Update: CISO, Privacy Officer en FG; wie doet en mag wat?


Een van onze meest gelezen blogs is nog steeds mijn bijdrage uit 2017 waarin ik de taakverdeling tussen CISO, Privacy Officer en FG uitleg. Sindsdien is er wel wat veranderd, dus het is hoog tijd voor een update! Gemeenten hebben een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Zo moeten ze voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en aan de Algemene Verordening Gegevensbescherming (AVG).

Activiteiten op dit vlak behoren dan ook goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Er zijn diverse functies te onderscheiden. Zo spreken we over ‘de Chief Information Security Officer (CISO)’, de ‘Privacy Officer (PO)’ en over de ‘Functionaris Gegevensbescherming (FG)’. Er zijn organisaties die daarnaast ook nog voor Ambassadeurs kiezen. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar? Om duidelijkheid te scheppen over wat door welke functionaris wordt uitgevoerd, staan hieronder de functies uitgelegd.

Chief Information Security Officer (CISO)

De CISO is dé spin in het web als het gaat om de beveiliging van informatie van de gemeente. Hij is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet ervoor zorgen dat de gemeente voldoet aan de BIO; een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden.

Lees in deze blog of in deze handreiking meer over de invulling van deze rol. Over de eigenschappen van een goede CISO hebben we ook eerder geschreven. Bij grotere organisaties zie je dat de CISO geholpen wordt door een Information Security Officer (ISO), dat kan ook meervoud zijn. Elke ISO heeft in een dergelijk geval een of meerdere domeinen onder zich om gerichter te kunnen ondersteunen.

Functionaris Gegevensbescherming (FG)

De positie, taken en verantwoordelijkheden van de FG zijn vastgelegd in de AVG. De FG is de interne toezichthouder op de naleving van de AVG en andere privacy wet- en regelgeving. Daar valt ook het toezicht op de interne verdeling van verantwoordelijkheden en de bijbehorende bewustwording of opleiding aan medewerkers onder. Hij adviseert en rapporteert aan het hoogste niveau van de organisatie. Als een Data Protection Impact Assessment (DPIA) wordt uitgevoerd, moet het advies van de FG daarbij meegenomen worden. Deze handreikingen van de IBD vertellen je meer over de invulling en positionering van deze rol.

Overheidsorganisaties zijn verplicht om een FG aan te stellen. De adviezen en aanwijzingen die de FG geeft zijn niet geheel vrijblijvend en ook niet altijd even populair. Daarom geniet deze functionaris een bepaalde mate van bescherming. Dit betekent dat de dienstverleningsovereenkomst niet op oneigenlijke gronden mag worden beëindigd (externe FG), of dat de FG ontslagbescherming heeft (interne FG).

Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente. Ten opzichte van de FG is de functie van de PO veel praktischer van aard. Hij heeft een operationeel uitvoerende rol en is het dagelijkse aanspreekpunt voor medewerkers wat betreft gegevensbescherming. Daar passen taken bij als adviseren over de procedures en de werkprocessen van de afdelingen, over het afsluiten van (verwerkers)overeenkomsten met externe partijen, het beheer van het register van verwerkingen en het coördineren van het proces rond datalekken. Ook is het logisch om de PO een uitvoerende rol bij het in beeld brengen van privacy risico’s door middel van DPIA’s te geven.

Ambassadeurs

De FG, PO en CISO hebben oren en ogen door de hele organisatie nodig. Om dat vorm te geven is het aan te bevelen om per afdeling of domein een ambassadeur voor privacy & informatiebeveiliging aan te wijzen. Het aanstellen van privacy ambassadeurs is tevens als maatregel opgenomen in het borgingsproduct AVG van de IBD. De ambassadeurs kennen de wensen en ontwikkelingen van hun eigen afdeling goed en hebben daarbij een signaleringsfunctie richting FG, PO en CISO.

Overlap in werk

Zoals je kunt zien zijn al deze functies sterk met elkaar verbonden en zit er ook wat overlap in. Waarom dan niet combineren? Als we inhoudelijk naar de functies kijken zien we dat als het om informatiebeveiliging gaat, implementatie en toezicht doorgaans bij dezelfde functionaris ligt, namelijk de CISO. Kijken we naar de functies van de PO en FG, dan zien we dat dit gescheiden is. Overigens wil ik opmerken dat de eindverantwoordelijkheid voor de uitvoering nimmer bij de CISO, PO of FG ligt, maar altijd in de lijn (integrale verantwoordelijkheid).

