AVG-trainingen

Categorie: Uncategorized

  • AI en privacy op het werk: Hoe gebruik je AI veilig?

    AI en privacy op het werk: Hoe gebruik je AI veilig?

    In de moderne werkomgeving speelt kunstmatige intelligentie (AI) een steeds grotere rol. AI maakt al een langere tijd deel uit van ons dagelijks leven. We gebruiken gezichtsherkenning in onze smartphones, antwoorden van chatbots en medische diagnoses. Echter komen met deze vooruitgang ook vragen over privacy en informatiebeveiliging naar voren. Hoe kun je AI op een verantwoorde en veilige manier gebruiken zonder inbreuk te maken op de privacy van bijvoorbeeld leerlingen, werknemers en klanten? Hier zijn enkele tips en overwegingen om AI veilig en privacyvriendelijk te gebruiken op je werk.

    Kennis over de privacywetgeving

    Als je AI gebruikt op de werkvloer, is het belangrijk om op de hoogte te zijn van de Algemene Verordening Gegevensbescherming (AVG). Deze wetgeving vereist dat bedrijven zorgvuldig omgaan met persoonsgegevens, waarbij ze de rechten van individuen respecteren. Denk bijvoorbeeld aan toestemming voor het gebruik van gegevens en het recht om vergeten te worden.

    Gebruik geanonimiseerde data

    Eén van de beste manieren om de privacy van betrokkenen te waarborgen, is door AI-systemen te voeden met geanonimiseerde data. Door persoonsgegevens te anonimiseren, verklein je het risico op privacyschendingen. Dit betekent dat je de identiteit van een persoon niet kunt herleiden uit de gegevens die je gebruikt. Zorg ervoor dat deze anonimisatie ook echt waterdicht is, want ‘heridentificatie’ kan een probleem zijn als er onvoldoende maatregelen zijn genomen.

    Beperk de toegang tot gegevens

    Niet iedereen binnen je bedrijf hoeft toegang te hebben tot alle data die wordt verwerkt door AI-systemen. Zorg voor strikte toegangscontrole en zorg ervoor dat alleen bevoegde medewerkers toegang hebben tot gevoelige informatie. Het principe van least privilege kan hier van toepassing zijn: medewerkers krijgen alleen toegang tot de gegevens die ze nodig hebben voor hun specifieke taken.

    Transparantie en verantwoording

    Het gebruik van AI op de werkvloer kan leiden tot ongerustheid bij betrokkenen als ze niet precies weten hoe hun gegevens worden verwerkt. Het is daarom belangrijk om transparant te zijn over hoe AI-systemen werken en welke data worden verzameld. Zorg ervoor dat betrokkenen toegang hebben tot informatie over de werking van AI-toepassingen en dat ze de mogelijkheid hebben om vragen te stellen of bezwaren in te dienen.

    Beveilig je AI-Systemen

    AI-systemen kunnen net zo kwetsbaar zijn voor cyberaanvallen als andere IT-systemen. Zorg ervoor dat de AI-software die je gebruikt, goed beveiligd is en regelmatig wordt bijgewerkt. Encryptie, firewalls en andere beveiligingsmaatregelen moeten worden toegepast om datalekken te voorkomen. Bovendien kunnen AI-systemen zelf worden aangevallen via ‘adversarial attacks’, waarbij kwaadwillenden proberen het systeem te manipuleren door misleidende input te geven.

    Train AI op ethiek en bias

    AI-systemen nemen beslissingen op basis van de data waarop ze zijn getraind. Als deze data vooroordelen bevatten, kan de AI onbedoeld discriminerende of onethische beslissingen nemen. Dit kan een groot probleem zijn, vooral op de werkvloer waar beslissingen zoals promoties, beoordelingen of zelfs aanwervingen door AI worden beïnvloed. Zorg ervoor dat de AI getraind is op ethisch verantwoorde wijze, waarbij vooroordelen worden geïdentificeerd en gecorrigeerd.

    Implementeer dataminimalisatie

    Dataminimalisatie houdt in dat je alleen de data verzamelt die strikt noodzakelijk is voor het doel dat je wilt bereiken. Dit principe is niet alleen belangrijk vanuit een privacy-oogpunt, maar ook omdat het de blootstelling aan datalekken minimaliseert. Het gebruik van AI kan verleidelijk zijn om grote hoeveelheden gegevens te verzamelen, maar het is belangrijk om selectief en doelgericht te werken.

    Privacy audits uitvoeren

    Privacy is geen eenmalige actie, maar een voortdurend proces. Zorg ervoor dat je AI-systemen regelmatig worden gecontroleerd door privacy audits uit te voeren. Deze audits kunnen helpen om kwetsbaarheden te identificeren. Ze zorgen ook ervoor dat je organisatie voldoet aan de nieuwste privacy- en informatiebeveiligingsnormen.

    Bewustzijn bevorderen

    Het veilig gebruik van AI hangt niet alleen af van technologie, maar ook van mensen. Zorg ervoor dat medewerkers op de hoogte zijn van de risico’s en verantwoordelijkheden rondom het gebruik van AI en gegevensverwerking. Door trainingen en bewustwordingscampagnes te organiseren, zorg je ervoor dat iedereen binnen het bedrijf weet hoe ze AI op een veilige en privacyvriendelijke manier kunnen gebruiken.

    Balans tussen innovatie en verantwoordelijkheid

    AI biedt veel voordelen voor organisaties, maar het veilig en privacybewust gebruiken van AI is nog belangrijker om de risico’s van gegevensmisbruik te minimaliseren. Door transparantie, beveiliging, training en een goed begrip van regelgeving te combineren, kun je AI op een ethisch verantwoorde manier integreren in je werkprocessen. Het succes van AI in de toekomst hangt af van de balans tussen innovatie en verantwoordelijkheid.

    Privacy awareness trainingen met focus op AI-risico’s

    In de snel veranderende wereld van technologie en kunstmatige intelligentie (AI) is privacy belangrijker dan ooit. Onze Privacy awareness trainingen bieden organisaties de essentiële kennis om privacyrisico’s te herkennen en te beheersen, met speciale aandacht voor de impact van AI.

    Vraag een demo aan!

  • Wil jij aan de slag als Privacy Officer in de sector zorg en welzijn?

    Wil jij aan de slag als Privacy Officer in de sector zorg en welzijn?

    Een Privacy Officer in een zorg- en welzijnsorganisatie is verantwoordelijk voor het waarborgen van de naleving van de Algemene Verordening Gegevensbescherming (AVG). De taken van een Privacy Officer zijn erop gericht om ervoor te zorgen dat de persoonsgegevens van patiënten, cliënten en medewerkers veilig en volgens de wet worden verwerkt. Dit is vooral belangrijk in de sector zorg en welzijn, waar gevoelige medische gegevens worden verwerkt. Enkele belangrijke verantwoordelijkheden van een Privacy Officer zijn:

    • Toezicht houden op naleving van de privacywetgeving: De Privacy Officer zorgt ervoor dat de organisatie voldoet aan de AVG en andere relevante wet- en regelgeving. Dit omvat ook de zorgvuldige verwerking van medische dossiers.
    • Adviseren en ondersteunen: De Privacy Officer adviseert het management en de medewerkers over privacyvraagstukken. Denk hierbij aan persoonsgegevens die je wel of niet mag verwerken. Hoe sla je gegevens veilig op?  Hoe ga je om met datalekken?
    • Beleidsontwikkeling: De Privacy Officer helpt bij het opstellen van interne privacybeleid en procedures voor het verwerken van persoonsgegevens. Dit omvat onder andere protocollen voor toegang tot medische dossiers en het delen van gegevens met andere zorgverleners.
    • Bewustwording en training: Het verzorgen van trainingen en bewustwordingssessies voor medewerkers, zodat zij op de hoogte zijn van de privacyregels en weten hoe ze zorgvuldig met persoonsgegevens moeten omgaan.
    • Risicoanalyses en datalekken: De Privacy Officer voert risicoanalyses uit (zoals Data Protection Impact Assessments, DPIA’s) om te beoordelen waar er mogelijke risico’s zijn voor de privacy van betrokkenen. Daarnaast zorgt hij/zij ervoor dat datalekken worden gerapporteerd en de juiste stappen worden ondernomen om schade te beperken.
    • Toezien op gegevensbescherming bij nieuwe projecten: Bij nieuwe initiatieven of technologische toepassingen binnen de zorg (zoals apps, elektronisch patiëntendossier) zorgt de Privacy Officer ervoor dat deze voldoen aan de privacyregels en dat privacybescherming vanaf het ontwerp is meegenomen (privacy by design).
    Waarom is een Privacy Officer belangrijk voor zorg- en welzijnsorganisaties?

    In een tijd waarin informatiebeveiliging en privacy essentiële onderwerpen zijn geworden, wordt de functie van de Privacy Officer steeds belangrijker en noodzakelijker. Een Privacy Officer speelt een essentiële rol bij het beschermen van de persoonsgegevens in een zorg- en welzijnsorganisatie en zorgt ervoor dat alle privacygerelateerde processen veilig en volgens de wet verlopen. Maar om echt succesvol te zijn in deze rol, heb je inhoudelijke kennis van de AVG nodig. Zo moet je als Privacy Officer ook beschikken over bepaalde basisvaardigheden op het gebied van communicatie, samenwerking en het oplossen van problemen.

    Ben je op zoek naar een praktische opleiding voor Privacy Officer?

    Wij bieden online en klassikale trainingen aan voor Privacy Officer zorg en welzijn. Al onze trainingen zijn praktisch van aard en bestaan uit herkenbare casussen. Je krijgt direct toepasbare handvatten toegereikt om gelijk aan de slag te kunnen. Tijdens de training mag je altijd vragen stellen. Onze trainingen gaan altijd samen met persoonlijke aandacht. Je kan beginnen wanneer je wil, je ontvangt een certificaat en je mag je vragen stellen tijdens de training. Deze training kan je heel goed combineren met je baan.

    Download de brochure of schrijf je direct in!

  • Privacy en het leerlingvolgsysteem

    Privacy en het leerlingvolgsysteem

    De digitalisering van het onderwijs biedt zowel nieuwe kansen als (privacy)uitdagingen. Zo is het ouderportaal van het leerlingvolgsysteem een nuttig instrument om de betrokkenheid van ouders te vergroten. Dit portaal stelt scholen in staat om ouders/verzorgers op de hoogte te houden van de voortgang van leerlingen en andere schoolactiviteiten. Hierdoor kan het ouderportaal een waardevolle aanvulling vormen op persoonlijk contact, wat face-to-face gesprekken inhoudelijker maakt. Toch kan de privacy van leerlingen onnodig worden aangetast, bijvoorbeeld als er informatie wordt gedeeld die niet essentieel is voor de ondersteuning van het kind.

    Werken volgens het ‘need-to-know’ principe

    Het is daarom belangrijk dat de scholen en ouders zorgvuldig gebruik maken van het leerlingvolgsysteem. Scholen zijn wettelijk verplicht om ouders te informeren over de vorderingen van een minderjarig kind. Deze informatieverplichting geldt tot 18 jaar. Ouders moeten hun kind kunnen begeleiden en moeten de hiervoor noodzakelijke informatie van de school ontvangen. Tegelijkertijd heeft een kind recht op privacy. Scholen zijn op grond van onderwijswetgeving niet verplicht om alles wat zij over het kind weten op te nemen in het leerlingvolgsysteem. Het uitgangspunt in de privacywetgeving is ‘dataminimalisatie’: scholen doen er goed aan om alleen persoonsgegevens op te nemen die noodzakelijk zijn voor het leerproces. Dat betekent dat scholen moeten werken volgens het zogenoemde ‘need-to-know’-principe. Dat wil zeggen dat alleen degene die kennis mag hebben van bepaalde informatie, daarover beschikt. Er wordt dus alleen informatie met elkaar gedeeld als dit noodzakelijk is en niet omdat iets ‘nice-to-know’ is.

    Regels voor het leerlingvolgsysteem

    Leraren en andere onderwijsprofessionals moeten in hun werk steeds beslissingen nemen over de informatie die zij opnemen in het leerlingvolgsysteem en de informatie die zij delen met de ouders/verzorgers van een leerling via het ouderportaal. Het belang van het kind staat centraal. Iedereen die in het onderwijs werkt, moet zorgvuldig omgaan met de gegevens in leerlingdossiers en andere systemen. Een paar aandachtspunten:

    • Verwerk alleen gegevens in het leerlingdossier als dat noodzakelijk is voor het doel.
    • Let op dat de gegevens die u verwerkt in het leerlingdossier juist zijn.
    • Regel de beveiliging van en de toegang tot de leerlingdossiers goed. Dit houdt bijvoorbeeld in dat niet meer mensen toegang mogen hebben tot de persoonsgegevens van leerlingen dan noodzakelijk is voor het doel. Ook moet je de gebruikersactiviteiten van het systeem bijhouden (loggen).
    • Zorg ervoor dat je kunt aantonen dat je bij het gebruik van leerlingdossiers de regels van de Algemene verordening gegevensbescherming (AVG) naleeft. Dit heet de verantwoordingsplicht.
    • Zorg ervoor dat ouders of leerlingen hun privacyrechten kunnen uitoefenen. Zoals het recht op inzage.

    Meer informatie vind je op de website van Autoriteit Persoonsgegevens.

    Creëer privacybewustwording op jouw school

    Het effectief organiseren van informatiebeveiliging en privacy op school hangt sterk af van het creëren van bewustwording. Privacybewustwording is cruciaal om ervoor te zorgen dat jouw school compliant is met de regelgeving en de privacy van betrokkenen respecteert. Hier zijn enkele effectieve strategieën om privacybewustwording te creëren:

    • Regelmatige training: Organiseer verplichte trainingen waarin de basisprincipes van de AVG worden uitgelegd, inclusief wat persoonsgegevens zijn, hoe deze moeten worden verwerkt, en wat de rechten van betrokkenen zijn. Integreer korte toetsen en quizzen in trainingen om de kennis van de AVG onder medewerkers te testen en te versterken. Hier vind je meer informatie over AVG-trainingen voor het onderwijs.
    • Interne communicatie: Gebruik interne platforms om regelmatig updates en tips over de AVG te delen. Dit kan gaan over nieuwe ontwikkelingen, maar ook over best practices.
    • Nieuwsbrieven en posters: Stuur AVG-nieuwsbrieven en plaats posters in kantoren met kernboodschappen.
    • Leidinggevenden als voorbeeld: Zorg ervoor dat het management actief betrokken is bij AVG-compliance. Wanneer zij het goede voorbeeld geven, zullen anderen sneller volgen.
    • Phishing simulaties: Voer simulaties uit om medewerkers te trainen in het herkennen van phishingpogingen en andere risico’s die kunnen leiden tot datalekken. Hier vind je meer informatie over onze Full-service Phishing Simulatie.
    • Continu beleid en procedures evalueren: Voer interne audits uit om te controleren of iedereen zich aan de AVG-regels houdt.

    Door deze methoden te combineren, kun je ervoor zorgen dat privacybewustwording niet alleen een eenmalige inspanning is, maar een geïntegreerd onderdeel wordt van de schoolcultuur.

     

  • Vijf misverstanden over Informatiebeveiliging en privacy (IBP) in het onderwijs

    Vijf misverstanden over Informatiebeveiliging en privacy (IBP) in het onderwijs

    Eerste misverstand: IBP-beleid opgesteld = We voldoen nu aan de AVG!

    Het IBP-beleid is niet iets wat je een keer opstelt en daarna klaar bent. Het gaat om een continu proces. Het beleid moet regelmatig gedevalueerd en bijgewerkt worden. Ook moet het actief gecommuniceerd worden met alle medewerkers.

    Tweede misverstand: IBP is alleen gericht op (privacy)risico’s

    Het opstellen van een privacybeleid is niet alleen gericht op (privacy)risico’s, maar het heeft ook positieve effecten. Leerlingen, ouders en medewerkers krijgen meer zeggenschap over hun gegevens. Door duidelijk te maken welke gegevens worden verzameld, waarom en met wie ze worden gedeeld, kunnen alle betrokkenen beter geïnformeerd en gemotiveerd worden.

    Derde misverstand: IBP is alleen de verantwoordelijkheid van de ICT-afdeling en de Privacy Officer

    Sommige organisatie denken dat informatiebeveiliging en privacy alleen de verantwoordelijkheid is van de ICT-afdeling en de Privacy Officer. Maar het privacybeleid raakt iedereen die betrokken is bij het onderwijs, dus van bestuurder tot de vrijwilligers. Daarom is het belangrijk dat het privacybeleid wordt gedragen door de hele organisatie, van de bestuurder én alle medewerkers. Iedereen moet op de hoogte zijn van de privacyregels en -afspraken, en zich daaraan houden.

    Vierde misverstand: IBP is hetzelfde voor alle scholen

    IBP is niet hetzelfde voor alle scholen. Elke school heeft eigen afspraken en een eigen manier van werken. De inrichting van informatiebeveiliging en privacy is maatwerk en moet passen bij de missie, visie en cultuur van de school.

    Vijfde misverstand: IBP is juridisch en beperkt de onderwijskwaliteit

    Een goed privacybeleid zorgt juist voor meer transparantie, duidelijkheid, vertrouwen en betrokkenheid. Het is niet alleen een kwestie van het naleven van de privacywetgeving. Het gaat om de bescherming van gegevens van betrokkenen.

    Ben je op zoek naar een praktische training voor Privacy Officer in het Onderwijs

    Ben je werkzaam in het onderwijs en wil je jouw kennis over privacywetgeving verdiepen? Of ben je net aangesteld als Privacy Officer en zoek je praktische handvatten om jouw rol optimaal te vervullen? Onze training “Privacy Officer in het Onderwijs” bied je alle tools om aan de slag te gaan met informatiebeveiliging en privacy binnen jullie organisatie.

    Wat leer je?
    • Inzicht in de AVG en de gevolgen voor het onderwijs;
    • Praktische tips voor het opstellen van een privacybeleid;
    • Toezicht houden op naleving van de wetgeving;
    • Verwerkingsovereenkomsten en DPIA’s correct toepassen;
    • Omgaan met datalekken en rechten van betrokkenen.
    Voor wie?

    Deze training is speciaal ontwikkeld voor medewerkers in het onderwijs, zoals:

    • Privacy Officers
    • ICT-coördinatoren
    • Medewerkers met privacytaken
    Waarom kiezen voor deze training?
    • Casussen uit het onderwijs;
    • Actuele kennis over wetgeving en richtlijnen;
    • Direct toepasbaar in jouw eigen organisatie;
    • Begeleiding door ervaren trainers die werkzaam zijn in het onderwijs.

     

    Schrijf je vandaag nog in en word een expert in privacybescherming binnen het onderwijs!

  • Gedrag personeel en cultuur van grote invloed op cybersecurity en privacy binnen jouw bedrijf

    Gedrag personeel en cultuur van grote invloed op cybersecurity en privacy binnen jouw bedrijf

    Bedrijven beheren een schat aan data over klanten, medewerkers en hun eigen werkprocessen. Data waarvan je niet wilt dat ze zomaar op straat komen te liggen. Niet alleen grote bedrijven, maar ook kleine bedrijven beschikken over serieuze hoeveelheden data die goed beschermd moeten worden. Vaak denken kleine bedrijven dat ze niet veel te verliezen hebben en nemen ze een stuk minder maatregelen voor cybersecurity en privacy. Voor bedrijven die minder maatregelen nemen om hun data te beschermen, is het goed om te weten dat het gedrag van het personeel en de cultuur binnen een bedrijf een grote invloed heeft op cybersecurity en privacy. Daarnaast denken kleine bedrijven bij de cyber beveiliging van data vaak alleen aan mogelijke dreigingen van buitenaf, terwijl het grootste deel van de datalekken juist intern ontstaan.

    Gedrag personeel en cultuur

    Cybersecurity en privacy valt uiteen in 2 belangrijke aspecten: techniek en awareness. Zijn beheerders zich bewust van alle aspecten van dataprotection? En hebben alleen geautoriseerde mensen toegang tot bepaalde gevoelige data? Neem gegevens over de gezondheid en persoonlijke situatie van medewerkers of klanten. Wie mogen die allemaal zien? Welke gegevens mag je wel en niet aan de leidinggevende beschikbaar stellen? Mag de werkgever camera’s inzetten om zijn medewerkers in de gaten te houden? Hoe wordt de privacy cultuur van binnen het bedrijf geborgd? Gaat het personeel van jouw bedrijf zorgvuldig om met persoonsgegevens? Als je de cybersecurity en privacy goed wil borgen, is het ook belangrijk om aandacht te besteden aan jouw personeel. Met alleen techniek, procedures en afvinklijstjes, ben je er nog niet. Zonder het juiste gedrag is jouw bedrijf nog steeds niet goed beschermd.

    cybersecurity bedrijf

    Menselijke fouten en cybersecurity

    De media staan vol met berichten over datalekken. Denk aan phishing, een verloren onbeveiligde USB-stick, een vergeten laptop zonder encryptie en een wachtwoord dat in verkeerde handen kwam. Menselijke fouten dus. Awareness over cybersecurity en privacy hangt samen met vier belangrijke aspecten: kennis, gedrag, cultuur en omgeving. Bij kennis moet je denken aan afspraken, processen, protocollen en prioriteit. Gedrag gaat over houding, zorgvuldigheid en motivatie. Cultuur heeft te maken met normen en waarden. Omgeving gaat over het individu, de groep en het bedrijf. Deze vier aspecten zijn belangrijk voor dataprotectie en privacy. Een gebrek aan bijvoorbeeld motivatie en nauwkeurigheid onder het personeel kan een negatieve invloed hebben op de bescherming van data binnen een bedrijf.

    Aanbevelingen gedrag personeel en cultuur

    Aanbeveling is om een securitybeleid op te stellen met duidelijke richtlijnen en protocollen.  Implementeer het securitybeleid en onderhoud het continu. Compliant worden, is een continu en duurzaam proces. Denk ook aan een communicatieplan en neem ook nieuwe medewerkers hierin mee. De mens is immers de zwakste schakel in de informatiebeveiliging. Maak een plan over welke middelen die je wil inzetten voor cyberawareness, bijvoorbeeld een nieuwsbrief, een e-learning of een phishing simulatie. Ga aan de slag met een programma dat past bij jouw doelgroep.

     

  • 5 redenen waarom jouw bedrijf een Privacy Officer (PO) moet hebben

    5 redenen waarom jouw bedrijf een Privacy Officer (PO) moet hebben

    Een goede cybersecurity is van groot belang voor álle bedrijven, groot of klein. Het aantal gevallen van cybercriminaliteit zoals phishing, hacking, social engineering is de afgelopen jaren wereldwijd fors toegenomen. Cybercrime vormt een groot probleem voor ondernemers. Hoe is de cybersecurity van jouw bedrijf geregeld? Hoe bescherm je jouw bedrijfsgegevens en de privacy van je klanten. Om de cybersecurity en privacy binnen jouw organisatie te regelen moet je securitymaatregelen nemen, zaken organiseren en privacyrisico’s in kaart brengen. Dat is het werk van een Privacy Officer (PO). Een PO helpt je met alle informatie die je nodig hebt over cybersecurity en de AVG. In dit artikel vind je 5 redenen waarom jouw bedrijf een Privacy Officer moet hebben.

    Het securitybeleid van jouw bedrijf

    Een Privacy Officer of een Security Officer zorgt voor grip op cybersecurity en privacy in jouw bedrijf. Hij of zij helpt je om te zien of er binnen jouw bedrijf voldoende maatregelen zijn getroffen om persoonsgegevens goed te beschermen. De PO helpt met het opstellen, actualiseren en bewaken van het securitybeleid. Denk hierbij aan zaken zoals het verwerkingsregister, dataminimalisatie, DPIA’s, datalekregister, privacyrechten van betrokkenen en informatiebeveiliging. Een securitybeleid is nodig om aan te tonen dat jouw bedrijf voldoet aan de Algemene verordening persoonsgegevens. Dat heet de verantwoordingsplicht.

    De Privacy Officer als aanspreekpunt

    De PO is het dagelijkse aanspreekpunt voor collega’s en externe partijen als het gaat om informatiebeveiliging en privacy. Denk aan zaken zoals adviezen over privacy compliance, adviezen bij het opstellen van werkprocessen en procedures, coördinatie rondom datalekken. Elk bedrijf krijgt wel een keer te maken met een datalek en is het dan belangrijk direct actie te ondernomen. Zo voorkom je dat de schade voor jouw bedrijf en andere betrokkenen zo klein mogelijk blijft. Soms moet een datalek ook gemeld worden aan de Autoriteit Persoonsgegevens (AP).

    Security awareness van jouw medewerkers

    In elk bedrijf heb je te maken met insider threats. Insider threats zijn datalekken die worden veroorzaakt door bewust of onbewust handelen van eigen personeel. Denk bijvoorbeeld aan een medewerker die per ongeluk belangrijke dossiers naar een verkeerde ontvanger verstuurt of een medewerker die geen phishingberichten kan herkennen. Eén van de taken van een Security Officer is om een doorlopende awareness programma op te zetten. Wanneer de cyberawareness van jouw personeel stijgt, loopt jouw bedrijf minder kans om getroffen te worden door een datalek of een cyberaanval.

    De Privacy Officer en DPIA’s

    Organisaties moeten een data protection impact assessment (DPIA) uitvoeren wanneer een gegevensverwerking waarschijnlijk een hoog privacyrisico oplevert voor betrokkenen. Een Privacy Officer heeft een belangrijke taak bij de uitvoering van DPIA’s. De PO adviseert over de noodzaak van een DPIA en is altijd betrokken bij de uitvoering ervan.

    Verwerkersovereenkomsten

    Vanuit de privacywetgeving moet een bedrijf zorgdragen voor de beveiliging van de persoonsgegevens die worden verwerkt, dit geldt dus ook wanneer persoonsgegevens worden verwerkt door een derde partij. Jouw bedrijf blijft namelijk te allen tijde de verwerkingsverantwoordelijke. Je moet goede afspraken maken met de verwerker om ervoor te zorgen dat ook hij/zij de juiste beveiligingsmaatregelen treft om de persoonsgegevens te beschermen. Doorgaans gebeurt dit in een verwerkersovereenkomst. De Security Officer ondersteunt en adviseert bij het opstellen en bijhouden van verwerkersovereenkomsten met externe partijen. Hij/zij zorgt ervoor dat een verwerkersovereenkomst wordt opgesteld volgens de eisen van de AVG.

    Ben je op zoek naar een praktische training voor Privacy Officer?

