Certified DPO (GDPR): Functionaris gegevensbescherming richtsnoeren 2017 (AVG)

De opleiding 'Informatieveiligheidsconsulent volgens de richtsnoeren 2017 (GDPR)' of 'DPO (GDPR): Functionaris gegevensbescherming volgend richtsnoeren 2017 (AVG)' werd nu ook gecertificeerd door de POD Maatschappelijke Integratie! Deze certificering kwam er omwille van de praktijkgerichte insteek van de opleiding waarbij oa de problematiek van de informatiestromen tussen steden, gemeenten en OCMW's heel specifieke aandacht krijgt!!

Julien Van Geertsom, voorzitter van POD Maatschappelijke Integratie, formuleerde het als volgt: "We vinden dat het echt belangrijk is om ook de mandatarissen op de hoogte te brengen van de minimale veiligheidsnormen die zowel door de OCMW's als door de gemeenten kunnen worden toegepast. Hierdoor zullen de wettelijke verplichtingen en plichten beter begrepen worden op 3 niveaus: de organieke wet, de federale wetten en de Vlaamse decreten.

Ook de andere opleidingen t.a.v. de veiligheidsconsulenten zijn een goed initiatief. Samen hebben we dan ook enkele aanpassingen doorgevoerd zodat de POD MI de inhoud van de opleidingen erkent en in overeenstemming ziet met de veiligheidsprincipes gehuldigd door de POD MI en door de KSZ."

Dat de informatieveiligheidsnormen nog steeds weinig gekend zijn is al langer een zorg van de Vlaamse Toezichtcommissie (VTC). Voorzitter Willem Debeuckelaere verwelkomt dit opleidingsinitiatief van de Vlaamse ICT Organisatie in samenwerking met ESCALA - Syntra West. Hierdoor zullen de wettelijke verplichtingen en plichten ook beter begrepen worden door de lokale mandatarissen.

Het is al enkele jaren een vraag van de VTC dat voor alle Vlaamse lokale besturen een informatieveiligheidsconsulent aangesteld wordt. Ook de specifieke opleidingen voor de veiligheidsconsulenten zijn dus meer dan welkom en het uitreiken van een certificatie, zal de domeinspecialisten herkenbaar maken in hun organisaties. Dat dit door een onafhankelijke partner als V-ICT-OR gebeurt is zeker een pluspunt. De VTC vindt het ook zeer positief dat de verschillende modules van de opleiding aansluiten bij de veiligheidsprincipes zoals deze zijn vastgelegd binnen de "Richtsnoeren met betrekking tot de informatiebeveiliging van persoonsgegevens in steden en gemeenten, in instellingen die deel uitmaken van het netwerk dat beheerd wordt door de KSZ van de sociale zekerheid en bij de integratie OCMW - gemeente." Deze vormen immers ook de basis voor het informatieveiligheidsplan. Het voldoen aan de veiligheidsnormen geeft onder invloed van commerciële actoren vaak aanleiding tot forse uitgaven. Een gedegen opleiding is dan ook meer dan noodzakelijk.

Eddy Van der Stock, voorzitter van V-ICT-OR, is dan ook verheugd met deze erkenning van zowel POD MI als van de Vlaamse Toezichtscommissie. "Op deze manier is onze doelgroep verzekerd van het feit dat we niet alleen theoretisch de nodige expertise in de opleidingen plaatsten, maar dat deze ook door een sterke ervaring uit het terrein worden aangevuld."

Deze opleiding is zowel een aanrader voor informatiebeheerders binnen openbare besturen of binnen social en non profit als voor 'commerciële integratoren' die diensten leveren aan deze sectoren.

Deze 5-daagse opleiding heeft als doel om op een praktijkgerichte wijze informatieveiligheidsconsulenten volgens richtsnoeren 2017 of DPO (GDPR): Functionaris gegevensbescherming richtsnoeren 2017 op te leiden. Op het einde van de opleiding beschikken de deelnemers over voldoende kennis om een veiligheidsplan op te maken dat afgestemd is op de specifieke situatie van hun organisatie (openbaar bestuur of social of non profit organisatie). Daarnaast kunnen de deelnemers de nodige maatregelen (actieplan) treffen om het vereiste niveau van informatieveiligheid volgens de richtsnoeren 2017 (GDPR) - die werden aangereikt tijdens de opleiding - af te dwingen. Deelnemers zullen tevens leren werken met informatieveiligheidstools om zo objectieve beveiligingsmeetpunten te registreren om vervolgens de actiepunten te definiëren die in het werkveld zullen moeten toegepast worden.

