Doelstelling
De Europese Algemene Verordening Gegevensbescherming (AVG) wordt gekenmerkt door vele onduidelijkheden. Wat wel duidelijk is, is dat u tal van verplichtingen heeft plus de verantwoordelijkheid (accountability) om aan te tonen dat u zich aan de wet houdt.
In deze complete en actuele opleiding worden alle eisen waaraan met name organisaties in de publieke sector moeten voldoen behandeld. Tal van specifieke en complexe onderwerpen op het gebied van privacy en data protection in publieke organisaties komen aan bod, zoals DPIA's, Big Data, privacy awareness, privacy en de Wet openbaarheid van bestuur (WOB), de Wet op de economische delicten (WED) en privacy bij publiekszaken. Er is ruimschoots gelegenheid uw vragen te stellen aan de zeer deskundige docenten.
Doelgroep
De verplichting tot het aanstellen van een Data Protection Officer (DPO/FG) geldt voor alle overheidsorganisaties en vrijwel alle organisaties in de publieke sector en voor niet-publieke organisaties die persoonsgegevens (en/of speciale categorieën persoonsgegevens) verwerken.
Deze praktijkopleiding richt zich met name op de (specifieke) kennisbehoefte van publieke organisaties. Wij denken dan bijvoorbeeld aan de centrale overheid (ministeries), provinciehuizen, gemeentes, gemeentelijke organisaties (gemeenschappelijke regelingen), publiekrechtelijke organen, zorginstellingen, onderwijs, scholen, rechtbanken, politie en justitie, de Belastingdienst, uitvoerende gemeentelijke instellingen zoals arbo en groenvoorziening, rekenkamers en alle overige uitvoerende organen en organisaties die een bewerkersrelatie (of contractuele relatie) hebben met een overheidsinstantie of een overheidsorgaan.
Inhoud
- Algemene verordering gegevensbescherming (AVG) - kernpunten
- Het werkplan van de publieke Data Protection Officer
- Toezichtstaken van de Data Protection Officer (DPO/FG)
- Privacy knelpunten in de publieke sector
Gedetailleerde inhoudDetails (klik op de inhoud voor meer/minder details)
DAG I
De AVG/GDPR in het publieke domein
- GDPR/AVG implementatiewet, implementatieplan en implementatieprocessen
- Compliance in 5 stappen
- De rol van de DPO/FG bij implementatie
- De rol van het (lijn)management bij de implementatie
- Do's en don'ts bij de implementatie van de EU GDPR/AVG
- Bestuurlijk-politieke verhoudingen in de publieke sector
- De bijzondere juridische privacy context in het publieke domein
- De relatie tussen AVG en bijzondere publiekrechtelijke wetgeving
- Wet maatschappelijke ondersteuning (WMO)
- Wet Jeugdzorg
- Participatiewet
- Wet basisregistratie personen (BRP)
- Suwi-wetgeving
- Wet openbaarheid van bestuur (WOB)
- Gebruik van het BSN-nummer
- Wet politiegegevens en het delen van persoonsgegevens
- Openbare orde en veiligheid
- GIBIT (inkoopvoorwaarden) en privacy
De Algemene Verordening Gegevensbescherming (AVG) - praktische implementatie
- Het AVG implementatiemodel voor de publieke sector (5 logische stappen)
- Rol, positie en taken van het implementatieteam
- Profiel samenstelling van het implementatieteam
- Alignment met de privacy visie, missie en strategie
- Implementatiematrix GDPR/AVG
- Implementatie transponering privacy principles
- Implementatie van harde en zachte privacynormen
- Implementatie transponering privacy principles, rechten van betrokkenen, bewerkersovereenkomsten, gegevensverstrekking buiten de EU
- Bezwaar-, beroep- en klachtenprocedures
- Toezicht, rol, positie en taken van de DPO/FG
- Informatie- en adviesplicht van de DPO/FG
- De rol van DPIA (Data Protection Impact Assessment) in de publieke sector
- Risicobeoordelingen DPIA
- Evidence produceren
- Data governance
- Geheimhoudingsplicht van het implementatieteam
Taken, positionering en functieprofiel van de publieke Data Protection Officer (DPO/FG
- Professionele kwaliteiten van de Data Protection Officer (DPO/FG)
- Vereiste deskundigheid op het gebied van wet- en regelgeving
- Taakgerichte competenties
- Monitoren, informeren en adviseren
- De contactfunctie van de publieke DPO/FG
- De positie van de publieke DPO/FG
- Geheimhoudingsverplichtingen
- Accountability van de publieke DPO/FG
- Relatie met de Autoriteit Persoonsgegevens (AP)
Opzet en structuur van het privacy plan
- Het privacy profiel van uw organisatie
- Privacy nulmeting
- PDCA-cyclus
- Compliance monitoring
- Klachtafhandeling
- Internationaal verkeer van persoonsgegevens
- Kernpunten van toezichtsmanagement
- Accountability
- Privacy governance
DAG II
Het DPO privacyplan - privacy visie, beleid en strategie
- Stappenplan
- Privacy profiel van uw organisatie
- Strategische privacy doelen
- Gedrag en cultuur
- Privacy awareness programma: inhoud, opzet en management
Inventarisatie en register van verwerkingen
- Stappenplan
- De rol van de publieke Data Protection Officer (DPO/FG) bij het inventariseren van verwerkingen
- Data flow processchema's
- Privacy zorgplichten en inventarisaties van verwerkingen
- Toezichtsprofiel van inventarisaties van verwerkingen
- Informeren en adviseren volgens de AVG/GDPR
- Belang van een goede inventarisatie voor de uitoefening van de taken van de DPO/FG
- Een praktische methode voor risicoclassificaties van inventarisaties
De privacy nulmeting, privacy awareness en privacy compliance
- Stappenplan
- De toegevoegde waarde van een privacy nulmeting
- Opstellen van een privacy nulmeting
- Belang van data flow processchema's
- Privacy zorgplichten in het perspectief van de privacy nulmeting
Privacy awareness in de publieke sector
- Opzet en structuur van een privacy awareness programma in het publieke domein
- Cultural Change Management (CCM)
- Effectief stimuleren van privacy bewustwording
- Nut en noodzaak van passende maatregelen
- Bevorderen van samenwerking met stakeholders
- Omgang met conflicten
- Omgang met belangenverstrengelingen
- Opzet van een effectieve klachtenprocedure
- Externe stakeholder rapportage
- Relationship theory en privacy relatiemanagement (werknemers, burgers, NGO's en toezichthouders)
Privacy risicomanagement
- De privacy gap-analyse
- Stappenplan
- Toegevoegde waarde van een privacy gap-analyse
- Opstellen van een privacy gap-analyse
- Privacy zorgplichten
Het privacy implementatieplan
- Positionering en toegevoegde waarde van de Data Protection Officer (DPO/FG) in het privacy implementatieplan
- De rol van de DPO/FG bij het bepalen van de ambitieniveaus
- De rol van de DPO/FG bij het vaststellen van een privacy implementatieplan
Samenwerking en gegevensuitwisseling met ketenpartners
- Publiekrechtelijke en niet-publiekrechtelijke samenwerkingsverbanden zoals gemeenschappelijke regelingen
- Rol en meerwaarde van een convenant bij samenwerking
- Aandachtspunten en valkuilen bij gegevensuitwisseling
- Aandachtspunten voor de DPO/FG bij een bewerkersovereenkomst
- Wat is de rol van de DPO/FG in samenwerkingsverbanden?
- Praktijkvoorbeelden: aanpak hennepteelt, georganiseerde criminaliteit, slimme samenleving ('smart cities')
DAG III
Het evaluatie- en mitigatieplan
- Stappenplan
- Toegevoegde waarde van de publieke Data Protection Officer (DPO/FG)
- Rol van de DPO/FG bij het bepalen van de ambitieniveaus in het evaluatie- en mitigatieplan
- Rol van de DPO/FG bij het vaststellen van mitigaties
- Rol van de DPO/FG bij het vaststellen van het evaluatie- en mitigatieplan
Privacy audits
- Stappenplan certificering en auditing
- Toegevoegde waarde van de DPO/FG in certificeringstrajecten
- De rol van de DPO/FG bij het creëren van compliance evidence
Integraal toezichtsmanagement model van de publieke DPO/FG
- Toezicht Key Performance Indicators (KPI's)
- Toezicht KPI's meerjaren perspectief
- Toezicht evidence
- Data flow proces management voor toezicht
- Privacy zorgplichten in het perspectief van toezichtsmanagement
- Informeren en adviseren
- Toezicht en handhaving gedurende het implementatietraject
De externe Data Protection Officer (DPO/FG)
- Service Level Agreements (SLA's)
- Deliverables
DAG IV
Beveiliging van persoonsgegevens in het publieke domein
- Visie van de Autoriteit Persoonsgegevens (AP) op de beveiliging in het publieke domein
- Informatiebeveiliging in het publieke domein (BIG)
- De rol van de publieke CISO op het gebied van privacy en data protectie
- PRAKTIJKCASE Privacy by Design (PbD)
- PRAKTIJKCASE Privacy by Default
- Data Protection Impact Assessments (DPIA's) in het publieke domein
- DPIA rapportages in het publieke domein
- DFM (Data Flow Management) in het publieke domein
- Eisen die de GDPR/AVG stelt aan de beveiliging van persoonsgegevens
- Vertaling van de wettelijke beveiligingseisen in uitgangspunten voor het informatiebeveiligingsbeleid
- Integratie van het privacybeleid en het informatiebeveiligingsbeleid
- Relatie met de informatiebeveiligingsnormen (zoals ISO 27001)
Datalekken
- Meldplicht datalekken
- De rol van de publieke Data Protection Officer (DPO/FG) bij datalekken
- Good privacy governance
Bewerkersovereenkomsten
- De rol van de Data Protection Officer (DPO/FG)
- Welke afspraken moeten in een bewerkersovereenkomst gemaakt worden?
