Rolverdeling informatiebeveiliging gemeenten: drie vragen aan Nasim Ahmadi

04-11-2019

Nasim Ahmadi is Chief Information Security Officer bij de gemeenten Amstelveen en Aalsmeer. Samen met haar collega's ontwikkelde zij het privacy governance, een van de eerste documenten waarin de rollen en verantwoordelijkheden omtrent het informatiebeveiligingsbeleid gedetailleerd staan omschreven. Waarom is die rolverdeling zo belangrijk, en is het mogelijk om functies te combineren? Drie vragen aan Nasim.

Wat zijn de belangrijkste verschillen tussen de functionaris voor de gegevensbescherming en de Chief Information Security Officer bij de gemeenten Amstelveen en Aalsmeer?

De Chief Information Security Officer (CISO) is hét spilfiguur als het gaat om de beveiliging van informatie binnen de gemeente. De CISO ondersteunt de directie en de managers met kennis over informatieveiligheid, zodat zij hun verantwoordelijkheden voor de veiligheid van de informatievoorziening kunnen invullen. Daarnaast is de CISO het gemeentebrede aanspreekpunt voor directie, management en medewerkers over het onderwerp informatieveiligheid. Ook fungeert de CISO als coördinator voor de organisatie brede planning- en controlcyclus op gebied van informatieveiligheid; het gaat dan om het vaststellen van het informatieveiligheids- en privacybeleid, dit vertalen naar doelen, het inrichten van verantwoordelijkheden en de evaluatie op basis waarvan nieuwe doelen worden gesteld. Een andere belangrijke taak van de CISO is het bevorderen van het beveiligingsbewustzijn in de organisatie. Bij de gemeente Amstelveen en Aalsmeer coördineert de CISO tevens het privacyteam (de werkzaamheden van de privacybeheerders en het domein privacybeheer).

De functionaris voor de gegevensbescherming (FG, ook wel Data Protection Officer (DPO) genoemd), is de (wettelijke) interne toezichthouder op de verwerking van persoonsgegevens binnen de organisatie. De FG houdt binnen de organisatie toezicht op de toepassing en naleving van de privacywetgeving. De wettelijke taken en bevoegdheden van de FG geven deze functionaris een onafhankelijke positie in de organisatie. De FG heeft in ieder geval de volgende verantwoordelijkheden:

  • Informeren en adviseren van de gemeente en de verwerkers die namens de gemeente persoonsgegevens verwerken over hun verplichtingen volgens de Algemene verordening gegevensbescherming (AVG).
  • Toezien op naleving van de AVG en andere Europese wet- en regelgeving en nationale bepalingen omtrent gegevensbescherming.
  • Toezien op naleving van het gemeentelijke beleid met betrekking tot de omgang met persoonsgegevens.
  • Toezien op naleving van de wetgeving en het privacybeleid door de verwerkers met betrekking tot de omgang met persoonsgegevens.
  • Toezien op toewijzing van verantwoordelijkheden, en de bewustmaking en opleiding van het bij de verwerking betrokken personeel.
  • Toezien op de uitvoer van (interne) audits.
  • Adviseren over vraagstukken met betrekking tot de verwerking van persoonsgegevens.
  • Adviseren over veiligheidsincidenten met betrekking tot persoonsgegevens.
  • Adviseren over een Privacy Impact Assessment (PIA) en het toezien of de uitvoering daarvan in overeenstemming is met de AVG.
  • Toezien op en adviseren over de afhandeling van vragen en klachten over het gebruik van persoonsgegevens.
  • Adviseren en ondersteunen bij het opstellen van privacy- en produrenormen, het privacybeleid, -regelingen en -gedragscodes.
  • Rapporteren aan de directie en het college van B&W.
  • Afstemming met de Autoriteit Persoonsgegevens (AP).
  • Optreden als contactpunt voor de AP.

Waarom is het belangrijk de verschillende rollen met betrekking tot het onderwerp privacy binnen een organisatie af te bakenen?

Wet- en regelgeving en handvatten door toezichthouders geven niet altijd precies weer wie waar verantwoordelijk voor is. Bij de gemeenten Amstelveen en Aalsmeer hebben we de afbakening van de rollen op gedetailleerd niveau formeel vastgelegd in het informatieveiligheidsbeleid. Niet alleen geeft dat meer duidelijkheid voor de interne organisatie, maar het geeft ook duidelijkheid voor de collega’s die de functie zelf vervullen. Wie is nu waar verantwoordelijk voor? Wat is de rol van de FG bij het opstellen van beleid en hoe kan hij of zij hierbij de onafhankelijkheid waarborgen? En wat is de rol van het lijnmanagement hierin? Immers, de verantwoordelijkheid op het gebied van informatieveiligheid en privacy ligt bij de lijn. Vanuit daar moet voor een zo goed mogelijke implementatie van informatieveiligheid (BIG/BIO) en de AVG worden gezorgd - de FG, CISO en privacybeheerder hebben slechts een adviserende, ondersteunende rol.

Wat kunnen gemeenten doen die niet de middelen hebben om zowel een functionaris voor de gegevensbescherming als een Chief Information Security Officer in huis te halen?

Dat is een hele lastige. De functie van een FG combineren met die van een CISO wordt niet aangeraden gelet op de verantwoordelijkheden die beiden vanuit wet- en regelgeving dragen. Voor 'kleine' gemeenten is dat soms een dilemma, omdat er minder budget is. Wellicht kunnen deze gemeenten het met elkaar oplossen, bijvoorbeeld door samen een FG én CISO te delen. Samenwerking op dit gebied is erg essentieel en ik zie dit soort 'arrangementen' bij kleine gemeenten dan ook steeds vaker. Hierbij is het wel van belang dat de FG en CISO alle organisaties binnen de samenwerking goed kennen en weten wat waar speelt (en dus ook regelmatig binnen de organisatie aanwezig zijn). Anders is het een wassen neus en is de FG of CISO er enkel omdat het 'moet' van de wet.


Van onze partners

Privacy voor finance professionals

→ Lees meer

Privacy op de werkvloer

→ Lees meer

Incompanymogelijkheden

Privacyweb biedt ook de mogelijkheid om de verschillende onderwerpen als incompanyworkshop/cursus te organiseren, in samenwerking met de deskundige docenten van de Berghauser Pont Academy.
Hierbij staat de kennisbehoefte van uw medewerkers centraal. U krijgt een uniek programma toegespitst op uw wensen.
Lees meer

Wilt u snel antwoord op uw vraag?
Hanna Rab (junior uitgever) informeert u graag over de mogelijkheden. Zij is te bereiken via tel. 020 - 8200 908 en e-mail hanna@berghauserpont.nl.

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer