FG, DPO, (C)ISO, PO: wie is wie?

    - / 15 April 2025

    Het zijn veelgehoorde afkortingen: de FG/DPO, de (C)ISO, de PO en de CAICO, maar het zijn verschillende functies. Het zijn allen privacy en security professionals, maar met verschillende taken en verantwoordelijkheden. Wie doet wat? En hoe verhouden de functies zich tot elkaar? Zie jij ook door de bomen het bos niet meer? In deze blog lees je meer over de verschillende functies.

    FG/DPO

    De Functionaris voor de Gegevensbescherming (FG), ook wel Data Protection Officer (DPO) genoemd, is de persoon die voor een organisatie toezicht houdt op de toepassing en naleving van de Algemene verordening gegevensbescherming (AVG). De FG heeft een breed – wettelijk bepaald - takenpakket, waaronder het creëren van privacy-bewustzijn binnen de organisatie en het adviseren over verplichtingen uit de AVG. De FG/DPO fungeert daarnaast als eerste aanspreekpunt voor de AP.

    De FG heeft kennis van privacywet en-regelgeving, maar ook voldoende inzicht in en kennis van security én de processen binnen de organisatie. Kenmerkend voor de FG is dat deze een onafhankelijke rol dient te behouden binnen de organisatie. De AP heeft in het verleden onderzoek gedaan naar de onafhankelijkheid van FG’s binnen organisaties. Hieruit is naar voren gekomen dat in veel organisaties de FG niet onafhankelijk genoeg is. Organisaties moeten er dan ook op letten dat de onafhankelijkheid gewaarborgd wordt. Zo zou de FG geen uitvoerende werkzaamheden uit moeten voeren als hij daar later ook toezicht op moet houden. Verder is het wettelijk geregeld dat de FG rechtstreeks in contact moet staan met het bestuur. Internationaal heeft dit ook aandacht gekregen. Zo heeft de Noorse toezichthouder recentelijk een boete opgelegd aan een telecombedrijf omdat de FG geen rechtstreekse lijn had met het bestuur.

    Soms zijn organisaties verplicht om een FG aan te stellen. Dit geldt bijvoorbeeld voor publieke organisaties en overheidsinstanties, organisaties die doen aan profilering, hun personeel ‘tracken’, of anderszins vanuit hun kernactiviteiten op grote schaal individuen volgen of diens activiteiten in kaart brengen. Maar ook organisaties die vanuit hun kerntaak op grote schaal bijzondere persoonsgegevens verwerken, zoals gegevens over iemands gezondheid of religie, zijn verplicht tot het aanstellen van een FG. Deze verplichting tot aanstelling geldt ook wanneer een organisatie strafrechtelijke persoonsgegevens verwerkt. Overigens, als een organisatie niet verplicht is een FG aan te stellen, maar iemand wel de werkzaamheden van een FG vervult, dienen alle eisen die de AVG aan de FG-rol stelt in acht te worden genomen.

    Heeft jouw organisatie een paar uur per maand een FG nodig? Wij bieden FG's op afstand aan.

    Privacy Officer

    De Privacy Officer (PO) is een juridisch adviseur op privacy gebied die geen FG is. De PO wordt soms ook een privacy consultant of privacy adviseur genoemd. De PO heeft geen wettelijke taken en is direct betrokken bij de uitvoering van de AVG-verplichtingen. De PO is onder meer verantwoordelijk voor het ontwikkelen en uitvoeren van het privacybeleid. Tevens biedt de PO ondersteuning aan de FG. De PO speelt een grote rol binnen de organisatie, door te fungeren als (eerste) aanspreekpunt voor privacyvraagstukken die spelen binnen de organisatie. Denk bijvoorbeeld aan het opstellen van of onderhandelen over verwerkersovereenkomsten of het uitvoeren van Data Protection Impact Assessments.

    Chief Information Security Officer

    De Chief Information Security Officer (CISO) is de adviseur op het gebied van informatiebeveiliging binnen de organisatie en definieert de strategie binnen de organisatie. De persoon die deze functie bekleedt heeft kennis en ervaring op het gebied van informatiebeveiliging, risicoanalyse, en specialistische beveiligingstechnieken, én kennis van de relevante wet- en regelgeving. De CISO krijgt te maken met het bestuur, maar ook veel met de interne organisatie. Vanuit de Baseline Informatiebeveiliging Overheid (BIO) is het voor overheidsorganisaties verplicht gesteld om een CISO aan te stellen. Voor andere organisaties geldt er geen verplichting, maar kan het toch verstandig zijn om een CISO aan te stellen om zo de risico’s op het gebied van informatiebeveiliging in kaart te brengen en te beperken.

    Information Security Officer

    De Information Security Officer (ISO) is verantwoordelijk voor het uitvoeren van het informatiebeveiligingsbeleid en maakt de vertaalslag van de strategie die door de CISO is bepaald naar tactisch/operationeel niveau. De ISO biedt ondersteuning aan de CISO en adviseert de organisatie omtrent risico’s met betrekking tot informatiebeveiliging en de te nemen maatregelen.

    Wil jij je verdiepen in een van de functies uit dit blog? Ontdek ons opleidings- en trainingsaanbod.

    Bekijk aanbod
    Terug naar overzicht

    Isabelle Khoe

    Legal Counsel
    Lees meer
    Click me

    Meer van onze artikelen

    ICTRecht B.V.

    E contact@ictrecht.nl
    T +31 (0)20 663 1941
    Meer informatie

    Advies
    Professionals inhuren
    Documenten
    Tech/Software
    Ons team
    Vacatures
    Academy
    Nieuwsbrief

    Meld je nu aan voor één van de nieuwsbrieven van ICTRecht en blijf op de hoogte van onderwerpen zoals AI, contracteren, informatiebeveiliging, e-commerce, privacy, zorg & ICT en overheid.

    Inschrijven nieuwsbrief

    Social media
    SM 22-Linkedin SM 22_Instagram