Aflevering 7 besteedt aandacht aan twee soorten functies (Functionaris Gegevensbescherming [FG] en Chief Information Security Officer [CISO]) en de verhouding daartussen. Is de ideale FG ook CISO?
De meningen verschillen. Het gesprek wordt hier gevoerd door Bart van Rijn (FG én CISO bij UMC Utrecht) en Mabel de Vries (FG bij diverse organisaties), onder leiding van Robin Rotman. Je kunt ook de andere podcasts in deze serie (in totaal acht afleveringen) beluisteren op dit kanaal. Iedere week komt er eentje bij.
Bekijk ook de teaser: https://youtu.be/QL7DEzDP20s
Aflevering 7 besteedt aandacht aan twee soorten functies (Functionaris Gegevensbescherming [FG] en Chief Information Security Officer [CISO]) en de verhouding daartussen. Is de ideale FG ook CISO?
De meningen verschillen. Het gesprek wordt hier gevoerd door Bart van Rijn (FG én CISO bij UMC Utrecht) en Mabel de Vries (FG bij diverse organisaties), onder leiding van Robin Rotman. Je kunt ook de andere podcasts in deze serie (in totaal acht afleveringen) beluisteren op dit kanaal. Iedere week komt er eentje bij.
Bekijk ook de teaser: https://youtu.be/QL7DEzDP20s
Is de ideale FG ook CISO?
VAN RIJN: Is de ideale FG ook CISO?
ROTMAN: Welkom bij 'Privacy in de praktijk'. Ik ben Robin Rotman.
In deze podcast van 't Centrum Informatiebeveiliging
en Privacybescherming spreek ik functionarissen gegevensbescherming
en andere deskundigen over dilemma's waar deze FG's mee te maken hebben.
Vandaag te gast: Bart van Rijn, FG en CISO bij UMC Utrecht.
Ik heb al een vermoeden waar jij staat in dit dilemma.
En aan de andere kant Mabel de Vries.
Jij wordt als externe FG ingevlogen bij verschillende organisaties.
Welkom. We spraken elkaar eerder, leuk.
Bart.
De ideale FG is wat jou betreft dus ook CISO?
Je hebt het dilemma al opgelost.
-Ja, in onze organisatie.
Ik kan me voorstellen dat het niet overal kopieerbaar is.
Maar een van de eerste dingen die in de AVG-wetgeving staat
voor de taken van een FG is dat die ook de praktijk moet weten
van de gegevensbescherming.
Naast wetgeving ook kennis van de praktijk van gegevensbescherming.
Dat is natuurlijk...
Gaandeweg zien we veel meer dat het overlapt.
Gegevensbescherming van de CISO en de FG in hun werk
loopt steeds meer in elkaar over en de neuzen staan dezelfde kant op.
ROTMAN: Kun je even schetsen? Ik snap heus wel dat er bij patiënten,
het gaat over informatie en privacy...
Kun je schetsen waarnaar je zit te kijken in je dagelijks leven?
Als CISO/FG.
VAN RIJN: In het dagelijks leven van een FG in een universitair medisch centrum
zitten we heel veel aan de zorgkant.
Maar ik ben ook een groot deel bezig met onderzoeksvraagstukken,
met patiëntgegevens, waar we veel onderzoek doen.
Maar ook zeker onderwijs.
We moeten niet vergeten dat we vaak organisaties zijn
van ruim 10.000 medewerkers.
Dus we zitten ook met heel veel medewerkergegevens.
Het is een open gebouw, moet goed beveiligd worden.
Dus we hebben ook veel contact met beveiliging.
En heel veel patiënten die met mij ook weleens persoonlijk
willen spreken om bepaalde zaken door te spreken.
ROTMAN: Interessant. Leuk werk.
Mabel, jij wordt als FG ingevlogen bij allerlei organisaties.
Je moet een beetje grinniken erom, maar het is echt waar.
Ben je ook weleens tegelijkertijd CISO geweest?
DE VRIES: Ik ben nooit CISO geweest. Toen heette het nog niet zo.
En toen het CISO heette nooit tegelijkertijd.
ROTMAN: Is het een functie die je makkelijk kan combineren?