We kunnen dus constateren dat bij privacy de uitvoering, het advies en toezicht gescheiden is. Terwijl dit bij informatiebeveiliging niet het geval is. Is dit erg? Nee, informatiebeveiliging is als zodanig ook opgenomen in de privacywetgeving en valt daarmee dus onder toezicht van de FG. En toch dichten we de CISO toezichthoudende taken toe. We hinken daar dus nog ergens op twee benen.

Eigen vlees keuren

Hoe dan ook is het belangrijk dat de positionering van de FG gewaarborgd blijft. Het advies is daarom om deze functies zo weinig mogelijk te combineren in verband met de risico’s die hieraan verbonden zijn. Zo moet de FG toezicht houden en indien nodig kunnen handhaven. Hij is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en je kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden.

Kortom, het advies luidt om de functie van FG, ondanks de overlap, niet te combineren met de functie CISO of PO. De rol van FG vraagt behoorlijk wat competenties van iemand. Het is de vraag of de CISO of PO deze allemaal beheerst en daarnaast voldoende ruimte/tijd heeft om beide taken ook naar behoren uit te voeren. Dit laatste valt te betwijfelen. Daarnaast moet je de FG-taken, zoals onafhankelijk toezicht, scheiden van adviserende en uitvoerende taken van de CISO en/of PO. Tot slot rapporteert de FG direct aan het college van B&W en aan de gemeenteraad. Daarmee is hij onafhankelijk ten opzichte van de rest van de gemeente en haar medewerkers.

Combineren, of niet?

De driehoek van FG, CISO en PO zal bij de meeste gemeenten al een tijdje ingevuld zijn. Het is aan te bevelen om de organisatie van informatiebeveiliging en privacy periodiek te evalueren. Werkt de huidige invulling goed of kan je het beter anders organiseren? Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeenten zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar onderzoek de optie om dit te combineren over verschillende gemeenten in bijvoorbeeld een regionale opzet.

Heeft de gemeente niet de juiste competenties in huis voor de taken van FG, PO en CISO? Dan kun je de functies tot slot ook uitbesteden (inkopen). Daarnaast zou je als gemeente kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kan worden.

Wil je meer weten over de taakverdeling en positionering van deze rollen? Of wil je (tijdelijk) een functionaris inhuren? Neem dan geheel vrijblijvend contact met ons op.

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO's van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Update: CISO, Privacy Officer en FG; wie doet en mag wat?

Activiteiten op het gebied van informatiebeveiliging en gegevensbescherming binnen gemeenten behoren te worden gecoördineerd door de CISO, de Privacy Officer en de FG. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar?

Praktische (privacy)tips voor thuis én op het werk

Hoe zorg je ervoor dat je medewerkers zowel thuis als op locatie veilig werken én veilig zijn? Zonder afbreuk te doen aan het fundamentele recht op privacy? Dat zijn de vragen die ik in deze blog ga behandelen.

Datalek melden: Hoeveel tijd heb je eigenlijk?

Als een datalek is ontstaan bij een verwerker, wanneer start dan de 72-uurstermijn voor het melden bij de toezichthoudende autoriteit? In onze nieuwe blog onderzoeken we twee visies.

Stappenplan voor het kiezen van een ISMS-pakket

Als je een ISMS-pakket wilt aanschaffen, waar moet je dan op letten? In deze blog leg ik de focus niet op het proces zelf, maar op het selecteren van het ISMS-pakket (software) om het proces te ondersteunen.

Informatiebeveiliging bezien vanuit de rekenkamercommissie

Rekenkamercommissies zijn onafhankelijke toezichthouders van de overheid. Zij controleren of een gemeente haar werk al dan niet goed uitvoert. Ook als het gaat om informatiebeveiliging. Maar welke zaken onderzoeken ze dan zoal en welke aanpak hanteren ze hierbij? Dat en meer lees je in deze blog.

Goed voorbeeld doet goed volgen – deel 2

Volgens Ferdinand Grapperhaus moet iedereen met een voorbeeldfunctie zijn verantwoordelijk nemen en digitaal leiderschap tonen. Maar hoe doe je dat? De zeven factoren van Muel Kaptein kunnen je daarbij helpen. De eerste drie factoren heb ik de vorige keer behandeld. Lees snel verder voor de rest.

Dat gaat je (n)iets aan

IB&P is een adviesbureau op het gebied van informatiebeveiliging en privacy. We richten ons primair op de (lokale) overheid. We adviseren en ondersteunen bij het implementeren én blijvend voldoen aan o.a. de Baseline Informatiebeveiliging Overheid (BIO) en de Algemene Verordening Gegevensbescherming (AVG).