mei 21, 2018

Privacy en Data Protection in de praktijk voor de publieke sector

5-daagse Privacy & Data Protection opleiding met stappenplan, praktijkopdrachten en examen.

Vanaf 25 mei 2018 hebben publieke organisaties grote en ongekende verantwoordelijkheden in het kader van privacy- en gegevensbescherming. Er zijn tal van nieuwe verplichtingen plus de verantwoordelijkheid (accountability) om aan te tonen dat organisaties zich houden aan de nieuwe Europese privacywet (AVG of GDPR).

Inhoud training

In deze complete en actuele opleiding worden alle eisen behandeld waaraan publieke organisaties moet voldoen. Tal van specifieke en complexe onderwerpen op het gebied van privacy en data protection komen aan bod, zoals de rol en taken van de Data Protection Officer (DPO/FG), Data Protection Impact Assessment (DPIA), Big Data, de Meldplicht Datalekken, privacy audits, Privacy by Design (PbD), de Wet openbaarheid van bestuur (WOB), de Wet op de economische delicten (WED) en privacy bij publiekszaken, integratie van het privacybeleid in het informatiebeveiligingsbeleid en tal van andere privacygerelateerde onderwerpen.

Deze praktijkopleiding toetst of je beschikt over de noodzakelijke actuele (theoretische) kennis en met name op het praktisch kunnen toepassen van de nieuwe privacy-wetgeving. Voor alle organisaties is het een behoorlijke uitdaging om de theorie om te zetten naar de praktijk. Het vereist het nodige uitzoekwerk en ervaring om deze vertaalslag te kunnen maken.

De docenten staan je met raad en daad en vele tips terzijde staan. Er is ruimschoots gelegenheid vragen te stellen aan de zeer deskundige experts.

Aan de hand van diverse praktijkopdrachten en een examen (thuisopdracht) kun je zelf toetsen welke kennis en deskundigheid (eventueel) nog ontbreken. De uitslag van het examen wordt (via Skype of vergelijkbaar) met je besproken. Je kunt dan ook nog vragen stellen.

Doelgroep

De verplichting tot het aanstellen van een Data Protection Officer (DPO/FG) geldt voor alle overheidsorganisaties en vrijwel alle organisaties in de publieke sector en voor niet-publieke organisaties die persoonsgegevens (en/of speciale categorieën persoonsgegevens) verwerken. Deze 5-daagse praktijkopleiding richt zich met name op de kennisbehoefte van publieke organisaties.

Wij denken dan bijvoorbeeld aan de centrale overheid (ministeries), provinciehuizen, gemeentes, gemeentelijke organisaties (gemeenschappelijke regelingen), publiekrechtelijke organen, zorginstellingen, onderwijs, scholen, rechtbanken, politie en justitie, de Belastingdienst, uitvoerende gemeentelijke instellingen zoals arbo en groenvoorziening, rekenkamers en alle overige uitvoerende organen en organisaties die een bewerkersrelatie (of contractuele relatie) hebben met een overheidsinstantie of een overheidsorgaan.

De opleiding is met name bedoeld voor (toekomstige) Data Protection Officers (DPO’s/FG’s) en iedereen binnen de publieke sector die zijn of haar kennis over privacy en data protection wil actualiseren en toetsen en/of medeverantwoordelijk is voor de verwerking en beveiliging van persoonsgegevens.

Daarnaast denken wij o.a. aan privacy functionarissen, CISO’s, informatiebeveiligers, compliance officers, beveiligingsbeheerders BRP, IT security managers, security officers Suwinet, IT managers, (staf)juristen, privacy juristen, beleidsmedewerkers (juridische zaken), ( overheids)accountants, advocaten, informatiemanagers, informatie analisten, data managers, projectmanagers privacy, (privacy) auditors, fraude en/of veiligheidscoördinatoren, coördinatoren toezicht, klachtenfunctionarissen,  risk managers, HR managers, (juridische)controllers, Business Intelligence (BI) professionals en alle (interne en externe) adviseurs op bovengenoemde terreinen.

Je hebt geen voorkennis nodig om deze praktijkopleiding succesvol te kunnen doorlopen.

