In Nederland vragen werkgevers zich af of een CHRO onder een certificaatverplichting valt door de nieuwe Cyberbeveiligingswet. Die wet vertaalt de Europese NIS2-richtlijn naar nationale regels en vergroot de plichten voor bestuurders. Op het moment van schrijven is er geen persoonlijke certificaatplicht voor een CHRO, maar wel strengere eisen aan bestuurstoezicht en training. Organisaties in essentiële en belangrijke sectoren moeten nu aantoonbaar hun cyberrisico’s beheersen en incidenten snel melden.
CHRO valt onder bestuursplicht
De Cyberbeveiligingswet richt zich op “essentiële” en “belangrijke” entiteiten in sectoren als zorg, energie, vervoer, digitale infrastructuur en ook bepaalde dienstverleners. De CHRO (Chief Human Resources Officer) maakt deel uit van het hoogste management. Daarmee valt de functie onder de expliciete bestuursplicht uit NIS2. Bestuurders moeten beleid vaststellen, toezicht houden en maatregelen goedkeuren voor cyberweerbaarheid.
Die bestuursplicht betekent ook persoonlijke verantwoordelijkheid. Toezichthouders kunnen boetes opleggen aan de organisatie en in sommige gevallen aan bestuurders. De wet vraagt daarnaast om passende opleiding van het topmanagement. Dat geldt dus ook voor de CHRO, zeker gezien de rol bij personeelsbeleid, leveranciersbeheer en bewustwording.
HR-afdelingen verwerken veel gevoelige persoonsgegevens. Denk aan salarisgegevens, medische verklaringen en prestatiegegevens. Dit vergroot het risico en het belang dat HR- en IT-beleid op elkaar zijn afgestemd.
Geen wettelijke certificaatplicht
Er is op het moment van schrijven geen expliciete certificaatverplichting voor individuele bestuurders in de Cyberbeveiligingswet. De wet schrijft risicobeheersmaatregelen voor, maar laat de keuze van middelen aan de organisatie. Certificeringen zoals ISO 27001 of NEN 7510 kunnen aantonen dat processen op orde zijn, maar zijn niet in alle sectoren wettelijk verplicht.
Let op het onderscheid met de EU Cybersecurity Act. Die wet creëert een Europees certificeringskader voor ICT-producten en -diensten, niet voor personen. Een persoonlijke certificering voor een CHRO, zoals een security- of privacydiploma, kan nuttig zijn maar is geen algemene wettelijke eis.
Sommige sectorregels kunnen wél extra eisen stellen. Bijvoorbeeld zorg- of financiële toezichtskaders die een norm of audit vereisen. In dat geval volgt de plicht uit sectorspecifieke regelgeving, niet rechtstreeks uit de Cyberbeveiligingswet.
Incidentmeldingen en toezicht
Onder NIS2 gelden strakkere meldplichten richting het nationale CSIRT en de toezichthouder. Een vroege waarschuwing moet binnen 24 uur na ontdekking, een uitgebreider incidentrapport binnen 72 uur, en een eindrapport daarna. Dit staat los van de AVG-meldplicht bij datalekken aan de Autoriteit Persoonsgegevens binnen 72 uur.
In Nederland houdt de Rijksinspectie Digitale Infrastructuur toezicht op veel aangewezen entiteiten. Het Nationaal Cyber Security Centrum en het Digital Trust Center ondersteunen met richtlijnen en dreigingsinformatie. Voor HR betekent dit: duidelijke interne escalatieroutes en afspraken met leveranciers over snelle melding.
De CHRO moet borgen dat rollen en verantwoordelijkheden helder zijn. Denk aan wie een incident meldt, wie werknemers informeert en hoe continuïteit van HR-systemen wordt geregeld. Dit vraagt voorbereiding en oefening, niet alleen beleid op papier.
Training en aansprakelijkheid
NIS2 verplicht bestuurders om passende training te volgen over cyberrisico’s en maatregelen. Voor een CHRO betekent dit kennis over phishing, identity- en toegangsbeheer, en veilige verwerking van personeelsdata. Ook het beoordelen van risico’s bij HR-software en cloudleveranciers hoort daarbij.
Bestuurders kunnen aansprakelijk worden gehouden als zij hun toezichttaak ernstig verwaarlozen. Daarom is het verstandig om opleidingsplannen en besluitvorming te documenteren. Zo kan het bestuur aantonen dat het “in control” is over cybersecurity.
Training gaat verder dan een jaarlijkse e-learning. Het omvat scenariotrainingen, leveranciersrisico’s en de koppeling met de AVG, zoals dataminimalisatie en versleuteling. Dit helpt ook bij de implementatie van de Europese AI-verordening, waar relevante HR-algoritmen onder hogere eisen kunnen vallen.
“NIS2 legt bestuurders een plicht op tot toezicht en opleiding. Een individueel certificaat voor een CHRO is geen algemene wettelijke eis.”
Samenhang met AVG en AI
HR verwerkt persoonsgegevens en valt dus onder de AVG. Dataminimalisatie, toegangsbeperking en versleuteling zijn basismaatregelen die ook de Cyberbeveiligingswet verwacht. Bij gebruik van algoritmen in werving en selectie moet de CHRO extra letten op transparantie en bias, naast beveiliging.
De Europese AI-verordening (AI Act) classificeert sommige HR-toepassingen als hoog risico. Die systemen vragen risicobeheer, data-governance en menselijk toezicht. Security by design uit NIS2 en privacy by design uit de AVG versterken elkaar hier.
Door privacy, security en AI-governance te koppelen, vermindert de organisatie overlap en gaten in controles. Dit scheelt audits en vergroot het vertrouwen van werknemers. Het bestuur krijgt zo één samenhangend risicobeeld.
Wat organisaties nu doen
Breng eerst in kaart of uw organisatie onder de Cyberbeveiligingswet valt en in welke categorie. Controleer kritieke HR-processen en leveranciers op basismaatregelen en contractuele meldplichten. Stel een gezamenlijk plan op van CISO, CHRO en CFO met doelen, tijdlijnen en budget.
Leg bestuurstaken vast: beleid goedkeuren, rapportages ontvangen en trainingen volgen. Test incidentprocedures en oefen met datalek- en ransomware-scenario’s. Documenteer keuzes en verbeteracties als bewijs voor toezichthouders.
Overweeg vrijwillige certificering of een externe audit waar dit waarde toevoegt. Dit helpt bij aanbestedingen en due diligence van klanten. Het is geen wettelijke plicht voor een CHRO, maar wel een praktisch middel om volwassenheid aan te tonen.
