Wat is een Functionaris Gegevensbescherming?
Een Functionaris voor Gegevensbescherming (FG), in het Engels Data Protection Officer (DPO), is een onafhankelijke functionaris die toezicht houdt op de naleving van de Algemene Verordening Gegevensbescherming (AVG) binnen een organisatie. De rol is vastgelegd in de artikelen 37 tot en met 39 van de AVG en is per 25 mei 2018 van toepassing in alle EU-lidstaten.
De FG staat niet in de managementhiërarchie maar rapporteert rechtstreeks aan het hoogste bestuursorgaan van de organisatie. Dit is geen toeval: de AVG vereist dat de FG volledig onafhankelijk zijn of haar taken kan uitvoeren. De functionaris mag niet worden ontslagen of benadeeld vanwege het uitoefenen van zijn taken. In de praktijk betekent dit dat de FG ook negatieve adviezen moet kunnen geven zonder carrièrerisico.
Wanneer is een DPO wettelijk verplicht?
De AVG (artikel 37) verplicht het aanstellen van een FG in drie situaties:
- Overheidsinstanties en publiekrechtelijke organen: Met uitzondering van gerechten die rechtsprekende taken uitoefenen. Dit omvat gemeenten, ministeries, uitvoeringsorganisaties, toezichthouders en publiekrechtelijke rechtspersonen.
- Stelselmatige monitoring op grote schaal: Organisaties die als kernactiviteit op grote schaal stelselmatig individuen volgen. Denk aan bedrijven die locatietracking, cameratoezicht, profilering voor gedragsgebaseerde advertenties of financieel kredietscoring uitvoeren.
- Verwerking van bijzondere categorieën op grote schaal: Organisaties die als kernactiviteit op grote schaal bijzondere persoonsgegevens verwerken — gegevens over gezondheid, ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, seksuele geaardheid, biometrische data, strafrechtelijke gegevens of genetische gegevens.
Het begrip "grote schaal" wordt niet exact gedefinieerd in de AVG. De Europese Data Protection Board (EDPB) hanteert factoren als het aantal betrokken personen, de geografische reikwijdte, de duur en frequentie van verwerking en de hoeveelheid verwerkte data. Een huisartsenpraktijk die gezondheidsdossiers bijhoudt van eigen patiënten hoeft waarschijnlijk geen FG aan te stellen; een ziekenhuisketen die miljoenen patiëntgegevens verwerkt moet dat zeker wel.
Wanneer is een DPO sterk aanbevolen?
Buiten de wettelijke verplichting is een FG sterk aanbevolen voor elke organisatie die substantieel persoonsgegevens verwerkt. De Autoriteit Persoonsgegevens (AP) adviseert het aanstellen van een FG wanneer een organisatie:
- Persoonsgegevens verwerkt van medewerkers, klanten of relaties op een schaal die risico's met zich meebrengt
- Regelmatig Data Protection Impact Assessments (DPIA's) moet uitvoeren
- Gegevens deelt met veel externe partijen
- Gegevens verwerkt buiten de EU/EEA
De kerntaken van een DPO
De AVG (artikel 39) beschrijft de kerntaken van de FG expliciet:
Informeren en adviseren: De FG informeert en adviseert de organisatie, haar medewerkers en het management over hun verplichtingen onder de AVG en andere privacywetgeving. Dit omvat het geven van juridisch advies bij nieuwe verwerkingsactiviteiten, marketingcampagnes, systemen en contracten.
Toezicht op naleving: De FG houdt toezicht op de naleving van de AVG, inclusief het bewaken van taken, bewustmaking en opleiding van medewerkers en de uitvoering van audits.
Advies bij DPIA's: De FG adviseert over de uitvoering van Data Protection Impact Assessments (DPIA's) en monitort de uitvoering ervan. Een DPIA is verplicht bij verwerkingen die waarschijnlijk een hoog risico inhouden voor betrokkenen.
Contactpunt voor de AP: De FG is het aanspreekpunt voor de Autoriteit Persoonsgegevens. Alle formele communicatie met de toezichthouder loopt via de FG. Dit omvat ook samenwerking bij onderzoeken en het beantwoorden van vragen van de AP.
Behandeling van betrokkenenverzoeken: De FG coördineert de behandeling van verzoeken van personen die gebruik maken van hun rechten: inzage, rectificatie, verwijdering, beperking van verwerking, overdraagbaarheid en bezwaar. Organisaties moeten dergelijke verzoeken binnen één maand beantwoorden.
Vereisten aan de DPO: opleiding en certificering
De AVG stelt geen formele diploma-eisen aan de FG, maar vereist "deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming" en kennis van de operationele sector van de organisatie. In de praktijk zijn er twee certificeringen die als gouden standaard gelden:
- CIPP/E (Certified Information Privacy Professional/Europe) van de IAPP (International Association of Privacy Professionals): internationaal erkend, inhoudelijk sterk, veelgevraagd bij grotere organisaties en multinationals
- EXIN Privacy and Data Protection Professional: Nederlands, erkend door de AP, goed voor de lokale markt en overheidsorganisaties
Naast juridische kennis heeft een effectieve FG ook praktische vaardigheden nodig: stakeholdermanagement, het vermogen om complexe materie begrijpelijk te maken voor non-experts en organisatorisch inzicht om naleving te verankeren in dagelijkse processen.
Aanmelden bij de Autoriteit Persoonsgegevens
Organisaties waarvoor een FG verplicht is, zijn wettelijk verplicht de naam en contactgegevens van de FG te registreren bij de Autoriteit Persoonsgegevens. Dit geldt zowel voor interne als externe FG's. De registratie is eenvoudig via het AP-portaal. De contactgegevens van de FG moeten ook openbaar worden gemaakt — op de website van de organisatie en in de privacyverklaring.
Interne versus externe DPO: wat past bij uw organisatie?
Een interne FG is een medewerker in dienst van de organisatie. Voordeel: vertrouwdheid met de organisatie, snelle beschikbaarheid, betrokkenheid bij dagelijkse besluitvorming. Nadeel: de AVG-eis van onafhankelijkheid kan spanningen opleveren, vervanging bij ziekte of vertrek is lastig, en brede expertise is duur voor een fulltime functie.
Een externe FG is een gecertificeerde specialist die de FG-rol op parttime basis vervult voor meerdere opdrachtgevers. Dit biedt structurele voordelen: geen inhuurkosten voor een fulltime functie, directe beschikbaarheid van specialistische expertise, geen conflicterend belang met interne carrièrebelangen, en eenvoudigere vervanging. Voor MKB-organisaties is extern DPO-schap daarmee vrijwel altijd de praktische en kostenefficiënte keuze.
iso2700x.nl biedt externe DPO-dienstverlening aan voor organisaties die een gecertificeerde FG nodig hebben maar niet de behoefte of omvang hebben voor een fulltime interne aanstelling. Onze FG's zijn CIPP/E gecertificeerd en combineren privacyexpertise met diepgaande kennis van informatiebeveiliging — een combinatie die schaars en waardevol is in de markt.
DPO-as-a-service: wat houdt het in?
Bij een externe DPO-as-a-service constructie vervult iso2700x.nl formeel de FG-rol voor uw organisatie. Concreet betekent dit: periodieke adviesgesprekken, toezicht op het verwerkingsregister, beoordeling van nieuwe verwerkingen en leverancierscontracten, coördinatie van DPIA's, training van medewerkers, behandeling van betrokkenenverzoeken en contactpunt voor de AP. We passen het serviceniveau aan op de omvang en risicovoet van uw verwerkingen.