Hoe een sterkere samenwerking tussen CISO en DPO leidt tot betere compliance, risicobeheersing en veerkracht
De DPO (Data Protection Officer) en de CISO (Chief Information Security Officer) hebben elk een andere pet op. De eerste is wettelijk vastgelegd onder de GDPR, met een duidelijk afgebakend takenpakket. De tweede bestaat al langer, maar de invulling van de rol verschilt vaak van organisatie tot organisatie.
De DPO waakt over naleving van de GDPR en de rechten van betrokkenen. De CISO beschermt dan weer de vertrouwelijkheid, integriteit en beschikbaarheid van bedrijfsinformatie.
Verschillend? Absoluut. Maar het échte verhaal zit in hun samenwerking.In deze blog focussen we op de synergie die mogelijk is, en zou moeten zijn, tussen beide rollen.
1. Governance en beleidsafstemming
Begin met het op elkaar afstemmen van governancekaders en -beleid. Beide functionarissen zouden samen bestaande beveiligingsbeleid, gegevensbeschermingsbeleid en complianceprocedures moeten herzien.
Zoek altijd naar efficiëntie: sommige beleidslijnen kunnen overlappen of er kan een mogelijkheid zijn om beleid samen te voegen.
Een gezamenlijke set van “privacy & security”-beleid, onderschreven door beide rollen, zet de toon voor organisatorische naleving.
2. Inventaris van activa en gegevens
“Je kunt niet beschermen wat je niet weet dat je hebt.” Een nauwkeurige, up-to-date inventaris van informatieactiva en gegevensverwerkingsactiviteiten is het uitgangspunt voor zowel beveiligings- als privacyprogramma’s.
Het team van de CISO brengt doorgaans IT-systemen, applicaties en gegevensstromen in kaart voor cyberbeveiliging, en de DPO houdt toezicht op het bijhouden van het register van verwerkingsactiviteiten voor privacy-naleving.
In plaats van dit parallel te doen, is het zeer effectief om één gecoördineerd activa- en verwerkingsregister op te stellen dat aan beide noden voldoet.
3. Risicobeoordeling en -beheer
Zowel de CISO als de DPO gebruiken risicogebaseerde benaderingen, maar vaak met een ander perspectief: de CISO evalueert risico’s voor de werking en gegevens van de organisatie, terwijl de DPO risico’s beoordeelt voor de rechten en privacy van individuen.
In de praktijk overlappen deze risico’s en kunnen ze samen worden beheerd. Stel een gezamenlijk risicobeheerproces op dat beide perspectieven samenbrengt. Dit kan het houden van gezamenlijke risicobeoordelingsworkshops omvatten, waarin beveiligingsdreigingen naast privacyrisico’s worden beoordeeld.
Ontwikkel een gedeeld risicoregister en spreek een gemeenschappelijke risicoscoremethodologie af, wat ook efficiëntere rapportering mogelijk maakt.
4. Beveiliging van derde partijen en toeleveringsketen
Een ander cruciaal vertrekpunt is het beheren van risico’s bij derden. Beide rollen hebben belang bij hoe leveranciers en partners omgaan met de gegevens van de organisatie; de CISO maakt zich zorgen over aanvallen via de toeleveringsketen of beveiligingsfouten bij leveranciers, en de DPO focust op de naleving door verwerkers volgens de GDPR.
Door samen te werken aan leveranciersbeoordelingen en contracten kunnen de CISO en DPO garanderen dat aan beveiligings- en privacyvereisten wordt voldaan. Samen zouden ze ook moeten definiëren hoe leveranciers op lange termijn worden opgevolgd.
5. Incidentresponsplanning
Een van de belangrijkste raakvlakken van CISO- en DPO-taken is de reactie op incidenten en datalekken. Het is logischer om rollen vooraf te verduidelijken dan om te improviseren tijdens een crisis.
De CISO en DPO zouden samen een incidentresponsplan moeten opstellen dat zowel cyberbeveiligingsincidenten als datalekken dekt.
Maak op voorhand afspraken over wie wat doet: meestal leidt de CISO de technische beheersing, forensisch onderzoek en herstel, terwijl de DPO de privacy-impact beoordeelt en de meldingen aan de toezichthoudende autoriteit of betrokkenen, of beide, coördineert.
Kortom, wanneer een lek zich voordoet, presenteert de organisatie een verenigd front en beperkt ze zowel de zakelijke als compliance-impact.
6. Bewustmaking en opleiding
Een cultuur van beveiliging en privacy gaan hand in hand. Werknemers zouden een consistent signaal moeten krijgen dat het beschermen van gegevens ieders verantwoordelijkheid is.
Start de samenwerking door de krachten te bundelen voor bewustmakingsprogramma’s. In plaats van aparte trainingen (één over cyberhygiëne en een andere over de GDPR), ontwikkel gezamenlijke sessies of communicatie die beide onderwerpen behandelen.
Wanneer personeel een verenigd front ziet tussen de CISO en DPO, versterkt dat het belang van beide aspecten van compliance.
Daarnaast kan het team van de CISO technische training geven aan de DPO en kan de DPO het team van de CISO inlichten over basisprincipes van privacywetgeving.
Kruistraining van beide teams is een krachtige manier om het “tech vs. legal”-denken te doorbreken en echte interdisciplinaire samenwerking te stimuleren.
Laatste tips & tricks
Enkele laatste tips & tricks om de samenwerking tussen de DPO en de CISO te versterken:
- Neem deel aan hetzelfde governanceforum: richt een crossfunctioneel Privacy & Security-comité/team op dat regelmatig samenkomt om privacy- en beveiligingsthema’s te bespreken. Regelmatige vergaderingen maken het mogelijk om lopende projecten, opkomende risico’s, auditbevindingen en aankomende regelgeving te bespreken. Documenteer de uitkomsten zodat gedeelde verantwoordelijkheid zichtbaar blijft.
- Definieer duidelijke verantwoordelijkheden: neem de tijd om in kaart te brengen waar de verantwoordelijkheden van de CISO en DPO elkaar overlappen en waar ze uiteenlopen. Dit kan door sleutelprocessen op te sommen (zoals toegangsbeheer, incidentrespons, leveranciersbeheer, enz.) en expliciet aan te duiden wie leidt, wie ondersteunt en wie geïnformeerd moet worden (denk aan RACI-matrices).
- Gebruik gedeelde tools en documentopslag: dit kan een GRC-tool zijn (Governance, Risk & Compliance), een gedeeld projectmanagementboard of zelfs een samenwerkingsomgeving zoals SharePoint voor beleid en procedures.
- Coördineer risicoanalyses en audits: maak het een standaardpraktijk om gezamenlijke risicobeoordelingen, audits en testen uit te voeren.
- Plan gezamenlijke bewustmakings- en opleidingsinitiatieven: zoals eerder vermeld is gezamenlijke bewustmaking cruciaal. Dit kan gaan van de algemene boodschap tot de concrete inhoud van e-learnings of workshops.
- Stem af op gemeenschappelijke metrics en rapportering: om de samenwerking te verankeren, zouden de CISO en DPO enkele gedeelde KPI’s moeten definiëren die beide doelstellingen weerspiegelen.
