Wat is het verschil tussen een CISO en een FG?

De Chief Information Security Officer (CISO of SO) en de Functionaris gegevensbescherming (FG): twee rollen waar je vast wel eens van hebt gehoord. Ze hebben beiden te maken met thema’s als informatiebeveiliging en privacy. De rol van de CISO hebben we al eens omschreven in een eerder artikel, evenals de rol van de FG. Maar wat is nu precies het verschil tussen de CISO en de FG? En op welke punten werken zij samen? Vragen die ons in de praktijk steeds vaker wordt gesteld. Om die reden dit blogartikel met daarin het antwoord.

Met strikte gegevensbeschermingswetten over de hele wereld (zoals de AVG), is het van vitaal belang dat de FG en CISO nauw samenwerken. Hoewel het deels de taak van de FG is om het beveiligingsbeleid van de CISO te controleren, is het essentieel dat de FG en de CISO een goede verstandhouding hebben. In wezen houden CISO’s zich bezig met informatiebeveiliging en vertrouwelijke gegevens, en zijn FG’s met name gericht op privacy en persoonlijke gegevens. Een FG trekt in principe samen met een CISO op en opereert in principe naast hem of haar.

De CISO vertrekt altijd vanuit het oogpunt van informatiebeveiliging en behandelt vraagstukken op dit gebied in de breedste zin van het woord. De rol van de CISO is cruciaal om het informatiebeveiligingsbeleid in een organisatie te implementeren, verankeren en breed gedragen te krijgen. Daarmee gepaard gaat dat de CISO focust op het Information Security Management System (ISMS) en bijbehorende certificeringen in de lucht houden en ervoor te zorgen dat deze toegevoegde waarde bieden voor de organisatie. De CISO richt daarvoor een beleid, procedures en passende beheersmaatregelen in, zowel organisatorisch als technisch en borgt daardoor dat alle (belangrijke) bedrijfsinformatie veilig wordt verwerkt. De CISO streeft naar stabiele continuïteit op dat gebied.

Over het algemeen fungeert de CISO als aanspreekpunt op gebied van informatiebeveiliging voor interne en externe contacten en staat de CISO klaar om complexe informatiebeveiligingsvraagstukken te beantwoorden. Daarbij horen ook zaken als:

De FG houdt zich primair bezig met hoe de organisatie terughoudend en zorgvuldig omgaat met persoonsgegevens. De FG zorgt ervoor dat de AVG-wet wordt toegepast en nageleefd. Het betreft hier met name een compliance-, toezicht- of juristenrol en is daarom een wat meer toezichthoudende taak op juiste en niet overbodige verzameling en verwerking van persoonsgegevens. De FG zorgt ervoor dat:

De aanstelling van de FG komt voort uit de wettelijke verplichting. Deze geldt wanneer het een overheids- of publieke organisatie betreft of wanneer een organisatie vanuit de kernactiviteiten op grote schaal:

Al met al zorgt een FG voor een goede data-hygiëne, wat in de praktijk veelal neerkomt op creëren van bewustzijn binnen de organisatie rondom privacy en omgang met persoonsgegevens, het monitoren en bijsturen daarvan. In veel gevallen is de FG ook de beheerder van het verwerkingsregister en is deze eerste aanspreekpunt voor de Autoriteit Persoonsgegevens in het geval van een datalek.

Wat is dan precies het verschil tussen een CISO en FG?

De CISO is meer een ‘doener’ in de organisatie, waar de FG met name fungeert als toezichthouder of ‘onafhankelijk’ controleur. Om die reden is het vaak beter als een FG geen management- of directiepositie heeft: dat maakt de onafhankelijke controle namelijk makkelijker. Dat laatste zorgt voor een duidelijk onderscheid tussen de CISO en de FG en onderbouwt het feit dat beide rollen niet kunnen worden uitgevoerd door dezelfde persoon.

Daarnaast is het zo dat je voor een goede invulling van de rol van CISO vaak wat meer technisch onderlegd moet zijn. De rol van FG kun je juist uitvoeren met wat minder technische kennis. Al neemt dat niet weg dat het prettig is als de FG enigszins technisch onderlegd is.

Samenwerking tussen FG en CISO zorgt ervoor dat er met name noodzakelijke gegevens worden verzameld, waarvan betrokkenen op de hoogte zijn, die enkel worden gebruikt voor afgesproken doeleinden. Deze gegevens kunnen veilig en legaal worden verzonden, waardoor de kans op een incident of datalek aanzienlijk kleiner is. Dat levert de organisatie tijd- en kostenbesparingen op.

In dit artikel heb je kunnen lezen over de rollen van de CISO en FG, de verschillen daarin en de mate waarin zij met elkaar samenwerken. Wil je in jouw organisatie aan de slag met het op orde brengen van je informatiebeveiliging en privacy? Neem dan gerust contact met ons op. Wij helpen je graag op weg en denken graag met je mee omtrent passende invulling van beide rollen.