Beleid voor privacytraining, bewustwording en competentie

Het Beleid voor privacytraining, bewustwording en competentie definieert hoe een organisatie privacytraining beheert binnen haar privacy-informatiemanagementsysteem. Het doel is ervoor te zorgen dat personen van wie het werk invloed heeft op de verwerking van persoonsgegevens hun verantwoordelijkheden begrijpen, training volgens een gedefinieerde frequentie voltooien, rolrelevante competentie behouden en auditeerbaar bewijsmateriaal van training, bewustwording en escalatie produceren. Het beleid is van toepassing in de contexten van verwerkingsverantwoordelijke, gezamenlijke verwerkingsverantwoordelijke, verwerker en subverwerker, waardoor het relevant is voor organisaties die persoonsgegevens rechtstreeks verwerken en voor organisaties die handelen op basis van klantinstructies of via verwerkingsregelingen met derde partijen. De reikwijdte is bewust breed en operationeel. Het beleid is van toepassing op personeel, contractanten, tijdelijk personeel, relevante derde partijen, verwerkers, subverwerkers en andere belanghebbenden van wie het werk invloed kan hebben op de verwerking van persoonsgegevens, rechten van betrokkenen, privacyrisico, informatiebeveiliging met betrekking tot persoonsgegevens, instructies aan verwerkers, privacyincidenten, gedocumenteerde informatie of nalevingsbewijsmateriaal. Het beleid omvat identificatie van privacytrainingsdoelgroepen, onboardingtraining, jaarlijkse opfristraining, rolgebaseerde en door gebeurtenissen getriggerde training, bewijs van voltooiing van training, escalatie bij niet-voltooiing, beoordeling van trainingseffectiviteit en bewijsmateriaal voor trainingsassurance van verwerkers, subverwerkers en derde partijen. Een centraal kenmerk van het beleid is het bewijsmodel. Het bepaalt dat er geen afzonderlijke trainingsmatrix, geen afzonderlijk dashboard, geen afzonderlijk competentieregister, geen afzonderlijk disciplinair register of geen afzonderlijk klanttrainingsregister wordt aangemaakt. In plaats daarvan worden trainingstoewijzingen, voltooiingen, herinneringen, bewijsmateriaal over competentie en bewijsmateriaal over bewustwording vastgelegd in REG11. Uitzonderingen, escalaties, non-conformiteiten, corrigerende maatregelen en bewijsmateriaal van beoordelingen worden vastgelegd in REG12. Bewijsmateriaal voor trainingsassurance van verwerkers, subverwerkers en derde partijen wordt waar relevant vastgelegd in REG08, terwijl input uit incidentlessen via REG10 kan worden gekoppeld. Deze aanpak helpt privacytraining traceerbaar te houden zonder registers te dupliceren of onnodige administratieve lasten te creëren. Het beleid stelt specifieke trainingsfrequenties en triggers vast. Basistraining voor privacybewustzijn moet binnen 10 werkdagen na onboarding worden toegewezen aan personeel met toegang tot persoonsgegevens of PIMS-verantwoordelijkheden, en personeel moet privacytraining bij onboarding voltooien voordat onbegeleide toegang tot persoonsgegevens wordt goedgekeurd of binnen 30 dagen na onboarding, afhankelijk van wat zich het eerst voordoet. Jaarlijkse privacyopfristraining moet ten minste eenmaal per 12 maanden worden toegewezen. Gerichte opfristraining is vereist binnen 30 dagen na een wezenlijke wijziging van privacybeleid, een wezenlijke wijziging van een PIMS-proces, een auditbevinding, terugkerend falen van training of een relevante les uit een incident met betrekking tot persoonsgegevens. Rolgebaseerde training is ook vereist voordat personeel verantwoordelijkheden op zich neemt met betrekking tot rechtsgrondslag, privacyverklaringen, toestemming, rechten van betrokkenen, DPIA's, bewaring, gegevensdeling, internationale doorgiften, geprivilegieerde toegang, beveiligingsbeheer, logging, monitoring of ondersteuning bij incidenten. Governance en handhaving zijn in het beleid ingebouwd via gedefinieerde verantwoordelijkheden, monitoring en escalatie. De Privacy Lead / PIMS-manager onderhoudt trainingsinhoud, toewijzingen, bewijs van voltooiing, kennisnames en bewijsmateriaal over doeltreffendheid. Proceseigenaren ondersteunen voltooiing voor personeel onder hun verantwoordelijkheid, systeemeigenaren verifiëren training voordat zij geprivilegieerde toegang of toegang tot systemen met persoonsgegevens met hoge impact goedkeuren, en leveranciers-/inkoopeigenaren onderhouden training of gelijkwaardig assurancebewijsmateriaal voor leveranciers, verwerkers, subverwerkers en externe arbeidskrachten. Het beleid vereist een kwartaalbeoordeling van voltooiing, achterstallige training, rolgebaseerde toewijzingen en uitzonderingen, waarbij onopgeloste hiaten in bewijsmateriaal vóór de directiebeoordeling worden gerapporteerd. Beoordelaars van interne audit en naleving nemen steekproeven van REG11- en REG12-bewijsmateriaal volgens het goedgekeurde auditplan, ter ondersteuning van voortdurende verbetering en verantwoordingsplicht die geschikt is voor certificering.