AVG-trainingen

Auteur: Marco Boltjes

  • Het belang van datalekken herkennen binnen je organisatie

    Het belang van datalekken herkennen binnen je organisatie

    In elke organisatie komen datalekken voor. Medewerkers krijgen vroeg of laat te maken met situaties waarin persoonsgegevens per ongeluk worden gedeeld, kwijtraken of voor onbevoegden zichtbaar zijn. Dan krijg je al gauw te maken met de volgende vragen: Is dit een datalek? Moet ik dit melden?  Wat gebeurt er daarna? Juist daar ligt een belangrijke verantwoordelijkheid voor organisaties en in het bijzonder voor de Privacy Officer.

     

    Herkennen begint bij bewustzijn

    Een datalek ontstaat vaak door kleine, menselijke fouten, zoals een e-mail naar de verkeerde ontvanger, een verloren laptop of een document dat per ongeluk openbaar wordt gedeeld. Het herkennen van dit soort situaties vraagt om kennis en bewustzijn. Medewerkers moeten weten waar ze op moeten letten en wanneer ze in actie moeten komen. Daarnaast is het belangrijk dat zij zich vrij voelen om dit te melden.

     

    Een open meldcultuur maakt het verschil

    Een open meldcultuur in een organisatie speelt een belangrijke rol. In een omgeving waar fouten zwaar worden aangerekend, houden medewerkers sneller hun mond. Terwijl juist snelheid erg belangrijk is bij datalekken. Hoe eerder een incident bekend is, hoe sneller je de schade kunt beperken. Een cultuur waarin melden wordt gezien als iets normaals en verantwoordelijks, draagt bij aan tijdige signalering en opvolging van datalekken.

     

    Leidinggevenden zetten de toon

    Leidinggevenden spelen hierin een belangrijke rol. Zij bepalen de toon. Als zij open zijn over fouten, zelf meldingen doen en het gesprek aangaan zonder oordeel, volgt de rest van de organisatie vanzelf. Goed voorbeeldgedrag werkt aanstekelijk. Maar als incidenten worden weggewuifd of bestraft, verdwijnt de bereidheid om te melden net zo snel.

     

    De rol van de Privacy Officer

    Voor de Privacy Officer ligt hier een verbindende rol. Deze rol richt zich op het adviseren en het neerzetten van een duidelijke basis, zoals helder datalekbeleid, praktische protocollen en werkbare processen. Medewerkers moeten precies weten waar ze terechtkunnen, wat er met hun melding gebeurt en waarom dat belangrijk is. Een goed datalekregister is een verplichting vanuit de AVG en ondersteunt organisaties bij het herkennen van patronen en het doorvoeren van verbeteringen.

     

    Toenemende eisen vanuit wetgeving

    De lat ligt bovendien steeds hoger. Vanuit wet- en regelgeving zoals NIS2 en het Normenkader Informatiebeveiliging en Privacy (IBP) wordt van organisaties verwacht dat zij incidenten tijdig signaleren en melden. Datalekken maken onderdeel uit van privacy, informatiebeveiliging en risicomanagement. Organisaties moeten laten zien dat ze grip hebben op hun processen.

     

    Bestuurlijke verantwoordelijkheid groeit

    Daar komt bij dat bestuurders steeds nadrukkelijker verantwoordelijk worden gehouden. Onder de Cyberbeveiligingswet is het bestuur verantwoordelijk voor het beleid en de naleving van de wet. Daarom moeten bestuurders onder andere:

    • Beschikken over aantoonbare kennis en vaardigheden op het gebied van risico’s voor netwerk- en informatiesystemen, risicobeheersing en de impact daarvan op de organisatie;
    • Inzicht hebben in de risico’s en daarvoor passende maatregelen nemen om de digitale weerbaarheid van hun organisatie te waarborgen;
    • Regelmatig spreken met de eigen Functionaris gegevensbescherming en andere privacy en security professionals.

    Organisaties die onder de Cyberbeveiligingswet vallen, zijn verplicht om hun bestuursleden een training te laten volgen over cyberbeveiliging. De training moet bestuursleden in staat stellen om processen voor het herkennen van risico’s voor de beveiliging van netwerk- en informatiesystemen te kunnen begrijpen én de maatregelen inclusief gevolgen te beoordelen. Dit alles maakt duidelijk dat datalekken ook thuishoort op de agenda van het bestuur.

     

    Bewustwording in de hele organisatie

    Organisaties die structureel willen werken aan bewustwording, kunnen hiervoor de E-learning Privacy, AI en Security Awareness van AVG-trainingen inzetten. Deze training helpt medewerkers om risico’s in de dagelijkse praktijk beter te herkennen, zoals datalekken, phishing en onzorgvuldig omgaan met persoonsgegevens. Door praktische voorbeelden en herkenbare situaties leren medewerkers wat er van hen wordt verwacht en wanneer actie nodig is. Zo wordt privacy, AI en security onderdeel van het dagelijks handelen. Dit vergroot de meldbereidheid en het draagt bij aan een organisatiebrede cultuur waarin zorgvuldig omgaan met informatie vanzelfsprekend wordt.

     

    Van melden naar verbeteren

    Het herkennen en melden van datalekken vraagt om een samenspel van bewustzijn, cultuur en structuur. Medewerkers moeten weten wat ze moeten doen, leidinggevenden moeten het goede voorbeeld geven en de Privacy Officer zorgt een goed beleid en een datalekregister.

    Als dat samenkomt, krijg je een organisatie waarin datalekken niet worden weggestopt, maar juist worden gebruikt om te leren en te verbeteren. Zo komt een volwassen aanpak van privacy en informatiebeveiliging duidelijk naar voren.

     

    Visual is AI-gegenereerd
  • Online Opleiding Functionaris Gegevensbescherming: flexibel, actueel en praktijkgericht

    Online Opleiding Functionaris Gegevensbescherming: flexibel, actueel en praktijkgericht

    De vraag naar goed opgeleide privacyprofessionals groeit snel. Organisaties moeten voldoen aan steeds strengere eisen rondom gegevensbescherming en de rol van Functionaris Gegevensbescherming (FG) is daarin erg belangrijk. Met de Online Opleiding Functionaris Gegevensbescherming van AVG-trainingen speel je hier effectief op in. Dankzij de flexibele opzet is de opleiding goed te combineren met een drukke baan.

     

    Waarom kies je voor een online opleiding Functionaris Gegevensbescherming?

    De kracht van deze opleiding zit in de combinatie van flexibiliteit en kwaliteit. Je volgt de training volledig online, in je eigen tempo en op momenten die jou uitkomen. Ideaal voor privacy professionals die hun kennis willen verdiepen zonder hun werk stil te zetten.

    Tijdens de Online Opleiding Functionaris Gegevensbescherming kun je op elk moment je vragen stellen en rekenen op persoonlijke aandacht van ervaren professionals. Ondanks dat de opleiding volledig online is, voelt het traject persoonlijk en betrokken. Je krijgt begeleiding van experts die zelf actief zijn als Functionaris gegevensbescherming (FG) en precies weten waar je in de praktijk tegenaan loopt. Zij helpen je niet alleen met inhoudelijke vragen, maar ze denken ook met je mee over concrete situaties uit jouw werkomgeving. Dat maakt het leren niet alleen effectiever, maar ook relevanter en direct toepasbaar. Zo combineer je het gemak van online leren met de kwaliteit van persoonlijke begeleiding.

    Daarnaast is de inhoud altijd actueel. Privacywetgeving en richtlijnen veranderen continu en dat vraagt om inhoud dat meebeweegt. Je leert de basis van de AVG en hoe je inspeelt op nieuwe ontwikkelingen en actuele vraagstukken.

     

    Praktisch en direct toepasbaar

    De Online Opleiding Functionaris Gegevensbescherming is ontwikkeld met de praktijk als uitgangspunt. Geen droge theorie, maar concrete situaties, herkenbare voorbeelden en toepasbare kennis.

    Je leert hoe je toezicht houdt op de naleving van privacywetgeving, hoe je risico’s inzichtelijk maakt en organisaties adviseert over beleid en maatregelen. Ook onderwerpen zoals datalekken, audits en interne controles komen uitgebreid aan bod. Hierdoor kun je na afronding direct waarde toevoegen binnen jouw organisatie of je kunt als zelfstandig FG aan de slag.

     

    Voor elke sector een passende FG-opleiding

    Onze kracht zit in doelgroepgerichte trainingen. Niet elke organisatie is hetzelfde en dat geldt ook voor de rol van Functionaris Gegevensbescherming. Daarom biedt AVG-trainingen sectorgerichte varianten van de Online Opleiding Functionaris Gegevensbescherming, zodat de inhoud optimaal aansluit op jouw dagelijkse praktijk.

    Er zijn specifieke opleidingen beschikbaar voor:

    Elke variant bevat dezelfde stevige basis, maar wordt verrijkt met sectorspecifieke wetgeving, herkenbare praktijkvoorbeelden en situaties die direct aansluiten bij jouw werkomgeving. Hierdoor leer je niet alleen de theorie, maar vooral hoe je deze toepast binnen jouw sector.

