Om de privacy binnen uw organisatie te waarborgen, dienen binnen uw organisatie bepaalde rollen gedefinieerd te worden die zich met dit onderwerp zullen bezighouden. Dit omvat de CISO (Chief Information Security Officer) en de DPO (Data Protection Officer). Wat doen ze en wat is het verschil tussen deze twee functies? Wij leggen het uit in deze blog.
Wat is een DPO :
De functionaris voor gegevensbescherming (DPO) is de persoon die voor een organisatie toezicht houdt op de toepassing en naleving van de GDPR. Binnen de organisatie waarvoor de DPO optreedt, zal hij ervoor zorgen dat de persoonsgegevens van het personeel, klanten, leveranciers of andere personen (ook wel betrokkenen genoemd) verwerkt worden in overeenstemming met de toepasselijke regels voor gegevensbescherming. De DPO fungeert daarbij ook als eerste aanspreekpunt voor de Gegevensbeschermingsautoriteit.
De DPO is een integraal onderdeel van de organisatie, waardoor zij bij uitstek geschikt is om compliance te waarborgen. Niettemin moet de DPO haar taken zelfstandig kunnen uitoefenen.
Wat is een CISO :
De Chief Information Security Officer (CISO) speelt een cruciale rol in het beheer van alle bedrijfsprocessen die met information security te maken hebben. De CISO zal instaan voor het implementeren van het informatiebeveiligingsbeleid én het toezicht daarop. De CISO werkt actief samen met het bestuur en de interne organisatie.
De persoon die deze functie bekleedt, dient kennis en ervaring te hebben op het gebied van informatiebeveiliging, risicoanalyse en specialistische beveiligingstechnieken, én kennis van de relevante wet- en regelgeving.
De CISO als technologieleider begrijpt hoe verschillende aspecten van beveiliging verband houden met de IT-systemen, apparaten en netwerken waarop het bedrijf opereert en vertrouwt.
Een CISO past zijn uniek perspectief toe om beveiligingsrisico’s te identificeren en strategieën aan te bevelen om deze te beheren. De CISO kan ook complexe beveiligingsproblemen aanpakken en deze in niet-technische taal beschrijven, zodat leiders en andere belanghebbenden de potentiële gevolgen van deze problemen kunnen begrijpen.
Wat is het verschil tussen een DPO & CISO?
Een eerste groot verschil tussen beide functies is de manier waarop er naar risico’s gekeken wordt De CISO zal steeds vanuit een financieel en operationeel oogpunt kijken naar de bestaande en toekomstige risico’s, terwijl de DPO naar dezelfde risico’s zal kijken vanuit een meer consumentgericht perspectief.
De rol van CISO is om de meerdere leveranciers van een bedrijf te beheren onder de strikte GDPR-regelgeving. Dit kan uitdagend zijn omdat erin zo goed als ieder bedrijf leveranciers en klanten zijn en sommige van deze klanten ook leveranciers kunnen zijn. In deze gevallen zal de CISO ervoor moeten zorgen dat hij beschikt over alle contracten die al deze interacties bestrijken. Het is dan ook van groot belang om te controleren en er zeker van te zijn dat de leveranciers van het bedrijf hetzelfde niveau van beveiliging en gegevensbescherming bieden als het bedrijf zelf.
De DPO gaat niet kijken naar de risico’s die kunnen optreden voor het bedrijf, maar naar de risico’s en het verlies van persoonlijk identificeerbare informatie die kunnen optreden voor de betrokken
Daarnaast is het voor een aantal organisaties verplicht om een DPO aan te stellen. Voor de CISO is de aanstelling nooit wettelijk verplicht. De aanstelling van een CISO is een vrije keuze van een organisatie om het informatiebeveiligingsbeleid in te vullen.
Zijn beide functies verenigbaar?
Het is vrij duidelijk dat er een verband is tussen beide functies en dat er een overlap bestaat tussen de taken en verantwoordelijkheden van beiden. Betekent dit nu dat u binnen uw bedrijf dezelfde persoon kunt aanstellen als DPO en CISO? Nee, zulke praktijken zijn zelfs verboden.
Het grootse verschil tussen beide functies en de reden dat eenzelfde persoon binnen hetzelfde bedrijf niet beide functies mag uitoefenen, is dat de CISO zich dient te richten op de beveiliging van alle waardevolle informatie in de organisatie terwijl de DPO moet toezien op de naleving van de privacyregelgeving en bedrijven moet ondersteunen om een passend beveiligingsniveau voor de persoonsgegevens van betrokkenen te kunnen garanderen.
De één werkt dus in het belang van het bedrijf, terwijl de ander werkt in het belang van betrokkenen.
Dit betekent ook dat de CISO nooit de eindverantwoordelijke kan zijn voor het voldoen aan de privacywetgeving. Die verantwoordelijkheid komt toe aan het management van een organisatie. Deze kan hiervoor de hulp inroepen van een DPO, maar deze DPO dient hierbij steeds zijn onafhankelijke positie te waarborgen. Gezien haar onafhankelijke positie hoeft de DPO dan ook ooit verantwoording af te leggen bij het management van een bedrijf waarbij de CISO hier wel toe verplicht is.
Conclusie
Gezien het feit dat het soms een grote uitdaging is om dubbele rollen tegelijkertijd te beheren, begrijpen wij bij DPO associates deze complexe onderwerpen en kunnen onze specialisten deze diensten rechtstreeks aan uw bedrijf leveren, afhankelijk van uw zakelijke vereisten en behoeften.
Neem vandaag nog contact met ons op om uw CISO of DPO aan te stellen.