DE VRIES: Ik zou 't kunnen combineren, omdat ik weet waar de grens ligt
zodat ik me daar senang bij voel, en waar het echt gaat wringen.
Ik zou het kunnen, maar niet ambiëren.
ROTMAN: Waar ligt die grens?
-Als je als CISO/ISO
verantwoordelijk bent voor de keuze van de systemen
waarmee je de gegevensverwerking uitvoert,
verantwoordelijk bent voor de toetsing, de praktische toetsing,
budgettair verantwoordelijk bent voor dat soort besluiten,
dus ook de werkpraktijk uitvoert,
en dat je daarna moet zeggen 'dat heb ik goed gedaan',
daar ligt wel de scheidslijn.
ROTMAN: Hier gaat het over, Bart. Daarom is het een dilemma.
VAN RIJN: Zeker. Ik wil wel aanvullen
dat een goede CISO zichzelf ook laat auditen.
Al zou hij operationeel systeemverantwoordelijkheid hebben
zich altijd extern laten auditen.
Tenminste, een goed systeemwerkend bedrijf.
Maar het is zo dat daar de scheidslijn zit.
Daar hebben we in het UMC Utrecht wel zorg voor gedragen.
Ik ben sinds september 2017 daar in dienst
en ik heb als eerste een organisatievorm ingebracht
zoals die bekend is bij banken en andere werelden.
Drie lijnen van verantwoordelijkheid invoeren
en duidelijk een scheiding maken tussen die eerste lijn,
uitvoerend werk, en de tweede en derde lijn.
Waarbij we in de derde lijn een intern auditbureau eraan toe hebben gevoegd
om ervoor te zorgen dat we dat systeem kunnen keuren.
ROTMAN: Kan ik zeggen dat je een deel van de FG-werkzaamheden uitbesteed?
VAN RIJN: Een deel of een extra zekerheid.
Het is maar hoe je het wil noemen.
Het is ook zo dat ik toezichthoudende taken zelf uitvoer.
Maar het is heerlijk om af en toe,
en ik denk dat elke FG dat zou moeten willen,
dat iemand anders af en toe over je schouder kijkt.
'Hé, hoe zit het nu eigenlijk?'
ROTMAN: Mabel knikt instemmend.
-Het is vaker gezegd.
Als iemand weet hoe bedrijfsvoering in elkaar zit
en hoe de processen lopen, waarin veel mensen iets moeten bijleren,
daar gaat het vaak mis.
Het klinkt mij als muziek in de oren
als iemand zo verstandig en volwassen is dat ze zeggen:
'Wij laten ons auditen.' Dus door een objectief orgaan,
de NEN of ISO, of een andere externe audit laten toevoegen.
Helaas, in de praktijk waar ik kom, is dat dus niet zo.
Het spanningsveld van 'we laten ons goed extern auditeren'
is helaas nog steeds een ondergeschoven kindje.
ROTMAN: Kun je uit jouw praktijk een voorbeeld meenemen of casus
waaruit bleek dat het tricky was?
Hier moesten we even opletten dat we al die verantwoordelijkheden en taken
goed gesplitst hadden en snapten wat we aan het doen waren.
Wat anders zit Bart paraafjes onder z'n eigen werk te zetten.
VAN RIJN: Ik ben dat niet zo tegengekomen
doordat ik bij aanvang eerst ben begonnen
met een goede verdeling te maken
tussen eerste- en tweedelijns verantwoordelijkheid.
Ik heb juist gemerkt... De ziekenhuizen hebben het heel zwaar gehad met covid.
Zeker in de eerste golf was het heel handig
dat ik als één persoon vaak aan tafel kon schuiven
bij bestuurlijke beslissingen en dingen die moesten gebeuren
om de zorg op afstand te organiseren, om mensen thuis te laten werken,
dat dat heel prettig was dat er vanuit twee hoeken, privacy en security,
goed meegekeken werd met alles wat snel en onder druk moest gebeuren.
ROTMAN: Maar dan is het risico dat je bepaalde processystemen invoert,
onder druk, het moet snel.
Hoe heb je ervoor gezorgd dat die kritische blik er wel was?
VAN RIJN: Dat ik me daar dus niet mee bemoei,
maar altijd meekeek met: welk proces wil je invoeren?
Hoe wil je het gaan uitvoeren, met welke systemen?