Wat je leert in de training

In deze actuele en praktijkgerichte Privacy Impact Assessment (PIA) training leer je onder andere:

  • wanneer een PIA verplicht is;
  • wat een PIA inhoudt;
  • hoe het PIA proces pragmatisch kan worden ingericht;
  • welke kernelementen bij de uitvoering van een PIA horen;
  • hoe u een PIA zo praktisch mogelijk kunt aanpakken;
  • wat de do’s en don’ts zijn;
  • welke praktische (toets)modellen en meetmodellen u voor een PIA kunt gebruiken;
  • hoe u een goede business case voor een PIA opstelt;
  • welke implementatie maatregelen u kunt nemen;
  • hoe u een privacy by design raamwerk kunt opstellen voor systeem- en productontwikkeling; en
  • lessons learned en ‘best practices’ uit zowel het bedrijfsleven als de publieke sector.

Door middel van praktische voorbeelden en oefeningen kom al deze vragen aan bod. Aan de hand van een casus leer je met behulp van een Privacy Impact Assessment (PIA) de privacy-risico’s te identificeren en oplossingen hiervoor te evalueren. Je krijgt praktische tips voor het vertalen van de uitkomst van de PIA naar de maatregelen die je kunt nemen voor een goede uitvoering van het projectplan.

Lesprogramma

DAG I ALGEMENE VERORDENING GEGEVENSBESCHERMING (AVG) – KERNPUNTEN

De AVG/GDPR in het publieke domein

  • GDPR/AVG implementatiewet, implementatieplan en implementatieprocessen
  • Compliance in 5 stappen
  • De rol van de DPO/FG bij implementatie
  • De rol van het (lijn)management bij de implementatie
  • Do’s en don’ts bij de implementatie van de EU GDPR/AVG
  • Bestuurlijk-politieke verhoudingen in de publieke sector
  • De bijzondere juridische privacy context in het publieke domein
  • De relatie tussen AVG en bijzondere publiekrechtelijke wetgeving
  • Wet maatschappelijke ondersteuning (WMO)
  • Wet Jeugdzorg
  • Participatiewet
  • Wet basisregistratie personen (BRP)
  • Suwi-wetgeving
  • Wet openbaarheid van bestuur (WOB)
  • Gebruik van het BSN-nummer
  • Wet politiegegevens en het delen van persoonsgegevens
  • Openbare orde en veiligheid
  • GIBIT (inkoopvoorwaarden) en privacy

De Algemene Verordening Gegevensbescherming (AVG) – praktische implementatie

  • Het AVG implementatiemodel voor de publieke sector (5 logische stappen)
  • Rol, positie en taken van het implementatieteam
  • Profiel samenstelling van het implementatieteam
  • Alignment met de privacy visie, missie en strategie
  • Implementatiematrix GDPR/AVG
  • Implementatie transponering privacy principles
  • Implementatie van harde en zachte privacynormen
  • Implementatie transponering privacy principles, rechten van betrokkenen, bewerkersovereenkomsten, gegevensverstrekking buiten de EU
  • Bezwaar-, beroep- en klachtenprocedures
  • Toezicht, rol, positie en taken van de DPO/FG
  • Informatie- en adviesplicht van de DPO/FG
  • De rol van DPIA (Data Protection Impact Assessment) in de publieke sector
  • Risicobeoordelingen DPIA
  • Evidence produceren
  • Data governance
  • Geheimhoudingsplicht van het implementatieteam

DISCUSSIE

Heeft uw eigen organisatie een plan van aanpak dat voldoet aan de AVG?

Taken, positionering en functieprofiel van de publieke Data Protection Officer (DPO/FG)

  • Professionele kwaliteiten van de Data Protection Officer (DPO/FG)
  • Vereiste deskundigheid op het gebied van wet- en regelgeving
  • Taakgerichte competenties
  • Monitoren, informeren en adviseren
  • De contactfunctie van de publieke DPO/FG
  • De positie van de publieke DPO/FG
  • Geheimhoudingsverplichtingen
  • Accountability van de publieke DPO/FG
  • Relatie met de Autoriteit Persoonsgegevens (AP)

DISCUSSIE

Hoe ziet het functieprofiel van de Data Protection Officer (DPO/FG) voor uw eigen publieke organisatie eruit?

