Laatste update: 24/01/2024

Wat zijn de taken van de functionaris voor gegevensbescherming?

De functionaris voor gegevensbescherming (DPO) is onder meer belast met het toezicht op de naleving van de AVG binnen zijn organisatie. Verder is de DPO een adviseur inzake gegevensbescherming voor zijn organisatie. Ten slotte is de DPO een contactpunt voor de Gegevensbeschermingsautoriteit en voor de betrokkenen.


De DPO moet op basis van artikel 38, lid 1, van de AVG door zijn organisatie naar behoren en tijdig worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. Het volstaat niet de DPO er enkel bij te betrekken wanneer de Gegevensbeschermingsautoriteit contact opneemt. Een DPO die door zijn organisatie niet of pas laat is betrokken bij kwesties in verband met gegevensbescherming kan zijn taken niet correct uitvoeren. Een DPO moet bijvoorbeeld actief worden betrokken bij:

  • een beslissing of een bestaande verwerking moet worden gecreëerd of aangepast;
  • een analyse om te beoordelen of een gegevensbeschermingseffectbeoordeling (DPIA) moet worden uitgevoerd en bij de uitvoering ervan;
  • het opstellen van een register van de verwerkingsactiviteiten;
  • het opstellen van een intern beleid inzake gegevensbescherming;
  • het analyseren van een inbreuk in verband met persoonsgegevens en het opvolgen daarvan;
  • communicatie- en bewustmakingscampagnes over onderwerpen in verband met de bescherming van persoonsgegevens;
  • gesprekken en bijeenkomsten gericht op het informeren van betrokkenen en/of personeel over de toepassing van de AVG door de organisatie.

Dit werd door de Geschillenkamer van de GBA verduidelijkt in beslissing ten gronde nr. 162/2022 van 16 november 2022 inzake het delen van logiesgegevens via het platform Airbnb, en in beslissing ten gronde nr. 45/2022 van 30 maart 2022 inzake de vervaltermijnen van de SIDIS SUITE databank.

De Gegevensbeschermingsautoriteit stelt via haar website documenten ter beschikking die de DPO kan gebruiken voor het uitoefenen van zijn taken, zoals een model voor het register van de verwerkingsactiviteiten en een tabel met een overzicht van de rechtspraak over de functionaris voor gegevensbescherming.

Toezicht op de naleving van de AVG

Artikel 39, lid 1, punt b), van de AVG belast de functionaris voor gegevensbescherming onder meer met de taak om toe te zien op de naleving van de AVG. De DPO zal de verwerkingsverantwoordelijke of de verwerker helpen om na te gaan of de AVG intern wordt nageleefd. In het kader van dit toezicht op de naleving van de AVG kunnen DPO’s onder andere:

  • informatie verzamelen om de verwerkingsactiviteiten te identificeren;
  • de conformiteit van de verwerkingsactiviteiten van de organisatie analyseren en controleren;
  • aan de verwerkingsverantwoordelijke of de verwerker informatie en advies verstrekken en aanbevelingen doen.

Een rol voor de functionaris bij de gegevensbeschermingseffectbeoordelingen

Volgens artikel 35, lid 1, van de AVG is het de verantwoordelijkheid van de verwerkingsverantwoordelijke en niet van de functionaris voor gegevensbescherming om, indien nodig, een gegevensbeschermingseffectbeoordeling uit te voeren. De DPO kan echter een belangrijke en zeer nuttige rol spelen bij het ondersteunen van de verwerkingsverantwoordelijke. Zo geeft artikel 39, lid 1, punt c), van de AVG aan de DPO de taak om advies te verstrekken over de gegevensbeschermingseffectbeoordeling en toe te zien op de uitvoering daarvan overeenkomstig artikel 35 van de AVG.

Samenwerken met de GBA en optreden als contactpunt voor de uitoefening van de rechten van de betrokkenen

Overeenkomstig artikel 39, lid 1, punten d) en e), van de AVG moet de functionaris voor gegevensbescherming met de toezichthoudende autoriteit samenwerken en optreden als contactpunt voor de autoriteit inzake met verwerking verband houdende aangelegenheden. Deze taken houden verband met de rol van de DPO als 'facilitator'. De DPO treedt op als contactpunt om voor de toezichthoudende autoriteit de toegang te vergemakkelijken tot de documenten en informatie die zij nodig heeft voor de uitvoering van haar taken en bevoegdheden, zoals haar onderzoeksbevoegdheden of haar bevoegdheden om met name corrigerende maatregelen te nemen.

De DPO is ook het contactpunt voor personen die hun rechten wensen uit te oefenen bij de verwerkingsverantwoordelijke. Vaak wordt hiervoor een speciaal contactadres gecreëerd dat enkel toegankelijk is voor de DPO en zijn team.

Een rol voor de functionaris bij het bijhouden van het register van de verwerkingsactiviteiten

Overeenkomstig artikel 30, leden 1 en 2, van de AVG is het de verwerkingsverantwoordelijke of de verwerker, en niet de functionaris voor gegevensbescherming, die het register van de verwerkingsactiviteiten moet bijhouden. In de praktijk stellen DPO’s vaak inventarissen op en houden ze een register bij van de verwerkingen op basis van de informatie die hen wordt verstrekt door de verschillende afdelingen in hun organisatie, die verantwoordelijk is voor de verwerking van persoonsgegevens. Aangezien in artikel 39, lid 1, van de AVG een lijst van taken is vastgesteld die ten minste aan de DPO moeten worden toevertrouwd, belet niets de verwerkingsverantwoordelijke of de verwerker om de functionaris te belasten met het bijhouden van het register van de verwerkingsactiviteiten. Dit register moet worden beschouwd als één van de instrumenten waarmee de DPO zijn taken kan uitvoeren, namelijk toezien op de naleving van de AVG en informatie en advies verstrekken aan de verwerkingsverantwoordelijke of de verwerker.