Masterclass Auditing Privacy (i.s.m. IIR LEGAL)

Weet privacy onder de AVG te auditen en kom in control

Hoe gaat u als ervaren auditor om met de nieuwe Europese Privacy Verordening (AVG)? Vinden huidige werkwijzen wel volledig binnen de kaders van de privacywetgeving plaats? Worden de juiste beveiligingsmaatregelen genomen? Welke eisen stelt de nationale toezichthouder aan een privacy audit en wat moet u bijvoorbeeld auditen bij een Datalekken-procedure of een PIA? Met de naderende AVG zijn er nieuwe normenkaders en is er tot 25 mei 2018 sprake van een overgangsfase (transitie). De focus ligt primair op het compliant zijn van gegevensbescherming. Het auditen van privacy onder de AVG zal nog een uitdaging worden.

Programma

Masterclass Auditing Privacy


In samenwerking met: IIR

Dag 1
Toezicht en handhaving door de Autoriteit Persoonsgegevens (AP)
» Welke bevoegdheden en toezichtinstrumenten heeft de AP?
» Hoe ziet het handhavingsbeleid van de AP eruit?
» Wat is de functie van gedragscodes, die op grond van de Wet bescherming persoonsgegevens (Wbp) zijn goedgekeurd?
» Welke rol heeft de Functionaris Gegevensbescherming (FG) ten opzichte van de AP?

Need-to-know privacyregels voor auditors
» Wat zijn de basisprincipes en uitgangspunten van de Wbp?
» De Meldplicht Datalekken, wat is er veranderd & wat is de impact op uw audit?
» Wat is de impact van de nieuwe Europese Algemene Verordening Gegevensbescherming (AVG) op uw audit?
» De belangrijkste wijzigingen van de AVG ten opzichte van de Wbp

Bewerkers (zoals ICT service en applicatie providers)
» Wanneer is er sprake van (sub)bewerkerschap? Wat is een verantwoordelijke en welke vormen van verantwoordelijkheid zijn er?
» Waar moet u op letten bij het beoordelen van een bewerkersovereenkomst?
» Is een bewerker zelfstandig verantwoordelijk en aansprakelijk voor naleving van de Wbp of is dat de verantwoordelijke?
» Waar moet u op letten bij gegevensuitwisseling in concern- of groepsverhoudingen?
» Waar moet u op letten bij gegevensuitwisseling met derden zoals ketenpartners?
» Hoe zit het met gegevensuitwisseling buiten de EU?

Praktijkcase: Auditing privacy bij ICT organisatie
Hoe audit ICT organisatie x privacy onder de AVG? U hoort aanpak, praktijkervaringen, do's & dont's bij uitgevoerde audits. Hiermee doet u ideeën en praktijktips op, welke u direct kunt toepassen in uw organisatie.

Dag 2
Afbakening van uw privacy audit
» Welke privacy kenmerken per doelgroep zijn belangrijk?
» Welke risico's vermijdt u met een juiste afbakening?
» Hoe communiceert u de afbakening aan de organisatie / in de rapportage?
» Welke eigen verantwoordelijkheid draagt u bij inhuur van een externe deskundige?
» Auditen tijdens de transitieperiode (t/m 25 mei 2018)

Richtsnoeren van de AP
» Op welke wijze stelt u een privacy normenkader op?
» Wat moet u weten van de richtsnoeren "beveiliging van persoonsgegevens van de AP"?
» Hoe audit u op deze richtsnoeren?

Beveiligingsnormen voor informatiebeveiliging
» Met welke normen beoordeelt u de beveiliging van persoonsgegevens?
» Beveiligingsnormen uit de ISO 27000 serie en (optioneel) de NEN 7510
» Hoe stelt u een gericht werkprogramma samen?

Normenkaders
» Normenkader om de AVG te toetsen binnen de organisatie. Hierin wordt een nieuw normenkader gepresenteerd dat uw organisatie kan gebruiken om vast te stellen of uw organisatie voldoet aan de AVG en welke blinde vlekken er nog zijn.
» Normenkader, zoals dat geldt tot mei 2018 in het kader van de Wbp
» Controlframework voor het toetsen van meldplicht datalekken casus

Praktijkscenario
U krijgt een integrale casus over het auditen van een organisatie met uitbestede diensten, waaronder ICT. De casus is gericht op het uitvoeren van het gehele traject van een privacy audit, het maken van plan van aanpak, afbakening tot de rapportage aan de organisatie.

Dag 3
Privacy by Design & Privacy Enhancing Technologies
» Welke PET's kunt u onderscheiden?
» Wat zijn de bedrijfsmatige en technische implicaties van PET's
» Hoe audit u Privacy by Design en Privacy by Default?
» Hoe stelt u een gericht werkprogramma samen?

Rol van de privacy auditor bij actuele ontwikkelingen
» EU-US Privacy Shield
» Privacy Impact Assessments (PIA's)
» Virtualisatie, Cloud, Saas, Paas
» Bewerkersovereenkomst
» Ketens en ketenpartners

Bespreken van praktijkscenario
De opdracht die u zelf heeft uitgevoerd wordt besproken. De theorie privacy, de audit aanpak, afbakening en casussen worden besproken. Doelstelling is om met een concreet werkprogramma huiswaarts te keren, klaar voor uw dagelijkse praktijk.

Omgang met conflicterende bepalingen en auditdilemma's
» Discrepantie tussen wettelijke bewaartermijnen en drang om gegevens langer te bewaren of technische onmogelijkheid om gegevens uit systemen te kunnen halen
» Hoe audit u conflicterende (of overlappende) bepalingen uit de Wet BRP, WGBO, Wpolg, WJSG, Wet SUWI etc?
» Hoe gaat u om met de open normen van de Wbp, hoe audit u die?

Aanpak en ervaringen audits bij gemeenten, overheid, multinationals, MKB.
Overview van veel voorkomende aanpakken, best practices, do's & dont's

Sparsessie – Privacy audits onder de AVG
Pas uw kennis en ervaring toe in de praktijk en discussieer mee over:
» Het auditen van aantoonbaarheid: wanneer is goed goed genoeg?
» Hoe vaak moet u auditen om als organisatie aantoonbaar in control te blijven?
» Hoe audit u shared-service centers en legt u assurance af?
» Auditen van open normen van Wbp: wanneer zijn deze voldoende opgevolgd?

Docent

Jean Paul van Schoonhoven & Mischa van der Vliet
Inschrijven