Leergang Functionaris gegevensbescherming [AVG / GDPR] (FG)

Algemene omschrijving

In de Europese Algemene Verordening en Meldplicht Datalekken is opgenomen dat het aanstellen van een “Functionaris Gegevensbescherming” verplicht wordt. (uiterlijk 25 mei 2018). De aanwijzing van een FG is niet langer vrijblijvend, maar verplicht voor organisaties die veel persoonsgegevens verwerken. Voorbeelden zijn gemeenten, provincies, maar ook onderwijs- en zorginstellingen.

De leergang Functionaris Gegevensbescherming bestaat in de basis uit de volgende vakgebieden die ieder door gespecialiseerde en gecertificeerde docenten worden behandeld:

• Juridisch, 1 dag, Bekend met nationale en Europese gegevensbeschermingswetten en gebruiken (ISO/NEN) evenals diepgaande kennis van de AVG.

• Organisatorisch, 2 dagen, Voldoende kennis van de administratieve regels en procedures van de organisatie en de uitvoering van dagelijkse werkzaamheden.

• ICT-technisch, 2 dagen, Kennis van de bedrijfstak en de (ICT) organisatie van de verantwoordelijke.

De FG dient voldoende inzicht te hebben in de uitgevoerde gegevensverwerking, de informatiesystemen en de behoefte van de verantwoordelijke op het gebied van veiligheid van gegevens en gegevensbescherming.

Doorlopende training: FG’s dienen de kans te krijgen bij te blijven op het gebied van gegevensbescherming. Het streven moet zijn het kennisniveau van de FG doorlopend te verhogen en hij of zij moet aangemoedigd worden om aan trainingen over gegevensbescherming/beveiligingsproblemen en andere vormen van professionele ontwikkeling deel te nemen.

Doelgroep

Iedereen die (mede) verantwoordelijk is of wordt voor de gegevensbescherming binnen 1 of meerdere organisaties.

Leerdoelen

Per vakgebied, zoals hierboven omschreven, wordt zeer gericht ingegaan op de benodigde kennis en vaardigheden, toegespitst op de specifieke sector waarin de deelnemers actief zijn.

Na afronding van de leergang en behalen van het examen hebben de cursisten voldoende kennis om hun rol als functionaris gegevensbescherming uit te oefenen, de werkwijze te implementeren en eventuele gebreken te signaleren en hierop te acteren.

Het certificaat dat na afronding wordt uitgereikt heeft een geldigheid van 1 jaar. Gedurende het jaar worden de deelnemers middels de portal gegevensbescherming op de hoogte gehouden van ontwikkelingen en vragen + antwoorden. Jaarlijks kan worden deelgenomen aan de terugkomdag waarmee het certificaat weer voor een jaar kan worden verlengd.

Voorkennis

Je hebt technische ICT- en juridische kennis op het gebied van privacy. Relevante certificeringen zoals CISSP, CISM, C|CISO, CEH etc. zijn een pré, maar zijn niet vereist. Kennis van bedrijfsprocessen voor het goed uitoefenen van de functie is daarentegen wel een vereiste.

Onderwerpen

Module 1: Juridische aspecten (1 dag)

1. Relevante wetgeving, regelgeving en normen.
2. Plan van aanpak teneinde te voldoen aan de regelgeving.
3. Relateren van deze taken aan de in de volgende modulen te behandelen onderdelen.
4. Opsomming en demonstraties van algemene controle hulpmiddelen.

Module 2: Organisatorische/functionele aspecten (2 dagen)

1. Beveiligingsbeleid.
2. Inventarisatie.
3. Verantwoordelijkheden.
4. De houding van management en eindgebruikers.
5. Contracten.
6. Persoonlijke beveiliging.
7. Beveiliging van fysieke locaties en apparatuur.
8. Logische beveiliging.
9. Wijzigingenbeheer.
10. Risico’s/continuïteit.
11. Beoordelingen uitvoeren/begeleiden.
12. Evalueren.
13. Rapporteren.

Module 3: Technische aspecten (2 dagen)

1. Theorie (ICT-beveiliging / juridische aspecten).
2. Basisbeveiliging (bewustwording, analyseauthenticatie).
3. Asymmetrische cryptografie in de praktijk (cryptografie, certificaten, verbindingen en beveiligde e-mail.
4. Mediabeveiliging (gegevensdragers en gegevens verwijderen).
5. Netwerkbeveiliging (bedraad en draadloos).