Hoeveel kost een externe functionaris gegevensbescherming?

Voor een klein bedrijf (tot 35 medewerkers) circa 275 euro per maand bij drie dagen inzet per jaar. Voor 36-120 medewerkers circa 550 euro per maand. Grotere organisaties betalen 1.000 euro of meer per maand. Het uurtarief ligt rond de 140 euro exclusief btw. Dat is aanzienlijk goedkoper dan een interne FTE, en je krijgt gespecialiseerde kennis.

Mag de directeur ook FG zijn?

Nee, niet in de praktijk. De FG moet onafhankelijk opereren en mag geen instructies ontvangen over de uitoefening van taken. Een directeur die zichzelf controleert op privacy-naleving heeft een belangenconflict. De AP noemt dit de 'dubbele pet' en handhaaft hier actief op. De Belastingdienst kreeg een aparte boete van 450.000 euro omdat de FG niet tijdig was betrokken bij een DPIA.

Is een FG hetzelfde als een CISO?

Nee. Een FG (functionaris gegevensbescherming) richt zich op privacy en de bescherming van persoonsgegevens. Een CISO (Chief Information Security Officer) richt zich op informatiebeveiliging in brede zin. De rollen overlappen deels maar mogen niet door dezelfde persoon worden vervuld vanwege het belangenconflict: de FG controleert de beveiliging, de CISO is verantwoordelijk voor de beveiliging.

Moet je een functionaris gegevensbescherming aanstellen?

Q: Moet ik mijn FG registreren bij de AP?

Ja. Je bent verplicht om je FG aan te melden via het online formulier van de AP. De contactgegevens van de FG moeten ook op je website staan. Bij wijzigingen of beeindiging van de FG-rol moet je dat ook melden.

De Belastingdienst kreeg een boete van 450.000 euro, niet voor een datalek of een beveiligingsprobleem, maar omdat hun functionaris gegevensbescherming meer dan een jaar te laat was betrokken bij een verplichte DPIA. De AP beschouwt de onafhankelijke positie van de FG als een kernverplichting.

Maar de meeste MKB-bedrijven hebben helemaal geen FG nodig. De verplichting geldt in drie specifieke gevallen. Dit is hoe je bepaalt of jij er een van bent.

De drie verplichte gevallen

Artikel 37 van de AVG noemt drie situaties waarin een FG verplicht is:

1. Je bent een overheidsinstantie of publieke organisatie. Alle gemeenten, provincies, waterschappen, ministeries en ZBO's. Ongeacht welke gegevens je verwerkt. Het feit dat je een overheidstaak uitvoert, maakt de FG verplicht.

2. Je kernactiviteit bestaat uit grootschalige, regelmatige en stelselmatige monitoring van personen. Denk aan beveiligingsbedrijven met uitgebreid cameratoezicht als hoofdactiviteit, telecombedrijven die verkeersdata verwerken, of bedrijven die op grote schaal gedragsreclame verzorgen.

3. Je kernactiviteit bestaat uit grootschalige verwerking van bijzondere of strafrechtelijke persoonsgegevens. Ziekenhuizen die patiëntdossiers verwerken, GGZ-instellingen, arbodiensten die gezondheidsgegevens verwerken, of incassobureaus met strafrechtelijke gegevens.

Twee begrippen zijn bepalend: "kernactiviteit" en "grootschalig".

Wat telt als kernactiviteit?

De EDPB definieert kernactiviteit als de hoofdactiviteit van je organisatie, niet de ondersteunende functies. HR-administratie is voor de meeste bedrijven geen kernactiviteit maar een ondersteunend proces. Maar let op: activiteiten die "onlosmakelijk verbonden zijn" met de hoofdactiviteit tellen mee.

Een ziekenhuis heeft als kernactiviteit zorgverlening. Het verwerken van medische dossiers is onlosmakelijk daarmee verbonden. Dus: kernactiviteit. Een accountantskantoor heeft boekhouding als kernactiviteit, niet het verwerken van personeelsgegevens van klanten. Maar een uitzendbureau dat op grote schaal bijzondere gegevens van uitzendkrachten verwerkt? Dat kan wél onder de verplichting vallen.

Wat telt als grootschalig?

De EDPB noemt zes beoordelingscriteria: het aantal betrokkenen, de hoeveelheid data, de diversiteit aan gegevenstypes, de duur van de verwerking en het geografische bereik.

Voorbeelden die wél grootschalig zijn: alle patiëntgegevens van een ziekenhuis, alle reisgegevens van een ov-bedrijf, alle klantdata van een verzekeraar of bank.

Voorbeelden die niet grootschalig zijn: het patiëntenbestand van een individuele huisarts, de klantadministratie van een solo-advocaat, het klantenbestand van een kleine webshop.

Wie heeft GEEN FG nodig?

De meeste MKB-bedrijven. Specifiek:

Reguliere winkels, horeca, bouwbedrijven
Individuele huisartsen en tandartsen (niet grootschalig)
Solo-advocaten en kleine advocatenkantoren
Kleine accountantskantoren
Webshops (tenzij grootschalige profilering de kernactiviteit is)
Marketing- en reclamebureaus (tenzij profilering de kernactiviteit is)
Consultants, coaches, trainers
IT-bedrijven (tenzij dataverwerking de kernactiviteit is)

Er is geen numerieke drempel. Het gaat niet om het aantal medewerkers maar om de aard en schaal van je gegevensverwerking.

Wat doet een FG?

De taken staan in artikel 39 van de AVG:

Informeren en adviseren over AVG-verplichtingen
Toezicht houden op naleving binnen de organisatie (waaronder het verwerkingsregister)
Verplicht advies geven bij DPIA's
Contactpunt zijn voor de AP
Samenwerken met de toezichthouder

De FG heeft een bijzondere positie: onafhankelijk, rapporteert rechtstreeks aan de hoogste leiding, mag geen instructies ontvangen over de uitoefening van taken en mag niet worden ontslagen of bestraft voor het uitvoeren van die taken.

Die onafhankelijkheid is geen formaliteit. De AP handhaaft actief op wat ze de "dubbele pet" noemen: een FG die tegelijk CISO, juridisch adviseur of directielid is. Iemand die zichzelf moet controleren, kan niet onafhankelijk zijn. Sinds 2025 stuurt de AP schriftelijke vragen aan FG's over hun onafhankelijkheid en voert normoverdragende gesprekken met organisaties.

Intern of extern?

Artikel 37 lid 6 staat expliciet toe dat je de FG-rol extern uitbesteedt. Voor de meeste MKB-bedrijven die wél een FG nodig hebben, is dat de praktische keuze.

Kosten van een externe FG in Nederland:

Tot 35 medewerkers: circa 275 euro per maand (3 dagen inzet per jaar)
36-120 medewerkers: circa 550 euro per maand (6 dagen per jaar)
120+ medewerkers: circa 1.100 euro per maand (12-18 dagen per jaar)

Het uurtarief ligt rond de 140 euro exclusief btw. Vergeleken met een interne privacy-specialist (minimaal 60.000 euro per jaar) is dat voor MKB-bedrijven aanzienlijk goedkoper. Bijkomend voordeel: een externe FG werkt voor meerdere organisaties en brengt daardoor bredere ervaring mee.

Registratieplicht

Als je een FG aanstelt, ben je verplicht dit te melden bij de AP via hun online formulier. De contactgegevens van de FG moeten ook op je website staan. Bij wijzigingen of beëindiging van de FG-rol moet je dat eveneens melden. De AP houdt een openbaar register bij.

De beslisboom

Ben je een overheidsinstantie? Ja → FG verplicht.
Is je kernactiviteit het op grote schaal monitoren van personen? Ja → FG verplicht.
Is je kernactiviteit het op grote schaal verwerken van bijzondere of strafrechtelijke gegevens? Ja → FG verplicht.
Drie keer nee? Geen FG verplicht. Je mag er vrijwillig een aanstellen.

Twijfel je? De AP raadt aan om bij twijfel de afweging te documenteren. Leg vast waarom je tot de conclusie komt dat een FG niet verplicht is. Als de AP later vragen stelt, heb je je overwegingen op papier.

Wil je snel inzicht in je AVG-verplichtingen? Doe de Privacy Scan en ontdek binnen 2 minuten waar je organisatie staat.

En als je geen FG nodig hebt maar wel behoefte hebt aan privacy-expertise: overweeg een privacyadviseur of consultant. Die heeft niet de formele AVG-status van een FG maar kan dezelfde praktische ondersteuning bieden.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.