Deelnemers zullen na het volgen van de opleiding voldoende kennis hebben verworven om met succes het examen van Informatieveiligheidsconsulent volgens richtsnoeren 2017(GDPR/AVG) of DPO (GDPR): Functionaris gegevensbescherming richtsnoeren 2017' (AVG) af te leggen.

Module 1: Het wettelijk GDPR kader: duiding en inspirerende use cases informatieveiligheid.

Sinds de richtlijn van 1995 (95/46/EG) heeft onze informatiemaatschappij een onwaarschijnlijke vlucht genomen. Met de opkomst van het Internet, zoekmachines, social media, mobile devices en allerhande internetdiensten is het aantal informatiebronnen exponentieel gestegen. We leven op en top in een informatiemaatschappij waarbij de gemiddelde burger tientallen digitale identiteiten - al of niet bewust - heeft aangemaakt waarbij men in minstens evenveel databanken persoonlijke gegevens heeft achtergelaten, en waardoor men de controle over de persoonlijke gegevens is kwijtgeraakt. Hierdoor wordt de burger vanuit alle hoeken soms belaagd met ongewenste informatie waarbij men zich soms afvraagt hoe dit zo ver is kunnen komen. Deze nieuwe Europese regelgeving GDPR (of AVG) heeft oa als doel elk natuurlijk persoon de controle over zij persoonsgegevens terug te geven. Deze module gaat dieper in op dit nieuwe wettelijke kader en hoe deze regelgeving dient geïnterpreteerd en toegepast te worden eveneens rekeninghoudend met de richtsnoeren 2017. Op einde van deze module worden de deelnemers ook geïnspireerd om van deze nieuwe wetgeving die als een extra last kan aanschouwd worden een opportuniteit te maken.

Het brede wettelijke kader GDPR - AVG - Verordening (EU) 2016/679

• Korte historische duiding - Helicopterview context,
• Noodzaak voor aanpassing van wetgeving
• Doelstelling van GDPR - AVG - Verordening (EU) 2016/679?
• GDPR versus met de Richtlijn 95/46/EG
• GDPR en de richtsnoeren 2017
• De rol, verantwoordelijkheden en taken van een 'functionaris voor gegevensbescherming'
• De rol en verantwoordelijkheden van het managementteam van een KMO tov functionaris voor gegevensbescherming' op basis van GDPR (AVG)

De GDPR artikels op een praktische en pragmatische wijze bekeken:

• Algemene bepalingen en beginselen,
• Rechten van de betrokkene,
• Verwerkingsverantwoordelijke en verwerker,
• Doorgifte van persoonsgegevens aan derde landen of internationale organisaties,
• Onafhankelijke toezichthoudende autoriteiten,
• Samenwerking en coherentie
• Beroep, aansprakelijkheid en sancties,
• Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking,
• Gedelegeerde handelingen en uitvoerende handelingen,
• Slotbepalingen

De drie domeinen die moeten geactiveerd, beheerd en gemonitord worden om 'GDPR Compliance' te realiseren:

• Processen, (zie ook module 2 en 4)
• ICT-technologie, (zie ook module 3)
• Mensen, (zie module 2, 3, 4)

GDPR: van de nood een deugd maken (zie ook module 5)

• Extra waarde creatie naar de klant toe als extra 'service laag' bovenop GDPR
• Inspirerende Use Cases (= deel 1, zie ook module 5 voor deel 2)
• Ondersteunende modellen om strategische business waarde te creëren:
• Introductie Business Model Canvas (BMC)
• Introductie Value Proposition Canvas (VPC)

Module 2: Pragmatische vertaalslag van het wetgevend kader GDPR naar de richtsnoeren 2017'

De ideale wereld bestaat niet, dé ideale oplossing evenmin! Dit Informatieveiligheidsframework - werd opgebouwd op basis van gespreken met security experts, informatieveiligheidsconsulenten, professionals uit het werkveld én op basis van bestaande Informatieveiligheidsstandaarden en best practices (oa ISO27000 series) - en heeft tot doel een overkoepelend 'GDPR Informatieveiligheidsframework' aan te reiken waarmee (toekomstige) functionarissen gegevensbescherming (of DPO, of Informatieveiligheidsconsulenten) op een praktijkgerichte wijze mee aan de slag kunnen om oa een Informatieveiligheidsplan op te bouwen.

Belangrijke bouwstenen voor de opbouw van een Information Security Management Framework om te komen tot een Informatie Security management System (ISMS):

• Het '13 stappenplan (AVG)' én 'Privacy op de werkvloer' door Privacy Commissie
• 'CODEX - Algemene verordening gegevensbescherming' door Dirk De Bot (Politeia)
• ISO27000 series als overkoepelend framework voor het opzetten (of aanpassen van een bestaand) ISMS ifv GDPR (AVG) compliance:
• De mapping van GDPR (AVG) met ISO27000 series
• Richtlijnen om ISO27000 series toe te passen om ISMS op te zetten
• Richtlijnen voor aanpassing bijsturing voor bedrijven die reeds ISO27000-series toepassen,
• Stap voor stap aanpak om een ISMS op te zetten
• Introductie tot opmaak van een 'informatie privacy plan én informatieveiligheidsplan' (verdere uitdieping module 5)

Pragmatische vertaalslag van wettelijk GDPR kader naar informatieveiligheidsframework

Streven naar een ideale wereld met behulp van 'Security én Privacy by Design en by Default'

• Binnen bestaande bedrijfsprocessen en informatiesystemen (oa software applicaties, ...)
• Opleggen als business requirements voor nieuw te bouwen (of aan te passen) informatiesystemen (oa software applicaties,...)

Introductie opbouw van een informatieveiligheidsplan om te komen tot 'GDPR naleving'

Module 3: De ondersteunende rol van ICT om de naleving van GDPR te realiseren.

ICT technologie is - naast processen en mensen - één van de drie domeinen die een belangrijke ondersteunende rol speelt om het informatieveiligheidsplan in praktijk om te zetten. Deze module heeft als doel een overzicht en inzicht te bieden in de domeinen waar ICT kan worden ingezet ifv 'GDPR naleving'

Wat kan aanzien worden als 'security bedreiging' binnen de context van Data breaches die schadelijke gevolgen kunnen hebben voor organisatie/bedrijf?

• Feiten en cijfers
• Situering aan de hand van praktijkvoorbeelden en korte analyse wat de oorzaak was van deze data breaches

Register van verwerkingsactiviteiten

Gegevensbeschermingeffectbeoordeling

Technische en organisatorische maatregelen

• Logische toegangsbeveiliging
• Strategie
• AAA (Authenticatie, Autorisatie, Accounting)
• Pseudonimsering en versleuteling
• IT maatregelen om de continuïteit te garanderen
• Begrippen
• Strategieën
• Bescherming van het netwerk
• Begrippen
• Strategieën
• Bescherming tegen malware
• Soorten
• Maatregelen
• Personeel (IT-adviezen, richtlijnen)
• Wachtwoordbeleid
• Rapportering incidenten
• Bewustwording
• Herstel gegevens (back-up's)
• Begrippen
• Strategieën
• Evaluatie technische maatregelen
• Bewaking vertrouwelijkheid, integriteit en beschikbaarheid (monitoring & logging)
• Security audits (Kwetsbaarheidsscans en pentesten)

Rechten van de betrokkene (technische vertaling)

• Het recht om vergeten te worden
• Het recht om gegevens op te vragen

Datalekken

• Beleid
• Actieplan
• Rapportering

Module 4: Afdwingen en bewaken van naleving GDPR via project-, proces- en IT service management.

Om een betere dienstverlening na te streven worden (ook) openbare besturen en organisatie uit de social profit steeds meer 'aangestuurd' door digitaliseringsprojecten (bvb radicaal digitaal) waardoor zij bijna continu in verandering zijn.

