Moet uw organisatie een Functionaris Gegevensbescherming (FG) aanstellen? Ja, dat is wettelijk verplicht voor alle overheidsinstanties, voor organisaties waarvan de kernactiviteit bestaat uit grootschalige, regelmatige en systematische monitoring van personen én voor organisaties die op grote schaal bijzondere of strafrechtelijke persoonsgegevens verwerken. Wie deze plicht negeert, loopt het risico op boetes die kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet, plus forse reputatieschade.
Toch heerst er veel onzekerheid over wat ‘grootschalig’ precies betekent en of een privacy officer hetzelfde is als een FG. Dit artikel scheidt de mythes van de regels en zet stapsgewijs uiteen wanneer u wél, niet of vrijwillig een FG kunt aanwijzen. Daarmee krijgt u een helder kader om risico’s te beperken en uw AVG-compliance toekomstbestendig te maken. Laten we beginnen bij de basis: wat doet een FG eigenlijk?
Wat is een Functionaris Gegevensbescherming (FG)?
Een Functionaris Gegevensbescherming (FG) is de onafhankelijke privacy-toezichthouder binnen uw organisatie. Onder de AVG heet deze rol in het Engels de “Data Protection Officer (DPO)”. De FG rapporteert rechtstreeks aan het hoogste management en fungeert als primair aanspreekpunt voor zowel betrokkenen als de Autoriteit Persoonsgegevens (AP).
Kernverantwoordelijkheden van de FG
Volgens artikel 39 AVG heeft de FG vijf kerntaken:
- informeren en adviseren over de AVG;
- toezicht houden op naleving en beleid;
- bewustwording en training organiseren;
- audits en DPIA’s begeleiden;
- optreden als contactpunt voor de AP en betrokkenen.
Praktisch betekent dit het beoordelen van verwerkersovereenkomsten, het registreren van datalekken en het valideren van privacy-risico’s.
FG versus Privacy Officer: verschillen en overlap
Een privacy officer ondersteunt beleid en implementatie, maar heeft geen wettelijke status. De FG daarentegen geniet ontslagbescherming en moet volledig onafhankelijk zijn.
| FG | Privacy officer | |
|---|---|---|
| Wettelijke status | Ja | Nee |
| Rapportagelijn | Direct aan bestuur | Afdeling IT/Compliance |
| Aansprakelijkheid | Beschermd, geen conflicterende taken | Afhankelijk van functie |
Betrokkenheid van de FG binnen de organisatie
Betrek de FG vroegtijdig bij nieuwe IT-, HR- of marketingprojecten; zo wordt ‘privacy by design’ direct geborgd en voorkomt u dure aanpassingen achteraf.
Het juridisch kader: artikelen 37-39 AVG en de UAVG
De plicht om een FG te benoemen is verankerd in Europese én Nederlandse wetgeving. De Algemene verordening gegevensbescherming (AVG) is rechtstreeks toepasselijk in alle lidstaten en legt de hoofdregels vast. De Nederlandse Uitvoeringswet AVG (UAVG) vult die regels aan, bijvoorbeeld voor politie- en justitiedata. Wie wil weten of de aanstellingsplicht geldt, moet dus naar beide bronnen kijken. Hieronder de belangrijkste punten samengevat.
Artikel 37 AVG: wanneer aanstellen?
Volgens art. 37 is een FG verplicht bij:
- alle overheidsinstanties of publieke organen (uitgezonderd rechtbanken in rechterlijke functie);
- organisaties waarvan de kernactiviteit bestaat uit grootschalige, regelmatige en systematische monitoring van personen;
- organisaties die op grote schaal bijzondere categorieën of strafrechtelijke persoonsgegevens verwerken.
Aanstelling op vrijwillige basis mag ook, maar brengt dezelfde eisen mee.
Artikel 38 AVG: positie en onafhankelijkheid
De FG moet:
- zonder instructies over de manier van taakuitoefening kunnen werken;
- rechtstreeks rapporteren aan het hoogste management;
- niet worden benadeeld of ontslagen wegens het uitvoeren van taken;
- beschikken over toegang tot alle verwerkingen en noodzakelijke middelen.
Artikel 39 AVG: taken en middelen
Kernverplichtingen zijn o.a.:
- informeren en adviseren over privacywetgeving;
- toezicht houden en audits uitvoeren;
- bewustwording en training organiseren;
- DPIA’s monitoren;
- fungeren als aanspreekpunt voor de AP/betrokkenen.
Daarvoor moet de organisatie voldoende budget, tijd en ondersteuning reserveren.
Nationale bijzonderheden en rol van de AP
De UAVG regelt extra waarborgen voor verwerkingen door opsporings- en veiligheidsdiensten. Elke FG moet worden aangemeld in het openbaar register van de Autoriteit Persoonsgegevens. De AP kan bij overtreding zowel boetes als bindende aanwijzingen opleggen en de organisatie verplichten alsnog een FG te benoemen.
