Rechten van betrokkenen

Wat is een Functionaris voor Gegevensbescherming (FG) en heb jij er een nodig?

Eva de Vries Eva de Vries
· · 7 min leestijd

Stel je voor: je hebt een bedrijf. Je wilt groeien, klanten blij maken en misschien wel de wereld veranderen.

Inhoudsopgave
  1. Wat is een Functionaris voor Gegevensbescherming (FG)?
  2. Wat doet een FG nou eigenlijk de hele dag?
  3. Wanneer ben je wettelijk verplicht om een FG aan te stellen?
  4. Hoeveel kost een Functionaris voor Gegevensbescherming?
  5. De eisen waaraan een FG moet voldoen
  6. Wat als je geen FG nodig hebt of hebt?
  7. De toekomst van de FG
  8. Conclusie: Heb jij er een nodig?

Maar ondertussen stapelt zich iets op achter de schermen. Data. Klantgegevens, e-mailadressen, betaalgegevens, noem maar op. Het is goud, maar het is ook een last.

Want er zijn regels. Hele strenge regels. En als je die negeert, kan je dat flink in de problemen brengen.

Hier komt de Functionaris voor Gegevensbescherming, oftewel de FG, om de hoek kijken.

Maar wat is dat precies? En moet jij er nú een hebben? Laten we dat even helder uitzoeken, zonder ingewikkeld gedoe.

Wat is een Functionaris voor Gegevensbescherming (FG)?

Een FG is officieel de Nederlandse naam voor een Data Protection Officer (DPO).

Stel je deze persoon voor als de interne waakhond van je organisatie. Deze persoon ziet erop toe dat je bedrijf zich houdt aan de Algemene Verordening Gegevensbescherming (AVG).

Dat is die Europese privacywet die je vast wel kent. De FG is niet zomaar een willekeurige medewerker die een cursusje heeft gedaan. Het is een onafhankelijke rol. De FG adviseert het management, controleert processen en is het eerste aanspreekpunt voor de toezichthouder, de Autoriteit Persoonsgegevens (AP).

Denk aan de FG als een soort interne rechter-commissaris, maar dan voor data-privacy.

Is de FG een echte functie?

De FG is de brug tussen de harde eisen van de wet en de dagelijkse praktijk van je bedrijf. Ja en nee. De FG is niet per se een fulltime baan in elke organisatie.

In kleine bedrijven kan een bestaande medewerker deze taak erbij doen. In grote organisaties is het vaak een gespecialiseerde rol.

Het belangrijkste is dat de FG onafhankelijk moet kunnen handelen. Je kunt niet zomaar de baas van de sales-afdeling de FG maken als die persoon ook targets moet halen met klantdata; dat geeft een conflict van belangen.

Wat doet een FG nou eigenlijk de hele dag?

De taken van een FG zijn breed. Het gaat veel verder dan alleen maar "nee" zeggen tegen dingen.

1. Toezicht houden op naleving

De FG moet proactief bezig zijn met de veiligheid van persoonsgegevens. Hier zijn de belangrijkste verantwoordelijkheden: De FG houdt in de gaten of het bedrijf zich aan de AVG-wetgeving houdt.

2. Risico’s inschatten (DPIA)

Dit betekent controleren of privacyverklaringen kloppen, of medewerkers veilig omgaan met data en of er goede contracten zijn met leveranciers.

3. Bewustwording en training

Voordat je een nieuw project start waarbij je veel persoonsgegevens verwerkt, moet je een Data Protection Impact Assessment (DPIA) doen. Dit is een risicoanalyse. De FG begeleidt dit proces.

4. Aanspreekpunt

Hij of zij kijkt: wat kan er misgaan, en hoe groot is de schade als dat gebeurt? Medewerkers zijn vaak de zwakste schakel.

Een FG traint het personeel. Geen saaie colleges, maar praktische tips: hoe herken je een phishing-mail?

