Professional werkend aan documenten en laptop, passend bij de rol van Functionaris Gegevensbescherming
Beroepen

Wat is een DPO? De Functionaris Gegevensbescherming uitgelegd

Elke organisatie die persoonsgegevens verwerkt, krijgt er vroeg of laat mee te maken: de DPO, oftewel de Data Protection Officer. In Nederland beter bekend als de Functionaris voor de Gegevensbescherming, afgekort FG. Het is de persoon die erop toeziet dat een organisatie zorgvuldig omgaat met persoonsgegevens en voldoet aan de privacywetgeving. Sinds de invoering van de AVG in 2018 is de functie voor veel organisaties niet langer vrijblijvend, maar wettelijk verplicht.

DPO betekenis: Data Protection Officer en Functionaris Gegevensbescherming

DPO staat voor Data Protection Officer. De officiële Nederlandse term is Functionaris voor de Gegevensbescherming (FG). Beide termen verwijzen naar dezelfde rol: een onafhankelijke toezichthouder binnen de organisatie die waakt over de bescherming van persoonsgegevens.

De functie is vastgelegd in de Algemene Verordening Gegevensbescherming (AVG), de Europese privacywet die sinds mei 2018 van kracht is. De AVG schrijft voor dat bepaalde organisaties verplicht een FG moeten aanstellen. Het gaat dan om overheidsinstanties, organisaties die op grote schaal bijzondere persoonsgegevens verwerken (denk aan medische data of strafrechtelijke gegevens) en organisaties waarvan de kernactiviteit bestaat uit het stelselmatig en op grote schaal monitoren van personen.

In de praktijk stellen ook veel organisaties die niet wettelijk verplicht zijn een FG aan. Het helpt bij het structureren van privacybeleid en het signaleert risico’s voordat ze problemen worden.

Wat doet een DPO precies?

De taken van een FG zijn vastgelegd in artikel 39 van de AVG. In de kern komt het neer op drie pijlers: informeren, adviseren en toezicht houden.

  • Informeren en adviseren : de FG adviseert de organisatie en haar medewerkers over hun verplichtingen op het gebied van privacy en gegevensbescherming
  • Toezicht op naleving : controleren of de organisatie daadwerkelijk voldoet aan de AVG, intern beleid en eventuele sectorspecifieke regelgeving
  • DPIA-begeleiding : adviseren bij Data Protection Impact Assessments, de verplichte risicobeoordelingen bij verwerkingen die een hoog privacyrisico met zich meebrengen
  • Contactpersoon : fungeren als aanspreekpunt voor de Autoriteit Persoonsgegevens (AP) en voor personen die vragen of klachten hebben over de verwerking van hun gegevens
  • Bewustwording : het bevorderen van privacybewustzijn binnen de organisatie, van directie tot werkvloer
  • Datalekken : betrokkenheid bij de beoordeling en afhandeling van datalekken, inclusief de vraag of melding bij de AP noodzakelijk is

Een FG adviseert, maar beslist niet. Dat onderscheid is wezenlijk. De verantwoordelijkheid voor de daadwerkelijke naleving van de AVG ligt bij de organisatie zelf, niet bij de FG. De FG signaleert, adviseert en rapporteert, maar als het bestuur een advies naast zich neerlegt, is het de organisatie die het risico draagt.

De dubbelrol: FG gecombineerd met een andere functie

In theorie is de FG een onafhankelijke rol. In de praktijk, vooral bij middelgrote en kleinere organisaties, wordt de functie regelmatig gecombineerd met een andere positie. De meest voorkomende combinaties zijn FG met compliance officer, juridisch adviseur of met de CISO (Chief Information Security Officer).

Die combinatie is begrijpelijk: zowel de CISO als de FG houdt zich bezig met de bescherming van gegevens, en bij kleinere organisaties is het budget simpelweg niet toereikend voor twee aparte fulltime functies. Toch zit er een spanning in die dubbelrol.

De AVG stelt namelijk dat de FG geen instructies mag ontvangen over de uitoefening van zijn taken en geen taken mag hebben die tot een belangenconflict leiden. Een CISO die tegelijkertijd FG is, beoordeelt in feite zijn eigen beveiligingsbeleid. De CISO bepaalt welke technische maatregelen worden genomen, de FG controleert of die maatregelen afdoende zijn. Wanneer dezelfde persoon beide rollen vervult, is die onafhankelijke toetsing lastig vol te houden.

De Autoriteit Persoonsgegevens heeft hier meerdere keren over gecommuniceerd. De lijn is helder: een dubbelrol is niet per definitie verboden, maar de organisatie moet aantoonbaar borgen dat er geen belangenconflict ontstaat. Bij grotere organisaties of organisaties die op grote schaal gevoelige gegevens verwerken, is een gescheiden invulling sterk aan te raden.