Opzet en structuur van het privacy plan

  • Het privacy profiel van uw organisatie
  • Privacy nulmeting
  • PDCA-cyclus
  • Compliance monitoring
  • Klachtafhandeling
  • Internationaal verkeer van persoonsgegevens
  • Kernpunten van toezichtsmanagement
  • Accountability
  • Privacy governance

DAG II HET WERKPLAN VAN DE PUBLIEKE DATA PROTECTION OFFICER (DPO/FG)

Het DPO privacyplan – privacy visie, beleid en strategie

  • Stappenplan
  • Privacy profiel van uw organisatie
  • Strategische privacy doelen
  • Gedrag en cultuur
  • Privacy awareness programma: inhoud, opzet en management

Inventarisatie en register van verwerkingen

  • Stappenplan
  • De rol van de publieke Data Protection Officer (DPO/FG) bij het inventariseren van verwerkingen
  • Data flow processchema’s
  • Privacy zorgplichten en inventarisaties van verwerkingen
  • Toezichtsprofiel van inventarisaties van verwerkingen
  • Informeren en adviseren volgens de AVG/GDPR
  • Belang van een goede inventarisatie voor de uitoefening van de taken van de DPO/FG
  • Een praktische methode voor risicoclassificaties van inventarisaties

De privacy nulmeting, privacy awareness en privacy compliance

  • Stappenplan
  • De toegevoegde waarde van een privacy nulmeting
  • Opstellen van een privacy nulmeting
  • Belang van data flow processchema’s
  • Privacy zorgplichten in het perspectief van de privacy nulmeting

Privacy awareness in de publieke sector

  • Opzet en structuur van een privacy awareness programma in het publieke domein
  • Cultural Change Management (CCM)
  • Effectief stimuleren van privacy bewustwording
  • Nut en noodzaak van passende maatregelen
  • Bevorderen van samenwerking met stakeholders
  • Omgang met conflicten
  • Omgang met belangenverstrengelingen
  • Opzet van een effectieve klachtenprocedure
  • Externe stakeholder rapportage
  • Relationship theory en privacy relatiemanagement (werknemers, burgers, NGO’s en toezichthouders)

DISCUSSIE

Hoe ziet de opzet van een privacy awareness programma eruit?

Privacy risicomanagement

  • De privacy gap-analyse
  • Stappenplan
  • Toegevoegde waarde van een privacy gap-analyse
  • Opstellen van een privacy gap-analyse
  • Privacy zorgplichten

Het privacy implementatieplan

  • Positionering en toegevoegde waarde van de Data Protection Officer (DPO/FG) in het privacy implementatieplan
  • De rol van de DPO/FG bij het bepalen van de ambitieniveaus
  • De rol van de DPO/FG bij het vaststellen van een privacy implementatieplan

Samenwerking en gegevensuitwisseling met ketenpartners

  • Publiekrechtelijke en niet-publiekrechtelijke samenwerkingsverbanden zoals gemeenschappelijke regelingen
  • Rol en meerwaarde van een convenant bij samenwerking
  • Aandachtspunten en valkuilen bij gegevensuitwisseling
  • Aandachtspunten voor de DPO/FG bij een bewerkersovereenkomst
  • Wat is de rol van de DPO/FG in samenwerkingsverbanden?
  • Praktijkvoorbeelden: aanpak hennepteelt, georganiseerde criminaliteit, slimme samenleving (‘smart cities’)

DAG III TOEZICHTSTAKEN VAN DE DATA PROTECTION OFFICER (DPO/FG)

Het evaluatie- en mitigatieplan

  • Stappenplan
  • Toegevoegde waarde van de publieke Data Protection Officer (DPO/FG)
  • Rol van de DPO/FG bij het bepalen van de ambitieniveaus in het evaluatie- en mitigatieplan
  • Rol van de DPO/FG bij het vaststellen van mitigaties
  • Rol van de DPO/FG bij het vaststellen van het evaluatie- en mitigatieplan

Privacy audits

  • Stappenplan certificering en auditing
  • Toegevoegde waarde van de DPO/FG in certificeringstrajecten
  • De rol van de DPO/FG bij het creëren van compliance evidence

Integraal toezichtsmanagement model van de publieke DPO/FG

  • Toezicht Key Performance Indicators (KPI’s)
  • Toezicht KPI’s meerjaren perspectief
  • Toezicht evidence
  • Data flow proces management voor toezicht
  • Privacy zorgplichten in het perspectief van toezichtsmanagement
  • Informeren en adviseren
  • Toezicht en handhaving gedurende het implementatietraject

De externe Data Protection Officer (DPO/FG)

  • Service Level Agreements (SLA’s)
  • Deliverables

DISCUSSIE

Welke elementen bevat een goed toezichtsplan voor de DPO/FG?

