De Functionaris Gegevensbescherming (FG, in het Engels DPO) is voor veel zorginstellingen en ICT-bedrijven wettelijk verplicht. Een externe FG geeft je toegang tot expertise op niveau zonder een fulltime aanstelling en de onafhankelijkheid die de AVG nadrukkelijk vraagt.
Voldoet jouw organisatie aan minimaal één van deze drie situaties, dan is een FG verplicht. Ook als je niet verplicht bent, raden we de aanstelling vaak aan. Een FG schept duidelijkheid binnen én buiten de organisatie.
Vrijwel altijd verplicht. Inclusief gemeenten, scholen, semi-publieke instellingen en zorgaanbieders die publiek gefinancierd worden.
Zorginstellingen, ziekenhuizen, GGZ-aanbieders, jeugdzorg en sommige onderzoeksorganisaties. Gezondheidsgegevens zijn altijd "bijzonder".
Bv. SaaS-platforms die gebruikersgedrag tracken, bewakingsdienstverleners, sommige adtech-bedrijven. Hangt af van schaal en frequentie.
Niet zeker? In de kennismaking doen we een korte intake en geven we eerlijk antwoord, ook als de conclusie is dat een FG (nog) niet verplicht is voor jouw organisatie.
Onze externe FG voldoet aan alle AVG-eisen: onafhankelijk, vakbekwaam, met directe toegang tot de hoogste leidinggevende. Wij zijn formeel aanspreekpunt voor de AP, voor betrokkenen, en intern voor je organisatie.
Wij monitoren de naleving van AVG, UAVG en sector-specifieke privacywetgeving binnen jouw organisatie. Periodieke audit-light, gap-analyses en concreet advies aan de directie.
Patiënten, klanten, medewerkers kunnen ons rechtstreeks benaderen voor vragen over hun gegevens: inzage, rectificatie, verwijdering. Wij behandelen verzoeken binnen de wettelijke termijnen.
Bij datalekken of bij vragen vanuit de AP zijn wij het eerste aanspreekpunt. Wij voeren de meldingen uit (binnen 72 uur) en zorgen voor consistente communicatie.
Bij nieuwe systemen, leveranciers of processen begeleiden we de Data Protection Impact Assessment. We reviewen verwerkers- en gegevensuitwisselingsovereenkomsten.
Jaarlijkse awareness-sessies voor sleutelfuncties, een FG-jaarverslag aan de directie, en bijdrage aan de directiebeoordeling van het managementsysteem.
In kleine organisaties soms, mits er geen belangenconflict ontstaat. De FG moet onafhankelijk advies kunnen geven, ook over beslissingen waaraan de CISO meewerkt. In de praktijk raden we scheiding aan vanaf ~50 medewerkers.
Sterk afhankelijk van omvang en complexiteit. Indicatie: 2–8 uur per maand bij een MKB-zorgorganisatie, oplopend bij grotere organisaties of veel betrokkenenverzoeken. Wij werken met een vast bedrag per maand met een limiet, daarna in overleg.
Ja. Verplichte FG-aanstellingen moeten aangemeld worden bij de Autoriteit Persoonsgegevens. Wij regelen die aanmelding bij contractstart.
Eerst beoordelen of melding aan AP/betrokkenen verplicht is. Bij verplichting: melding aan AP binnen 72 uur, communicatie naar betrokkenen voorbereiden, intern onderzoek begeleiden en het lek registreren in jullie register.
Uitstekend. AVG-naleving raakt direct aan ISO 27001 en NEN 7510. Een gecombineerd traject (implementatie ISMS + FG-aanstelling) zorgt dat alles in één coherent systeem zit. Onze sterkste configuratie.
Plan een kennismaking. We doen een korte FG-plicht-check en stellen een passend voorstel op.