnemer aan de cursus een risico gerichte strategie en een realistisch stappenplan ontwikkelen met als doel te voldoen aan de rechten van de betrokkene.

In een strategie met bijpassend stappenplan past het toepassen van een PSCa.

Gezien de aard en omvang van het vraagstuk van voorzien in de rechten van betrokkenen zal een in house programma aanspreken voor medewerkers die belast zijn met het organiseren van deze rechten. Desgewenst kunnen wij een practicum inlassen.

Cursuscategorie organiseren van bedrijfsactiviteiten

Het adequaat faciliteren van de rechten van betrokkene is essentieel om compliant te zijn met wettelijke verplichtingen op het vlak van het beschermen van persoonsgegevens. De aard en omvang van de faciliteiten vragen om IT-middelen die de bedrijfsprocessen ondersteunen.

Het faciliteren van de rechten van betrokkene scharen wij onder eerlijk zakendoen en hebben daarom een breder toepassingsgebied dan het effectief beschermen van persoonsgegevens.

Bij het selecteren van een PSCa vormen faciliteren van de rechten van betrokkene functionele eisen.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot de cursus. Ervaren FGs verzorgen deze cursus. Zij verzorgen het programma materieel en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige of bestuurskundige en juridische achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.