DAG IV PRIVACY KNELPUNTEN IN DE PUBLIEKE SECTOR

Beveiliging van persoonsgegevens in het publieke domein

  • Visie van de Autoriteit Persoonsgegevens (AP) op de beveiliging in het publieke domein
  • Informatiebeveiliging in het publieke domein (BIG)
  • De rol van de publieke CISO op het gebied van privacy en data protectie
  • PRAKTIJKCASE Privacy by Design (PbD)
  • PRAKTIJKCASE Privacy by Default
  • Data Protection Impact Assessments (DPIA’s) in het publieke domein
  • DPIA rapportages in het publieke domein
  • DFM (Data Flow Management) in het publieke domein
  • Eisen die de GDPR/AVG stelt aan de beveiliging van persoonsgegevens
  • Vertaling van de wettelijke beveiligingseisen in uitgangspunten voor het informatiebeveiligingsbeleid
  • Integratie van het privacybeleid en het informatiebeveiligingsbeleid
  • Relatie met de informatiebeveiligingsnormen (zoals ISO 27001)

Datalekken

  • Meldplicht datalekken
  • De rol van de publieke Data Protection Officer (DPO/FG) bij datalekken
  • Good privacy governance

Bewerkersovereenkomsten

  • De rol van de Data Protection Officer (DPO/FG)
  • Welke afspraken moeten in een bewerkersovereenkomst gemaakt worden?

Internationale bescherming van persoonsgegevens

  • Waaraan moet doorgifte van persoonsgegevens aan derde landen en/of internationaal opererende organisaties voldoen?
  • De rol van de Data Protection Officer (DPO/FG)

Big data en privacy in de publieke sector

  • De ethische en privacy randvoorwaarden van big data
  • Smart city/sensor city
  • Transformatie van de publieke sector
  • Zelfredzaamheid in het publieke domein
  • Van beleid naar gerichte innovatie
  • Publieke data en open data
  • Onderzoekstypologie (levering van data voor verschillende onderzoekstypen)
  • Dilemma: spanningsveld tussen publieke en open data vs. de bescherming van persoonsgegevens (voorbeeldfunctie publieke sector)
  • Privacy toetsingskader voor analyse en/of big data doeleinden
  • Adequate anonimisering en/of pseudonomisering van data

Privacy en ethiek in het publieke domein

  • Maatschappelijke voorbeeldfunctie
  • DPO/FG en moreel ethische overwegingen
  • Privacy compliance als ethische norm bij de overheid
  • Privacy-ethische analyse schema’s van dilemma’s

Privacy by design (PbD)

  • Privacy verhogende maatregelen (Privacy Enhancing Technologies, PET)
  • Privacy by Design (PbD): achtergrond, bedoeling en betekenis

Internet of Things (IoT) en privacy

  • Toepassingsmogelijkheden van het Internet of Things (IoT)
  • Voordelen, voorwaarden en privacy issues van IoT
  • Ethische vraagstukken in het publieke domein

Privacy en profiling

  • Wat houdt profiling in?
  • In welke gevallen en onder welke voorwaarden is profiling toegestaan?
  • Welke procedures en maatregelen moet u nemen om aan de eisen die de GDPR/AVG aan profiling stelt te kunnen voldoen?

DAG V PRIVACY KNELPUNTEN IN DE PUBLIEKE SECTOR (vervolg)

Rechten van betrokkenen

  • Rechtsbescherming van betrokkenen
  • Klachtrecht
  • Recht op inzage
  • Recht op materiële en immateriële schadevergoeding

Privacy klachtenprocedures en de publieke sector

  • Privacy klachten tegen de overheid
  • Nederlands Privacy Klachten Instituut (NPKI) en het publieke domein
  • De Nederlandse Privacy Ombudsman (NPO)

Privacy schadeclaim procedures

  • Schadevergoedingsacties tegen de overheid
  • Falend toezicht van de DPO/FG in het publieke domein
  • WOB en schadeclaims

Privacy en risicolocaties in het publieke domein

  • Ontvangstbalies en openbare ruimtes
  • Open kantooromgevingen
  • Open werkplekken
  • Gedeelde werkruimtes
  • Kantoren bij ramen
  • Geautomatiseerde testomgevingen
  • Apparaten die worden gebruikt door mobiele werknemers

