Functionaris gegevensbescherming: wanneer aanstellen?

Direct antwoord

Een functionaris voor gegevensbescherming (FG) is een interne of externe privacy-toezichthouder die de AVG-naleving binnen je organisatie bewaakt. Aanstellen is verplicht voor overheden en organisaties met grootschalige systematische monitoring of grootschalige verwerking van bijzondere gegevens. De meeste MKB-bedrijven zijn niet verplicht, maar mogen vrijwillig wel een FG aanstellen.

Een functionaris voor gegevensbescherming (FG, of DPO in het Engels) is een sleutelrol in AVG-naleving. Dit artikel maakt onderdeel uit van de complete gids voor het opstellen van een privacyverklaring.

Wat is een functionaris voor gegevensbescherming?

Een functionaris voor gegevensbescherming (FG) is een aangewezen persoon binnen of buiten je organisatie die toeziet op de naleving van de AVG. De rol is geregeld in artikelen 37 tot en met 39 van de AVG. De FG is geen "privacy-officer" in de zin van een commerciële functionaris, maar een onafhankelijke toezichtsfunctie met eigen wettelijke verplichtingen én bescherming tegen ontslag wegens het uitvoeren van die taken (artikel 38 lid 3 AVG).

De Autoriteit Persoonsgegevens (AP) houdt een register van aangemelde FG's. Aanmelden is verplicht voor elke organisatie die een FG aanstelt — vrijwillig of verplicht. Aanmelden gebeurt via het aanmeldingsformulier op autoriteitpersoonsgegevens.nl.

Een FG kan een werknemer zijn (interne FG) of een externe partij zoals een privacyjurist of gespecialiseerd advocatenkantoor. Voor het MKB is een externe FG op deeltijdbasis doorgaans praktischer, omdat de wetgeving onafhankelijkheid eist die intern soms moeilijk te garanderen is.

Wanneer is een FG verplicht volgens artikel 37 AVG?

Artikel 37 lid 1 AVG noemt drie situaties waarin een organisatie een FG moet aanstellen. Voldoe je aan één van de drie, dan is aanstelling verplicht:

  1. Je bent een overheid of overheidsorgaan. Denk aan rijksoverheid, gemeenten, provincies, waterschappen, onderwijsinstellingen en zorginstellingen met een publieke taak. Rechtbanken zijn hiervan uitgezonderd voor zover ze hun rechtsprekende taak uitoefenen.
  2. Je kerntaak bestaat uit grootschalige, regelmatige en systematische observatie van betrokkenen. Voorbeelden: locatietracking, profileringsplatforms, online advertentienetwerken, cameratoezicht in winkelketens, fitness-wearables die gezondheidsdata verzamelen.
  3. Je kerntaak is grootschalige verwerking van bijzondere persoonsgegevens (artikel 9 AVG, zoals gezondheid, ras, religie, biometrie) of strafrechtelijke gegevens (artikel 10 AVG). Voorbeelden: ziekenhuizen, GGZ-instellingen, recherchebureaus, biometrische toegangssystemen.

De begrippen "kerntaak" en "grootschalig" worden uitgelegd door de Europese Article 29 Working Party (nu European Data Protection Board) in haar richtsnoeren WP243rev01. Kerntaak betekent: de hoofdactiviteit van je organisatie waar de gegevensverwerking onlosmakelijk mee verbonden is, niet de bijkomstige administratie. "Grootschalig" wordt beoordeeld op aantal betrokkenen, omvang van de gegevens, duur van de verwerking en geografische reikwijdte.

Een MKB-webshop met enkele duizenden klanten valt vrijwel nooit onder "grootschalig". Een platform met miljoenen profielen of een zorgaanbieder met dossiers van honderden patiënten doorgaans wel.

Welke taken heeft een functionaris voor gegevensbescherming?

Artikel 39 AVG legt de minimumtaken van de FG vast. De vijf hoofdtaken:

  • Informeren en adviseren van de organisatie en haar medewerkers over hun verplichtingen onder de AVG en andere privacyregels.
  • Toezien op naleving van de AVG, het AVG-beleid van de organisatie en de toewijzing van verantwoordelijkheden.
  • Adviseren over de Data Protection Impact Assessment (DPIA) en monitoren van de uitvoering daarvan.
  • Samenwerken met de AP als toezichthouder, en optreden als contactpersoon voor de AP bij vragen of onderzoeken.
  • Optreden als contactpunt voor betrokkenen die rechten willen uitoefenen of klachten hebben.

Naast deze taken moet de organisatie de FG voldoende middelen, toegang en onafhankelijkheid geven (artikel 38 AVG). De FG mag niet uit hoofde van de FG-taak instructies van de werkgever ontvangen en mag niet worden ontslagen of gestraft voor de uitvoering daarvan.

FG voor het MKB: meestal niet verplicht, soms wel slim

De meeste Nederlandse MKB-bedrijven zijn niet verplicht een FG aan te stellen. Webshops, dienstverleners, B2B-leveranciers en kantoren met enkele tientallen tot enkele honderden medewerkers vallen doorgaans niet onder de drie criteria van artikel 37 AVG.

Wanneer overwegen MKB-bedrijven vrijwillig een FG?

