Inloggen Geen profiel? Registreer hier.

20180418 Functionaris gegevensbescherming voor KMO (GDPR) - Gent

Inschrijven
18/04/2018 09:00 — 16/05/2018 16:00

In mei 2018 gaat de nieuwe Algemene Verordening Gegevensbescherming (AVG) of ook misschien nog beter gekend als GDPR (General Data Protection Regulation) juridisch van kracht. Deze AVG (of GDPR) heeft tot doel natuurlijke personen de controle over hun persoonsgegevens terug te geven door bedrijven nieuwe geactualiseerde 'spelregels' op te leggen betreffende het verzamelen en beheren van deze persoonsgegevens. Voor bedrijven die zich - na mei 2018 - niet houden aan deze nieuw regelgeving kan de lokale privacy commissie van elke lidstaat boetes tot 20 miljoen euro of tot 4% van de wereldwijde omzet van het bedrijf uitvaardigen.

Daar heel wat KMO's persoonsgegevens verzamelen over hun klanten, prospecten om bvb. betere inzichten te verwerven betreffende huidige of toekomstige behoeften, zullen zij tegen mei 2018 "GDPR-compliant" moeten zijn. Om dit te kunnen realiseren is het belangrijk om iemand van het bedrijf (KMO) tot "Functionaris voor gegevensbescherming" te laten opleiden. Beroep doen op een externe professional die over deze kennis beschikt behoort eveneens tot de mogelijkheden! Deze "functionaris voor gegevensbescherming" dient dan alle nodige stappen te doorlopen die nodig zijn om het bedrijf "GDPR-compliant" te maken.

Omschrijving

Deze opleiding heeft als doel deelnemers op te leiden tot een "Gecertificeerde Functionaris voor gegevensbescherming voor KMO" om vervolgens KMO bedrijven - met kennis van zaken - GDPR Compliant te maken en te behouden. Deze "nieuwe" jobrol bevat een pragmatische mix afkomstig uit kennisdomeinen - juridisch, IT Security Technologie, Proces- en Projectmanagement - die dan ook tijdens de opleiding uitgebreid aan bod zullen komen. De opleiding is gericht op het verwerven van een brede basis geschoeid op de leest van een KMO, en focust dus niet enkel op de louter juridische aspecten van de verordening. Om deze opleiding aan te vatten hoeft u dan ook zeker geen IT-er of Jurist te zijn maar organisatiekunde of procesmatig denken en sectorale kennis zijn troeven om uw slaagkansen tot het behalen van het "Certificaat DPO (GDPR): Functionaris gegevensbescherming KMO (AGV)" te maximaliseren. Maak van de nood een deugd! Gezien deze nieuwe GDPR (AVG) wetgeving gevolgen zal hebben op oa de bedrijfsprocessen ("Security en Privacy by Design en by default") zou deze nieuwe wetgeving als een "last" kunnen aanzien worden. Echter bestaan er reeds een aantal voorbeelden van bedrijven die deze nieuwe wetgeving als een opportuniteit aangrijpen om nauwer met hun klanten in Deze opleiding heeft als doel deelnemers op te leiden tot een "Gecertificeerde Functionaris voor gegevensbescherming voor KMO" om vervolgens KMO bedrijven - met kennis van zaken - GDPR Compliant te maken en te behouden. Deze "nieuwe" jobrol bevat een pragmatische mix afkomstig uit kennisdomeinen - juridisch, IT Security Technologie, Proces- en Projectmanagement - die dan ook tijdens de opleiding uitgebreid aan bod zullen komen. De opleiding is gericht op het verwerven van een brede basis geschoeid op de leest van een KMO, en focust dus niet enkel op de louter juridische aspecten van de verordening.

Om deze opleiding aan te vatten hoeft u dan ook zeker geen IT-er of Jurist te zijn maar organisatiekunde of procesmatig denken en sectorale kennis zijn troeven om uw slaagkansen tot het behalen van het "Certificaat DPO (GDPR): Functionaris gegevensbescherming KMO (AGV)" te maximaliseren.

Maak van de nood een deugd!

Gezien deze nieuwe GDPR (AVG) wetgeving gevolgen zal hebben op oa de bedrijfsprocessen ("Security en Privacy by Design en by default") zou deze nieuwe wetgeving als een "last" kunnen aanzien worden. Echter bestaan er reeds een aantal voorbeelden van bedrijven die deze nieuwe wetgeving als een opportuniteit aangrijpen om nauwer met hun klanten inDeze opleiding heeft als doel deelnemers op te leiden tot een "Gecertificeerde Functionaris voor gegevensbescherming voor KMO" om vervolgens KMO bedrijven - met kennis van zaken - GDPR Compliant te maken en te behouden. Deze "nieuwe" jobrol bevat een pragmatische mix afkomstig uit kennisdomeinen - juridisch, IT Security Technologie, Proces- en Projectmanagement - die dan ook tijdens de opleiding uitgebreid aan bod zullen komen. De opleiding is gericht op het verwerven van een brede basis geschoeid op de leest van een KMO, en focust dus niet enkel op de louter juridische aspecten van de verordening. Om deze opleiding aan te vatten hoeft u dan ook zeker geen IT-er of Jurist te zijn maar organisatiekunde of procesmatig denken en sectorale kennis zijn troeven om uw slaagkansen tot het behalen van het "Certificaat DPO (GDPR): Functionaris gegevensbescherming KMO (AGV)" te maximaliseren. Maak van de nood een deugd! Gezien deze nieuwe GDPR (AVG) wetgeving gevolgen zal hebben op oa de bedrijfsprocessen ("Security en Privacy by Design en by default") zou deze nieuwe wetgeving als een "last" kunnen aanzien worden. Echter bestaan er reeds een aantal voorbeelden van bedrijven die deze nieuwe wetgeving als een opportuniteit aangrijpen om nauwer met hun klanten indialoog te treden door hen oa. duidelijk uit te leggen waarom bepaalde informatie wordt bijgehouden, of door in een B2B context vertrouwen te creëren. Dergelijke - soms verrassende - use cases komen in deze opleiding ook aan bod en hebben tot doel deelnemers en bedrijven te inspireren om een hogere toegevoegde waarde na te streven als extra service laag bovenop deze wettelijk verplichting.

Programma

Module 1: Het wettelijk GDPR kader: duiding en inspirerende use cases informatieveiligheid.

Sinds de richtlijn van 1995 (95/46/EG) heeft onze informatiemaatschappij een onwaarschijnlijk vlucht genomen. Met de opkomst van het Internet, zoekmachines, social media, mobile devices en allerhande internetdiensten is het aantal informatiebronnen exponentieel gestegen. We leven op en top in een informatiemaatschappij waarbij de gemiddelde burger tientallen digitale identiteiten - al of niet bewust - heeft aangemaakt waarbij men in minstens evenveel databanken persoonlijke gegevens heeft achtergelaten, en waardoor men de controle over de persoonlijke gegevens is kwijtgeraakt. Hierdoor wordt de burger vanuit alle hoeken soms belaagd met ongewenste informatie waarbij men zich soms afvraagt hoe dit zo ver is kunnen komen. Deze nieuwe Europese regelgeving GDPR (of AVG) heeft als doel elk natuurlijk persoon de controle over zij persoonsgegevens terug te geven. Deze module gaat dieper in op dit nieuwe wettelijke kader en hoe deze regelgeving dient geïnterpreteerd en toegepast te worden. Op einde van deze module worden de deelnemers ook geïnspireerd om van deze nieuwe wetgeving een mogelijke unique selling proposition (USP) te maken.

Het brede wettelijke kader GDPR - AVG - Verordening (EU) 2016/679

  • Korte historische duiding - Helicopterview context
    • Noodzaak voor aanpassing van wetgeving
    • Doelstelling van GDPR - AVG - Verordening (EU) 2016/679?
    • GDPR versus met de Richtlijn 95/46/EG
  • De rol, verantwoordelijkheden en taken van een "functionaris voor gegevensbescherming"
  • De rol en verantwoordelijkheden van het managementteam van een KMO tov functionaris voor gegevensbescherming" op basis van GDPR (AVG)

De GDPR artikels op een praktische en pragmatische wijze bekeken:

  • Algemene bepalingen en beginselen
  • Rechten van de betrokkene
  • Verwerkingsverantwoordelijke en verwerker
  • Doorgifte van persoonsgegevens aan derde landen of internationale organisaties
  • Onafhankelijke toezichthoudende autoriteiten
  • Samenwerking en coherentie
  • Beroep, aansprakelijkheid en sancties
  • Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking
  • Gedelegeerde handelingen en uitvoerende handelingen
  • Slotbepalingen

De drie domeinen die moeten geactiveerd, beheerd en gemonitord worden om "GDPR Compliance" te realiseren:

  • Processen, (zie ook module 2 en 4)
  • ICT-technologie, (zie ook module 3)
  • Mensen, (zie module 2, 3, 4)

GDPR: van de nood een deugd (of een USP) maken (zie ook module 5)

  • Extra waarde creatie naar de klant toe als extra "service laag" bovenop GDPR
  • Inspirerende Use Cases (= deel 1, zie ook module 5 voor deel 2)
  • Ondersteunende modellen om strategische business waarde te creëren:
    • Introductie Business Model Canvas (BMC)
    • Introductie Value Proposition Canvas (VPC)

Module 2: Pragmatische vertaalslag van het wetgevend kader naar een "GDPR Informatieveiligheidsframework"

De ideale wereld bestaand niet, dé ideale oplossing evenmin! Dit Informatieveiligheidsframework - werd opgebouwd op basis van gespreken met security experts, informatieveiligheidsconsulenten, professionals uit het werkveld én op basis van bestaande Informatieveiligheidsstandaarden en best practices (oa ISO27000 series) - en heeft tot doel een overkoepelend "GDPR Informatieveiligheidsframework" aan te reiken waarmee (toekomstige) functionarissen gegevensbescherming op een praktijkgerichte wijze mee aan de slag kunnen om oa een Informatieveiligheidsplan op te bouwen.

Belangrijke bouwstenen voor de opbouw van een Information Security Management Framework om te komen tot een Informatie Security management System (ISMS):

  • Het "13 stappenplan (AVG)" én "Privacy op de werkvloer" door Privacy Commissie
  • "CODEX - Algemene verordening gegevensbescherming" door Dirk De Bot (Politeia)
  • ISO27000 series als overkoepelend framework voor het opzetten (of aanpassen van een bestaand) ISMS ifv GDPR (AVG) compliance:
    • De mapping van GDPR (AVG) met ISO27000 series ❍ Richtlijnen om ISO27000 series toe te passen om ISMS op te zetten
    • Richtlijnen voor aanpassing bijsturing voor bedrijven die reeds ISO27000-series toepassen,
  • Stap voor stap aanpak om een ISMS op te zetten
  • Introductie tot opmaak van een "informatie privacy plan én informatieveiligheidsplan" (verdere uitdieping module 5)

Pragmatische vertaalslag van wettelijk GDPR kader naar informatieveiligheidsframework

Streven naar een ideale wereld met behulp van "Security én Privacy by Design en by Default"

  • Binnen bestaande bedrijfsprocessen en informatiesystemen (oa software applicaties, ...)
  • Opleggen als business requirements voor nieuw te bouwen (of aan te passen) informatiesystemen (oa software applicaties,...)

Introductie opbouw van een informatieveiligheidsplan om te komen tot "GDPR Compliance"

Module 3: De ondersteunende rol van ICT om de naleving van GDPR te realiseren.

ICT technologie is - naast processen en mensen - één van de drie domeinen die een belangrijke ondersteunende rol kan spelen om informatieveiligheidsplan in praktijk om te zetten.

Deze module heeft als doel een overzicht en inzicht te bieden in de domeinen waar ICT kan worden ingezet ifv "GDPR Compliance"

Wat kan aanzien worden als "security bedreiging" binnen de context van Data breaches die schadelijke gevolgen kunnen hebben voor organisatie/bedrijf:

  • Feiten en cijfers
  • Situering aan de hand van praktijkvoorbeelden en korte analyse wat de oorzaak was van deze data breaches

Register van verwerkingsactiviteiten

Gegevensbeschermingeffectbeoordeling

Technische en organisatorische maatregelen

  • Logische toegangsbeveiliging
    • Strategie
    • AAA (Authenticatie, Autorisatie, Accounting)
  • Pseudonimsering en versleuteling
  • IT maatregelen om de continuïteit te garanderen
    • Begrippen
    • Strategieën
  • Bescherming van het netwerk
    • Begrippen
    • Strategieën
  • Bescherming tegen malware
    • Soorten
    • Maatregelen
  • Personeel (IT-adviezen, richtlijnen)
    • Wachtwoordbeleid
    • Rapportering incidenten
    • Bewustwording
  • Herstel gegevens (back-up's)
    • Begrippen
    • Strategieën

Evaluatie technische maatregelen

  • Bewaking vertrouwelijkheid, integriteit en beschikbaarheid (monitoring & logging)
  • Security audits (Kwetsbaarheidsscans en pentesten)

Rechten van de betrokkene (technische vertaling)

  • Het recht om vergeten te worden
  • Het recht om gegevens op te vragen

Datalekken

  • Beleid
  • Actieplan
  • Rapportering

Module 4: Afdwingen en bewaken van naleving GDPR via project-, proces- en IT service management.

Opdat bedrijven competitief zouden blijven worden bedrijven steeds meer "aangestuurd" door opportuniteiten/projecten waardoor zij bijna continu in verandering zijn. En daar heel wat projecten te maken hebben met het verhogen van de "informatievloeibaarheid" doorheen het bedrijf - aangestuurd door de zoektocht naar waarde creatie voor de klant - dient ook rekening gehouden te worden met privacy issues en informatieveiligheid.

Projecten op zich houden steeds een verhoogd risico in net omdat projecten per definitie afwijken van "Business as Usual" die gebaseerd is op ingeburgerde bedrijfsprocessen die (hopelijk) reeds GDPR Compliant zijn. Ook bij projecten dient men reeds in de beginfase rekening te houden met "Security en Privacy by design en by default" zodanig dat "GDPR Compliance" ingebakken zit binnen in projectprocessen. Bij de aanvang (by design) van een project is het zaak rekening te houden met de richtlijnen betreffende Informatieveiligheid die beschreven staan in het ISMS van het bedrijf. Beschikt een bedrijf nog niet over een "Information Security Management System (ISMS)" dan is het opstellen van een ISMS een belangrijk actiepunt om dit organisatie breed te ontwikkelen en te implementeren. Vervolgens is het ook belangrijk dat de gewijzigde (of nieuwe) bedrijfsprocessen worden opgenomen in een bestaand "Incident Management Systeem (ISM)". Echter is de kans ook hier groot dat niet alle bedrijven nu reeds over een ISMS beschikken. Er bestaan echter in de markt voldoende tools die op een eenvoudige wijze hiervoor een oplossing kunnen bieden.

Deze module heeft als doel een best practice aan te bieden rond risicomanagement, projectmanagement methodes als rond (IT) Service management en hoe deze kunnen gebruikt worden in de aanpak naar de opzet van een ISMS

Risico management methodes,

  • gaande van een management risico-analyse,
  • tot een meer gedetailleerde risico analyse aanpak op proces/dienstniveau

Projectmanagement methodes:

  • Algemene methodes: Prince2, PMBok,
  • Methodes gericht op Software ontwikkeling: Agile, Scrum, Secure Software Design

IT Service Management (ITIL):

  • Wat is ITIL?
  • Hoe kan ITIL helpen bij het opzetten van Incident Management System (IMS) of een incidenten register,
  • Overzicht Software ivm IMS:

Aanpassen of opzetten van een Information Security Management System (ISMS):

  • Wat is ISMS,
  • Wat is het doel van ISMS,
  • Hoe in de praktijk toepassen

Module 5: Naleving GDPR/AVG toegepast in de praktijk (inclusief certificatie examen)

Per domein leert men werken met de on-line informatieveiligheidstool waarbij men risicoanalyses, maturiteitsmetingen en informatieveiligheidsplannen leert op te maken die gebaseerd zijn op het "GDPR Informatieveiligheidsframework"

GDPR van de nood een deugd (of een USP) maken (zie ook module 1)

  • Interne plan van aanpak
  • Extra waarde creatie naar de klant toe als extra "service laag" bovenop GDPR/AVG
  • Aanvullende Inspirerende Use Cases (deel 2, zie ook module 1 voor deel 1)

Leren werken informatieveiligheidstool:

  • Risicometing
  • Maturiteitsmeting
  • Actieplan / veiligheidsplan
  • Interne samenwerking rond informatieveiligheid en bescherming van de persoonsgegevens

Op het einde van de laatste lesdag (= op het einde van module 5) leggen de deelnemers het officiële examen af.

Methodologie

KMO invalshoek

De volledige opleiding is "doorspekt" met de meest voorkomende scenario's uit de KMO wereld waardoor de deelnemers zeer tastbare inzichten verwerven over hoe "GDPR wetgeving" in de praktijk dient toegepast te worden. Door deze lesmethode krijgen de deelnemers stap voor stap de nodige inzichten en feeling betreffende de wijze waarop deze op het eerste zicht "saai ogende materie" in de praktijk dient toegepast te worden.

Hands on leren werken met de on-line Informatieveiligheidstool (www.informatieveiligheid.be)

Vanaf de 1ste lesdag dient elke deelnemer zijn/haar laptop mee te brengen. Deelnemers zullen tijdens de opleiding leren werken met deze Informatieveiligheidstool met als doel:

  • Riscoanalyses en maturiteitsmetingen,
  • de generatie van de veiligheidsplannen via de tool. U hoeft de plannen alleen nog uit te voeren.

Bij aanvang van de opleiding krijgt elke deelnemer gedurende 6 maanden gratis toegang tot de standaard versie van deze tool.

Voor wie is deze opleiding bestemd

  • Aspirant "Data Protection Officer"
  • Informatiebeheerders,
  • Juristen met de ambitie om DPO te worden
  • Risk Managers, Security verantwoordelijken
  • Business Unit Manager die van de nood een deugd wensen te maken (zie hoger inleidende tekst),

Voorkennis

  • Kennis van bedrijfsprocessen, informatieflows, binnen bedrijfsomgeving
Programma
18/04/2018 09u00 - 18/04/2018 16u00

Functionaris gegevensbescherming voor KMO (GDPR) - Mod 1/5

25/04/2018 09u00 - 25/04/2018 16u00

Functionaris gegevensbescherming voor KMO (GDPR) - Mod 2/5

02/05/2018 09u00 - 02/05/2018 09u00

Functionaris gegevensbescherming voor KMO (GDPR) - Mod 3/5

09/05/2018 09u00 - 09/05/2018 16u00

Functionaris gegevensbescherming voor KMO (GDPR) - Mod 4/5

16/05/2018 09u00 - 16/05/2018 16u00

Functionaris gegevensbescherming voor KMO (GDPR) - Mod 5/5

Organisator

V-ICT-OR vzw

Locatie

Tramstraat 63
9052 Zwijnaarde
Deelnemen

Toegangsprijs

Prijsgroep Prijs
Effectief Lid V-ICT-OR € 1170
Standaard € 1300
Inschrijven