5. Adviseren over nieuwe technologieën

Hoe beveilig je een laptop? De FG zorgt dat iedereen begrijpt waarom privacy belangrijk is. De FG is het eerste contact voor mensen die een klacht hebben over privacy, of voor de Autoriteit Persoonsgegevens. Als er een datalek is, is de FG degene die dit moet melden (mits nodig) en het incident beheert.

Technologie verandert snel. Denk aan AI of nieuwe software. De FG bekijkt of deze nieuwe tools wel veilig zijn en voldoen aan de wet, voordat je ze klakkeloos invoert.

Wanneer ben je wettelijk verplicht om een FG aan te stellen?

Hier komt het harde criterium. Niet elk bedrijf is wettelijk verplicht om een FG te hebben, maar veel organisaties wel.

  1. De overheid: Overheidsinstanties moeten altijd een FG hebben (behalve rechtbanken).
  2. Hoofdactiviteit is grootschalige bewaking: Denk aan bedrijven die systematisch mensen volgen op grote schaal. Denk aan bewakingsbedrijven of aanbieders van internetdiensten die surfgedrag analyseren.
  3. Gevoelige gegevens op grote schaal: Als je bedrijf grootschalig bijzondere persoonsgegevens verwerkt, ben je verplicht een FG te hebben. Bijzondere gegevens zijn bijvoorbeeld medische data, strafrechtelijke gegevens, of gegevens over ras, geloof of politieke voorkeur.

De AVG (Artikel 37) schrijft dit voor in drie specifieke gevallen: Maar wat is "grootschalig"? Ook als je bijzondere rechten van kinderen verwerkt, gelden er strengere regels. De Europese toezichthouders hebben hier richtlijnen voor.

Het gaat niet alleen om het aantal records, maar ook om de context. Verwerk je gegevens van duizenden patiënten?

De 250-medewerkers mythe

Dan is het grootschalig. Verwerk je gegevens van tien medewerkers? Dan waarschijnlijk niet.

Je hoort vaak: "Bedrijven met meer dan 250 medewerkers moeten een FG hebben". Dit klopt niet helemaal. De wet zegt dat bedrijven met minder dan 250 medewerkers soms wat lichtere administratieve verplichtingen hebben, maar dit ontslaat ze niet van de plicht om een FG aan te stellen als ze voldoen aan de bovengenoemde criteria (grootschalige verwerking van gevoelige data). Een klein bedrijf dat medische dossiers verwerkt, heeft dus wél een FG nodig, ook al heeft het maar 10 werknemers.

Hoeveel kost een Functionaris voor Gegevensbescherming?

Laten we eerlijk zijn: kwaliteit kost geld. De prijs hangt af van de grootte van je organisatie, de complexiteit van je data en hoe je de FG inhuurt.

  • Interne medewerker: Als je een bestaande werknemer deze rol geeft, komen daar kosten bij via salaris en training. Een gemiddelde FG in loondienst verdient tussen de €50.000 en €100.000 per jaar, afhankelijk van ervaring en de zwaarte van de organisatie.
  • Freelance FG: Veel MKB’ers kiezen voor een externe FG die ze inhuren op uurbasis. De tarieven variëren vaak tussen €80 en €150 per uur. Voor een gemiddeld middenbedrijf kan dit neerkomen op enkele dagen per maand.
  • FG als dienst: Er zijn gespecialiseerde bedrijven (zoals Privacy Company of Yirga) die FG-diensten aanbieden als abonnement. Dit is vaak voordeliger dan een fulltimer.

Zie het niet alleen als een kostenpost. Een goede FG bespaart je geld door boetes te voorkomen en datalekken te stoppen voordat ze gebeuren.

De eisen waaraan een FG moet voldoen

Je kunt niet zomaar de stagiair de FG maken. De FG moet voldoen aan bepaalde eisen:

  • Expertise: De FG moet deskundig zijn op het gebied van privacywetgeving en IT-beveiliging. Dit vereist een grondige kennis van de AVG en de praktische toepassing ervan.
  • Onafhankelijkheid: De FG mag geen instructies aannemen over hoe hij zijn taken moet uitvoeren. Hij rapporteert rechtstreeks aan het hoogste management (bijvoorbeeld de directeur).
  • Integriteit: Geen belangenverstrengeling. De FG mag geen nevenfuncties hebben die conflicteren met zijn rol als toezichthouder.

