De Chief Information Security Officer (CISO of SO) en de Functionaris gegevensbescherming (FG): twee rollen waar je vast wel eens van hebt gehoord. Ze hebben beiden te maken met thema’s als informatiebeveiliging en privacy. De rol van de CISO hebben we al eens omschreven in een eerder artikel, evenals de rol van de FG. Maar wat is nu precies het verschil tussen de CISO en de FG? En op welke punten werken zij samen? Vragen die ons in de praktijk steeds vaker wordt gesteld. Om die reden dit blogartikel met daarin het antwoord.
Samenwerking is van vitaal belang
Met strikte gegevensbeschermingswetten over de hele wereld (zoals de AVG), is het van vitaal belang dat de FG en CISO nauw samenwerken. Hoewel het deels de taak van de FG is om het beveiligingsbeleid van de CISO te controleren, is het essentieel dat de FG en de CISO een goede verstandhouding hebben. In wezen houden CISO’s zich bezig met informatiebeveiliging en vertrouwelijke gegevens, en zijn FG’s met name gericht op privacy en persoonlijke gegevens. Een FG trekt in principe samen met een CISO op en opereert in principe naast hem of haar.
Lees ook het artikel: De rol van de Security Officer: het schaap met de vijf poten?
Outsourcen van informatiebeveiliging?
Wil je binnen jouw organisatie naar een hoger niveau op het gebied van informatiebeveiliging? Middels de dienst ‘Outsourcing’ kunnen wij je volledig ontzorgen op dit gebied. In onze handige informatiegids ‘Officer as a Service’ lees je er alles over. Download hem geheel vrijblijvend.
Chief Information Security Officer
De CISO vertrekt altijd vanuit het oogpunt van informatiebeveiliging en behandelt vraagstukken op dit gebied in de breedste zin van het woord. De rol van de CISO is cruciaal om het informatiebeveiligingsbeleid in een organisatie te implementeren, verankeren en breed gedragen te krijgen. Daarmee gepaard gaat dat de CISO focust op het Information Security Management System (ISMS) en bijbehorende certificeringen in de lucht houden en ervoor te zorgen dat deze toegevoegde waarde bieden voor de organisatie. De CISO richt daarvoor een beleid, procedures en passende beheersmaatregelen in, zowel organisatorisch als technisch en borgt daardoor dat alle (belangrijke) bedrijfsinformatie veilig wordt verwerkt. De CISO streeft naar stabiele continuïteit op dat gebied.
Over het algemeen fungeert de CISO als aanspreekpunt op gebied van informatiebeveiliging voor interne en externe contacten en staat de CISO klaar om complexe informatiebeveiligingsvraagstukken te beantwoorden. Daarbij horen ook zaken als:
- Het verbeteren van de security awareness;
- Initiëren/uitvoeren van interne audits;
- Hulp bieden aan de directie door kennisdeling en ondersteuning bij directiebeoordeling en (management)rapportages rondom informatiebeveiliging;
- Inspelen op wet- en regelgeving;
- Verwerking/advies rondom informatiebeveiligingsincidenten.
Meer lezen? Bekijk dan: Wet- en regelgeving persoonsgegevens: zijn ze goed beschermd?
Functionaris Gegevensbescherming
De FG houdt zich primair bezig met hoe de organisatie terughoudend en zorgvuldig omgaat met persoonsgegevens. De FG zorgt ervoor dat de AVG-wet wordt toegepast en nageleefd. Het betreft hier met name een compliance-, toezicht- of juristenrol en is daarom een wat meer toezichthoudende taak op juiste en niet overbodige verzameling en verwerking van persoonsgegevens. De FG zorgt ervoor dat:
- Er met persoonsgegevens wordt omgegaan zoals afgesproken;
- Dat er wordt uitgevoerd wat mensen om de organisatie heen ervan verwachten;
- Dat gegevens, vanuit privacy oogpunt, niet langer worden bewaard dan afgesproken.
De aanstelling van de FG komt voort uit de wettelijke verplichting. Deze geldt wanneer het een overheids- of publieke organisatie betreft of wanneer een organisatie vanuit de kernactiviteiten op grote schaal:
- Individuele gegevens of activiteiten in kaart brengt
- Bijzondere persoonsgegevens verwerkt (gezondheidsgegevens, geloofs- of politieke overtuiging, etc.)
- Strafrechtelijke persoonsgegevens verwerkt.
Al met al zorgt een FG voor een goede data-hygiëne, wat in de praktijk veelal neerkomt op creëren van bewustzijn binnen de organisatie rondom privacy en omgang met persoonsgegevens, het monitoren en bijsturen daarvan. In veel gevallen is de FG ook de beheerder van het verwerkingsregister en is deze eerste aanspreekpunt voor de Autoriteit Persoonsgegevens in het geval van een datalek.
Lees ook het artikel: De verantwoordelijkheden en taken van een Functionaris Gegevensbescherming (FG)
Wat is het verschil tussen een CISO en FG?
Wat is dan precies het verschil tussen een CISO en FG?
- De CISO richt zich op informatiebeveiliging met betrekking tot alle waardevolle informatie van de organisatie;
- De FG houdt toezicht op de omgang met persoonsgegevens en ziet toe op correcte naleving en toepassing van de AVG-wet.
De CISO is meer een ‘doener’ in de organisatie, waar de FG met name fungeert als toezichthouder of ‘onafhankelijk’ controleur. Om die reden is het vaak beter als een FG geen management- of directiepositie heeft: dat maakt de onafhankelijke controle namelijk makkelijker. Dat laatste zorgt voor een duidelijk onderscheid tussen de CISO en de FG en onderbouwt het feit dat beide rollen niet kunnen worden uitgevoerd door dezelfde persoon.
Daarnaast is het zo dat je voor een goede invulling van de rol van CISO vaak wat meer technisch onderlegd moet zijn. De rol van FG kun je juist uitvoeren met wat minder technische kennis. Al neemt dat niet weg dat het prettig is als de FG enigszins technisch onderlegd is.
Samenwerking tussen FG en CISO zorgt ervoor dat er met name noodzakelijke gegevens worden verzameld, waarvan betrokkenen op de hoogte zijn, die enkel worden gebruikt voor afgesproken doeleinden. Deze gegevens kunnen veilig en legaal worden verzonden, waardoor de kans op een incident of datalek aanzienlijk kleiner is. Dat levert de organisatie tijd- en kostenbesparingen op.
Artikeltip: Wet- en regelgeving informatiebeveiliging en ISO 27001
Meer informatie of ondersteuning nodig?
In dit artikel heb je kunnen lezen over de rollen van de CISO en FG, de verschillen daarin en de mate waarin zij met elkaar samenwerken. Wil je in jouw organisatie aan de slag met het op orde brengen van je informatiebeveiliging en privacy? Neem dan gerust contact met ons op. Wij helpen je graag op weg en denken graag met je mee omtrent passende invulling van beide rollen.
