Auteur: Marco Boltjes

In een tijd waarin gegevensbescherming en transparantie belangrijk zijn, staat de rol van de Privacy Officer centraal binnen non-profitorganisaties en goede doelen. De praktijkopleiding Privacy Officer – Goede Doelen van AVG-trainingen is dé gespecialiseerde opleiding voor professionals in de non-profitsector die AVG-compliance naar een hoger niveau willen tillen.

 

Waarom een opleiding tot Privacy Officer voor Non-profits?

Organisaties in de non-profitsector verwerken vaak gevoelige persoonsgegevens, zoals donateursinformatie, vrijwilligersdata en gegevens van kwetsbare doelgroepen. Het correct omgaan met deze data is niet alleen een wettelijke verplichting onder de Algemene Verordening Gegevensbescherming (AVG), maar ook essentieel voor het vertrouwen van de achterban.

De praktijkgerichte opleiding Privacy Officer Non-profit van AVG-trainingen is hier perfect op afgestemd. De training richt zich specifiek op de uitdagingen waarmee goede doelen en maatschappelijke instellingen te maken hebben.

 

Wat maakt de opleiding van AVG-trainingen uniek?

AVG-trainingen is sinds 2018 een ervaren opleider op het gebied van privacy en compliance. De praktijkopleiding Privacy Officer – Goede Doelen onderscheidt zich door:

• Toegespitst op de non-profitsector: Concrete casussen uit de praktijk van goede doelen en stichtingen.
• Direct toepasbare kennis: Je leert beleid opstellen, datalekken beoordelen en privacyvragen vanuit de organisatie beantwoorden.
• Begeleiding door experts: Trainers met jarenlange ervaring als Privacy Officer, Functionaris gegevensbescherming, compliance officer, legal counsel en privacy adviseur.
• Persoonlijke begeleiding: Kleine groepen, veel ruimte voor interactie en feedback.

 

Voor wie is deze opleiding geschikt?

Deze privacytraining is ideaal voor:

• Medewerkers en functionarissen van goede doelen;
• Juridisch adviseurs en legal counsels in de non-profitsector;
• Startende of ervaren Privacy Officers binnen stichtingen en verenigingen;
• Professionals die verantwoordelijk zijn voor compliance of gegevensbescherming;

 

Of je nu al als Privacy Officer werkt of je wilt een overstap maken naar deze functie, deze opleiding geeft je een stevige juridische én praktische basis.

 

Waarom kies je voor AVG-trainingen?

Bij AVG-trainingen geloven we in maatwerk, kwaliteit en betrokkenheid. Onze opleidingen zijn meer dan theoretische modules, ze zijn toegesneden op de echte praktijk. We helpen jou en je organisatie niet alleen aan kennis, maar aan daadwerkelijke compliance.

 

Interesse?
Bezoek www.avgtrainingen.nl voor het volledige programma van de praktijkopleiding Privacy Officer – Goede Doelen, actuele startdata en inschrijfmogelijkheden.

 

Zoek je een betrouwbare en praktische AVG-training voor de non-profitsector? Kies dan voor de experts van AVG-trainingen.

Nu de nieuwe Cyberbeveiligingswet (NIS2-richtlijn) van kracht is, vragen steeds meer Privacy Officiers, CISO’s en IT-managers zich af hoe zij hun cyber awareness training moeten inrichten om te voldoen aan de eisen van artikel 20 en 21.

Deze checklist laat zien in hoeverre jouw organisatie al voldoet aan de NIS2-verplichtingen en hoe een gerichte cyber awareness training daaraan bijdraagt. Tijdige implementatie helpt boetes te voorkomen en verkleint de aansprakelijkheid van het management.

Cyber awareness training voor leidinggevenden en het IT-team

Bedrijven moeten op regelmatige cyber awareness training (Art.20(2) van NIS2) geven aan alle managers (C-level, bestuursleden, team leads, …) en het IT-team van het bedrijf.

• NIS2-richtlijn en trainingen: Wat vereist de wet?
  Praktische training over de wettelijke verplichtingen, meldplichten en verantwoordelijkheden onder de NIS2-richtlijn. Inclusief certificaat als bewijs van compliance.
• NIS2 Implementatie: Van verplichting naar uitvoering
  Richt je organisatie efficiënt in volgens de NIS2-eisen en zorg voor aantoonbare compliance.
• NIS2 compliance resources: Van praktijk naar aantoonbaar bewijs
  Den k hierbij aan technische of organisatorische maatregelen die kunnen bijdragen aan de digitale weerbaarheid van organisaties en aan de voorbereiding op de Cyberbeveiligingswet.

 

Cyber awareness training voor alle lagen van de organisatie

Onder de NIS2-richtlijn (Art. 21(2)(g)) zijn organisaties verplicht om regelmatig cyber awareness trainingen aan te bieden aan al hun medewerkers. Dit geldt niet alleen voor IT-teams, maar voor álle lagen van de organisatie, dus van bestuur en management tot operationele teams en ondersteunend personeel. Daarbij is het van belang dat de inhoud aansluit op de functie, het risico en de verantwoordelijkheden van de medewerker. Een Cyber awareness training moet dus afgestemd zijn op functie en verantwoordelijkheid

Onze trainingen zijn daarom doelgroepgericht opgezet:

• Bestuur en directie: focus op strategische risico’s, governance, aansprakelijkheid en besluitvorming.
• IT- en technische teams: verdieping in actuele dreigingen, kwetsbaarheden, responsprocedures en compliance.
• Operationeel personeel: herkenning van phishing, veilig gebruik van systemen en datalekpreventie.
• Ondersteunende functies (HR, administratie, facilitair): omgaan met vertrouwelijke informatie en interne communicatie.

 

 Elke groep krijgt training op maat, met herkenbare voorbeelden en direct toepasbare handvatten:

✔ Gericht op gedrag en bewustwording per rol
✔ Praktisch, actueel en begrijpelijk
✔ Inclusief certificaat per deelnemer – als bewijs van naleving NIS2

Doelgericht trainen betekent effectiever beschermen. Zo verhoog je niet alleen het bewustzijn, maar bouw je organisatiebreed aan een sterke beveiligingscultuur.

 

Onze cyber awareness trainingen zijn beschikbaar in twee vormen:

1. Jaarlijkse e-learning – Een volledige online training met duidelijke modules, praktijkvoorbeelden, een eindtoets en een certificaat van deelname. Ideaal als vaste jaarlijkse basis.
2. Microlearning (6x per jaar) – Korte, thematische leerblokken verspreid over het jaar. Elke module sluit af met een mini-toets en leidt tot een certificaat. Perfect voor continue bewustwording en actuele kennis.
3. Phishing-simulatie – Realistische, gesimuleerde phishingmails om het klikgedrag van medewerkers te testen en verbeteren. Inclusief rapportage en directe feedback per gebruiker.

