Met de komst van de AVG hebben organisaties een nog grotere verantwoordingsplicht op het gebied van privacy en informatiebeveiliging. Activiteiten op deze gebieden behoren goed te worden gecoördineerd en uitgevoerd door vertegenwoordigers uit verschillende disciplines binnen de organisatie. Doorgaans worden deze taken uitgevoerd door de Privacy Officer (PO), Chief Information Security Officer (CISO) en de Functionaris Gegevensbescherming (FG). Maar wie doet wat? En hoe verhouden deze functies zich tot elkaar? In dit blog ga ik hier nader op in.

Privacy Officer

De Privacy Officer (PO) is de spin in het web op het gebied van privacy binnen de organisatie.
De PO heeft voornamelijk uitvoerende taken, zoals het opstellen van een register voor gegevensactiviteiten, het opstellen van, en eventueel betrokken worden in de onderhandelingen van verwerkersovereenkomsten, een voorstel schrijven voor (intern) privacybeleid en betrokken worden bij de integratie van privacy in de werkprocessen. Daarnaast kan de PO worden ingezet om privacyrisico’s in bepaalde werkprocessen in kaart te brengen, bijvoorbeeld door het uitvoeren van PIA’s of DPIA’s. De PO is eveneens de juiste persoon voor het behandelen van verzoeken van betrokkenen, aangaande de uitoefening van hun rechten uit de AVG. De PO staat midden in de organisatie en is hét aanspreekpunt voor alle privacy gerelateerde vraagstukken. Het aanstellen van een PO met de juiste capaciteiten is voor grote organisaties met grootschalige en diverse verwerkingen van persoonsgegevens, een noodzaak. Op allerlei vlakken moet de bewustwording omtrent privacy wordt vergroot, en moet de privacywet- en regelgeving juist worden toegepast. De PO speelt daarin een onmisbare rol, zeker bij de uitvoering van de adviezen van de FG vanuit diens toezichthoudende rol. Een grote misvatting bij veel organisaties is dat de FG ook zorgt draagt voor de uitvoering en dus voor de implementatie van de AVG. De FG zal zich niet moeten bemoeien met de uitvoering van de AVG puur vanwege het feit dat de FG later eigen werk moet gaan controleren. Vanwege de grote mate van juridische werkzaamheden die een PO moet verrichten, is het logisch en wenselijk dat de PO onderdeel uitmaakt van de juridische afdeling.

Functionaris Gegevensbescherming

In tegenstelling tot de PO, zijn de positie, taken en bevoegdheden van de Functionaris Gegevensbescherming (FG) wettelijk geregeld in de AVG. Daar waar de PO zich bezighoudt met (coördinatie van) de uitvoering van de vereisten uit de AVG, is de FG verantwoordelijk voor het toezicht op de naleving van privacywet- en regelgeving. Daarnaast ziet de FG toe op de toewijzing van verantwoordelijkheden en bewustwording binnen de organisatie en staat hij in contact met de Autoriteit Persoonsgegevens. Waar het gaat om (complexe) vraagstukken met (grote) risico’s voor de bescherming van persoonsgegevens, kan de FG gevraagd en ongevraagd adviseren.
De FG vervult eigen werkzaamheden in volledige onafhankelijkheid en krijgt vanuit de AVG de nodige onderzoeks- en controlebevoegdheden aangereikt. Bij de uitoefening van diens taken en bevoegdheden opereert de FG volledig zelfstandig en rapporteert aan het hoogste leidinggevende niveau binnen de organisatie. Ongeacht de onafhankelijkheid van de FG zal deze functionaris HR-technisch of ergens in de organisatie moeten worden geplaatst. Een logische plek voor de FG in de organisatie betreft Concern Control en soms zelfs bij de Raad van Bestuur. Afdeling Bedrijfsvoering of Directie zijn tevens veelvoorkomende voorbeelden. Dit zijn allemaal prima opties zolang de organisatie dit beseft en in lijn met AVG heeft vastgelegd aan wie de FG dient te rapporteren. Wie het hoogst leidinggevende niveau binnen de organisatie is en hoe voor de onafhankelijkheid van de FG kan worden bevorderd, lees je in dit blog.

CISO

De Chief Information Security Officer (CISO) is de centrale spil op het gebied van informatiebeveiliging binnen de organisatie. De CISO – die overigens onder verschillende functiebenamingen ten tonele komt – komt allerlei taken op het gebied van informatiebeveiliging toe. Voorbeelden zijn het opstellen en actualiseren van het informatiebeveiligingsbeleid, in kaart brengen van de aanwezige beveiligingsmaatregelen, coördineren van de uitvoering van het informatiebeveiligingsplan en daarin opgenomen maatregelen en (gevraagd en ongevraagd) adviseren over informatiebeveiligingsvraagstukken. De CISO heeft voornamelijk adviserende en coördinerende taken en rapporteert idealiter aan het hoogste leidinggevende niveau. De rol van CISO is niet wettelijk geregeld.

Samenwerking en combineren

In de praktijk werken de FG, PO en de CISO nauw samen. Dat is ook aan te bevelen, aangezien de bescherming van persoonsgegevens niet los kan worden gezien van informatiebeveiliging. Door deze nauwe samenwerking zijn de functionarissen op de hoogte van elkaars werkzaamheden en kunnen ze de naleving van de AVG in de organisatie effectiever bewerkstelligen. Voor veel organisaties is het verplicht om een FG aan te stellen, maar is het niet noodzakelijk om een fulltime FG te hebben. In de praktijk zie je vaak dat de rol van FG wordt gecombineerd met die van de PO of de CISO. Het combineren van de FG met de PO is echter niet aan te raden. De FG moet een onafhankelijke rol hebben binnen de organisatie daarnaast kunnen uitvoering en toezicht niet samengaan. De combinatie van de rol van FG met die van CISO is in sommige situaties wel mogelijk (los van de noodzakelijke competenties van de FG en de CISO), wanneer de uitvoering bij de CISO wordt weggehaald en bijvoorbeeld bij de Security Officer wordt belegd. Dan blijft de combirol FG/CISO adviseren en toezicht houden.

Privacy- en Informatiebeveiligingsteam

Idealiter worden de bovenstaande rollen dus door verschillende personen vervuld. In de praktijk is het gebruikelijk en wenselijk dat deze personen worden samengebracht in een privacy- en informatiebeveiligingsteam (PIT). Dit team kan worden aangevuld met medewerkers uit verschillende disciplines, indien daarvoor aanleiding bestaat. Een PIT dient zichtbaar te zijn in de organisatie. In dit team worden privacy- en informatiebeveiligingsvraagstukken besproken, adviezen voor besluitvorming aangedragen en op de uitvoering van adviezen gestuurd. Een PIT bestaat in ieder geval uit de PO en CISO. De FG kan het team over bepaalde vraagstukken van advies voorzien en dus met enige regelmaat aansluiten bij de overleggen. Daarnaast is het aan te bevelen om andere functionarissen deel uit te laten maken van dit team. Denk hierbij aan medewerkers van de afdelingen communicatie, P&O en inkoop, om het team inzicht te verschaffen over andere zaken en vraagstukken vanuit de organisatie.