En daar een advies over geven hoe je die het beste inricht en gebruikt.
ROTMAN: Mabel, we hebben hier te maken met het UMC Utrecht,
een grote zorgorganisatie, veel belangen, veel patiënten
veel medewerkers, IT-systemen, covid. Allemaal situaties die nieuw zijn.
Wat denk jij dan? Die meneer is CISO en FG. Hij heeft een goed verhaal.
Maar toch, denk je dan: Dat is automatisch handig geregeld?
Of is het wel handig om te splitsen?
DE VRIES: Ik vind 'handig' een ongelukkige term,
want dat klinkt alsof hij bijdehand... Misschien is hij dat wel.
Het is nuttig in deze situatie
met druk op verschillende processen die echt niet stil mogen komen te liggen.
Een nuttige combi, maar Bart is ook een persoon
die zowel de kennis van de IT-systemen, processen,
maar ook de privacywetgeving goed kent.
Dan is het wel toevertrouwd.
Maar heel veel FG's ontberen de basale technische kennis.
Daar word ik wel ongelukkig van.
Want het is nu vaak ingevlogen vanuit het juridisch kader.
De AVG wordt heel vaak vanuit de juridische invalshoek benaderd.
Als je geen technische kennis hebt, moet je niets combineren.
In de praktijk waar ik kom, wil ik ze scheiden
om te zorgen dat je geen single point of failure hebt.
Want dat is de volgende uitdaging.
ROTMAN: Jij zegt: je moet genoeg zelfvertrouwen en kennis hebben.
Je moet snappen hoe 't spel gespeeld wordt
en dan kun je die externe audit nog inbouwen.
In welk scenario zeg je: hier moet je ze echt scheiden?
DE VRIES: Je hebt twee kennisgebieden, twee domeinen,
waar je zowel de inhoudelijke kennis moet hebben als de ervaringskennis.
Je moet het in je handen hebben gehad.
Misschien een paar ongelooflijke fouten hebben gemaakt om ervan te leren.
Als een van de twee domeinen ondergeschikt is,
dus niet op het hoogste niveau zit wat je moet hebben,
denk ik dat je 'n vergissing maakt door alles onder één persoon te scharen.
Want dan is het net niks.
ROTMAN: Wat is een single point of failure?
DE VRIES: Als je te veel dingen bij één persoon neerlegt
en diegene dan wegvalt, dan is het klaar.
ROTMAN: Te afhankelijk van die ene.
VAN RIJN: Ik kan gelukkig op vakantie.
Ik heb een systeem ingebracht dat zorgt dat het goed geborgd is.
Ik begrijp wel wat je bedoelt. Je moet borging aanbrengen,
want het is lastig als je dat, zeker in covidtijd,
als je zelf ook covid hebt en wegvalt, dan heb je gelijk niks.
ROTMAN: Dan ben ik benieuwd: Hoe heb je jezelf onmisbaar kunnen maken?
VAN RIJN: Ik heb zowel een privacy- als security officer in de tweede lijn
en bij de techniek twee ISO's die goed mee kunnen praten
aan de techniekkant en jarenlang kennis hebben hoe 'n ziekenhuis werkt.
En ervoor gezorgd dat binnen de verantwoordelijke eenheden
ook een ISO rondloopt die dicht bij het werkveld staat
en goed mee kan denken in privacy- en securitykwesties.
Tot een bepaald niveau.
ROTMAN: Er komt wat bij kijken
als jij deze functies in één persoon wil verenigen.
Het gaat niet vanzelf.
VAN RIJN: Nee, je moet echt wat neerzetten.
Je moet ook een goed gesprek hebben met zowel Raad van Bestuur,
zodat je die backing hebt en draagvlak kan krijgen,
maar ook dat je op de werkvloer gezien wordt.
En graag gezien wordt.
ROTMAN: Je moet graag gezien willen worden.
Mabel, heb je iets toe te voegen? Je moet dus als je het doet
er goed over nadenken, in die tweede en derde lijn de juiste poppetjes zetten
en binnen de organisatie goed regelen dat iedereen snapt dat het zo werkt.
Wat kan je nog meer doen als je toch deze functies wil verenigen?
DE VRIES: Je moet echt gedegen kennis hebben van beide domeinen.