Drie situaties waarin een FG verplicht is
De AVG noemt precies drie scenario’s waarin een functionaris gegevensbescherming verplicht moet worden aangesteld. De overeenkomst tussen deze situaties is dat grote aantallen mensen structureel worden geraakt of er gevoelige data worden verwerkt. Valt uw organisatie in één van de onderstaande categorieën? Dan moet u een FG hebben, ongeacht bedrijfsgrootte of winstdoel.
Overheidsinstanties en publieke organisaties
Elke overheidsinstantie – van ministerie tot gemeentelijke dienst – is FG-plichtig. Hetzelfde geldt voor semi-publieke organen zoals onderwijs- en zorginstellingen die publiekrechtelijke taken uitvoeren. Uitzondering: rechtbanken in hun rechterlijke hoedanigheid, omdat onafhankelijke rechtspraak voorrang krijgt op intern toezicht.
Kernactiviteit: grootschalige en systematische monitoring
Wie als kernactiviteit mensen continu volgt of profileert, heeft een FG nodig. Denk aan telecomproviders die verkeersgegevens loggen, smart-wearable platforms die gezondheidsdata real-time analyseren, of winkelketens die met camera-analyse looproutes in kaart brengen. Essentieel is de combinatie van grootschalig, regelmatig én systematisch.
Kernactiviteit: grootschalige verwerking van bijzondere of strafrechtelijke gegevens
Verwerkt u op grote schaal medische dossiers, biometrie, genetische profielen of strafrechtelijke veroordelingen? Dan is de FG-aanstelling verplicht. Typische voorbeelden zijn ziekenhuizen, arbodiensten, levensverzekeraars, onderzoeksbiobanken en screeningbedrijven voor antecedentenonderzoek.
Sectorvoorbeelden in één oogopslag
| Sector | Reden FG-plicht | Voorbeeldwetgeving |
|---|---|---|
| Zorg | Bijzondere gezondheidsgegevens | WGBO, Wkkgz |
| Financieel | Monitoring + profilering | Wft, Sanctiewet |
| Tech/Adtech | Online tracking & profiling | Telecommunicatiewet |
| Overheid | Publieke taak | UAVG, Awb |
Twijfelgevallen en uitzonderingen
Niet elke organisatie past netjes in de drie AVG-categorieën. Hieronder bespreken we veelvoorkomende twijfelgevallen en uitzonderingen zodat u een gefundeerde keuze kunt maken.
Wat betekent ‘grootschalig’ precies?
WP29-richtlijnen kijken naar volume, duur, doel en reikwijdte. Vuistregel: ≥ 10.000 betrokkenen, continue verwerking of verwerking van data uit meerdere vestigingen is vrijwel altijd grootschalig.
Incidentele of kleinschalige verwerkingen
Verwerkt u sporadisch patiëntinformatie of heeft uw tandartspraktijk minder dan tien medewerkers? Dan ontbreekt ‘grootschaligheid’. U blijft wél gebonden aan basisbeginselen zoals transparantie en een actueel verwerkingsregister.
Rechtbanken en gerechtelijke activiteiten
Rechtbanken en hun griffies zijn formeel overheidsorganen, maar genieten rechtsstatelijke onafhankelijkheid. Daarom is voor hun rechterlijke kernactiviteit géén FG-plicht voorzien; ondersteunende diensten kunnen die plicht wél hebben.
Samenwerkingsverbanden, holdings en groepsstructuren
Een concern mag één gezamenlijke FG aanwijzen mits hij gemakkelijk bereikbaar is voor iedere vestiging en vertrouwd is met nationale wetgeving. Leg dit expliciet vast in het groepsprivacyreglement.
Vrijwillig een FG aanstellen: voordelen en aandachtspunten
Ook als uw organisatie niet onder de drie wettelijke scenario’s valt, kunt u er bewust voor kiezen een Functionaris Gegevensbescherming te benoemen. Een vrijwillige FG heeft dezelfde beschermde status en plichten als een verplichte FG, maar levert ook strategische voordelen op.
Pluspunten van vrijwillige aanstelling
- Extra waarborg tegen datalekken en hoge boetes
- Sterkere vertrouwensband met klanten, werknemers en investeerders
- Snellere besluitvorming bij DPIA’s en contractreviews
- Concurrentievoordeel in aanbestedingen waarbij AVG-proof werken een selectiecriterium is
Mogelijke nadelen en verplichtingen
- Onafhankelijkheids- en ontslagbescherming kunnen botsen met bestaande hiërarchie
- Verplichte registratie bij de AP en jaarlijkse rapportages kosten tijd en geld
- Niet-naleving wekt meer aandacht van toezichthouders, wat het risico op sancties verhoogt
Alternatieven: privacy officer of externe adviseur
Kleinere organisaties kiezen soms voor een privacy officer met beleidsfocus of huren een externe FG in. Outsourcing biedt gespecialiseerde kennis tegen lagere vaste kosten, maar let op: duidelijke SLA’s over beschikbaarheid, escalatie en geheimhouding zijn onmisbaar.
Eisen en kwalificaties voor een goede FG
Een Functionaris Gegevensbescherming levert pas écht waarde als hij of zij inhoudelijk sterk is én in de organisatie de juiste positie krijgt. Onderstaande eisen helpen u beoordelen of uw (vrijwillige of functionaris gegevensbescherming verplicht) kandidaat voldoet.
Vereist kennisniveau en certificeringen
- Grondige kennis van de AVG, UAVG en sectorspecifieke wetten
- Basisinzicht in IT-security, data-architectuur en risicomanagement
- Communicatieve vaardigheden om bestuur en werkvloer mee te krijgen
- Veelgevraagde diploma’s: CIPP/E, CIPM, CDPO of NOREA-IT-audit
Onafhankelijkheid, positie en middelen
Een FG moet:
- rechtstreeks rapporteren aan de raad van bestuur;
- vrij zijn van belangenconflicten (dus geen IT-manager of CISO-rol combineren);
- beschikken over voldoende budget, ondersteunend personeel en toegang tot alle verwerkingen.
Rapportage en escalatielijnen
Stel minimaal één keer per jaar een privacy-jaarverslag op met KPI’s als:
- aantal datalekken en afhandelingstijd
- uitgevoerde DPIA’s
- mate van training-participatie
Bij ernstige overtredingen escaleert de FG direct naar het bestuur en, indien nodig, de Autoriteit Persoonsgegevens.
Externe of gedeelde FG
Kiest u voor een externe of concern-brede FG, regel dan in het contract:
- responstijden (< 48 uur bij datalek),
- geheimhoudingsclausule,
- duidelijke takenverdeling per entiteit
en zorg dat de FG de lokale taal en wetgeving beheerst.
Stappenplan voor organisaties zonder of met twijfel over FG-plicht
Twijfelt u of de aanstelling van een functionaris gegevensbescherming verplicht is? Met het onderstaande vierstappenplan zet u snel orde op zaken en kunt u uw keuze onderbouwen richting bestuur en toezichthouder.
Stap 1: Voer een Data Protection Impact Assessment (DPIA) uit
Breng verwerkingsdoelen, datastromen en risico’s systematisch in kaart. De uitkomst toont of uw kernactiviteiten grootschalig of risicovol zijn en biedt direct zicht op eventuele mitigerende maatregelen.
Stap 2: Documenteer het besluit en de onderbouwing
Leg in het verwerkingsregister vast of u wél of geen FG benoemt en waarom. Deze “accountability-notitie” voorkomt discussie bij audits of een inspectie van de AP.
Stap 3: Meld (of meld af) bij de Autoriteit Persoonsgegevens
Is een FG nodig, registreer diens contactgegevens binnen twee werkdagen in het online FG-register. Geen plicht? Update het register en verwijder oude gegevens om boetes te vermijden.
Stap 4: Implementeer beleid en train personeel
Vertaal de DPIA-bevindingen naar duidelijke werkinstructies, periodieke awareness-sessies en controles. Herhaal deze cyclus jaarlijks of bij grote wijzigingen in processen of systemen.
Veelgestelde vragen over de FG-plicht
Hieronder beantwoorden we kort de meestgestelde vragen, rechtstreeks gebaseerd op artikel 37-39 AVG en de richtlijnen van de Autoriteit Persoonsgegevens.
Is een FG altijd verplicht?
Nee. Alleen overheden, monitoringsbedrijven en organisaties die grootschalig bijzondere gegevens verwerken zijn verplicht; anderen kunnen vrijwillig kiezen.
Wanneer is een DPO verplicht volgens de AVG?
De term DPO is Engelstalig voor FG en volgt exact dezelfde drie criteria uit artikel 37 AVG.
Wat doet een FG concreet binnen de organisatie?
Controleert DPIA’s, adviseert management, registreert datalekken en traint personeel, allemaal volledig onafhankelijk van de lijn.
Waar moet een FG aan voldoen om effectief te zijn?
Relevante privacy-expertise, IT-basiskennis, onbelemmerde toegang tot middelen, rapportage aan bestuur en afwezigheid van belangenconflict.
Belangrijkste inzichten voor uw organisatie
- Toets eerst of u onder de drie wettelijke criteria valt; twijfel? Documenteer de analyse in uw verwerkingsregister.
- Meet ‘grootschaligheid’ niet alleen in aantal dossiers, maar ook in frequentie, duur en geografische spreiding.
- Leg het besluit om wél of géén FG aan te stellen schriftelijk vast en herzie dit jaarlijks of bij nieuwe projecten.
- Benoemt u een FG, geef hem of haar voldoende middelen, duidelijke rapportagelijnen en ontslagbescherming.
Wilt u zeker weten dat uw aanpak solide is, of heeft u behoefte aan een second opinion? Neem gerust contact op met Law & More voor een vrijblijvend gesprek.
