Wat is een externe FG en wanneer is dit toegestaan?
Een externe FG is een Functionaris Gegevensbescherming die niet in dienst is van uw organisatie maar op contractbasis werkzaamheden verricht. Artikel 37 lid 6 van de AVG stelt expliciet dat de FG een werknemer van de verwerkingsverantwoordelijke kan zijn of zijn taken kan uitvoeren op basis van een dienstverleningscontract.
Deze flexibiliteit in de wetgeving maakt het mogelijk dat organisaties hun FG-functie uitbesteden aan een externe partij. Dit kan een freelance privacy-expert zijn, een gespecialiseerd bureau of een consultant. De externe FG heeft dezelfde verantwoordelijkheden en bevoegdheden als een interne FG, maar werkt vanuit een andere contractuele relatie.
Wanneer mag u een externe FG aanstellen?
In principe kan elke organisatie die verplicht is een FG aan te stellen, kiezen voor een externe variant. De verplichting tot aanstelling van een FG geldt voor:
- Overheidsorganisaties en overheidsinstellingen
- Organisaties die grootschalige systematische monitoring uitvoeren
- Organisaties die grootschalige verwerking van bijzondere categorieën persoonsgegevens doen
Maar ook organisaties die niet verplicht zijn een FG aan te stellen, kunnen er vrijwillig voor kiezen. Dit gebeurt steeds vaker bij organisaties die hun privacy-compliance willen versterken maar geen budget hebben voor een fulltime functie. Voor meer informatie over wanneer een FG verplicht is, raadpleeg ons artikel wanneer is een Functionaris Gegevensbescherming verplicht.
Voordelen van een externe FG
Het inhuren van een externe Functionaris Gegevensbescherming biedt verschillende voordelen, vooral voor organisaties die efficiënt willen omgaan met hun privacy-compliance en kosten.
Kosteneffectiviteit voor MKB-organisaties:
Voor veel middelgrote organisaties is een fulltime FG financieel niet haalbaar. Het gemiddelde FG salaris ligt tussen de 70.000 en 120.000 euro per jaar, plus secundaire arbeidsvoorwaarden. Een externe FG daarentegen kost vaak tussen de 800 en 2.000 euro per maand, afhankelijk van de benodigde dienstverlening.
Directe toegang tot specialistische kennis:
Externe FG's werken vaak voor meerdere organisaties en hebben daardoor brede ervaring opgedaan met verschillende sectoren, systemen en compliance-uitdagingen. Ze brengen best practices mee uit andere organisaties en hebben vaak diepgaande kennis van specifieke privacywetgeving. Veel externe FG's hebben ook de relevante FG-opleiding en certificeringen afgerond.
Flexibiliteit in inzet:
Een externe FG kan worden ingezet voor specifieke projecten, zoals GDPR-implementatie, DPIA-uitvoering of incident-response. Dit biedt meer flexibiliteit dan een vaste aanstelling. Organisaties kunnen de inzet opschalen tijdens drukke perioden en afschalen wanneer er minder werk is.
Objectiviteit en onafhankelijkheid:
Externe FG's staan buiten de interne politiek en hiërarchie van een organisatie. Dit kan helpen bij het identificeren van privacyrisico's en het geven van onafhankelijke adviezen. Ze kunnen moeilijke gesprekken voeren zonder carrière-gevolgen te vrezen.
Snelle beschikbaarheid:
Waar het aannemen van een vaste FG maanden kan duren, is een externe FG vaak binnen enkele weken beschikbaar. Dit is vooral waardevol bij acute compliance-behoeften of na het vertrek van een interne FG.
Kosten en tarieven van externe FG dienstverlening
De kosten van een externe FG variëren sterk afhankelijk van verschillende factoren. Het is belangrijk om een duidelijk beeld te hebben van zowel de kostenstructuur als de verschillende service-modellen die beschikbaar zijn.
| Service Model | Maandkosten | Geschikt voor | Inclusief diensten |
|---|---|---|---|
| Basis FG dienstverlening | €800 - €1.200 | MKB (10-50 medewerkers) | Advisering, basis monitoring, jaarrapport |
| Standaard FG pakket | €1.200 - €1.800 | Middelgrote organisaties | DPIA's, training, incident support |
| Premium FG dienstverlening | €1.800 - €2.500 | Grote organisaties | Uitgebreide monitoring, beleidsontwikkeling |
| Project-gebaseerde FG | €100 - €200/uur | Specifieke projecten | GDPR-implementatie, audits, consultancy |
Factoren die de kosten beïnvloeden:
- Organisatiegrootte: Meer medewerkers betekent meer complexiteit en hoger tarief
- Sector: Zorg, financiële diensten en overheid hebben vaak hogere tarieven vanwege specialistische kennis
- Verwerkingsactiviteiten: Organisaties met bijzondere persoonsgegevens of internationale overdrachten betalen meer
- Beschikbaarheidseisen: 24/7 beschikbaarheid of korte responstijden verhogen de kosten
- Geografische dekking: Organisaties met vestigingen in meerdere landen betalen meer
- Rapportagefrequentie: Maandelijkse rapportages zijn duurder dan kwartaalrapportages
Selectiecriteria en contractuele afspraken
Het kiezen van de juiste externe FG en het maken van goede contractuele afspraken zijn cruciaal voor succes. De AVG stelt specifieke eisen aan de FG-functie die ook gelden voor externe FG's.
Essentiële selectiecriteria:
- Vakkennis en ervaring: De externe FG moet aantoonbare kennis hebben van privacywetgeving en praktische ervaring met compliance
- Sectorspecifieke ervaring: Heeft de FG ervaring in uw sector? Healthcare, finance en publieke sector hebben specifieke privacyvereisten
- Certificeringen: CIPP/E, CIPM, CIPT of andere relevante privacy-certificeringen
- Taalvaardigheden: Voor internationale organisaties is meertaligheid vaak vereist
- Beschikbaarheid: Kan de externe FG binnen acceptabele tijdslimieten reageren?
- Referenties: Wat zeggen andere klanten over de kwaliteit en betrouwbaarheid?
Cruciale contractuele bepalingen:
Het contract met een externe FG moet bepaalde elementen bevatten om te voldoen aan de AVG-vereisten:
- Onafhankelijkheidsgaranties: De externe FG mag geen belangenconflicten hebben
- Directe toegang tot het management: De FG moet rechtstreeks kunnen rapporteren aan het hoogste niveau
- Geheimhoudingsverplichtingen: Strikte confidentialiteit voor alle organisatie-informatie
- Beschikbaarheid en responstijden: Duidelijke afspraken over bereikbaarheid
- Rapportageverplichtingen: Frequentie en inhoud van rapportages
- Opzegtermijn en exit-procedures: Hoe wordt kennisoverdracht geregeld bij beëindiging?
Voor organisaties die nog zoeken naar de juiste FG-oplossing, bekijk onze gids over FG vacatures voor meer inzicht in wat een goede FG moet bieden.
Zoekt u een externe FG?
Vind ervaren externe Functionarissen Gegevensbescherming voor uw organisatie. Van basis-compliance tot complexe privacy-projecten.
Bekijk Externe FG DienstenAandachtspunten en mogelijke nadelen
Hoewel een externe FG veel voordelen kan bieden, zijn er ook aandachtspunten en mogelijke nadelen waar organisaties rekening mee moeten houden. Een goede afweging vooraf voorkomt problemen later.
Belangenconflicten en onafhankelijkheid:
Artikel 38 van de AVG verbiedt dat de FG andere taken uitvoert die kunnen leiden tot belangenconflicten. Voor externe FG's is dit extra complex omdat zij mogelijk voor meerdere klanten werken. Een externe FG mag bijvoorbeeld niet:
- Juridische adviezen geven over commerciële contracten aan dezelfde organisatie
- IT-systemen implementeren die persoonsgegevens verwerken
- Marketing- of sales-activiteiten uitvoeren
- Beslissingen nemen over de doeleinden en middelen van gegevensverwerking
Beperkte organisatiekennis:
Een externe FG heeft minder diepgaande kennis van uw organisatie, cultuur en specifieke werkprocessen. Dit kan leiden tot advisering die theoretisch correct is maar praktisch lastig implementeerbaar. Het duurt tijd voordat een externe FG volledig wegwijs is in uw organisatie.
Continuïteit en beschikbaarheid:
Externe FG's werken vaak voor meerdere klanten. Dit kan betekenen dat ze niet altijd direct beschikbaar zijn wanneer u hen nodig heeft. Bij acute privacy-incidenten of urgente vragen kan dit problematisch zijn.
Kennisretentie:
Wanneer een externe FG stopt met de dienstverlening, verdwijnt ook de opgebouwde kennis uit uw organisatie. Dit kan problematisch zijn als er geen goede kennisoverdracht heeft plaatsgevonden of als belangrijke informatie niet is gedocumenteerd.
Communicatie en cultuur:
Privacy-compliance vraagt om inbedding in de organisatiecultuur. Een externe FG heeft minder mogelijkheden om cultuurverandering te bewerkstelligen en kan minder effectief zijn in het creëren van privacy-bewustzijn onder medewerkers. Voor meer informatie over de rol van een FG binnen de organisatie, lees ons artikel over FG taken en verantwoordelijkheden.