Waarin verschillen een FG, PO en CISO van erlkaar?

De functies Functionaris Gegevensverwerking (FG of Engels: Data Protection Officer DPO), Privacy Officer (PO) en de Chief Information Security Officer (CISO) lijken op veel gebieden op elkaar: privacy en security staat centraal. Waar bij de FG en de PO het houden van toezicht (FG) en de daadwerkelijke implementatie (PO) wat meer gescheiden is, geldt voor de CISO dat deze functies beide bij hem/haar liggen. Elke organisatie zal om andere redenen kiezen voor een FG, PO en/of CISO. Dit geldt ook voor de precieze invulling en inkadering van deze functies. Uiteraard dient men zich daarbij aan de wet te houden, maar er zal in de praktijk regelmatig een FG zijn die taken van een PO op zich neemt. Idealiter blijven deze functies echter ook gescheiden. De Privacy Officer heeft een belangrijke uitvoerende rol in de organisatie en zal wellicht druk ervaren binnen de organisatie. Door dit te combineren met een onafhankelijke functie als FG, zal de invulling van de dagelijkse taken niet altijd ten goede komen. Er wordt veel gevraagd van een FG/DPO en, met name binnen de grotere organisaties, is het zeer gewenst om daarnaast één of meer PO’s aan te stellen die kunnen helpen bij de uitvoerende werkzaamheden.
Ondanks de samenhang in de takenpakketten van de functies van deze privacy professionals, kunnen de functies niet zomaar voor elke organisatie worden samengevoegd. De FG/DPO dient te allen tijde de onafhankelijke positie te bewaren en de combinatie van een FG- en CISO-functie zal de onafhankelijkheid onder druk doen staan. De CISO dient in overleg met de FG tot passende beveiligingsmaatregelen te komen, waarop de FG vervolgens toezicht dient te houden. Daarom kan één persoon niet het eigen beveiligingsbeleid opstellen om deze vervolgens ook zelf te keuren: het cliché ‘de slager keurt zijn eigen vlees’ gaat hier dan ook op.