    Zo kies je altijd een opleiding die écht relevant is voor jouw functie en organisatie.

     

    Speciaal ontwikkeld voor werkende professionals

    De opleiding is voordelig en efficiënt ingericht. Je hoeft geen vrij te nemen of te reizen: alles gebeurt online. Dat maakt het niet alleen flexibel, maar ook toegankelijk voor iedereen die zich wil ontwikkelen naast een baan.

    De totale studiebelasting bedraagt ongeveer 20 tot 25 lesuren, die je volledig naar eigen inzicht kunt indelen. Binnen korte tijd kun je al grote stappen maken. Dankzij de duidelijke structuur en praktijkgerichte aanpak werk je doelgericht toe naar je certificaat.

     

    Snel en eenvoudig je certificaat behalen

    Een belangrijk voordeel van deze Online Opleiding Functionaris Gegevensbescherming is dat je zonder onnodige drempels je certificaat behaalt. Je doorloopt de modules wanneer het jou uitkomt en sluit af met een toetsing die aansluit op de praktijk.

    Zo beschik je snel over een waardevol bewijs van jouw kennis en vaardigheden dat relevant is voor je carrière én voor organisaties die moeten voldoen aan privacywetgeving.

     

    Aansluiting op de NRGF en toelatingseisen

    De opleiding sluit aan bij de eisen van het Nederlands Register voor Functionarissen Gegevensbescherming (NRGF). Dit betekent dat de inhoud en het niveau aansluiten bij wat er van een professionele FG wordt verwacht.

    Met het certificaat van deze opleiding voldoe je aan één van de gestelde eisen van de NRGF, wat een belangrijke stap is richting verdere professionalisering binnen het vakgebied.

    Om deel te nemen is het belangrijk dat je beschikt over hbo werk- en denkniveau en affiniteit hebt met privacy, recht of informatiebeveiliging. Daarnaast is motivatie erg belangrijk: de rol van FG vraagt om een kritische blik, onafhankelijkheid en het vermogen om organisaties te adviseren en te begeleiden.

    De opleiding helpt je niet alleen om kennis op te bouwen, maar ook om te groeien naar het niveau dat nodig is binnen dit vakgebied.

     

    Ontwikkeld door ervaren privacyprofessionals

    AVG-trainingen ontwikkelt sinds 2018 praktische trainingen op het gebied van privacy en informatiebeveiliging. Het doel is om complexe wet- en regelgeving begrijpelijk en toepasbaar te maken voor organisaties.

    De Online Opleiding Functionaris Gegevensbescherming is ontwikkeld door experts die zelf werkzaam zijn als Functionaris Gegevensbescherming en Privacy Officers. Zij brengen dagelijkse praktijkervaring mee en weten precies welke kennis en vaardigheden nodig zijn om deze rol goed te vervullen. Hierdoor sluit de opleiding naadloos aan op de realiteit van het werkveld.

     

    Altijd actuele kennis in een veranderend landschap

    Privacy, AI en informatiebeveiliging staan nooit stil. Nieuwe wetgeving, technologische ontwikkelingen en toenemende cyberdreigingen maken het vakgebied dynamisch en uitdagend.

    Met de Online Opleiding Functionaris Gegevensbescherming ben je verzekerd van actuele kennis die continu wordt bijgewerkt. Zo blijf je als professional relevant en goed voorbereid op veranderingen binnen wet- en regelgeving.

  • Moderne phishingaanvallen: slimmer, persoonlijker en moeilijker te herkennen

    Moderne phishingaanvallen: slimmer, persoonlijker en moeilijker te herkennen

    Phishing herkennen is de afgelopen jaren aanzienlijk moeilijker geworden. Moderne phishingaanvallen zijn slimmer, persoonlijker en overtuigender dan ooit. Waar je vroeger verdachte e-mails eenvoudig kon herkennen aan spelfouten of vreemde afzenders, zijn aanvallen vandaag de dag nauwelijks nog te onderscheiden van legitieme communicatie.

    Een e-mail lijkt van je leidinggevende te komen, verwijst naar een lopend project en bevat een logisch verzoek. Alles oogt betrouwbaar. En dat maakt moderne phishing zo effectief en gevaarlijk.

     

    Waarom wordt het steeds moeilijker om phishing te herkennen?

    De grootste verandering rondom phishing zit in het gebruik van AI. Cybercriminelen maken gebruik van geavanceerde technologie om berichten te genereren die heel goed aansluiten op de ontvanger.

    Een medewerker ontvangt bijvoorbeeld een e-mail van HR over een bijgewerkt contract. De toon is professioneel, de inhoud is logisch en de timing is geloofwaardig. Toch gaat het om een vals bericht.

    Waar cybercriminelen vroeger tijd moesten investeren in het schrijven van overtuigende berichten, kunnen ze nu in korte tijd grote hoeveelheden gepersonaliseerde phishingmails versturen. Ze kunnen daarbij heel eenvoudig informatie van bijvoorbeeld bedrijfswebsites en sociale media automatisch in verwerken. Hierdoor is phishing niet alleen schaalbaarder geworden, maar ook veel moeilijker te herkennen.

     

    Wat is er veranderd aan phishingaanvallen door AI?

    AI maakt het mogelijk om communicatie na te bootsen op een niveau dat voorheen niet haalbaar was. Denk aan het kopiëren van schrijfstijl, woordgebruik en zelfs typische formuleringen van collega’s of leidinggevenden.

    Een concreet voorbeeld: een financieel medewerker ontvangt een e-mail die ogenschijnlijk afkomstig is van de directie met het verzoek om een betaling met spoed uit te voeren. De formulering komt exact overeen met eerdere communicatie. Er is geen zichtbare aanleiding om te twijfelen.

    Daarnaast worden aanvallen steeds vaker gecombineerd. Een phishingmail kan worden gevolgd door een telefoongesprek waarbij de stem van een leidinggevende wordt nagebootst. Deze combinatie verhoogt de druk om snel te handelen.

     

    Veelvoorkomende phishingvoorbeelden in de praktijk

    Phishing komt in verschillende vormen voor en is vaak afgestemd op de rol van de ontvanger.

    Een bekend voorbeeld is de Business Email Compromise. Hierbij ontvangt een medewerker een bericht dat lijkt te komen van een directielid met het verzoek om een betaling uit te voeren. De urgentie en geloofwaardigheid zorgen ervoor dat controles soms worden overgeslagen.

    Ook spear phishing komt veel voor. Bij spear phishing wordt een bericht specifiek afgestemd op één persoon. Een projectleider ontvangt bijvoorbeeld een e-mail met verwijzing naar een lopend project en een verzoek om een document te openen.

    Een andere variant is phishing via QR-codes. Een medewerker ontvangt een document met een QR-code om bijvoorbeeld een account te verifiëren. Na het scannen wordt de gebruiker doorgestuurd naar een valse inlogpagina.

    Daarnaast zien we dat cybercriminelen steeds vaker bestaande e-mailgesprekken overnemen. In een lopende conversatie wordt een bericht toegevoegd met een bijlage of link. Omdat het bericht in een vertrouwde context staat, wordt het sneller geopend.

     

    Waarom herkent traditionele beveiliging phishing niet meer zo goed?

    Veel organisaties maken nog gebruik van traditionele beveiligingsmaatregelen zoals spamfilters en antivirussoftware. Deze systemen zijn voornamelijk gericht op het herkennen van bekende dreigingen.

    Moderne phishing werkt anders. Elke aanval is uniek en wordt continu aangepast. Hierdoor herkennen traditionele systemen deze berichten vaak niet meer.

    Bovendien maken hackers gebruik van betrouwbare platforms, zoals cloudopslagdiensten. Een link lijkt veilig, maar leidt uiteindelijk naar schadelijke content nadat de gebruiker is ingelogd.

    Vaak ontbreekt context. Past een verzoek bij de rol van de afzender? Is het logisch dat dit verzoek op dit moment wordt gedaan? Dit soort vragen zijn erg belangrijk, maar die worden door veel systemen niet meegenomen.

     

    Hoe kunnen organisaties phishing voorkomen?

    Organisaties kunnen zich effectief beschermen met een combinatie van technische en organisatorische maatregelen.

    Het is belangrijk dat systemen afwijkend gedrag herkennen. Een ongebruikelijk verzoek buiten werktijden of een afwijkend communicatiepatroon kan een signaal zijn van een hackaanval.

    Daarnaast helpt het om bijlagen en links eerst in een veilige omgeving te analyseren, voordat ze de gebruiker bereiken.

    Sterke authenticatie speelt ook een belangrijke rol. Zelfs als inloggegevens worden buitgemaakt, blijft toegang beperkt wanneer aanvullende verificatie nodig is.

    Minstens zo belangrijk is het inrichten van duidelijke werkafspraken. Medewerkers moeten weten wanneer en hoe zij verzoeken moeten controleren, bijvoorbeeld bij financiële transacties of het delen van gevoelige informatie.

