Overslaan en naar de inhoud gaan

Chief Functionaris voor Gegevens Security

Uit onderzoek blijkt dat ongeveer tien procent van de overheidsorganisaties de functies van Functionaris voor de gegevensbescherming (FG) en Chief Information Security Officer (CISO) combineren: de Chief Functionaris voor de Gegevens Security.
AVG antivirus
© AVG Internet Security
AVG Internet Security

En zo nu en dan treffen we dit in de praktijk ook aan bij gemeenten. De reden? Het is eigenlijk ‘wel handig’: kennis op dit terrein is schaars en er is behoorlijk wat overlap tussen beide functies. Eenvoudig pragmatisme dus. Maar als eraan wordt toegevoegd dat men geen reden ziet waarom deze functies niet gecombineerd kunnen worden, dan zie ik dat toch anders. Dat heeft alles te maken met de onafhankelijke rol van de FG en een mogelijk belangenconflict.

De FG heeft zijn basis in de AVG, houdt toezicht op de naleving van de AVG en is onafhankelijk. Er zijn dan ook waarborgen voor dit laatste (AVG art. 38, lid 6). Zo mag er geen sprake zijn van een belangenconflict, wat bijvoorbeeld het geval is als de FG ook doel en middelen van een verwerking bepaalt. De kern van dit belangenconflict is dat een FG niet ook een andere functie heeft waardoor hij (als FG) zijn eigen werk moet controleren.

Niet te combineren

Hoe zit het dan met de combinatie FG-CISO? De CISO functioneert in ‘de lijn’ en is betrokken bij het bepalen van doel en middelen van verwerkingen. Ook is hij verantwoordelijk voor het informatiebeveiligingsbeleid en geeft hij advies over beveiligingsmaatregelen en risicoanalyses (zoals PIA’s). De FG ziet hier op toe en moet bij een gecombineerde FG-CISO zijn eigen vlees keuren. Veelal is er dan ook sprake van een mogelijk belangenconflict, en de Autoriteit Persoonsgegevens (AP) noemt de CISO op haar website dan ook als voorbeeld van een functie die niet te combineren is met die van de FG.

Er zijn in de dagelijkse praktijk wel meer argumenten tegen de combinatie van de functies van CISO en FG. Zo heeft de FG op basis van de AVG een bijzondere positionering dichtbij de hoogste bestuurslaag tegenover de bedrijfsvoeringstak.[PS1]  De CISO heeft verder een ander perspectief dan de FG en maakt afwegingen geredeneerd vanuit de belangen van de organisatie. De FG maakt een afweging tussen de belangen van de organisatie en die van de betrokkene.

Positief

Als laatste zien wij nog een positief argument om de functies niet te combineren. De FG en de CISO kunnen goede tegenwichten van elkaar zijn. Bijvoorbeeld: het toezicht door de FG kan soms leiden tot aanbevelingen voor de CISO over de beveiliging van persoonsgegevens. Zo houden beiden elkaar en de organisatie scherp.

In de praktijk blijft het moeilijk om de juiste expertise te vinden. Hoe los je dit op? Hier een drietal suggesties:

  1. Deel een FG met andere organisaties. Kleinere gemeenten die op elkaar lijken kunnen profiteren van zo’n samenwerking.
  2. Zoek tijdelijk een externe FG. Vergeet niet tegelijkertijd een interne medewerker op te leiden.
  3. Combineer de functie van CISO met die van de Privacy officer.

Zo blijft de onafhankelijkheid van de FG gewaarborgd.

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in