Ieder ministerie een eigen Chief Privacy Officer (CPO)
Om de behandeling van vraagstukken op het gebied van informatievoorziening en privacy centraal te coördineren en te uniformiseren krijgt ieder departement een eigen Chief Privacy Officer (CPO). Ook wordt een CPO Rijk benoemd die, in analogie van CISO Rijk, een rijksbrede coördinerende rol krijgt.
Een rijksbrede coördinerende rol voor privacy is, in tegenstelling tot informatiebeveiliging (CISO-stelsel), nog onvoldoende ingevuld. Voormalig Tweede Kamerlid Kees Verhoeven had hier in 2021 een motie over ingediend. De geconstateerde leemte wordt met de aanstelling van CPO’s nader ingevuld, schrijft demissionair staatssecretaris Van Huffelen in een brief aan de Tweede Kamer.
Departementale CPO’s en Rijks CPO
Dit betekent dat ieder departement een eigen CPO krijgt en dat er een CPO Rijk wordt benoemd die, in analogie van CISO Rijk, een rijksbrede coördinerende rol krijgt.
- De hoofdtaken van een departementale CPO zijn het opstellen van een privacy strategie en governance voor het departement, het opstellen en monitoren van een Plan-Do-Check-Act (PDCA)-cyclus en het adviseren van het management.
- De hoofdtaken van CPO Rijk zijn het zorgdragen voor rijksbreed privacy beleid en naleving, opstellen en actueel houden van het rijksbrede risicobeeld bescherming van persoonsgegevens en het coördineren van rijksbrede datalekken.
CPO-Raad
De departementale CPO’s vormen – met de CPO Rijk als voorzitter – gezamenlijk de CPO-Raad en fungeert formeel als voorportaal van het CIO-Beraad. De CPO-Raad kan privacyonderwerpen agenderen voor het CIO-Beraad, privacykaders/-beleid vaststellen en ter besluitvorming aanbieden aan het CIO-Beraad en Rijksbrede kennisdeling over privacy stimuleren.
Het CPO-stelsel wordt ondergebracht in het vernieuwde I-stelsel. De planning is dat het nieuwe I-stelsel eind 2023 gereed zal zijn.
Onderzoek naar vormgeving privacygovernance
Het besluit van Van Huffelen is gebaseerd op onderzoek van adviesbureau Berenschot Zij onderzochten een vijftal scenario’s. Conclusie was dat de privacygovernance het beste kan worden versterkt door de Chief Privacy Officer (CPO) als aparte functie binnen het huidige I-stelsel toe te voegen.