Romeo Kadir, hoofddocent van de Nederlandse Privacy Academie (NPA) over de e-learning module Privacy Awareness:

“Een praktische opleiding die waarde toevoegt aan de privacypraktijk”

De Nederlandse Privacy Academie (NPA) introduceert in 2016 een e-learning module op het gebied van privacy awareness. Tijdschrift Privacy sprak met Romeo Kadir, hoofddocent van de NPA, over deze nieuwe digitale opleiding.

                                                                                                                                              Tekst: René Schellingerhout
                                                                                                                                              Foto’s: Joris Louwes

Wat is de Nederlandse Privacy Academie?
“De NPA is een opleidingsinstituut dat zich volledig richt op educatie op het gebied van privacy en dataprotectie. Naast de reguliere opleidingen, trainingen en cursussen kun je bij ons onder meer workshops, seminars en masterclasses volgen, al dan niet in-company.”

RomeoKlein2Wie zijn jullie doelgroepen?
“Iedereen in een organisatie die basiskennis of specifieke kennis wil verwerven op het gebied van privacy en dataprotectie, van bestuur tot postkamer. Onze doelgroepen zijn praktijkmensen, ons opleidingsaanbod is dan ook praktijkgericht. Dat is een bewuste keuze, want hoe interessant de academische en theoretische discussies over privacy ook mogen zijn, in de dagelijkse praktijk dient de feitelijke borging van privacy vorm te krijgen.”

U zegt praktijkmensen. Aan welke functietypen moet ik dan denken?
“Aan functionarissen gegevensbescherming vooral, maar zeker niet uitsluitend. Ook aan medewerkers die de privacymaatregelen de facto moeten borgen in de organisatie, en tevens aan de algemene medewerker die basiskennis behoeft over de omgang met privacy. Het kan dus om heel uiteenlopende functies gaan.”

In welke vormen biedt de NPA opleidingen aan?
“Voornamelijk in-class trainingen, dat kan zowel op een externe locatie zijn als in-company. Het voordeel van een in-company training is dat deze is samengesteld aan de hand van de specifieke leerbehoefte van de opdrachtgever. Deze trainingen zijn ook praktijkgericht waardoor je in reguliere bedrijfsvoering van een organisatie snel resultaten kunt boeken.”

Kunt u een voorbeeld noemen van die praktijkgerichtheid?
“We stellen direct aan het begin van ieder trainingsproces de vraag naar de primaire kennisbehoefte. Vervolgens worden op de praktijk van de organisatie gestoelde thema’s benoemd en uitgewerkt. Dat maakt het denk ik heel interessant voor veel bedrijven die in de praktijk met privacyvraagstukken aan de slag moeten.”

De NPA is bezig met het ontwikkelen van e-learning modules. Hoe werkt e-learning?
“Kort gezegd is een e-learning een studiemethode waarbij je gebruik maakt van een computer, tablet of andere device die is aangesloten op een computernetwerk. E-learning biedt de mogelijkheid om digitaal en al dan niet webbased een opleiding, training, cursus, workshop, seminar of masterclass te volgen. De NPA gaat degene die een kennisbehoefte heeft e-learning modules aanbieden op verschillende privacythema’s, heel praktisch en voorzien van alle moderne faciliteiten. We leiden de student op in een tempo, een beschikbaarheid en op een niveau dat primair door hem of haar wordt bepaald. E-learning maakt dat mogelijk.”

RomeoKleinStaandVoor welke privacythema’s gaat de NPA leermodules aanbieden?
“Naast de op internet weergegeven standaardthema’s op basis van open inschrijving, bieden we privacygerichte in-company e-learning modules aan. De opdrachtgever bepaalt in dat geval zelf waaraan hij behoefte heeft, indien gewenst in onderling overleg. Veel voorkomende vragen van opdrachtgevers zijn onder meer: Hoe voer ik een Privacy Impact Assessment, een PIA, uit? En welke specifieke termen kom ik tegen op het gebied van privacy en dataprotectie? Met welke privacyaspecten moet ik rekening houden vanuit mijn securityfunctie? En hoe werkt dat dan in de praktijk? De opbouw van onze modules is als volgt; de student krijgt een theoretische inleiding en  vervolgens krijgt hij praktische vragen die hij moet beantwoorden. Bij elke cursus wordt de vraag gesteld of er behoefte is aan klassikale vervolgsessies. Indien daar voldoende belangstelling voor is, kan de NPA deze organiseren.”

“Een veel voorkomende vraag is: Hoe voer ik een Privacy Impact Assessment uit?”


Hoe bepaal je op welk niveau je kunt beginnen?

“We bieden drie niveaus aan; basis, gevorderden en professioneel. Het bijzondere aan onze e-learning module is dat we zelf geen voorselectie op niveau maken, maar de cursist dit zelf kan aangeven. Als het aantal goede antwoorden op bijvoorbeeld professioneel niveau niet voldoende is, adviseren we de student om een niveau naar beneden te gaan op gevorderden niveau. Maar je kunt ook op basisniveau beginnen en zo alle drie de niveaus doorlopen. In die zin is het een zelfsturende module. Bij het succesvol afronden van de module ontvang je een certificaat van de NPA. Met dit certificaat kun je, conform de wetgeving, evidence based aantonen dat je minimaal die basiskennis privacy in huis hebt.”

Wat is er nodig om de modules te kunnen volgen?
“Het doel is dat je vanaf je bureaublad op je computer, al dan niet toegewezen door je leidinggevende, een aantal modules kunt volgen. Daarvoor ontvang je een toegangscode en vervolgens krijg je de keuze uit een aantal specifieke onderdelen van het kennisprogramma, het curriculum, waarop je kennis wilt verwerven. De e-learning module is toegankelijk in de ‘look and feel’ van de eigen organisatie. Je kunt de software dus draaien op de systemen die al in huis zijn. De module is voornamelijk webbased en technisch relatief eenvoudig in te richten.”

Welke bijzonderheden bevat de e-learning module?
“Een heel aardig voorbeeld is dat de deelnemer een eigen digitale privacybibliotheek kan toevoegen aan de module, waarbij je literatuur kunt verzamelen die je niet alleen voor je module maar ook voor de praktijk kunt gebruiken. Met deze gepersonaliseerde bibliotheek kun je je eigen leeromgeving creëren.”

Waar kun je de modules volgen? En hoe lang duurt een cursus?
“Deelnemers kunnen de cursus thuis of op het werk volgen. Indien gewenst bepalen we de locatie in overleg met de opdrachtgever. De duur van de cursus is sterk afhankelijk van het aantal thema’s waarin je jezelf wilt trainen. Het streven is dat je de basiskennis privacy binnen een half uur kunt afronden. Dat is de korte versie, maar er zijn ook langere versies.”

De NPA biedt in 2016 een e-learning module aan over privacy awareness. Vanwaar dit thema?
“Om verschillende redenen. Privacy awareness is straks een wettelijke eis waarop toezichthoudende instanties organisaties ook zullen toetsen. Maar we doen het vooral omdat privacy awareness een voorwaarde is voor het goed laten landen van privacymaatregelen in een organisatie. Het begint bij awareness en een gedegen basiskennis. De NPA biedt bijvoorbeeld een e-module privacy nulmeting aan voor gemeenten. Deze nulmeting gaat vooral over de mate waarin je je bewust bent van een aantal privacyaspecten. Het is dus een nulmeting op awareness.”

“Privacy awareness is een voorwaarde voor het goed laten landen van privacymaatregelen in een organisatie”

Hoe maak je een abstract thema als privacy awareness concreet?
“Door een bepaalde meet- en vraagmethodiek toe te passen, krijg je toch een aardige indicatie van iemands bewustzijn over privacy. In de aangeboden module zijn deze bewustzijnsgerichte vragen verwerkt. Concreet zijn dat vragen als: Weet je bij een datalek in je organisatie bij wie je dit moet melden? Of: Ben je je ervan bewust dat indien je zelf een datalek veroorzaakt, je dit altijd moet melden?”

Wat kunnen bedrijven die goed scoren op privacy awareness hiermee doen?
“Ze kunnen aantonen, evidence based, dat de privacy awareness in de organisatie op orde is. Dat is een verplichting uit de Algemene Verordening Gegevensbescherming van de Europese Unie die waarschijnlijk in 2016 van kracht wordt. Het is ook vanuit de optiek van het management fantastisch als een bedrijf hierop heel goed scoort. Je kunt dan namelijk aan de hand van concrete implementatiemaatregelen toetsen of de mate van bewustzijn ook voldoende is om privacy effectief in de praktijk te borgen. Maar hoewel je als organisatie honderd procent goed kunt scoren op awareness, is dat nog geen enkele garantie dat je het in de praktijk ook goed doet. Je kunt je heel goed bewust zijn van iets, maar het toch niet doen. De vraag waarom dat dan niet gebeurt, is interessant. Die analyse kan zeer waardevol zijn.”