  • Bij grote klantenbestanden of nieuwsbriefdatabases waar profilering of gepersonaliseerde marketing op draait.
  • Bij het verwerken van gezondheidsdata of medische gegevens, ook al is de organisatie zelf geen zorginstelling — denk aan een sportschool met intake-formulieren of een coach die gezondheidstrajecten begeleidt.
  • Bij internationale activiteiten waar Europese toezichthouders kritisch kijken naar dataverkeer.
  • Bij contracten met grote klanten, die in hun verwerkersovereenkomst soms een FG-aanwezigheid eisen, ook bij niet-verplichte gevallen.

Verschil tussen FG en privacy-officer

Een deel van de MKB-bedrijven kiest voor een interne privacy-officer of compliance-medewerker zonder de formele FG-titel. Dat mag, mits je geen FG noemt of aanmeldt bij de AP. Wie zich "FG" noemt, neemt automatisch alle wettelijke verplichtingen en bescherming op zich — ook als de aanstelling vrijwillig was.

Voor advies over privacy-naleving zonder FG-status is een externe consultant of jurist met privacy-specialisatie doorgaans een goede tussenoplossing. Lees ook het cluster Register van verwerkingsactiviteiten: verplicht? om je interne verantwoordingsstructuur op orde te krijgen.

Veelgemaakte misvattingen

  • "Iedereen met meer dan 250 medewerkers heeft een FG nodig." Onjuist. De 250-grens komt uit artikel 30 lid 5 AVG (register), niet uit artikel 37 (FG). FG-verplichting hangt af van type verwerking, niet van bedrijfsgrootte.
  • "Een FG moet jurist zijn." De wet eist deskundigheid op het gebied van privacyrecht en -praktijk, maar geen specifieke opleiding. In de markt is een juridische of audit-achtergrond gangbaar.
  • "De FG is verantwoordelijk voor naleving." Onjuist. De verwerkingsverantwoordelijke (de organisatie zelf) blijft eindverantwoordelijk. De FG adviseert, ziet toe en rapporteert, maar besluit niet.
  • "Vrijwillig een FG aanstellen heeft geen consequenties." Onjuist. Zodra je iemand als "FG" benoemt en aanmeldt bij de AP gelden alle artikelen 38-39 AVG, inclusief ontslagbescherming en onafhankelijkheidsplicht.
  • "De FG verwerkt zelf de aanvragen van betrokkenen." Onjuist. De FG is contactpunt en adviseert; de uitvoering van inzage- of verwijderverzoeken blijft bij de organisatie zelf.

Let op: Dit artikel geeft algemene informatie over de functionaris voor gegevensbescherming en is geen juridisch advies. Voor jouw specifieke situatie laat je het document reviewen door een aangesloten jurist via lawsy.nl.

Veelgestelde vragen

Antwoorden op de meest gestelde vragen over functionaris gegevensbescherming: wanneer aanstellen?.

Wat is een functionaris voor gegevensbescherming (FG)?

Een FG is een aangewezen privacy-toezichthouder binnen of buiten je organisatie. De FG informeert, adviseert en houdt toezicht op AVG-naleving, en is contactpunt voor de Autoriteit Persoonsgegevens en betrokkenen. De rol staat in artikelen 37-39 AVG en is wettelijk beschermd tegen ontslag wegens taakuitvoering.

Moet een MKB-onderneming een FG aanstellen?

Meestal niet. Artikel 37 AVG eist een FG alleen bij overheden, kerntaak-grootschalige systematische monitoring of grootschalige verwerking van bijzondere of strafrechtelijke gegevens. Een doorsnee webshop, dienstverlener of B2B-leverancier met enkele honderden klanten valt buiten deze criteria.

Mag de FG ook een externe partij zijn?

Ja. Artikel 37 lid 6 AVG staat zowel een interne medewerker als een externe partij toe op basis van een dienstverleningsovereenkomst. Voor MKB-bedrijven is een externe FG (bijvoorbeeld een privacyjurist op deeltijdbasis) doorgaans praktischer om de vereiste onafhankelijkheid te waarborgen.

Heeft een FG een specifieke opleiding nodig?

Artikel 37 lid 5 AVG eist deskundigheid op het gebied van privacyrecht en -praktijk, maar schrijft geen specifieke opleiding voor. In de praktijk hebben FG's vaak een juridische, audit- of compliance-achtergrond. Een CIPP/E- of CIPM-certificering is gangbaar maar niet wettelijk vereist.

Moet de FG aangemeld worden bij de Autoriteit Persoonsgegevens?

Ja. Elke aanstelling — verplicht of vrijwillig — moet binnen redelijke termijn worden gemeld via het aanmeldingsformulier op autoriteitpersoonsgegevens.nl. Wijzigingen (vertrek, vervanging) zijn ook meldingsplichtig. De AP houdt een register van aangemelde FG's bij.

Wat als ik vrijwillig een FG aanstel?

Dan gelden alle wettelijke FG-bepalingen alsof het verplicht was: onafhankelijkheid, ontslagbescherming, taken uit artikel 39 AVG en aanmelding bij de AP. Wie privacy-advies wil zonder deze formele last kan beter een privacy-officer of externe consultant inhuren zonder de FG-titel.

Bronnen

Terug naar Privacyverklaring maken