ALGEMENE VERORDENING GEGEVENSBESCHERMING

Transcriptie

1 ALGEMENE VERORDENING GEGEVENSBESCHERMING HOE GA IK ALS ORGANISATIE OM MET DE VERPLICHTINGEN? V-ICT-OR Academy organiseert in samenwerking met enkel gegevensbeschermingsspecialisten een training voor organisaties, hun DPO s en hun management

2 1 ALGEMENE VERORDENING GEGEVENSBESCHERMING HOE GA IK ALS ORGANISATIE OM MET DE VERPLICHTINGEN? Terwijl iedereen ondertussen overstelpt werd met verhalen die het op zich niet altijd allemaal duidelijker gaan maken, kijkt u wellicht als ondernemende topmanager met lede ogen naar deze regelgeving die wel een blackbox van onoverkomelijke wijzigingen lijkt te zijn. Wat u wellicht nog niet wist is dat door enkele inzichtelijke stappen toe te passen binnen uw organisatie, u zich snel kan wapenen tegen mogelijke problemen. Ondanks dat er zo kort bij de invoering nog verschillende misverstanden zijn omtrent deze GDPR, is GDPR-compliance wel belangrijk. De GDPR brengt inderdaad enkele nieuwe verplichtingen mee, die interessant zijn voor iedereen die persoonsgegevens verwerkt. Kennen we alle persoonsgegevens die mijn organisatie gebruikt? Wat is het zogenaamde dataregister? Wat met contracten tussen de verschillende stakeholders? Hoe te handelen bij een gegevenslek het verdwijnen van persoonsgegevens uit mijn organisatie? Hebben we alle procedures op zak om de rechten van de betrokkenen te vrijwaren? Hebben we alle toestemmingen op zak? V-ICT-OR Academy wil dan ook samen met enkele experten een aantal pragmatische en taakgerichte modules opzetten om de managers en medewerkers van morgen klaar te stomen in de uitdagingen waar deze algemene verordening voor staat. Vermijd Babylonische spraakverwarring tussen ICT en beleid en wees voorbereid op de toekomst! IN A NUTSHELL De uitdagingen voor een moderne digitale dienstverlening van een lokale overheid - als dichtste portaal bij hun klant, de burger en de ondernemer - zijn niet miniem. Voor een burger bestaat er slechts één overheid, en zijn de door structuren gecreëerde tussenschotten en lagen onbekend. Maar is dit ook zo in de manier waarop overheden zijn opgevat? Bestaat er een interbestuurlijk kader waarin de lokale overheid hun automatiseringstrajecten kunnen uitstippelen? En wie zijn daarbij de hoofdrolspelers? Is er met andere woorden een referentiekader met als opzet de puzzelstukken bij elkaar te leggen om een moderne geautomatiseerde dienstverleningsorganisatie te gaan bouwen? Ervaring en kennisdeling omtrent deze thema s zijn schaars daar wil V-ICT- OR Academy verandering in brengen.

3 2 MODULE 1 (09:00-12:00 & 13:00-16:00) Het wettelijk GDPR-kader en pragmatische vertaalslag naar informatieveiligheidsframework Deze nieuwe Europese regelgeving GDPR (of AVG) heeft o.a. als doel elk natuurlijk persoon de controle over zij persoonsgegevens terug te geven. Deze module gaat dieper in op dit nieuwe wettelijke kader en hoe deze regelgeving dient geïnterpreteerd en toegepast te worden. Het Informatieveiligheidsframework (die in deze module aan bod komt) - werd opgebouwd op basis van gesprekken met security experts, informatieveiligheidsconsulenten, professionals uit het werkveld én op basis van bestaande Informatieveiligheidsstandaarden en best practices (o.a. ISO27000 series) - en heeft tot doel een overkoepelend 'GDPR Informatieveiligheidsframework' aan te reiken binnen de context van onderwijsinstellingen. Het brede wettelijke kader GDPR - AVG - Verordening (EU) 2016/679: Algemene bepalingen en beginselen, Rechten van de betrokkene, Verwerkingsverantwoordelijke en verwerker, Doorgifte van persoonsgegevens aan derde landen of internationale organisaties, Onafhankelijke toezichthoudende autoriteiten, Samenwerking en coherentie Beroep, aansprakelijkheid en sancties, Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking, Gedelegeerde handelingen en uitvoerende handelingen, Slotbepalingen. De drie domeinen die moeten geactiveerd, beheerd en gemonitord worden om 'GDPR naleving' te realiseren: Processen, ICT-technologie, Mensen Belangrijke bouwstenen voor de opbouw van een Information Security Management Framework om te komen tot een Informatie Security management System (ISMS): Het '16 stappenplan (AVG)' én 'Privacy op de werkvloer' 'CODEX - Algemene verordening gegevensbescherming' door Dirk De Bot (Politeia) De mapping van GDPR (AVG) met ISO27000 series Stap voor stap aanpak om een ISMS op te zetten Introductie tot opmaak van een 'informatie privacy plan én informatieveiligheidsplan' (verdere uitdieping module 3) Pragmatische vertaalslag van wettelijk GDPR kader naar informatieveiligheidsframework

4 3 MODULE 2 (09:00-12:00 & 13:00-16:00) De ondersteunende rol van ICT om de naleving van GDPR te realiseren. ICT technologie is - naast processen en mensen - één van de drie domeinen die een belangrijke ondersteunende rol speelt om het informatieveiligheidsplan in praktijk om te zetten. Deze module heeft als doel een overzicht en inzicht te bieden in de domeinen waar ICT kan worden ingezet ifv 'GDPR naleving' Wat kan aanzien worden als 'security bedreiging' binnen de context van data breaches die schadelijke gevolgen kunnen hebben voor de organisatie/bedrijf? Feiten en cijfers Situering aan de hand van praktijkvoorbeelden en korte analyse wat de oorzaak was van deze data breaches Register van verwerkingsactiviteiten Gegevensbeschermingeffectbeoordeling Technische en organisatorische maatregelen Bewaking vertrouwelijkheid, integriteit en beschikbaarheid (monitoring & logging) Security audits (Kwetsbaarheidsscans en pentesten) Rechten van de betrokkene (technische vertaling) Datalekken MODULE 3 (09:00-12:00 & 13:00-16:00) Naleving GDPR/AVG in de praktijk Per domein leert men werken met de online informatieveiligheidstool waarbij men risicoanalyses, maturiteitsmetingen en informatieveiligheidsplannen leert op te maken die gebaseerd zijn op het 'GDPR Informatieveiligheidsframework' Leren werken met informatieveiligheidstool: o o o Risicometing Maturiteitsmeting Actieplan / veiligheidsplan Interne samenwerking rond informatieveiligheid en bescherming van de persoonsgegevens Op het einde van de laatste lesdag (= op het einde van module 3) leggen de deelnemers een toets af.

5 4 ONDERWERPEN DIE ONDERMEER TER SPRAKE KOMEN Wat is een persoonsgegeven? Een persoonsgegeven is iedere informatie betreffende een persoon die rechtstreeks of onrechtstreeks geïdentificeerd kan worden. Het begrip persoonsgegeven is zeer breed en er wordt geen onderscheid gemaakt tussen vertrouwelijke/publiek toegankelijke en professionele/niet professionele informatie. De rechten van de betrokkene? Hoe zetten we procedures op om de vragen na 25 mei van de betrokkene te kunnen beantwoorden? Welke rechten heeft de betrokkene? Toestemming Artikel 7 van de AVG, vermeldt de voorwaarden waaronder de toestemming als geldig kan worden beschouwd. Ze moet: vrij, specifiek, geïnformeerd, en ondubbelzinnig zijn. Data-lekken Voorzie adequate procedures om persoonlijke datalekken op te sporen, te rapporteren en te onderzoeken. Hoe kunt u uw rechten uitoefenen? Artikel 12 van de AVG beschrijft welke regels u moet volgen om uw rechten uit te oefenen. Als u een van uw rechten wil uitoefenen, is het dus van belang om u op dit artikel te baseren. Zo bent u zeker in regel. Onthoud wel dat uw rechten alleen gelden voor uw eigen persoonsgegevens. U kan dus bijvoorbeeld niet vragen om de gegevens van een ander te bekijken. Functionaris voor gegevensbescherming (DPO) De AVG voert 3 gevallen in waarin een functionaris voor gegevensbescherming moet worden aangeduid. Het is een rol die in de toekomst almaar belangrijker zal worden. Contracten Beoordeel je bestaande contracten, hoofdzakelijk met verwerkers en onderaannemers, en breng tijdig de noodzakelijke veranderingen aan.

6 5 METHODIEK De volledige opleiding is 'doorspekt' met de meest voorkomende scenario's uit de lokale overheidswereld waardoor de deelnemers zeer tastbare inzichten verwerven over hoe ze zelf aan de slag kunnen in hun eigen gemeente. Door deze lesmethode krijgen de deelnemers stap voor stap de nodige inzichten en feeling betreffende de wijze waarop deze op het eerste zicht "technisch ogende materie" als leidinggevende in de praktijk dient toegepast te worden. De groep start met minimaal tien deelnemers zodat een heterogeen lerend netwerk gegarandeerd wordt. VOOR WIE IS DEZE OPLEIDING BESTEMD? Deze opleiding is bestemd voor instellingen van de bijzondere jeugdzorg. ATTEST Na de opleiding krijg je een attest ondertekend door de docenten, met als bijkomende voordeel een korting van 5% op alle vervolgopleidingen van V-ICT-OR Academy. KOSTPRIJS Voor de drie dagen betaal je slechts LOCATIE Op locatie Of bij V-ICT-OR vzw Mosten LOKEREN (korting van 150 per dag) DATA In samenspraak te bepalen