Projecten op zich houden steeds een verhoogd risico in, net omdat projecten per definitie afwijken van 'Business as Usual' die gebaseerd is op ingeburgerde processen die (hopelijk) reeds GDPR Compliant zijn. Ook bij projecten dient men reeds in de beginfase rekening te houden met 'Security en Privacy by design en by default' zodanig dat de 'GDPR naleving' ingebakken zit binnen in (project)processen. Bij de aanvang (by design) van een project is het zaak rekening te houden met de richtlijnen betreffende Informatieveiligheid die beschreven staan in het 'Information Security Management System (ISMS)' van de organisatie. Beschikt men nog niet over een 'ISMS' dan is het opstellen van een ISMS een belangrijk actiepunt om dit organisatiebreed te ontwikkelen en te implementeren.

Deze module heeft als doel een best practice aan te bieden rond risicomanagement, projectmanagement methodes alsook rond (IT) Service management en hoe deze kunnen gebruikt worden in de aanpak naar de opzetten van een ISMS.

Risico management methodes,

• gaande van een management risico-analyse,
• tot een meer gedetailleerde risico analyse aanpak op proces/dienstniveau

Projectmanagement methodes:

• Algemene methodes: Prince2, PMBok,
• Methodes gericht op Software ontwikkeling: Agile, Scrum, Secure Software Design

IT Service Management (ITIL):

• Wat is ITIL?
• Hoe kan ITIL helpen bij het opzetten van Incident Management System (IMS) of een incidenten register,
• Overzicht Software ivm IMS:

Aanpassen of opzetten van een Information Security Management System (ISMS):

• Wat is ISMS,
• Wat is het doel van ISMS,
• Hoe in de praktijk toepassen,

Module 5: Naleving GDPR/AVG toegepast in de praktijk (inclusief certificatie examen)

Per domein leert men werken met de on-line informatieveiligheidstool waarbij men risicoanalyses, maturiteitsmetingen en informatieveiligheidsplannen leert op te maken die gebaseerd zijn op het 'GDPR Informatieveiligheidsframework' op basis van de richtsnoeren 2017

GDPR van de nood een deugd (of een USP) maken (zie ook module 1)

• Interne plan van aanpak
• Extra waarde creatie naar de klant toe als extra 'service laag' bovenop GDPR/AVG
• Aanvullende Inspirerende Use Cases (deel 2, zie ook module 1 voor deel 1)

Leren werken met informatieveiligheidstool:

• Risicometing
• Maturiteitsmeting
• Actieplan / veiligheidsplan
• Interne samenwerking rond informatieveiligheid en bescherming van de persoonsgegevens

Op het einde van de laatste lesdag (= op het einde van module 5) leggen de deelnemers het officiële examen af.

De kostprijs van het officiële examen 'Certified informatieveiligheidsconsulent richtsnoeren 2017(GDPR/AVG)' of de vernieuwde naam - 'Certified DPO (GDPR): Functionaris gegevensbescherming richtsnoeren 2017 (AVG) '- nav de GDPR regelgeving zit vervat in het inschrijfgeld van de opleiding!

Hands on leren werken met de online Informatieveiligheidstool: (www.informatieveiligheid.be)

Vanaf de 1ste lesdag dient elke deelnemer zijn/haar laptop mee te brengen. Deelnemers zullen tijdens de opleiding leren werken met deze Informatieveiligheidstool met als doel:

Riscoanalyses en maturiteitsmetingen,

De generatie van de veiligheidsplannen via de tool. U hoeft de plannen alleen nog uit te voeren.

Bij aanvang van de opleiding krijgt elke deelnemer gedurende 6 maanden gratis toegang tot de standaard versie van deze tool (www.informatieveiligheid.be).

Voor wie is deze opleiding bestemd?

• Afdelingshoofden, informatiebeheerders,
• Aspirant 'Certified DPO (GDPR): Functionaris gegevensbescherming richtsnoeren 2017(AVG)'
• Aspirant 'Certified informatieveiligheidsconsulent richtsnoeren 2017(GDPR)'
• Huidige informatieveiligheidsconsulenten die hun kennis wensen te actualiseren en hun certificatie wensen te vernieuwen.

In samenwerking met