Print:

DPO, FG, PO, CISO … hoe zit het allemaal precies?

DPO, CPO, CISO, privacy officer, IT-jurist. De professionals die zich bezighouden met dataprotectie hebben uiteenlopende functietitels en achtergronden. Waar zitten precies de verschillen en wat kunnen de specialisten van elkaar leren?

Consultants, juridisch adviseurs, kwaliteitsmanagers, IT’ers. De privacyprofessionals die tegenwoordig actief zijn in Nederland hebben heel diverse achtergronden. Ook de functietitels verschillen nogal eens. Naast privacy officers en data protection officers (DPO’s) houden bijvoorbeeld ook legal councils, IT-juristen en adviseurs informatieveiligheid zich binnen organisaties bezig met de naleving van de Algemene verordening gegevensbescherming (AVG).

Is de diversiteit binnen de beroepsgroep van privacyprofessionals verwarrend? Voor buitenstaanders zijn de verschillen tussen privacy officers (die zich vooral richt op de ontwikkeling en monitoring van beleid voor dataprotectie) en DPO’s (die binnen een organisatie toezicht houden op de naleving van de AVG) soms moeilijk te volgen. Met de opmars van functies zoals Chief Privacy Officers en Chief Information Security Officers (CISO’s) ontstaan zelfs bínnen het vakgebied de nodige onduidelijkheden. Welke taken, verantwoordelijkheden en bevoegdheden heeft iedereen precies?

Drie dingen om zeker te onthouden over de “mensen die (mede) dankzij de AVG hun brood verdienen”, zoals NRC het eens omschreef.

De DPO versus FG

Het onderscheid tussen de Functionaris voor de Gegevensbescherming (FG) en DPO is regelmatig voer voor discussie. Is FG simpelweg de Nederlandse term voor DPO? Of is de DPO – vooral in internationaal opererende ondernemingen – de benaming van de interne specialist in dataprotectie, zonder dat deze formeel is aangesteld als FG?

Het verschil is belangrijk, omdat de formeel benoemde – en bij de Autoriteit Persoonsgegevens (AP) aangemelde – FG een bijzondere rol heeft als interne toezichthouder. Bovendien stelt de AVG formele eisen aan de FG-functie, bijvoorbeeld als het gaat om de onafhankelijke positie, de beschikbare middelen en het kennisniveau. Bovendien zijn sommige organisaties op grond van artikel 37 van de AVG verplicht om een FG aan te stellen.

Staat er Data Protection Officer op iemands visitekaartje of LinkedIn-profiel? Dan is het de moeite waard om even na te vragen hoe de functie formeel is ingevuld.

De CISO als partner

CISO’s zijn de adviseurs en controleurs van het (top)management op het vlak van informatiebeveiliging en dataprotectie. Om die reden kennen de rollen en verantwoordelijkheden van CISO’s veel raakvlakken met de taken van DPO’s en privacy officers. Toch kunnen de functies niet zomaar worden samengevoegd. CISO’s en privacy officers staan bijvoorbeeld aan de lat als het gaat om het opstellen van beleid voor dataprotectie en het kiezen van passende beveiligingsmaatregelen; de FG controleert vervolgens of deze wel aan de wettelijke vereisten voldoen. Als één persoon deze verschillende functies combineert, ontstaat een ongemakkelijke situatie die op gespannen voet staat met de wettelijk vereiste onafhankelijkheid van de FG.

Mark Tissink | IIRCISO’s, FG’s en privacy officers kunnen in veel gevallen natuurlijk wel samen optrekken om de privacy volwassenheid van de organisatie naar een hoger niveau te brengen. “Zeker als het gaat om bewustwording van dataprotectie doen CISO’s en privacyprofessionals er goed aan om elkaar op te zoeken”, aldus Mark Tissink, trainer, coach, security-expert en hoofddocent van onder andere de praktijkcursus Security voor privacyprofessionals. “Dat klinkt heel logisch en is zeker niet nieuw. Maar in de praktijk blijkt het soms best lastig om een werkbaar samenwerkingsmodel uit te kristalliseren, zodat de verschillende invalshoeken elkaar versterken.”

CISO’s kunnen volgens Tissink vanuit hun kennis over (technische) informatiebeveiliging een belangrijke bijdrage leveren aan juridische vraagstukken rond de AVG. “Daarnaast kunnen CISO’s en privacyprofessionals die samen de directie adviseren een sterker geluid over het belang van dataprotectie laten horen. Voor de regelnaleving draait het er uiteindelijk om dat het management de experts op het gebied van informatiebeveiliging, dataprotectie en privacy als gesprekspartners erkent en – als deze thema’s voldoende belangrijk worden gevonden – ook serieus neemt.”

Sparren met de CMO

Door ontwikkelingen in onder andere big data, Artificial Intelligence, het Internet of Things en biometrie werken marketingteams steeds meer met grote hoeveelheden (persoons)gegevens. De Chief Marketing Officer (CMO) is daarmee een belangrijke gesprekspartner van de DPO. Een regulier overleg is een goede manier om van elkaar te leren, aldus Lisa Joy Rosner, CMO van Otonomo, een wereldwijd platform voor connected car data.

Wat is de waarde van privacy als grondrecht? Hoe gaan we in een internationale context om met verschillende wet- en regelgeving? Wat is de beste manier om persoonsgegevens te anonimiseren – en dataverzameling te minimaliseren? Het zijn vraagstukken waarover privacyprofessionals marketingteams uitstekend kunnen bijpraten. Tegelijkertijd stelt het contact met de marketingspecialisten privacy officers en DPO’s in staat om in een vroegtijdig stadium aangehaakt te zijn op nieuwe plannen, projecten en ontwikkelingen die mogelijk een impact hebben op dataprotectie.

Het advies van Rosner is om als CMO regelmatig koffie te drinken met privacycollega’s. Naar zo’n uitnodiging zal iedere privacyprofessional wel oren hebben, toch?

Als privacyprofessional slim samenwerken met CISO’s en andere security-experts? Volg dan de driedaagse praktijkcursus Security voor privacyprofessionals. Met de opleiding tot Certified Data Protection Officer (CDPO) vinden DPO’s en privacy officers de volledige verdieping in hun vakgebied, inclusief de soft skills om optimaal samen te werken met interne stakeholders.

 

Meer informatie?

Laat uw e-mail achter en ontvang de brochure direct in uw mailbox.