Kan de e-learning module helpen om die analyse te maken?
“Zeker. Stel, we kunnen uit de score herleiden dat er in de bewerkersovereenkomst met derden afspraken moeten worden gemaakt over het toezicht op de naleving van de beveiligingsaspecten. Als de privacy awareness score daarop goed is, kunnen we vervolgvragen gaan stellen. Bijvoorbeeld of bekend is hoeveel van deze contracten met derden er zijn? En of de organisatie precies kan aangeven hoe het toezicht op die naleving is ingevuld? Uit de antwoorden op deze vragen kunnen we afleiden of er tussen het bewustzijn enerzijds en de facto de uitvoering anderzijds nog licht zit. Als dit uit de module naar voren komt, kunnen we in overleg met de opdrachtgever nadere, gerichte implementatiemaatregelen treffen. De module is ook op dit vlak flexibel en praktisch in te vullen.”

Kan de module ook de processen in je organisatie helpen te verbeteren?
“Ja. Een goede e-learning module helpt je inzichtelijk te maken op welke terreinen nog verbeteringen te behalen zijn. Je toetst met de module niet sec op kennis en awareness, maar het stimuleert ook om na te denken over aspecten waar je doorgaans niet bij stilstaat. De module laat zien welke stappen je kunt maken, dat geldt zeker bij een op maat gemaakte module. Het is dus ook gericht op het verbeteren van je bedrijfsprocessen.”

RomeoKlein1Welk advies heeft u voor de Functionaris Gegevensbescherming (FG) die zijn management ervan wil overtuigen om meer te doen met het thema privacy awareness?
“Man en paard noemen. Ik zou aangeven dat het jouw taak als FG is om erop toe te zien dat de medewerkers die persoonsgegevens verwerken bewijsbaar over toereikende basiskennis beschikken. Vanuit die insteek kun je ook overwegen om een training te gaan volgen. Als je daar als FG behoefte aan hebt, kan de NPA je daarbij helpen door een kennisbehoeftekaart te maken over privacy. Dit maakt zichtbaar bij welke organisatieonderdelen minimaal basiskennis over privacy aanwezig moet zijn. Daar hoort eveneens een kosten-batenanalyse bij. Ook hierbij kunnen we de FG een helpende hand bieden.”

“Geef als FG aan dat het jouw taak is om erop toe te zien dat de medewerkers die persoonsgegevens verwerken bewijsbaar over toereikende basiskennis beschikken”

Speelt de e-learning module ook in op actuele ontwikkelingen als de meldplicht datalekken en de Algemene Verordening Gegevensbescherming? 

“Ja, we kunnen daarop toetsen in de module. De AVG wijzigt de bestaande richtlijn op een paar onderdelen en voegt daar ook wat aan toe. Wat wijzigt er precies en op welke onderdelen? Is daar voldoende kennis over? En wat betekenen de veranderingen voor de organisatie? Het leidt in elk geval tot het nemen van maatregelen. Maar welke maatregelen en hoe implementeer je deze? Het zijn allemaal aspecten waarop we kunnen inspelen. Voor de meldplicht datalekken kunnen we op drie niveaus e-modules op maat aanbieden aan de opdrachtgever.”

Kunt u een kostenindicatie geven van de e-learning module over privacy awareness?
“De kosten zijn volledig afhankelijk van de kennisbehoefte en ook de omvang en ambitie van de organisatie. Richtinggevend is dat de module op een zo kostenefficiënt mogelijke wijze aansluit bij de bedrijfsprocessen van de opdrachtgever. Het is maatwerk, de inrichting van de module gebeurt altijd in samenspraak met de opdrachtgever. De prijzen lopen vanaf het standaardtarief van duizend euro tot en met op maat gemaakte modules voor grote organisaties voor vijfentwintig duizend euro of meer. De module basiskennis privacy is gratis. Deze bestaat uit tien vragen die je zelf toetst. Het uitgangspunt is dat de e-learning module zowel voor de zzp’er als voor de multinational toegankelijk moet zijn en waarde toevoegt aan de praktijk.”

Wanneer komt de module over privacy awareness op de markt?
“De kosteloze versie van de basismodule privacy awareness is verkrijgbaar vanaf januari 2016. De overige, betaalde trainingen komen beschikbaar in de loop van dat jaar.”

Tot slot, waarin zit volgens u de kracht van jullie onderwijs via deze module?
“De kracht van onderwijs zit in de herhaling. Het bijzondere van de e-learning modules is dat je ze net zo vaak kunt herhalen als je wilt. Je betaalt een eenmalig tarief waarna je de module net zo lang kunt gebruiken totdat precies die kennis voorhanden is om privacy in de praktijk te borgen. Want, zoals het credo van de NPA luidt: Ipsa Scientia Potestas Est. Oftewel, kennis maakt macht.”