     

    De rol van medewerkers bij het herkennen van phishing

    Hoewel technologie een belangrijke rol speelt, blijft de mens een belangrijke factor. Medewerkers vormen het laatste controlepunt.

    Het is niet realistisch om te verwachten dat iedere phishingmail wordt herkend, want dat is onmogelijk in de praktijk. Wat wel belangrijk is, is dat medewerkers leren omgaan met twijfel.

    Een medewerker die een ongebruikelijk verzoek ontvangt en besluit dit eerst te verifiëren via een ander kanaal, voorkomt mogelijk een incident. Het creëren van een cultuur waarin controle normaal is, maakt organisaties aanzienlijk weerbaarder.

     

    Medewerkers trainen voor betere bescherming tegen phishing

    Structurele bewustwording is erg belangrijk om phishing effectief te voorkomen. De e-learning Security, AI en privacy awareness van AVG-trainingen biedt organisaties een praktische en complete oplossing om medewerkers hierin mee te nemen.

    De training sluit aan op de dagelijkse praktijk en laat zien hoe moderne phishing eruitziet. Medewerkers oefenen met realistische scenario’s. Daarnaast leren zij hoe zij veilig moeten omgaan met e-mails, links en bijlagen en wanneer het nodig is om een verzoek te verifiëren. Ook onderwerpen zoals wachtwoordgebruik, multi-factor authenticatie en veilig werken komen aan bod.

    Door deze combinatie van kennis en praktijk ontwikkelen medewerkers niet alleen bewustzijn, maar ook het juiste gedrag.

     

     

  • Situationeel communiceren voor privacy- en securityprofessionals: zo maak je écht impact in je organisatie

    Situationeel communiceren voor privacy- en securityprofessionals: zo maak je écht impact in je organisatie

    Privacy- en securityprofessionals werken in een bijzondere positie binnen organisaties. Ze hebben vaak geen hiërarchisch mandaat om beslissingen af te dwingen, maar dragen wél een grote verantwoordelijkheid. Ze beheersen risico’s, zorgen dat wet- en regelgeving wordt nageleefd en moeten ook zorgen voor awareness.

    Echte impact in je organisatie bereik je daarom niet alleen met inhoudelijke kennis, maar vooral met de manier waarop je die kennis overbrengt. Met situationeel communiceren maak je daarin het verschil.

     

    Waarom is situationeel communiceren belangrijk?

    In de praktijk bestaat er geen standaardaanpak die altijd werkt. Elke situatie in je organisatie vraagt om een andere benadering. Wat effectief is bij een ervaren manager, werkt niet per se bij een team dat weinig kennis heeft van privacy of security.

    Situationeel communiceren betekent dat je je communicatiestijl bewust afstemt op onder andere:

    • de complexiteit van het vraagstuk;
    • het kennisniveau van je gesprekspartner;
    • de volwassenheid van je organisatie;
    • de bestuurlijke gevoeligheid;
    • de urgentie en het risicoprofiel;

    Je vraagt jezelf dus steeds af wat je in een bepaalde situatie nodig hebt om privacy en security in je organisatie daadwerkelijk te borgen.

     

    Werken in het spanningsveld van je organisatie

    Als privacy- of securityprofessional beweeg je continu tussen verschillende belangen in je organisatie. Aan de ene kant staan wetgeving, compliance en risicobeheersing. Aan de andere kant de dagelijkse praktijk van innovatie, snelheid en organisatiedoelen.

    Daarbij werk je samen met:

    • management en directie;
    • IT en securityteams;
    • project- en programmamanagers;
    • HR, marketing en operations;
    • compliance en juridische functies.

     

    In je organisatie leidt dat vaak tot een herkenbaar spanningsveld:

    • innovatie vs. regelgeving;
    • snelheid vs. zorgvuldigheid;
    • gebruiksgemak vs. beveiliging;
    • organisatiedoelen vs. grondrechten.

    Juist in dat spanningsveld bepaalt jouw manier van communiceren of je advies ook echt wordt opgevolgd.

     

    Schakelen tussen rollen in je organisatie

    Om impact te maken, schakel je continu tussen verschillende communicatiestijlen. Niet omdat het moet, maar omdat de situatie in je organisatie daarom vraagt.

    Coachend: bewustwording vergroten

    Bij nieuwe initiatieven, zoals de implementatie van een applicatie, is privacy of security vaak nog geen vanzelfsprekend onderdeel.

    Een coachende aanpak helpt om bewustwording te vergroten:

    • Wat is het doel van deze verwerking of toepassing?
    • Is het gebruik van persoonsgegevens noodzakelijk?
    • Zijn er minder risicovolle alternatieven?
    • Hoe borgen we transparantie en beveiliging?

    Door vragen te stellen, help je collega’s in je organisatie om zelf betere keuzes te maken.

     

    Adviserend en normstellend: duidelijkheid geven

    Wanneer de druk oploopt in je organisatie, ontstaat de neiging om regels te versoepelen. Bijvoorbeeld door toegangsrechten te verruimen of controles over te slaan.

    Dan is het juist belangrijk om duidelijker te zijn:

    • Welke risico’s nemen we hier?
    • Zijn deze risico’s acceptabel?
    • Hoe voorkomen we misbruik of datalekken?
    • Wie is verantwoordelijk?

    Je geeft richting en begrenst waar nodig, zonder de samenwerking onder druk te zetten.

     

    Directief: regie bij incidenten

    Bij datalekken of security-incidenten verandert de dynamiek direct. De druk neemt toe en er is behoefte aan snelheid en duidelijkheid.

    In zo’n situatie pak je in je organisatie de regie door snel de feiten te verzamelen en te structureren, de meldplicht en impact te beoordelen en scherp in te schatten welke risico’s betrokkenen lopen. Tegelijk zorg je voor heldere en zorgvuldige communicatie. Dat vraagt om een directieve stijl, waarin je juist het verschil maakt door rust en overzicht te brengen.

     

    Invloed zonder formeel mandaat in je organisatie

    Jouw impact in je organisatie hangt niet af van formele macht, maar van je vermogen om te beïnvloeden. Je moet dan helder en consistent communiceren, sterke en begrijpelijke argumenten gebruiken en goed aanvoelen hoe de verhoudingen binnen je organisatie liggen. Tegelijk ga je professioneel om met weerstand, zonder je boodschap te verliezen.

    Ook als je advies niet direct wordt opgevolgd, blijf je van waarde. Je zorgt ervoor dat keuzes bewust worden gemaakt, goed worden onderbouwd en zorgvuldig worden vastgelegd. Dat vormt de kern van volwassen privacy- en security governance in je organisatie.

     

    Van kennis naar gedrag in je organisatie

    In veel organisaties is kennis over privacy en security aanwezig, maar die vertaalt zich nog onvoldoende naar gedrag.

    Bewustwording is daarin erg belangrijk. Medewerkers moeten risico’s herkennen en weten wat er van hen wordt verwacht in hun dagelijkse werk.

    De E-learning Security, AI en Privacy awareness van AVG-trainingen brengt alle belangrijke thema’s samen in één programma. Privacy, informatiebeveiliging en AI komen geïntegreerd aan bod. Daarmee bouw je structureel aan bewust gedrag in je organisatie. Zo compleet vind je het zelden.

     

    Situationeel communiceren als kerncompetentie

    Situationeel communiceren is een kernvaardigheid voor professionals die impact willen maken in hun organisatie. Het stelt je in staat om effectief te schakelen tussen verschillende situaties, beter om te gaan met weerstand en actief draagvlak te creëren. Daardoor zorg je ervoor dat je advies niet alleen wordt gehoord, maar ook daadwerkelijk landt.

    Wie deze vaardigheid beheerst, vergroot direct zijn of haar invloed in de organisatie.

     

    Opleiding Situationeel Communiceren voor privacy & security professionals

    Wil jij je impact in je organisatie vergroten? Dan is het ontwikkelen van je communicatieve vaardigheden erg belangrijk.

    De opleiding Situationeel Communiceren voor privacy & security professionals van AVG-trainingen is speciaal ontwikkeld voor professionals die zonder hiërarchisch mandaat toch verschil willen maken.

    Je leert onder andere:

    • gedragsstijlen herkennen en hierop inspelen;
    • bewust kiezen voor de juiste communicatiestrategie;
    • lastige gesprekken effectief voeren;
    • omgaan met weerstand en druk;
    • steviger en overtuigender communiceren.

    Door te werken met praktijkcases uit organisaties wordt de opleiding direct toepasbaar in je dagelijkse werk.

  • Is een verwerkingsregister verplicht voor een kleine zorgpraktijk?

    Is een verwerkingsregister verplicht voor een kleine zorgpraktijk?

    In de zorg worden dagelijks persoonsgegevens verwerkt. Denk aan patiëntgegevens, medische dossiers en administratieve gegevens. Veel zorgaanbieders vragen zich daarom af of een verwerkingsregister verplicht is, vooral wanneer de organisatie klein is. In de praktijk blijkt dat vrijwel iedere zorgpraktijk een verwerkingsregister moet bijhouden.

    Deze blog legt uit wanneer een verwerkingsregister verplicht is, wat erin moet staan en waarom de rol van een Privacy Officer daarbij zo belangrijk is.

     

    Gezondheidsgegevens vragen om extra bescherming

    Gezondheidsgegevens behoren volgens de Algemene verordening gegevensbescherming (AVG) tot de bijzondere categorieën van persoonsgegevens. Dat betekent dat deze gegevens extra bescherming verdienen. Zorgverleners verwerken deze gegevens bovendien structureel, bijvoorbeeld bij het bijhouden van patiëntendossiers of bij declaraties richting zorgverzekeraars.

    Omdat deze gegevens zo gevoelig zijn, stelt de AVG strengere eisen aan organisaties die ermee werken. Eén van die eisen is dat organisaties inzicht moeten hebben in hun gegevensverwerkingen. Het verwerkingsregister speelt daarbij een centrale rol.

     

    Ook kleine zorgpraktijken moeten meestal een verwerkingsregister hebben

    Soms wordt gedacht dat een verwerkingsregister alleen verplicht is voor grote organisaties met meer dan 250 medewerkers. Dat klopt niet helemaal. Ook kleinere organisaties moeten een register bijhouden wanneer zij persoonsgegevens verwerken die niet incidenteel zijn, wanneer de verwerking risico’s kan opleveren voor betrokkenen of wanneer bijzondere persoonsgegevens worden verwerkt.

    Voor zorgpraktijken zijn deze situaties vrijwel altijd van toepassing. Patiëntgegevens worden dagelijks verwerkt en medische gegevens vallen onder de bijzondere categorieën van persoonsgegevens. Daardoor geldt in de praktijk dat ook kleine zorgaanbieders vrijwel altijd een verwerkingsregister moeten opstellen en onderhouden.

     

    Wat staat er in een verwerkingsregister?

    Een verwerkingsregister geeft inzicht in welke persoonsgegevens een organisatie verwerkt en waarom. Het beschrijft bijvoorbeeld welke gegevens van patiënten of medewerkers worden vastgelegd, met welk doel dat gebeurt en hoe lang deze gegevens worden bewaard.

    Daarnaast wordt vastgelegd met welke partijen gegevens worden gedeeld, zoals ICT-leveranciers, laboratoria of zorgverzekeraars. Ook moet duidelijk zijn welke beveiligingsmaatregelen zijn genomen om persoonsgegevens te beschermen.

    Het verwerkingsregister helpt organisaties om overzicht te houden over hun gegevensstromen. Daarmee vormt het een belangrijk onderdeel van de verantwoordingsplicht uit de AVG. Organisaties moeten immers kunnen aantonen dat zij zorgvuldig omgaan met persoonsgegevens.

     

    Het verwerkingsregister als basis voor het privacybeleid

    Een goed verwerkingsregister is meer dan een administratieve verplichting. Het helpt organisaties om inzicht te krijgen in hun processen en risico’s. Pas wanneer duidelijk is welke gegevens worden verwerkt en waar deze zich bevinden, kan worden bepaald welke beveiligingsmaatregelen nodig zijn.

    Het register speelt ook een rol bij het toepassen van belangrijke privacyprincipes zoals privacy by design en privacy by default. Privacy by design betekent dat privacy al wordt meegenomen bij het ontwerpen van systemen en processen. Privacy by default houdt in dat standaard alleen de persoonsgegevens worden verwerkt die echt noodzakelijk zijn.

    Door deze principes toe te passen wordt privacy structureel onderdeel van de organisatie.

     

    De belangrijke rol van de Privacy Officer

    Het opstellen en onderhouden van een verwerkingsregister vraagt om overzicht en kennis van privacywetgeving. Binnen veel organisaties speelt de Privacy Officer hierbij een belangrijke rol. Deze professional helpt om alle gegevensverwerkingen in kaart te brengen en zorgt ervoor dat het register actueel blijft.

    Daarnaast adviseert de Privacy Officer over risico’s, bewaartermijnen en passende beveiligingsmaatregelen. Ook kan deze rol helpen bij het beoordelen van nieuwe projecten of systemen waarin persoonsgegevens worden verwerkt. Zo wordt voorkomen dat privacy pas achteraf wordt meegenomen.

    Een goed onderhouden verwerkingsregister is dus vaak het resultaat van structureel privacybeheer binnen de organisatie.

     

    Goede kennis is erg belangrijk voor Privacy Officers

    De rol van Privacy Officer vraagt om actuele kennis van privacywetgeving en praktijkervaring met gegevensbescherming. Zonder voldoende kennis wordt het lastig om complexe gegevensverwerkingen goed te beoordelen of organisaties adequaat te adviseren.

    Daarom is een goede opleiding belangrijk. De Opleiding Privacy Officer van AVG-trainingen biedt professionals de kennis en praktische vaardigheden die nodig zijn om deze rol effectief uit te voeren. Daarbij wordt onder andere aandacht besteed aan het opstellen van een verwerkingsregister, privacyrisico’s, governance en de toepassing van de AVG in organisaties.

    Met de juiste kennis kan een Privacy Officer organisaties helpen om privacy structureel te organiseren en risico’s te beperken.

  • Bescherm je organisatie tegen ransomware met deze security-checklist

    Bescherm je organisatie tegen ransomware met deze security-checklist

    Ransomware is één van de grootste digitale dreigingen voor organisaties. Waar cyberaanvallen vroeger vooral grote bedrijven troffen, zijn tegenwoordig ook kleine organisaties, zorgpraktijken en mkb-bedrijven regelmatig het doelwit. Cybercriminelen zoeken namelijk vaak naar organisaties waar de digitale basisbeveiliging niet volledig op orde is.

    Een ransomware-aanval kan grote gevolgen hebben. Systemen kunnen worden geblokkeerd, belangrijke bestanden kunnen onbruikbaar worden en soms worden gegevens zelfs gestolen. Dit kan leiden tot operationele problemen en reputatieschade.

    Het goede nieuws is dat veel risico’s sterk verkleind kunnen worden door relatief eenvoudige maatregelen te nemen. Denk aan goede back-ups, sterke toegangsbeveiliging, veilige e-mailomgevingen en duidelijke procedures voor incidenten. Daarnaast speelt bewustwording van medewerkers een belangrijke rol. Veel cyberincidenten beginnen namelijk met een phishingmail of een onbedoelde menselijke fout.

    Om organisaties te helpen bij het verbeteren van hun digitale veiligheid is hieronder een overzichtelijke security-checklist opgenomen. Deze checklist helpt om snel te beoordelen of de belangrijkste maatregelen tegen ransomware en andere cyberdreigingen aanwezig zijn.

     

    Security-checklist: bescherming tegen ransomware
    Basisbeveiliging van systemen

    ☐ Besturingssystemen en software worden regelmatig geüpdatet.
    ☐ Automatische beveiligingsupdates zijn ingeschakeld.
    ☐ Antivirus- of endpointbeveiliging is geïnstalleerd.
    ☐ Firewalls zijn actief en correct geconfigureerd.
    ☐ Verouderde software en ongebruikte applicaties zijn verwijderd.

     

    Toegangsbeheer

    ☐ Sterke wachtwoorden zijn verplicht binnen de organisatie.
    ☐ Multi-factor authenticatie (MFA) wordt gebruikt voor belangrijke systemen.
    ☐ Medewerkers hebben alleen toegang tot gegevens die zij nodig hebben.
    ☐ Accounts van oud-medewerkers worden direct gedeactiveerd.
    ☐ Beheerdersrechten worden beperkt gebruikt.

     

    Back-ups

    ☐ Er worden regelmatig back-ups gemaakt van belangrijke gegevens.
    ☐ Back-ups worden automatisch uitgevoerd.
    ☐ Back-ups worden op een aparte of offline locatie opgeslagen.
    ☐ Back-ups worden regelmatig getest op herstelbaarheid.
    ☐ Back-ups zijn beschermd tegen ransomware.

     

    E-mail- en phishingbescherming

    ☐ Spam- en phishingfilters zijn actief.
    ☐ E-mailbijlagen en links worden automatisch gecontroleerd.
    ☐ Medewerkers weten hoe phishingmails te herkennen.
    ☐ Verdachte e-mails kunnen eenvoudig gemeld worden.

     

    Netwerkbeveiliging

    ☐ Het netwerk is logisch gescheiden (bijvoorbeeld gastnetwerk en intern netwerk).
    ☐ Remote toegang is beveiligd met MFA.
    ☐ Alleen bekende apparaten kunnen verbinding maken.
    ☐ Netwerkactiviteiten worden gemonitord.

     

    Incidentrespons

    ☐ Er is een incidentresponsplan voor cyberincidenten.
    ☐ Rollen en verantwoordelijkheden bij een incident zijn vastgelegd.
    ☐ Contactgegevens van IT-specialisten en externe partijen zijn beschikbaar.
    ☐ Procedures voor het melden van datalekken zijn bekend.

     

    Privacy en gegevensbescherming

    ☐ Persoonsgegevens worden alleen verwerkt wanneer dat noodzakelijk is.
    ☐ Gevoelige gegevens zijn versleuteld opgeslagen.
    ☐ Er is een actueel verwerkingsregister.
    ☐ Privacy- en securitybeleid is vastgelegd.

     

    Awareness van medewerkers

    ☐ Medewerkers en leidinggevenden krijgen regelmatig security awareness training.
    ☐ Er is aandacht voor phishing, ransomware en social engineering.
    ☐ Medewerkers leren zorgvuldig omgaan met persoonsgegevens.
    ☐ Ook AI-gebruik en AI-risico’s worden behandeld.

     

    Bewustwording speelt een belangrijke rol bij digitale veiligheid. Veel cyberincidenten ontstaan doordat medewerkers onbewust op een phishinglink klikken of gevoelige informatie delen. Een structureel awarenessprogramma kan dit risico aanzienlijk verkleinen.

    Een complete e-learning over security, AI en privacy awareness helpt organisaties om medewerkers bewust te maken van digitale risico’s. Wanneer deze onderwerpen in één training samenkomen, ontstaat een breder begrip van digitale veiligheid binnen de organisatie. Hierdoor leren medewerkers niet alleen cyberdreigingen herkennen, maar ook verantwoord omgaan met persoonsgegevens en nieuwe technologie zoals AI.

  • Privacyrechten van patiënten: wat mag wel en niet bij medische dossiers?

    Privacyrechten van patiënten: wat mag wel en niet bij medische dossiers?

    Gezondheidsgegevens behoren volgens de Algemene verordening gegevensbescherming (AVG) tot de bijzondere categorieën van persoonsgegevens en verdienen daarom extra bescherming. In de zorg worden deze gegevens vastgelegd in medische dossiers, waarin bijvoorbeeld diagnoses, behandelplannen, medicatiegegevens en onderzoeksresultaten zijn opgenomen. Zorgprofessionals gebruiken deze informatie om goede zorg te kunnen verlenen. Tegelijkertijd is het belangrijk dat zorgvuldig met deze gevoelige gegevens wordt omgegaan en dat patiënten weten welke privacyrechten zij hebben.

    De bescherming van medische gegevens is geregeld in verschillende wetten. De belangrijkste zijn de Algemene verordening gegevensbescherming (AVG) en de Wet op de geneeskundige behandelovereenkomst (WGBO). Deze regels geven patiënten duidelijke rechten over hun eigen dossier en verplichten zorgaanbieders om zorgvuldig met deze informatie om te gaan.

    In de praktijk blijkt echter dat veel patiënten niet precies weten welke rechten zij hebben. Tegelijkertijd vraagt het correct toepassen van deze rechten veel kennis van zorgprofessionals en organisaties. Goede privacybescherming in de zorg begint daarom met kennis, bewustwording en duidelijke procedures.

     

    Recht op inzage in het medisch dossier

    Iedere patiënt heeft het recht om zijn of haar medisch dossier in te zien. Dat betekent dat toegang mogelijk is tot de informatie die een zorgverlener heeft vastgelegd over de gezondheid en behandeling.

    Persoonlijke werkaantekeningen van een zorgverlener vallen hier niet onder. Dat zijn notities die uitsluitend bedoeld zijn voor intern gebruik en niet onderdeel zijn van het formele dossier.

    Daarnaast bestaat het recht om te weten wie het dossier heeft geraadpleegd. Veel zorginstellingen registreren dit via logging. Daarmee kan worden nagegaan welke zorgprofessional wanneer toegang heeft gehad tot het dossier.

    Dit recht is belangrijk voor transparantie. Patiënten kunnen zo controleren of hun gegevens alleen worden gebruikt door professionals die daadwerkelijk betrokken zijn bij hun behandeling.

     

    Elektronische inzage en digitale kopieën

    De digitalisering van de zorg maakt het steeds eenvoudiger om medische gegevens online in te zien. Patiënten hebben recht op elektronische inzage en een elektronisch afschrift van hun dossier.

    Dit geldt ook voor gegevens die via elektronische uitwisselingssystemen worden gedeeld tussen zorgaanbieders, bijvoorbeeld tussen een huisarts, ziekenhuis of specialist.

    Veel zorginstellingen bieden hiervoor patiëntportalen aan. Via deze portalen kan informatie worden bekeken, gedownload of gedeeld met andere zorgverleners.

     

    Inzage is in principe kosteloos

    Wanneer een patiënt gebruikmaakt van het recht op inzage, mogen zorgaanbieders daarvoor geen kosten rekenen. Het recht op toegang tot eigen persoonsgegevens moet namelijk laagdrempelig zijn.

    Alleen in uitzonderlijke situaties kan een vergoeding worden gevraagd. Bijvoorbeeld wanneer meerdere schriftelijke kopieën worden opgevraagd of wanneer er sprake is van herhaaldelijke of buitensporige verzoeken.

    In zulke gevallen mag een zorgaanbieder een redelijke vergoeding vragen of een verzoek weigeren, mits dit goed kan worden gemotiveerd.

     

    Wanneer kan een inzage geweigerd worden?

    Het recht op inzage is sterk, maar niet absoluut. Soms kan toegang tot een deel van het dossier worden geweigerd.

    Dat kan bijvoorbeeld wanneer inzage de privacy van een andere persoon zou schaden. Denk aan situaties waarin een familielid vertrouwelijke informatie heeft verstrekt die in het dossier is opgenomen.

    In zulke gevallen moet de zorgaanbieder aantonen dat het belang van de privacy van de ander zwaarder weegt dan het belang van de patiënt om het dossier volledig in te zien.

     

    Recht op correctie van gegevens

    Patiënten hebben ook het recht om persoonsgegevens in hun dossier te laten rectificeren. Dat betekent dat fouten kunnen worden aangepast of dat informatie kan worden aangevuld.

    Dit recht volgt uit de AVG en wordt daarnaast ondersteund door de WGBO.

    Voorbeelden van correcties zijn:

    • een verkeerde geboortedatum;
    • een fout in naam of adres;
    • onjuiste administratieve gegevens.

    Medische oordelen van een zorgverlener, zoals diagnoses of conclusies, kunnen meestal niet worden gewijzigd. Wel kan een patiënt vragen om een eigen verklaring aan het dossier toe te voegen wanneer er een andere visie bestaat op bepaalde informatie.

     

    Recht op verwijdering van gegevens

    Na afloop van een behandeling kan een patiënt verzoeken om medische gegevens uit het dossier te laten verwijderen.

    Een zorgaanbieder moet zo’n verzoek in principe honoreren, tenzij er zwaarwegende redenen zijn om de gegevens te bewaren. Bijvoorbeeld wanneer:

    • de gegevens noodzakelijk zijn voor goede zorgverlening;
    • andere wettelijke verplichtingen gelden;
    • belangen van derden in het geding zijn.

    Ook hier moet een zorgorganisatie zorgvuldig afwegen welke belangen zwaarder wegen.

     

    Recht op dataportabiliteit

    De AVG geeft patiënten daarnaast het recht op dataportabiliteit. Dat betekent dat persoonsgegevens kunnen worden meegenomen en overgedragen aan een andere organisatie.

    Dit geldt voor gegevens die de patiënt zelf actief heeft verstrekt of indirect heeft gegenereerd. Denk bijvoorbeeld aan:

    • gegevens uit medische apparaten;
    • informatie uit een pacemaker;
    • meetgegevens van een bloeddrukmeter.

    Gegevens die door zorgverleners zelf zijn afgeleid, zoals diagnoses of behandelplannen, vallen meestal niet onder dit recht.

     

    Het dossier van een minderjarig kind

    Voor minderjarige patiënten gelden speciale regels. De rechten van ouders hangen af van de leeftijd van het kind.

    Bij kinderen jonger dan twaalf jaar hebben ouders met gezag recht op inzage in het dossier. Tussen twaalf en vijftien jaar kunnen zowel het kind als de ouders inzage vragen. Vanaf zestien jaar ligt het recht volledig bij het kind zelf.

    In dat geval kunnen ouders alleen inzage krijgen wanneer het kind daarvoor toestemming geeft.

     

    Het dossier van een familielid

    Soms kan een patiënt niet zelf beslissingen nemen over het eigen dossier. In dat geval kan een wettelijk vertegenwoordiger optreden, zoals een mentor of curator die door de rechter is benoemd.

    Wanneer zo’n vertegenwoordiger ontbreekt, kan een familielid deze rol vervullen, bijvoorbeeld een partner, ouder, kind, broer of zus.

    De vertegenwoordiger kan dan rechten uitoefenen zoals inzage, correctie of verwijdering van gegevens. Daarbij geldt wel dat deze handelingen in het belang van de patiënt moeten zijn en passen bij goed vertegenwoordigerschap.

    Familieleden die geen wettelijke vertegenwoordiger zijn, hebben geen recht op inzage in het dossier.

    De rol van de Privacy Officer in zorgorganisaties

    Binnen zorgorganisaties speelt de Privacy Officer een belangrijke rol bij het waarborgen van een zorgvuldige omgang met medische gegevens. Deze functie richt zich niet alleen op het naleven van wet- en regelgeving, maar ook op het versterken van privacybewustzijn binnen de organisatie.

    De Privacy Officer ondersteunt bij vraagstukken rond inzageverzoeken, gegevensdeling en bewaartermijnen. Daarnaast helpt deze functionaris bij het inrichten van processen, het uitvoeren van risicoanalyses en het adviseren van bestuur en management.

    Een effectieve Privacy Officer beschikt niet alleen over juridische kennis, maar ook over organisatorisch inzicht en communicatieve vaardigheden. Goede opleiding en voortdurende bijscholing zijn daarom erg belangrijk. Privacywetgeving, digitale zorgsystemen en gegevensuitwisseling ontwikkelen zich voortdurend, waardoor actuele kennis noodzakelijk blijft.

     

    Privacybewustwording onder zorgmedewerkers

    Naast beleid en procedures is privacybewust gedrag van zorgmedewerkers erg belangrijk. Dagelijks werken duizenden professionals met patiëntinformatie. Kleine fouten, zoals het openen van een dossier zonder behandelrelatie of het delen van informatie via onbeveiligde kanalen, kunnen grote gevolgen hebben.

    Privacybewustwording helpt medewerkers om zorgvuldig om te gaan met medische gegevens. Het gaat daarbij niet alleen om kennis van regels, maar vooral om inzicht in risico’s en verantwoordelijkheden.

    Training en e-learning spelen hierin een belangrijke rol. Door medewerkers regelmatig te trainen ontstaat een cultuur waarin privacy vanzelfsprekend onderdeel wordt van professioneel handelen.

     

    AI-bewustzijn in de zorg

    De zorgsector maakt steeds vaker gebruik van kunstmatige intelligentie. AI kan bijvoorbeeld helpen bij diagnostiek, administratieve ondersteuning en het analyseren van medische gegevens.

    Deze ontwikkelingen bieden veel kansen, maar brengen ook nieuwe privacyvraagstukken met zich mee. Denk aan het gebruik van patiëntdata voor algoritmes, de transparantie van beslismodellen en de beveiliging van datasets.

    Daarom groeit het belang van AI awareness binnen zorgorganisaties. Zorgprofessionals moeten begrijpen hoe AI-toepassingen werken, welke gegevens worden gebruikt en welke privacyrisico’s daarbij kunnen ontstaan.

     

    E-learning als basis voor effectieve privacybewustwording

    Een structurele aanpak van privacybewustwording vraagt om een samenhangend opleidingsprogramma. De E-learning Security, AI en privacy awareness van AVG-trainingen biedt hiervoor een geïntegreerde oplossing.

    Deze e-learning combineert drie essentiële onderdelen:

    • privacybewust omgaan met persoonsgegevens;
    • digitale veiligheid en informatiebeveiliging;
    • bewustwording rond het gebruik van AI.

    Door deze thema’s samen te brengen, ontstaat een compleet beeld van de digitale risico’s waar organisaties mee te maken hebben. Zorgmedewerkers leren niet alleen wat de regels zijn, maar ook hoe zij die regels in de praktijk toepassen.

    De e-learning kan bovendien worden uitgebreid met aanvullende modules, zoals phishing-simulaties of verdiepende trainingen. Daarmee ontstaat een flexibel programma dat aansluit bij de praktijk van moderne zorgorganisaties.

    Juist deze combinatie van privacy, security en AI-bewustzijn maakt het programma bijzonder compleet. Voor effectieve privacybewustwording zijn al deze elementen nodig en in deze samenhang is dat aanbod zelden te vinden.

  • Situationeel Communiceren voor Privacy Officers

    Situationeel Communiceren voor Privacy Officers

    De Privacy Officer heeft binnen organisaties een bijzondere rol. Anders dan een lijnmanager stuurt hij of zij geen teams aan en neemt geen formele besluiten over beleid of uitvoering. Van de Privacy Officer wordt wel verwacht dat hij of zij invloed uitoefent op de manier waarop de organisatie met persoonsgegevens omgaat. Dat betekent meedenken bij nieuwe initiatieven, risico’s signaleren, managers adviseren en privacy structureel onder de aandacht brengen binnen de organisatie.

    Die invloed komt niet voort uit hiërarchie, maar uit professioneel communiceren. Communiceren gaat vaak situationeel: afgestemd op de organisatie, het vraagstuk en de gesprekspartner op dat moment.

     

    Wat is situationeel communiceren?

    Situationeel communiceren is een gespreksbenadering waarbij je je stijl aanpast aan de context. Het uitgangspunt is dat er geen universeel effectieve aanpak bestaat en wat werkt, hangt af van factoren zoals:

    • de complexiteit van het privacyvraagstuk;
    • het kennisniveau van de betrokken manager;
    • de mate van privacyvolwassenheid binnen het team;
    • de bestuurlijke gevoeligheid van het onderwerp;
    • de urgentie en het risicoprofiel.

    Voor de Privacy Officer betekent dit dat je voortdurend schakelt tussen verschillende rollen. Soms ben je coach, soms adviseur, soms kritische sparringpartner en soms degene die duidelijke grenzen stelt.

    De kernvraag is steeds wat deze situatie nodig heeft om privacy zorgvuldig te borgen.

     

    De Privacy Officer tussen beleid en praktijk

    In veel organisaties opereert de Privacy Officer in of nabij de tweede lijn, samen met juridische, compliance- of risicofuncties. Tegelijkertijd werkt hij of zij intensief samen met:

    • managers in de eerste lijn;
    • projectleiders van nieuwe initiatieven;
    • IT-afdelingen;
    • HR of marketing;
    • en de Functionaris gegevensbescherming.

    De Privacy Officer zit daarmee midden in het spanningsveld tussen ambitie en regelgeving. Tussen innovatie en zorgvuldigheid. Tussen snelheid en proportionaliteit.

    Juist in dat spanningsveld komt situationeel communiceren tot uiting.

     

    Voorbeeld 1: Een nieuwe digitale applicatie

    Een manager wil een nieuwe applicatie implementeren waarmee medewerkers prestaties kunnen vergelijken. Het systeem verwerkt persoonsgegevens en mogelijk ook gedragsdata.

    De manager ziet vooral efficiency en innovatie. Privacy wordt gezien als een ‘check achteraf’.

    In deze situatie kiest de Privacy Officer voor een coachende stijl. Vragen staan centraal:

    • Wat is precies het doel van deze verwerking?
    • Is het meten van individueel gedrag noodzakelijk?
    • Kunnen we werken met geaggregeerde gegevens?
    • Wat betekent dit voor transparantie richting medewerkers?

    Door niet direct te blokkeren, maar het gesprek te verdiepen, groeit het bewustzijn. De manager leert zelf de juiste vragen te stellen. Dat is situationeel communiceren.

     

    Voorbeeld 2: Werkdruk en versimpeling van procedures

    Een afdeling staat onder hoge druk. Er wordt voorgesteld om tijdelijk minder strikt om te gaan met toegangsrechten tot dossiers, omdat het anders te veel tijd kost.

    Hier verandert de toon. De Privacy Officer verschuift van coachend naar normstellend. Niet vanuit macht, maar vanuit duidelijke kaders:

    • Welke risico’s ontstaan er?
    • Zijn deze risico’s tijdelijk of structureel?
    • Hoe wordt misbruik voorkomen?
    • Hoe leggen we dit bestuurlijk vast?

    De Privacy Officer maakt helder waar de grens ligt. Niet door het besluit over te nemen, maar door inzichtelijk te maken wat de juridische en organisatorische consequenties zijn.

     

    Voorbeeld 3: Een datalek met bestuurlijke impact

    Bij een datalek waarbij gevoelige gegevens onbedoeld openbaar zijn geworden, is de dynamiek weer anders. Bestuurders willen snel handelen, reputatieschade beperken en duidelijkheid creëren.

    In zo’n situatie brengt de Privacy Officer rust en structuur:

    • Is er sprake van een meldplicht?
    • Wat weten we feitelijk?
    • Welke betrokkenen lopen risico?
    • Hoe communiceren we transparant en zorgvuldig?

    Hier past een meer directieve stijl. Snelheid, helderheid en regie zijn noodzakelijk. Situationeel communiceren betekent dan: stabiliteit bieden in een context waar druk en emotie hoog zijn.

     

    Invloed zonder formeel mandaat

    De kracht van de Privacy Officer zit niet in het afdwingen van besluiten, maar in het beïnvloeden van besluitvorming. Dat vraagt om:

    • consistente uitleg van privacyprincipes;
    • bestuurlijke sensitiviteit;
    • heldere argumentatie;
    • en het vermogen om weerstand professioneel te hanteren.

    Wanneer een manager afwijkt van advies, is het aan de Privacy Officer om te zorgen dat keuzes bewust, gemotiveerd en goed vastgelegd worden. Dat is geen machtsstrijd, maar professioneel privacy governance.

     

    Training: Situationeel Communiceren voor Privacy Professionals

    Omdat deze vaardigheid in de praktijk doorslaggevend is, biedt AVG-trainingen de training Situationeel Communiceren voor Privacy Professionals aan.

    Deze training richt zich specifiek op Privacy Officers, FG’s en andere privacyprofessionals die zonder hiërarchisch mandaat toch impact moeten maken. In de training wordt onder meer gewerkt aan:

    • het herkennen van verschillende gedragsstijlen bij managers;
    • het bewust inzetten van coachende, adviserende of confronterende interventies;
    • het voeren van lastige gesprekken in bestuurlijke context;
    • het bewaken van onafhankelijkheid zonder afstand te creëren;
    • het vergroten van persoonlijke stevigheid en overtuigingskracht.

    De aanpak is praktijkgericht. Deelnemers werken met casussen, oefenen gesprekken en reflecteren op hun eigen leiderschapsstijl. Daarmee wordt situationeel communiceren niet alleen een theoretisch concept, maar een direct toepasbare vaardigheid in de dagelijkse privacypraktijk.

     

  • Situationeel Communiceren voor Functionaris gegevensbescherming in het onderwijs

    Situationeel Communiceren voor Functionaris gegevensbescherming in het onderwijs

    Als Functionaris Gegevensbescherming in het onderwijs heb je meer nodig dan alleen kennis van de AVG. In deze rol speelt situationeel communiceren voor de Functionaris gegevensbescherming in het onderwijs ook een belangrijke rol. Je moet ook kunnen schakelen tussen bestuur, docenten, IT-afdelingen en ondersteunende diensten. De onderwijssector is complex en maatschappelijk zichtbaar, met een sterke focus op goed onderwijs. Privacy krijgt aandacht, maar staat zelden bovenaan de agenda.

    Echter verwerken scholen dagelijks grote hoeveelheden (bijzondere) persoonsgegevens, zoals leerling- en studentdossiers, ondersteuningsplannen, toetsresultaten, verzuimregistraties, digitale leeromgevingen en steeds vaker ook AI-systemen.

    In die context moet de Functionaris gegevensbescherming (FG) onafhankelijk toezicht houden, adviseren en waar nodig kritisch zijn. Dat vraagt om situationeel communiceren.

     

    Het Normenkader IBP

    Binnen het onderwijs speelt het Normenkader Informatiebeveiliging en Privacy (IBP) een belangrijke rol bij het organiseren van privacy en informatiebeveiliging. Het normenkader helpt onderwijsinstellingen om structureel te werken aan beleid, maatregelen en verantwoordelijkheden rondom de bescherming van persoonsgegevens. Denk aan onderwerpen zoals toegangsbeheer, datalekken, leveranciersmanagement, risicobeoordelingen en privacybewustwording binnen de organisatie. Voor de Functionaris gegevensbescherming vormt het normenkader een belangrijk referentiepunt bij het toezicht op de naleving van de AVG. Het biedt houvast bij het beoordelen van processen, het signaleren van risico’s en het adviseren van bestuurders over verbeteringen in de organisatie.

    Toezicht op de implementatie van maatregelen, het creëren van bewustwording en het bespreekbaar maken van risico’s vraagt om samenwerking met verschillende stakeholders binnen de organisatie. Docenten, ICT-specialisten, bestuurders en zorgprofessionals kijken ieder vanuit hun eigen verantwoordelijkheid naar privacy en informatiebeveiliging. Juist daarom is situationeel communiceren voor een Functionaris gegevensbescherming belangrijk. Door je aanpak af te stemmen op de situatie en de gesprekspartner, kun je effectiever adviseren, draagvlak creëren en bijdragen aan een organisatie waarin informatiebeveiliging en privacy daadwerkelijk onderdeel wordt van de dagelijkse praktijk.

     

    Wat is situationeel communiceren?

    Situationeel communiceren betekent dat je je stijl afstemt op de situatie én op de gesprekspartner. Er is geen standaardaanpak die altijd werkt.

    Binnen één onderwijsorganisatie kan de FG te maken krijgen met:

    • een teamleider die privacy als administratieve last ervaart;
    • een ICT-manager die risico’s technisch minimaliseert;
    • een zorgteam dat snel informatie wil delen;
    • een bestuurder die vooral bestuurlijke risico’s wil beheersen.

    Effectief toezicht vraagt dan om schakelen. Soms coachend, soms adviserend, soms confronterend.

     

    Voorbeeld 1: Een nieuwe onderwijsapp

    Een docententeam wil starten met een gratis app waarmee leerlingen hun huiswerk kunnen uploaden en feedback kunnen krijgen. De leverancier is buiten de EU gevestigd en gebruikt vermoedelijk data ook voor eigen analyse.

    Een belerende benadering van de FG zou weerstand oproepen. De FG kiest voor een coachende aanpak:

    • Welke gegevens worden verwerkt?
    • Is deze app noodzakelijk voor het onderwijsdoel?
    • Wat zegt het privacybeleid van de leverancier?
    • Welke alternatieven zijn er binnen de bestaande infrastructuur?

    Door het gesprek te voeren vanuit gezamenlijke verantwoordelijkheid voor leerlingen en ouders, ontstaat bewustwording. De FG faciliteert, zonder over te nemen.

     

    Voorbeeld 2: Delen van gevoelige leerlinginformatie

    In het kader van begeleiding worden gevoelige gegevens gedeeld met externe partners. De intentie is goed, maar de grondslag en proportionaliteit zijn onvoldoende doordacht.

    Hier is een andere stijl nodig. Situationeel communiceren betekent:

    • helder uitleggen wat bijzondere persoonsgegevens zijn;
    • concreet maken welke risico’s er zijn voor leerlingen;
    • uitleggen welke voorwaarden gelden voor gegevensdeling;
    • duidelijk maken waar de grens ligt.

    De toon is professioneel en respectvol, maar normstellend.

     

    De kwetsbare positie van de FG in het onderwijs

    Veel FG’s in het onderwijs werken parttime of combineren hun rol met andere taken. Soms ontbreekt een volwassen privacyorganisatie. Budgetten zijn beperkt. De organisatie is sterk op inhoud gericht.

    Dat maakt de positie van de FG kwetsbaar. Juist daarom is persoonlijk leiderschap doorslaggevend. Niet door harder te praten, maar door strategisch te opereren.

    Situationeel communiceren helpt de FG om:

    • aansluiting te vinden bij de cultuur van de instelling;
    • vertrouwen op te bouwen bij bestuur en management;
    • onafhankelijk te blijven zonder afstand te creëren;
    • en tijdig te escaleren wanneer dat nodig is.

     

    Training: Situationeel Communiceren voor Privacy Professionals

    Om FG’s in deze complexe praktijk te ondersteunen, biedt AVG-trainingen de training Situationeel Communiceren voor Privacy Professionals aan.

    Voor FG’s in het onderwijs is deze training bijzonder waardevol. Er wordt gewerkt aan:

    • effectieve communicatie met bestuurders en schoolleiders;
    • het omgaan met weerstand in onderwijsorganisaties;
    • het versterken van bestuurlijke sensitiviteit;
    • het bewust inzetten van verschillende gespreksstijlen;
    • het behouden van onafhankelijkheid in een collegiale cultuur.

    De training is praktijkgericht en sluit aan bij de dagelijkse realiteit van FG’s die opereren in een sector waar privacy nog volop in ontwikkeling is.

    Meer informatie over de training vind je hier.

  • AI in je organisatie? Dit moet de Privacy Officer regelen

    AI in je organisatie? Dit moet de Privacy Officer regelen

    AI is inmiddels verweven met tal van processen binnen organisaties. Het wordt toegepast in recruitmenttools, kredietbeoordelingen, chatbots, spamfilters en zelfs medische analyses. Organisaties zetten AI in om sneller beslissingen te nemen, efficiënter te werken en beter te kunnen voorspellen. Het gebruik van AI vraagt daarbij om aandacht voor risico’s zoals discriminatie door bias in datasets, beperkte transparantie in besluitvorming, fouten met grote impact en systemen die moeilijk te controleren of uit te leggen zijn. In deze context vervult de Privacy Officer een belangrijke rol. De Privacy Officer draagt eraan bij dat technologische vernieuwing zorgvuldig, controleerbaar en verantwoord wordt ingericht en toegepast binnen de organisatie.

     

    Wat is eigenlijk een AI-systeem?

    De term AI-systeem wordt vaak breed gebruikt. De AI-Act geeft er een juridische definitie aan. Volgens de AI Act is een AI-systeem:

    ‘Een op een machine gebaseerd systeem dat met verschillende niveaus van autonomie werkt, zich na inzet kan aanpassen en op basis van input output genereert, zoals voorspellingen, aanbevelingen of beslissingen, die invloed hebben op fysieke of virtuele omgevingen.

    In gewone taal:

    Een AI-systeem is een computersysteem dat data analyseert, patronen herkent en op basis daarvan voorspellingen of beslissingen doet. Soms kan het systeem leren van nieuwe data en zich aanpassen, waardoor het steeds nauwkeuriger wordt.

    Een herkenbaar voorbeeld: spamfilters

    Een spamfilter in je e-mail is een herkenbaar voorbeeld van AI.

    • Het is een machinegebaseerd systeem (software).
    • Het analyseert data (de inhoud van e-mails).
    • Het herkent patronen (woorden, afzenders, structuren).
    • Het genereert output (spam of geen spam).
    • Het leert van gebruikersfeedback (markeren als spam).

    Op het eerste gezicht lijkt dit misschien onschuldig. Hetzelfde mechanisme wordt echter ook toegepast bij kredietbeoordelingen, sollicitatieselectie en fraudedetectie, waar de gevolgen aanzienlijk groter zijn. In zulke toepassingen kan een geautomatiseerde beslissing directe invloed hebben op iemands baan, financiële positie of reputatie. AI draait daarom niet uitsluitend om technologie of efficiëntie. Het gaat om besluitvorming die mensen direct raakt en die we daarom zorgvuldig, transparant en verantwoord moeten inzetten.

     

    Waarom is AI anders dan ‘gewone’ gegevensverwerking?

    Bij traditionele verwerking stel je vragen als:

    • Hebben we een rechtsgrond?
    • Verwerken we niet te veel data?
    • Is alles goed beveiligd?

    Bij AI komen daar extra vragen bij:

    • Is het systeem eerlijk?
    • Zit er bias in de trainingsdata?
    • Kunnen we uitleggen hoe een beslissing tot stand komt?
    • Wat als het systeem zich na verloop van tijd anders gaat gedragen?

    AI voegt een nieuwe dimensie toe aan gegevensverwerking: systemen kunnen zelfstandig patronen herkennen, conclusies trekken en zich aanpassen op basis van nieuwe data. Daarmee ontstaat meer autonomie en leervermogen dan bij traditionele software.

    Juist die zelflerende en deels autonome werking vraagt om extra governance. Duidelijke kaders, toezicht, documentatie en periodieke controle zijn nodig om grip te houden op de werking, de uitkomsten en de risico’s van AI-systemen.

     

    AVG en AI Act: hoe werken ze samen?

    De AVG beschermt persoonsgegevens en geeft mensen rechten, zoals:

    • op inzage van je persoonsgegevens;
    • je persoonsgegevens aan te passen (rectificatie);
    • je persoonsgegevens te wissen (vergetelheid);
    • de verwerking van je persoonsgegevens te beperken;
    • je persoonsgegevens over te hevelen (dataportabiliteit);
    • bezwaar te maken tegen het gebruik van je persoonsgegevens;
    • menselijke tussenkomst bij besluitvorming en profilering.

    Artikel 22 AVG beschermt mensen tegen uitsluitend geautomatiseerde besluitvorming met rechtsgevolgen.

    De AI-Act hanteert een bredere benadering en werkt met een risicogebaseerd systeem, waarbij de verplichtingen toenemen naarmate de impact van een AI-toepassing groter is. Denk daarbij aan:

    • Minimale risico’s → lichte verplichtingen
    • Beperkte risico’s → transparantie-eisen
    • Hoog-risico AI → zware compliance-eisen

     

    Bij hoog-risico AI moet je denken aan:

    • Verplichte risicobeoordelingen;
    • Mogelijk een FRIA (Fundamental Rights Impact Assessment);
    • Menselijk toezicht;
    • Strenge documentatie;
    • Incidentmeldingsprocedures.

     

    Waar de AVG primair het individu beschermt tegen onrechtmatige of volledig geautomatiseerde besluitvorming, legt de AI-Act de verantwoordelijkheid nadrukkelijk bij de organisaties zelf. De AI-Act verplicht organisaties om al vóór ingebruikname van een AI-systeem controlemechanismen, risicobeoordelingen en waarborgen in te bouwen. Het accent verschuift daarmee van reageren op individuele klachten naar het vooraf structureel organiseren van toezicht, documentatie en risicobeheersing.

     

    Wat moet een Privacy Officer concreet regelen?
    1. Risico’s vóór het gebruik van AI in kaart brengen

    AI mag niet ‘even getest’ worden zonder kader.

    De Privacy Officer moet toetsen:

    • Is dit een AI-systeem volgens de AI Act?
    • In welke risicocategorie valt het?
    • Is een DPIA verplicht?
    • Is een FRIA nodig?
    • Welke fundamentele rechten kunnen worden geraakt?

    Zonder inzicht is effectieve controle simpelweg niet mogelijk.

     

    1. Doel en rechtsgrond scherp krijgen

    In de praktijk starten AI-projecten vaak vanuit de vraag wat er mogelijk is met de beschikbare data. Juridisch gezien moet het vertrekpunt echter liggen bij het doel van de verwerking. Eerst moet duidelijk zijn welk concreet en expliciet doel wordt nagestreefd. Daarna volgt de vraag welke gegevens zijn daarvoor daadwerkelijk noodzakelijk of is er een geldige rechtsgrond aanwezig en of wordt de data niet voor andere doeleinden wordt hergebruikt. Ook bij de inzet van AI blijven doelbinding en dataminimalisatie fundamentele uitgangspunten.

     

    1. Transparantie organiseren

    Mensen moeten weten wanneer zij met AI te maken hebben, welke gegevens daarbij worden gebruikt en op hoofdlijnen hoe besluiten tot stand komen. Alleen met duidelijke en begrijpelijke uitleg kunnen zij hun rechten daadwerkelijk uitoefenen. Zonder transparantie blijven die rechten in de praktijk vaak theoretisch.

     

    1. Rechten van betrokkenen mogelijk maken

    Wanneer iemand door een AI-systeem wordt afgewezen, moet het mogelijk zijn om inzicht te krijgen in de gebruikte persoonsgegevens, onjuiste gegevens te laten corrigeren en waar passend of mogelijk gegevens te laten verwijderen. Daarnaast moet er ruimte zijn voor een menselijke heroverweging van het besluit. Juist in dit soort situaties is artikel 22 van de AVG van groot belang.

     

    1. Bias en datakwaliteit serieus nemen

    AI-systemen leren op basis van historische data, en die data kan bestaande vooroordelen of ongelijkheden bevatten. Dat vergroot het risico op discriminatie of ongewenste uitkomsten. De Privacy Officer moet daarom stimuleren dat trainingsdata zorgvuldig wordt gecontroleerd, dat systemen worden getest op mogelijke discriminatie en dat uitkomsten periodiek worden gemonitord. Daarnaast moet het mogelijk zijn om tijdig in te grijpen wanneer ongewenste effecten optreden. Privacy raakt hier direct aan de bescherming van fundamentele rechten.

     

    1. Beveiliging opschalen

    AI-systemen kennen specifieke beveiligingsrisico’s, zoals manipulatie van trainingsdata, onbevoegde toegang tot modellen en onbedoeld gedrag van zelflerende systemen. Dat vraagt om meer dan alleen de gebruikelijke technische en organisatorische maatregelen. Structurele logging en monitoring, strikte toegangscontrole en duidelijke incidentprocedures zijn belangrijk om grip te houden op de werking van het systeem. Beveiliging bij AI is daarmee geen eenmalige inrichting, maar een doorlopend proces van toezicht en bijsturing.

     

    1. Alles kunnen uitleggen en aantonen

    De belangrijkste vraag is uiteindelijk of we kunnen aantonen dat het AI-systeem verantwoord is ingericht. Dat vraagt om goede documentatie, vastgelegde risicobeoordelingen, duidelijke governance en periodieke evaluatie. Compliance betekent niet alleen dat je grip hebt op het systeem, maar ook dat je kunt bewijzen dat je die grip daadwerkelijk hebt.

     

    De nieuwe rol van de Privacy Officer

    Bij AI is de Privacy Officer geen controleur die alleen achteraf toetst of regels worden nageleefd. Het is ook geen rem op innovatie. Integendeel: een goede Privacy Officer denkt vanaf het begin mee, zodat technologische vernieuwing verantwoord en toekomstbestendig kan worden ingezet. De Privacy Officer opereert midden in het speelveld, in nauwe samenwerking met IT, data-specialisten, juristen en bestuur. Juist bij AI-toepassingen, waar technologie, ethiek en regelgeving samenkomen, is die verbindende en adviserende rol erg belangrijk.

    De rol is juist die van risico-analist en sparringpartner voor IT en bestuur. Iemand die fundamentele rechten bewaakt en de brug slaat tussen techniek en wetgeving.

     

    Het belang van AI-geletterdheid

    Organisaties zijn op grond van de AI Act verplicht om actief te zorgen voor voldoende AI-geletterdheid binnen hun organisatie, zodat medewerkers die met AI-systemen werken begrijpen wat deze systemen doen, welke risico’s eraan verbonden zijn en hoe zij daar verantwoord mee moeten omgaan. Medewerkers die met AI-systemen werken, moeten begrijpen wat AI is, welke risico’s daarbij horen en hoe ze deze systemen verantwoord inzetten. AI-governance werkt alleen als mensen weten wat ze doen. AVG-trainingen ondersteunt daarbij met een complete e-learningoplossing, met thema’s over onder andere:

    • AI-awareness
    • Security
    • Privacy
    • Phishing

    Zo wordt compliance niet alleen een papieren werkelijkheid, maar een onderdeel van de dagelijkse praktijk.

Menu