Privacywetgeving

Functionaris gegevensbescherming (FG/DPO) 2026: taken en wanneer verplicht

Functionaris gegevensbescherming (FG/DPO): de wettelijke taken (art. 39 AVG), wanneer aanstellen verplicht is en de onafhankelijke positie van de FG.

Also available in:English·Français·Deutsch·Español·et

De functionaris gegevensbescherming (FG, in het Engels DPO) is de onafhankelijke toezichthouder op de naleving van de AVG binnen een organisatie. De taken staan in artikel 39 AVG: informeren en adviseren, toezien op de naleving, adviseren over en toetsen van gegevensbeschermingseffectbeoordelingen (DPIA’s), samenwerken met de Autoriteit Persoonsgegevens (AP) en optreden als contactpunt. Een FG aanstellen is verplicht in drie gevallen (art. 37): voor overheidsinstanties, voor organisaties waarvan de kernactiviteit bestaat uit grootschalige, regelmatige en stelselmatige monitoring van betrokkenen, en voor organisaties die grootschalig bijzondere persoonsgegevens verwerken. Buiten die gevallen is een FG vrijwillig, maar wel aan te raden. De FG moet in Nederland worden aangemeld bij de AP.

Deze pagina behandelt de taken en de positie van de FG. Voor de precieze afbakening van de verplichting verwijzen we naar onze gids wanneer een FG verplicht is.

De wettelijke taken (art. 39 AVG)

De AVG somt de kerntaken van de FG limitatief op:

Taak Wat het inhoudt
Informeren en adviseren De organisatie en medewerkers wijzen op hun AVG-verplichtingen
Toezien op naleving Monitoren van beleid, bewustwording, audits en verantwoordelijkheden
Adviseren over DPIA’s Advies geven en toezien op de uitvoering van DPIA’s (art. 35)
Samenwerken met de AP Als aanspreekpunt fungeren en meewerken aan onderzoeken
Contactpunt zijn Voor betrokkenen én voor de toezichthouder

Belangrijk: de FG adviseert en houdt toezicht, maar draagt niet de eindverantwoordelijkheid. Die blijft bij de verwerkingsverantwoordelijke — het bestuur. De FG is geen “compliance-uitvoerder” die het register bijhoudt of datalekken meldt; hij ziet erop toe dat die taken correct worden belegd en uitgevoerd.

De onafhankelijke positie (art. 38)

De AVG beschermt de positie van de FG stevig:

  • Onafhankelijkheid: de FG ontvangt geen instructies over de uitoefening van zijn taken.
  • Rechtstreekse rapportagelijn: de FG rapporteert aan het hoogste managementniveau.
  • Geen belangenconflict: de FG mag geen functie bekleden waarin hij zelf doel en middelen van verwerkingen bepaalt (bijvoorbeeld hoofd IT of hoofd HR). Een FG die zijn eigen werk zou moeten controleren, voldoet niet.
  • Voldoende middelen: tijd, budget, toegang tot gegevens en verwerkingen, en ruimte om kennis actueel te houden.
  • Ontslagbescherming: de FG mag niet worden ontslagen of benadeeld wegens de uitoefening van zijn taken.

De AP heeft in haar toezicht meermaals gewezen op het belang van een echte, onafhankelijke positie. Een FG op papier, zonder middelen of met een belangenconflict, is een reëel handhavingsrisico.

Wanneer is een FG verplicht?

Artikel 37 lid 1 noemt drie gevallen:

  1. Overheidsinstanties en -organen (met uitzondering van rechtbanken in hun rechtsprekende taak). In Nederland dus gemeenten, ministeries, uitvoeringsorganisaties, publieke onderwijs- en zorginstellingen.
  2. Kernactiviteit = grootschalige, regelmatige en stelselmatige observatie van betrokkenen. Denk aan trackingnetwerken, bepaalde platformbedrijven of beveiligingsdiensten met cameratoezicht als kernactiviteit.
  3. Kernactiviteit = grootschalige verwerking van bijzondere categorieën (art. 9, zoals gezondheidsgegevens) of strafrechtelijke gegevens. Ziekenhuizen en grote zorgaanbieders vallen hier doorgaans onder.

Voor het reguliere mkb zonder deze kenmerken is een FG meestal niet verplicht — maar de onderliggende taken (toezicht, advies, DPIA-beoordeling) moeten dan door iemand anders worden belegd, bijvoorbeeld een privacy officer of de directie.

Intern, extern of gedeeld?

De FG kan een werknemer zijn of een externe dienstverlener op contractbasis. Ook een gedeelde FG voor een concern of een groep organisaties is toegestaan, mits die vanuit elke vestiging goed bereikbaar is. Voor kleinere organisaties met een FG-plicht is een externe FG vaak praktischer: onafhankelijk per definitie, en zonder het belangenconflict dat bij een interne dubbelrol snel ontstaat.

Aanmelding bij de AP en ondersteuning

Wie een FG aanstelt — verplicht of vrijwillig — meldt de contactgegevens aan bij de AP en publiceert ze (bijvoorbeeld in de privacyverklaring). De FG heeft goede instrumenten nodig om zijn toezichtstaak waar te maken: een actueel verwerkingsregister, inzicht in verwerkersovereenkomsten, een DPIA-workflow en een datalekregister. Een platform zoals Legiscope geeft de FG dat overzicht, zodat hij tijd besteedt aan afwegingen in plaats van aan het handmatig actueel houden van spreadsheets.

FG versus privacy officer versus compliance officer

Deze functies worden vaak door elkaar gehaald, terwijl ze juridisch verschillen. De FG is een wettelijk gedefinieerde rol met een beschermde, onafhankelijke positie (art. 37-39 AVG) en een meldplicht bij de AP. Een privacy officer is een organisatorische functie zonder wettelijke basis: hij voert compliance-taken uit — register bijhouden, DPIA’s opstellen, verzoeken afhandelen — en mág dat wél doen, omdat hij niet de onafhankelijke toezichthoudersrol vervult. Een compliance officer kijkt breder dan alleen gegevensbescherming. Het cruciale verschil: de FG controleert en adviseert onafhankelijk, terwijl een privacy officer uitvoert. Diezelfde persoon kan niet beide zijn, want dan zou de FG zijn eigen werk moeten controleren — precies het belangenconflict dat artikel 38 verbiedt.

Voor een organisatie zonder FG-plicht is een privacy officer vaak de praktische oplossing: iemand die de dagelijkse compliance draagt, zonder de zware onafhankelijkheidseisen van de FG.

Wat de FG nodig heeft om te functioneren

Een FG zonder middelen is een schijnfunctie. In de praktijk heeft de FG nodig: een rechtstreekse rapportagelijn naar het bestuur, voldoende tijd (bij grotere organisaties vaak een voltijdsfunctie), toegang tot alle verwerkingen en systemen, budget voor opleiding, en betrokkenheid vroeg in nieuwe projecten — niet pas als het besluit al genomen is. De Autoriteit Persoonsgegevens let bij onderzoeken uitdrukkelijk op of de FG deze randvoorwaarden heeft. Een FG die het register en de DPIA’s zelf moet bijhouden in plaats van erop toe te zien, is verkeerd gepositioneerd; goede tooling neemt dat uitvoerende werk weg zodat de FG aan toezicht toekomt.

Sancties bij het ontbreken of verkeerd positioneren van een FG

Het niet aanstellen van een verplichte FG, of het aanstellen van een FG met een belangenconflict of zonder middelen, valt onder artikel 83 lid 4 AVG: boetes tot 10 miljoen euro of 2 procent van de wereldwijde jaaromzet. Europese toezichthouders hebben hier daadwerkelijk op gehandhaafd. De Belgische Gegevensbeschermingsautoriteit legde in 2020 een boete van 50.000 euro op omdat de FG tegelijk hoofd was van afdelingen die zelf doel en middelen van verwerkingen bepaalden — precies het door artikel 38 verboden belangenconflict. Toets daarom niet alleen óf u een FG heeft, maar ook of diens positie de onafhankelijkheidseisen doorstaat: een FG die zijn eigen beslissingen zou moeten controleren, is voor de toezichthouder geen geldige FG.

Veelgestelde vragen

Wat zijn de belangrijkste taken van een FG?

Informeren en adviseren over AVG-verplichtingen, toezien op de naleving (beleid, audits, bewustwording), adviseren over en toezien op DPIA’s, samenwerken met de AP en optreden als contactpunt voor betrokkenen en de toezichthouder. De FG adviseert en controleert; de eindverantwoordelijkheid blijft bij het bestuur.

Is een FG verplicht voor mijn organisatie?

Alleen als u een overheidsinstantie bent, als uw kernactiviteit bestaat uit grootschalige stelselmatige monitoring, of als u grootschalig bijzondere of strafrechtelijke gegevens verwerkt. Voor het reguliere mkb is een FG meestal niet verplicht, maar de onderliggende taken moeten wel belegd zijn.

Mag het hoofd IT ook FG zijn?

Nee, dat levert doorgaans een verboden belangenconflict op. Wie zelf beslist over doel en middelen van verwerkingen — hoofd IT, hoofd HR, een bestuurder — kan niet onafhankelijk toezien op diezelfde verwerkingen. Kies een functionaris zonder die dubbelrol, intern of extern.

Vervangt software de FG?

Nee. Software produceert en onderhoudt de documentatie; de FG levert het onafhankelijke oordeel dat de AVG eist. Goede tooling verlicht wel de last van de FG, zodat die zich op toezicht en advies kan richten in plaats van op administratie.

Conclusie

De functionaris gegevensbescherming is de onafhankelijke bewaker van de AVG-naleving, met vijf wettelijke kerntaken uit artikel 39 en een beschermde positie uit artikel 38. Aanstellen is verplicht voor overheidsinstanties en bij grootschalige monitoring of verwerking van bijzondere gegevens; daarbuiten is het vrijwillig maar verstandig. Vermijd het belangenconflict van een interne dubbelrol, geef de FG voldoende middelen en meld hem aan bij de AP. Ook zonder verplichte FG moeten de onderliggende taken belegd zijn — en goede tooling zorgt dat wie die rol vervult, aan toezicht toekomt in plaats van aan spreadsheets.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →