Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

FG, DPO, CISO, PO: wie is wie?

14 augustus 2019 Door

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Het zijn veelgehoorde afkortingen: de FG/DPO, de CISO en de PO, maar drie verschillende functies. Allen privacy professionals, maar met verschillende taken en verantwoordelijkheden. Wie doet wat? En hoe verhouden de functies zich tot elkaar? Zie jij ook door de bomen het bos niet meer? In deze blog lees je meer over de verschillende functies.

FG/DPO

De Functionaris voor de Gegevensbescherming (FG) en haar Engelstalige variant Data Protection Officer (DPO) is de persoon binnen een organisatie die toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). De FG heeft een breed takenpakket, waaronder het creëren van privacy-bewustzijn in de organisatie en het actief betrokken zijn bij de wijze waarop de organisatie omgaat met gegevens. De FG/DPO fungeert als eerste aanspreekpunt voor de AP. Kenmerkend voor de FG is dat deze een onafhankelijke rol dient te behouden binnen de organisatie, maar tegelijk rechtstreekse lijnen heeft met het bestuur. De FG heeft kennis van privacywetten en -regelgeving, maar ook voldoende inzicht in en kennis van security én de processen binnen de organisatie. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

In bepaalde situaties zijn organisaties verplicht om een FG aan te stellen. Dit geldt voor publieke organisaties en overheidsinstanties, organisaties die doen aan profilering, hun personeel ‘tracken’ of anderszins vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Maar ook organisaties die vanuit hun kerntaak op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over iemands gezondheid of religie zijn verplicht tot het aanstellen van een FG. Voor deze laatste categorie heeft de AP duiding gegeven over de richtlijn voor grootschaligheid, waaruit blijkt wanneer een zorginstelling verplicht is om een FG aan te stellen. Deze verplichting tot aanstelling geldt ook wanneer een organisatie strafrechtelijke persoonsgegevens verwerkt. Daarnaast kunnen EU-lidstaten andere situaties benoemen waarin een FG verplicht is. Meer duiding is nog niet gegeven over de verplichting tot aanstelling van een FG/DPO en het komt dan ook vaak voor dat een organisatie hierover twijfelt. Belangrijk daarbij is dat er een goede onderbouwing is waarom er wél of juist niet voor is gekozen.

CISO

Het vakgebied van de Chief Information Security Officer is nog niet vastomlijnd en verschilt per branche of organisatie. Veel organisaties hebben moeite met het vinden van een Chief Information Security Officer, ofwel CISO. Dit komt mede door het feit dat de CISO verantwoordelijk is voor het implementeren van informatiebeveiligingsbeleid én het toezicht daarop. Net als de FG/DPO dient de persoon die deze functie bekleedt kennis en ervaring te hebben op het gebied van informatiebeveiliging, risicoanalyse en specialistische beveiligingstechnieken, én kennis van de relevante wet- en regelgeving. De CISO krijgt te maken met het bestuur, maar ook veel met de interne organisatie.

PO

De Privacy Officer (PO), ook wel: de juridisch adviseur op privacygebied die geen FG is. De PO is verantwoordelijk voor het ontwikkelen en bewaken van het privacybeleid. Tevens biedt de PO ondersteuning bij de uitvoering van dit beleid. De PO speelt een grote rol binnen de organisatie, door te fungeren als aanspreekpunt voor privacyvraagstukken die spelen in de organisatie.

De Privacy Officer zorgt ervoor dat de voor de AVG benodigde taken worden uitgevoerd en dat maatregelen worden ingebed in de organisatie. Dit doet hij in nauwe samenwerking met de FG en de CISO, indien aanwezig.

Zijn de functies wel zo verschillend?

Uit bovenstaande blijkt dat de functies op veel gebieden op elkaar lijken: privacy en security staat centraal. Waar bij de FG en de PO het houden van toezicht (FG) en de daadwerkelijke implementatie (PO) wat meer gescheiden is, geldt voor de CISO dat deze functies beide bij hem/haar liggen. Elke organisatie zal om andere redenen kiezen voor een FG, PO en/of CISO. Dit geldt ook voor de precieze invulling en inkadering van deze functies. Uiteraard dient men zich daarbij aan de wet te houden, maar er zal in de praktijk regelmatig een FG zijn die taken van een PO op zich neemt. Idealiter blijven deze functies echter ook gescheiden. De Privacy Officer heeft een belangrijke uitvoerende rol in de organisatie en zal wellicht druk ervaren binnen de organisatie. Door dit te combineren met een onafhankelijke functie als FG, zal de invulling van de dagelijkse taken niet altijd ten goede komen. Er wordt veel gevraagd van een FG/DPO en, met name binnen de grotere organisaties, is het zeer gewenst om daarnaast één of meer PO’s aan te stellen die kunnen helpen bij de uitvoerende werkzaamheden.

