Privacy Audit Fundamentals

Update cht Meldpli n, ke Datalek gdheid evoe ­Boeteb Privacy U E & AP ening Verord

Privacy Audit Fundamentals Herken en analyseer de impact van Privacy op uw organisatie en breng uw audit naar een hoger niveau Privacy audit: Alle need-to-know privacy regels De invloed van privacy regels op uw privacy audit in uw eigen werkomgeving Uw eigen branche staat centraal: gericht leren Hoe kunt u uw privacy audit adequaat afbakenen? Nieuw terrein: de do’s en don’ts bij het uitvoeren van privacy audits Praktijkcase: aan de slag met uw eigen privacy audit

Inclusief iPad Air

met digitaal lesmateriaal

Resultaat Na deze opleiding kunt u op hoofdlijnen een privacy audit uitvoeren.

Locatie: Coengebouw Amsterdam Data: 5, 6 en 14 april 2016

www.iir.nl/privacyaudit 18PE uren

vacy audits ri p r a a n den g a ra en en overhe Groeiende v mt bij bedrijv ko g in ev lg ge re w en

eu ivacy wet- en echter nog ni e Europese Pr ivacy audit is pr e D . da Door naderend en men kijken op de ag pecten die ko steeds hoger e as nc le ia al n pl m va Co nt te be Privacy . De opleiding t u op de hoog het hoofd ziet bied. Zorg da er ge n ov s ne o’ ic on ris tg onon rivacy) orkom dat u (p y audit, en vo ac iv r. pr n ee j bi het juiste spoo entals zet u op am nd Fu it ud Privacy A

leiding: van deze op n e lg o v t e h Na wetgeving;

e privacy dit in t in de relevant ch zi in u en voor uw au ft ee H BB kening te mak ba af te ua eq t een ad Bent u in staa BB komgeving; uw eigen wer twikkelingen; et actuele on m an ga te audit. Weet u hoe om BB n uw privacy and don’ts va ’s do de in t Heeft inzich BB april 2016. g op 5, 6 & 14 in id le op se ag ns deze drieda ten wij u tijde Graag ontmoe e groet, Met vriendelijk ee Maaike Sand er opment Manag Product Devel dee /in/maaikesan nl.linkedin.com

Werkwijze

•

Digitale intake: vooraf krijgt u per email een intake zodat u zeker weet dat al uw vragen aan bod komen in de training.

•

De eerste dag is de introductie en behandeling van het thema privacy binnen uw branche. Vervolgens volgt een concrete branche gerichte audit toepassing. Tenslotte volgt de laatste middag een ‘wrap up’ waarin de privacy theorie en de toepassing in de audit praktijk uitvoerig worden geëvalueerd zodat u op alles bent voorbereid als u uw eigen werksituatie binnenstapt;

•

Alle 3 dagen zijn geïntegreerd en met elkaar verbonden middels een casus.

Uw Docenten Jean Paul van Schoonhoven is opgeleid als

Maarten Mennen is opgeleid tot register­

jurist en bedrijfseconoom en is Chief Privacy

accountant, register EDP auditor en informatie

Officer bij PostNL en directeur van adviesbureau

manager en is directeur van RSM Nederland

Legal2Practice. Voorheen was hij onder meer

Risk Management Services sinds 2011. Voor-

werkzaam bij de Autoriteit Financiële Markten, de Autoriteit

heen was hij als hoofd Audit ondermeer werkzaam voor SNS

Persoonsgegevens en bij SNS REAAL en heeft zowel in de publieke

REAAL , Rabobank en CZ en heeft zowel in de publieke als in de

als in de private sector ruime ervaring opgedaan. Vanuit de

private sector ruime ervaring opgedaan. De RSM organisatie

filosofie om privacy vraagstukken tastbaar en toegankelijk te

levert internationaal diverse services op het gebied van

maken heeft hij een praktische benadering. Jean Paul publiceert

accountancy, belastingadvies en advisering op financieel-­ ­

en spreekt regelmatig over privacythema’s, is oprichter en

economisch en strategisch gebied. Naast actief met diverse

redactielid van het tijdschrift ‘Jurisprudentie Bescherming

vormen van advisering en audits doceert hij aan verschillende

Persoonsgegevens’ (SDU), redactielid van het tijdschrift voor

instituten zoals de Universiteit van Maastricht en Nyenrode

compliance (DenHollander) en redactielid van het tijdschrift

­(auditing en administratie organisatie). Praktijkervaring opgedaan

Financieel Recht en het Juridisch Wetenschappelijk Bureau

in diverse senior programma functies bij organisaties als de

(Kluwer). Jean Paul is lid van de Vereniging Privacy Recht, de

Provincie, Achmea (Kwaliteit en Risico Manager ai), CZ (Dir Interne

Vereniging van Compliance Professionals en de Vereniging

Accountants Dienst) en Rabobank (Senior EDP Auditor). Diverse

voor Compliance in de Zorg. (nl.linkedin.com/in/jpvanschoonhoven)

uitingen op zijn naam staan op het gebied van risk&auditing. (nl.linkedin.com/in/maartenmennen)

DAG 1 ‘Need to know’-privacy regels voor uw privacy audit Deze dag wordt verzorgd door Jean Paul van Schoonhoven, Chief Privacy Officer PostNL en directeur Legal2Practice

Module 1

Ontvangst en introductie in het privacy landschap BB BB BB BB

Module 2

Toezicht en Handhaving door de Autoriteit Persoonsgegevens (AP) BB BB BB BB

Module 3

Voorstellen en introductie Opbouw van het programma Achtergrond privacyregelgeving en het privacy landschap De integrale casus

Welke bevoegdheden heeft de toezichthouder? Hoe kan de AP handhaven en wanneer doet de AP dat? Gedragscodes op grond van de Wbp Wat is de invloed van een functionaris gegevensbescherming op het toezicht van de AP?

Need-to-know privacyregels voor auditors I BB BB BB BB BB

Kernbegrippen uit de Wbp Wat houden doelbinding, grondslag en verenigbaar gebruik in? Hoe lang mogen gegevens worden bewaard? Hoe voer je effectief de informatieplicht uit? Hoe waarborg je de rechten van een betrokkene?

Gezamenlijke lunch

Module 4

Need-to-know privacyregels voor auditors II BB BB

Module 5

De rol van de privacy officer / functionaris gegevensbescherming Actuele ontwikkelingen in regelgeving: || Wat gaat er veranderen door de Meldplicht Datalekken en wat is impact er van op uw audit? || Wanneer is er sprake van een meldplichtig datalek? || Wat is de boetebevoegdheid van de AP? || Wat is de impact van de per 2018 geldende Europese Privacy Verordening op uw audit? {{ Het vergeetrecht {{ Meldplicht beveiligingsinbreuken {{ Dataportabiliteit

Privacy en derdenbewerkers (zoals Cloudcomputing) BB BB BB

BB BB

Wat zijn (derden)bewerkers? Wat zijn de aandachtspunten bij het beoordelen van een bewerkersovereenkomst? Hoe waarborg je de technische en organisatorische beveiligingsmaatregelen van een bewerker? Wat zijn de aandachtspunten bij gegevensuitwisseling in concernverband? Wat zijn de aandachtspunten bij gegevensuitwisseling binnen en buiten de EU?

Extra! U krijgt: - Een actuele wetgevingsbundel met de tekst van de Wbp en alle relevante wetgeving

- Stappenplan voor het uitvoeren van een PIA



- Overzicht van veel voorkomende vragen en antwoorden bij een PIA



- Een checklist en succesfactoren voor uw privacy audit

DAG 2 Afbakening, normen en kaders voor uw privacy audit Deze dag wordt verzorgd door Maarten Mennen, risicomanager, RSM Nederland Risk Management Services.

Module 6

De privacy audit BB BB

Module 7

Afbakening van uw privacy audit BB BB BB BB

BB

Module 8

Welke basisinformatie heeft u nodig? Welke privacy kenmerken per doelgroep zijn belangrijk? Welke stappen doorloopt u bij de afbakening van uw privacy-audit? Welke risico´s vermijdt u met een juiste afbakening? Hoe communiceert u de afbakening aan de organisatie / in de rapportage? Welke eigen verantwoordelijkheid draagt u bij inhuur van een externe deskundige.

Richtsnoeren van de AP BB BB BB

Module 9

Branche oriëntatie in de groep Uw ‘privacy business’ begrijpen (voor de onderscheiden doelgroepen)

Op welke wijze stelt u een privacy normenkader op voor uw branche? Wat moet u weten van de richtsnoeren “beveiliging van persoonsgegevens van de AP”? Hoe audit u op deze richtsnoeren?

Beveiligingsnormen voor informatiebeveiliging BB BB BB BB BB

Met welke normen beoordeelt u de beveiliging van persoonsgegevens? Beveiligingsnormen uit de ISO 27000 serie en (optioneel) de NEN 7510 Hoe audit u good practices als ITIL en Cobit? Overige specifieke normen voor de branches. Hoe stel ik een gericht werkprogramma samen?

Gezamenlijke lunch

Module 10 De uitvoering van een privacy audit BB BB BB BB

BB

Baseline: Hoe audit u de verplichting tot informeren, inzage en correctie? Baseline: Hoe audit u de verplichting tot doelbinding en melding? Baseline: Wat dient er in het auditdossier te zijn opgenomen? Specifieke toevoegingen kenmerken (in branche groepen) || Op welke wijze stelt u opzet, bestaan en werking van de privacy maatregelen vast? Aan welke vereisten dient de rapportage te voldoen?

Module 11 Outsourcing (waaronder Cloud) & bewerkersovereenkomsten BB BB BB BB BB

Hoe audit u privacy compliance van outsourcing van IT diensten? Wat is de waarde van certificaten (ISO27001, ISAE3402)? Welke risico’s en controls treft u aan bij outsourcing? Hoe stelt u uw audit werkprogramma op bij outsourcing? Hoe signaleert u risico’s bij outsourcing?

Dagindeling 9:00 Ontvangst | 9:30 Start programma | 12:30 Lunch | 13:30 Start middagprogramma | 17:00 Einde programma

Module 12 Privacy by Design & Privacy Enhancing Technologies BB BB BB BB

Welke PET’s kunt u onderscheiden: branche gericht? Wat zijn de bedrijfsmatige en technische implicaties van PET’s? Hoe audit u PET’s? Technieken || Versleuteling || Gegevensscheiding || Functiescheiding || Framework voor gebruik van trusted 3rd party || Templates

Praktijkopdracht per doelgroep De dag wordt afgesloten met de integrale casus met een branche specifieke module. De casus zal gericht zijn op het ­uitvoeren van (het gehele traject) van een privacy audit: van het maken van een plan van aanpak tot de uiteindelijke ­rapportage.

Inclusief interactieve leeromgeving Alle presentaties, video’s, artikelen en huiswerk staan op onze online leeromgeving. Zo heeft u alle cursusinformatie op één plek! Ook kunt u contact houden met andere deelnemers, of vragen stellen aan uw docent. U ontvangt een week voor aanvang van de cursus uw persoonlijke inlogcodes.

DAG 3 Actuele ontwikkelingen & praktijkdag Deze dag wordt verzorgd door Maarten Mennen risicomanager, RSM Nederland Risk Management Services.

Module 13 Privacy Impact Assessment BB BB BB BB

Hoe kunt u de PIA inzetten voor het controleren van privacy risico’s: branche gericht? Hoe verhoudt een PIA zich ten opzichte van een privacy audit? Hoe stelt u een werkprogramma voor een PIA op? Wie betrekt u bij het uitvoeren van een PIA?

Module 14 Rol privacy auditor bij nieuwe ontwikkelingen BB BB BB BB

Social Media Virtualisatie en de Cloud Continous monitoring BYOD

Gezamenlijke lunch

Middagprogramma Praktijkmiddag: privacy audit praktijkcase De middag staat in het teken van de opdracht die u in de tussentijd heeft uitgevoerd. De opdracht wordt behandeld en ­deelnemers geven afzonderlijk de antwoorden op de vragen van de opdracht. De theorie privacy, de audit aanpak en de casussen worden integraal besproken. Doelstelling is om met ‘tailor made ‘ ­werkprogramma’s huiswaarts te keren, klaar voor gebruik in uw dagelijkse praktijk.

IIR, Kabelweg 37, 1014 BA Amsterdam:

Meld u aan met uw klantcode:

Privacy Audit Fundamentals Herken en analyseer de impact van Privacy op uw organisatie en breng uw audit naar een hoger niveau Inhoudelijk contact met uw opleidingsadviseur Als u meer inhoudelijke informatie over deze opleiding wilt, neem dan contact op met onze opleidingsadviseur Michel de Coninck. Neem contact op via 020-5805451 of per e-mail [email protected] Deze opleiding op maat volgen? Bent u geïnteresseerd om een aangepaste versie van deze opleiding te volgen, volledig afgestemd op de behoefte van uw organisatie of afdeling? Neem contact op met adviseur Saskia van Berkel. U kunt haar bereiken op 020-5805440 of [email protected].

Bestemd voor:

• Internal auditor • Audit manager • Manager internal control • Operational auditor • IT auditor • External auditor • Financial auditor (affiniteit met IT audit) • Security officer • Risk manager • IT-manager • Kwaliteitsmanager • Compliance manager

Prijsoverzicht

3-daagse opleiding incl. iPad Air met digitaal lesmateriaal • • •

€ 2.699,-

Alle prijzen zijn per persoon en exclusief BTW en inclusief documentatie, koffie, thee en uitgebreide buffetlunch. Wilt u geen Ipad Air en neemt u uw eigen tablet of laptop mee? Dan ontvangt u € 300 korting. Bent u NOREA lid? U ontvangt € 300 korting*

Gegevensregistratie Uw gegevens worden door IIR geregistreerd en gebruikt om u op de hoogte te houden van onze producten en die van zorgvuldig geselecteerde bedrijven. Mochten uw gegevens niet correct zijn of wenst u dat uw gegevens niet gebruikt worden voor deze doeleinden, neem dan contact op met onze database afdeling via 020 - 580 5470 of e-mail [email protected]

www.iir.nl/privacyaudit 18PE uren

*niet geldig in combinatie met andere kortingen

Algemene voorwaarden Op alle aanbiedingen zijn onze algemene voorwaarden van toepassing. Deze zijn gedeponeerd bij de K.v.K te Amsterdam, onder nummer 64458482. De algemene voorwaarden zijn te downloaden op onze website www.iir.nl/ algemene_voorwaarden en worden op verzoek kosteloos toegezonden.