Locatie Amsterdam
Jollemanshof 12
1019 GW Amsterdam
Telefoon
020 663 1941
E-mail
info@ictrecht.nl
KvK
34216164
BTW
NL8223.30.040.B01
Locatie Groningen
Leonard Springerlaan 35
9727 KB Groningen
Telefoon
050 209 34 99
E-mail
info@ictrecht.nl
KvK
68038712
BTW
NL857275835.B01
Locatie Brussel
Avenue Louise 65
1000 Brussel
Telefoon
+32 (0)2 535 77 55.
E-mail
info@legalict.com
Ondernemingsnummer
0696.909.465
BTW
BE 0696.909.465
Terug naar overzicht

FG, DPO, CISO, PO: wie is wie?

14 augustus 2019 Door

Juridisch Product

De privacy juristen van adviesbureau ICTRecht helpen uw organisatie bij het in lijn handelen met de nieuwe privacywetgeving. Van het uitvoeren van een privacy audit tot het opstellen van diverse privacydocumenten; onze privacy juristen staan voor u klaar.

Het zijn veelgehoorde afkortingen: de FG/DPO, de CISO en de PO, maar drie verschillende functies. Allen privacy professionals, maar met verschillende taken en verantwoordelijkheden. Wie doet wat? En hoe verhouden de functies zich tot elkaar? Zie jij ook door de bomen het bos niet meer? In deze blog lees je meer over de verschillende functies.

FG/DPO

De Functionaris voor de Gegevensbescherming (FG) en haar Engelstalige variant Data Protection Officer (DPO) is de persoon binnen een organisatie die toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). De FG heeft een breed takenpakket, waaronder het creëren van privacy-bewustzijn in de organisatie en het actief betrokken zijn bij de wijze waarop de organisatie omgaat met gegevens. De FG/DPO fungeert als eerste aanspreekpunt voor de AP. Kenmerkend voor de FG is dat deze een onafhankelijke rol dient te behouden binnen de organisatie, maar tegelijk rechtstreekse lijnen heeft met het bestuur. De FG heeft kennis van privacywetten en -regelgeving, maar ook voldoende inzicht in en kennis van security én de processen binnen de organisatie. De functionaris voor gegevensbescherming kan een personeelslid van de verwerkingsverantwoordelijke of de verwerker zijn, of kan de taken op grond van een dienstverleningsovereenkomst verrichten.

In bepaalde situaties zijn organisaties verplicht om een FG aan te stellen. Dit geldt voor publieke organisaties en overheidsinstanties, organisaties die doen aan profilering, hun personeel ‘tracken’ of anderszins vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Maar ook organisaties die vanuit hun kerntaak op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over iemands gezondheid of religie zijn verplicht tot het aanstellen van een FG. Voor deze laatste categorie heeft de AP duiding gegeven over de richtlijn voor grootschaligheid, waaruit blijkt wanneer een zorginstelling verplicht is om een FG aan te stellen. Deze verplichting tot aanstelling geldt ook wanneer een organisatie strafrechtelijke persoonsgegevens verwerkt. Daarnaast kunnen EU-lidstaten andere situaties benoemen waarin een FG verplicht is. Meer duiding is nog niet gegeven over de verplichting tot aanstelling van een FG/DPO en het komt dan ook vaak voor dat een organisatie hierover twijfelt. Belangrijk daarbij is dat er een goede onderbouwing is waarom er wél of juist niet voor is gekozen.

CISO

Het vakgebied van de Chief Information Security Officer is nog niet vastomlijnd en verschilt per branche of organisatie. Veel organisaties hebben moeite met het vinden van een Chief Information Security Officer, ofwel CISO. Dit komt mede door het feit dat de CISO verantwoordelijk is voor het implementeren van informatiebeveiligingsbeleid én het toezicht daarop. Net als de FG/DPO dient de persoon die deze functie bekleedt kennis en ervaring te hebben op het gebied van informatiebeveiliging, risicoanalyse en specialistische beveiligingstechnieken, én kennis van de relevante wet- en regelgeving. De CISO krijgt te maken met het bestuur, maar ook veel met de interne organisatie.