 

Met deze combinatie van leerinterventies verhoog je niet alleen het bewustzijn, maar ook het weerbaar gedrag van medewerkers in de praktijk. En kies je de leerstijl die past bij jouw organisatie en borg je structureel de cyber awareness op alle niveaus.

 

Kies je voor AVG-trainingen, dan kies je voor gemak en resultaat

Geen ingewikkelde systemen of overbodige tools, maar praktische en overzichtelijke oplossingen die écht werken in de dagelijkse praktijk. Zo organiseer je bewustwording eenvoudig en effectief, zonder gedoe en mét impact.

 

Wat zeggen anderen over de cyber awareness training van AVG-trainingen?

Privacy Officer, onderwijsinstelling
“De doelgroepgerichte aanpak is voor ons als schoolorganisatie echt ideaal. Een secretaresse heeft andere privacy-uitdagingen dan een docent of mentor. Door de functiegerichte inhoud krijgt iedereen precies wat relevant is voor zijn of haar rol en dat maakt de training veel effectiever én herkenbaarder.”

IT-manager, zorgorganisatie
“De combinatie van e-learning en phishing-simulatie werkt top. De training is inhoudelijk sterk én technisch eenvoudig te implementeren. Geen gedoe, maar gewoon doen wat nodig is.”

Privacy Officer, non-profitorganisatie
“Wat deze training echt onderscheidt, is het maatwerk. De inhoud sluit perfect aan op onze sector en risico’s. We konden zelfs specifieke voorbeelden uit onze eigen praktijk laten opnemen – dat maakt het herkenbaar én effectief.”

IT-manager, mkb-bedrijf
“Eindelijk een training die niet verzandt in jargon. De training houdt de aandacht vast en de phishing-simulatie heeft echt het gedrag van collega’s veranderd. We zien minder klikken én meer meldingen.”

Privacy Officer, gemeente
“Onze medewerkers waren echt trainingsmoe door het hoge tempo van microlearnings. Daarom zijn we overgestapt naar de jaarlijkse e-learning. Eén duidelijke training per jaar met een eindtoets en certificaat werkt voor ons veel beter – minder druk, meer resultaat.”

 

Vraag een demo aan

In de kinderopvang wordt dagelijks gewerkt met gevoelige persoonsgegevens. Denk aan kinddossiers, medische gegevens, contactinformatie van ouders en personeelsgegevens. Privacy maakt standaard deel uit van de dagelijkse praktijk. Een Privacy Officer houdt toezicht op de manier waarop gegevens worden verzameld, opgeslagen en gedeeld. Hij/ zij adviseert over privacyregels, coördineert privacy awareness trainingen, voert risicoanalyses uit en zorgt ervoor dat de organisatie werkt volgens de AVG. Zo ondersteunt de Privacy Officer de organisatie bij het zorgvuldig omgaan met privacy in de dagelijkse praktijk. Hieronder lees je tien redenen waarom een kinderopvangorganisatie niet zonder een Privacy Officer (PO) kan.

 

1. Naleving van de AVG in alle lagen van de kinderopvangorganisatie

De Privacy Officer (PO) zorgt ervoor dat de organisatie werkt volgens de Algemene Verordening Gegevensbescherming (AVG). Dit gaat verder dan het opstellen van beleid. Denk aan het bewaken van processen, controleren van datastromen en begeleiden van audits. De PO helpt zo boetes en reputatieschade voorkomen.

 

2. Voorkomen én beperken van datalekken

Een PO voert structureel risicobeoordelingen uit en houdt toezicht op de beveiliging van gegevens van kinderen, ouders en collega’s. Bij een incident weet de PO direct welke stappen nodig zijn. Denk aan het melden van een datalek bij de Autoriteit Persoonsgegevens en het informeren van betrokkenen.

 

3. Privacybewustzijn onder medewerkers vergroten

De Privacy Officer regelt privacy awareness trainingen voor iedereen binnen de kinderopvangorganisatie. Bijvoorbeeld door periodieke e-learnings, posters en nieuwsbrieven. Hierdoor herkennen medewerkers sneller risico’s in hun dagelijkse werk, zoals onbedoeld delen van kindgegevens via e-mail.

 

4. Begeleiding bij nieuwe systemen of werkwijzen

Bij de invoering van een nieuw kindvolgsysteem kijkt de Privacy Officer mee. Is de dataverwerking proportioneel? Worden alleen noodzakelijke gegevens door de kinderopvang verzameld? Hij of zij geeft advies en stelt kritische vragen. Hierdoor worden privacyrisico’s binnen de kinderopvang vroegtijdig gesignaleerd.

 

5. Uitvoering van verplichte DPIA’s

Bij risicovolle verwerkingen is een Data Protection Impact Assessment (DPIA) verplicht. De Privacy Officer voert deze uit en formuleert aanbevelingen. Zo blijft de kinderopvangorganisatie in controle.

 

6. Aanspreekpunt voor ouders, medewerkers en toezichthouders

Bij vragen over informatiebeveiliging en privacy kunnen ouders of medewerkers terecht bij de Privacy Officer. Ook bij klachten of verzoeken tot inzage. Hij of zij coördineert de communicatie en zorgt voor een tijdige en correcte afhandeling.

 

7. Opstellen en onderhouden van het privacybeleid

Een privacybeleid moet meer zijn dan een document op intranet. De PO zorgt ervoor dat het beleid actueel is en daadwerkelijk wordt toegepast in de dagelijkse praktijk. Bijvoorbeeld door jaarlijkse updates en afstemming met afdelingen als HR en ICT.

 

8. Privacyrisico’s in kaart brengen en beheersen

De Privacy Officer maakt risico’s inzichtelijk via privacy-audits en risicoanalyses. Daarbij worden concrete aanbevelingen gedaan. Denk aan het beperken van toegangsrechten of het inzetten van versleuteling bij gegevensopslag.

 

9. Ondersteuning bij samenwerking met externe partijen

De kinderopvang werkt regelmatig met externe leveranciers, zoals softwareleveranciers of administratiekantoren. De PO beoordeelt verwerkersovereenkomsten en controleert of partners voldoen aan privacywetgeving.

 

10. Vertrouwen opbouwen bij ouders, personeel en toezichthouders

De organisatie gaat transparant en verantwoord om met persoonsgegevens en toont daarmee aan dat zij privacy serieus neemt. Dit versterkt het vertrouwen van ouders, medewerkers en externe toezichthouders.

 

Wat doet een Privacy Officer in een kinderopvangorganisatie?