Internationale bescherming van persoonsgegevens
- Waaraan moet doorgifte van persoonsgegevens aan derde landen en/of internationaal opererende organisaties voldoen?
- De rol van de Data Protection Officer (DPO/FG)
Big data en privacy in de publieke sector
- De ethische en privacy randvoorwaarden van big data
- Smart city/sensor city
- Transformatie van de publieke sector
- Zelfredzaamheid in het publieke domein
- Van beleid naar gerichte innovatie
- Publieke data en open data
- Onderzoekstypologie (levering van data voor verschillende onderzoekstypen)
- Dilemma: spanningsveld tussen publieke en open data vs. de bescherming van persoonsgegevens (voorbeeldfunctie publieke sector)
- Privacy toetsingskader voor analyse en/of big data doeleinden
- Adequate anonimisering en/of pseudonomisering van data
Privacy en ethiek in het publieke domein
- Maatschappelijke voorbeeldfunctie
- DPO/FG en moreel ethische overwegingen
- Privacy compliance als ethische norm bij de overheid
- Privacy-ethische analyse schema's van dilemma's
Privacy by design (PbD)
- Privacy verhogende maatregelen (Privacy Enhancing Technologies, PET)
- Privacy by Design (PbD): achtergrond, bedoeling en betekenis
Internet of Things (IoT) en privacy
- Toepassingsmogelijkheden van het Internet of Things (IoT)
- Voordelen, voorwaarden en privacy issues van IoT
- Ethische vraagstukken in het publieke domein
Privacy en profiling
- Wat houdt profiling in?
- In welke gevallen en onder welke voorwaarden is profiling toegestaan?
- Welke procedures en maatregelen moet u nemen om aan de eisen die de GDPR/AVG aan profiling stelt te kunnen voldoen?
DAG V
Rechten van betrokkenen
- Rechtsbescherming van betrokkenen
- Klachtrecht
- Recht op inzage
- Recht op materiële en immateriële schadevergoeding
Privacy klachtenprocedures en de publieke sector
- Privacy klachten tegen de overheid
- Nederlands Privacy Klachten Instituut (NPKI) en het publieke domein
- De Nederlandse Privacy Ombudsman (NPO)
Privacy schadeclaim procedures
- Schadevergoedingsacties tegen de overheid
- Falend toezicht van de DPO/FG in het publieke domein
- WOB en schadeclaims
Privacy en risicolocaties in het publieke domein
- Ontvangstbalies en openbare ruimtes
- Open kantooromgevingen
- Open werkplekken
- Gedeelde werkruimtes
- Kantoren bij ramen
- Geautomatiseerde testomgevingen
- Apparaten die worden gebruikt door mobiele werknemers
Privacy evidence van de Autoriteit Persoonsgegevens (AP)
- Overleggen van bewijs voor het daadwerkelijk naleven van privacy verplichtingen richting de Autoriteit Persoonsgegevens (AP)
- Privacy audit technieken
- Borging van de AP Richtsnoeren Beveiliging van Persoonsgegevens
- Kernpunten beveiliging van ISO27001, ISO27002, NEN7510, NEN7512 en NEN7513 (logging)
- Rol van de DPO/FG bij beveiligingsmaatregelen
- Praktische afspraken met de CISO/CIO/CISA
- Eenduidige Normatiek Single Information Audit (ENSIA)
- Toegevoegde waarde van audits en certificeringen
- Beveiligingsafspraken met ketenpartners
- Opzet en werking van privacy audits ex art. 39 AVG
Privacy compliance instrumenten
- Welke compliance instrumenten zijn er met betrekking tot privacy en hoe werken deze?
Privacy audits
- Opzet van een privacy audit
- Eisen die aan een privacy audit in het publieke domein gesteld worden
- Hoe formuleert u de opdracht voor een privacy audit?
- Hoe houdt u toezicht op de uitvoering van een privacy audit?
Data Protection Impact Assessment (DPIA)
- De verschillende soorten Data Protection Impact Assessments (DPIA's)
- Noodzaak en opzet van een DPIA bepalen voor verschillende situaties
- Hoe voert u een Data Protection Impact Assessment (DPIA) uit?
- Hoe moet u de resultaten van een DPIA interpreteren?
Certificering
U ontvangt van ons een certificaat van deelname en u wordt - indien u dat wenst - ingeschreven in het Nederlandse Register voor Privacy Opleidingen (NRPO) dat gehouden wordt door de Nederlandse Privacy Academie (NPA). Dit register heeft juridisch gezien dezelfde status als ieder ander certificaat/register in Nederland.
Materiaal
Naast het uitgebreide studiemateriaal ontvangt u bij deze unieke praktijkopleiding het handboek Data Protectie Officer (DPO/FG), voorzien van roadmaps, tabellen, diagrammen en checklists voor de dagelijkse praktijk (t.w.v. € 100,-).
Kennis niveau
bachelor
Voorkennis
U heeft geen specifieke voorkennis nodig om deze praktijkopleiding succesvol te kunnen doorlopen.