Alle Nederlandse ministeries krijgen een eigen Chief Privacy Officer of CPO. Daarnaast wordt er een CPO Rijk aangesteld, die een rijksbrede en coördinerende rol krijgt. Het doel is dat vóór het einde Van Het jaar alle departementen een CPO hebben.
Dat schrijft staatssecretaris voor digitalisering Alexandra van Huffelen in een brief aan de Tweede Kamer.
Informatievoorziening en privacy centraal coördineren
Daarin schrijft de bewindsvrouw dat het kabinet zich de afgelopen jaren steeds meer bewust is geworden van de potentiële risico’s als persoonsgegevens onvoldoende worden beschermd. Als voorbeeld noemt ze de toeslagenaffaire, waarbij gezinnen met dubbele nationaliteit keihard werden aangepakt door de Belastingdienst.
De bescherming van persoonsgegevens is in praktijk vrijwel volledig decentraal geregeld. De regering streeft er echter naar om informatievoorziening en privacy centraal te coördineren. Dat moet de overheid daadkrachtiger maken en een uniforme aanpak voor de burger stimuleren.
Op het gebied van informatiebeveiliging heeft het kabinet in 2021 het CIO-stelsel in het leven geroepen. Daarin staan de rollen, taken, verantwoordelijkheden en bevoegdheden van de Chief Information and Security Officer (CISO) Rijk en andere functionarissen vastgelegd.
Kabinet gaat CPO’s aanstellen voor ministeries
Een centraal coördinerende rol voor privacy bestaat nog niet binnen het CIO-stelsel. “Op het gebied van privacy bestaat er daarom onvoldoende mandaat om rijksbrede kaders te stellen die erop gericht zijn een interdepartementaal risicobeeld te vormen en deze risico’s vervolgens te mitigeren”, zo schrijft staatssecretaris Van Huffelen aan de Tweede Kamer.
Naar aanleiding daarvan kreeg de CIO Rijk de opdracht om te onderzoeken hoe dit gerealiseerd zou kunnen worden binnen het huidige stelsel. De uitkomst is Dat Alle Ministeries een eigen CPO krijgen. Samen met de functionaris gegevensbescherming (FG) geeft hij invulling aan de privacygovernance.
Daarnaast wordt een CPO Rijk aangesteld. Die krijgt een rijksbrede en coördinerende rol voor het privacybeleid van de overheid en valt onder de CIO Rijk.
Staatssecretaris wil privacy hoger op de agenda plaatsen
De hoofdtaken van een departementale CPO zijn het opstellen van een privacystrategie voor het departement, het opstellen en monitoren van een Plan-Do-Check-Act cyclus en het adviseren van het management. De hoofdtaken van CPO Rijk zijn het zorgdragen voor rijksbreed privacybeleid en naleving, opstellen en actueel houden van het rijksbrede risicobeeld bescherming van persoonsgegevens en het coördineren van rijksbrede datalekken.
“Dit scenario komt het beste tegemoet aan de politieke en maatschappelijke wens om privacy hoger op de agenda te plaatsen, zorgt voor een meer integrale aanpak binnen de Rijksoverheid, en sluit het beste aan bij de visie en inrichting van privacygovernance binnen de ministeries”, aldus staatssecretaris Van Huffelen.
Het doel van de bewindsvrouw is om ervoor te zorgen dat alle ministeries dit jaar een CPO krijgen. Vóór het einde van het jaar moet er tevens een formele CPO-Raad zijn, die onder meer privacyonderwerpen agendeert, beleidskaders stelt en kennisdeling over privacy stimuleert.
