AVG-trainingen

Auteur: Marco Boltjes

  • Deelproject 2.3 Normenkader IBP: Bewustwording creëren binnen scholen en schoolbesturen

    Deelproject 2.3 Normenkader IBP: Bewustwording creëren binnen scholen en schoolbesturen

    Digitale veiligheid staat hoog op de agenda van veel schoolbesturen en scholen. Scholen moeten volgens het Normenkader Informatiebeveiliging en Privacy (IBP) bewust en aantoonbaar werken aan de bescherming van informatie, systemen en persoonsgegevens.

    In de praktijk blijkt dat digitaal veilig werken voor een groot deel wordt bepaald door menselijk gedrag. De keuzes die medewerkers en leerlingen dagelijks maken, hebben directe invloed op de digitale weerbaarheid van de school.

    Een phishingmail wordt geopend. Een wachtwoord wordt gedeeld. Een scherm blijft onbeheerd openstaan. Een bestand met persoonsgegevens wordt naar de verkeerde ontvanger gestuurd. Ook het gebruik van AI-toepassingen brengt nieuwe vragen met zich mee over privacy, vertrouwelijkheid en informatiebeveiliging.

    Het is daarom belangrijk om bewustwording structureel aandacht te geven. Binnen het Normenkader IBP is hier expliciet aandacht voor.

    Wat houdt deelproject 2.3 van het Normenkader IBP in?

    Deelproject 2.3 richt zich op het vergroten van de bewustwording rondom privacy, informatiebeveiliging, AI en digitaal veilig werken.

    Het doel is dat medewerkers, leidinggevenden, bestuurders en leerlingen zich bewust zijn van de risico’s die zij dagelijks tegenkomen en weten hoe zij verantwoord kunnen handelen.

    Volgens het Normenkader leidt dit deelproject onder andere tot:

    • vastgestelde doelen voor bewustwording;
    • een bewustwordingsprogramma;
    • bewustwordingsactiviteiten in de jaarplanning;
    • een gedragscode voor medewerkers en leerlingen.

    Hiermee ontstaat een structurele aanpak die bijdraagt aan een digitaal weerbare school.

    Digitale veiligheid begint bij mensen

    Bij informatiebeveiliging denken veel mensen als eerste aan techniek. Aan firewalls, spamfilters, multifactorauthenticatie en beveiligde netwerken. Deze maatregelen vormen een belangrijke basis voor informatiebeveiliging. Echter zien we bij veel incidenten dat bewust en veilig gedrag van medewerkers minstens zo belangrijk is.

    Een medewerker die phishing niet kan herkennen. Een leerling die een wachtwoord deelt. Een collega die gevoelige informatie opslaat op een onbeveiligde locatie. Het zijn voorbeelden die laten zien dat digitale veiligheid ook sterk wordt beïnvloed door dagelijkse keuzes. Bewustwording vergroot de kennis, alertheid en vaardigheden die nodig zijn om veilig met informatie en digitale middelen om te gaan.

    Bewustwording vraagt om een lange adem

    Veel scholen besteden af en toe aandacht aan privacy of informatiebeveiliging. Bijvoorbeeld tijdens een studiedag, teamoverleg of themabijeenkomst. Dat is waardevol, maar bewustwording ontwikkelt zich meestal niet in één bijeenkomst.

    Vergelijk het met een EHBO-training. Ook daar is één training niet voldoende voor de rest van je loopbaan. Regelmatige herhaling houdt kennis en vaardigheden actueel. Door te oefenen, praktijkvoorbeelden te bespreken en nieuwe ontwikkelingen te volgen, blijven mensen voorbereid om adequaat te handelen wanneer dat nodig is.

    Voor digitaal veilig werken geldt hetzelfde.

    Structurele awareness vraagt om een meerjarige aanpak waarin kennis, gedrag en bewustzijn zich stap voor stap ontwikkelen.

    Een goed bewustwordingsprogramma begint met inzicht

    Voordat een bewustwordingsprogramma wordt ontwikkeld, is het verstandig om inzicht te krijgen in de risico’s die binnen de school of het schoolbestuur spelen.

    Welke situaties komen regelmatig voor? Waar hebben medewerkers behoefte aan? Welke ontwikkelingen vragen aandacht?

    Misschien ontvangen medewerkers regelmatig phishingmails. Misschien blijven schermen soms onbeheerd openstaan. Ook kan het zijn dat medewerkers steeds vaker AI-toepassingen gebruiken en behoefte hebben aan duidelijke handvatten voor het veilig omgaan met informatie.

    Door deze situaties in kaart te brengen, ontstaat een duidelijk beeld van de onderwerpen die binnen het bewustwordingsprogramma aandacht verdienen. Het programma sluit daardoor beter aan bij de dagelijkse praktijk en ondersteunt medewerkers bij veilig en verantwoord digitaal werken.

    De rol van bestuurders en leidinggevenden

    Bewustwording is een onderwerp voor de hele organisatie. Bestuurders, directeuren, schoolleiders en teamleiders hebben daarbij een belangrijke voorbeeldfunctie.

    Medewerkers kijken niet alleen naar beleid, maar ook naar gedrag. Wanneer leidinggevenden zichtbaar aandacht besteden aan privacy, informatiebeveiliging, AI en digitaal veilig werken, krijgt het onderwerp meer betekenis binnen de school.

    Daarnaast nemen bestuurders besluiten over beleid, middelen en prioriteiten. Hun betrokkenheid heeft direct invloed op het succes van bewustwording binnen de school of het schoolbestuur.

    Masterclass Privacy, AI en Informatiebeveiliging voor bestuurders en leidinggevenden

    Veel bestuurders en leidinggevenden hebben behoefte aan praktische kennis over hun rol binnen privacy, informatiebeveiliging en AI.

    Daarom heeft AVG-trainingen een Masterclass AVG en AI op hoofdlijnen ontwikkeld voor bestuurders, directeuren, schoolleiders en andere leidinggevenden.

    De masterclass behandelt de belangrijkste onderwerpen uit de Cyberbeveiligingswet die voor bestuurders en leidinggevenden van belang zijn. Op het certificaat van deelname wordt vastgelegd welke onderwerpen zijn behandeld, zodat aantoonbaar is welke kennis en bewustwording binnen de organisatie is ontwikkeld.

    Hierdoor krijgen leidinggevenden meer inzicht in hun verantwoordelijkheden en kunnen zij bewustwording binnen hun school beter ondersteunen.

    Security, AI en Privacy Awareness voor medewerkers

    Een bewustwordingsprogramma staat of valt met de betrokkenheid van medewerkers.

    AVG-trainingen ondersteunt scholen met een praktische e-learning Security, AI en Privacy Awareness voor medewerkers.

    De e-learning behandelt herkenbare situaties uit de dagelijkse praktijk en besteedt aandacht aan onderwerpen zoals phishing, wachtwoorden, datalekken, social engineering, veilig thuiswerken, privacy, informatiebeveiliging en verantwoord gebruik van AI.

    Medewerkers leren risico’s herkennen en krijgen praktische handvatten om veilig en verantwoord te handelen.

    Door deze onderwerpen regelmatig terug te laten komen, groeit het bewustzijn en wordt digitaal veilig werken steeds meer onderdeel van de dagelijkse praktijk.

    AI maakt bewustwording nog belangrijker

    Binnen veel scholen wordt AI inmiddels gebruikt voor het schrijven van teksten, het maken van samenvattingen, het ontwikkelen van lesmateriaal en het ondersteunen van administratieve werkzaamheden. Dat biedt kansen en vraagt tegelijkertijd om kennis over privacy, informatiebeveiliging en verantwoord gebruik van gegevens.

    Welke informatie mag worden ingevoerd in AI-systemen? Hoe ga je om met vertrouwelijke informatie? Welke risico’s zijn er rondom privacy en auteursrecht?

    Steeds meer scholen besteden aandacht aan AI binnen hun bewustwordingsprogramma’s. Dat helpt medewerkers om weloverwogen keuzes te maken bij het gebruik van deze technologie.

    Ook leerlingen maken deel uit van de digitale weerbaarheid

    Bewustwording beperkt zich niet tot medewerkers. Leerlingen zijn dagelijks actief in digitale leeromgevingen, online samenwerkingsplatformen en communicatietools. Zij werken met wachtwoorden, delen bestanden, gebruiken AI-toepassingen en communiceren online met medeleerlingen en docenten.

    Het is daarom belangrijk dat ook leerlingen leren hoe zij veilig en verantwoord omgaan met digitale middelen. Denk aan het herkennen van phishingberichten, het beschermen van accounts, het zorgvuldig omgaan met persoonsgegevens, online gedrag en verantwoord gebruik van AI. Deze vaardigheden helpen niet alleen binnen de schoolomgeving, maar vormen ook een belangrijke basis voor studie, werk en deelname aan de digitale samenleving.

    E-learning Cybersafety voor leerlingen

    Om scholen hierbij te ondersteunen biedt AVG-trainingen de e-learning Cybersafety voor leerlingen/ studenten. Deze e-learning behandelt onderwerpen zoals online veiligheid, phishing, cyberpesten, privacy, social media, wachtwoorden, digitale weerbaarheid en verantwoord gebruik van AI. De inhoud sluit aan bij de belevingswereld van leerlingen en ondersteunt scholen bij het versterken van digitale geletterdheid, burgerschap en veilig digitaal gedrag.

    Van bewustwording naar cultuur

    De kracht van deelproject 2.3 ligt in het creëren van een duurzame cultuur van digitaal veilig werken. Beleid, activiteiten, e-learning en voorbeeldgedrag ondersteunen dat proces. De ambitie is om digitaal veilig werken een vanzelfsprekend onderdeel van de organisatiecultuur te maken.

    Zo groeit een school waarin medewerkers, leidinggevenden en leerlingen bewust omgaan met informatie, persoonsgegevens en digitale middelen. Een school waarin risico’s worden herkend, incidenten worden gemeld en veilig gedrag onderdeel wordt van de dagelijkse praktijk.

    Schoolbesturen en scholen die investeren in bewustwording bouwen niet alleen aan naleving van het Normenkader IBP. Zij investeren ook in digitale weerbaarheid, privacybewustzijn en een veilige leer- en werkomgeving voor medewerkers en leerlingen.

    Hoe kan AVG-trainingen helpen?

    AVG-trainingen ondersteunt scholen en schoolbesturen bij de uitvoering van deelproject 2.3 van het Normenkader IBP met onder andere:

    • E-learning Security, AI en Privacy Awareness voor medewerkers;
    • Phishing-simulaties en nulmetingen;
    • Masterclass AVG en AI op hoofdlijnen voor bestuurders en leidinggevenden;
    • E-learning Cybersafety voor leerlingen;
    • Opleidingen voor Privacy Officers en Functionarissen Gegevensbescherming;
    • Ondersteuning bij privacy, informatiebeveiliging en AI-geletterdheid.

    Op deze manier draagt bewustwording structureel bij aan de digitale weerbaarheid van de school.

    Deelproject 2.3 Normenkader IBP
    Afbeelding gegenereerd met behulp van AI ter illustratie van het onderwerp.
  • Valt jouw organisatie onder NIS2? Alles over de registratieplicht, verplichtingen en voorbereiding

    Valt jouw organisatie onder NIS2? Alles over de registratieplicht, verplichtingen en voorbereiding

    Cybersecurity en digitale weerbaarheid krijgen binnen organisaties steeds meer aandacht. De invoering van de NIS2-richtlijn zorgt ervoor dat veel organisaties moeten beoordelen of zij onder deze nieuwe Europese regelgeving vallen.

    Voor sommige organisaties betekent dit dat zij zich moeten registreren als NIS2-entiteit en aanvullende maatregelen moeten treffen op het gebied van informatiebeveiliging, governance en incidentmanagement.

    Toch blijkt in de praktijk dat veel organisaties nog niet precies weten of de NIS2-richtlijn op hen van toepassing is.

    In deze blog leggen we uit wat NIS2 inhoudt, welke organisaties onder de richtlijn kunnen vallen, wat de registratieplicht betekent en hoe organisaties zich kunnen voorbereiden.

    Wat is de NIS2-richtlijn?

    De NIS2-richtlijn (Network and Information Security Directive 2) is de Europese wetgeving die als doel heeft de digitale weerbaarheid van organisaties en de continuïteit van essentiële diensten te versterken.

    De richtlijn volgt de oorspronkelijke NIS-richtlijn op en breidt de reikwijdte aanzienlijk uit. Daardoor vallen meer organisaties onder de regelgeving dan voorheen.

    NIS2 richt zich op organisaties die een belangrijke rol spelen binnen de economie, samenleving en digitale infrastructuur.

    Waarom is NIS2 ingevoerd?

    Cyberaanvallen, ransomware, datalekken en verstoringen van digitale dienstverlening komen steeds vaker voor.

    Een incident bij één organisatie kan grote gevolgen hebben voor klanten, burgers, leveranciers en andere organisaties binnen de keten.

    Met NIS2 wil de Europese Unie organisaties stimuleren om risico’s beter te beheersen en passende beveiligingsmaatregelen te treffen.

    De richtlijn richt zich onder meer op:

    • risicobeheersing;
    • informatiebeveiliging;
    • incidentmanagement;
    • governance;
    • ketenverantwoordelijkheid;
    • meldplicht van incidenten;
    • toezicht en handhaving.

    Welke organisaties vallen onder NIS2?

    De toepasselijkheid van NIS2 wordt bepaald door verschillende factoren.

    Belangrijke criteria zijn:

    • de sector waarin de organisatie actief is;
    • het aantal medewerkers;
    • de jaaromzet;
    • het balanstotaal;
    • eventuele aanwijzingen door de overheid.

    Voorbeelden van sectoren die onder NIS2 kunnen vallen

    Zeer kritieke sectoren

    • Energie
    • Gezondheidszorg
    • Drinkwater
    • Digitale infrastructuur
    • Transport
    • Overheidsdiensten
    • Bankwezen
    • ICT-dienstverleners

    Andere kritieke sectoren

    • Afvalbeheer
    • Levensmiddelenindustrie
    • Chemische industrie
    • Onderzoek
    • Productiebedrijven
    • Post- en koeriersdiensten
    • Digitale aanbieders

    De exacte beoordeling blijft afhankelijk van de situatie van de organisatie.

    Wat zijn essentiële en belangrijke entiteiten?

    Binnen NIS2 wordt onderscheid gemaakt tussen twee categorieën organisaties:

    Essentiële entiteiten

    Dit zijn organisaties waarvan uitval of verstoring een grote maatschappelijke impact kan hebben.

    Voorbeelden zijn bepaalde organisaties binnen:

    • energie;
    • gezondheidszorg;
    • digitale infrastructuur;
    • overheid;
    • financiële dienstverlening.

    Belangrijke entiteiten

    Dit zijn organisaties die eveneens een belangrijke maatschappelijke of economische functie vervullen, maar doorgaans onder een lichter toezichtregime vallen.

    Voor beide categorieën gelden verplichtingen op het gebied van informatiebeveiliging en risicobeheersing.

    Wanneer geldt een registratieplicht?

    Organisaties die onder NIS2 vallen, moeten zich registreren als essentiële of belangrijke entiteit.

    De registratieplicht helpt toezichthouders om inzicht te krijgen in welke organisaties onder de richtlijn vallen.

    Daarmee ontstaat ook duidelijkheid over toezicht, communicatie en meldprocedures.

    Voor veel organisaties begint de voorbereiding daarom met het vaststellen van hun positie binnen NIS2.

    Welke verplichtingen brengt NIS2 met zich mee?

    NIS2 vraagt organisaties om passende technische, organisatorische en bestuurlijke maatregelen te nemen.

    Voorbeelden hiervan zijn:

    Risicomanagement

    Organisaties moeten risico’s identificeren, beoordelen en beheersen.

    Incidentmanagement

    Er moeten procedures zijn voor het signaleren, registreren en afhandelen van incidenten.

    Leveranciersbeheer

    Ook risico’s binnen de keten verdienen aandacht.

    Continuïteit

    Organisaties moeten voorbereid zijn op verstoringen en uitval van systemen.

    Governance

    Bestuurders krijgen een nadrukkelijke verantwoordelijkheid voor informatiebeveiliging en risicobeheersing.

    NIS2 vraagt om meer dan techniek

    Veel organisaties denken bij NIS2 direct aan technische beveiligingsmaatregelen.

    In de praktijk vraagt de richtlijn om een organisatiebrede aanpak.

    Digitale weerbaarheid ontstaat door de samenwerking tussen:

    • bestuur;
    • informatiebeveiliging;
    • privacy;
    • compliance;
    • HR;
    • juridische zaken;
    • communicatie;
    • medewerkers.

    Informatiebeveiliging raakt immers processen, mensen en techniek.

    De rol van bewustwording en training

    Veel cyberincidenten ontstaan door menselijk handelen. Een phishingmail wordt geopend. Een schadelijke link wordt aangeklikt. Vertrouwelijke informatie wordt onbedoeld gedeeld. Daarom investeren steeds meer organisaties in:

    • security awareness;
    • privacybewustzijn;
    • phishingtrainingen;
    • AI-geletterdheid;
    • informatiebeveiligingsopleidingen.

    Ook bestuurders en leidinggevenden spelen hierin een belangrijke rol. Zij zijn verantwoordelijk voor besluitvorming, prioriteiten en risicobeheersing.

    Wanneer medewerkers én bestuurders risico’s herkennen en weten hoe zij moeten handelen, neemt de digitale weerbaarheid van de organisatie toe.

    Hoe bereid je jouw organisatie voor op NIS2?

    Een goede voorbereiding begint vaak met een eerste inventarisatie.

    Stap 1: Bepaal of NIS2 van toepassing kan zijn

    Breng sector, omvang en activiteiten in kaart.

    Stap 2: Voer een nulmeting uit

    Onderzoek welke maatregelen al aanwezig zijn.

    Stap 3: Breng risico’s in beeld

    Voer risicoanalyses uit en documenteer de uitkomsten.

    Stap 4: Versterk governance

    Leg verantwoordelijkheden vast en betrek bestuurders actief.

    Stap 5: Investeer in bewustwording

    Zorg dat medewerkers, management en bestuurders voldoende kennis hebben van cyberrisico’s en informatiebeveiliging.

    Conclusie

    De NIS2-richtlijn heeft invloed op meer organisaties dan vaak wordt gedacht. Daarom is het belangrijk om tijdig vast te stellen of de richtlijn van toepassing is op jouw organisatie.

    Een goede voorbereiding gaat verder dan techniek alleen. Governance, risicobeheersing, informatiebeveiliging en bewustwording vormen samen de basis voor een digitaal weerbare organisatie.

    Door tijdig inzicht te krijgen in de eigen situatie kunnen organisaties gerichte stappen zetten richting naleving van de NIS2-verplichtingen en het versterken van hun digitale weerbaarheid.

  • Hoe gaan zorgorganisaties om met jouw medische gegevens?

    Hoe gaan zorgorganisaties om met jouw medische gegevens?

    Van de tandarts tot de fysiotherapeut: privacy en informatiebeveiliging in de zorg

     

    Deel jij jouw medische gegevens met een gerust hart?

    Bij een bezoek aan de tandarts, fysiotherapeut, privékliniek of andere zorgverlener deel je vaak persoonlijke informatie. Privacy in de zorg: hoe gaan zorgorganisaties om met medische gegevens is daarom een belangrijk onderwerp. Soms gaat het om contact- en verzekeringsgegevens. In andere gevallen vertel je over pijnklachten, medicatiegebruik of een medische voorgeschiedenis.

    De meeste mensen gaan ervan uit dat deze gegevens veilig zijn. Toch staan maar weinig patiënten stil bij vragen als: Hoe worden mijn medische gegevens beveiligd? Wie heeft toegang tot mijn dossier? En met welke partijen worden mijn gegevens gedeeld?

    Deze vragen zijn relevanter dan ooit. Zorgorganisaties verwerken dagelijks grote hoeveelheden gevoelige persoonsgegevens. Een zorgvuldige omgang met deze informatie draagt niet alleen bij aan het voldoen aan wet- en regelgeving, maar ook aan het vertrouwen tussen patiënt en zorgverlener.

     

    Waarom is privacy in de zorg zo belangrijk?

    Medische gegevens behoren tot de meest gevoelige persoonsgegevens die er bestaan. Informatie over iemands gezondheid, behandelingen of medicatie kan grote gevolgen hebben wanneer deze onbedoeld beschikbaar komt voor onbevoegden.

    Zorgorganisaties hebben daarom een belangrijke verantwoordelijkheid. Zij moeten passende maatregelen treffen om medische gegevens te beschermen en zorgvuldig omgaan met het delen van informatie.

    Digitalisering ondersteunt zorgverleners bij het leveren van goede zorg. Elektronische dossiers, digitale communicatie en samenwerking tussen verschillende disciplines maken zorg efficiënter en toegankelijker. Deze ontwikkelingen vragen ook om aandacht voor privacy en informatiebeveiliging.

    Phishingmails, verkeerd verzonden e-mails, onvoldoende beveiligde accounts en menselijke fouten kunnen risico’s vormen voor de bescherming van medische gegevens. Bewust omgaan met deze risico’s is daarom een belangrijk onderdeel van professionele zorgverlening.

     

    Welke zorgorganisaties verwerken medische gegevens?

    Veel mensen denken bij medische gegevens direct aan een ziekenhuis of huisartsenpraktijk. In werkelijkheid verwerken veel meer organisaties deze gevoelige informatie.

    Tandartspraktijken

    Tandartspraktijken verwerken onder andere:

    • persoonsgegevens en contactgegevens;
    • medische bijzonderheden, zoals allergieën;
    • röntgenfoto’s;
    • behandelplannen;
    • declaratiegegevens.

    Fysiotherapiepraktijken

    Fysiotherapeuten registreren bijvoorbeeld:

    • klachten en diagnoses;
    • behandelverslagen;
    • informatie over blessures;
    • gegevens over chronische aandoeningen;
    • voortgang van behandelingen.

    Privéklinieken

    Privéklinieken verwerken vaak:

    • medische voorgeschiedenis;
    • intakeformulieren;
    • onderzoeksresultaten;
    • behandelverslagen;
    • foto’s die onderdeel uitmaken van een behandelingstraject.

    Andere zorgorganisaties

    Ook apotheken, thuiszorgorganisaties, verloskundigenpraktijken, GGZ-instellingen en paramedische praktijken verwerken dagelijks medische gegevens.

    Voor al deze organisaties geldt dat zij zorgvuldig moeten omgaan met de gegevens die patiënten en cliënten aan hen toevertrouwen.

     

    Hoe worden medische gegevens beschermd?

    Goede informatiebeveiliging vormt een belangrijke basis voor kwalitatief goede zorg. Zorgorganisaties treffen daarom technische en organisatorische maatregelen om medische gegevens te beschermen.

    Voorbeelden hiervan zijn:

    • tweefactorauthenticatie;
    • autorisatie op basis van functies;
    • versleutelde communicatie;
    • actuele software-updates;
    • regelmatige back-ups;
    • logging en monitoring;
    • procedures voor het melden van datalekken.

    Deze maatregelen helpen om onbevoegde toegang, verlies van gegevens en verstoring van zorgprocessen te voorkomen.

     

    De rol van de Privacy Officer binnen zorgorganisaties

    Steeds meer zorgorganisaties beschikken over een Privacy Officer. Deze functionaris ondersteunt de organisatie bij het zorgvuldig omgaan met persoonsgegevens en helpt privacyvraagstukken te vertalen naar de dagelijkse praktijk.

    Een Privacy Officer kan onder andere:

    • adviseren over privacybeleid;
    • ondersteunen bij privacyvragen van medewerkers;
    • meedenken over nieuwe verwerkingen;
    • bijdragen aan het verwerkingsregister;
    • adviseren bij datalekken;
    • privacybewustzijn binnen de organisatie vergroten.

    Door privacy structureel onder de aandacht te brengen, helpt een Privacy Officer organisaties om privacy onderdeel te maken van goede zorgverlening.

     

    Security awareness in de zorg: bewustwording maakt het verschil

    Technische maatregelen alleen zijn niet voldoende. Veel incidenten ontstaan door menselijke fouten.

    Denk bijvoorbeeld aan:

    • een e-mail met medische informatie die naar de verkeerde ontvanger wordt gestuurd;
    • een medewerker die op een phishinglink klikt;
    • patiëntgegevens die zichtbaar blijven op een onbeheerd scherm;
    • telefonische verzoeken waarbij onvoldoende verificatie plaatsvindt.

    Security awareness helpt medewerkers om deze risico’s te herkennen.

    Door regelmatig aandacht te besteden aan privacy en informatiebeveiliging, bijvoorbeeld via trainingen, e-learningmodules of phishingoefeningen, vergroten zorgorganisaties het bewustzijn onder medewerkers.

    Bewustwording vraagt om een continue aanpak. Nieuwe medewerkers stromen in, dreigingen veranderen en werkprocessen ontwikkelen zich voortdurend.

     

    Wat kunnen zorgorganisaties morgen al doen?

    Privacy en informatiebeveiliging hoeven geen ingewikkelde thema’s te zijn. Kleine stappen kunnen al veel verschil maken.

    Denk bijvoorbeeld aan:

    • het actualiseren van autorisaties;
    • het organiseren van een awareness;
    • het bespreken van een praktijkcasus tijdens een teamoverleg;
    • het controleren van procedures rondom datalekken;
    • het benoemen van een aanspreekpunt voor privacyvragen.

    Door privacy bespreekbaar te maken, groeit het bewustzijn binnen de organisatie.

     

    Vertrouwen begint met zorgvuldig omgaan met medische gegevens

    Patiënten delen hun meest persoonlijke informatie met zorgverleners. Dat vertrouwen vraagt om een zorgvuldige omgang met medische gegevens.

    Privacy en informatiebeveiliging zijn daarom geen administratieve verplichtingen. Ze vormen een onderdeel van professionele en kwalitatief goede zorg.

    Zorgorganisaties die investeren in een sterke privacycultuur, de inzet van een Privacy Officer en security awareness voor medewerkers laten zien dat zij niet alleen aandacht hebben voor gezondheid, maar ook voor de bescherming van persoonsgegevens.

     

    Hoe pakt jouw organisatie dit aan?

    Welke stappen zet jouw organisatie op het gebied van privacy en informatiebeveiliging? Is er voldoende aandacht voor security awareness? En hoe is de rol van de Privacy Officer ingericht?

    Benieuwd hoe wij zorgorganisaties ondersteunen met opleidingen voor Privacy Officers, privacyadvies en security awareness trainingen? Neem gerust contact met ons op. Samen werken we aan een zorgomgeving waarin goede zorg en gegevensbescherming hand in hand gaan.

     

  • Situationeel communiceren binnen privacy en informatiebeveiliging

    Situationeel communiceren binnen privacy en informatiebeveiliging

    Privacy- en securityprofessionals spelen een belangrijke rol binnen organisaties. Je adviseert over privacywetgeving, informatiebeveiliging, AI-gebruik, risico’s en bewustwording. Je probeert collega’s en management mee te nemen in maatregelen die nodig zijn om persoonsgegevens en systemen beter te beschermen.

    Toch merken veel professionals dat dit niet altijd eenvoudig verloopt.

    Adviezen blijven soms liggen. Medewerkers ervaren maatregelen als lastig. Projectgroepen willen vooral snelheid maken. Bestuurders hebben te maken met veel verschillende prioriteiten tegelijk. Daardoor ontstaan regelmatig frustraties, vertraging of weerstand.

    In veel situaties ligt dat niet aan de inhoud van het advies. Privacy- en securityprofessionals beschikken vaak over veel kennis en expertise. De uitdaging ontstaat regelmatig in de communicatie rondom veranderingen, risico’s en verantwoordelijkheden.

    Situationeel communiceren helpt privacy- en securityprofessionals om beter aan te sluiten bij verschillende medewerkers, situaties en uitdagingen binnen de organisatie.

     

    Privacy en security draaien ook om communicatie

    Binnen organisaties wordt privacy en informatiebeveiliging soms vooral gezien als een technisch of juridisch onderwerp. In de praktijk draait een groot deel van het werk juist om samenwerking en communicatie.

    Een Functionaris Gegevensbescherming, Privacy Officer of CISO werkt vaak samen met bestuurders, managers, HR, ICT, leveranciers, medewerkers, projectgroepen en toezichthouders. Ook binnen sectoren zoals onderwijs en zorg is samenwerking met verschillende professionals een belangrijk onderdeel van de dagelijkse praktijk.

    Iedere doelgroep kijkt anders naar privacy en informatiebeveiliging.

    Een ICT-team kijkt bijvoorbeeld vooral naar techniek, beheer en uitvoerbaarheid. Een bestuurder kijkt vaker naar continuïteit, risico’s en reputatie. Medewerkers willen duidelijkheid en praktische ondersteuning. Projectgroepen willen voortgang houden.

    Dat vraagt om verschillende manieren van communiceren.

    Wanneer communicatie onvoldoende aansluit bij de ander, ontstaan sneller:

    • weerstand;
    • misverstanden;
    • vertraging;
    • irritatie;
    • beperkte opvolging van adviezen.

    Goede communicatie helpt juist om samenwerking te versterken en organisaties stap voor stap veiliger en bewuster te maken.

     

    Wat is situationeel communiceren?

    Situationeel communiceren betekent dat je jouw communicatiestijl afstemt op de situatie, het kennisniveau van de ander, emoties, ervaring, verantwoordelijkheden en de mate van urgentie of weerstand. Daarbij kijk je ook naar de samenwerking en wat op dat moment nodig is om samen verder te komen.

    Niet iedere situatie vraagt namelijk dezelfde aanpak.

    Soms is duidelijke sturing nodig. In andere situaties werkt een coachende of ondersteunende stijl beter. Bij ervaren teams kan juist meer ruimte en vertrouwen passend zijn.

    Situationeel communiceren draait daarom om flexibiliteit en bewust communiceren.

    Je kijkt continu naar:

    • wat een situatie nodig heeft;
    • hoe iemand reageert;
    • welke informatie belangrijk is;
    • welke aanpak het meeste effect heeft.

    Voor privacy- en securityprofessionals kan dit veel verschil maken in de dagelijkse praktijk.

     

    Waarom wordt situationeel communiceren belangrijker?

    Organisaties veranderen snel. Privacy, informatiebeveiliging en AI spelen daarbij een steeds grotere rol.

    Steeds meer organisaties krijgen te maken met AI-toepassingen, hybride werken, cloudomgevingen, phishing en datalekken. Tegelijkertijd nemen de verwachtingen rondom informatiebeveiliging toe en krijgen organisaties te maken met strengere wet- en regelgeving.

    Daardoor groeit ook de behoefte aan bewustwording en samenwerking binnen organisaties.

    Veel medewerkers ervaren een hoge werkdruk en krijgen zij te maken met veel veranderingen, digitale complexiteit, onzekerheid over AI en nieuwe beveiligingsmaatregelen.

    In deze situaties helpt situationeel communiceren om mensen stap voor stap mee te nemen.

    Privacy en security worden namelijk sterker wanneer medewerkers begrijpen:

    • waarom maatregelen nodig zijn;
    • welke risico’s bestaan;
    • wat hun eigen rol is;
    • hoe zij veilig kunnen werken.

    Goede communicatie helpt om dat bewustzijn te vergroten.

     

    Herkenbare situaties binnen privacy en security

    Veel privacy- en securityprofessionals herkennen situaties waarin communicatie een grote rol speelt.

    Een bestuurder ziet onvoldoende urgentie.

    Een FG of CISO signaleert bijvoorbeeld risico’s rondom AI-gebruik, verouderde systemen, toegangsbeheer, ontbrekende procedures en onvoldoende awareness binnen de organisatie.

    Toch krijgt het onderwerp soms weinig prioriteit binnen het bestuur.

    Wanneer gesprekken vooral technisch of juridisch worden ingestoken, ontstaat sneller afstand. Bestuurders hebben vaak behoefte aan overzicht, inzicht in de impact op de organisatie, continuïteit, reputatierisico’s en de praktische gevolgen voor de dagelijkse praktijk.

    Situationeel communiceren helpt om beter aan te sluiten bij die behoefte.

    In plaats van alleen regels of normen te benoemen, helpt het vaak om:

    • praktijkvoorbeelden te gebruiken;
    • risico’s concreet te maken;
    • gevolgen begrijpelijk uit te leggen;
    • samen naar oplossingen te kijken.

    Daardoor ontstaat vaker een constructief gesprek.

     

    Medewerkers ervaren weerstand tegen maatregelen

    Nieuwe privacy- of securitymaatregelen zorgen regelmatig voor weerstand.

    Denk aan MFA, strengere wachtwoordregels, beperkingen rondom AI-tools, extra controles, privacyprocedures, clean desk-afspraken en meldprocedures.

    Voor medewerkers voelt dit soms als extra werk of controle.

    Wanneer communicatie vooral gericht is op regels en verplichtingen, ontstaat sneller afstand. Medewerkers willen vooral begrijpen:

    • waarom iets nodig is;
    • wat het risico is;
    • wat van hen verwacht wordt;
    • hoe zij praktisch kunnen werken.

    Situationeel communiceren helpt om begrip te tonen, rustig uitleg te geven, medewerkers mee te nemen in veranderingen, vragen serieus te nemen en veiligheid praktisch en herkenbaar te maken. Dat zorgt vaak voor meer draagvlak en bewustwording.

     

    Projectgroepen willen vooral snelheid

    Binnen projecten ligt de focus vaak op deadlines en voortgang. Privacy en security worden soms gezien als iets dat processen vertraagt.

    Wanneer privacyprofessionals alleen risico’s benadrukken zonder mee te denken in oplossingen, ontstaat sneller spanning binnen projecten.

    Een coachende communicatiestijl werkt dan vaak beter.

    Bijvoorbeeld door:

    • actief mee te denken;
    • praktische alternatieven aan te dragen;
    • risico’s begrijpelijk uit te leggen;
    • haalbare stappen te bespreken.

    Daardoor ontstaat vaker samenwerking in plaats van weerstand.

     

    Situationeel communiceren bij awareness

    Awareness is binnen privacy en informatiebeveiliging steeds belangrijker geworden. Organisaties investeren daarom vaker in e-learning, phishing-simulaties, campagnes, workshops, microlearning en AI-awareness.

    Toch leidt awareness niet automatisch tot gedragsverandering.

    Mensen veranderen gedrag vooral wanneer communicatie herkenbaar, praktisch, begrijpelijk, relevant, veilig en positief is.

    Situationeel communiceren helpt om awareness beter aan te laten sluiten bij medewerkers.

    Een medewerker zonder technische kennis heeft bijvoorbeeld behoefte aan eenvoudige voorbeelden en praktische uitleg. Een ICT-team wil vaak meer verdieping en concrete risico’s zien.

    Door communicatie af te stemmen op de doelgroep ontstaat meer betrokkenheid.

     

    Situationeel communiceren en AI-geletterdheid

    AI speelt inmiddels een steeds grotere rol binnen organisaties. Medewerkers gebruiken AI-tools steeds vaker voor teksten, analyses, samenvattingen, brainstorms en ondersteuning van werkzaamheden. Echter zijn er ook vragen rondom privacy, vertrouwelijke informatie, datagebruik, de betrouwbaarheid van AI-antwoorden en informatiebeveiliging.

    Veel organisaties merken dat medewerkers verschillend omgaan met AI. Sommige medewerkers zijn enthousiast. Anderen voelen juist onzekerheid of weerstand.

    Situationeel communiceren helpt om medewerkers op een passende manier mee te nemen in verantwoord AI-gebruik.

    Dat betekent bijvoorbeeld:

    • uitleg geven zonder ingewikkelde technische taal;
    • ruimte geven voor vragen;
    • praktische voorbeelden gebruiken;
    • bewustwording vergroten zonder angstcommunicatie.

    Zo ontstaat er vaker een open gesprek over AI, privacy en informatiebeveiliging.

     

    Meer invloed door beter aan te sluiten

    Situationeel communiceren betekent niet dat je minder duidelijk bent over risico’s of verplichtingen. Het betekent vooral dat je beter aansluit bij de ander. Het gaat dan om meer begrip, samenwerking, vertrouwen, bewustwording en draagvlak binnen de organisatie.

    Privacy- en securityprofessionals hebben regelmatig een adviserende rol en daarbij helpt communicatie om mensen in beweging te krijgen.

    Wanneer medewerkers, managers en bestuurders zich gehoord voelen, ontstaat vaker ruimte om samen stappen te zetten.

     

    Meer werkplezier binnen privacy en security

    Veel professionals binnen privacy en informatiebeveiliging ervaren regelmatig frustratie wanneer:

    • adviezen blijven liggen;
    • risico’s onvoldoende serieus worden genomen;
    • samenwerking moeizaam verloopt;
    • weerstand ontstaat.

    Met Situationeel communiceren kan je gesprekken anders aanpakken. Er ontstaan vaak betere gesprekken, minder weerstand, meer verbinding, meer wederzijds begrip en sterkere samenwerking. En dat draagt niet alleen bij aan veiligere organisaties, maar ook aan meer werkplezier binnen de dagelijkse praktijk.

     

    Privacy en security blijven mensenwerk

    Privacy en informatiebeveiliging draaien om beleid, processen, techniek en wetgeving. Er moet dus veel worden samengewerkt en succesvol samenwerken is vooral mensenwerk.

    Communicatie is een heel belangrijk onderdeel voor Functionarissen Gegevensbescherming, Privacy Officers, CISO’s, security officers, compliance professionals, projectleiders en adviseurs binnen organisaties.

    Situationeel communiceren helpt om beter aan te sluiten bij mensen, situaties en organisaties.

    Zo ontstaat er vaker meer beweging, bewustwording, samenwerking, veiligheidscultuur en draagvlak binnen organisaties. En dat is de basis voor een veilige en bewuste organisatie.

     

     

  • AI-geletterdheid verplicht? Dit betekent het voor organisaties

    AI-geletterdheid verplicht? Dit betekent het voor organisaties

    AI wordt steeds vaker gebruikt binnen organisaties. Medewerkers gebruiken AI-tools voor het schrijven van teksten, het analyseren van gegevens, het maken van presentaties of het automatiseren van processen. Tegelijkertijd nemen de risico’s toe. Denk aan privacyproblemen, onjuiste informatie, datalekken, discriminatie door AI-systemen en medewerkers die zonder duidelijke afspraken gevoelige gegevens invoeren in AI-tools.

    Met de komst van de Europese AI Act komt er meer aandacht voor verantwoord gebruik van AI. Organisaties krijgen een duidelijke verantwoordelijkheid om ervoor te zorgen dat medewerkers voldoende AI-geletterd zijn. Dat betekent dat medewerkers moeten begrijpen hoe AI werkt, welke risico’s er zijn en hoe zij AI veilig en verantwoord gebruiken binnen hun functie.

     

    Wat betekent AI-geletterdheid?

    AI-geletterdheid betekent dat medewerkers voldoende kennis en vaardigheden hebben om AI bewust, kritisch en verantwoord te gebruiken. Het gaat om het herkennen van risico’s, het controleren van uitkomsten en het veilig omgaan met persoonsgegevens.

    Een medewerker hoeft geen AI-specialist te zijn om AI-geletterd te zijn. Wel moet iemand begrijpen:

    • wat AI doet;
    • welke risico’s AI met zich meebrengt;
    • wanneer menselijke controle nodig blijft;
    • hoe privacy en informatiebeveiliging een rol spelen;
    • welke regels binnen de organisatie gelden.

     

    Waarom is dit belangrijk voor organisaties?

    Veel organisaties denken dat AI vooral een ICT-onderwerp is. In de praktijk raakt AI bijna iedere afdeling. HR gebruikt AI voor teksten en analyses. Marketing gebruikt AI voor content. Onderwijsinstellingen experimenteren met AI in lessen. Zorgorganisaties gebruiken AI bij verslaglegging en administratie.

    Daardoor ontstaat ook een nieuw risico. Medewerkers gebruiken AI vaak zelfstandig, zonder duidelijke richtlijnen of voldoende bewustzijn. Gegevens worden gedeeld met externe AI-tools, uitkomsten worden zonder controle overgenomen en niet iedereen weet hoe AI-systemen omgaan met data.

    Dit zijn allemaal redenen waarom AI-geletterdheid steeds belangrijker wordt binnen governance, privacy en informatiebeveiliging.

     

    AI-geletterdheid raakt ook AVG en informatiebeveiliging

    Wanneer medewerkers persoonsgegevens invoeren in AI-tools, ontstaat direct een privacyvraagstuk. Organisaties blijven verantwoordelijk voor de bescherming van persoonsgegevens. Dat geldt ook wanneer AI wordt gebruikt.

    Daarnaast spelen risico’s rondom:

    • vertrouwelijke informatie;
    • datalekken;
    • foutieve besluitvorming;
    • discriminatie en bias;
    • onbetrouwbare AI-uitkomsten;
    • onvoldoende menselijke controle.

    AI-geletterdheid helpt medewerkers om deze risico’s eerder te herkennen en bewuster keuzes te maken.

     

    De rol van bestuurders en management

    Bestuurders en leidinggevenden krijgen een belangrijke rol bij verantwoord AI-gebruik. Niet alleen beleid is belangrijk, ook bewustwording en voorbeeldgedrag spelen mee.

    Organisaties die nu investeren in AI-geletterdheid bouwen aan:

    • bewust en verantwoord AI-gebruik;
    • sterkere digitale weerbaarheid;
    • betere bescherming van persoonsgegevens;
    • meer bewustwording rondom informatiebeveiliging;
    • medewerkers die AI kritischer gebruiken.

    AI-geletterdheid gaat daarom niet alleen over technologie. Het gaat over cultuur, verantwoordelijkheid en bewust omgaan met digitale hulpmiddelen.

     

    Begin klein en praktisch

    Veel organisaties wachten nog op uitgebreide wetgeving of beleid. Tegelijkertijd gebruiken medewerkers AI vaak al dagelijks. Daarom helpt het om klein en praktisch te beginnen.

    Denk daarbij aan:

    • duidelijke richtlijnen voor AI-gebruik;
    • bewustwordingssessies;
    • e-learning over AI, privacy en security;
    • afspraken over persoonsgegevens in AI-tools;
    • het bespreken van AI-risico’s binnen teams;
    • beleid rondom verantwoord AI-gebruik.

    Door medewerkers actief mee te nemen ontstaat er meer bewustwording én meer grip op risico’s.

     

    AI-geletterdheid wordt onderdeel van professioneel werken

    AI verdwijnt niet meer uit organisaties. Het is dus belangrijk dat medewerkers AI veilig, verantwoord en bewust gebruiken.

    AI-geletterdheid groeit daarmee uit tot een belangrijk onderdeel van professioneel werken. Organisaties die hier nu aandacht aan besteden, versterken niet alleen compliance en informatiebeveiliging, maar helpen medewerkers ook om met meer vertrouwen en bewustzijn met AI te werken.

     

  • Ontspannen op reis begint met digitale alertheid

    Ontspannen op reis begint met digitale alertheid

    In Nederland is de meivakantie begonnen. Tijd om even los te komen van werk en school, om op reis te gaan of gewoon te genieten van je vrije dagen. Tegelijkertijd blijft je digitale leven gewoon doorgaan. Juist in deze periode is het goed om stil te staan bij je online veiligheid. Met een paar bewuste keuzes voorkom je veel risico’s en ga je een stuk zorgelozer op pad.

     

    Online veilig, waar je ook bent

    Of je nu op een terras zit, in de trein even een mailtje checkt of vanuit je vakantieadres iets regelt: je bent overal verbonden. Openbare wifi-netwerken lijken handig, maar zijn lastig te beoordelen op veiligheid. Gebruik daarom bij voorkeur je eigen databundel of werk met een VPN. Daarmee verklein je de kans dat anderen ongemerkt kunnen meekijken met wat je online doet.

     

    Denk na voordat je klikt

    Tijdens vakanties neemt het aantal phishingberichten vaak toe. Cybercriminelen spelen in op boekingen, uitjes en bevestigingen die je nog moet ontvangen. Daardoor lijken berichten betrouwbaar, terwijl ze bedoeld zijn om je gegevens te stelen of je naar een valse website te leiden. Controleer daarom altijd de afzender en de link voordat je klikt. Even bewust kijken, voorkomt dat je in een goed nagemaakte val trapt.

     

    Veilig omgaan met je identiteitsbewijs

    Soms wordt er gevraagd om een kopie van je identiteitsbewijs, bijvoorbeeld bij een accommodatie. Met de KopieID-app kun je gevoelige gegevens, zoals je burgerservicenummer, afschermen. Zo deel je alleen wat echt nodig is en houd je de regie over je eigen gegevens.

     

    Openbare computers: wees terughoudend

    Moet je toch een openbare computer gebruiken, bijvoorbeeld in een hotel of bibliotheek, bedenk dan goed waarvoor je het gebruikt. Zaken zoals internetbankieren of het inloggen op belangrijke accounts kun je beter vermijden. Sla geen wachtwoorden op en verwijder na gebruik altijd je browsergegevens.

     

    Werkapparatuur en vakantie

    Laat als het kan je werklaptop en -telefoon thuis. Dat geeft rust en het verkleint direct de risico’s op verlies, diefstal of misbruik. Neem je ze toch mee, zorg dan ervoor dat ze goed beveiligd zijn en gebruik ze bewust.

     

    Bewust delen op sociale media

    Vakantiefoto’s delen is leuk, maar denk na over wie er mee kan kijken. Controleer je privacy-instellingen en bepaal zelf wie jouw berichten ziet. Kijk ook kritisch naar apprechten: heeft een app echt toegang nodig tot je camera, microfoon of locatie?

     

    Extra beveiliging waar het kan

    Veel apps bieden tweestapsverificatie. Door deze extra beveiligingslaag in te schakelen, maak je het een stuk moeilijker voor anderen om toegang te krijgen tot je accounts.

    Een veilige vakantie zit vaak in kleine keuzes. Even stilstaan bij wat je doet, waar je op klikt en welke verbinding je gebruikt, maakt al een groot verschil. Zo blijft je vakantie niet alleen ontspannen, maar ook digitaal veilig.

  • Samenwerking tussen bestuurder en de CISO

    Samenwerking tussen bestuurder en de CISO

    Cybersecurity krijgt pas echt betekenis wanneer bestuurders en de CISO elkaar weten te vinden. Dat moet niet in losse overleggen of rapportages, maar in een structurele samenwerking waarin richting, verantwoordelijkheid en vertrouwen samenkomen. Tijdens die overleggen ontstaat inzicht in digitale risico’s en ruimte om vooruit te kijken. Dit maakt het mogelijk om keuzes te maken die passen bij de organisatie en om continu te blijven ontwikkelen op het gebied van digitale weerbaarheid.

     

    Van rapportagelijn naar echte samenwerking

    In veel organisaties wordt de CISO nog gezien als degene die rapporteert over risico’s en incidenten. De bestuurder luistert en het onderwerp verdwijnt weer naar de achtergrond. Een effectieve samenwerking ziet er juist anders uit. De bestuurder en de CISO trekken samen op. De CISO brengt inzicht in dreigingen, kwetsbaarheden en maatregelen. De bestuurder verbindt dit aan strategie, continuïteit en maatschappelijke verantwoordelijkheid. Het gesprek verschuift daarmee van informeren naar sturen.

     

    Gedeelde verantwoordelijkheid vanuit verschillende rollen

    Met de komst van de NIS2-richtlijn en de Nederlandse Cyberbeveiligingswet is de rol van bestuurders nadrukkelijker geworden. Cybersecurity ligt niet langer uitsluitend bij privacy en security professionals. Bestuurders dragen ook verantwoordelijkheid voor de keuzes die worden gemaakt en de risico’s die worden geaccepteerd.

    De CISO vertaalt dreigingen naar concrete maatregelen en adviseert over prioriteiten. De bestuurder stelt richting, maakt afwegingen en zorgt dat middelen beschikbaar zijn.

    Wanneer deze rollen goed op elkaar aansluiten, ontstaat er een samenwerking waarin besluiten sneller en beter onderbouwd tot stand komen.

     

    Cyberbeveiligingswet: verantwoordelijkheid krijgt gewicht

    De Cyberbeveiligingswet, gebaseerd op de NIS2-richtlijn, maakt duidelijk dat digitale weerbaarheid een bestuurlijke verantwoordelijkheid is. Organisaties moeten aantoonbaar maatregelen treffen om risico’s te beheersen en incidenten tijdig te melden.

    Voor bestuurders betekent dit dat zij niet alleen op hoofdlijnen betrokken zijn, maar ook actief sturen op beleid, uitvoering en toezicht. In de samenwerking met de CISO vertaalt dit zich naar duidelijke afspraken over rapportage, risicoacceptatie, awareness en prioritering.

    De wet zorgt daarmee voor meer structuur en urgentie in het gesprek. Het helpt om cybersecurity niet als los thema te zien, maar als onderdeel van goed bestuur.

     

    Elkaar begrijpen: de basis voor effectieve dialoog

    Eén van de grootste uitdagingen in de samenwerking is communicatie. De CISO spreekt vaak in technische termen, terwijl de bestuurder behoefte heeft aan strategisch inzicht.

    Effectieve samenwerking ontstaat wanneer beide werelden dichter bij elkaar komen. De CISO moet risico’s begrijpelijk en relevant maken. De bestuurder ontwikkelt voldoende kennis om de juiste vragen te kunnen stellen en richting te geven.

    Zo ontstaat een gesprek dat gaat over impact, keuzes en consequenties.

     

    Investeren in kennis: Masterclass AVG & AI

    Goede samenwerking vraagt om voldoende kennis aan beide kanten. Voor bestuurders betekent dit inzicht in privacy, cybersecurity en de impact van AI op de organisatie.

    De Masterclass AVG & AI op hoofdlijnen is ontwikkeld om bestuurders, directieleden en toezichthouders hierin te ondersteunen. In één dagdeel krijg je een helder en praktisch overzicht van de Algemene verordening gegevensbescherming en de rol van AI binnen organisaties.

    Tijdens de masterclass leer je:

    • het verschil tussen gewone en bijzondere persoonsgegevens begrijpen;
    • cyberrisico’s herkennen en de impact ervan inschatten;
    • risicobeheersmaatregelen beoordelen op strategisch niveau;
    • sturen op naleving, privacy en digitale weerbaarheid;
    • de belangrijkste AVG-beginselen en grondslagen toepassen;
    • de rechten van betrokkenen herkennen;
    • de impact van AI op privacy en gegevensbescherming duiden;
    • risico’s en aandachtspunten bij AI-gebruik benoemen.

    Daarnaast is er aandacht voor de rol van bestuur en management bij verantwoord gebruik van data en AI, inclusief transparantie, ethiek en compliance.

    De opzet is interactief en direct toepasbaar in de praktijk. De masterclass duurt één dagdeel en wordt klassikaal of incompany verzorgd. Na afloop ontvang je een certificaat als bewijs van deelname.

    Voor bestuurders die hun rol serieus nemen en willen versterken, vormt deze masterclass een waardevolle stap om beter in gesprek te gaan met de CISO en gerichter te sturen op risico’s.

     

    Vertrouwen als fundament

    Samenwerking vraagt om vertrouwen en dat groeit door openheid en consistentie.

    De CISO benoemt risico’s eerlijk, ook als de boodschap ongemakkelijk is. De bestuurder creëert ruimte om die signalen serieus te nemen. In zo’n omgeving worden fouten gebruikt om te leren en ontstaat er een cultuur waarin veiligheid bespreekbaar is.

    Dat versterkt niet de samenwerking tussen stakeholders en de hele organisatie.

     

    Cybersecurity als vast onderdeel van bestuur

    Samenwerking krijgt pas echt vorm wanneer cybersecurity een vast onderdeel wordt van de bestuurscyclus. Door het onderwerp structureel terug te laten komen, ontstaat er regelmaat. De bestuurder blijft aangehaakt en de CISO kan gericht rapporteren en adviseren. Hierdoor verschuift de aandacht van incidentgedreven naar toekomstgericht handelen.