En dat is schaars.
Je moet bijblijven met de ontwikkelingen van beide domeinen.
Bij de AVG vindt iedereen dat vanzelfsprekend
en als je vraagt 'hoe vaak doe je dit en dat?',
dan is dat heel vaak uit balans.
Er is genoemd dat het een eenzaam vak is.
Dus als je al in je eentje bent
en je hebt niet beide domeinen even goed te bedienen, heb je een uitdaging.
ROTMAN: Of zorg voor een team met kennis van mensen
die dat wel vertegenwoordigen.
DE VRIES: De eenzaamheid bestaat, omdat het voor de organisatie
ook nieuw is.
En daar lastig uit te leggen is waarom je een FG moet hebben
en als je ook moet uitleggen dat er een CISO moet zijn
en dat dat een ander moet zijn...
Het gaat over het soort organisatie,
middelgrote ondernemersorganisaties hebben daar last van
en die hebben niet altijd de middelen en mensen om die functies te scheiden.
VAN RIJN: Eerlijk gezegd vind ik dat je je dan verstopt in de organisatie.
En dat zie ik vaak als ik met wat broeders praat.
Ik ga op het toezicht zitten.
Volgens mij staan er vele andere taken in de AVG-wet,
zoals informeren en adviseren. Maar ook contactpunt zijn.
Aleid Wolfsen zei het net nog.
Dat we onze Raad van Besturen goed moeten kunnen adviseren.
ROTMAN: Dat betekent dus dat je ook aan de strategietafel moet zitten als FG.
Het is nogal wat.
-Ja, maar daar gebeurt het
en daar kan je uiteindelijk ervoor zorgen dat je er niet achteraf komt.
ROTMAN: Ik heb inmiddels wel geleerd,
het maakt niet uit welk dilemma je op tafel gooit,
wat je moet doen, is zorgen dat je vroeg in het proces aan tafel zit
en word belangrijk genoeg dat je wordt uitgenodigd als het ergens over gaat.
VAN RIJN: Belangrijk genoeg of ervoor zorgt dat je goed mee kan praten
met waar de business mee bezig is,
en ook begrijpt wat ze nodig hebben om door te kunnen gaan.
ROTMAN: De naam viel, Aleid Wolfsen van de AP.
Zij hebben volgens mij het liefst dat het twee gescheiden functies zijn.
Nu hebben jullie redelijk neergezet wat erbij komt kijken
als je dan toch zo eigenwijs wil zijn om die functies te verenigen.
Even naar de andere kant van het spectrum.
Stel dat je luistert als iemand die een organisatie runt of een FG
en je denkt: ik wil toch splitsen, voel ik me veiliger bij.
De checks and balances beter georganiseerd
en de AP wil het ook.
Hoe pakken we dat aan?
Stel dat je een kleine organisatie bent.
Je hebt eigenlijk geen budget voor twee fulltimers.
Hoe doe je dat?
DE VRIES: Als we met het hamertje aan de gang moeten
dat het in één poppetje moet, om het zo te zeggen,
moet je die wel selecteren op de juiste competenties en ervaring.
Wat Bart zegt, het is een strategische functie.
Dat is de grootste onderschatting van de laatste jaren
dat een FG geen strategisch functionaris is
en dat is hij of zij wel degelijk.
Op strategisch, directie- of bestuursniveau,
ben je onderdeel van het team.
Als je dat al niet kunt combineren, ben je ook geen gesprekspartner
en is het adviseren van de directies een ingewikkelde klus.
ROTMAN: Nu gaan we de CISO en de FG uit elkaar trekken.
Hoe organiseer je dat als je niet genoeg mankracht hebt?
Dan moet je een FG vanbuiten zoals jij laten invliegen?
DE VRIES: Dat mag. VAN RIJN: Graag zelfs.
DE VRIES: Dat klinkt gek, maar ik ben er geen voorstander van
om die functies zomaar makkelijk extern te doen.
Dat moet een organisatie zelf kunnen regelen,
tenzij het qua kennis en resources niet kan.
Dat is een tijdelijke situatie.
Als je het dan toch wil combineren, kijk je: welke werklast ligt er?
Welke taken liggen er?
Welke bevoegdheden moet die persoon kunnen uitvoeren?
Wat voor kennisniveau hebben we nodig?
Dan ga je kijken: als er maar voor 16 uur werk is,
moet je een parttimer aannemen, of je leidt iemand van je organisatie op
en die maak je vrij om die 16 uur uit te voeren.
ROTMAN: Een voormalig kinderverpleegkundige, bijvoorbeeld.
DE VRIES: Hij is al bezet, maar in principe wel.
Ik zit bij heel veel middelgrote zorgorganisaties
en de mensen hebben een passie voor zorg
en gaan ook aan als ze begrijpen waarom.
ROTMAN: Bart, jij hebt je zaakjes goed voor elkaar.
Dat geloof ik meteen.
Wat zou jij partijen, bedrijven, organisaties adviseren
als ze twijfels hebben?
VAN RIJN: Wat ik zou doen, is ervoor zorgen dat je één persoon hebt
die een goede strategische denker is
en goed op het hoogste niveau mee kan denken.
ROTMAN: De CISO of FG?
-Dat is niet zo belangrijk.
Je moet vooral die kennis gaan organiseren.
Je kan er ook prima voor zorgen dat die strateeg goed verbonden is
met iemand uit de techniek met een passie voor security.
Die combinatie zou weleens goed kunnen werken in kleine organisaties.
Iemand die weet hoe hij de gegevensbescherming
in de organisatie goed kan organiseren, maar ook aan de man kan brengen.
Goed kan praten.
En aan de andere kant iemand die er goed invulling aan kan geven
en met een technische bril mee kan denken.
ROTMAN: En als je als organisatie allemaal je eigen CISO hebt
en je bent acht of vijf of vier zorgorganisaties
en je deelt één FG met een paar organisaties.
Dat klinkt niet onlogisch.
VAN RIJN: Dat zou kunnen.
Maar ik vind dat je wel verbonden moet zijn.
En bij exact dezelfde soort organisatie zou dat best kunnen,
maar je moet wel verbondenheid hebben met waar de business mee bezig is.
ROTMAN: Als ik jullie zo hoor, zou de AP af moeten van het standpunt
dat er twee gescheiden functies moeten zijn.
Ze moeten niet kijken of het gescheiden is,
maar veel pragmatischer:
hebben we het goed geregeld als we er één functie van maken?
VAN RIJN: Het grootste deel wat je samen doet is gegevensbescherming.
Organiseer dat samen. En wat buiten het werkveld valt,
we hebben daar bolletjes voor gemaakt,
organiseer dat goed. Dat zou mijn advies zijn.
DE VRIES: Vanuit Barts oogpunt is dat de enige manier om het op te lossen.
Ik denk dat de stelling vanuit de AP niet zo zwart-wit is
dat hij niet verenigbaar is.
Dat staat net even iets anders in dat paper.
ROTMAN: Anders had Bart een boete gekregen.
DE VRIES: Maar wat ik wel merk, is dat je als externe FG
inderdaad verbonden moet zijn, en ik wil verder gaan,
je moet voelen waar de buikpijnfactor van die zorgorganisatie vandaan komt.
Als je 'n jeugdzorg- of ouderenzorg- organisatie bent, het is allebei zorg.
Het is allebei de carekant, dus niet de curekant.
Daar spelen hele andere dingen. Er zijn andere wetgevingen op van toepassing.
Als je dat niet weet, ben je gewoon een slechte raadgever.
Dus dat moet je weten. En die keuzes moet je met een open vizier maken.
ROTMAN: Dus een belangrijk element in de keuze
'ga ik de functies verenigen of niet' is je zelfkennis.
Hoe goed ken je jezelf? En ken je beperkingen.
VAN RIJN: Dat ook, maar ik denk dat je...
Nee, eigenlijk wel. Je moet weten waar je sterk in bent.
Dat is met elke functie zo, dat je moet organiseren wat je niet goed kan
en wat je wel goed kan, moet je zelf neerzetten.
ROTMAN: Volgens mij is ie wel helder zo.
Dank jullie wel, Bart van Rijn en Mabel de Vries.
Luister andere afleveringen van 'Privacy in de praktijk'.
Leuke onderwerpen, mooie dilemma's.
Ga hiervoor naar cip-overheid.nl/uitgelicht.