Privacy 9 min leestijd 18 maart 2026 IT Compliance Jobs

GDPR en de Functionaris Gegevensbescherming in Belgie: Regels en verplichtingen

Sinds de inwerkingtreding van de General Data Protection Regulation (GDPR) in mei 2018 is de Functionaris voor Gegevensbescherming (FG), ook wel Data Protection Officer (DPO) genoemd, een onmisbare rol geworden voor veel Belgische organisaties. De Gegevensbeschermingsautoriteit (GBA) ziet streng toe op de naleving van de privacywetgeving en legt regelmatig boetes op aan organisaties die niet voldoen aan hun verplichtingen.

In dit artikel bespreken we wanneer een FG verplicht is in Belgie, wat de taken en verantwoordelijkheden zijn, en welke carrieremogelijkheden er bestaan in het privacy-domein. Bekijk ook onze actuele privacy vacatures voor beschikbare DPO-posities.

De GDPR in Belgie: het wettelijk kader

De GDPR is een Europese verordening die rechtstreeks van toepassing is in alle EU-lidstaten, waaronder Belgie. Belgie heeft de GDPR aangevuld met de Wet van 30 juli 2018 betreffende de bescherming van natuurlijke personen met betrekking tot de verwerking van persoonsgegevens. Deze Belgische kaderwet biedt aanvullende bepalingen die specifiek zijn voor de Belgische context.

De Gegevensbeschermingsautoriteit (GBA) is de Belgische toezichthouder die waakt over de naleving van de privacywetgeving. De GBA is de opvolger van de voormalige Privacycommissie en beschikt over ruime bevoegdheden om onderzoeken te voeren, aanbevelingen te formuleren en sancties op te leggen.

Wanneer is een Functionaris Gegevensbescherming verplicht?

Volgens artikel 37 van de GDPR is de aanstelling van een FG verplicht in drie specifieke situaties:

1. Overheidsinstellingen en publiekrechtelijke organen

Alle Belgische overheidsinstellingen moeten een FG aanstellen. Dit geldt voor federale overheidsdiensten (FOD's), gemeenten, provincies, OCMW's, overheidsbedrijven en andere publiekrechtelijke organen. De Vlaamse, Waalse en Brusselse overheidsinstanties vallen eveneens onder deze verplichting.

2. Grootschalige, regelmatige en stelselmatige monitoring

Organisaties waarvan de kernactiviteiten bestaan uit verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen, moeten een FG aanstellen. Denk hierbij aan telecomoperatoren als Proximus en Telenet, verzekeringsmaatschappijen, marktonderzoeksbureaus en bedrijven met uitgebreide camerabewaking.

3. Grootschalige verwerking van bijzondere gegevens

Wanneer de kernactiviteiten bestaan uit de grootschalige verwerking van bijzondere categorieën persoonsgegevens (gezondheidsgegevens, biometrische gegevens, strafrechtelijke gegevens), is een FG verplicht. Dit raakt ziekenhuizen, zorgnetwerken, mutualiteiten en grote medische laboratoria in Belgie.

De rol van de GBA als Belgische toezichthouder

De Gegevensbeschermingsautoriteit (GBA) is een onafhankelijk orgaan dat toezicht houdt op de naleving van de privacywetgeving in Belgie. De GBA bestaat uit verschillende organen met elk een specifieke opdracht:

  • Eerstelijnsdienst: Behandelt verzoeken om informatie en klachten van burgers
  • Kenniscentrum: Formuleert adviezen en aanbevelingen over privacyvraagstukken
  • Inspectiedienst: Voert onderzoeken uit, zowel op eigen initiatief als naar aanleiding van klachten
  • Geschillenkamer: Neemt beslissingen over geschillen en kan administratieve boetes opleggen

De GBA kan boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet. In de praktijk heeft de GBA al diverse boetes opgelegd aan Belgische organisaties, waaronder boetes aan Google Belgium, een ziekenhuis en diverse KMO's.

Taken en verantwoordelijkheden van de FG in Belgie

De Functionaris Gegevensbescherming heeft een breed takenpakket dat wettelijk is vastgelegd in de GDPR:

  • Informeren en adviseren: De FG informeert en adviseert de organisatie en haar werknemers over hun verplichtingen onder de GDPR en de Belgische privacywetgeving
  • Toezicht houden: Toezien op de naleving van de GDPR, het privacybeleid en de bewustmaking van het personeel
  • Advies over DPIA's: Advies verstrekken over gegevensbeschermingseffectbeoordelingen (Data Protection Impact Assessments) en toezien op de uitvoering ervan
  • Contactpunt voor de GBA: Fungeren als aanspreekpunt voor de Gegevensbeschermingsautoriteit en samenwerken bij onderzoeken
  • Contactpunt voor betrokkenen: Het eerste aanspreekpunt zijn voor personen die vragen of klachten hebben over de verwerking van hun persoonsgegevens
  • Register van verwerkingsactiviteiten: Bijhouden of toezien op het register van verwerkingsactiviteiten

Onafhankelijkheid en bescherming van de FG

De GDPR bepaalt dat de FG een onafhankelijke positie moet hebben binnen de organisatie. In de Belgische context betekent dit concreet:

  • De FG mag geen instructies ontvangen over de uitoefening van zijn taken
  • De FG mag niet worden ontslagen of bestraft voor de uitoefening van zijn taken
  • De FG rapporteert rechtstreeks aan het hoogste managementniveau
  • Er mag geen belangenconflict bestaan met andere functies (een FG kan bijvoorbeeld niet tegelijkertijd IT-manager of HR-directeur zijn)

Salarisoverzicht DPO/FG in Belgie

Het salaris van een Functionaris Gegevensbescherming in Belgie hangt af van ervaring, sector en of het een interne of externe rol betreft.

