Compliance

Functionaris Gegevensbescherming (FG): wanneer verplicht

FG verplicht onder AVG art. 37: criteria, taken, onafhankelijkheid, aanmelden AP. Kosten, sancties, alternatief. Gids 2026.

Also available in:Svenska·Italiano·Português

In één zin. De Functionaris Gegevensbescherming (FG, in EU-terminologie DPO) is verplicht voor overheidsorganen en voor organisaties die grootschalig monitoren of grootschalig bijzondere gegevens verwerken — de Autoriteit Persoonsgegevens interpreteert “grootschalig” ruim, waardoor de meeste ziekenhuizen, verzekeraars en HR-dienstverleners onder de verplichting vallen.

Belangrijkste punten

  • Verplicht in drie gevallen (art. 37 lid 1): overheid, grootschalige monitoring, grootschalige bijzondere gegevens.
  • FG-aanmelding bij AP is verplicht.
  • FG kan intern of extern zijn, werknemer of zelfstandige.
  • Onafhankelijkheid wettelijk beschermd — geen instructies, geen ontslag wegens FG-taken.
  • Boete bij ontbreken: categorie III (basis 525 K EUR).
  • Vrijwillige FG mag, valt onder zelfde regels.

1. Wettelijk kader

Art. 37-39 AVG (EUR-Lex) plus UAVG art. 39 (aanmelding) en art. 14 (FG bij ziekteverzuim). De EDPB Guidelines (voorheen WP29) en AP-handreikingen vullen het kader in. UAVG voegt geen extra FG-verplichtingen toe boven AVG.

2. Drie verplichte gevallen (art. 37 lid 1)

  • a) Overheidsorganen of -instanties, behalve gerechten in hun rechterlijke taak.
  • b) Kernactiviteiten = regelmatige en stelselmatige observatie van betrokkenen op grote schaal.
  • c) Kernactiviteiten = grootschalige verwerking bijzondere gegevens (art. 9) of strafrechtelijke gegevens (art. 10).

UAVG art. 5: ook verplicht voor bestuursorganen onder Awb.

3. Wat is “kernactiviteit”

EDPB Guidelines: activiteit die essentieel is voor de doelen van de organisatie. NIET ondersteunende activiteiten zoals salarisadministratie. Wel: patiëntenzorg voor ziekenhuis, polissadministratie voor verzekeraar, kredietbeoordeling voor bank, recruitment voor recruitmentbureau, contentmoderatie voor platform.

4. Wat is “grootschalig”

Geen wettelijk getal. EDPB-factoren:

  • Aantal betrokkenen (absoluut of als percentage relevante populatie).
  • Volume gegevens en categorieën.
  • Duur verwerking.
  • Geografisch bereik.

Voorbeelden grootschalig: ziekenhuis (>10K patiënten), nationale verzekeraar, telecom, supermarktketen met klantenkaart, recruitmentplatform >5K dossiers, GGD. Niet grootschalig: huisarts in eenmanspraktijk, kleine MKB-administratie. Voor scholen en universiteiten geldt de FG-plicht vrijwel altijd via de overheidsroute of kindergegevens.

Organisatie FG verplicht? Reden
Ziekenhuis Ja Grootschalig bijzondere geg.
Huisartspraktijk solo Nee Niet grootschalig
Gemeente Ja Overheidsorgaan
Webshop 5K klanten Nee (meestal) Niet kernactiviteit + niet bijz.
Verzekeraar Ja Grootschalig bijz. + monitoring
School Discussie Vaak ja (UAVG, kind. geg.)
Recruitment >5K Ja Grootschalig bijz. + structureel
Bank Ja Grootschalige monitoring
Bedrijf met camera Nee (meestal) Niet kernactiviteit
HR-dienstverlener Ja Grootschalig structureel

5. Vrijwillige FG

Art. 37 lid 4: organisaties mogen vrijwillig een FG aanstellen. Eenmaal aangesteld gelden alle FG-regels (onafhankelijkheid, taken, aanmelding). Voordelen: signaal naar markt, klanten en AP. Nadeel: zwaardere structurele verplichtingen. Alternatief: privacy officer of compliance manager zonder FG-titel.

6. Profiel en kwalificaties

Art. 37 lid 5: deskundigheid op gebied van gegevensbeschermingsrecht en -praktijken, in verhouding tot aard verwerking. Geen specifieke opleiding wettelijk vereist. Praktijk: combinatie juridische kennis (AVG, sectorwetgeving), IT-kennis (beveiliging, architectuur), organisatorische vaardigheden (project, training).

Erkende opleidingen: CIPP/E (IAPP), PECB DPO, Nederlandse opleidingen NCOI / NIBE-SVV / Beroepsopleiding privacy juristen.

7. Taken FG (art. 39)

  • Informeren en adviseren verantwoordelijke/verwerker en medewerkers over AVG-verplichtingen.
  • Toezicht op naleving AVG en interne beleidsregels.
  • Adviseren over de DPIA en monitoren uitvoering (art. 35 lid 2).
  • Samenwerken met AP.
  • Eerste aanspreekpunt AP (art. 39 lid 1 sub e).

NIET besluitvormingsbevoegdheid — die blijft bij verantwoordelijke.

8. Onafhankelijkheid en bescherming

Art. 38 garandeert:

  • Geen instructies inhoudelijke FG-taken.
  • Geen ontslag of straf wegens FG-taakuitoefening.
  • Rapportagelijn rechtstreeks aan hoogste leiding.
  • Geen belangenconflict (FG mag niet ook IT-directeur of HR-directeur zijn).
  • Voldoende middelen en toegang tot persoonsgegevens en verwerkingen.

9. Intern of extern

Beide toegestaan. Intern (werknemer): meer integratie, snellere reactie, kennis organisatie. Extern (consultant of FG-as-a-service): meer onafhankelijkheid, sectorbrede ervaring, kostenefficiënt voor MKB. Externe FG via dienstverleningscontract met heldere SLA en uurinzet.

Kosten interne FG: 70K-130K EUR/jaar afhankelijk seniority en sector. Externe FG: 12K-50K EUR/jaar voor MKB tot middelgroot, hoger voor concerns.

10. Aanmelding bij AP

UAVG art. 39: FG-gegevens worden bij de Autoriteit Persoonsgegevens aangemeld via online portal. Verplichte gegevens: naam organisatie, FG-naam, contactgegevens (e-mail, telefoon), datum aanvang. Wijzigingen binnen redelijke termijn melden. Aanmeldnummer fungeert als referentie bij contact AP. Ontbrekende aanmelding = zelfstandige overtreding.

11. FG-contactgegevens publiceren

Art. 37 lid 7: organisatie publiceert FG-contactgegevens en deelt mee aan AP. Publicatie via privacyverklaring (website, intranet) en privacy-melding aan klanten/werknemers. Geen verplichting persoonsnaam te publiceren — functioneel e-mailadres (fg@bedrijf.nl) volstaat.

12. Veelvoorkomende fouten FG

  • FG niet aangemeld bij AP (UAVG art. 39) — direct overtreding.
  • FG ook IT-directeur of compliance officer met instructiebevoegdheid (belangenconflict art. 38 lid 6).
  • Externe FG zonder voldoende uren — feitelijk onbereikbaar.
  • FG rapporteert aan middle management ipv hoogste leiding.
  • FG-advies wordt genegeerd zonder schriftelijke motivering.
  • Geen onafhankelijke budgettoewijzing voor FG-taken.
  • FG-contactgegevens niet in privacyverklaring vermeld.
  • FG-rol toegewezen aan medewerker zonder AVG-opleiding.

CJEU C-453/21 (X-FAB, februari 2023): bevestigt dat belangenconflict-toets strikt is en zelfs leidinggevende functies binnen organisatie kunnen onverenigbaar zijn met FG-rol. Voor AP boetes 2025 recente handhaving.

