verschil ciso en fg

Om de privacy in uw organisatie te waarborgen, worden er bepaalde rollen gedefinieerd in een organisatie die zich met dit onderwerp bezig houden. Zo ook de CISO, Chief Information Security Officer, en de FG, Functionaris voor de Gegevensbescherming. Welke rol hebben zij en wat is het verschil tussen deze twee functies? Dat lichten we toe in deze blog.

CISO

De Chief Information Security Officer (CISO) is in een organisatie verantwoordelijk voor de informatiebeveiliging en daarmee ook het aanspreekpunt over dit onderwerp. Daarbij ondersteunt deze persoon het management met up-to-date kennis over informatiebeveiliging, zodat zij kunnen zorgen dat de organisatie de wettelijke verantwoordelijkheden en veiligheid van informatie kunnen waarborgen. Belangrijke taken van de CISO zijn het vertalen van het informatiebeveiligings- en privacy beleid naar doelen, verantwoordelijkheden en evaluatiemomenten. Ook houdt een CISO zich bezig met het bewustzijn van collega’s op het gebied van informatiebeveiliging en privacy en coördineert deze persoon de planning en controlecyclus van alle informatiebeveiligingssystemen.

FG

De functionaris voor de gegevensbescherming (FG) staat internationaal ook wel bekend als de Data Protection Officer (DPO). Deze persoon is in een organisatie de interne toezichthouder op de verwerking van persoonsgegevens. Dat er een FG aangesteld wordt, kan voortkomen uit wettelijke verplichting. Wanneer is een FG verplicht? Wanneer het een overheids-/ publieke organisatie betreft, wanneer een organisatie vanuit hun kernactiviteit op grote schaal (a) individuele gegevens of activiteiten in kaart brengt, (b) bijzondere persoonsgegevens verwerkt (gezondheidsgegevens, geloofs- of politieke overtuiging, etc.) of (c) strafrechtelijke persoonsgegevens verwerkt.

Een FG ziet toe op de toepassing en naleving van de privacywetgeving (AVG/GDPR). Daarbij is het belangrijk dat een FG een onafhankelijke positie heeft in een organisatie en dus geen verantwoording hoeft af te leggen aan bijvoorbeeld de directie (deze onafhankelijkheid geldt ook als de FG vrijwillig en niet vanuit wettelijke verplichting wordt aangesteld). De FG is een expert die, naast kennis van de privacywet, de guidelines van de European Data Protection Board en Autoriteit Persoonsgegevens volgt om de geldende interpretatie ervan te kennen en daarover te kunnen adviseren. Een FG is niet altijd direct in dienst bij een werkgever. Het kan bijvoorbeeld zijn dat het iemand is die werkt bij de ingehuurde verwerker en op die wijze als onafhankelijk FG kan optreden bij zijn/haar klant.

Het takenpakket van de FG is divers. Zo is de FG verantwoordelijk voor het creëren van bewustzijn over privacy in een organisatie en is hij/zij actief betrokken bij de wijze waarop een organisatie omgaat met gegevens. De FG is daarnaast het eerste aanspreekpunt vanuit de Autoriteit Persoonsgegevens (AP).

De verschillen tussen een CISO en FG

Wanneer we de omschrijvingen zo lezen, zien we een duidelijke samenhang en deels overlapping in de taken en verantwoordelijkheden van de CISO en de FG. Kunnen deze functies dan samengevoegd worden en door één persoon uitgevoerd worden? Nee, het is zelfs verboden. Er zijn zelfs al organisaties voor beboet, omdat het in strijd is met de AVG. Een CISO richt zich op (de implementatie van) de beveiliging van alle waardevolle informatie van de organisatie De FG ziet toe op naleving van privacywet- en regelgeving waarvan een passend beveiligingsniveau m.b.t. persoonsgegevens onderdeel van uit maakt.

Een CISO is niet eindverantwoordelijk voor het voldoen aan privacywetgeving, die ligt bij het bestuur van een organisatie, daaraan legt hij/zij verantwoording af. Een FG moet zijn/haar onafhankelijke positie waarborgen en hoeft daarom geen verantwoording af te leggen.

Essentieel verschil is verder dat informatiebeveiliging, en daarmee de CISO, zich richt op bedrijfsrisico’s. Privacy, en daarmee de FG, richt zich op de risico’s voor de persoonlijke levenssfeer van betrokkenen die door de organisatie geraakt kunnen worden. Een ander perspectief waarvan de belangen kunnen botsen. Dat is ook een van de redenen waarom de functie van CISO en FG niet gecombineerd kan worden, de FG verliest daarmee namelijk zijn/haar objectiviteit. Goede afstemming en samenwerking tussen de CISO en FG zal leiden tot versterking van beide vakgebieden en alle risico’s adresseren.

Voor sommige organisaties is het dus voorgeschreven dat er een Functionaris voor Gegevensbescherming wordt aangesteld. De positie van CISO is niet wettelijk verplicht. Dit is een invulling van een organisatie om het informatiebeveiligingsbeleid in te vullen. De CISO krijgt te maken met het bestuur, maar ook veel met de interne organisatie. De C van CISO betekent ook dat diegene op C-level in de organisatie verantwoordelijk is. Grotere organisaties hebben hiernaast een ISO die wat meer ‘midden in de organisatie’ staat.

Overzicht in de verplichtingen vanuit de AVG

Bent u binnen uw organisatie verantwoordelijk voor de naleving van de privacywet- en regelgeving? Dan is het handig om een overzicht te hebben waar u precies aan moet voldoen. Onze privacyexperts hebben dit handige overzicht voor u op papier gezet, zodat u meteen met de voor u geldende regels aan de slag kunt.

Download de AVG Factsheet hier.

New Call-to-action

Onderwerpen:

Alle onderwerpen ISO 27001 informatiebeveiliging privacywetgeving cybersecurity AVG ISO 27701

mail icons 2

Stel uw vraag over

Certificering van managementsystemen, keurmerken en andere schema's

Planning en service voor certificering

Customer Service Center Certificatie

TÜV Nederland