Print:

Zo werken de FG en information security officer optimaal samen

Lynsey Dubbeld , Contentstrateeg

LinkedIn profiel

Met een slimme samenwerking kunnen de Functionaris voor de Gegevensbescherming (FG) en de Information Security Officer (ISO) elkaar daadwerkelijk versterken, vertelt Pauline Woutersen van zorginstelling Pameijer.

“Het is soms lastig voor medewerkers om het verschil te bepalen tussen vraagstukken waarmee de Functionaris voor de Gegevensbescherming (FG) zich bezighoudt en taken die bij de Information Security Officer (ISO) liggen. Maar we willen eigenlijk dat medewerkers zich daar niet mee hoeven bezighouden”, vertelt Pauline Woutersen, sinds 2018 ISO bij Pameijer, een zorginstelling in de regio Rijnmond en omstreken die ondersteuning biedt aan mensen met een verstandelijke en/of geestelijke beperking. Ruim 2.900 professionals leveren vanuit 200 locaties ondersteuning aan circa 6.500 cliënten per jaar.

“Het gaat er natuurlijk gewoon om dat vragen rond de bescherming en beveiliging van gegevens snel en adequaat worden opgepakt”, licht Woutersen toe. “Als een medewerker bijvoorbeeld een vraag heeft over de uitwisseling van persoonsgegevens met een externe partij dan zorgen wij er onderling voor dat de juiste persoon het antwoord geeft.”

Onderdeel van het totaalplaatje
Woutersen was eerder onder meer information security en data protection officer bij zorginstelling Fransiscus Gasthuis & Vlietland en projectmanager bij Sun Microsystems. In 2017 volgde ze de beroepsopleiding tot Certified Data Protection Officer (CDPO). “Door mijn ervaring als data protection officer en dankzij de CDPO-opleiding ben ik me er goed van bewust dat de ISO en FG elkaar echt nodig hebben. Informatiebeveiliging is natuurlijk een randvoorwaarde voor dataprotectie. Zaken zoals dataminimalisatie, datakwaliteit en doelbinding spelen net zozeer bij informatiebeveiliging als bij dataprotectie. Informatiebeveiliging is in mijn visie een onderdeel van het totaalplaatje van hoe je zorgvuldig omgaat met persoonsgegevens.”

De FG en ISO van Pameijer trekken samen op bij onder andere awareness campagnes, risico-analyses en rapportages aan het bestuur. “Bewustwording van risico’s en maatregelen voor informatiebeveiliging en dataprotectie is een continu proces waar we allebei veel mee bezig zijn. En Data Protection Impact Assessments (DPIA’s) combineren we zo veel mogelijk met risico-analyses die we vanuit informatiebeveiliging uitvoeren”, vertelt Woutersen over de manieren waarop de FG en ISO in de praktijk samenwerken. “Verder maken we een gezamenlijk jaarplan over informatiebeveiliging en dataprotectie, en worden beide aspecten zo veel mogelijk in adviezen geïntegreerd.”

“We zijn nu ook gezamenlijk bezig om te onderzoeken in hoeverre we slim kunnen aansluiten bij bestaande processen die raakvlakken hebben met onze werkterreinen, zoals interne audits over kwaliteit en veiligheid,” vult Woutersen aan. Pameijer is gecertificeerd volgens NEN 7510, dat op onderdelen overeenkomsten vertoont met dataprotectie. “De FG en ISO bereiden gezamenlijk de adviezen voor over de risico-afwegingen die de proceseigenaren maken.”

Van solisten naar team
Met de juiste samenwerking kunnen FG’s en ISO’s elkaar daadwerkelijk versterken, vindt Woutersen. “Je hebt allebei een solistische functie en als team kan je verder komen. Neem de situatie waarin een datalek plaatsvindt. Als ISO kan ik vanuit mijn ervaring en expertise goed meedenken over de mogelijke preventieve maatregelen en over de toekomstige risico’s. Het is ook fijn om als ISO een klankbord te hebben bij een collega die dichtbij je vakgebied opereert. Hoe meer je, zoals ik, bezig bent met de organisatorische, tactische en strategische kant van informatiebeveiliging, hoe logischer het is om samen met de FG op te trekken.”

Het onderlinge overleg tussen FG en ISO gaat lang niet altijd over vakinhoudelijke onderwerpen, merkt Woutersen op. “We hebben het bijvoorbeeld ook over de vraag hoe we onze adviezen het beste onder de aandacht van de organisatie kunnen brengen. Wat is het juiste moment? Wat kunnen we leren uit eerdere adviestrajecten?”

De ideale samenwerking
Zijn de verschillende rollen van FG en ISO in de praktijk altijd scherp te onderscheiden? Woutersen ziet vooral een formeel verschil. “Vanuit zijn toezichthoudende verantwoordelijkheid heeft de FG een directe lijn met het bestuur, terwijl ik rapporteer aan de manager Informatievoorziening & Automatisering. Maar je wilt in de praktijk natuurlijk voorkomen dat we er op de werkvloer niet uitkomen en de FG naar het bestuur stapt.”

De ideale samenwerking tussen FG en ISO begint volgens Woutersen met korte lijnen en een flexibele instelling. “We hebben geen vaste overlegmomenten, maar we zorgen ervoor dat we makkelijk bij elkaar kunnen langslopen. In veel gevallen spreken we ad hoc af wie wat doet. Bij de opstart van nieuwe projecten kijken we bijvoorbeeld altijd even kritisch wie van ons aansluit om mee te denken over security & privacy by design.”

Een gezamenlijk beeld
Vanwege haar werkervaring en opleiding heeft Woutersen veel kennis over dataprotectie. Wat moeten privacyprofessionals eigenlijk weten over informatiebeveiliging – en het werkveld van ISO’s in het bijzonder? “Het lijkt mij heel goed als een FG een algemene indruk heeft van waar informatiebeveiliging uit bestaat, bijvoorbeeld gerelateerd aan een norm. Het gaat niet zozeer om diepgaande kennis over specifieke technische maatregelen, maar wel over up-to-date inzichten in de mogelijke impact van ontoereikende informatiebeveiliging en de principes achter zaken zoals security by design en toegangsbeveiliging. Op die manier kan een FG bijvoorbeeld de impact van een datalek beter inschatten.”

Het juiste kennisniveau helpt de FG volgens Woutersen ook om te herkennen welke vraagstukken relevant zijn voor ISO’s en in welke situaties zij kunnen meedenken en adviseren. “Als je allebei voldoende weet over de vakgebieden dataprotectie en informatiebeveiliging kan je beter met elkaar het gesprek voeren. Uiteindelijk is het allerbelangrijkste om gezamenlijk een beeld te hebben van de risico’s waarmee de organisatie te maken heeft. Dan kan je vervolgens ook consistent aan de organisatie duidelijk maken dat je focust op bepaalde risico’s.”

Als privacyprofessional alle relevante kennis opdoen om optimaal samen te werken met information security officers en andere IT- en security-experts? Volg dan de driedaagse praktijkcursus Security voor privacy professionals, of ga voor de premium beroepscertificering met de opleiding tot Certified Data Protection Officer (CDPO).