Ga naar de inhoud

Van assessments naar auditing

De bedrijfsleiding van een verwerkingsverantwoordelijke wil voldoen aan de verantwoordingsplicht voor het effectief beschermen van persoonsgegevens, zie artikel 5.2 AVG. De bedrijfsleiding verantwoordt zich achteraf over het effectief beschermen van persoonsgegevens voor een bepaalde periode. Een dergelijke verantwoording kan alleen als de bedrijfsleiding beschikt over voldoende systematisch verzameld en vastgelegd bewijs dat de getroffen beheers-, beveiligings-, en compliance maatregelen passend zijn en dat de persoonsgegevens effectief zijn beschermd.

De bedrijfsleiding zet haar verantwoording kracht bij door het hanteren van een verantwoordingsproces dat aansluit bij andere verantwoordingsprocessen, bijvoorbeeld de maatschappelijke en fiscale verantwoording. Sluitstuk van dit proces is de bevestiging van een onafhankelijke professional die de verantwoording bevestigt of er een – goedkeurende – verklaring/ mededeling bij afgeeft.

De wetgever voorziet in een dergelijk proces met een gedragscode, zie artikel 40 – 43 AVG.

Wij behandelen in deze cursus een verantwoordingsproces gericht op het voldoen aan de verantwoordingsplicht uit artikel 5.2 AVG. Ook bespreken wij het gebruik van een gedragscode aan de hand van de gedragscode van de vereniging van informatie ecosystemen, VIE.

Registeraccountants en IT Auditors eisen het gebied van het afgeven van verklaringen op. De wetgever vraagt niet om de betrokkenheid van een dergelijke professional. Toch behandelen wij een mogelijke rol van deze professionals bij het verantwoordingsproces omdat de bedrijfsleiding een integraal verantwoordingsproces kan vragen.

Introductie van de docenten:

Category:

In de cursus bespreken wij de wettelijk geboden mogelijkheden voor het afleggen van verantwoording over het effectief beschermen van persoonsgegevens. Het is kostenefficiënt een integraal verantwoordingsproces te gebruiken. Hierdoor maken wij kennis met de professionele regels van registeraccountants en IT-Auditors.

Doelgroep

Een verantwoordingsproces kan alleen bestaan als het verantwoordingsdomein, de bedrijfsprocessen waarmee de bedrijfsactiviteiten georganiseerd zijn en de formele organisatiestructuur met afdelingen en rollen helder zijn. In de bedrijfsprocessen zijn passende beheers-, beveiligings-, en compliance-maatregelen opgenomen en worden ondersteund door IT-systemen en aangestuurd door het management en de medewerkers. Deze administratieve organisatie en interne controlemaatregelen legt de bedrijfsleiding vast is een Privacy-, Security-, en Compliance-administratie (PSCa).

Gestructureerd en systematisch legt het management en medewerkers het bewijs van (niet) effectieve werking van de maatregelen in het PSCa vast. Het PSCa is uitgerust met een risicoregister waarin risico’s voor de vrijheid en het kunnen uitoefenen van rechten van betrokkenen inzichtelijk wordt gemaakt. In de systematiek is een PSCa niet anders dan een gebruikelijke financiële administratie.

Uitgaande van een adequaat beheerde PSCa waarop de FG op toeziet kan de bedrijfsleiding de wettelijke verantwoordingsplicht van artikel 5.2 organiseren.

Doelen

Het organiseren van de wettelijke verantwoordingsverplichting voor het effectief beschermen van persoonsgegevens vraagt om een administratie waarin het bewijs van effectieve werking van beheers-, beveiligings-, en compliance-maatregelen wordt verzameld en vastgelegd. Wij bespreken de functionele en non-functionele eisen aan een dergelijke Privacy-, Security-, en Compliance-administratie (PSCa).