In de praktijk zie je dat steeds meer organisaties kiezen voor een van deze oplossingen:

  • Externe FG : een onafhankelijke FG inhuren via een gespecialiseerd bureau, waarmee het onafhankelijkheidsvraagstuk direct is opgelost
  • Parttime FG : een interne medewerker met een juridische of compliance-achtergrond die de FG-rol als deeltaak vervult, los van de CISO
  • Dedicated FG : bij grote organisaties een fulltime functie met directe rapportagelijn naar het bestuur

Opleiding en achtergrond van een FG

Net als bij veel governance-functies is er geen specifieke opleiding die je rechtstreeks klaarmaakt als FG. De AVG schrijft voor dat de FG wordt aangesteld op basis van “professionele kwaliteiten en met name deskundige kennis van het gegevensbeschermingsrecht en de gegevensbeschermingspraktijk.”

In de praktijk zie je FG’s met uiteenlopende achtergronden. Juridisch geschoolde professionals vormen de grootste groep, maar ook mensen met een achtergrond in IT, informatiebeveiliging of compliance groeien door naar de rol.

De meest gangbare certificeringen en opleidingen:

  • CIPP/E (Certified Information Privacy Professional/Europe): de meest erkende internationale certificering voor Europees privacyrecht, uitgegeven door de IAPP
  • CIPM (Certified Information Privacy Manager): gericht op het inrichten en managen van een privacyprogramma binnen een organisatie
  • FG-opleidingen bij Nederlandse instituten : onder andere de Universiteit van Amsterdam (VU), Rijksuniversiteit Groningen en diverse private aanbieders bieden gerichte FG-cursussen en postdoctorale programma’s aan
  • PE-punten en permanente educatie : het vakgebied verandert snel, met nieuwe jurisprudentie, richtlijnen van de European Data Protection Board (EDPB) en technologische ontwikkelingen die continu bijscholing vereisen

Wat een FG onderscheidt van een pure jurist of IT-specialist, is de breedte van het profiel. Een goede FG combineert juridische kennis met begrip van IT-systemen, datastromen en organisatorische processen. Je moet begrijpen hoe een CRM-systeem werkt om te kunnen beoordelen of de gegevensverwerking erin AVG-compliant is.

Het verschil tussen een DPO en een CISO

De rollen van FG en CISO worden regelmatig door elkaar gehaald, en dat is niet verwonderlijk. Beide functies houden zich bezig met gegevens en beveiliging. Maar de invalshoek verschilt fundamenteel.

De CISO beschermt informatie vanuit een beveiligingsperspectief: hoe voorkom je dat data wordt gestolen, gelekt of gemanipuleerd? De focus ligt op technische en organisatorische maatregelen, van firewalls en encryptie tot incidentrespons en awareness training. Een CISO denkt in dreigingen, kwetsbaarheden en risico’s.

De FG beschermt persoonsgegevens vanuit een juridisch en ethisch perspectief: worden gegevens rechtmatig verzameld? Is de grondslag correct? Worden betrokkenen goed geïnformeerd? Worden gegevens niet langer bewaard dan noodzakelijk? Een FG denkt in rechten, plichten en beginselen.

In een ideale situatie werken de CISO en de FG nauw samen. De CISO zorgt dat de technische beveiliging op orde is, de FG borgt dat de juridische kaders worden nageleefd. Het zijn complementaire rollen die elkaar versterken, maar die vanuit hun aard verschillende belangen kunnen hebben. Juist daarom is het scheiden van de functies in veel gevallen wenselijk.

Wat verdient een FG in Nederland?

De salarissen voor FG’s in Nederland variëren sterk, afhankelijk van de sector, de omvang van de organisatie en of het een fulltime of parttime invulling betreft.

Een fulltime FG bij een middelgrote organisatie verdient doorgaans tussen de 70.000 en 100.000 euro bruto per jaar. Bij grote organisaties, overheidsinstanties en in de financiële sector kan dat oplopen tot 110.000 tot 140.000 euro. Externe FG’s die als zelfstandige of via een bureau werken, rekenen vaak een maandelijks tarief dat varieert van 2.000 tot 8.000 euro per maand, afhankelijk van de complexiteit en omvang van de organisatie.

De arbeidsmarkt voor FG’s is krap. De combinatie van juridische kennis, technisch begrip en communicatieve vaardigheden die de rol vraagt, is niet eenvoudig te vinden. Organisaties die nu investeren in het opleiden of aantrekken van een goede FG, zijn beter gepositioneerd dan organisaties die pas in actie komen wanneer de Autoriteit Persoonsgegevens aanklopt.

Privacy is geen trend die weer overwaait. Met toenemende digitalisering, de opkomst van AI-toepassingen die grote hoeveelheden persoonsgegevens verwerken en een Autoriteit Persoonsgegevens die steeds actiever handhaaft, groeit de behoefte aan gekwalificeerde FG’s alleen maar. Voor wie juridische scherpte combineert met interesse in technologie en de ambitie heeft om als onafhankelijk adviseur impact te maken binnen een organisatie, is het een van de meest toekomstbestendige functies op het snijvlak van recht en digitalisering.

Vorig artikel Wat is een CISO? Betekenis, taken, opleiding en carrièrepad
Volgend artikel APK Keurmeester worden: opleiding, salaris en vacatures