FG, CISO of FG/CISO?
Vooral grotere organisaties of organisaties die bijzondere persoonsgegevens verwerken zijn verplicht een Functionaris Gegevensbescherming (FG) in dienst te hebben. Voor veel van deze organisaties geldt ook dat er serieus werk wordt gemaakt van informatiebeveiliging en dat een Chief Information Security Officer (CISO) in dienst is. In sommige organisaties worden deze twee functies gecombineerd (FG/CISO), omdat er veel overlap is tussen de werkvelden privacy en informatiebeveiliging. Maar, kan dat eigenlijk wel? In dit artikel gaan we dieper in op de functieomschrijvingen van de FG en de CISO en analyseren we hoe verenigbaar deze twee zijn.
FG
De FG is de persoon die binnen de organisatie toezicht houdt op de naleving van de Algemene verordening gegevensbescherming (AVG). Het aanstellen van een FG is verplicht voor overheden en publieke organisaties, maar ook voor organisaties die bijzondere persoonsgegevens verwerken en organisaties die op grote schaal individuen observeren. De FG wordt door de Autoriteit Persoonsgegevens (AP) omschreven als iemand met goede kennis over nationale en Europese privacywetgeving, begrip van de verwerkingsactiviteiten van de organisatie, begrip van IT en informatiebeveiliging en kennis om “een cultuur van gegevensbescherming” te ontwikkelen binnen de organisatie.
CISO
De CISO is het centrale punt van informatiebeveiliging en beheerder van gerelateerde processen in de organisatie. Hij of zij heeft een controlerende en adviserende rol en is verantwoordelijk voor het opstellen en uitvoeren van het informatiebeveiligingsbeleid van de organisatie. Idealiter is de CISO onafhankelijk gepositioneerd en niet specifiek betrokken bij werkprocessen om belangenverstrengeling te voorkomen. Bovendien is de CISO ook verantwoordelijk voor een goed veiligheidsbewustzijn binnen de organisatie.
FG/CISO
Omdat de functieomschrijvingen van de FG en de CISO op sommige punten overlappen, kunnen organisaties geneigd zijn deze functies te combineren en één persoon tot FG/CISO te benoemen. De AP en de Informatiebeveiligingsdienst (IBD) hebben al aangegeven dat dit niet wenselijk is. Alhoewel de FG en de CISO in nauw overleg met elkaar werken, is het de taak van de CISO om passende beveiligingsmaatregelen te implementeren en aan de FG om hier toezicht op te houden. Wanneer dit eenzelfde persoon is kan er dus een belangenconflict optreden.
Belangenverstrengeling kan op strategisch, tactisch en operationeel niveau plaatsvinden. Denk bijvoorbeeld aan de kwestie van camerabeveiliging. Vanuit security oogpunt zou de CISO misschien overal wel camera’s willen ophangen, dan ben je immers het meest secure. Vanuit privacy oogpunt zou de FG geen enkele camera willen ophangen omdat hier flinke privacy risico’s aan verbonden zitten. In dit geval zou een FG/CISO geen onafhankelijke afweging kunnen maken. Op een meer tactisch/strategisch niveau kunt u denken aan de typen informatie waar de CISO verantwoordelijk voor is. Dit is namelijk veel meer dan alleen persoonsgegevens. In een productiebedrijf zijn andere gegevens veel belangrijker voor de bedrijfscontinuïteit. De CISO zal hier dus prioriteit aan geven, terwijl de FG persoonsgegevens altijd bovenaan heeft staan.
Heeft u behoefte aan advies of een goed gesprek over de rol van de FG en/of CISO in uw organisatie? Of denkt u na het lezen van dit artikel: “ik heb een extra medewerker nodig”? Kijk ook eens bij de interim expertises voor privacy en informatiebeveiliging van Audittrail.