     

    Van inzicht naar besluitvorming

    De samenwerking komt tot uiting in keuzes. Welke risico’s accepteren we? Waar investeren we in? Wat heeft prioriteit? De CISO levert inzicht en duiding. De bestuurder maakt de afweging en neemt besluiten. Samen zorgen zij ervoor dat cybersecurity aansluit bij de doelen en het risicoprofiel van de organisatie.

     

  • Grip op NEN 7510: praktische tips voor zorgorganisaties

    Grip op NEN 7510: praktische tips voor zorgorganisaties

    Voor zorgorganisaties is privacy en informatiebeveiliging een wettelijke verplichting die direct samenhangt met de bescherming van patiënten/cliënten en de continuïteit van zorg. Het verwerken van gezondheidsgegevens brengt namelijk hoge risico’s met zich mee voor de privacy van patiënten/cliënten. Dat vraagt om structurele aandacht voor beveiliging, zowel technisch als organisatorisch.

    NEN 7510 helpt zorgorganisaties om deze beveiliging aantoonbaar in te richten. Met praktische stappen en duidelijke keuzes ontstaat overzicht en richting.

     

    Waarom is privacy en informatiebeveiliging in de zorg verplicht?

    De verplichting om gezondheidsgegevens goed te beveiligen is vastgelegd in wet- en regelgeving. In de Algemene verordening gegevensbescherming (AVG) staat in artikel 32 dat organisaties passende technische en organisatorische maatregelen moeten nemen.

    Daarnaast gelden in de zorg aanvullende regels, zoals:

    • Artikel 10 van de Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg (Wabvpz), gericht op het gebruik van het burgerservicenummer.
    • Het Besluit elektronische gegevensverwerking door zorgaanbieders, waarin staat dat zorgorganisaties moeten werken volgens NEN 7510, NEN 7512 en NEN 7513.

    Toezichthouders zoals de Autoriteit Persoonsgegevens toetsen of organisaties voldoende maatregelen hebben genomen.

    Naast NEN 7510 zijn er aanvullende normen die vaak worden toegepast, zoals:

    • ISO 9001
    • HKZ Zorg en welzijn
    • HKZ Kleine organisaties

    Deze normen helpen om kwaliteit en informatiebeveiliging samen te brengen.

     

    Tip 1: Begin met inzicht in je huidige situatie

    Een goede start is een nulmeting. Breng in kaart wat al is geregeld en waar nog verbeteringen nodig zijn.

    Kijk naar de praktijk:

    • Hoe medewerkers omgaan met patiënt-/cliëntgegevens;
    • Welke systemen worden gebruikt;
    • Hoe incidenten worden geregistreerd.

    Dit inzicht vormt de basis voor verdere stappen.

     

    Tip 2: Neem het zorgproces als uitgangspunt

    Informatiebeveiliging en privacy raakt het volledige zorgproces. Het gaat om alles wat met patiënt-/cliëntgegevens te maken heeft.

    Denk aan:

    Door het proces centraal te stellen, sluiten maatregelen beter aan op de dagelijkse praktijk.

     

    Tip 3: Maak risico’s concreet

    Het verwerken van gezondheidsgegevens brengt specifieke risico’s met zich mee. Denk aan datalekken, uitval van systemen of onjuiste gegevens.

    Gebruik de BIV-indeling:

    • Beschikbaarheid
    • Integriteit
    • Vertrouwelijkheid

    Door risico’s concreet te maken, ontstaat er focus en kunnen gerichte maatregelen worden genomen.

     

    Tip 4: Leg keuzes duidelijk vast

    Na de risicoanalyse volgt het vastleggen van maatregelen en keuzes. De Verklaring van Toepasselijkheid helpt hierbij.

    Hierin staat:

    • Welke maatregelen zijn gekozen?
    • Welke risico’s horen daarbij?
    • Hoe zijn de keuzes onderbouwd?

    Dit document is belangrijk bij audits en het maakt inzichtelijk hoe de organisatie werkt aan beveiliging.

     

    Tip 5: Zorg voor duidelijke verantwoordelijkheden

    Informatiebeveiliging en privacy vraagt om heldere sturing. Rollen en verantwoordelijkheden moeten duidelijk zijn binnen de organisatie.

    Zorg voor:

    • betrokkenheid van het management;
    • duidelijke aanspreekpunten;
    • heldere besluitvorming.

    Dit zorgt voor structuur en voortgang.

     

    Tip 6: Besteed aandacht aan veilig werken met data

    Gezondheidsgegevens van patiënten/cliënten vragen om extra zorgvuldigheid. Dit geldt voor alle vormen van verwerking.

    Werken in de cloud

    Het opslaan van gezondheidsgegevens in de cloud is toegestaan. Er is geen toestemming van patiënten/cliënten nodig. Wel gelden er belangrijke aandachtspunten:

    • kies een betrouwbare leverancier;
    • leg verantwoordelijkheden vast;
    • zorg voor security awareness;
    • zorg voor passende beveiligingsmaatregelen.

    De verantwoordelijkheid voor gegevensbescherming blijft bij de zorgorganisatie.

     

    Gegevens delen via e-mail

    Het versturen van gezondheidsgegevens via e-mail is toegestaan. Het gebruik moet goed onderbouwd zijn en de beveiliging moet op orde zijn.

     

    Tip 7: Verzamel bewijs van maatregelen

    Aantoonbaarheid is een belangrijk onderdeel van NEN 7510. Laat zien dat maatregelen daadwerkelijk werken.

    Voorbeelden van bewijs:

    • logbestanden
    • toegangsrapportages
    • contracten met leveranciers
    • vastgelegde procedures

    Dit maakt audits overzichtelijk en voorspelbaar.

     

    Tip 8: Plan vaste evaluatiemomenten

    Informatiebeveiliging en privacy vraagt om structurele aandacht. Plan daarom:

    • interne audits
    • managementreviews
    • periodieke updates van risicoanalyses

    Dit zorgt voor continue verbetering en actuele beveiliging.

     

    Tip 9: Werk bewust samen met leveranciers

    Veel zorgorganisaties werken met externe partijen. Maak duidelijke afspraken over beveiliging en verantwoordelijkheden.

    Denk aan:

    • contractuele afspraken
    • controle op naleving
    • inzicht in risico’s

    Dit versterkt de keten en geeft duidelijkheid.

     

    Tip 10: Zie NEN 7510 als een doorlopend proces

    NEN 7510 ondersteunt zorgorganisaties bij het structureel verbeteren van privacy en informatiebeveiliging. Het is een continu proces dat meegroeit met de organisatie en de ontwikkelingen in de zorg.

    Elke stap draagt bij aan betere bescherming van patiënt-/cliëntgegevens en betrouwbare zorgverlening.

  • Digitale leermiddelen in het onderwijs: van privacyrisico’s naar digitale weerbaarheid

    Digitale leermiddelen in het onderwijs: van privacyrisico’s naar digitale weerbaarheid

    In het onderwijs wordt steeds intensiever gewerkt met digitale leermiddelen. Laptops, adaptieve leersystemen en AI-gedreven tools ondersteunen het onderwijs en maken gepersonaliseerd leren mogelijk. Daarbij worden grote hoeveelheden leerlinggegevens verzameld, geanalyseerd en gebruikt binnen deze systemen. Dit vraagt om een samenhangende aanpak waarin technische maatregelen worden gecombineerd met bestuurlijke regie, duidelijke kaders en bewust gedrag binnen de hele organisatie. Alleen door deze elementen met elkaar te verbinden, ontstaat er grip op het gebruik van digitale leermiddelen en de bescherming van leerlinggegevens.

     

    De keerzijde van digitale leermiddelen

    Digitale leermiddelen bieden veel kansen, maar ze brengen ook serieuze risico’s met zich mee. Denk aan adaptieve systemen en learning analytics die grote hoeveelheden (gevoelige) leerlinggegevens verwerken. Vaak is niet heel erg duidelijk wat er met die gegevens gebeurt, waar ze worden opgeslagen en wie er toegang toe heeft.

    De Autoriteit Persoonsgegevens wijst erop dat deze onduidelijkheid kan leiden tot privacyrisico’s voor leerlingen. Bijvoorbeeld wanneer gegevens buiten Europa worden opgeslagen of wanneer gegevens worden gebruikt voor profilering of AI-toepassingen zonder dat dit transparant is.

    Dit heeft ook als gevolg dat scholen steeds afhankelijker worden van grote technologiebedrijven. Hierdoor neemt de grip op data en systemen af, terwijl de verantwoordelijkheid juist bij de school blijft liggen.

     

    Het Normenkader IBP als fundament

    Om grip te krijgen op deze risico’s is een structurele aanpak nodig. Het Normenkader voor informatiebeveiliging en privacy vormt daarbij de basis. Het helpt scholen om risico’s inzichtelijk te maken, passende maatregelen te nemen en aantoonbaar te voldoen aan wet- en regelgeving.

    Het Normenkader zorgt voor samenhang en aantoonbaarheid. Geen losse acties of incidentgedreven beleid, maar een geïntegreerde aanpak waarin techniek, processen en gedrag elkaar versterken. Juist die samenhang maakt het verschil tussen ‘iets doen aan security’ en daadwerkelijk digitaal weerbaar zijn.

     

    Bestuurlijke verantwoordelijkheid onder de Cyberbeveiligingswet

    Met de komst van de Cyberbeveiligingswet is cyberveiligheid nadrukkelijk een verantwoordelijkheid van bestuurders geworden. Het is geen IT-vraagstuk meer, maar een strategisch onderwerp.

    Bestuurders moeten inzicht hebben in de risico’s van digitale leermiddelen, ze moeten begrijpen welke afhankelijkheden er zijn van leveranciers en ze moeten actief sturen op passende maatregelen. Dat betekent ook dat zij gesprekken moeten voeren met security- en privacyprofessionals en toezicht moeten houden op de uitvoering.

    Digitale veiligheid hoort daarmee ook thuis in de bestuurskamer, naast thema’s als financiën en continuïteit.

     

    Leidinggevenden hebben een belangrijke rol

    Beleid en kaders zijn belangrijk, maar ze krijgen pas betekenis in de uitvoering. Daar ligt de rol van leidinggevenden. Zij vertalen beleid naar de dagelijkse praktijk en ze zorgen ervoor dat medewerkers weten wat er van hen wordt verwacht.

    In het onderwijs betekent dit dat leidinggevenden richting geven aan het gebruik van digitale leermiddelen, docenten ondersteunen en zorgen dat afspraken worden nageleefd. Zonder deze vertaalslag blijft beleid vaak abstract en verandert er in de praktijk weinig.

     

    Security awareness voor leerlingen

    Een vaak onderschatte groep in digitale veiligheid zijn leerlingen zelf. Terwijl zij dagelijks werken met digitale systemen en platforms, zijn zij zich lang niet altijd bewust van de risico’s. Hoeveel leerlingen in de praktijk weten hoe ze een sterk wachtwoord moeten maken of waarop ze moeten letten om phishing te herkennen? Dat maakt awareness onder leerlingen erg belangrijk. En dat moet niet als een eenmalige les, maar als doorlopend onderdeel van het onderwijs. Digitale weerbaarheid begint bij begrijpen wat je doet.

    Leerlingen delen gegevens, gebruiken social media en werken met AI-tools, vaak zonder stil te staan bij de gevolgen. De Autoriteit Persoonsgegevens adviseert scholen om alleen digitale middelen in te zetten wanneer duidelijk is wat er met gegevens gebeurt en onder welke voorwaarden.

     

    Twee belangrijke e-learnings voor het onderwijs

    Om digitale weerbaarheid écht goed te borgen, biedt AVG-trainingen twee krachtige e-learnings die naadloos aansluiten op de praktijk in het onderwijs.

    E-learning Privacy, AI en Security Awareness (voor medewerkers)

    Deze e-learning is volledig gericht op medewerkers binnen het onderwijs en gaat verder dan algemene bewustwording. De training is doelgroepgericht opgebouwd, zodat ieder een programma volgen dat aansluit op hun rol en verantwoordelijkheden.

    Deelnemers leren niet alleen de basisprincipes van privacy en informatiebeveiliging, maar ze krijgen ook inzicht in actuele ontwikkelingen zoals AI en de impact daarvan op hun werk. Door deze gerichte aanpak ontstaat er niet alleen kennis, maar vooral gedragsverandering in de dagelijkse praktijk.

     

    E-learning Cybersafety (voor leerlingen en studenten)

    Voor leerlingen en studenten is er een aparte e-learning Cybersafety, volledig afgestemd op hun leefwereld. In deze training komen de belangrijkste thema’s aan bod die zij dagelijks tegenkomen.

    Zo leren zij phishing herkennen en voorkomen, waardoor zij geen onbedoelde ingang vormen voor datalekken of ransomware. Ook wordt aandacht besteed aan AI en desinformatie en het maken van sterke wachtwoorden. Daarnaast krijgen leerlingen inzicht in privacyrisico’s en het delen van persoonsgegevens én leren zij omgaan met sociale veiligheid en cyberpesten.

     

    Van compliance naar digitale weerbaarheid

    Veel scholen richten zich nog op compliance, namelijk het voldoen aan de AVG en het regelen van contracten. Dat is noodzakelijk, maar het is niet voldoende. Echte digitale weerbaarheid ontstaat pas wanneer beleid, techniek en gedrag samenkomen.

    Dat vraagt om betrokken bestuurders, actieve leidinggevenden en bewuste medewerkers én leerlingen. Alleen dan ontstaat een organisatie die niet alleen voldoet aan regels, maar ook daadwerkelijk bestand is tegen digitale risico’s.

  • Herken je het als Privacy Officer? Jouw communicatie landt niet, terwijl de risico’s overduidelijk zijn

    Herken je het als Privacy Officer? Jouw communicatie landt niet, terwijl de risico’s overduidelijk zijn

    Als Privacy Officer herken je het waarschijnlijk meteen: je ziet waar de risico’s zitten en je weet precies welke organisatorische en technische maatregelen nodig zijn. Jouw adviezen zijn helder en goed onderbouwd, maar toch blijven besluiten en acties uit of ze worden vooruitgeschoven. Dat is frustrerend, zeker omdat je weet wat er op het spel staat. In veel gevallen zit het verschil niet in de inhoud van je advies, maar in de manier waarop je het afstemt op je gesprekspartner. Juist daar maakt situationeel communiceren het verschil.

     

    Waarom landt jouw boodschap niet altijd?

    Veel Privacy Officers communiceren vanuit wet- en regelgeving. Begrippen als AVG, compliance en risico’s zijn logisch voor jou, maar voor bestuurders en andere leidinggevenden is dit vaak te abstract. Zij kijken naar continuïteit, kosten, reputatie en naar strategische doelen. Wanneer jouw boodschap daar niet op aansluit, wordt privacy, AI en security al snel gezien als iets extra’s in plaats van iets noodzakelijks. Door jouw communicatie beter af te stemmen, maak je privacy, AI en security direct relevant voor de organisatie.

     

    Aansluiten bij je gesprekspartner

    Effectieve communicatie begint met begrijpen wie je tegenover je hebt. Iedere rol binnen de organisatie kijkt anders naar privacy, AI en security. Door stil te staan bij belangen, verantwoordelijkheden en prioriteiten van je gesprekspartner, kun je jouw boodschap zo formuleren dat deze beter binnenkomt. Je blijft dezelfde inhoud delen, maar kiest een invalshoek die aansluit bij wat voor de ander belangrijk is.

     

    Maak impact concreet

    In plaats van te spreken over ‘niet AVG-compliant zijn’, werkt het sterker om te laten zien wat er daadwerkelijk kan gebeuren. Denk aan datalekken, verstoring van processen of reputatieschade. Door dit concreet te maken en te koppelen aan de praktijk van de organisatie, wordt de urgentie direct duidelijk. Nog krachtiger wordt het wanneer je dit combineert met een duidelijke en haalbare oplossing.

     

    Van advies naar keuze

    Als je werkt met herkenbare situaties, help je leidinggevenden om sneller beslissingen te nemen. Door inzichtelijk te maken wat er gebeurt als je niets doet en wat het effect is van een maatregel, verandert jouw advies in een concrete keuzes. Dit maakt het makkelijker om prioriteiten te stellen en daadwerkelijk in actie te komen.

     

    Timing en context maken het verschil

    De impact van je boodschap hangt ook af van het moment waarop je deze brengt. Sluit je aan bij lopende projecten, managementoverleggen of actuele incidenten, dan is de urgentie vaak al aanwezig. Je hoeft minder te overtuigen en je advies wordt sneller opgepakt, omdat het aansluit bij wat er op dat moment speelt.

     

    Van controleur naar partner

    Hoe je wordt gezien binnen de organisatie heeft grote invloed op je effectiviteit. Wanneer je vooral wordt ervaren als degene die regels oplegt, kan dat weerstand oproepen. Maar als je optreedt als iemand die meedenkt, vragen stelt en begrip toont voor andere belangen, ontstaat er ruimte voor samenwerking. Vanuit die rol krijg je mensen makkelijker mee.

     

    De kracht van Situationeel Communiceren

    Situationeel Communiceren draait om aansluiten zonder je inhoud te verliezen. Je vertaalt privacy, AI en security naar de taal en belangen van je gesprekspartner. Daardoor landt je advies beter en wordt het sneller opgevolgd. Het resultaat is meer draagvlak, betere besluitvorming en maatregelen die daadwerkelijk worden doorgevoerd.

     

     

Menu