Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 6 juli 2023

Aanleiding

Met deze brief geef ik aan hoe invulling wordt gegeven aan de motie van het lid Verhoeven c.s. (Kamerstuk 27 529, nr. 239). In deze motie wordt de noodzaak benadrukt van het versterken van de chief privacy officers functie (CPO) binnen de overheid. Voorts licht ik het kabinetsstandpunt toe en informeer ik u over de opgestarte acties.

Kabinetsreactie

De afgelopen jaren zijn we ons steeds meer bewust van de potentiële risico’s die voortkomen uit onvoldoende bescherming van persoonsgegevens. Er hebben zich verschillende situaties voorgedaan waarin de bescherming van persoonsgegevens door de (rijks-)overheid onvoldoende is gebleken of gegevens van burgers op onrechtmatige wijze worden verwerkt. De toeslagenaffaire, inclusief de voortdurende nasleep daarvan, laat zien hoe complex problemen kunnen worden en wat voor enorme impact deze problemen kunnen hebben.

De regering streeft naar meer centrale coördinatie op het gebied van informatievoorziening en privacy; dit zowel om een meer daadkrachtige overheid te stimuleren alsook een meer uniforme werkwijze voor de burger te bewerkstelligen. Onderwerpen als digitale weerbaarheid en privacy krijgen een steeds prominentere rol in de I-Strategie1. En in de hoofdlijnenbrief «beleid voor digitalisering» 2 staat ook benoemd dat naleving van de AVG een belangrijk onderwerp is.

Toch zien we in de praktijk dat de bescherming van persoonsgegevens vrijwel volledig decentraal is ingeregeld. Met het Besluit CIO-stelsel Rijksdienst 20213 heeft de Rijkoverheid belangrijke stappen gezet rondom het versterken van de samenwerking tussen CIO’s rijksbreed en het waarborgen van de veiligheid door de CISO’s. De rijksbrede coördinerende rol voor privacy is in tegenstelling tot informatiebeveiliging (CISO-stelsel) nog niet ingevuld; in de huidige situatie maakt privacy geen onderdeel uit van het Besluit CIO-stelsel Rijksdienst 2021. Op het gebied van privacy bestaat er daarom onvoldoende mandaat om rijksbrede kaders te stellen die erop gericht zijn een interdepartementaal risicobeeld te vormen en deze risico’s vervolgens te mitigeren. Deze constateringen zijn recent bevestigd in het WODC-rapport «Naleving van de AVG door overheden»4 en de rijksbrede AVG-onderzoeken van de ADR (2021/2022)5.

Het kabinet steunt de oproep in de motie van het lid Verhoeven c.s. om gegevensbescherming een stevigere positie te geven. Niet alleen bij grote uitvoeringsorganisaties, maar binnen de gehele Rijksoverheid. Hiermee wordt tegemoetgekomen aan de politieke en maatschappelijke wens om privacy hoger op de agenda te plaatsen en zorgt dit voor een meer integrale aanpak binnen de Rijksoverheid.

Naar aanleiding daarvan heeft CIO Rijk de opdracht gekregen te onderzoeken hoe privacygovernance het beste kan worden ingericht binnen het Rijk. Het onderzoek was primair gericht op de vraag hoe privacygovernance het beste kan worden ingebed binnen het huidige I-stelsel. Hierbij is het van belang te weten dat de Functionaris Gegevensbescherming (FG) primair de rol van toezichthouder heeft zoals beschreven in artikel 38 en 39 AVG, en dat de CPO een coördinerende/adviserende en monitorende rol vervult. De FG en CPO geven samen invulling aan de privacygovernance. Dit onderzoek richt zich op het versterken van de coördinerende/adviserende en monitorende rol binnen het Rijk. In het door Berenschot uitgevoerde onderzoek6 zijn een vijftal scenario’s onderzocht. In het onderzoek werd geconcludeerd dat de privacygovernance het beste kan worden versterkt door de Chief Privacy Officer (CPO) als aparte functie binnen het huidige I-stelsel toe te voegen. De inrichting van de CPO wordt naar analogie van het CISO-stelsel vormgegeven binnen het CIO-besluit. Dit betekent dat ieder departement een eigen CPO krijgt en dat er een CPO Rijk wordt benoemd die, in analogie van CISO Rijk, een rijksbrede coördinerende rol krijgt. Dit scenario komt het beste tegemoet aan de politieke en maatschappelijke wens om privacy hoger op de agenda te plaatsen, zorgt voor een meer integrale aanpak binnen de Rijksoverheid, en sluit het beste aan bij de visie en inrichting van privacygovernance binnen de ministeries.

