Skip to main content

Update: CISO, Privacy Officer en FG; wie doet en mag wat?


Een van onze meest gelezen blogs is nog steeds mijn bijdrage uit 2017 waarin ik de taakverdeling tussen CISO, Privacy Officer en FG uitleg. Sindsdien is er wel wat veranderd, dus het is hoog tijd voor een update! Gemeenten hebben een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Zo moeten ze voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en aan de Algemene Verordening Gegevensbescherming (AVG).

Activiteiten op dit vlak behoren dan ook goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Er zijn diverse functies te onderscheiden. Zo spreken we over ‘de Chief Information Security Officer (CISO)’, de ‘Privacy Officer (PO)’ en over de ‘Functionaris Gegevensbescherming (FG)’. Er zijn organisaties die daarnaast ook nog voor Ambassadeurs kiezen. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar? Om duidelijkheid te scheppen over wat door welke functionaris wordt uitgevoerd, staan hieronder de functies uitgelegd.

Chief Information Security Officer (CISO)

De CISO is dé spin in het web als het gaat om de beveiliging van informatie van de gemeente. Hij is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet ervoor zorgen dat de gemeente voldoet aan de BIO; een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden.

Lees in deze blog of in deze handreiking meer over de invulling van deze rol. Over de eigenschappen van een goede CISO hebben we ook eerder geschreven. Bij grotere organisaties zie je dat de CISO geholpen wordt door een Information Security Officer (ISO), dat kan ook meervoud zijn. Elke ISO heeft in een dergelijk geval een of meerdere domeinen onder zich om gerichter te kunnen ondersteunen.

Functionaris Gegevensbescherming (FG)

De positie, taken en verantwoordelijkheden van de FG zijn vastgelegd in de AVG. De FG is de interne toezichthouder op de naleving van de AVG en andere privacy wet- en regelgeving. Daar valt ook het toezicht op de interne verdeling van verantwoordelijkheden en de bijbehorende bewustwording of opleiding aan medewerkers onder. Hij adviseert en rapporteert aan het hoogste niveau van de organisatie. Als een Data Protection Impact Assessment (DPIA) wordt uitgevoerd, moet het advies van de FG daarbij meegenomen worden. Deze handreiking van de IBD vertelt je meer over de invulling en positionering van deze rol.

Overheidsorganisaties zijn verplicht om een FG aan te stellen. De adviezen en aanwijzingen die de FG geeft zijn niet geheel vrijblijvend en ook niet altijd even populair. Daarom geniet deze functionaris een bepaalde mate van bescherming. Dit betekent dat de dienstverleningsovereenkomst niet op oneigenlijke gronden mag worden beëindigd (externe FG), of dat de FG ontslagbescherming heeft (interne FG).

Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente. Ten opzichte van de FG is de functie van de PO veel praktischer van aard. Hij heeft een operationeel uitvoerende rol en is het dagelijkse aanspreekpunt voor medewerkers wat betreft gegevensbescherming. Daar passen taken bij als adviseren over de procedures en de werkprocessen van de afdelingen, over het afsluiten van (verwerkers)overeenkomsten met externe partijen, het beheer van het register van verwerkingen en het coördineren van het proces rond datalekken. Ook is het logisch om de PO een uitvoerende rol bij het in beeld brengen van privacy risico’s door middel van DPIA’s te geven.

Ambassadeurs

De FG, PO en CISO hebben oren en ogen door de hele organisatie nodig. Om dat vorm te geven is het aan te bevelen om per afdeling of domein een ambassadeur voor privacy & informatiebeveiliging aan te wijzen. Het aanstellen van privacy ambassadeurs is tevens als maatregel opgenomen in het borgingsproduct AVG van de IBD. De ambassadeurs kennen de wensen en ontwikkelingen van hun eigen afdeling goed en hebben daarbij een signaleringsfunctie richting FG, PO en CISO.

Overlap in werk

Zoals je kunt zien zijn al deze functies sterk met elkaar verbonden en zit er ook wat overlap in. Waarom dan niet combineren? Als we inhoudelijk naar de functies kijken zien we dat als het om informatiebeveiliging gaat, implementatie en toezicht doorgaans bij dezelfde functionaris ligt, namelijk de CISO. Kijken we naar de functies van de PO en FG, dan zien we dat dit gescheiden is. Overigens wil ik opmerken dat de eindverantwoordelijkheid voor de uitvoering nimmer bij de CISO, PO of FG ligt, maar altijd in de lijn (integrale verantwoordelijkheid).