Ondanks de samenhang in de takenpakketten van de functies van deze privacy professionals, kunnen de functies niet zomaar voor elke organisatie worden samengevoegd. De FG/DPO dient te allen tijde de onafhankelijke positie te bewaren en de combinatie van een FG- en CISO-functie zal de onafhankelijkheid onder druk doen staan. De CISO dient in overleg met de FG tot passende beveiligingsmaatregelen te komen, waarop de FG vervolgens toezicht dient te houden. Daarom kan één persoon niet het eigen beveiligingsbeleid opstellen om deze vervolgens ook zelf te keuren: het cliché ‘de slager keurt zijn eigen vlees’ gaat hier dan ook op.

Verantwoordelijk

Duidelijk is en blijft dat de FG/PO/CISO niet persoonlijk verantwoordelijk zijn wanneer de AVG niet nageleefd wordt. De AVG maakt duidelijk dat het de verantwoordelijke of de verwerker is die erop toe dient te zien en moet kunnen aantonen dat de verwerking aan de voorwaarden voldoet. Naleving van regels op het gebied van gegevensbescherming is de verantwoordelijkheid van de verantwoordelijke of de verwerker en is bovendien een continue proces.

Linde Mensink

Juridisch adviseur

Linde Mensink werkt bij ICTRecht als juridisch adviseur binnen het privacyteam en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht houdt zij zich voornamelijk bezig met de beantwoording van uiteenlopende juridische vraagstukken op het gebied van privacywetgeving.


Er zijn 3 reacties

  1. Goede uiteenzetting! Van mij mag de onafhankelijkheid van de FG of DPO wel iets meer belicht worden. Te vaak worden deze functies bij een manager gelegd, die daarmee toezicht op zijn eigen beleid moet houden…
    Soms is er wel een security officer (SO) in een organisatie. Die is dan ook meer uitvoerend en dan worden de toezichttaken van de CISO wel weer bij de FG neergelegd. Daarmee kun je In een wat kleinere organisatie de driehoek wat makkelijker inrichten, zonder direct een grote overhead te creëren. Wat ook interessant is dat er soms ook een Compliancy Officer rondloopt. Die doet dan weer vaak iets meer dan de SO en de PO, maar wel weer vooral gericht op normen, wet- en regelgeving. Eisen voor deze rollen verschillen enorm en er is geen echt vastomlijnd takenpakket.

    Toch een waardevol stuk!

    1. Beste Reijer,

      Dank voor je reactie. Goed punt: de rol van de FG/DPO wordt helaas wel eens op een bepaalde manier ingestoken waardoor er sprake is van een slager keurt zijn eigen vlees situatie. Afhankelijk van de inrichting en grootte van de organisatie, kunnen de rollen anders worden ingevuld en er is geen vastomlijnd takenpakket ten aanzien van alle rollen. Ten aanzien van de FG geldt natuurlijk wel dat de AVG vrij veel invulling biedt en er bepaalde plichten bestaan voor deze rol als privacy professionals.

  2. @Reijer.

    Artikel 38, lid 6 AVG en paragraaf 3.5 van de ‘Richtlijnen voor functionarissen voor gegevensbescherming (Data Protection Officer, DPO) – wp243rev01_nl’ zijn glashelder.

    Artikel 38, lid 6 AVG : “De functionaris voor gegevensbescherming kan andere taken en plichten vervullen. De verwerkingsverantwoordelijke of de verwerker zorgt ervoor dat deze taken of plichten niet tot een belangenconflict leiden.”

    Paragraaf 3.5 van de Richtlijnen : “Het uitblijven van een belangenconflict hangt nauw samen met de vereiste om autonoom te handelen.
    Hoewel functionarissen voor gegevensbescherming andere functies kunnen bekleden, kunnen hen alleen andere taken en plichten worden toevertrouwd als deze geen aanleiding geven tot enig belangenconflict. Dit houdt met name in dat de functionaris voor gegevensbescherming binnen de organisatie geen functie kan bekleden waarbij hij of zij de doelstellingen van en de middelen voor de verwerking van persoonsgegevens moet bepalen.
    Gezien de specifieke organisatiestructuur van elke organisatie moet dit geval per geval worden beoordeeld.
    Als vuistregel worden binnen de organisatie als functies met een belangenconflict beschouwd: functies in het hogere management (bv. Chief Executive, Chief Operating, Chief Financial, Chief Medical Officer, hoofd van de marketingafdeling, hoofd van Human Resources of hoofd van de IT-afdeling), …”

    Let even op de formulering “geen aanleiding geven tot enig belangenconflict.”
    Van ‘*enig* belangenconflict’ is al snel sprake, vooral op hoger management-niveau. Dat laatste niet alleen omdat daar diverse hierarchische lijnen samen (kunnen) komen, maar ook omdat deze personen al snel als ‘verwerkingsverantwoordelijke’ of ‘verwerker’ moeten worden gekwailificeerd.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie