mei 19, 2018

Privacy Impact Assessment (PIA) in de praktijk

Wanneer en hoe moet je een Privacy Impact Assessment (PIA) uitvoeren? Met deze training heb je na twee dagen een eigen concrete PIA die voldoet aan alle eisen van de nieuwe Europese privacywet (AVG).

Het belang van een PIA

Het Privacy Impact Assessment (PIA) is een handig instrument om vooraf na te kunnen denken over de privacy-risico’s van de dataverwerking in jouw organisatie. Een PIA is verplicht als de dataverwerking waarschijnlijk een hoog privacy-risico oplevert. Buiten een aantal omschreven situaties geeft de nieuwe Europese privacywet (AVG) geen overzicht van dataverwerkingen met een hoog privacy risico.

Als (project)verantwoordelijke zul je dus zelf vooraf moeten inschatten of de gegevensverwerking een hoog privacy-risico inhoudt. In de praktijk blijkt dit op veel hindernissen te stuiten. In deze actuele en praktische PIA training leren wij je wanneer en hoe je een PIA moet uitvoeren. Na afloop heb je een direct toepasbare PIA.

Privacy- en compliance-risico’s in beeld krijgen

Een Privacy Impact Assessment (PIA) is een continu proces en bij uitstek het instrument om de privacy- en compliance-risico’s in beeld te krijgen. Door vroeg te beginnen, bijvoorbeeld al in de ontwerpfase van de gegevensverwerking, is het gemakkelijker om aan de wettelijk vereiste principes van Privacy by Design en Privacy by Default te voldoen.

Onder de nieuwe Europese Privacywet (AVG) zijn Privacy by Design en Privacy by Default verplichte uitgangspunten. Je moet dus nu al nagaan hoe deze beginselen binnen je organisatie moeten worden uitgevoerd. Met een Privacy Impact Assessment (PIA) kun je vaak kostbare aanpassingen in processen, het herontwerp van systemen of het stopzetten van een project voorkomen.

Grote waarde bij datalekken

Bij onderzoek naar een datalek zal de Autoriteit Persoonsgegevens (AP) zeker vragen of er een Privacy Impact Assessment (PIA) is uitgevoerd in de projectfase. Als je een PIA hebt uitgevoerd, een rapport kunt overleggen en kunt aantonen dat je er alles aan gedaan heeft om een datalek te voorkomen, sta je in het onderzoek een stuk sterker en wordt de kans op een boete verkleind.

Wat je leert in de training

In deze actuele en praktijkgerichte Privacy Impact Assessment (PIA) training leer je onder andere:

  • wanneer een PIA verplicht is;
  • wat een PIA inhoudt;
  • hoe het PIA proces pragmatisch kan worden ingericht;
  • welke kernelementen bij de uitvoering van een PIA horen;
  • hoe u een PIA zo praktisch mogelijk kunt aanpakken;
  • wat de do’s en don’ts zijn;
  • welke praktische (toets)modellen en meetmodellen u voor een PIA kunt gebruiken;
  • hoe u een goede business case voor een PIA opstelt;
  • welke implementatie maatregelen u kunt nemen;
  • hoe u een privacy by design raamwerk kunt opstellen voor systeem- en productontwikkeling; en
  • lessons learned en ‘best practices’ uit zowel het bedrijfsleven als de publieke sector.

Door middel van praktische voorbeelden en oefeningen kom al deze vragen aan bod. Aan de hand van een casus leer je met behulp van een Privacy Impact Assessment (PIA) de privacy-risico’s te identificeren en oplossingen hiervoor te evalueren. Je krijgt praktische tips voor het vertalen van de uitkomst van de PIA naar de maatregelen die je kunt nemen voor een goede uitvoering van het projectplan.

Lesprogramma

DAG I: RATIO, STAPPENPLAN, ASSESSMENT PROCES EN PIA WORKFLOW

Ochtend – Inleiding

  • Privacy Impact Assessment (PIA) c.q. Data Protection Impact Assessment (DPIA)
  • De Data Protection Impact Assessment (DPIA) opdracht van de AVG
  • Kernbegrippen
  • Voorwaarden
  • Kern van het Privacy Impact Assessment (PIA)
  • Het PIA proces als onderdeel van de bedrijfsvoering
  • Stappenplan PIA voor de praktijk
  • Assessment als onderdeel van verplicht aantoonbaar privacybeleid
  • Privacy Impact Assessment (PIA) compliance

Middag – AVG ratio van het Data Protection Impact Assessment (DPIA)

  • Nut en noodzaak van de AVG DPIA
  • WP 29 Guidelines Data Protection Impact Assessment (DPIA)
  • AVG DPIA awareness praktisch vormgegeven
  • Lijnverantwoordelijkheid voor het uitvoeren van de PIA
  • Verschil en relatie met een Privacy Audit
  • PIA governance (RACI)
  • OPDRACHT 1: maak een PIA template voor uw eigen organisatie

Middag – Privacy Impact Assessment (PIA) workflow

  • Succes- en faalfactoren voor een goede PIA risico-oriëntatie
  • PIA best practices
  • PIA tooling
  • PIA workflow management
  • Aantoonbare PIA compliance

DAG II: PIA WORKFLOW, PIA RISK MAPPING, RISICOBEHEERSING EN DE ROL VAN DE DPO/FG

Ochtend – PIA risk mapping en risk control

  • PIA risicomap: X-as en Y-as
  • PIA risico prioritering
  • PIA risk control framework

Middag – PIA risk mapping en risk control

  • Nut en noodzaak van de AVG DPIA
  • AVG DPIA awareness praktisch vormgegeven
  • AVG risk control en de rol van de DPO/FG

Middag – PIA risk mapping, risk control en reporting

  • Nut en noodzaak van de AVG DPIA
  • AVG DPIA awareness praktisch vorm gegeven
  • AVG risk control en de rol van de DPO/FG
  • AVG DPIA rapportage (vorm, inhoud en communicatie)

Middag – Final assignment en peer review

  • OPDRACHT 2: gebruik het gecompletiseerde PIA template voor uw eigen organisatie aan de hand van een actuele case (PIA-plichtige verwerking van persoonsgegevens)
  • Constructieve suggesties, tips (best practices), handvatten en peer review van deelnemers en docent

Ervaren en deskundige docent

De docent van deze training is mr. drs. Romeo Kadir MA LLM MSc, een toonaangevende expert op het gebied van privacy en gegevensbescherming en ook eindredacteur van de succesvolle schriftelijke (en online) opleiding Data Protection Officer (DPO) in de praktijk.

Romeo Kadir houdt zich al ruim 20 jaar professioneel bezig met privacy en data protection en heeft al vele Data Protection Officers (DPO’s) en Functionarissen voor de Gegevensbescherming (FG’s) opgeleid. Romeo heeft in 2003 aan de basis gestaan van het Nederlands Genootschap van Functionarissen voor de Gegevensbescherming (NGFG). Op dit moment bekleedt Romeo een aantal Data Protection Officer (DPO) gerelateerde functies bij verschillende organisaties en treedt hij als externe Data Protection Officer (DPO) op voor een aantal (publieke) organisaties. Daarnaast is hij hoofd research & development van het European Privacy Center for Excellence, voorzitter van de raad van toezicht van het Nederlands Privacy Klachten Instituut (NPKI) en voorzitter van de raad van toezicht van de Stichting Privacy Nederland (SPN).

Datum, locatie en kosten

De training Privacy Impact Assessment (PIA) in de praktijk bestaat uit 2 lesdagen en wordt centraal in het land gehouden. De lesdagen starten om 09:30 uur en eindigen om ongeveer 17:00 uur.

De training vindt plaats op 1 en 8 oktober 2018.

De kosten van de 2-daagse training Privacy Impact Assessment (PIA) bedragen € 1.780,- (excl. BTW) per persoon. Dit bedrag is inclusief de uitgebreide cursusmap met praktische informatie en checklists, lunches en koffie/thee.