Privacy Audit Fundamentals

Privacy Audit Fundamentals Herken en analyseer de impact van Privacy op uw organisatie en breng uw audit naar een hoger niveau Privacy audit: Alle need-to-know privacy regels De invloed van privacy regels op uw privacy audit Hoe kunt u uw privacy audit adequaat afbakenen? De rol van Cloud & Social bij uw privacy audit Nieuw terrein: de do’s en don’ts bij het uitvoeren van privacy audits Praktijkcase: aan de slag met uw eigen privacy audit

Inclusief iPad Air

met digitaal lesmateriaal

Resultaat Na deze opleiding kunt u op hoofdlijnen een privacy audit uitvoeren.

Locatie: Coengebouw Amsterdam Data: 12, 16 & 20 november 2015

www.iir.nl/privacyaudit 18PE uren

audits aar privacy n g a ra v overheden e d j bedrijven en Groeien bi t m ko g in ev

lg nieuw en y wet- en rege ropese Privac t is echter nog Eu di e au nd y re ac iv de pr na e .D Door r op de agenda men kijken e steeds hoge pecten die ko nc as ia le pl al m n Co va y nt Privac te be e opleiding t u op de hoog bied. Zorg da t hoofd ziet. D ge he n er ne ov s on o’ tg ic y)ris onon m dat u (privac dit, en voorko au y ac iv pr n bij ee iste spoor. zet u op het ju ls ta en am nd Fu Privacy Audit

leiding: van deze op n e lg o v t e h Na etgeving; nte privacy w

t; t in de releva voor uw audi Heeft u inzich ng te maken ni cial ke ba af te d, BYOD en So t een adequa n zoals de Clou ge lin Bent u in staa BB ke ik tw euwe on te gaan met ni Weet u hoe om BB audit. media; n uw privacy and don’ts va ’s do de in t Heeft u inzich BB . en 29 mei 2015 ing op 20, 21 id le op se ag ns deze drieda ten wij u tijde Graag ontmoe

BB

e groet, Met vriendelijk je Jasper Saveni er opment Manag Product Devel enije /pub/jasper-sav nl.linkedin.com Werkwijze

•

Digitale intake: vooraf krijgt u per email een intake zodat u zeker weet dat al uw vragen aan bod komen in de training.

•

Na afloop van de tweede dag ontvangt u een case, opgesteld om de theoretische basis die u tijdens de twee dagen training heeft opgebouwd, toe te passen in de praktijk. Deze opdracht vormt de basis van de praktijkmiddag tijdens de terugkomdag.

Uw Docenten Jean Paul van Schoonhoven is opgeleid als

Erik Spaans RE CISA heeft brede ervaring op

jurist en bedrijfseconoom en is directeur van

het gebied van IT audit opgedaan in diverse

adviesbureau Legal2Practice. Voorheen was

rollen bij verschillende organisaties. Sinds maart

hij onder meer werkzaam bij de AFM, het CBP

2014 is hij werkzaam als partner bij Control

en bij SNS REAAL en heeft zowel in de publieke als in de private

Solutions International, waar hij onder andere verantwoordelijk

sector ruime ervaring opgedaan. Vanuit de filosofie om

is voor informatiebeveiliging en certificering, internal IT Audit en

privacy vraagstukken tastbaar en toegankelijk te maken heeft

Computer Assisted Audit Techniques (CAAT’s) voor kleine

hij een prak­tische benadering. Jean Paul publiceert en spreekt

auditafdelingen. Hij is tevens penningmeester van de Ngi afde-

regelmatig over privacythema’s, is oprichter en redactielid van

ling IT Audit. Hij begon zijn IT carrière in 1997 bij KPMG, waar hij

het tijdschrift ‘Jurisprudentie Bescherming Persoonsgegevens’

als auditor en consultant diverse organisaties heeft ondersteund

(SDU), redactielid van het tijdschrift voor compliance (Den-

bij de evaluatie en verbetering van de IT. Hij is sindsdien

Hollander) en redactielid van tijdschrift Financieel Recht en

werkzaam geweest bij diverse organisaties in onder andere de

het Juridisch Wetenschappelijk Bureau (Kluwer). Jean Paul is

financiële dienstverlening. nl.linkedin.com/pub/erik-spaans

lid van de Vereniging voor Privacyrecht en van de Vereniging van Compliance Officers. nl.linkedin.com/in/jpvanschoonhoven

DAG 1 ‘Need to know’-privacy regels voor uw privacy audit Deze dag wordt verzorgd door Jean Paul van Schoonhoven, directeur adviesbureau Legal2Practice

Module 1

Ontvangst en introductie in het privacy landschap BB BB BB

Module 2

Toezicht en Handhaving door het CBP BB BB BB BB

Module 3

Voorstellen en introductie Opbouw van het programma Achtergrond privacyregelgeving en het privacy landschap

Welke bevoegdheden heeft de toezichthouder? Hoe kan het CBP handhaven en wanneer doet het CBP dat? Gedragscodes op grond van de Wbp Wat is de invloed van een functionaris gegevensbescherming op het toezicht van het CBP?

Need-to-know privacyregels voor auditors I BB BB BB BB BB BB

Kernbegrippen uit de Wet bescherming Persoonsgegevens (Wbp) Wat houden doelbinding, grondslag en verenigbaar gebruik in? Hoe lang mogen gegevens worden bewaard? Hoe voer je effectief de informatieplicht uit? Hoe waarborg je de rechten van een betrokkene? De meldplicht en het Vrijstellingsbesluit Wbp

Gezamenlijke lunch

Module 4

Need-to-know privacyregels voor auditors II BB BB

Module 5

De rol van de privacy officer / functionaris gegevensbescherming Actuele ontwikkelingen in regelgeving: || Wat gaat er veranderen door het “Wetsvoorstel Meldplicht Datalekken”? || Wanneer is er sprake van een datalek en wanneer moet je melden? || Wat is de boetebevoegdheid van het CBP? || Wat is de impact van het “Wetsvoorstel Meldplicht Datalekken” op uw audit? || Wat is de impact van de komende Europese Privacy Verordening? {{ Het vergeetrecht {{ Meldplicht beveiligingsinbreuken {{ Dataportabiliteit {{ Verstrekkende boetebevoegdheid || Wat is de impact van de Europese Privacy Verordening op uw IT-audit?

Privacy en derdenbewerkers (zoals Cloudcomputing) BB BB BB BB BB

Wat zijn (derden)bewerkers? Wat zijn de aandachtspunten bij het beoordelen van een bewerkersovereenkomst? Hoe waarborg je de technische en organisatorische beveiligingsmaatregelen van een bewerker? Wat zijn de aandachtspunten bij gegevensuitwisseling in concernverband? Wat zijn de aandachtspunten bij gegevensuitwisseling binnen en buiten de EU?

Dagindeling 9:00 Ontvangst | 9:30 Start programma | 12:30 Lunch | 13:30 Start middagprogramma | 17:00 Einde programma

DAG 2 Afbakening, normen en kaders voor uw privacy audit Deze dag wordt verzorgd door Erik Spaans, IT-auditor (RE CISA) en partner bij Control Solutions International

Module 6

De privacy audit BB BB BB

Module 7

Afbakening van uw privacy audit BB BB BB BB BB

Module 8

Understandig the business. Welke basisinformatie heeft u nodig? Welke stappen doorloopt u bij de afbakening van uw privacy audit? Welke risico´s vermijdt u met een juiste afbakening? Hoe communiceert u de afbakening aan de organisatie / in de rapportage? Welke eigen verantwoordelijkheid draagt u bij inhuur van een externe deskundige.

Richtsnoeren van het CBP BB BB BB

Module 9

Eisen aan de audit en auditor Welke typen privacy audit kunt u onderscheiden? Hoe voert u risicomanagement uit binnen een privacy audit?

Op welke wijze stelt u een privacy normenkader op? Wat moet u weten van de richtsnoeren “beveiliging van persoonsgegevens van het CBP”? Hoe audit u op deze richtsnoeren?

Beveiligingsnormen voor informatiebeveiliging BB BB BB

Met welke normen beoordeelt u de beveiliging van persoonsgegevens? Beveiligingsnormen uit de ISO 27000 serie en (optioneel) de NEN 7510 Hoe audit u good practices als ITIL en Cobit?

Gezamenlijke lunch

Module 10 De uitvoering van een privacy audit BB BB BB BB BB

Hoe audit u de verplichting tot informeren, inzage en correctie? Hoe audit u de verplichting tot doelbinding en melding? Op welke wijze stelt u opzet, bestaan en werking van de privacy maatregelen vast? Aan welke vereisten dient de rapportage te voldoen? Wat dient er in het auditdossier te zijn opgenomen?

Module 11 Outsourcing (waaronder Cloud) & bewerkersovereenkomsten BB BB BB BB BB

Hoe audit u privacy compliance van outsourcing van IT diensten? Wat is de waarde van certificaten (ISO27001, ISAE3402)? Welke risico’s en controls treft u aan bij outsourcing? Hoe stelt u uw audit werkprogramma op bij outsourcing? Hoe signaleert u risico’s bij outsourcing?

