Wat zegt de AVG over de FG-verplichting?
Artikel 37 van de AVG bepaalt in welke gevallen een organisatie verplicht is om een Functionaris Gegevensbescherming aan te stellen. Naleving van de AVG vereist dat organisaties zorgvuldig beoordelen of zij een FG dienen aan te wijzen. De verplichting om een functionaris gegevensbescherming aan te stellen geldt zowel voor verwerkingsverantwoordelijken als voor verwerkers. De wetgever heeft drie specifieke situaties gedefinieerd waarin het aanstellen van een functionaris gegevensbescherming verplicht is.
De drie situaties waarin een FG verplicht is volgens de AVG:
- Overheidsinstanties en publieke organisaties: Alle overheidsorganen en publiekrechtelijke instanties die persoonsgegevens verwerken, zijn verplicht een FG aan te stellen. Dit geldt ongeacht de omvang of het type gegevensverwerking.
- Grootschalige, regelmatige en stelselmatige observatie: Organisaties waarvan de kernactiviteit bestaat uit het op grote schaal, regelmatig en stelselmatig observeren van betrokkenen. Denk hierbij aan cameratoezicht, locatietracking of online gedragsmonitoring.
- Grootschalige verwerking van bijzondere gegevens: Organisaties waarvan de kernactiviteit op grote schaal bestaat uit de verwerking van bijzondere categorieeen persoonsgegevens, zoals gezondheidsgegevens, biometrische gegevens, gegevens over politieke opvattingen of strafrechtelijke gegevens. Bescherming van persoonsgegevens staat hierbij centraal.
Welke organisaties moeten een FG aanstellen?
Op basis van de AVG-criteria kunnen we concrete voorbeelden geven van organisaties waarvoor de FG-verplichting geldt. De Autoriteit Persoonsgegevens (AP) heeft in haar richtlijnen verduidelijkt welke sectoren en organisatietypen hieronder vallen.
| Sector | FG verplicht? | Toelichting |
|---|---|---|
| Gemeenten en provincies | Ja, altijd | Overheidsinstantie |
| Ziekenhuizen en zorginstellingen | Ja, altijd | Grootschalige verwerking gezondheidsgegevens |
| Zorgverzekeraars | Ja, altijd | Grootschalige verwerking bijzondere gegevens |
| Onderwijsinstellingen (publiek) | Ja | Publiekrechtelijke instantie |
| Beveiligingsbedrijven met cameratoezicht | Ja | Stelselmatige observatie op grote schaal |
| Marketingbureaus met profiling | Waarschijnlijk ja | Afhankelijk van schaal en systematiek |
| MKB zonder bijzondere gegevens | Meestal niet | Tenzij kernactiviteit monitoring betreft |
| ZZP'ers en kleine ondernemers | Meestal niet | Verwerking is doorgaans niet grootschalig |
De FG dient onafhankelijk te kunnen opereren en mag niet worden benadeeld vanwege de uitoefening van zijn taken. Organisaties die twijfelen of zij op het gebied van gegevensbescherming een FG aan te stellen hebben, doen er goed aan dit proactief te laten beoordelen. Het begrip "grote schaal" is niet exact gedefinieerd in de AVG. De European Data Protection Board (EDPB) heeft wel handvatten gegeven. Hierbij spelen factoren een rol zoals het aantal betrokkenen, de hoeveelheid gegevens, de geografische reikwijdte en de duur van de verwerking. Een huisarts verwerkt bijvoorbeeld wel gezondheidsgegevens, maar niet op grote schaal, waardoor de FG-verplichting hier doorgaans niet geldt.
Gevolgen van het niet aanstellen van een FG
Wanneer uw organisatie verplicht is een FG aan te stellen maar dit nalaat, riskeert u aanzienlijke sancties. De Autoriteit Persoonsgegevens heeft de bevoegdheid om handhavend op te treden en boetes op te leggen.
