Update: CISO, Privacy Officer en FG; wie doet en mag wat?


Een van onze meest gelezen blogs is nog steeds mijn bijdrage uit 2017 waarin ik de taakverdeling tussen CISO, Privacy Officer en FG uitleg. Sindsdien is er wel wat veranderd, dus het is hoog tijd voor een update! Gemeenten hebben een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Zo moeten ze voldoen aan de Baseline Informatiebeveiliging Overheid (BIO) en aan de Algemene Verordening Gegevensbescherming (AVG).

Activiteiten op dit vlak behoren dan ook goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Er zijn diverse functies te onderscheiden. Zo spreken we over ‘de Chief Information Security Officer (CISO)’, de ‘Privacy Officer (PO)’ en over de ‘Functionaris Gegevensbescherming (FG)’. Er zijn organisaties die daarnaast ook nog voor Ambassadeurs kiezen. Maar wie is waarvoor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar? Om duidelijkheid te scheppen over wat door welke functionaris wordt uitgevoerd, staan hieronder de functies uitgelegd.

Chief Information Security Officer (CISO)

De CISO is dé spin in het web als het gaat om de beveiliging van informatie van de gemeente. Hij is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet ervoor zorgen dat de gemeente voldoet aan de BIO; een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden.

Lees in deze blog of in deze handreiking meer over de invulling van deze rol. Over de eigenschappen van een goede CISO hebben we ook eerder geschreven. Bij grotere organisaties zie je dat de CISO geholpen wordt door een Information Security Officer (ISO), dat kan ook meervoud zijn. Elke ISO heeft in een dergelijk geval een of meerdere domeinen onder zich om gerichter te kunnen ondersteunen.

Functionaris Gegevensbescherming (FG)

De positie, taken en verantwoordelijkheden van de FG zijn vastgelegd in de AVG. De FG is de interne toezichthouder op de naleving van de AVG en andere privacy wet- en regelgeving. Daar valt ook het toezicht op de interne verdeling van verantwoordelijkheden en de bijbehorende bewustwording of opleiding aan medewerkers onder. Hij adviseert en rapporteert aan het hoogste niveau van de organisatie. Als een Data Protection Impact Assessment (DPIA) wordt uitgevoerd, moet het advies van de FG daarbij meegenomen worden. Deze handreiking van de IBD vertelt je meer over de invulling en positionering van deze rol.

Overheidsorganisaties zijn verplicht om een FG aan te stellen. De adviezen en aanwijzingen die de FG geeft zijn niet geheel vrijblijvend en ook niet altijd even populair. Daarom geniet deze functionaris een bepaalde mate van bescherming. Dit betekent dat de dienstverleningsovereenkomst niet op oneigenlijke gronden mag worden beëindigd (externe FG), of dat de FG ontslagbescherming heeft (interne FG).

Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO verantwoordelijk voor het actualiseren en bewaken van het privacybeleid binnen de gemeente. Ten opzichte van de FG is de functie van de PO veel praktischer van aard. Hij heeft een operationeel uitvoerende rol en is het dagelijkse aanspreekpunt voor medewerkers wat betreft gegevensbescherming. Daar passen taken bij als adviseren over de procedures en de werkprocessen van de afdelingen, over het afsluiten van (verwerkers)overeenkomsten met externe partijen, het beheer van het register van verwerkingen en het coördineren van het proces rond datalekken. Ook is het logisch om de PO een uitvoerende rol bij het in beeld brengen van privacy risico’s door middel van DPIA’s te geven.

Ambassadeurs

De FG, PO en CISO hebben oren en ogen door de hele organisatie nodig. Om dat vorm te geven is het aan te bevelen om per afdeling of domein een ambassadeur voor privacy & informatiebeveiliging aan te wijzen. Het aanstellen van privacy ambassadeurs is tevens als maatregel opgenomen in het borgingsproduct AVG van de IBD. De ambassadeurs kennen de wensen en ontwikkelingen van hun eigen afdeling goed en hebben daarbij een signaleringsfunctie richting FG, PO en CISO.

Overlap in werk

Zoals je kunt zien zijn al deze functies sterk met elkaar verbonden en zit er ook wat overlap in. Waarom dan niet combineren? Als we inhoudelijk naar de functies kijken zien we dat als het om informatiebeveiliging gaat, implementatie en toezicht doorgaans bij dezelfde functionaris ligt, namelijk de CISO. Kijken we naar de functies van de PO en FG, dan zien we dat dit gescheiden is. Overigens wil ik opmerken dat de eindverantwoordelijkheid voor de uitvoering nimmer bij de CISO, PO of FG ligt, maar altijd in de lijn (integrale verantwoordelijkheid).

We kunnen dus constateren dat bij privacy de uitvoering, het advies en toezicht gescheiden is. Terwijl dit bij informatiebeveiliging niet het geval is. Is dit erg? Nee, informatiebeveiliging is als zodanig ook opgenomen in de privacywetgeving en valt daarmee dus onder toezicht van de FG. En toch dichten we de CISO toezichthoudende taken toe. We hinken daar dus nog ergens op twee benen.

Eigen vlees keuren

Hoe dan ook is het belangrijk dat de positionering van de FG gewaarborgd blijft. Het advies is daarom om deze functie zo weinig mogelijk te combineren in verband met de risico’s die hieraan verbonden zijn. Zo moet de FG toezicht houden en indien nodig kunnen handhaven. Hij is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en je kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden.

Kortom, het advies luidt om de functie van FG, ondanks de overlap, niet te combineren met de functie CISO of PO. De rol van FG vraagt behoorlijk wat competenties van iemand. Het is de vraag of de CISO of PO deze allemaal beheerst en daarnaast voldoende ruimte/tijd heeft om beide taken ook naar behoren uit te voeren. Dit laatste valt te betwijfelen. Daarnaast moet je de FG-taken, zoals onafhankelijk toezicht, scheiden van adviserende en uitvoerende taken van de CISO en/of PO. Tot slot rapporteert de FG direct aan het college van B&W en aan de gemeenteraad. Daarmee is hij onafhankelijk ten opzichte van de rest van de gemeente en haar medewerkers.

Combineren, of niet?

De driehoek van FG, CISO en PO zal bij de meeste gemeenten al een tijdje ingevuld zijn. Het is aan te bevelen om de organisatie van informatiebeveiliging en privacy periodiek te evalueren. Werkt de huidige invulling goed of kan je het beter anders organiseren? Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeenten zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar onderzoek de optie om dit te combineren over verschillende gemeenten in bijvoorbeeld een regionale opzet.

Heeft de gemeente niet de juiste competenties in huis voor de taken van FG, PO en CISO? Dan kun je de functies tot slot ook uitbesteden (inkopen). Daarnaast zou je als gemeente kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kan worden.

Wil je meer weten over de taakverdeling en positionering van deze rollen? Of wil je (tijdelijk) een functionaris voor informatiebeveiliging of privacy inhuren? Neem dan geheel vrijblijvend contact met ons op.

Renco Schoemaker
Recente berichten van Renco Schoemaker (bekijk alles)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Bijeenkomsten

Alleen voor CISO’s van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Alleen voor Privacy Officers van de (lokale) overheid!

Bekijk wanneer de volgende bijeenkomst is.

Meer blogs lezen

Weet jij wie je binnenlaat? Het managen van toegangsbeveiliging.

Als gemeente wil je voorkomen dat onbevoegden toegang hebben tot informatie, zowel digitaal als fysiek. Maar hoe kun je logische en fysieke toegangsbeveiliging inzetten binnen je organisatie? En wat is eigenlijk het verschil tussen deze twee? In d…

Een erbarmelijke evaluatie

Het rapport ‘Evaluatie en versterking ENSIA-stelsel’ is vrij geruisloos gepubliceerd op de website Digitale Overheid. Renco Schoemaker vindt de kwaliteit van het evaluatierapport onder de maat. In deze blog lees waarom!

Je medewerkers ‘beveiligen’; hoe doe je dat?

In de Baseline Informatiebeveiliging Overheid (BIO) worden eisen benoemd als het gaat om personele beveiliging (hoofdstuk 7). In deze blog lees je hoe je kunt zorgen voor een veilige instroom, doorstroom en uitstroom van medewerkers.

ENSIA: méér dan de C in PDCA?

Lokale overheden leggen middels de ENSIA-systematiek jaarlijks verantwoording af over informatiebeveiliging. M.i.v. dit jaar gaat dit grotendeels langs de lat van de BIO. ENSIA wordt in de praktijk gemakkelijk gereduceerd tot een verplichte, jaarl…

In vijf stappen een goed informatiebeveiligingsbeleid

De allereerste maatregel uit de BIO, en ook gelijk de belangrijkste, is het hebben van een informatiebeveiligingsbeleid. In deze blog de vijf stappen naar een goed informatiebeveiligingsbeleid en dito implementatie.

Rechten van betrokkenen toepassen

Laatst was ik bij een gemeente die de inwoner een verzoek in het kader van dataportabiliteit liet indienen bij een verhuizing naar een andere gemeente, om het dossier rond de bijstandsuitkering bij de nieuwe gemeente te krijgen. Punten voor de cre…