13. Sancties

Schending art. 37 (geen FG) of art. 38 (geen onafhankelijkheid) of art. 39 (geen taakuitoefening) valt onder art. 83 lid 4: tot 10 M EUR of 2% omzet. AP-boetebeleid: categorie III (basis 525 K EUR). AP heeft in 2024 specifiek campagne uitgevoerd tegen organisaties zonder aangemelde FG. Combinatie met andere boetes gangbaar.

FAQ

Heeft mijn MKB een FG nodig?

Meestal niet, tenzij u in zorg, financieel, recruitment of platformsector actief bent met grootschalige verwerking. Algemene MKB met klanten en personeel valt onder uitzondering — zie de gids AVG voor MKB. Vrijwillige FG mag altijd.

Mag de IT-directeur ook FG zijn?

Nee. EDPB en AP zien dit als belangenconflict (art. 38 lid 6). IT-directeur bepaalt verwerkingen, FG controleert verwerkingen. Ook CFO, HR-directeur, juridisch directeur in beginsel uitgesloten — afhankelijk van organisatie.

Mag een externe FG voor meerdere bedrijven werken?

Ja, expliciet toegestaan (art. 37 lid 6). FG-as-a-service is gangbaar, mits voldoende tijd per opdrachtgever, geen belangenconflicten tussen klanten, en bereikbaarheid voor betrokkenen en AP gewaarborgd.

Wat kost een FG?

Interne FG (FTE): 70K-130K EUR/jaar afhankelijk niveau. Externe FG voor MKB: 12K-30K EUR/jaar (paar uur per week). Middelgroot bedrijf: 30K-60K EUR. Concern: 60K-150K EUR voor dedicated externe DPO + team.

Wat als ik geen FG aanstel waar dat verplicht is?

Boete categorie III (basis 525 K EUR), tot maximum 10 M EUR of 2% omzet. AP heeft handhavingscampagne gevoerd 2024. Daarnaast: ontbrekende FG verzwaart eventuele andere AP-boetes (geen interne controle = verzwaringsfactor).

Hoe vaak moet FG rapporteren?

Geen wettelijke frequentie. Best practice: kwartaalrapport aan directie/RvB met overzicht klachten, DSAR’s, incidenten, DPIA’s, AP-correspondentie. Jaarverslag voor verantwoording. FG moet rechtstreeks aan hoogste leiding rapporteren (art. 38 lid 3). Voor AVG Art. 5 beginselen-accountability is documentatie van FG-werk essentieel.

Kan de FG civielrechtelijk aansprakelijk zijn?

Beperkt. Verantwoordelijkheid ligt bij verantwoordelijke (de organisatie), niet bij FG persoonlijk. FG kan wel intern aansprakelijk gesteld worden bij grove nalatigheid of opzet (zoals elke werknemer). Extern (toezicht, civiele claim): organisatie is altijd primaire wederpartij. Bestuurdersaansprakelijkheidsverzekering dekt vaak FG-functie.

Geldt de FG-verplichting ook voor verwerkers?

Ja. Art. 37 lid 1 noemt expliciet “verwerkingsverantwoordelijke en verwerker”. Een hosting-provider die grootschalig persoonsgegevens van klanten verwerkt, een payroll-leverancier, een EdTech-bedrijf — allemaal verwerkers met mogelijk FG-verplichting. KPN-boete 2025 (215 K EUR) bevestigde dat verwerkers eigen accountability hebben. Zie Verwerkersovereenkomst template.

Hoe vind ik een geschikte FG?

Zoekkanalen: NGFG (Nederlands Genootschap van Functionarissen Gegevensbescherming), IAPP, juridische detacheerders (Solid, Privacy1, NautaDutilh). Profielcheck: AVG-kennis (CIPP/E of vergelijkbaar), sectorervaring, IT-affiniteit, soft skills voor advisering. Voor extern: SLA met minimaal aantal uren, bereikbaarheid, sectorrelevantie.

Zie ook: AVG bij gemeenten.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →