PBLQ verzorgt opnieuw AVG | Privacy Impact Assessment opleiding
Deze zomer ontwikkelde PBLQ een opleiding gericht op Privacy Impact Assessments (PIAs). De opleiding voorziet professionals die te maken krijgen met dit onderdeel van de nieuwe Algemene Verordening Gegevensbescherming (AVG) van praktische tools om een PIA uit voeren en leert hen waar ze op moeten letten.
Het privacy landschap staat de komende jaren enorme veranderingen te wachten. Een van de grootste veranderingen is de invoering van de zogeheten General Data Protection Regulation (GDPR), ofwel de Algemene Verordening Gegevensbescherming (AVG), een nieuwe Europese wetgeving voor de bescherming van persoonsgegevens en tevens een richtlijn voor politie en justitie inzake gegevensbescherming.
Voor organisaties is het belangrijk om zich goed voor te bereiden op de verordening, die nieuwe regels met zich meebrengt. Een van de wijzigingen ten opzichte van de oude wetgeving – de AVG vervangt de richtlijn bescherming persoonsgegeven – vormt het verplicht stellen van Privacy Impact Assessments (PIAs). Met een PIA, in de Nederlandse versie van de AVG met de term ‘gegevensbeschermingseffectbeoordeling’ aangeduid, wordt een voorafgaand onderzoek naar de mogelijke risico’s van een verwerking van persoonsgegevens bedoeld.*
Het uitvoeren van een PIA is niet vrijblijvend**, het niet naleven van de AVG kan bedrijven en overheidsinstanties op forse boetes komen te staan. Tot 25 mei 2018 krijgen organisaties de tijd om hun bedrijfsvoering met de AVG in overeenstemming te brengen. Daarna kunnen boetes in sommige gevallen oplopen tot wel €20 miljoen of 4% van de wereldwijde jaaromzet van een onderneming. Voor organisaties is het daarom uitermate belangrijk om vroeg genoeg in kaart te brengen in welke mate hun bedrijfsvoering klaar is voor de nieuwe verordening.
-worden-verplicht-in-de-nieuwe-Algemene-Verordening-Gegevensbescherming-(AVG).jpg "Privacy Impact Assessments (PIAs) worden verplicht in de nieuwe Algemene Verordening Gegevensbescherming (AVG)”")
Privacy Impact Assessments
Om managers en professionals die de taak hebben gekregen om binnen hun organisatie een Privacy Impact Assessment door te voeren te ondersteunen, heeft publiek adviesbureau PBLQ eerder dit jaar een speciale opleiding ontwikkeld. De opleiding van PBLQ, getiteld ‘Werkplaats Privacy Impact Assessment’, is bedoeld voor iedereen die in zijn of haar functie als jurist, beleidsmedewerker en informatiekundige, praktische handvatten zoekt om zelf PIAs uit te kunnen voeren. Als opleider is PBLQ CEDEO gecertificeerd, ISO gecertificeerd en beschikt het over het NRTO keurmerk.
Tijdens een leertraject van negen dagdelen leren deelnemers van juridische en informatiekundige ervaringsdeskundigen en aan de hand van een praktijkcase, wat een PIA is en waar zij op moeten letten bij het uitvoeren van een PIA. De deelnemers behandelen privacydilemma’s vanuit meerdere perspectieven, zowel juridisch als informatiekundig, en leren het vraagstuk in kaart te brengen en de juiste vragen te stellen. Onderdelen van het curriculum vormen onder meer: een intakegesprek, een zelfstudie in een digitale leeromgeving, casebased learning met simulatie, theorie en inleiding door ervaren praktijkdeskundigen, en een coachingsgesprek.
Na een eerste editie deze zomer zal de opleiding komende september wederom verzorgd worden. Op 20 september*** zal worden gestart met een simulatie, de volgende twee dagdelen bieden vervolgens een inleiding op en oefenen met het juridisch kader van de AVG en PIA. Dagdeel 3 behandelt ‘Werken vanuit de informatiekundige benadering’ (praktijkaanpak), en dagdelen 4 en 5 draait om het uitvoeren van risico-analyses (rondom informatiebeveiliging, systeemarchitectuur, privacy by design). Tijdens de laatste twee dagdelen wordt het juridisch kader verbonden aan een informatiekundige benadering.
-kunnen-organisaties-vroegtijdig-privacyrisicos-signaleren-en-maatregelen-nemen.jpg "Met een privacy impact assessment (PIA) kunnen organisaties vroegtijdig privacyrisico’s signaleren en maatregelen nemen")
Na afronding beschikken de deelnemers volgens PBLQ over een “praktische toolbox” en de juiste handvatten om met een stapsgewijze aanpak systematisch een PIA uit te voeren binnen hun eigen organisatie. Daarbij ervaren ze bovendien hoe een verantwoorde risico-afweging kan worden gemaakt, die recht doen aan zowel de privacy van de burger als het werk van de overheid.
Theo Hooghiemstra, Principal Adviseur bij PBLQ, besluit: “Met een privacy impact assessment (PIA) kunnen organisaties vroegtijdig privacyrisico’s signaleren en maatregelen nemen. Een PIA helpt om aan te tonen dat hun organisatie aan de wet voldoet of maatregelen neemt om daaraan te voldoen. Met onze PIA-aanpak plaatsen we het privacy vraagstuk in een bestuurlijke context. Wat mag, wat moet en wat kan er? Dat zijn leidende vragen om te komen tot effectieve maatregelen om privacy te waarborgen.”
* Een PIA moet schriftelijk worden vastgelegd en moet in ieder geval de volgende elementen bevatten: een systematische beschrijving van de verwerkingen en hun doelen; een beoordeling van de proportionaliteit van de verwerkingen; een inventarisatie van de risico’s voor betrokkenen; en een opsomming van de genomen maatregelen om de geconstateerde risico’s te mitigeren.
** Een PIA is verplicht als een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor de mensen van wie de organisatie gegevens verwerkt. Dat is in ieder geval zo als een organisatie op grote schaal bijzondere persoonsgegevens verwerkt.
*** Het traject vindt verspreid plaats op de volgende data: 20 september 2017 (14.00 – 17.00 uur), 21 september 2017 (09.00 - 17.00 uur), 26 september 2017 (09.00 - 17.00 uur), 3 oktober (09.00 - 12.00 uur), 10 oktober 2017 (09.00 - 17.00 uur) en 25 oktober 2017 (13.00 - 17.00 uur) en wordt verzorgd op het kantoor van PBLQ in Den Haag.