De eisen aan een dergelijke administratie zijn vergelijkbaar met de eisen die aan een financiële administratie wordt gesteld. Is het de bedoeling van de bedrijfsleiding dat de verantwoordingsverplichting integraal met andere verantwoordingen wordt georganiseerd, en dat er een bevestiging bij de verantwoording van een professional of accountant moet komen dan werken wij de eisen verder uit in overeenstemming met de regels voor registeraccountants en IT-Auditors. Wij bespreken de eisen aan een adequate administratie en de gedachte achter het afgeleide object van onderzoek.

Een PSCa dat gebruikt kan worden voor andere verantwoordingen wint bij de bedrijfsleiding aan populariteit omdat het feitelijk “meer voor de prijs van één” is. Wij bespreken hoe wij van de PSCa een integraal verantwoordingscentrum kunnen maken.

De bedrijfsleiding kan op verschillende manieren een bevestiging bij een verantwoording ontvangen. Er is de traditionele wijze van het uitvoeren van een (IT-)audit waarbij een ISAE-3000- of -3402-verklaring door een registeraccountant of IT-Auditor wordt afgegeven. Het is ook mogelijk gebruik te maken van een gedragscode zoals uitgewerkt in artikel 40 – 43 AVG. Wij zullen de verschillende methodes toelichten en voorbeelden bespreken.

Cursuscategorie Assessment & Audit

Een professional of accountant kan slechts een audit uitvoeren als er een adequaat afgeleid object van onderzoek is. Na een succesvol onderzoek van de professional naar de geschiktheid van de PSCa met het bewijs van effectieve werking van beheersmaatregelen gaat de professional aan de slag met zijn werkzaamheden. De uitkomsten is al dan niet een bevestiging bij de verantwoording van de bedrijfsleiding.

Organisatie van de opleiding

Vanuit uw persoonlijke leeromgeving heeft u toegang tot deze cursus. Ervaren FGs met toereikende bedrijfs- en professionele auditingkennis verzorgen deze cursus. Zij verzorgen het programma assessment & audit en adviseren u ingebrachte stukken te bestuderen voordat u deelneemt aan de workshop. In de cursus zijn diagnostische toetsen opgesteld waarmee u uw kennisniveau kunt testen. In de workshop behandelt de docent een aantal casussituatie waarin uw bijdrage gewenst is. U heeft de gelegenheid vraagstukken uit de praktijk aan de docent voor te leggen.

Na het volgen van de workshop bereidt de docent tentamenvragen voor die u vanuit uw leeromgeving kunt uitwerken en aan de docent aanbiedt.

Na het succesvol afronden van het tentamen blijft de cursus voor u beschikbaar. De docenten onderhouden de cursus en het staat u vrij hiervan kennis te nemen. Het is aan te bevelen om de twee jaar de workshop bij de cursus opnieuw te volgen.

De docenten

De docenten hebben een bedrijfskundige, juridische, compliance en auditing en IT achtergrond, voldoende kennis van het brede veld van het beschermen van persoonsgegevens en hebben ervaringen met het beschermen van persoonsgegevens bij bedrijven en instellingen (adviseren, vervullen van de rol van FG en of bijstaan van bedrijven in rechtszaken of uitvoeren van onderzoeken door de toezichthouder).

Aanmelding en investering

Duthler Academy biedt een cursist een persoonlijke leeromgeving op de bedrijfsspecifieke leeromgeving aan waarin de het programma opleiding functionaris voor gegevensbescherming toegankelijk is (cursist kan ook kiezen voor een persoonlijke leeromgeving van de leeromgeving van Duthler Academy).

De zelfstudie duurt ongeveer 16 uur en het uitvoeren van een diagnostische toets 2 uur. Het volgen van de workshop is 4 uur op onze locatie. De cursus is van 10:00 tot 14:00 en het tentamen is 2 – 4 uur. Aantal PE-punten: 4.

Neem contact op met de servicedesk als u vragen heeft. Ga naar het overzicht met de programma’s en categorieën van cursussen.