We kunnen dus constateren dat bij privacy de uitvoering, het advies en toezicht gescheiden is. Terwijl dit bij informatiebeveiliging niet het geval is. Is dit erg? Nee, informatiebeveiliging is als zodanig ook opgenomen in de privacywetgeving en valt daarmee dus onder toezicht van de FG. En toch dichten we de CISO toezichthoudende taken toe. We hinken daar dus nog ergens op twee benen.

Eigen vlees keuren

Hoe dan ook is het belangrijk dat de positionering van de FG gewaarborgd blijft. Het advies is daarom om deze functie zo weinig mogelijk te combineren in verband met de risico’s die hieraan verbonden zijn. Zo moet de FG toezicht houden en indien nodig kunnen handhaven. Hij is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en je kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden.

Kortom, het advies luidt om de functie van FG, ondanks de overlap, niet te combineren met de functie CISO of PO. De rol van FG vraagt behoorlijk wat competenties van iemand. Het is de vraag of de CISO of PO deze allemaal beheerst en daarnaast voldoende ruimte/tijd heeft om beide taken ook naar behoren uit te voeren. Dit laatste valt te betwijfelen. Daarnaast moet je de FG-taken, zoals onafhankelijk toezicht, scheiden van adviserende en uitvoerende taken van de CISO en/of PO. Tot slot rapporteert de FG direct aan het college van B&W en aan de gemeenteraad. Daarmee is hij onafhankelijk ten opzichte van de rest van de gemeente en haar medewerkers.

Combineren, of niet?

De driehoek van FG, CISO en PO zal bij de meeste gemeenten al een tijdje ingevuld zijn. Het is aan te bevelen om de organisatie van informatiebeveiliging en privacy periodiek te evalueren. Werkt de huidige invulling goed of kan je het beter anders organiseren? Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeenten zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar onderzoek de optie om dit te combineren over verschillende gemeenten in bijvoorbeeld een regionale opzet.

Heeft de gemeente niet de juiste competenties in huis voor de taken van FG, PO en CISO? Dan kun je de functies tot slot ook uitbesteden (inkopen). Daarnaast zou je als gemeente kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kan worden.

Wil je meer weten over de taakverdeling en positionering van deze rollen? Of wil je (tijdelijk) een functionaris voor informatiebeveiliging of privacy inhuren? Neem dan geheel vrijblijvend contact met ons op.

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Rapporteren zonder resultaat; de frustratie van elke FG en CISO

Een belangrijke taak van de FG en CISO is adviseren en rapporteren. Maar wat doe je als deze adviezen niet worden opgevolgd?

Hoe voer je een Business Impact Analyse (BIA) uit?

Met een BIA krijg je inzicht in de kritieke processen binnen je organisatie en bepaal je wat de mogelijke gevolgen zijn als er iets misgaat. Dit helpt jouw organisatie om te bepalen welke processen je als eerste weer opstart en hoe je de impact va…

Waarom is het lastig om structureel DPIA’s uit te voeren?

Toen de AVG van kracht werd, zijn gemeenten actief aan de slag gegaan om de privacy van hun inwoners te waarborgen, waaronder het uitvoeren van DPIA’s. Ondanks de verplichting en het belang van DPIA’s blijkt dat maar een klein aantal gemeenten dez…

Het beheren van verwerkersovereenkomsten

Om ervoor te zorgen dat derde partijen ook de juiste beveiligingsmaatregelen nemen, moet je afspraken maken in een verwerkersovereenkomst. Het is niet genoeg om deze overeenkomst eenmalig af te sluiten; je moet regelmatig controleren of de verwerk…

Bedrijfscontinuïteit volgens BIO, NIS2, ISO 27001 en NEN 7510

BCM is een belangrijk onderdeel binnen verschillende belangrijke beveiligings- en normstandaarden, zoals de BIO, NIS2, ISO 27001 en NEN 7510.

De kracht van ambassadeurs

Hoe zorg je voor een informatieveilige omgeving en hoe maak je medewerkers bewust van hun belangrijke rol? Informatieveiligheidsambassadeurs kunnen hierin het verschil maken.