Door het inrichten van het CPO-stelsel wordt privacy verankerd in het I-stelsel. Het integreren van de privacygovernance in de bestaande I-governance is voorwaardelijk om de wettelijke FG-taken te kunnen vervullen7. De aan te wijzen CPO zal in de uitvoering van zijn rol nauw samenwerken met andere functies binnen het CIO-office. De CPO Rijk zal, in analogie van de CISO Rijk, onder de CIO Rijk worden gepositioneerd waardoor de rijksbrede coördinerende rol van CIO Rijk wordt versterkt.

Dit advies is overgenomen door het CIO-Beraad en ook opgenomen in de werkagenda Waardengedreven digitaliseren8. Dit advies wordt ook gesteund door de Autoriteit Persoonsgegevens.

Toelichting nieuwe I-stelsel

Het nieuwe I-stelsel wordt gebaseerd op het huidige besluit CIO-stelsel 2021. In het huidige I-stelsel zijn de taken van de CIO (Rijk) en CISO (Rijk) en de respectievelijke raden beschreven. In het nieuwe stelsel krijgt de CIO meer integrale I-verantwoordelijkheid; om dit te bereiken worden de Chief Privacy Officer (CPO), Chief Data Officer (CDO) en Chief Technical Officer (CTO) ook onderdeel van het I-stelsel.

Om de doelstelling te behalen is een programma opgesteld om deze uitbreiding in samenhang te realiseren.

Status & vervolgstappen

De scope van de vervolgopdracht is het uitwerken van het CPO-stelsel als onderdeel van het CIO- stelsel. De taken van de departementale CPO/CPO Rijk worden hiertoe uitgewerkt en de interdepartementale CPO-Raad zal worden ingericht. Het huidige stelsel voor informatiebeveiliging (CISO-stelsel) dient als voorbeeld voor de inrichting van het CPO-stelsel.

De hoofdtaken van een departementale CPO zijn het opstellen van een privacy strategie en governance voor het departement, het opstellen en monitoren van een Plan-Do-Check-Act (PDCA)-cyclus en het adviseren van het management.

De hoofdtaken van CPO Rijk zijn het zorgdragen voor rijksbreed privacy beleid en naleving, opstellen en actueel houden van het rijksbrede risicobeeld bescherming van persoonsgegevens en het coördineren van rijksbrede datalekken.

De CPO-Raad is een afspiegeling van het CIO-Beraad en zal als formeel voorportaal van het CIO-Beraad fungeren. Het kan hiertoe o.a. privacy-onderwerpen agenderen voor het CIO-Beraad, privacykaders/-beleid vaststellen en ter besluitvorming aanbieden aan het CIO-Beraad en Rijksbrede kennisdeling over privacy stimuleren.

Op dit moment zijn de taken van de CPO/CPO Rijk uitgewerkt en zijn de spelregels voor de CPO-Raad opgesteld. Dit wordt nu afgestemd met de FG’s en aanpalende disciplines.

Vooruitlopend op de formele vaststelling van het CPO-stelsel zijn er al zes CPO’s aangesteld. Het doel is dat in 2023 alle departementen een CPO hebben benoemd. De CPO-Raad i.o. is in maart 2023 geïnstalleerd en zal eind 2023 doorgroeien naar een formele CPO-Raad.

Het CPO-stelsel zal worden ondergebracht in het vernieuwde I-stelsel. Planning is dat het nieuwe I-stelsel eind 2023 gereed zal zijn.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen