Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 april 2026 schedule 5 min leestijd

DPO: Wat is een Functionaris Gegevensbescherming en Heb je er Een Nodig?

Een DPO (Data Protection Officer) is een verplichte rol onder de GDPR, maar niet voor iedereen. Dit artikel legt uit wanneer je wel en niet een functionaris gegevensbescherming nodig hebt, en wat je als KMO in de praktijk moet regelen.

summarize Kernpunten
  • check_circle De meeste KMO's hebben geen DPO nodig, maar je moet wel iemand aanwijzen die verantwoordelijk is voor GDPR
  • check_circle Een DPO is verplicht als je op grote schaal bijzondere gegevens verwerkt of systematisch personen monitort
  • check_circle Een DPO kan intern of extern zijn, maar moet onafhankelijk kunnen werken
  • check_circle Geen DPO nodig? Zorg dan minimaal voor een GDPR-aanspreekpunt binnen je organisatie

Wat is een DPO?

Een DPO (Data Protection Officer), in het Nederlands “functionaris gegevensbescherming” genoemd, is iemand die binnen een organisatie toeziet op de naleving van de GDPR (ook wel AVG genoemd). De DPO is het aanspreekpunt voor de toezichthouder en voor de personen wiens gegevens je verwerkt. Het is een formele rol die in de GDPR is vastgelegd in artikelen 37 tot 39.

Belangrijk: de DPO is geen verantwoordelijke voor GDPR-compliance. Die verantwoordelijkheid ligt bij de organisatie zelf. De DPO adviseert, controleert en signaleert, maar is niet persoonlijk aansprakelijk als er iets misgaat.

Wanneer is een DPO verplicht?

De GDPR schrijft een DPO voor in drie situaties:

1. Overheidsinstanties en publieke organisaties Elke overheidsinstantie die persoonsgegevens verwerkt, moet een DPO aanstellen. Geen uitzondering.

2. Grootschalige, systematische monitoring van personen Dit geldt als je kernactiviteit bestaat uit het op grote schaal en systematisch observeren van personen. Denk aan:

  • Cameratoezichtbedrijven die voor meerdere klanten bewaking uitvoeren
  • Bedrijven die op grote schaal online gedrag tracken voor advertentiedoeleinden
  • Beveiligingsbedrijven die systematisch personen monitoren

3. Grootschalige verwerking van bijzondere categorieen gegevens Bijzondere categorieen zijn onder meer: gezondheidsgegevens, biometrische gegevens, gegevens over ras of etniciteit, politieke opvattingen, religieuze overtuigingen en strafrechtelijke gegevens. Voorbeelden:

  • Ziekenhuizen en zorginstellingen
  • Laboratoria die genetische tests uitvoeren
  • Verzekeraars die op grote schaal gezondheidsgegevens verwerken

Wanneer heb je GEEN DPO nodig?

De meeste KMO’s vallen buiten de drie bovenstaande categorieen. Een paar voorbeelden:

  • Een bouwbedrijf met 25 werknemers verwerkt personeelsgegevens en klantgegevens, maar dat is niet de kernactiviteit en het is niet op grote schaal. Geen DPO nodig.
  • Een webshop met 10.000 klanten verwerkt naam, adres en bestelgeschiedenis. Dat zijn gewone persoonsgegevens, geen bijzondere categorieen, en de kernactiviteit is verkoop, niet gegevensverwerking. Geen DPO nodig.
  • Een accountantskantoor met 5 medewerkers verwerkt financiele gegevens van klanten. Hoewel dit gevoelig is, is het geen “bijzondere categorie” in de zin van de GDPR. Geen DPO nodig.
  • Een klein marketingbureau dat campagnes beheert voor klanten. Tenzij je op grote schaal profileert, geen DPO nodig.

De sleutelwoorden zijn “kernactiviteit” en “grote schaal”. Als je persoonsgegevens verwerkt als ondersteuning van je eigenlijke bedrijfsactiviteit (en dat doen bijna alle bedrijven), is dat niet je kernactiviteit.

Wat doet een DPO precies?

Als je wel een DPO nodig hebt (of er vrijwillig een aanstelt), zijn dit de taken:

  • Informeren en adviseren over GDPR-verplichtingen aan de organisatie en medewerkers
  • Toezien op naleving van de GDPR, inclusief toewijzing van verantwoordelijkheden, bewustmaking en opleiding
  • Advies geven over DPIA’s (gegevensbeschermingseffectbeoordelingen)
  • Contactpunt zijn voor de toezichthouder (GBA in Belgie, AP in Nederland)
  • Contactpunt zijn voor betrokkenen die vragen of klachten hebben over hun gegevens

Een DPO kan intern (een medewerker) of extern (een ingehuurde specialist) zijn. In beide gevallen geldt:

  • De DPO moet onafhankelijk kunnen werken en mag geen instructies ontvangen over hoe hij zijn taak uitoefent
  • De DPO mag geen belangenconflict hebben; de CEO, HR-manager of IT-manager kan dus niet tegelijk DPO zijn
  • De DPO moet voldoende middelen en toegang krijgen om zijn werk te doen

Geen DPO nodig? Dit moet je WEL regelen

Dat je geen formele DPO hoeft aan te stellen, betekent niet dat je niets hoeft te doen. Je moet als organisatie:

  1. Een GDPR-aanspreekpunt aanwijzen - iemand intern die weet hoe de GDPR-documentatie is geregeld en die verzoeken van betrokkenen kan afhandelen
  2. Je verwerkingsregister bijhouden - dit is verplicht voor vrijwel elke organisatie
  3. Een privacyverklaring publiceren - zodat klanten en medewerkers weten hoe je hun gegevens verwerkt
  4. Een datalekprocedure hebben - zodat je binnen 72 uur kunt reageren
  5. Verwerkersovereenkomsten afsluiten - met elke partij die namens jou gegevens verwerkt

Het verschil is dat je geen formeel benoemde, onafhankelijke functionaris nodig hebt. Maar iemand moet het wel doen.

Praktisch: hoe regel je dit?

Als je WEL een DPO nodig hebt:

  • Intern: benoem een medewerker met kennis van privacyrecht. Zorg dat deze persoon voldoende tijd en budget krijgt
  • Extern: huur een DPO-as-a-service in. Kosten liggen tussen 500 en 2.000 euro per maand
  • Meld de DPO aan bij de toezichthouder (GBA of AP)

Als je GEEN DPO nodig hebt:

  • Wijs intern iemand aan als GDPR-contactpersoon
  • Zorg dat deze persoon basiskennis heeft van de GDPR
  • Documenteer wie het is en wat zijn of haar verantwoordelijkheden zijn
  • Gebruik een tool zoals GDPRWise om het verwerkingsregister en de documentatie bij te houden
auto_awesome Je GDPR-dossier automatiseren?

GDPRWise helpt je om je verwerkingsregister, privacyverklaring en GDPR-documentatie op te stellen en bij te houden, zonder dat je een DPO nodig hebt.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.