Mogelijke consequenties:
- Administratieve boetes: De AP kan boetes opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is
- Last onder dwangsom: De AP kan een last onder dwangsom opleggen om u te dwingen alsnog een FG aan te stellen
- Verhoogd toezicht: Organisaties zonder verplichte FG komen sneller in het vizier van de toezichthouder voor aanvullende controles
- Reputatieschade: Handhavingsbesluiten worden openbaar gepubliceerd, wat kan leiden tot reputatieschade bij klanten en partners
- Civielrechtelijke aansprakelijkheid: Betrokkenen kunnen schadeclaims indienen wanneer zij schade lijden door het ontbreken van adequate privacybescherming
De AP voert actief controles uit op de naleving van de FG-verplichting. In 2025 zijn meerdere organisaties aangeschreven omdat zij geen FG hadden aangesteld terwijl dit wel verplicht was. Het is daarom raadzaam om proactief te beoordelen of uw organisatie onder de verplichting valt.
Interne FG versus externe FG
Moet uw organisatie een FG aanstellen? Dan kiest u tussen een interne of externe Functionaris Gegevensbescherming. Beide opties zijn toegestaan onder de AVG, mits aan de gestelde voorwaarden wordt voldaan.
Interne FG:
- Medewerker in dienst van de organisatie met FG als (deel van) functie
- Diepgaande kennis van de organisatie en interne processen
- Directe beschikbaarheid en korte lijnen met het management
- Wettelijke ontslagbescherming: een FG mag niet worden ontslagen vanwege de uitoefening van zijn taken
- Mag geen functies vervullen die tot belangenconflicten leiden (bijvoorbeeld IT-directeur of HR-manager)
Externe FG:
- Ingehuurd via een dienstverleningsovereenkomst, ook wel FG as a Service genoemd
- Brede ervaring bij verschillende organisaties en sectoren
- Objectieve en onafhankelijke positie zonder interne belangen
- Kosteneffectief voor organisaties die geen fulltime FG nodig hebben
- Moet wel voldoende beschikbaar zijn en rechtstreeks kunnen rapporteren aan het hoogste management
De keuze tussen intern en extern hangt af van factoren zoals de omvang van uw organisatie, de complexiteit van de gegevensverwerking en het beschikbare budget. Voor meer inzicht in de rol van de DPO in 2026 en de ontwikkeling van deze functie, verwijzen wij u naar ons uitgebreide artikel hierover.
Hoe bepaalt u of uw organisatie een FG nodig heeft?
Om te beoordelen of uw organisatie verplicht is een FG aan te stellen, kunt u de volgende stappen doorlopen:
- Inventariseer uw verwerkingsactiviteiten: Breng in kaart welke persoonsgegevens u verwerkt, in welke omvang en met welk doel
- Beoordeel of u een overheidsinstantie bent: Zo ja, dan is de FG-verplichting automatisch van toepassing
- Analyseer of uw kernactiviteit monitoring betreft: Observeert u op grote schaal, regelmatig en stelselmatig het gedrag van individuen?
- Controleer op bijzondere categorieeen gegevens: Verwerkt u op grote schaal gegevens over gezondheid, etniciteit, religie, seksuele geaardheid of strafrechtelijke veroordelingen?
- Raadpleeg de richtlijnen van de AP: De Autoriteit Persoonsgegevens biedt aanvullende guidance over de interpretatie van de criteria
- Documenteer uw beoordeling: Leg vast waarom u wel of geen FG aanstelt, zodat u dit kunt verantwoorden bij een controle
Zelfs wanneer de FG-verplichting niet geldt voor uw organisatie, kan het vrijwillig aanstellen van een FG of privacy officer waardevol zijn. Een privacy-professional helpt u om compliant te blijven en privacy-risico's proactief te beheersen. Bekijk onze actuele FG-vacatures voor meer informatie over beschikbare posities.
Op zoek naar een Functionaris Gegevensbescherming?
Bekijk onze actuele FG-vacatures of lees meer over de functie in ons uitgebreide overzichtsartikel over de Functionaris Gegevensbescherming vacature.
Bekijk FG Vacatures