ErvaringsniveauBruto jaarsalarisTypische context
Junior DPO / Privacy Officer55.000 - 72.000 euroKMO's, non-profit, eerste DPO-rol
Medior DPO72.000 - 95.000 euroMiddelgrote bedrijven, overheid
Senior DPO / Head of Privacy95.000 - 120.000 euroGrote bedrijven, financiele sector
Externe DPO (dagtarief)700 - 1.200 euro per dagConsultancy, meerdere klanten

De groeiende aandacht voor privacy en de toenemende handhaving door de GBA zorgen voor een stijgende vraag naar gekwalificeerde DPO's. Professionals met een combinatie van juridische kennis en IT-ervaring zijn bijzonder gewild. Lees meer over de toekomst van de DPO-rol in ons artikel over de rol van de DPO in 2026.

Opleiding en certificeringen voor DPO's in Belgie

Hoewel de GDPR geen specifieke certificeringseisen stelt aan de FG, verwachten Belgische werkgevers doorgaans een combinatie van opleiding en certificeringen:

  • CIPP/E (Certified Information Privacy Professional/Europe): De meest erkende Europese privacycertificering, afkomstig van de IAPP
  • CIPM (Certified Information Privacy Manager): Gericht op het opzetten en beheren van privacyprogramma's
  • DPO-certificering: Aangeboden door diverse Belgische opleidingsinstellingen en universiteiten
  • Universitaire opleidingen: KU Leuven, UGent en VUB bieden gespecialiseerde programma's in data protection en privacy law

Belgische specifieke aandachtspunten

De Belgische implementatie van de GDPR kent enkele specifieke aandachtspunten die de FG in acht moet nemen:

  • Taalwetgeving: In Belgie moet privacycommunicatie vaak in meerdere talen beschikbaar zijn (Nederlands, Frans, eventueel Duits), afhankelijk van het taalgebied en de doelgroep
  • Sectorale wetgeving: Naast de GDPR gelden in Belgie aanvullende regels in specifieke sectoren, zoals de eHealth-wetgeving voor de gezondheidszorg
  • Camerawet: De Belgische Camerawet stelt aanvullende vereisten aan het gebruik van bewakingscamera's bovenop de GDPR-verplichtingen
  • Sociaal overleg: De rol van ondernemingsraden en vakbonden bij privacybeslissingen is in Belgie sterker dan in veel andere EU-lidstaten

Op zoek naar een DPO-positie in Belgie?

Bekijk ons complete overzicht van privacy- en DPO-vacatures in Belgie. Van overheid tot private sector, van intern tot extern.

Bekijk Privacy Vacatures

Veelgestelde vragen over de FG/DPO in Belgie

Wanneer is een Functionaris Gegevensbescherming verplicht in Belgie?

Een FG is verplicht wanneer de verwerking wordt uitgevoerd door een overheidsinstantie, wanneer de kernactiviteiten bestaan uit verwerkingen die regelmatige en stelselmatige observatie van betrokkenen op grote schaal vereisen, of wanneer de kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën van persoonsgegevens.

Wat is de rol van de GBA in Belgie?

De Gegevensbeschermingsautoriteit (GBA) is de Belgische toezichthouder voor de bescherming van persoonsgegevens. De GBA houdt toezicht op de naleving van de GDPR, behandelt klachten, voert inspecties uit en kan administratieve boetes opleggen tot 20 miljoen euro of 4% van de wereldwijde jaaromzet.

Wat verdient een DPO in Belgie?

Een Functionaris Gegevensbescherming (DPO) verdient in Belgie gemiddeld tussen 65.000 en 100.000 euro bruto per jaar. Senior DPO's bij grote organisaties of in de financiele sector kunnen tot 120.000 euro verdienen, exclusief extralegale voordelen.

Kan een DPO extern worden aangesteld in Belgie?

Ja, de GDPR staat toe dat organisaties een externe DPO aanstellen via een dienstverleningsovereenkomst. Dit is vooral populair bij KMO's die niet de middelen hebben voor een fulltime interne DPO. De externe DPO moet wel aan dezelfde onafhankelijkheids- en deskundigheidseisen voldoen.

Gerelateerde artikelen

Privacy

De rol van de DPO in 2026: trends en ontwikkelingen

7 min leestijd

 Compliance

NIS2-richtlijn: wat betekent dit voor IT Compliance professionals?

6 min leestijd

 Carriere

CISO Salaris in Belgie: Wat verdient een CISO in 2026?

8 min leestijd