    Wij bieden online Privacy Officer trainingen voor verschillende branches: onderwijs, overheid, zorg en welzijn, zakelijk Nederland en kinderopvang. Al onze trainingen zijn praktisch van aard en bestaan uit herkenbare casussen. Je krijgt direct toepasbare handvatten toegereikt om gelijk aan de slag te kunnen. Tijdens de training mag je altijd vragen stellen. Onze trainingen gaan altijd samen met persoonlijke aandacht. Je kan beginnen wanneer je wil, je ontvangt een certificaat en je mag je vragen stellen tijdens de training. Deze training kan je heel goed combineren met je baan.

    Privacy Officer bedrijf

  • Hoe wordt de gegevensverwerking bij bewegingsonderwijs op jouw school gewaarborgd?

    Hoe wordt de gegevensverwerking bij bewegingsonderwijs op jouw school gewaarborgd?

    Scholen maken steeds vaker gebruik van softwareapplicaties om sport(resultaten) van kinderen bij te houden. Veel softwareapplicaties bieden ook de mogelijkheid om bijzondere persoonsgegevens zoals gezondheidsgegevens van kinderen te verwerken. Daarnaast kunnen verschillende partijen gebruikmaken van deze softwareapplicaties. Privacy experts die werkzaam zijn in het onderwijs komen ook overeenkomsten tegen waarin niet goed is beschreven wie verantwoordelijk is voor de verwerking van de persoonsgegevens in de software. Maakt jouw school ook gebruik van een softwareapplicatie voor bewegingsonderwijs? Hoe wordt de gegevensverwerking bij bewegingsonderwijs op jouw school dan gewaarborgd? Mag je als school of buurtsportcoach de gegevens van de kinderen wel gebruiken en is het toegestaan om ze te delen met partijen zoals een gemeente, sportvereniging of GGD?

    De rol van de school bij gegevensverwerking bewegingsonderwijs

    Vaak is er onduidelijkheid over de rol van een school bij gegevensverwerking op het gebied van bewegingsonderwijs. Wie is de verwerkingsverantwoordelijke? Wie is de verwerker? Volgens de privacywetgeving is de school altijd de verwerkingsverantwoordelijke en de softwareleverancier de verwerker. Voor de verwerking van bijzondere persoonsgegevens van leerlingen zoals gezondheidsgegevens moet de school altijd om toestemming vragen bij ouders/verzorgers (<16 jaar). Gelet op de aard en omvang van de gegevens, waaronder bijzondere persoonsgegevens, en het feit dat kinderen zijn aan te merken als kwetsbare personen, is het van groot belang dat scholen zorgvuldig omgaan met de verwerking van deze persoonsgegevens in een softwareapplicatie en de beginselen van de Algemene verordening gegevensbescherming (AVG) daarbij in acht nemen. Het is belangrijk dat de school goed in kaart brengt voor welk doel deze gegevens verwerkt worden en welke gegevens precies daarvoor noodzakelijk zijn. De school moet een juiste grondslag hebben voor de verwerking van deze persoonsgegevens.

    De rol van de softwareleverancier bij gegevensverwerking bewegingsonderwijs

    Bij gegevensuitwisseling bewegingsonderwijs heeft de softwareleverancier de rol van verwerker. De softwareleverancier verwerkt de persoonsgegevens in opdracht van de school. De verwerker mag deze gegevens niet voor eigen doeleinden gebruiken. In veel softwareapplicaties die bij bewegingsonderwijs worden gebruikt, kunnen ook gevoelige en bijzondere persoonsgegevens zoals gewicht, lengte, BMI, motorische vaardigheden en beweegvaardigheden worden verwerkt. De verwerker moet de gegevens voldoende beveiligen, rekening houdend met de huidige stand van de techniek en actuele (cyber)dreigingen. De school is verplicht een verwerkersovereenkomst af te sluiten met de verwerker. In die overeenkomst staan onder meer afspraken over de precieze opdracht van de gegevensverwerking en wat de softwareleverancier/ verwerker wel en niet mag doen met de verstrekte gegevens van de leerlingen.

    De rol van de buurtsportcoaches bij gegevensverwerking bewegingsonderwijs

    Op het gebied van bewegingsonderwijs werken scholen ook vaak samen met buurtsportcoaches. Buurtsportcoaches kunnen in dienst zijn bij een vereniging, een gemeente of ze kunnen ook ZZP’er zijn. Buurtsportcoaches die in loondienst zijn bij een school mogen de gegevens van de leerlingen wel inzien, omdat ze onder het rechtstreekse gezag en toezicht vallen van het schoolbestuur. Bij een buurtsportcoach die in dienst is bij een derde partij, zoals een vereniging of een gemeente moet er een overeenkomst afgesloten worden waarin alle belangrijke informatie over de samenwerking staat. De school zorgt ervoor dat in de overeenkomst expliciet wordt opgenomen dat de buurtsportcoach een geheimhoudingsplicht heeft en onder leiding en toezicht van de school gaat werken. Een ZZP-buurtcoach is in principe een verwerker. De school sluit dan een verwerkersovereenkomst met een geheimhoudingsplicht af met de ZZP-buurtcoach.

    Aandachtspunten gegevensverwerking bewegingsonderwijs

    • Het is erg belangrijk om als school het beheer over de software en de gegevensverwerking altijd in eigen hand te hebben.
    • Maak goede afspraken met buurtsportcoaches en andere externe partijen.
    • Deel nooit zomaar gegevens van leerlingen met andere partijen.
    • Zorg ervoor dat er uitdrukkelijke toestemming van ouders en leerling goed is geregeld.
    • Informeer ouders actief over de gegevensverwerking en over hun privacyrechten.
    • Bijzondere persoonsgegevens mag je alleen verwerken als je kunt baseren op een uitzondering én op één van de grondslagen voor het verwerken van ‘gewone’ persoonsgegevens.
    • Houd er rekening mee dat de AVG van toepassing is op anonieme gegevens.

    De rol van de Functionaris gegevensbescherming en privacy officer bij gegevensverwerking bewegingsonderwijs

    De Functionaris gegevensbescherming en/of privacy officer heeft een belangrijke rol bij de gegevensverwerking bewegingsonderwijs. De school is afhankelijk van de kennis en kunde van deze privacy professionals. Wil jij een praktische opleiding volgen om je school te kunnen voorzien van goede adviezen? Wil je concrete handvatten om als Functionaris gegevensbescherming of als Privacy Officer aan de slag te gaan? Dan is een training van AVG-trainingen wel iets voor je. Onze trainingen zijn ontwikkeld door privacy professionals uit het werkveld. Onze privacy experts weten als geen ander hoe ze de complexiteit van juridisch taalgebruik moeten omzetten naar praktisch toepasbare handvatten.

    Nieuwsgierig naar de trainingen?

    gegevensuitwisseling bewegingsonderwijs

    Bronnen:

    Autoriteit Persoonsgegevens

    PO-RAAD

    Kennisnet

  • Spoofing herkennen en voorkomen

    Spoofing herkennen en voorkomen

    Je ontvangt een e-mail van een bekende organisatie zoals je bank of een overheidsinstantie. In het bericht wordt gevraagd om in te loggen om je gegevens veilig te stellen. Bij spoofing nemen cybercriminelen een andere identiteit aan om je vertrouwen te winnen. Je ontvangt bijvoorbeeld een phishingmail van een bestaand e-mailadres van een bekende organisatie. Hoe werkt spoofing? Wat is het en hoe kun je spoofing herkennen en voorkomen?

    E-mailspoofing 

    E-mailspoofing is een techniek die cybercriminelen bij phishingberichten gebruiken om het vertrouwen van mensen te winnen. Ze willen dat je gaat geloven dat het bericht afkomstig is van een bekende organisatie of persoon. Cybercriminelen maken gebruik van de nieuwste technieken om phishingberichten te maken en te versturen. Een phishingbericht kan er dus behoorlijk echt uitzien. Het is dus belangrijk om altijd voorzichtig te blijven en ervoor te zorgen dat je op tijd doorhebt dat je te maken hebt met een nep e-mailbericht.

    Websitespoofing

    Bij websitespoofing gaat het om een neppe website die precies lijkt op de officiële website van een bekende organisatie. Zelfs de link van de website lijkt bijna hetzelfde, maar als je goed oplet, zie je dat er een letter is omgewisseld of dat de spelling niet klopt. Op zo’n valse website kan malware staan die de bestanden op je computer kunnen vergrendelen. Check daarom altijd de URL. Als deze niet overeenkomt, heb je hoogstwaarschijnlijk te maken met een neppe website!

    Telefoonnummerspoofing

    Je wordt bijvoorbeeld door een medewerkers van een bekende organisatie gebeld met de mededeling dat jouw pasje bijna verloopt. Je moet het pasje en jouw pincode opsturen. Dit trucje kennen we intussen al. Maar cybercriminelen gaan steeds slimmer te werk. Ze bellen je als helpdeskmedewerker van een groot bekend bedrijf, zoals Microsoft. Je moet bijvoorbeeld een bestand downloaden om toegang te krijgen tot je computer of laptop. Ga niet in op verzoeken van personen die om jouw bankgegevens vragen. Blijf oplettend, want een medewerker van een bank zal nooit naar jouw pincode vragen.

    Hoe kun je spoofing voorkomen?

    Wees altijd alert! Spoofing zal nog lang blijven, omdat cybercriminelen steeds meer beschikking hebben over nieuwe technieken om hun werk te verfijnen. Je moet dus altijd alert zijn: leer phishing herkennen, maak nooit zomaar geld over, klik nooit zomaar op links en stuur nooit je pinpas op. Neem bij twijfel altijd contact op met de organisatie. Bel hen op via het telefoonnummer dat op hun website staat. Klik nooit op de link in het bericht, maar gebruik een zoekmachine om naar de website te gaan.

    Spoofing en medewerkers

    Ook medewerkers krijgen te maken met spoofing. Maak je medewerkers bewust van deze vorm van fraude. Wil je de kans op cyberdreigingen verkleinen en ben je op zoek naar een effectief awareness programma voor je organisatie? Wij hebben Privacy365 ontwikkeld voor organisaties die proactief aan de slag willen met cyberawareness van hun medewerkers. E-learning voor medewerkers met herkenbare casussen per branche en doelgroep, specialisatie trainingen voor leidinggevenden, posters, content voor nieuwsbrieven en een full-service Phishing simulatie.

    Spoofing herkennen

  • CDPO: een officiële beroepscertificering of gewoon een woordmerk?

    CDPO: een officiële beroepscertificering of gewoon een woordmerk?

    CDPO is de afkorting voor Certified Data Protection Officer. Aan ons wordt vaak de vraag gesteld of CDPO een officiële beroepscertificering is? En wat houdt het register Certified Data Protection Officers precies in? Ons antwoord is heel simpel: “De antwoorden op deze vragen, vind je in de kleine lettertjes. Certified Data Protection Officer (CDPO) is geen officiële beroepscertificering én het is ook niet officieel erkend door de Autoriteit Persoonsgegevens (AP) of een beroepsgroep. Het is gewoon een woordmerk.“

    CDPO en de Autoriteit Persoonsgegevens

    In de Guidelines on Data Protection Officers geven de Europese privacytoezichthouders uitleg over de rol en taken van een Data Protection Officer, ook bekend als Functionaris gegevensbescherming (FG). De Autoriteit Persoonsgegevens (AP) stelt geen eisen op opleidingsgebied en er bestaat geen FG/DPO – opleiding die door de AP is gecertificeerd. Er zijn geen privacy opleidingen die gecertificeerd zijn door de Autoriteit Persoonsgegevens (AP) of de Europese privacytoezichthouders. CDPO is dus ook niet gecertificeerd door de Autoriteit Persoonsgegevens, maar het is gewoon een woordmerk. Het label CDPO of een premium beroepscertificering voor Privacy Professionals zegt niets over de kwaliteiten of de ervaring van een DPO, want het zijn juist de functie-eisen die ertoe doen bij een Data Protection Officer. Volgens de AP heeft een DPO of FG bovengemiddelde vakkennis en vaardigheden op het gebied van privacywetgeving én de praktijk van gegevensbescherming nodig.

    Is er een officieel erkend register voor Data Protection Officers?

    Nee, er is nog geen officieel openbaar register voor Data Protection Officers beschikbaar dat is erkend door de Autoriteit Persoonsgegevens of een beroepsgroep. Een register is een lijst waarin staat wie welke training/ cursus heeft gevolgd. Elk opleidingsinstituut houdt zo’n lijstje bij, dat is een plicht. Dus ook aanbieders van DPO-trainingen. Het is dan ook jammer dat bepaalde aanbieders een vergoeding vragen voor het register/lijstje van hun organisatie.

    Waarom bieden wij geen Certified trainingen aan?

    AVG-trainingen biedt geen Certified -trainingen aan, omdat er geen erkende certificatie voor DPO’s bestaat. Wij hebben praktische opleidingen ontwikkeld waarin alle facetten van de AVG wordt uitgelegd aan de hand van theorie, casussen en praktische opdrachten. Je kunt direct aan de slag en wij garanderen altijd persoonlijke aandacht, ook na de opleiding. Een label CDPO of een premium beroepscertificering zegt niets over de kwaliteiten of ervaring van een DPO, want het zijn juist de functie-eisen en de beroepspraktijk die ertoe doen bij een DPO. Vaak zie je dat cursisten flink moeten betalen voor een woordmerk, maar is dat wel reëel? En waarom is het nodig om cursisten te laten betalen om in een register opgenomen te worden onder het mom van ‘je bent nu gecertificeerd DPO en ingeschreven in het register? In de praktijk bestaan er meerdere registers met DPO’s/ FG’s naast elkaar. Wat voor zin heeft het?

    Voor elke sector een eigen DPO-training

    Wij hebben voor elke sector een eigen DPO-training ontwikkeld. Een DPO heeft niet alleen kennis van nationale en Europese wet- en regelgeving voor gegevensbescherming nodig, maar ook kennis van de gegevensverwerkingen die de organisatie uit een bepaalde sector uitvoert. Kennis van de organisatie en de sector waarin die actief is, is van essentieel belang.

    CDPO geen officiele beroepscertificering

  • Checklist Cybersecurity

    Checklist Cybersecurity

    Sinds enkele jaren nemen cyberdreigingen wereldwijd toe. Cybercriminelen kunnen tegenwoordig veel sneller grote hoeveelheden phishing e-mails versturen door gebruik te maken van AI-tools. Cybercrime blijft een grote problematiek, nu en in de toekomst. Wil je de kans op cyberdreigingen verkleinen? Onderstaande Checklist Cybersecurity helpt je om je organisatie beter te beschermen en voor te bereiden.

    Checklist Cybersecurity

    Besteed regelmatig aandacht aan phishing

    Lees ook het artikel ‘Waarom je regelmatig aandacht moet besteden aan phishingmails’. Het gevaar van phishing en ransomware loert constant om de hoek. Elke organisatie groot en klein moet zich er vandaag de dag van bewust zijn dat het op ieder moment slachtoffer kan worden van een hack-aanval. Het is dus van groot belang je organisatie goed te beschermen tegen cybercrime. Cyberbeveiliging is een continu proces. Het volstaat niet om werknemers één keer te zeggen dat ze zorgvuldig moeten omgaan met data, niet op links in mails van onbekende afzenders moeten klikken. Je moet ze regelmatig trainen om hun awareness op peil te houden.

    Ben je op zoek naar een effectief awareness programma voor je organisatie?

    Lees eerst de 5 tips voor een effectief security awareness programma en ga aan de slag. Wij hebben Privacy365 ontwikkeld voor organisaties die proactief aan de slag willen met privacyawareness van hun medewerkers. Privacy365 is een totaalpakket dat je kunt inzetten om de boodschap over cybersecurity en privacy op verschillende manieren binnen jouw organisatie over te brengen. E-learning voor medewerkers met herkenbare casussen, specialisatie trainingen voor leidinggevenden, posters, content voor nieuwsbrieven, kennisbank AVG en een full-service Phishing simulatie.