Reeds in mei 2018 ging de nieuwe Algemene Verordening Gegevensbescherming (AVG) of misschien nog beter gekend als GDPR (General Data Protection Regulation) juridisch van kracht. Deze AVG (of GDPR) heeft tot doel natuurlijke personen de controle over hun persoonsgegevens terug te geven door organisaties nieuwe geactualiseerde spelregels op te leggen betreffende het verzamelen en beheren van deze persoonsgegevens. Voor organisaties die zich niet houden aan deze nieuwe regelgeving kunnen door de gegevensbeschermingsautoriteit of kortweg: "GBA" (voorheen privacy commissie) belangrijke sancties (boetes tot 20 miljoen euro of tot 4% van de wereldwijde omzet) opgelegd worden.
Heel wat organisaties verzamelen heel wat persoonsgegevens over hun bewoners, klanten of prospecten om bvb. betere inzichten te verwerven betreffende huidige of toekomstige behoeften van hun doelgroepen. Om het verzamelen en volgens het verwerken van persoonsgevens correct - volgens de GDPR wetgeving - te laten verlopen is elk organisatie verplicht een 'DPO' of 'Functionaris gegevensbescherming' aan te stellen. Opdat deze Data Protection Officer (of DPO) met kennis van zaken zijn of haar jobrol zou kunnen vervullen is een gedegen basisopleiding een eerste noodzakelijke stap om volgens een structurele aanpak aan de mininum GDPR vereisten te kunnen voldoen.
Deze opleiding heeft als doel deelnemers op te leiden tot ‘Certified DPO (GDPR)’ of 'Gecertificeerde functionaris gegevensbescherming'. Na het volgen van deze opleiding en succesvol afleggen van het examen (laatste lesdag) beschikt de deelnemer over voldoende theoretische kennis om de eerste stappen te zetten als DPO.
Deze vernieuwde opleiding is een pragmatische mix afkomstig uit 3 verschillende kennisdomeinen - juridisch, IT security technologie en proces- en projectmanagement - die dan ook tijdens de opleiding uitgebreid aan bod komen. De opleiding is gericht op het verwerven van een gedegen theoretische basiskennis geschoeid op de leest van alle relevante generieke processen die binnen elk bedrijf of organisatie aanwezig zijn.
Om deze opleiding aan te vatten hoeft u dan zeker geen IT-er of jurist te zijn, maar organisatiekunde of procesmatig denken en sectorale kennis zijn troeven om uw slaagkansen tot het behalen van het 'Certificaat DPO (GDPR): Functionaris gegevensbescherming (AVG)' te maximaliseren.
Met het behalen van dit certificaat bewijst de deelnemer dat hij over de minimum nodige theoretisch kennis te beschikken om de eerste stappen te kunnen zetten als Data Protection Officer (of ‘DPO’) of 'Functionaris gegevensbescherming'.
Uit ervaring blijkt echter dat deelnemers die deze opleiding opleiding hebben gevolgd er baat bij hebben om de vervolg opleiding “DPO in de praktijk’ te volgen. Via de combinatie van deze 2 opleidingen zijn de deelnemers volledig “gewapend” de verworven kennis uit deze opleidingen om te zetten in heel praktijkgericht actieplan.
Maak van de nood een deugd!
Gezien deze nieuwe GDPR (AVG) wetgeving gevolgen zal hebben op oa de bedrijfsprocessen ('Security & Privacy by Design & by Default') zou deze nieuwe wetgeving als een 'last' kunnen aanzien worden. Echter bestaan er reeds een aantal voorbeelden van bedrijven, organisaties die deze nieuwe wetgeving als een opportuniteitaangrijpen om nauwer met hun klanten in dialoog te treden door hen oa. duidelijk uit te leggen waarom bepaalde informatie wordt bijgehouden. Dergelijke - soms verrassende - use cases komen in deze opleiding ook aan bod en hebben tot doel deelnemers te inspireren om een hogere toegevoegde waarde na te streven als extra service laag bovenop deze wettelijk verplichting.
De volledige opleiding is 'doorspekt' met praktijkvoorbeelden van de belangrijkste informatiestromen waarin informatie over persoonsgegevens kunnen voorkomen en waaraan aandacht dient besteeds te worden binnen de context van'GDPR wetgeving'.
Door deze aanpak krijgen de deelnemers stap voor stap de nodige inzichten en feeling betreffende de wijze waarop deze op het eerste zicht 'saai ogende materie' in dient toegepast te worden.
Deze opleiding wordt door V-ICT-OR aan haar effectieve leden aangeboden voor een prijs van 950 euro vrijgesteld van btw.
Geen effectief lid van V-ICT-OR? Niet getreurd want niet-leden kunnen deelnemen aan de opleiding voor een prijs van 1450 euro exclusief btw.
Module 1: Het wettelijk GDPR kader: duiding en inspirerende use cases informatieveiligheid.
Sinds de richtlijn van 1995 (95/46/EG) heeft onze informatiemaatschappij een onwaarschijnlijke vlucht genomen. Met de opkomst van het internet, zoekmachines, social media, mobile devices en allerhande internetdiensten is het aantal informatiebronnen exponentieel gestegen. We leven op en top in een informatiemaatschappij waarbij de gemiddelde “burger” tientallen digitale identiteiten - al of niet bewust - heeft aangemaakt waarbij men in minstens evenveel databanken persoonlijke gegevens heeft achtergelaten, en waardoor men de controle over de persoonlijke gegevens is kwijtgeraakt. Hierdoor wordt de “burger” vanuit alle hoeken soms belaagd met ongewenste informatie waarbij men zich soms afvraagt hoe dit zo ver is kunnen komen. Deze nieuwe Europese GDPR regelgeving (of AVG) heeft als doel elk natuurlijk persoon de controle over zijn/haar persoonsgegevens terug te geven. Deze module gaat dieper in op dit nieuwe wettelijke kader en hoe deze regelgeving dient geïnterpreteerd en toegepast te worden. Op het einde van deze module worden de deelnemers ook geïnspireerd om van deze nieuwe wetgeving een mogelijke unique selling proposition (USP) te maken.
Het brede wettelijke kader GDPR - AVG - Verordening (EU) 2016/679
De GDPR artikels op een praktische en pragmatische wijze bekeken:
De drie domeinen die moeten geactiveerd, beheerd en gemonitord worden om 'GDPR Compliance' te realiseren:
GDPR: van de nood een deugd (of een USP) maken (zie ook module 5)
Extra waarde creatie naar de klant toe als extra 'service laag' bovenop GDPR
Module 2: Pragmatische vertaalslag van het wetgevend kader naar een 'GDPR Informatieveiligheidsframework'
De ideale wereld bestaat niet, dé ideale oplossing evenmin! Dit informatieveiligheidsframework werd opgebouwd op basis van gespreken met security experts, informatieveiligheidsconsulenten, professionals uit het werkveld én op basis van bestaande Informatieveiligheidsstandaarden en best practices (oa ISO27000 series) - en heeft tot doel een overkoepelend 'GDPR informatieveiligheidsframework' aan te reiken waarmee (toekomstige) functionarissen gegevensbescherming of “DPO-ers” op een praktijkgerichte wijze mee aan de slag kunnen om oa een Informatieveiligheidsplan op te bouwen.
Belangrijke bouwstenen voor de opbouw van een Information Security Management Framework om te komen tot een Informatie Security management System (ISMS):
Pragmatische vertaalslag van wettelijk GDPR kader naar informatieveiligheidsframework: streven naar een ideale wereld met behulp van 'Security én Privacy by Design en by Default'
Introductie opbouw van een informatieveiligheidsplan om te komen tot 'GDPR Compliance'
Module 3: De ondersteunende rol van ICT om de naleving van GDPR te realiseren.
ICT technologie is - naast processen en mensen - één van de drie domeinen die een belangrijke ondersteunende rol kan spelen om een informatieveiligheidsplan in praktijk om te zetten. Deze module heeft als doel een overzicht en inzicht te bieden in de domeinen waar ICT kan worden ingezet ifv 'GDPR Compliance'.
Wat is kan aanzien worden als 'security bedreiging' binnen de context van Data breaches die schadelijke gevolgen kunnen hebben voor organisatie/bedrijf:
Register van verwerkingsactiviteiten
Gegevensbeschermingeffectbeoordeling
Technische en organisatorische maatregelen
Evaluatie technische maatregelen
Rechten van de betrokkene (technische vertaling)
Datalekken
Module 4: Afdwingen en bewaken van naleving GDPR via project-, proces- en IT service management.
Opdat bedrijven en zelfs openbare besturen een goede dienstverlening zouden kunnen blijven garanderen worden zij steeds meer 'aangestuurd' door opportuniteiten/projecten waardoor zij bijna continu in verandering zijn. En daar heel wat projecten te maken hebben met het verhogen van de 'informatievloeibaarheid' doorheen het bedrijf - aangestuurd door de zoektocht naar waarde creatie voor de klant - dient ook rekening gehouden te worden met privacy issues en informatieveiligheid.
Projecten op zich houden steeds een verhoogd risico in net omdat projecten per definitie afwijken van 'Business as Usual' die gebaseerd is op ingeburgerde bedrijfsprocessen die (hopelijk) reeds GDPR Compliant zijn. Ook bij projecten dient men reeds in de beginfase rekening te houden met 'Security & Privacy by design & by default' zodanig dat 'GDPR Compliance' ingebakken zit binnen in projectprocessen. Bij de aanvang (by design) van een project is het zaak rekening te houden met de richtlijnen betreffende Informatieveiligheid die beschreven staan in het ISMS van het bedrijf. Beschikt een bedrijf nog niet over een 'Information Security Management System (ISMS)' dan is het opstellen van een ISMS een belangrijk actiepunt om dit organisatie breed te ontwikkelen en te implementeren. Vervolgens is het ook belangrijk dat de gewijzigde (of nieuwe) bedrijfsprocessen worden opgenomen in een bestaand 'Incident Management Systeem (ISM)'. Echter is de kans ook hier groot dat niet alle bedrijven, organisaties of besturen nu reeds over een ISMS beschikken. Er bestaan echter in de markt voldoende tools die op een eenvoudige wijze hiervoor een oplossing kunnen bieden.
Deze module heeft zowel als doel een best practice aan te bieden rond risicomanagement en projectmanagement methodes als rond (IT) Service management en hoe deze kunnen gebruikt worden in de aanpak naar de opzet van een ISMS.
Risico management methodes
Projectmanagement methodes
IT Service Management (ITIL)
Aanpassen of opzetten van een Information Security Management System (ISMS)
Module 5: Naleving GDPR/AVG toegepast in de praktijk (inclusief certificatie examen)
Per domein leert men werken met de online informatieveiligheidstool waarbij men risicoanalyses, maturiteitsmetingen en informatieveiligheidsplannen leert op te maken die gebaseerd zijn op het 'GDPR informatieveiligheidsframework'
GDPR van de nood een deugd (of een USP) maken (zie ook module 1)
Leren werken informatieveiligheidstool:
Op het einde van de laatste lesdag (= op het einde van module 5) leggen de deelnemers het officiële examen af.
Nog vragen? Mail ons via opleidingen@v-ict-or.be of bel ons op 052 517 755.