Extra! U krijgt: - Een actuele wetgevingsbundel met de tekst van Wbp en alle relevante wetgeving

- Stappenplan voor het uitvoeren van een PIA



- Overzicht van veel voorkomende vragen en antwoorden bij een PIA



- Een checklist en succesfactoren voor uw privacy audit

Module 12 Privacy by Design & Privacy Enhancing Technologies BB BB BB BB

Welke PET’s kunt u onderscheiden? Wat zijn de bedrijfsmatige en technische implicaties van PET’s? Hoe audit u PET’s? Technieken || Versleuteling || Gegevensscheiding || Functiescheiding || Framework voor gebruik van trusted 3rd party || Templates

Praktijkopdracht De dag wordt afgesloten met een casus. De casus zal gericht zijn op het uitvoeren van (het gehele traject van) een privacy audit: van het maken van een plan van aanpak tot de uiteindelijke rapportage behandelen.

Inclusief online leeromgeving U vindt alle presentaties en huiswerk op onze online leeromgeving. Zo heeft u alle cursusinformatie op één plek! Ook kunt u contacthouden met andere deelnemers, of vragen stellen aan uw docent.

DAG 3 Actuele ontwikkelingen & praktijkdag Deze dag wordt verzorgd door Erik Spaans, IT-auditor (RE CISA) en partner bij Control Solutions International

Module 13 Privacy Impact Assessment BB BB BB BB

Hoe kunt u de PIA inzetten voor het controleren van privacy risico’s? Hoe verhoudt een PIA zich ten opzichte van een privacy audit? Hoe stelt u een werkprogramma voor een PIA op? Wie betrekt u bij het uitvoeren van een PIA?



Praktijk:

Stel een PIA stappenplan op die als leidraad dient voor uw organisatie!

Module 14 Rol privacy auditor bij nieuwe ontwikkelingen BB BB BB BB

Social Media Virtualisatie en de Cloud Continous monitoring BYOD

Gezamenlijke lunch

Middagprogramma Praktijkmiddag: privacy audit praktijkcase De middag staat in het teken van de opdracht die u in de tussentijd heeft uitgevoerd. De opdracht wordt behandeld en deelnemers geven afzonderlijk de antwoorden op de vragen van de opdracht. De uitkomst van uw opdracht, correcties en nuttige praktijktips vormen de basis voor een eenvoudige privacy audit die u kunt gebruiken voor uw eigen organisatie.

IIR B.V., Kabelweg 37, 1014 BA Amsterdam:

Meld u aan met uw klantcode:

Privacy Audit Fundamentals Herken en analyseer de impact van Privacy op uw organisatie en breng uw audit naar een hoger niveau Inhoudelijk contact met uw opleidingsadviseur

Bestemd voor:

Als u meer inhoudelijke informatie over deze opleiding wilt, neem dan contact op met onze opleidingsadviseur Michel de Coninck. Neem contact op via 020-5805451 of per mail [email protected]

• Internal Auditor • Audit manager • Manager Internal Control • Operational Auditor • IT auditor • External Auditor • Financial Auditor (affiniteit met IT audit) • Security officer • Risk manager • IT-manager • Kwaliteitsmanager • Compliance manager

Deze opleiding op maat volgen? Bent u geïnteresseerd om een aangepaste versie van deze opleiding te volgen, volledig afgestemd op de behoefte van uw organisatie of afdeling? Neem contact op met adviseur Saskia van Berkel. U kunt haar bereiken op 020-5805440 of [email protected].

Prijsoverzicht

3-daagse opleiding incl. iPad Air met digitaal lesmateriaal • • •

€ 2.699,-

Alle prijzen zijn inclusief koffie, thee en lunch en exclusief BTW Wilt u geen Ipad Air en neemt u uw eigen tablet of laptop mee? Dan ontvangt u € 300 korting. Bent u NOREA lid? U ontvangt € 300 korting*

Gegevensregistratie Uw gegevens worden door IIR geregistreerd en gebruikt om u op de hoogte te houden van onze producten en die van zorgvuldig geselecteerde bedrijven. Mochten uw gegevens niet correct zijn of wenst u dat uw gegevens niet gebruikt wordt voor deze doeleinden, neem dan contact op met onze database afdeling via 020 - 580 5470 of e-mail [email protected]

www.iir.nl/privacyaudit 18PE uren

*niet geldig in combinatie met andere kortingen

Algemene voorwaarden Op alle aanbiedingen zijn onze algemene voorwaarden van toepassing. Deze zijn gedeponeerd bij de K.v.K te Amsterdam, onder nummer 33200358. De algemene voorwaarden zijn te downloaden op onze website www.iir.nl/ algemene_voorwaarden en worden op verzoek kosteloos toegezonden.