Certified DPO (GDPR): Consulent gegevensbescherming - onderwijs

Opleiding ICT en informatiemanagement 170407

Introductie

Ook onderwijsinstellingen moeten waken over de informatieveiligheid van alle gegevens die o.a. onderhevig zijn aan de wet van de privacy. Om de nodige beheersmaatregelen te kunnen treffen om over deze informatieveiligheid te waken, dient elke onderwijsinstelling te beschikken over een informatieveiligheidconsulent DPO (GDPR).

Voor wie de ambitie heeft om 'CERTIFIED DPO (GDPR): Consulent gegevensbescherming - onderwijs' te worden is deze opleiding de ideale voorbereiding! Deze opleiding is ook geschikt voor huidige Informatieveiligheidsconsulenten die hun kennis wensen te actualiseren n.a.v. de GDPR wetgeving en/of hun kennis wensen uit te breiden naar de onderwijssector.

Omschrijving

Deze 5-daagse opleiding heeft als doel om op een praktijkgerichte wijze informatieveiligheidsconsulenten voor onderwijsinstellingen of "CERTIFIED DPO (GDPR): Consulent gegevensbescherming - onderwijs" op te leiden. Op het einde van de opleiding beschikken de deelnemers over voldoende kennis om een veiligheidsplan op te maken dat afgestemd is op de specifieke situatie van hun onderwijsinstelling (o.a. scholen lager onderwijs, scholen secundair onderwijs, hogescholen en universiteiten) of van ondersteunende instellingen zoals CLB.  

Daarnaast kunnen de deelnemers de nodige maatregelen (actieplan) treffen om het vereiste niveau van informatieveiligheid volgens de richtsnoeren / GDPR wetgeving - die aangereikt werden tijdens de opleiding - af te dwingen. Deelnemers zullen tevens leren werken met een informatieveiligheidstool om zo objectieve beveiligingsmeetpunten te registreren om vervolgens de actiepunten te definiëren die in het werkveld zullen moeten toegepast worden.

Deelnemers zullen na het volgen van de opleiding voldoende kennis hebben verworven om met succes het examen van CERTIFIED DPO (GDPR): Consulent gegevensbescherming - Onderwijs te kunnen afleggen.

Voor wie is deze opleiding bestemd?

  • Informatiebeheerders met ambitie om "CERTIFIED DPO (GDPR): Consulent gegevensbescherming - Onderwijs" te worden
  • Huidige informatieveiligheidsconsulenten die hun kennis wensen te actualiseren n.a.v. de GDPR wetgeving en/of hun kennis wensen uit te breiden naar "Onderwijssector".

Voorkennis

  • Kennis van processen, structuren en informatiestromen binnen onderwijsinstellingen is aanbevolen.
  • Er is geen ICT kennis, noch juridische kennis vereist.

Methodologie

Onderwijs invalshoek

 

De volledige opleiding is "doorspekt" met  de meest voorkomende scenario's uit de "onderwijswereld" waardoor de deelnemers zeer tastbare inzichten verwerven over hoe "GDPR wetgeving" in de praktijk dient toegepast te worden. Door deze lesmethode krijgen de deelnemers stap voor stap de nodige inzichten en feeling betreffende de wijze waarop deze op het eerste zicht "saai ogende materie" in de praktijk dient toegepast te worden.

 

Hands-on leren werken met de online Informatieveiligheidstool: www.informatieveiligheid.be

Vanaf de 1ste lesdag dient elke deelnemer zijn/haar laptop mee te brengen. Deelnemers zullen tijdens de opleiding leren werken met deze Informatieveiligheidstool met als doel:

  • Riscoanalyses en maturiteitsmetingen,
  • De generatie van de veiligheidsplannen via de tool. U hoeft de plannen alleen nog uit te voeren.

Bij aanvang van de opleiding krijgt elke deelnemer gedurende 6 maanden gratis toegang tot de standaard versie van deze tool (www.informatieveiligheid.be).

Programma

Module 1: Het wettelijk GDPR kader en pragmatische vertaalslag naar informatieveiligheidsframework

Sinds de richtlijn van 1995 (95/46/EG) heeft onze informatiemaatschappij een onwaarschijnlijke vlucht genomen. Met de opkomst van het internet, zoekmachines, social media, mobile devices en allerhande internetdiensten is het aantal informatiebronnen exponentieel gestegen. We leven op en top in een informatiemaatschappij waarbij de gemiddelde burger tientallen digitale identiteiten - al of niet bewust - heeft aangemaakt waarbij men in minstens evenveel databanken persoonlijke gegevens heeft achtergelaten, en waardoor men de controle over de persoonlijke gegevens is kwijtgeraakt. Hierdoor wordt de burger vanuit alle hoeken soms belaagd met ongewenste informatie waarbij men zich soms afvraagt hoe dit zo ver is kunnen komen. Deze nieuwe Europese regelgeving GDPR (of AVG) heeft oa als doel elk natuurlijk persoon de controle over zij persoonsgegevens terug te geven. Deze module gaat dieper in op dit nieuwe wettelijke kader en hoe deze regelgeving dient geïnterpreteerd en toegepast te worden eveneens rekeninghoudend met de richtsnoeren 2017. Op einde van deze module worden de deelnemers ook geïnspireerd om van deze nieuwe wetgeving die als een extra last kan aanschouwd worden een opportuniteit te maken.

Het brede wettelijke kader GDPR - AVG - Verordening (EU) 2016/679

  • Korte historische duiding - Helicopterview context,
  • Noodzaak voor aanpassing van wetgeving
  • Doelstelling van GDPR - AVG - Verordening (EU) 2016/679?
  • GDPR versus met de Richtlijn 95/46/EG
  • GDPR en de richtsnoeren 2017
  • De rol, verantwoordelijkheden en taken van een 'functionaris voor gegevensbescherming'
  • De rol en verantwoordelijkheden van het managementteam van een KMO tov functionaris voor gegevensbescherming' op basis van GDPR (AVG)

De GDPR artikels op een praktische en pragmatische wijze bekeken:

  • Algemene bepalingen en beginselen,
  • Rechten van de betrokkene,
  • Verwerkingsverantwoordelijke en verwerker,
  • Doorgifte van persoonsgegevens aan derde landen of  internationale organisaties,
  • Onafhankelijke toezichthoudende autoriteiten,
  • Samenwerking en coherentie
  • Beroep, aansprakelijkheid en sancties,
  • Bepalingen in verband met specifieke situaties op het gebied van gegevensverwerking,
  • Gedelegeerde handelingen en uitvoerende handelingen,
  • Slotbepalingen
  • De drie domeinen die moeten geactiveerd, beheerd en gemonitord worden om 'GDPR Compliance' te realiseren:
  • Processen, (zie ook module 2 en 4)
  • ICT-technologie, (zie ook module 3)
  • Mensen, (zie module 2, 3, 4)
  • GDPR: van de nood een deugd maken (zie ook module 5)
  • Extra waarde creatie naar de klant toe als extra 'service laag' bovenop GDPR
  • Inspirerende Use Cases (= deel 1, zie ook module 5 voor deel 2)
  • Ondersteunende modellen om strategische business waarde te creëren:
  • Introductie Business Model Canvas (BMC)
  • Introductie Value Proposition Canvas (VPC)

Module 2: Pragmatische vertaalslag van het wetgevend kader GDPR naar de richtsnoeren 2017'

De ideale wereld bestaat niet, dé ideale oplossing evenmin! Dit informatieveiligheidsframework - werd opgebouwd op basis van gesprekken met security experts, informatieveiligheidsconsulenten, professionals uit het werkveld én op basis van bestaande Informatieveiligheidsstandaarden en best practices (o.a. ISO27000 series) - en heeft tot doel een overkoepelend 'GDPR Informatieveiligheidsframework' aan te reiken waarmee (toekomstige) functionarissen gegevensbescherming (of DPO, of Informatieveiligheidsconsulenten) op een praktijkgerichte wijze mee aan de slag kunnen om onder andere een Informatieveiligheidsplan op te bouwen.

Belangrijke bouwstenen voor de opbouw van een Information Security Management Framework om te komen tot een Informatie Security management System (ISMS):

  • Het '13 stappenplan (AVG)' én 'Privacy op de werkvloer' door Privacy Commissie
  • 'CODEX - Algemene verordening gegevensbescherming' door Dirk De Bot (Politeia)
  • ISO27000 series als overkoepelend framework voor het opzetten (of aanpassen van een bestaand) ISMS ifv GDPR (AVG) compliance:
  • De mapping van GDPR (AVG) met ISO27000 series
  • Richtlijnen om ISO27000 series toe te passen om ISMS op te zetten
  • Richtlijnen voor aanpassing bijsturing voor bedrijven die  reeds ISO27000-series toepassen,
  • Stap voor stap aanpak om een ISMS op te zetten
  • Introductie tot opmaak van een 'informatie privacy plan én informatieveiligheidsplan' (verdere uitdieping module 5)

Pragmatische vertaalslag van wettelijk GDPR kader naar informatieveiligheidsframework

Streven naar een ideale wereld met behulp van 'Security én Privacy by Design en by Default'

  • Binnen bestaande bedrijfsprocessen en informatiesystemen (o.a. software applicaties, ...)
  • Opleggen als business requirements voor nieuw te bouwen (of aan te passen) informatiesystemen (oa software applicaties,...)

Introductie opbouw van een informatieveiligheidsplan om te komen tot 'GDPR naleving'

Module 3: De ondersteunende rol van ICT om de naleving van GDPR te realiseren.

 

ICT technologie is - naast processen en mensen - één van de drie domeinen die een belangrijke ondersteunende rol speelt om het informatieveiligheidsplan in praktijk om te zetten.  Deze module heeft als doel een overzicht en inzicht te bieden in de domeinen waar ICT kan worden ingezet ifv 'GDPR naleving'

Wat kan aanzien worden als 'security bedreiging' binnen de context van data breaches die schadelijke gevolgen kunnen hebben voor de organisatie/bedrijf?