Privacy evidence van de Autoriteit Persoonsgegevens (AP)

  • Overleggen van bewijs voor het daadwerkelijk naleven van privacy verplichtingen richting de Autoriteit Persoonsgegevens (AP)
  • Privacy audit technieken
  • Borging van de AP Richtsnoeren Beveiliging van Persoonsgegevens
  • Kernpunten beveiliging van ISO27001, ISO27002, NEN7510, NEN7512 en NEN7513 (logging)
  • Rol van de DPO/FG bij beveiligingsmaatregelen
  • Praktische afspraken met de CISO/CIO/CISA
  • Eenduidige Normatiek Single Information Audit (ENSIA)
  • Toegevoegde waarde van audits en certificeringen
  • Beveiligingsafspraken met ketenpartners
  • Opzet en werking van privacy audits ex art. 39 AVG

Privacy compliance instrumenten

  • Welke compliance instrumenten zijn er met betrekking tot privacy en hoe werken deze?

Privacy audits

  • Opzet van een privacy audit
  • Eisen die aan een privacy audit in het publieke domein gesteld worden
  • Hoe formuleert u de opdracht voor een privacy audit?
  • Hoe houdt u toezicht op de uitvoering van een privacy audit?

Data Protection Impact Assessment (DPIA)

  • De verschillende soorten Data Protection Impact Assessments (DPIA’s)
  • Noodzaak en opzet van een DPIA bepalen voor verschillende situaties
  • Hoe voert u een Data Protection Impact Assessment (DPIA) uit?
  • Hoe moet u de resultaten van een DPIA interpreteren?

DISCUSSIE

Hoe stel je een Data Protection Impact Assessment (DPIA) op?

Ervaren en deskundige docent

De docent van deze training is mr. drs. Romeo Kadir MA LLM MSc, een toonaangevende expert op het gebied van privacy en gegevensbescherming en ook eindredacteur van de succesvolle schriftelijke (en online) opleiding Data Protection Officer (DPO) in de praktijk.

Romeo Kadir houdt zich al ruim 20 jaar professioneel bezig met privacy en data protection en heeft al vele Data Protection Officers (DPO’s) en Functionarissen voor de Gegevensbescherming (FG’s) opgeleid. Romeo heeft in 2003 aan de basis gestaan van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG). Op dit moment bekleedt Romeo een aantal Data Protection Officer (DPO) gerelateerde functies bij verschillende organisaties en treedt hij als externe Data Protection Officer (DPO) op voor een aantal (publieke) organisaties. Daarnaast is hij hoofd research & development van het European Privacy Center for Excellence, voorzitter van de raad van toezicht van het Nederlands Privacy Klachten Instituut (NPKI) en voorzitter van de raad van toezicht van de Stichting Privacy Nederland (SPN).

PE-punten

Deze 5-daagse opleiding Privacy & Data Protection draagt bij aan het vergaren van PE-punten. Je ontvangt o.a. 25 PE-punten van Holland Quaestor HQ (de vereniging van Nederlandse trustkantoren).

Examen

Deze opleiding wordt afgesloten met een examen in de vorm van een thuiswerkopdracht die je na afloop digitaal kunt inleveren. De hoofddocent beoordeelt de uitwerking en koppelt zijn bevindingen telefonisch terug in een 1-op-1 sessie van maximaal 1 uur. Bij voldoende resultaat word  ingeschreven in het Nederlandse Register voor Privacy Opleidingen (NRPO) dat gehouden wordt door de Nederlandse Privacy Academie (NPA).

Datum, locatie en kosten

De training Privacy Impact Assessment (PIA) in de praktijk bestaat uit 5 lesdagen en wordt centraal in het land gehouden. De lesdagen starten om 09:30 uur en eindigen om ongeveer 17:00 uur.

De training vindt plaats op:

  • 11, 12, 18, 19 en 26 juni 2018
  •  6, 13, 20 en 27 november + 4 december 2018.

De kosten van de 5-daagse training Privacy & Data Protection in de praktijk bedragen € 3.780,- (excl. BTW) per persoon. Dit bedrag is inclusief de uitgebreide cursusmap met praktische informatie en checklists, het examen, 1 uur bespreking van het examen, het handboek ‘Data Protection Officer’ (DPO/FG) lunches en koffie/thee.