PO

De Privacy Officer (PO), ook wel: de juridisch adviseur op privacygebied die geen FG is. De PO is verantwoordelijk voor het ontwikkelen en bewaken van het privacybeleid. Tevens biedt de PO ondersteuning bij de uitvoering van dit beleid. De PO speelt een grote rol binnen de organisatie, door te fungeren als aanspreekpunt voor privacyvraagstukken die spelen in de organisatie.

De Privacy Officer zorgt ervoor dat de voor de AVG benodigde taken worden uitgevoerd en dat maatregelen worden ingebed in de organisatie. Dit doet hij in nauwe samenwerking met de FG en de CISO, indien aanwezig.

Zijn de functies wel zo verschillend?

Uit bovenstaande blijkt dat de functies op veel gebieden op elkaar lijken: privacy en security staat centraal. Waar bij de FG en de PO het houden van toezicht (FG) en de daadwerkelijke implementatie (PO) wat meer gescheiden is, geldt voor de CISO dat deze functies beide bij hem/haar liggen. Elke organisatie zal om andere redenen kiezen voor een FG, PO en/of CISO. Dit geldt ook voor de precieze invulling en inkadering van deze functies. Uiteraard dient men zich daarbij aan de wet te houden, maar er zal in de praktijk regelmatig een FG zijn die taken van een PO op zich neemt. Idealiter blijven deze functies echter ook gescheiden. De Privacy Officer heeft een belangrijke uitvoerende rol in de organisatie en zal wellicht druk ervaren binnen de organisatie. Door dit te combineren met een onafhankelijke functie als FG, zal de invulling van de dagelijkse taken niet altijd ten goede komen. Er wordt veel gevraagd van een FG/DPO en, met name binnen de grotere organisaties, is het zeer gewenst om daarnaast één of meer PO’s aan te stellen die kunnen helpen bij de uitvoerende werkzaamheden.

Ondanks de samenhang in de takenpakketten van de functies van deze privacy professionals, kunnen de functies niet zomaar voor elke organisatie worden samengevoegd. De FG/DPO dient te allen tijde de onafhankelijke positie te bewaren en de combinatie van een FG- en CISO-functie zal de onafhankelijkheid onder druk doen staan. De CISO dient in overleg met de FG tot passende beveiligingsmaatregelen te komen, waarop de FG vervolgens toezicht dient te houden. Daarom kan één persoon niet het eigen beveiligingsbeleid opstellen om deze vervolgens ook zelf te keuren: het cliché ‘de slager keurt zijn eigen vlees’ gaat hier dan ook op.

Verantwoordelijk

Duidelijk is en blijft dat de FG/PO/CISO niet persoonlijk verantwoordelijk zijn wanneer de AVG niet nageleefd wordt. De AVG maakt duidelijk dat het de verantwoordelijke of de verwerker is die erop toe dient te zien en moet kunnen aantonen dat de verwerking aan de voorwaarden voldoet. Naleving van regels op het gebied van gegevensbescherming is de verantwoordelijkheid van de verantwoordelijke of de verwerker en is bovendien een continue proces.

Linde Mensink

Juridisch adviseur

Linde Mensink werkt bij ICTRecht als juridisch adviseur binnen het privacyteam en is Certified Information Privacy Professional/Europe (CIPP/E). Binnen ICTRecht houdt zij zich voornamelijk bezig met de beantwoording van uiteenlopende juridische vraagstukken op het gebied van privacywetgeving.


Er zijn nog geen reacties.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Uw persoonsgegevens gebruiken wij alleen voor het plaatsen en verwerken van uw reactie. Lees de privacyverklaring voor meer informatie