  • Feiten en cijfers
  • Situering aan de hand van praktijkvoorbeelden en korte analyse wat de oorzaak was van deze data breaches

Register van verwerkingsactiviteiten

Gegevensbeschermingeffectbeoordeling

Technische en organisatorische maatregelen

  • Logische toegangsbeveiliging
  • Strategie
  • AAA (Authenticatie, Autorisatie, Accounting)
  • Pseudonimsering en versleuteling
  • IT maatregelen om de continuïteit te garanderen
  • Begrippen
  • Strategieën
  • Bescherming van het netwerk
  • Begrippen
  • Strategieën
  • Bescherming tegen malware
  • Soorten
  • Maatregelen
  • Personeel (IT-adviezen, richtlijnen)
  • Wachtwoordbeleid
  • Rapportering incidenten
  • Bewustwording
  • Herstel gegevens (back-up's)
  • Begrippen
  • Strategieën

Evaluatie technische maatregelen

  • Bewaking vertrouwelijkheid, integriteit en beschikbaarheid (monitoring & logging)
  • Security audits (Kwetsbaarheidsscans en pentesten)

Rechten van de betrokkene (technische vertaling)

  • Het recht om vergeten te worden
  • Het recht om gegevens op te vragen

Datalekken

  • Beleid
  • Actieplan
  • Rapportering

Module 4: Afdwingen en bewaken van naleving GDPR via project-, proces- en IT service management

Om een betere dienstverlening na te streven worden (ook) openbare besturen en organisaties uit de social profit steeds meer 'aangestuurd' door digitaliseringsprojecten (bvb radicaal digitaal) waardoor zij bijna continu in verandering zijn.

Projecten op zich houden steeds een verhoogd risico in, net omdat projecten per definitie afwijken van 'Business as Usual' die gebaseerd is op ingeburgerde processen die (hopelijk) reeds GDPR Compliant zijn. Ook bij projecten dient men reeds in de beginfase rekening te houden met 'Security en Privacy by design en by default' zodanig dat de 'GDPR naleving' ingebakken zit binnen in (project)processen. Bij de aanvang (by design) van een project is het zaak rekening te houden met de richtlijnen betreffende Informatieveiligheid die beschreven staan in het 'Information Security Management System (ISMS)' van de organisatie. Beschikt men nog niet over een 'ISMS' dan is het opstellen van een ISMS een belangrijk actiepunt om dit organisatiebreed te ontwikkelen en te implementeren.  

Deze module heeft als doel een best practice aan te bieden rond risicomanagement, projectmanagement methodes alsook rond (IT) Service management en hoe deze kunnen gebruikt worden in de aanpak naar de opzetten van een ISMS.

Risico management methodes:

  • gaande van een management risico-analyse
  • tot een meer gedetailleerde risico analyse aanpak op proces/dienstniveau

Projectmanagement methodes:

  • Algemene methodes: Prince2, PMBok
  • Methodes gericht op Software ontwikkeling: Agile, Scrum, Secure Software Design

IT Service Management (ITIL):

  • Wat is ITIL?
  • Hoe kan ITIL helpen bij het opzetten van Incident Management System (IMS) of een incidenten register
  • Overzicht Software ivm IMS

Aanpassen of opzetten van een Information Security Management System (ISMS):

  • Wat is ISMS
  • Wat is het doel van ISMS
  • Hoe in de praktijk toepassen

Module 5: Naleving GDPR/AVG in de praktijk voor Onderwijsinstellingen(inclusief certificatie examen)

Per domein leert men werken met de online informatieveiligheidstool waarbij men risicoanalyses, maturiteitsmetingen en informatieveiligheidsplannen leert op te maken die gebaseerd zijn op het 'GDPR Informatieveiligheidsframework'

Leren werken met informatieveiligheidstool:

  • Risicometing
  • Maturiteitsmeting
  • Actieplan / veiligheidsplan
  • Interne samenwerking rond informatieveiligheid en bescherming van de persoonsgegevens

Op het einde van de laatste lesdag (= op het einde van module 3) leggen de deelnemers het officiële examen af.

De kostprijs van het officiële examen '"CERTIFIED DPO (GDPR): Consulent gegevensbescherming - Onderwijs" nav de GDPR regelgeving zit vervat in het inschrijfgeld van de opleiding!

2017-407-3-OmschrijvingDocent-1.jpg

Eddy Van der Stock, Voorzitter van Vlaamse ICT organisatie VZW (V-ICT-OR) en president van de wereldwijde internationale Linked Organisation of Local Authorities NPO (LOLA).

Gespecialiseerd in:

  • BPM, projectmanagement
  • Informatie security (lead auditor) en riscomanagemen,
  • Intergouvernementele projectbegeleiding,
  • Initiëren, begeleiden van werkgroepen en think-tank ontwikkeling rond de moderne dienstverlening en de rol van ICT binnen openbare besturen van de toekomst.