Wat is een Data Protection Officer (DPO / Functionaris Gegevensbescherming)?

De Data Protection Officer (Nederlands: Functionaris voor Gegevensbescherming, FG) is de AVG-toezichthouder binnen een organisatie — een onafhankelijke schakel tussen het management, het personeel, de betrokkenen en de Autoriteit Persoonsgegevens. Verplicht in 3 gevallen (AVG Art. 37): (1) overheidsinstanties + publieke organisaties (m.u.v. rechtbanken), (2) organisaties die grootschalig + structureel betrokkenen monitoren (denk: webshop met miljoenen klanten, telecom, social media), (3) organisaties die op grote schaal bijzondere persoonsgegevens of strafrechtelijke data verwerken (ziekenhuizen, GGZ, scholen, gevangeniswezen). Taken (Art. 39): informeren + adviseren over AVG-verplichtingen, controleren naleving, advies over DPIAs, contact met AP, contact met betrokkenen die rechten willen uitoefenen. Onafhankelijkheid is verplicht (Art. 38) — DPO mag geen instructies krijgen over de uitvoering van zijn taken, mag niet ontslagen worden vanwege zijn DPO-werk, en moet vrije toegang tot directie hebben. Wie kan DPO zijn? Iemand met "deskundige kennis van privacy-recht en -praktijk". Mag intern of extern zijn. Kleine organisaties kiezen vaak een externe DPO-as-a-service (typisch €500-€2.500/maand). Mag een andere functie hebben mits geen belangenconflict — bv. niet de marketing-directeur, wel HR met privacy-portefeuille. Contact DPO als consument: elke DPO-pichende organisatie moet contactgegevens publiceren — meestal in het privacy-statement (vaak email: dpo@bedrijf.nl of privacy@bedrijf.nl). Aan hem stuur je je inzage-, verwijder- of klacht-verzoeken. Boete bij geen DPO terwijl verplicht: Art. 83 lid 4, tot €10m / 2% omzet.