Hoewel de wet geen specifieke diploma’s verplicht stelt, is een certificering zoals Certified Information Privacy Professional (CIPP/E) of Certified DPO een sterke aanbeveling.

Het toont aan dat de persoon echt weet waar hij over praat.

Wat als je geen FG nodig hebt of hebt?

Niet elke organisatie is wettelijk verplicht. Maar dat betekent niet dat je niks hoeft te doen. De AVG geldt voor iedereen die persoonsgegevens verwerkt.

  • Een register van verwerkingsactiviteiten bijhouden.
  • Technische en organisatorische maatregelen nemen (beveiliging).
  • Meldingsplicht bij datalekken nakomen.

Zelfs als je geen formele FG hoeft aan te stellen, moet je wel:

Veel bedrijven kiezen er toch voor om een FG aan te wijzen (vrijwillig), zelfs als het niet moet. Dit zorgt voor rust en structuur. Het toont aan dat je privacy serieus neemt, wat goed is voor het vertrouwen van klanten.

De toekomst van de FG

De rol van de Functionaris voor Gegevensbescherming verandert. Het wordt steeds complexer.

Waar het vroeger ging om formulieren invullen, gaat het nu steeds meer over technologie. Denk aan Artificial Intelligence (AI). AI-systemen kunnen beslissingen nemen die invloed hebben op mensenlevens, zoals een sollicitatieprocedure die automatisch wordt afgewezen.

De FG moet hier toezicht op houden om te zorgen dat dit eerlijk en transparant gebeurt. Ook de opkomst van Privacy Enhancing Technologies (PETs) vraagt om nieuwe kennis.

De FG moet begrijpen hoe anoniem maken van data technisch werkt, niet alleen juridisch, en daarbij kiezen voor een efficiënte afhandeling van privacyverzoeken.

Kortom: de FG is van een controlerende rol verschoven naar een strategische partner. Bedrijven die investeren in een goede FG, zijn beter voorbereid op de toekomst.

Conclusie: Heb jij er een nodig?

De vraag is niet alleen of je er wettelijk toe verplicht bent, maar ook of het verstandig is. Werk je met persoonsgegevens?

Dan loop je risico’s. Een Functionaris voor Gegevensbescherming helpt je die risico’s te managen, bijvoorbeeld door een gestroomlijnd intern proces voor inzageverzoeken in te richten.

Check de drie criteria: Overheid? Grootschalige bewaking? Grootschalige verwerking van gevoelige data? Als je één van deze drie met 'ja' beantwoordt, heb je een FG nodig. Punt uit.

Doe je dit niet, loop je het risico op hoge boetes van de Autoriteit Persoonsgegevens. Maar ook als je geen FG hoeft aan te stellen, kan het slim zijn om er één in te schakelen.

In een wereld waar data steeds waardevoller (en kwetsbaarder) wordt, is een expert die meekijkt geen overbodige luxe. Het geeft je gemoedsrust en zorgt ervoor dat je je kunt richten op wat echt belangrijk is: ondernemen.

Lees ook
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt? Wat is een inzageverzoek en hoe handel je dat correct af als klein bedrijf? Binnen hoeveel tijd moet je reageren op een inzageverzoek en wat zijn de gevolgen als je dat niet doet? Hoe identificeer je de persoon achter een inzageverzoek zonder te veel extra gegevens te vragen? Wat moet je meesturen bij een inzageverzoek: een praktisch overzicht Hoe stel je een intern proces in voor het afhandelen van inzageverzoeken?
Eva de Vries
Eva de Vries
Privacyrechtadvocaat en data protection specialist

Eva is gespecialiseerd in het adviseren over complexe privacyvraagstukken.

Meer over Rechten van betrokkenen

Bekijk alle 28 artikelen in deze categorie.

Naar categorie →
Lees volgende
Welke privacyrechten hebben mensen van wie jij gegevens verwerkt?
Lees verder →