Skip to main content

Update: CISO, Privacy Officer en FG; wie doet en mag wat?


Een van onze meest gelezen blogs is nog steeds mijn bijdrage uit 2017 waarin ik de taakverdeling tussen CISO, Privacy Officer en FG uitleg. Sindsdien is er wel wat veranderd, dus het is hoog tijd voor een update! Gemeenten hebben een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Zo moeten ze voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en aan de Algemene Verordening Gegevensbescherming (AVG).

Activiteiten op dit vlak behoren dan ook goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Er zijn diverse functies te onderscheiden. Zo spreken we over ‘de Chief Information Security Officer (CISO)’, de ‘Privacy Officer (PO)’ en over de ‘Functionaris Gegevensbescherming (FG)’. Er zijn organisaties die daarnaast ook nog voor Ambassadeurs kiezen. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar? Om duidelijkheid te scheppen over wat door welke functionaris wordt uitgevoerd, staan hieronder de functies uitgelegd.

Chief Information Security Officer (CISO)

De CISO is dé spin in het web als het gaat om de beveiliging van informatie van de gemeente. Hij is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet ervoor zorgen dat de gemeente voldoet aan de BIO; een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden.

Lees in deze blog of in deze handreiking meer over de invulling van deze rol. Over de eigenschappen van een goede CISO hebben we ook eerder geschreven. Bij grotere organisaties zie je dat de CISO geholpen wordt door een Information Security Officer (ISO), dat kan ook meervoud zijn. Elke ISO heeft in een dergelijk geval een of meerdere domeinen onder zich om gerichter te kunnen ondersteunen.

Functionaris Gegevensbescherming (FG)

De positie, taken en verantwoordelijkheden van de FG zijn vastgelegd in de AVG. De FG is de interne toezichthouder op de naleving van de AVG en andere privacy wet- en regelgeving. Daar valt ook het toezicht op de interne verdeling van verantwoordelijkheden en de bijbehorende bewustwording of opleiding aan medewerkers onder. Hij adviseert en rapporteert aan het hoogste niveau van de organisatie. Als een Data Protection Impact Assessment (DPIA) wordt uitgevoerd, moet het advies van de FG daarbij meegenomen worden. Deze handreiking van de IBD vertelt je meer over de invulling en positionering van deze rol.

Overheidsorganisaties zijn verplicht om een FG aan te stellen. De adviezen en aanwijzingen die de FG geeft zijn niet geheel vrijblijvend en ook niet altijd even populair. Daarom geniet deze functionaris een bepaalde mate van bescherming. Dit betekent dat de dienstverleningsovereenkomst niet op oneigenlijke gronden mag worden beëindigd (externe FG), of dat de FG ontslagbescherming heeft (interne FG).

Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente. Ten opzichte van de FG is de functie van de PO veel praktischer van aard. Hij heeft een operationeel uitvoerende rol en is het dagelijkse aanspreekpunt voor medewerkers wat betreft gegevensbescherming. Daar passen taken bij als adviseren over de procedures en de werkprocessen van de afdelingen, over het afsluiten van (verwerkers)overeenkomsten met externe partijen, het beheer van het register van verwerkingen en het coördineren van het proces rond datalekken. Ook is het logisch om de PO een uitvoerende rol bij het in beeld brengen van privacy risico’s door middel van DPIA’s te geven.

Ambassadeurs

De FG, PO en CISO hebben oren en ogen door de hele organisatie nodig. Om dat vorm te geven is het aan te bevelen om per afdeling of domein een ambassadeur voor privacy & informatiebeveiliging aan te wijzen. Het aanstellen van privacy ambassadeurs is tevens als maatregel opgenomen in het borgingsproduct AVG van de IBD. De ambassadeurs kennen de wensen en ontwikkelingen van hun eigen afdeling goed en hebben daarbij een signaleringsfunctie richting FG, PO en CISO.

Overlap in werk

Zoals je kunt zien zijn al deze functies sterk met elkaar verbonden en zit er ook wat overlap in. Waarom dan niet combineren? Als we inhoudelijk naar de functies kijken zien we dat als het om informatiebeveiliging gaat, implementatie en toezicht doorgaans bij dezelfde functionaris ligt, namelijk de CISO. Kijken we naar de functies van de PO en FG, dan zien we dat dit gescheiden is. Overigens wil ik opmerken dat de eindverantwoordelijkheid voor de uitvoering nimmer bij de CISO, PO of FG ligt, maar altijd in de lijn (integrale verantwoordelijkheid).

We kunnen dus constateren dat bij privacy de uitvoering, het advies en toezicht gescheiden is. Terwijl dit bij informatiebeveiliging niet het geval is. Is dit erg? Nee, informatiebeveiliging is als zodanig ook opgenomen in de privacywetgeving en valt daarmee dus onder toezicht van de FG. En toch dichten we de CISO toezichthoudende taken toe. We hinken daar dus nog ergens op twee benen.

Eigen vlees keuren

Hoe dan ook is het belangrijk dat de positionering van de FG gewaarborgd blijft. Het advies is daarom om deze functie zo weinig mogelijk te combineren in verband met de risico’s die hieraan verbonden zijn. Zo moet de FG toezicht houden en indien nodig kunnen handhaven. Hij is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en je kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden.

Kortom, het advies luidt om de functie van FG, ondanks de overlap, niet te combineren met de functie CISO of PO. De rol van FG vraagt behoorlijk wat competenties van iemand. Het is de vraag of de CISO of PO deze allemaal beheerst en daarnaast voldoende ruimte/tijd heeft om beide taken ook naar behoren uit te voeren. Dit laatste valt te betwijfelen. Daarnaast moet je de FG-taken, zoals onafhankelijk toezicht, scheiden van adviserende en uitvoerende taken van de CISO en/of PO. Tot slot rapporteert de FG direct aan het college van B&W en aan de gemeenteraad. Daarmee is hij onafhankelijk ten opzichte van de rest van de gemeente en haar medewerkers.

Combineren, of niet?

De driehoek van FG, CISO en PO zal bij de meeste gemeenten al een tijdje ingevuld zijn. Het is aan te bevelen om de organisatie van informatiebeveiliging en privacy periodiek te evalueren. Werkt de huidige invulling goed of kan je het beter anders organiseren? Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeenten zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar onderzoek de optie om dit te combineren over verschillende gemeenten in bijvoorbeeld een regionale opzet.

Heeft de gemeente niet de juiste competenties in huis voor de taken van FG, PO en CISO? Dan kun je de functies tot slot ook uitbesteden (inkopen). Daarnaast zou je als gemeente kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kan worden.

Wil je meer weten over de taakverdeling en positionering van deze rollen? Of wil je (tijdelijk) een functionaris voor informatiebeveiliging of privacy inhuren? Neem dan geheel vrijblijvend contact met ons op.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …

De rol van de lijnmanager op het gebied van privacy

In onze wereld, met alle informatietechnologie, is privacy belangrijker dan ooit. Als lijnmanager heb je een belangrijke rol om ervoor te zorgen dat iedereen zich aan de regels van de van de organisatie houdt. Maar wat houdt deze rol precies in en…

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…