De CISO, Privacy Officer en FG; wie doet en mag wat?

 

Informatiebeveiliging Gemeenten De CISO, Privacy Officer en FG; wie doet en mag wat? – Informatiebeveiliging Gemeenten 

Als gemeente heb je een grote verantwoordelijkheid als het gaat om de omgang met, en beveiliging van persoonsgegevens. Hieruit volgen een verplichtingen op zowel informatiebeveiligings- als privacyvlak. Zo dien je te voldoen aan de Baseline Informatiebeveiliging Gemeenten (BIG), de Wet bescherming persoonsgegevens (Wbp) en als vervanging daarvan vanaf mei 2018 aan de Algemene Verordening Gegevensbescherming (AVG).

Activiteiten op dit vlak behoren dan ook goed te worden gecoördineerd door vertegenwoordigers uit verschillende disciplines binnen de gemeente. Er zijn diverse functies te onderscheiden. Zo spreken we over ‘de Chief Information Security Officer (CISO)’, de ‘Privacy Officer (PO)’ en over de ‘Functionaris Gegevensbescherming (FG)’. Maar wie is waar voor verantwoordelijk? En hoe verhouden deze functies zich tot elkaar? Om duidelijkheid te scheppen over wat door welke functionaris wordt uitgevoerd, staan hieronder de functies uitgelegd.

Chief Information Security Officer (CISO)

De CISO is dé spin in het web als het gaat om de beveiliging van informatie binnen de gemeente. Hij is verantwoordelijk voor het implementeren van, en toezicht houden op het informatiebeveiligingsbeleid binnen de gemeente. De CISO heeft een centrale rol in het beheren van alle processen die daarmee te maken hebben en moet daarbij voldoen aan de BIG; een set van organisatorische en technische beveiligingsmaatregelen die geïmplementeerd en beheerd dient te worden. Lees in deze blog meer over de invulling van deze rol.

Privacy Officer (PO)

Waar de CISO verantwoordelijk is voor het informatiebeveiligingsbeleid is de PO (ook wel juridisch adviseur privacy), die in dit geval geen FG is, verantwoordelijk voor het vormgeven en bewaken van het privacybeleid binnen de gemeente (indien dat er is). Daarnaast kan de PO ondersteunen bij het in kaart brengen van de risico’s door bijvoorbeeld een Privacy Impact Assessment (PIA) uit te voeren. Wanneer het privacybeleid is vastgesteld en de PIA’s zijn uitgevoerd kan er een implementatieplan opgesteld worden. Daarnaast speelt de PO ook een belangrijke rol op de werkvloer, zo heeft hij net als de CISO een adviserende rol richting de vakafdelingen en kan hij of zij vragen beantwoorden zoals: hoe moeten we deze gegevens delen? Aan welke regels dienen we ons te houden? Welke maatregelen moeten we de externe partij opleggen?

Functionaris Gegevensbescherming (FG)

Vanuit de huidige privacywetgeving (Wbp) is het voor organisaties optioneel een FG aan de stellen. Onder de komende Europese privacyverordening (AVG), die in mei 2018 van kracht wordt, zijn alle overheidsorganisaties straks verplicht een FG aan te stellen. De FG is verantwoordelijk voor het toezicht houden op de naleving van de privacywetten en -regels, het inventariseren en bijhouden van gegevensverwerkingen en het afhandelen van vragen en klachten van mensen binnen en buiten de organisatie. Daarnaast kan de FG ondersteunen bij het ontwikkelen van interne regelingen, het adviseren over privacy op maat én het leveren van input bij het opstellen of aanpassen van gedragscodes. Lees in de nieuwe handreiking van KING meer over de invulling van deze rol.

Overlap in werk

Zoals je kunt zien heeft de functie van FG overlap met de functie van CISO en PO. Waarom deze functies dan niet combineren? Als we naar de functies kijken zien we dat als het om informatiebeveiliging gaat, implementatie en toezicht doorgaans bij dezelfde functionaris ligt, namelijk de CISO. Kijken we naar de functies van de PO en FG, dan zien we dat dit gescheiden is. Overigens wil ik opmerken dat de eindverantwoordelijkheid voor de uitvoering nimmer bij de CISO, PO of FG ligt, maar altijd in de lijn (integrale verantwoordelijkheid).

We kunnen dus constateren dat bij privacy de uitvoering, het advies en toezicht gescheiden is, en bij informatiebeveiliging dit niet het geval is. Is dit erg? Nee, informatiebeveiliging is als zodanig ook opgenomen in de privacywetgeving en valt daarmee dus onder toezicht van de FG. En toch dichten we de CISO toezichthoudende taken toe (zie ook de functiebeschrijving van de IBD). We hinken daar dus nog ergens op twee benen.

Eigen vlees keuren

Hoe dan ook is het belangrijk dat de positionering van de FG gewaarborgd blijft. KING adviseert daarom deze functies zo weinig mogelijk te combineren in verband met de risico’s die hier aan verbonden zijn. Zo moet de FG toezicht houden en indien nodig kunnen handhaven en is daarmee het verlengde van de Autoriteit Persoonsgegevens (AP). Dit wordt lastig op het moment dat je je ‘eigen vlees moet keuren’ en kan daarmee de geloofwaardigheid en betrouwbaarheid van de FG schaden.

Kortom, het advies luidt om de functie van FG, ondanks de overlap, niet te combineren met de functie CISO of PO. De rol van FG vraagt behoorlijk wat competenties van iemand. Het is de vraag of de CISO of PO deze allemaal beheerst en daarnaast voldoende ruimte/tijd heeft om beide taken ook naar behoren uit te voeren. Dit laatste valt te betwijfelen. Daarnaast moet je de FG taken, zoals onafhankelijk toezicht, scheiden van adviserende en uitvoerende taken van de CISO en/of PO. Tot slot rapporteert de FG direct aan het college van B&W en is daarmee onafhankelijk ten opzichte van de rest van de gemeente en haar verwerkers.

Combineren, of niet?

Afhankelijk van de grote van de gemeente, kan bij kleine gemeenten de rol van FG in deeltijd uitgevoerd worden. Juist deze gemeente zijn (logischerwijs) geneigd deze functie(s) te combineren. Combineer deze functie dan niet met de CISO of PO-functie, maar kijk of het mogelijk is om dit te combineren over verschillende gemeenten in bijvoorbeeld een regionale opzet. Heeft de gemeente niet de juiste competenties in huis voor de rol van FG? Dan kun je de functie tot slot ook uitbesteden (inkopen). Daarnaast zou je als gemeente ook kunnen kijken naar een combinatie van de functie CISO en PO. Deze zijn qua vakgebieden wel goed te combineren, maar de vraag is wel (ook hier) of de grote hoeveelheid werk die deze functies met zich meebrengen, door 1 FTE opgepakt en uitgevoerd kan worden.

Welke manier je ook kiest, zorg ervoor dat je er op tijd aan begint. Omdat het een vrij nieuwe functie betreft is de vijver met ‘FG-vissen’ nog niet heel groot en je wilt uiteraard niet achter het net vissen. Wil je meer weten over de taakverdeling en positionering van deze rollen? Lees dan de nieuwe handreiking ‘Positionering van de FG’ van KING.

 

[intro textalign=”left” textcolor=”14px”]
Bron: InformatieBeveiliging Gemeenten, 1 mei 2017
[/intro]