Binnen de kinderopvang is de Privacy Officer een vaste schakel in het dagelijks werk. Van het opstellen van een verwerkersovereenkomst tot het beoordelen van systemen, begeleiden van collega’s bij het naleven van regels en meedenken bij beleidsbesluiten. De Privacy Officer ziet dat medewerkers kindlijsten via WhatsApp delen en helpt hen overstappen op veilig e-mailgebruik.Of aan de PO die tijdens een inspectie direct de juiste documenten kan aanleveren. Deze professional denkt mee, controleert en voorkomt problemen voordat ze ontstaan.

 

Training voor Privacy Officers in de kinderopvang

Privacy Officers in de kinderopvang hebben te maken met unieke situaties. Denk aan omgang met gezagskwesties, medische gegevens of cameratoezicht op speelpleinen. De training ‘Privacy Officer in de Kinderopvang’ van AVG-trainingen sluit hier perfect op aan. De training is afgestemd op de dagelijkse praktijk van de kinderopvang.

 

Conclusie

Een Privacy Officer is onmisbaar voor iedere kinderopvangorganisatie die grip wil houden op privacy. Door te zorgen voor naleving, preventie en bewustwording helpt de PO risico’s te beheersen en vertrouwen te winnen. Investeer in deze rol en in de juiste opleiding om privacy duurzaam te borgen binnen jouw organisatie.

 

Clone-phishing is een geavanceerde vorm van phishing die organisaties op een slimme manier benadert. Cybercriminelen maken gebruik van bestaande e-mails om hun kwaadaardige berichten geloofwaardig te laten lijken. Ze kopiëren eerder verzonden berichten, passen de inhoud subtiel aan en sturen deze zogenaamd opnieuw. Medewerkers zien vaak geen verschil met de originele e-mail, waardoor zij sneller op foute links klikken of besmette bijlagen openen. Dit leidt regelmatig tot misleiding, datalekken of ongeautoriseerde toegang tot systemen. Clone-phishing is daarom een directe bedreiging voor organisaties die dagelijks vertrouwen op digitale communicatie.

 

Wat is Clone-phishing?

Clone-phishing is een methode waarbij cybercriminelen een eerder verzonden legitieme e-mail kopiëren. Vervolgens vervangen zij bijlagen of links door kwaadaardige varianten. De e-mail lijkt betrouwbaar. De opmaak, afzender en inhoud zijn vrijwel identiek. Alleen de actie die je onderneemt, is anders  en gevaarlijk.

Een veelvoorkomend voorbeeld:

Een medewerker ontvangt een zogenaamd vertrouwd document van zijn manager. De e-mail lijkt exact op een eerdere conversatie. Toch leidt de nieuwe bijlage naar malware.

 

Waarom is Clone-phishing zo moeilijk te herkennen?

Clone-phishing maakt slim gebruik van vertrouwen. E-mails lijken afkomstig van bekende afzenders. Denk aan collega’s, klanten of leveranciers. De toon klopt. De inhoud oogt normaal., maar de kwaadwillende link of bijlage is veranderd.

Signaalwoorden die waarschuwen:

• “Zie bijlage nogmaals”
• “Zoals eerder besproken”
• “Ik stuur dit nog even opnieuw”
• “Let op gewijzigde link”

 

Clone-phishing is gericht, gestructureerd en schadelijk

Aanvallers verzamelen vooraf gegevens. Denk aan namen, e-mailstructuren, functietitels en eerdere communicatie. Zo maken ze hun nepmails geloofwaardig. Clone-phishing wordt vaak ingezet tegen bestuurders, juridische afdelingen en IT-teams.

Voorbeeld uit de praktijk:

Een directeur ontving een kopie van een eerder goedgekeurde factuur. De nieuwe versie bevatte echter een frauduleus rekeningnummer. De schade liep op tot tienduizenden euro’s.

 

Preventieve maatregelen tegen Clone-phishing

Een combinatie van technische oplossingen en bewustwording is nodig. Onderstaande acties maken jouw organisatie weerbaarder:

• Gebruik e-mailverificatieprotocollen.
• Zorg voor continue phishingtraining.
• Herken afwijkingen in afzender of timing.
• Gebruik waarschuwingsbanners bij externe e-mails.
• Blokkeer verdachte links en bijlagen automatisch.

 

Phishing simulatie verhoogt alertheid

Een phishing simulatie test hoe alert medewerkers zijn op valse e-mails. Het is een veilige manier om bewustzijn te vergroten. Medewerkers leren signalen herkennen zonder risico op schade. Simulaties zorgen voor gedragsverandering. Medewerkers die eerder klikten, denken de volgende keer twee keer na. Regelmatige herhaling zorgt voor blijvende alertheid.

AVG-trainingen combineert phishing simulaties met privacy awareness trainingen. Zo versterken we niet alleen de digitale waakzaamheid, maar ook het bewustzijn rond gegevensbescherming. Medewerkers leren verdachte e-mails herkennen én begrijpen waarom zorgvuldige omgang met persoonsgegevens belangrijk is. Deze gecombineerde aanpak sluit aan bij zowel de AVG als de NIS2-richtlijn. Zo werk je aan een organisatie die weerbaar is op meerdere fronten – met één geïntegreerd trainingsprogramma.

 

Clone-phishing raakt iedereen binnen de organisatie

Of je nu werkt als secretaresse, manager, jurist of ICT’er: Clone-phishing raakt jouw werkgebied. Denk aan vertrouwelijke documenten, juridische afspraken of toegang tot systemen. Eén klik kan leiden tot datalekken of reputatieschade.

 

Voorkom schade, handel vandaag nog

Clone-phishing is geen toekomstprobleem. Het speelt zich nú af. Laat je organisatie niet verrassen. Bescherm gegevens, mensen en systemen. Volgens de Algemene Verordening Gegevensbescherming (AVG) moeten organisaties passende technische en organisatorische maatregelen nemen die meegaan met technologische ontwikkelingen. Dit betekent dat bedrijven hun beveiligingsbeleid voortdurend moeten aanpassen aan nieuwe risico’s, zoals Clone-phishing. Daarnaast verplicht de NIS2-richtlijn organisaties om structureel te investeren in security awareness. Niet alleen binnen IT, maar bij alle medewerkers. Bewustwording moet door de hele organisatie gedragen worden. Alleen dan kunnen risico’s tijdig herkend en beperkt worden.

Wij helpen jouw organisatie veiliger te worden met phishing simulaties en training.

 

Datalekken in de gezondheidszorg: hoogste aantal meldingen bij de Autoriteit Persoonsgegevens

In 2024 ontving de Autoriteit Persoonsgegevens (AP) opnieuw de meeste datalekmeldingen uit de sector Gezondheid & welzijn. In totaal ging het om 6.873 meldingen. De zorgsector staat daarmee al jarenlang bovenaan het overzicht van datalekmeldingen. Dat is niet verrassend, want zorginstellingen verwerken dagelijks grote hoeveelheden persoonsgegevens, zoals medische dossiers, labuitslagen en behandelplannen. Dit soort gegevens is gevoelig en persoonlijk. Een klein incident, zoals een brief met medische informatie die bij de verkeerde patiënt in de brievenbus valt, moet daarom al bij de AP worden gemeld.

Uit onderzoeken van de AP blijkt dat het in deze sector vaak gaat om menselijke fouten, zoals verkeerd geadresseerde brieven, foutieve e-mails of inzage door onbevoegde collega’s. Ook blijkt uit meldingen dat de manier van werken binnen zorginstellingen leidt tot meer risico op datalekken. Den daarbij aan veel handmatige handelingen en intensieve communicatie tussen verschillende afdelingen. Daarbij komt dat zorgorganisaties vaak wel protocollen hebben voor privacybescherming, maar dat de praktijk weerbarstig is. Het hoge aantal meldingen laat zien dat er structurele aandacht nodig is voor veilig omgaan met gegevens in de dagelijkse werkprocessen.

AI-chatbots veroorzaken onverwachte datalekken in de zorg

Opvallend in 2024 waren de meldingen over het gebruik van AI-chatbots. Medewerkers voerden persoonsgegevens in bij chatbots zoals taalmodellen, vaak uit gemak of tijdsdruk. Bijvoorbeeld om een e-mail op te stellen of een verslag te herschrijven.

Wat zij vaak niet beseffen, is dat deze gegevens terechtkomen bij externe aanbieders van de chatbot. Hierdoor ontstaat onbedoeld een datalek. De AP ontving in de zomer van 2024 meerdere meldingen over dit soort incidenten. In veel gevallen handelde de medewerker op eigen initiatief, zonder overleg met de organisatie.

Dit soort situaties laat zien hoe belangrijk het is om niet alleen technische maatregelen te nemen, maar ook medewerkers goed te informeren over nieuwe risico’s. Digitale hulpmiddelen zijn waardevol, maar vereisen duidelijk beleid en toezicht.

Papieren post blijft grote bron van datalekken in de zorg

Ondanks digitalisering blijft ook papieren communicatie een belangrijke bron van datalekken. In zorginstellingen worden nog vaak medische brieven verstuurd naar huisadressen of andere instellingen. Eén typefout in een adres kan al leiden tot een datalek. Ook komt het voor dat brieven in verkeerde enveloppen terechtkomen of door elkaar raken tijdens het verpakken.

Bijvoorbeeld: een patiënt ontvangt een brief met labuitslagen die bedoeld was voor iemand met een vergelijkbare naam. Of een medewerker verstuurt een verwijsbrief naar een oud adres, omdat het patiëntendossier niet tijdig is bijgewerkt. Ook komt het voor dat enveloppen met gevoelige informatie verkeerd worden gesorteerd door externe postverwerkers.

Juist in de zorg zijn deze fouten extra belastend. Patiënten vertrouwen erop dat hun gegevens zorgvuldig worden behandeld. Een datalek kan het vertrouwen ernstig schaden, zelfs als de gevolgen beperkt zijn. In sommige gevallen weigeren patiënten vervolgzorg, uit angst dat hun gegevens opnieuw op straat komen te liggen. Dat maakt het voorkomen van dit soort fouten belangrijk voor zowel privacy als zorgcontinuïteit.

Privacybewustzijn en trainingen voor zorgmedewerkers noodzakelijk

Zorginstellingen beschikken vaak over interne procedures voor datalekmeldingen. Toch is dat niet voldoende om fouten te voorkomen. Wat echt verschil maakt, is continue aandacht voor bewust omgaan met persoonsgegevens.

Trainingen helpen medewerkers om risico’s beter te herkennen. Denk aan e-learning of microlearning over privacyregels, praktijkvoorbeelden en het correct afhandelen van gegevens. Organisaties die investeren in trainingen zien vaak een daling in het aantal incidenten.

Daarnaast is het raadzaam om regelmatig phishingsimulaties uit te voeren. Hiermee testen organisaties hoe alert hun medewerkers zijn bij verdachte berichten. In sectoren met veel persoonsgegevens is dit een belangrijke maatregel om gegevens goed te beschermen.

Datalekken melden is belangrijk, maar voorkomen begint bij dagelijks handelen

Het hoge aantal datalekmeldingen in de zorgsector toont aan dat deze organisaties hun meldplicht serieus nemen. Dat is positief. Tegelijkertijd betekent het ook dat er dagelijks risico’s zijn. Die risico’s verdwijnen niet vanzelf. Daarom is het belangrijk om dataveiligheid te zien als een vast onderdeel van het werk. Niet als een eenmalig project, maar als iets dat meegroeit met de praktijk. Met duidelijke afspraken, doorlopende privacybewustzijn, begrijpelijke richtlijnen en actieve betrokkenheid van alle medewerkers. Zo wordt privacy geen blokkade, maar een vanzelfsprekend onderdeel van goede zorg.

De Functionaris Gegevensbescherming (FG) speelt een belangrijke rol binnen organisaties. Deze rol is wettelijk verplicht voor veel instellingen. Denk aan overheidsorganisaties, zorginstellingen en scholen. De FG bewaakt de naleving van de privacywetgeving, zoals de Algemene Verordening Gegevensbescherming (AVG).

 

Toezicht op de naleving van de AVG

Eén van de belangrijkste taken van een Functionaris Gegevensbescherming is het houden van toezicht op de naleving van de AVG. Dit betekent dat de FG controleert of de organisatie correct omgaat met persoonsgegevens. Daarbij let de FG op procedures, interne richtlijnen en de verwerking van gevoelige gegevens.

Voorbeeld: Bij een zorginstelling controleert de FG of cliëntgegevens alleen toegankelijk zijn voor medewerkers met de juiste autorisatie.

 

Adviseren over gegevensbescherming

De FG adviseert over maatregelen die nodig zijn om persoonsgegevens goed te beschermen. Deze adviezen kunnen gaan over technische beveiliging, zoals encryptie, maar ook over organisatorische maatregelen, zoals het vergroten van privacybewustwording onder personeel.

Voorbeeld: Een school die overstapt op digitale leerlingvolgsystemen ontvangt van de FG advies over het veilig inrichten van het systeem. Daarbij gaat het om toegangsrechten, gebruikersbeheer en het beperken van inzage tot wat strikt noodzakelijk is. Ook worden aanbevelingen gedaan over logbestanden, wachtwoordbeleid en het informeren van personeel over privacyrisico’s.

 

Risicoanalyses en DPIA’s begeleiden

De FG begeleidt Data Protection Impact Assessments (DPIA’s). Dit zijn verplichte risicoanalyses bij nieuwe verwerkingen met hoge privacyrisico’s. De FG ondersteunt hierbij, beoordeelt de uitkomsten en geeft aanbevelingen.

Voorbeeld: Een gemeente ontwikkelt een app voor afvalinzameling met GPS-tracking. De FG begeleidt de DPIA en adviseert over dataminimalisatie.

 

Opleiden en bewustmaken van medewerkers

De Functionaris Gegevensbescherming adviseert over het belang van privacybewustwording binnen alle lagen van de organisatie. Van vrijwilligers tot leidinggevenden: iedereen moet weten hoe om te gaan met persoonsgegevens en welke verantwoordelijkheden daarbij horen. Dat gebeurt via trainingen, nieuwsbrieven en bewustwordingscampagnes.

Voorbeeld: Een zorginstelling organiseert jaarlijks een privacyweek met workshops over veilig mailen en het omgaan met dossiers op het werk.

 

Aanspreekpunt voor betrokkenen en toezichthouder

De FG is aanspreekpunt voor mensen van wie gegevens worden verwerkt (de betrokkenen). Ook de Autoriteit Persoonsgegevens kan contact opnemen met de FG. De FG zorgt dat vragen of klachten worden afgehandeld volgens de AVG.

Voorbeeld: Een klant vraagt om inzage in zijn gegevens. De FG begeleidt het proces en bewaakt de termijnen.

 

Nieuwe uitdagingen: privacy en Artificial Intelligence

Functionarissen Gegevensbescherming krijgen steeds vaker te maken met Artificial Intelligence (AI). Uit onderzoek van de Autoriteit Persoonsgegevens blijkt dat veel organisaties AI inzetten zonder voldoende waarborgen. Functionarissen Gegevensbescherming spelen een belangrijke rol bij het signaleren van deze tekortkomingen. Volgens een rapport van de European Data Protection Board (2024) moeten FG’s vroegtijdig worden geraadpleegd bij de inzet van AI. Zo kunnen risico’s al in de ontwerpfase worden beperkt.

AI-systemen verwerken vaak grote hoeveelheden persoonsgegevens. Daarmee ontstaan nieuwe risico’s voor privacy.

 

Belangrijke AI-gerelateerde taken voor de FG:

• Inzicht krijgen in gebruikte algoritmes.
• Toetsen op transparantie en uitlegbaarheid.
• Adviseren over rechtmatige grondslagen.
• DPIA uitvoeren bij zelflerende systemen.

Praktijkvoorbeeld: Een woningcorporatie gebruikt AI om huurders met betalingsrisico’s te voorspellen. De FG bekijkt of de uitkomsten uitlegbaar zijn en of er discriminatie kan optreden.

 

Professioneel aan de slag als Functionaris Gegevensbescherming

Werk je als Functionaris Gegevensbescherming of start je binnenkort in deze rol? Volg dan een training die jou ondersteunt in de praktijk. Je kiest uit klassikaal of online leren. Kies wat past bij jouw agenda.

Tijdens de training krijg je:

• Helder overzicht van de AVG en je verplichtingen.
• Praktische tools voor toezicht en beleid.
• Casussen die aansluiten op jouw werksituatie.
• Ruimte voor vragen en kennisdeling met collega’s.
• Flexibiliteit om op jouw tempo te leren.

 

???? Bekijk het actuele trainingsaanbod en meld je aan.

Praktijkopleiding Functionaris gegevensbescherming (FG/ DPO) – Klassikaal

Training Data Protection Officer (DPO) – ONLINE – Zorg en Welzijn

Training Data Protection Officer (DPO) – ONLINE – Zakelijk Nederland/ MKB

Training Functionaris Gegevensbescherming (FG) – ONLINE – Onderwijs

Training Functionaris gegevensbescherming (FG) – ONLINE – Overheid/ gemeente

Onderwijsinstellingen werken dagelijks met veel gevoelige persoonsgegevens. Denk aan leerlingdossiers, medische gegevens, toetsresultaten en adresinformatie. Al deze gegevens zijn noodzakelijk voor goed onderwijs, begeleiding en administratie. Echter brengen ze ook risico’s met zich mee. Onzorgvuldige omgang met deze gegevens kan leiden tot datalekken. In de praktijk blijkt dat dit regelmatig gebeurt. Een klein foutje, zoals een verkeerd verzonden e-mail of een onbeveiligd apparaat, kan al grote gevolgen hebben. Het is daarom belangrijk dat scholen bewust omgaan met gegevensbescherming. Niet alleen vanuit hun wettelijke plicht, maar ook uit zorg voor leerlingen, ouders en medewerkers.

 

Wat is een datalek?

Een datalek is een incident waarbij persoonsgegevens verloren gaan of onbedoeld toegankelijk zijn. In het onderwijs gaat het vaak om menselijke fouten:

• Een e-mail met leerlinggegevens naar de verkeerde ouders.
• Een gestolen laptop zonder wachtwoord.
• Een onbeveiligde USB-stick die zoekraakt.
• Onjuiste rechten in Magister of Somtoday.
• Een phishing-aanval waarbij een account wordt misbruikt.

Volgens Kennisnet is onzorgvuldig gedrag vaak de oorzaak van de meeste datalekken. Daarom is alertheid in de dagelijkse praktijk noodzakelijk.

 

Waarom zijn datalekken in het onderwijs zorgelijk?

Elke school beheert duizenden persoonsgegevens van betrokkenen. Leerlingen, ouders en medewerkers vertrouwen op een veilige verwerking. Een datalek kan leiden tot verlies van dit vertrouwen en kan in bepaalde gevallen zelfs leiden tot juridische claims en reputatieschade. Volgens de AVG zijn scholen verplicht om gegevens te beschermen en incidenten te melden. Datalekken moeten binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens (AP). Meldplicht geldt ook bij risico’s voor betrokkenen, zoals identiteitsfraude of reputatieschade. Soms moeten ook de betrokkenen worden ingelicht.

 

Wat moet je doen bij een datalek?

1. Meld het incident direct bij de Privacy Officer.
2. Twijfel je? Meld het toch. Vroegtijdig melden beperkt schade.
3. Onderneem actie. Denk aan het intrekken van een e-mail of het wijzigen van wachtwoorden.
4. Evalueer het incident. Bespreek de oorzaak en leer ervan.

 

Wat doet een Privacy Officer?

De Privacy Officer (PO) is verantwoordelijk voor het coördineren van informatiebeveiliging en privacy (IBP) binnen de onderwijsinstelling. Deze professional bewaakt de naleving van de AVG en begeleidt medewerkers bij vragen over gegevensbescherming. De PO ondersteunt bij het voorkomen van datalekken en neemt een centrale rol in de afhandeling ervan. Door kennis te delen en processen te verbeteren, draagt de PO bij aan een veilige informatiecultuur binnen de school. Deze functie is belangrijk voor de aanpak en voorkoming van datalekken. De PO:

• Beoordeelt meldingen van datalekken.
• Adviseert over maatregelen.
• Onderhoudt contact met de AP.
• Helpt bij het opstellen van het privacybeleid.
• Coördineert voorlichting en security awareness trainingen.
• Houdt toezicht op naleving van de AVG.

De Privacy Officer is benaderbaar voor allerlei privacyvraagstukken en is zichtbaar voor collega’s.

 

Het Normenkader IBP

Het Normenkader Informatiebeveiliging en Privacy (IBP) is een hulpmiddel voor scholen. Het biedt richtlijnen voor veilig omgaan met informatie. Het Normenkader IBP helpt bij het opstellen van beleid, het beoordelen van risico’s en het organiseren van beveiligingsmaatregelen. Daarmee ondersteunt het Normenkader scholen in het borgen van privacy en informatiebeveiliging in de praktijk.

 

Nieuwe inzichten uit recent onderzoek

Uit recente onderzoeken van Kennisnet en SURF blijkt dat het aantal datalekken in het onderwijs toeneemt. Vooral menselijke fouten zijn de oorzaak. Ook blijkt dat veel scholen nog onvoldoende voorbereid zijn op cyberincidenten. PO spelen een centrale rol in het versterken van digitale weerbaarheid. Zij moeten actief het belang van privacybewustwording benadrukken in alle lagen van de organisatie. Dit is bovendien verplicht volgens het Normenkader IBP, dat scholen aanmoedigt om structureel te investeren in kennis, houding en gedrag rondom privacy. Dat vraagt om herhaling, voorbeeldgedrag en duidelijke communicatie Door trainingen te organiseren, communicatie te verbeteren en risico’s bespreekbaar te maken, bevorderen zij veilig gedrag. Structurele aandacht voor privacy maakt medewerkers alert en betrokken. Zo groeit het besef dat gegevensbescherming een gedeelde verantwoordelijkheid is.

 

Tips om datalekken te voorkomen

• Controleer e-mailadressen zorgvuldig.
• Gebruik tweestapsverificatie.
• Sla geen persoonsgegevens op losse USB-sticks op.
• Beveilig apparaten met sterke wachtwoorden.
• Meld verdachte situaties altijd.
• Gebruik een afgeschermde docentomgeving voor gevoelige documenten.
• Deel leerlinggegevens alleen via beveiligde systemen.
• Zet schermen op vergrendeling bij het verlaten van het lokaal.
• Zorg dat papieren dossiers veilig worden opgeborgen.
• Werk alleen met tools die goedgekeurd zijn binnen het privacybeleid van de school.

 

Training voor Privacy Officers

Voor wie zijn of haar kennis wil verdiepen, zijn er zowel klassikale als online trainingen beschikbaar voor Privacy pro in het onderwijs. Deze trainingen bieden:

• Inzicht in de AVG en meldplicht.
• Praktische handvatten voor beleid.
• Casussen uit de onderwijspraktijk.
• Uitwisseling van ervaringen met collega’s.
• Flexibiliteit in leren, afgestemd op jouw agenda.

 

Praktijkopleiding Privacy Officer (klassikaal)

Training Privacy Officer (online)

Training Privacy Officer 2.0 (klassikaal)

E-learning Security Awareness medewerkers  

Cybercriminelen vormen een voortdurende dreiging in de digitale wereld en zoeken continu naar zwakke plekken om binnen te dringen. Vooral mkb-bedrijven lopen extra risico, omdat hun digitale systemen vaak niet volledig zijn beveiligd. Tegelijkertijd groeit het belang van privacybewustwording: omgaan met gevoelige informatie vraagt om verantwoord digitaal gedrag binnen de hele organisatie. Daarom is het belangrijk om nú te investeren in betere digitale veiligheid. Door gerichte maatregelen te nemen, bescherm je niet alleen je bedrijfsgegevens en klantinformatie, maar versterk je ook het vertrouwen van klanten en partners. In deze blog staan vijf concrete acties waarmee je vandaag nog aan de slag kunt om jouw bedrijf digitaal weerbaar, betrouwbaar én toekomstbestendig te maken.

1. Maak altijd meerdere back-ups van je bedrijfsdata

Valt jouw systeem uit of word je getroffen door ransomware? Dan is een back-up vaak het enige redmiddel. Maak daarom minimaal drie versies van jouw belangrijkste gegevens.

• Gebruik twee verschillende media, zoals een externe harde schijf én cloudopslag.
• Bewaar één kopie op een andere locatie, fysiek of online.
• Koppel fysieke back-ups los na gebruik en berg ze veilig op.
• Let op: werken in de cloud is géén garantie voor automatische back-ups.

Voorbeeld: Een ondernemer redde al haar klantgegevens na een aanval door één simpele externe back-up.

 

2. Gebruik tweestapsverificatie voor al je zakelijke accounts

Alleen een wachtwoord gebruiken is onvoldoende. Voeg een extra beveiligingslaag toe met multifactorauthenticatie (MFA).

• Kies voor een authenticatie-app of sms-code.
• Beveilig vooral toegang tot systemen met klant-, betaal- of ordergegevens.
• MFA instellen? Doe dit voor e-mail, cloudsystemen, betaalomgevingen en je bedrijfsnetwerk.
• Laat medewerkers oefenen en testen hoe MFA werkt.

Voorbeeld: Een medewerker logt in op het CRM. Zonder MFA kon een gestolen wachtwoord toegang geven. Dankzij MFA bleef het account veilig.

 

3. Schakel automatische updates in voor alle apparaten

Zonder updates blijft jouw software kwetsbaar. Criminelen misbruiken bekende lekken in verouderde systemen.

• Update besturingssystemen én applicaties op computers, smartphones en servers.
• Vergeet niet je printer, router, firewall en slimme apparaten.
• Controleer regelmatig of automatische updates zijn ingeschakeld.
• Is een apparaat verouderd? Overweeg vervanging als updates niet meer mogelijk zijn.

Voorbeeld: Een niet-geüpdatete router vormde de zwakke plek waardoor hackers binnendrongen.

 

4. Gebruik betrouwbare en actuele antivirussoftware

Antivirussoftware beschermt jouw systemen tegen virussen, malware en ransomware. Die kunnen jouw systemen beschadigen of gegevens stelen.

• Installeer antivirussoftware op álle apparaten binnen jouw bedrijf.
• Laat dagelijks een scan uitvoeren en update de virusdatabase automatisch.
• Kies een antiviruspakket dat past bij jouw bedrijfsgrootte en type werkzaamheden.

Voorbeeld: Een e-mailbijlage met een virus werd direct geblokkeerd door actuele antivirussoftware, waardoor verdere schade werd voorkomen.

 

5. Zorg voor veilige e-mail en voorkom phishing

Phishing is een veelvoorkomende aanvalstechniek die bedrijven kan ontregelen en gevoelige informatie in verkeerde handen kan laten vallen. Het is daarom belangrijk om e-mailbeveiliging serieus te nemen. Begin met het controleren van de e-mailinstellingen en zorg dat jouw e-maildomein voldoet aan actuele beveiligingsstandaarden. Zo verklein je de kans op spoofing en zorg je ervoor dat jouw e-mails betrouwbaar blijven voor ontvangers.

Daarnaast is het verstandig om medewerkers actief te trainen in het herkennen van verdachte berichten. Simulaties van phishingaanvallen bieden daarbij waardevolle inzichten. Ze laten zien hoe medewerkers reageren op misleidende e-mails en helpen om digitale weerbaarheid te vergroten. Door regelmatig te oefenen en bewustwording te versterken, bouw je samen aan een organisatie die phishing tijdig herkent én voorkomt.

Voorbeeld: Een medewerker ontving een mail ‘van de CEO’ met betaalverzoek. Door een simpele check bleek het phishing.

 

Klaar om te starten?

Cyberveiligheid begint met bewustwording en kleine acties. Deze vijf maatregelen zijn praktisch en snel uitvoerbaar.

Wacht niet tot het misgaat. Bescherm jouw bedrijf tegen cybercriminelen. Begin vandaag!

Download onze brochure voor meer informatie over onze trainingen.

Zorg- en welzijnsorganisaties verwerken dagelijks veel gevoelige informatie. Denk aan patiënt- of clientgegevens, behandelplannen of financiële dossiers. Deze data vraagt om zorgvuldige bescherming. Toch gebruiken veel professionals nog altijd e-mail om die gegevens te delen. E-mail lijkt snel en handig, maar het is risicovol. Onbeveiligde e-mails zijn kwetsbaar, omdat ze vaak via open netwerken worden verzonden. Ze zijn dus gevoelig voor onderschepping. In dit artikel lees je waarom veilig gegevens delen zo belangrijk is. Je krijgt praktische tips en ontdekt welke oplossingen passen binnen jouw organisatie.

 

Onbeveiligde e-mail brengt grote risico’s met zich mee

Veel medewerkers sturen onbewust gevoelige gegevens via de gewone e-mail. Die e-mails zijn meestal niet versleuteld en kunnen dus door cybercriminelen onderweg onderschept worden. E-mail is bovendien een populair kanaal voor cybercriminelen. Ze gebruiken phishingmails om toegang tot systemen te krijgen of ze verspreiden malware via bijlagen.

 

Bewustwording als eerste verdedigingslaag

Een belangrijke stap in het verkleinen van risico’s is bewustwording. Veel medewerkers weten niet precies wat wel of niet veilig is. Heldere gedragsregels helpen daarbij.

 

Praktische richtlijnen voor veilig e-mailgebruik:

• Vermijd persoonsgegevens in de e-mailtekst.
• Stuur geen bijlagen met gevoelige informatie.
• Controleer de geadresseerde vóór verzenden.
• Vraag altijd om ontvangstbevestiging.
• Maak afspraken over phishing en malware.
• Sluit e-mailaccounts van vertrokken medewerkers direct af.

 

Zorg dat deze regels voor iedereen gelden: medewerkers, vrijwilligers én leidinggevenden.

 

Vermijd onbeveiligde e-mail voor gevoelige gegevens

Gebruik alleen e-mail als er géén gevoelige persoonsgegevens in staan. Is dat niet mogelijk? Kies dan een veiliger alternatief.

Interne uitwisseling: Deel links naar documenten in een beveiligde omgeving. Stuur geen bestanden als bijlage mee.

Tussen organisaties: Gebruik beveiligde mailverbindingen of versleutelde bijlagen. Verstuur het wachtwoord via een ander kanaal.

Tussen zorgverlener en cliënt/patiënt: Volgens de Autoriteit Persoonsgegevens mag dat alleen als de e-mail versleuteld is en de rest van de beveiliging goed geregeld is. Informeer cliënten ook over hoe zij veilig gegevens kunnen terugmailen. Bijvoorbeeld door bestanden te versleutelen en het wachtwoord apart door te geven.

 

Grote bestanden delen? Kies voor een veilige cloudoplossing

Voor grotere bestanden of langdurige samenwerking is e-mail vaak ongeschikt. Gebruik liever een clouddienst met end-to-end encryptie.

 

Zeven tips voor veilige bestandsoverdracht:

1. Versleutel bij de bron met end-to-end encryptie.
2. Kies een betrouwbare provider met duidelijke privacyvoorwaarden.
3. Gebruik sterke wachtwoorden en tweefactorauthenticatie.
4. Stel een vervaltijd in voor gedeelde links.
5. Vermijd openbare wifi of gebruik een VPN.
6. Controleer limieten voor bestandsomvang en opslag.
7. Installeer beveiligingssoftware voor detectie van malware en onveilige links.

 

Geef gebruikers alleen toegang die dat nodig hebben. Deel geen onnodige kopieën, maar werk vanuit één versie.

 

Pas maatregelen aan op het risico

De AVG schrijft geen specifieke technologie voor. Wel moeten zorg- en welzijnsorganisaties kunnen aantonen dat ze passende maatregelen hebben getroffen.

Wordt er gebruik gemaakt van bijvoorbeeld een gratis cloudopslag waarvan bekend is dat ze data doorverkopen? Dan is dat bij medische gegevens onverantwoord.

Belangrijke vragen:

• Hoe gevoelig zijn de gegevens?
• Met wie gaan we ze delen?
• Hoe delen we ze veilig?
• Kunnen we het beperken, beveiligen of versleutelen?

Alleen zo voorkom je datalekken die jouw organisatie kunnen schaden.

 

Veilig gegevens delen vraagt om bewuste keuzes

Zorg en welzijn draait om vertrouwen. De privacy van cliënten, patiënten en medewerkers beschermen hoort daar onlosmakelijk bij.

Door te kiezen voor veilige methoden, goed beleid en continue bewustwording, kun je risico’s flink beperken.

Begin vandaag nog. Niet met ingewikkelde techniek, maar met duidelijke afspraken en slimme oplossingen. Zo blijft informatie daar waar het hoort: in vertrouwde handen.

 

Kies voor structurele privacybewustwording

Ben je op zoek naar een effectief programma om privacyrisico’s te verkleinen? Met onze aanpak Privacy365 – Zorg en Welzijn train je medewerkers continu én praktisch.
Vraag vandaag nog een demo aan en ontdek hoe het werkt.

Organisaties verwerken dagelijks grote hoeveelheden persoonsgegevens. Die gegevens zijn vaak ook gevoelig en verdienen een goede bescherming. Iedereen moet zorgvuldig omgaan met persoonsgegevens. AVG stelt daarom duidelijke eisen aan organisaties. Eén van die eisen is het aanstellen van een Functionaris Gegevensbescherming (FG). In sommige gevallen is dit zelfs wettelijk verplicht. De FG speelt een belangrijke rol in het bewaken van de privacyregels binnen een organisatie. Deze blog geeft inzicht in de situaties waarin een FG verplicht is, wat deze precies doet en waar organisaties rekening mee moeten houden. Een goed begrip van deze rol voorkomt problemen en helpt bij het maken van verantwoorde keuzes.

Wanneer is een Functionaris gegevensbescherming verplicht?

In de AVG staan situaties waarin een Functionaris gegevensbescherming (FG) verplicht is. Deze verplichting geldt niet voor elke organisatie, maar wel in specifieke gevallen.

1. Overheidsinstanties en publieke organisaties

Voor alle overheidsorganisaties geldt een verplichting om een FG aan te stellen. Het maakt niet uit welke gegevens worden verwerkt. Voorbeelden:

• ministeries en uitvoeringsinstanties;
• gemeenten en provincies;
• zorg- en onderwijsinstellingen.

Let op: Rechtbanken zijn uitgezonderd van deze verplichting.

2. Grootschalige monitoring of het volgen van personen

Organisaties die mensen structureel volgen, moeten een FG aanstellen. Denk aan:

• cameratoezicht in gebouwen of op straat;
• systemen die personeel volgen via apps of gps;
• profiling van klanten voor risicoanalyses;
• tracking van gezondheid via wearables.

Factoren zoals het aantal betrokkenen, de hoeveelheid data en de duur van de verwerking spelen hierbij een rol.

3. Verwerking van bijzondere persoonsgegevens op grote schaal

Bijzondere gegevens moeten extra beschermd worden. Voorbeelden:

• medische gegevens;
• ras of etnische afkomst;
• geloofsovertuiging of politieke voorkeur;
• biometrische gegevens zoals vingerafdrukken.

Wanneer dit structureel gebeurt, ontstaat er een verplichting voor een Functionaris gegevensbescherming.

4. Strafrechtelijke persoonsgegevens

Je bent ook verplicht een FG aan te stellen als je strafrechtelijke gegevens verwerkt. Organisaties moeten deze gegevens zorgvuldig beveiligen en voortdurend controleren op risico’s.

 

Twijfel over de verplichting?

Heb je twijfels of je een FG moet aanstellen? Dan moet je als organisatie de gemaakte keuze goed onderbouwen. Zorg voor een duidelijke motivering. Deze onderbouwing voorkomt problemen bij een controle door de Autoriteit Persoonsgegevens.

 

Eén Functionaris gegevensbescherming voor meerdere organisaties

Een gezamenlijke FG is toegestaan, mits aan voorwaarden wordt voldaan. Voorbeelden:

• binnen een groep organisaties;
• bij meerdere bedrijfsonderdelen;
• tussen bestuursorganen binnen een gemeente of provincie.

De FG moet bereikbaar zijn voor alle betrokken onderdelen. Vermeld de contactgegevens duidelijk, bijvoorbeeld op een website of intranet.

Belangrijk: elke organisatie meldt de FG afzonderlijk aan bij de Autoriteit Persoonsgegevens.

 

Wat doet een Functionaris gegevensbescherming?

De FG houdt toezicht op naleving van de AVG. Hiervoor is brede kennis en ervaring nodig. Belangrijke elementen zijn:

• wetgeving over privacy op nationaal en Europees niveau;
• inzicht in de verwerkingen binnen de organisatie;
• kennis van informatiebeveiliging en IT;
• ervaring met de sector waarin de organisatie actief is.

De FG adviseert, beoordeelt en signaleert risico’s. Daarnaast stimuleert deze persoon bewustwording binnen de organisatie.

 

Geen verantwoordelijkheid voor het verwerkingsregister

Het opstellen van een verwerkingsregister valt niet onder de verantwoordelijkheid van de FG. Wel controleert de FG of dit register aanwezig en actueel is. In de praktijk houdt een FG vaak een lijst bij, vooral bij verwerkingen met hoog risico.

 

Betrokkenheid bij DPIA’s

Organisaties moeten soms een gegevensbeschermingseffectbeoordeling (DPIA) uitvoeren. Hierbij is advies van de Functionaris gegevensbescherming verplicht. De FG geeft advies over:

• de noodzaak van de DPIA;
• de geschikte onderzoeksmethode;
• interne uitvoering of uitbesteding;
• passende beschermingsmaatregelen;
• juridische toelaatbaarheid van de uitkomsten.

Het rapport moet dit advies bevatten, samen met de gekozen vervolgstappen.

 

Onafhankelijke positie is vereist

De FG werkt onafhankelijk. De AVG biedt waarborgen om deze onafhankelijkheid te garanderen:

• geen instructies over uitvoering van de taken van de FG;
• geen ontslag of sanctie vanwege het werk als FG;
• geen dubbele functie met belangenverstrengeling;
• directe toegang tot het hoogste bestuursniveau.

Ondersteuning is noodzakelijk: tijd, budget, personeel en scholing. Zonder deze middelen lukt het niet om de rol goed te vervullen.

 

Bereikbaarheid van de Functionaris gegevensbescherming

De FG moet makkelijk bereikbaar zijn. Een e-mailadres of telefoonnummer is voldoende. Vermelding op de website is ook wenselijk. De naam van de FG hoeft niet openbaar te zijn.

 

Meer weten?
Bekijk de richtlijnen van de Autoriteit Persoonsgegevens op:
https://autoriteitpersoonsgegevens.nl

 

Klassikale training Functionaris Gegevensbescherming (FG)

Tijdens onze training staat jouw praktijk centraal. Onze trainers maken voortdurend de koppeling tussen de theorie en situaties waarmee jij in jouw werk te maken hebt. Dit zorgt ervoor dat je na de training direct het geleerde kunt toepassen. Bovendien werk je in een dynamische setting samen met anderen, wat niet alleen waardevolle nieuwe inzichten oplevert, maar ook inspireert om verder te groeien.

Zet de stap naar een carrière als Functionaris Gegevensbescherming en maak een verschil in jouw organisatie!

Bekijk de beschikbare startdata en locaties op onze website.

Schrijf je vandaag nog in en verzeker jezelf van een plek!

 Inschrijven