Een Data Protection Officer (DPO) aanstellen is voor veel Belgische organisaties verplicht – maar een fulltime DPO inhuren kost €50.000-70.000 per jaar. Voor de meeste KMO’s is dat onhaalbaar. De oplossing? Een externe DPO.
Als ondernemer worstel je misschien met vragen als: “Moet ik écht een DPO aanstellen?” of “Wat kost een externe DPO realistisch?” In deze gids beantwoord ik die vragen, leg ik uit wat een DPO precies doet, en help ik je beslissen of een externe DPO iets voor jouw organisatie is.
Je leert in dit artikel:
- Wat een DPO is en wanneer deze verplicht is (België-specifieke regels)
- Het verschil tussen interne en externe DPO’s
- Realistische kosten voor externe DPO-diensten in België
- Hoe je de juiste externe DPO kiest
- Het complete aanstelproces, stap voor stap
Leestijd: 15 minuten. Na het lezen weet je precies of en welke DPO-oplossing past bij jouw bedrijf.
Wat Is Een Data Protection Officer (DPO)?
De officiële definitie
Een Data Protection Officer (DPO) – in het Nederlands Functionaris voor Gegevensbescherming (FG) genoemd – is de persoon binnen (of buiten) je organisatie die verantwoordelijk is voor het toezicht op de naleving van de GDPR (Algemene Verordening Gegevensbescherming).
De DPO-functie is vastgelegd in Artikel 37-39 van de GDPR en is bedoeld als:
- Aanspreekpunt voor betrokkenen (klanten, werknemers) over privacy-vragen
- Contactpersoon voor de toezichthouder (in België: de Gegevensbeschermingsautoriteit, GBA)
- Interne adviseur en compliance-bewaker
Belangrijk om te begrijpen: de DPO is niet de eindverantwoordelijke voor GDPR-compliance – dat blijft de directie/zaakvoerder. De DPO adviseert, controleert en faciliteert, maar neemt geen managementbeslissingen.
Verschil met andere functies
DPO vs Privacy Officer Officieel is er geen verschil – “Privacy Officer” is geen juridische GDPR-term. Sommige bedrijven gebruiken “Privacy Officer” voor iemand die met privacy bezig is, maar niet de formele DPO-functie heeft.
DPO vs Information Security Officer (CISO)
- CISO = focust op technische beveiliging (cybersecurity, firewalls, access control)
- DPO = focust op privacy-compliance (wettelijke rechten, juridische grondslagen, transparantie)
Er is overlap (beveiliging is onderdeel van privacy), maar de focus is anders. Grote bedrijven hebben vaak beide rollen.
DPO vs Legal/Compliance Officer Een DPO hoeft geen jurist te zijn, maar moet wel gegevensbeschermingskennis hebben. Omgekeerd: een jurist zonder GDPR-expertise kan geen goede DPO zijn.
Wanneer Moet Je Een DPO Aanstellen? (België Specifiek)
De GDPR definieert drie situaties waarin een DPO verplicht is. Daarnaast zijn er praktische redenen om een DPO aan te stellen, ook als het niet strikt verplicht is.
De 3 wettelijk verplichte situaties
Situatie 1: Je bent een overheidsinstelling
Wanneer:
- Alle overheidsinstellingen en -organisaties
- Ongeacht de omvang of aard van de verwerking
Voorbeelden:
- Gemeenten en provincies
- Federale overheidsdiensten
- Scholen en universiteiten (publieke onderwijsinstellingen)
- Ziekenhuizen (publieke)
- Politiezones
Uitzonderingen:
- Rechtbanken en gerechtelijke instanties (alleen bij niet-gerechtelijke taken)
Voor wie is dit relevant? Als KMO-ondernemer: niet. Dit geldt alleen voor publieke sector.
Situatie 2: Grootschalige systematische monitoring
Wanneer: Je organisatie voert grootschalig en systematisch toezicht uit op personen.
Voorbeelden:
- Online behavioral advertising op grote schaal
- Telecom operators die locatie- en verkeersgegevens tracken
- Private beveiligingsbedrijven met uitgebreide camerabewaking en gezichtsherkenning
- Marketing bureaus die grootschalig consumentenprofielen opstellen
- Kredietbeoordelaars die scoring op grote schaal doen
Wat betekent “grootschalig”? De GDPR geeft geen exact getal. De Europese toezichthouders (Article 29 Working Party, nu EDPB) geven deze factoren:
- Aantal betrokkenen: Absoluut (bijv. > 5.000) of als percentage van populatie
- Volume van data: Hoeveel gegevens per persoon?
- Duur: Eenmalig vs continu
- Geografische reikwijdte: Lokaal, nationaal, internationaal?
Praktisch: Als je dagelijks tracking doet van duizenden mensen met gedetailleerde profiles = grootschalig.
Wat betekent “systematisch”?
- Volgens een vooraf bepaald systeem
- Georganiseerd
- Methodisch
- Als onderdeel van een gegevensverzamelplan
Voorbeelden die NIET als grootschalige systematische monitoring tellen:
- Website analytics met Google Analytics voor kleine website (< 1.000 bezoekers/dag)
- E-mailmarketing voor 500 klanten
- Camera’s bij de ingang van je winkel (beperkt doel: beveiliging)
- CRM met 200 B2B contacten
Voor wie is dit relevant? Marketing bureaus, ad-tech bedrijven, grote e-commerce spelers, telecom, security bedrijven. Meeste KMO’s vallen hier niet onder.
Situatie 3: Grootschalige verwerking bijzondere persoonsgegevens
Wanneer: Je verwerkt op grote schaal bijzondere categorieën van persoonsgegevens (zoals bedoeld in GDPR Artikel 9) of gegevens over strafrechtelijke veroordelingen.
Bijzondere categorieën persoonsgegevens:
- Raciale of etnische afkomst
- Politieke opvattingen
- Religieuze of levensbeschouwelijke overtuigingen
- Lidmaatschap vakbond
- Genetische gegevens
- Biometrische gegevens (voor unieke identificatie)
- Gezondheidsgegevens
- Seksueel gedrag of gerichtheid
Voorbeelden verplichte DPO:
- Ziekenhuizen en klinieken (gezondheidsgegevens, grootschalig)
- Apotheken (medische gegevens)
- Zorgverzekeraars
- Genetische testbedrijven (23andMe-achtige services)
- Politieke partijen (grootschalig verwerken politieke opvattingen)
- Grote HR-bureaus die medische keuringen uitvoeren
Let op “grootschalig”: Een fysiotherapeut met 50 patiënten verwerkt wel gezondheidsgegeven, maar niet grootschalig→ geen DPO-verplichting.
Een zorgcentrum met 500 bewoners die dagelijks medische gegevens registreert = wel grootschalig → DPO verplicht.
Grijs gebied: scholen Scholen verwerken gegevens van minderjarigen (bijzondere bescherming) maar doorgaans geen bijzondere categorieën. Toch verplicht als publieke school (situatie 1). Private scholen: geen harde DPO-plicht, maar vaak wel verstandig.
Belgische specifieke interpretatie
De Belgische Gegevensbeschermingsautoriteit (GBA) heeft geen afwijkende interpretatie van de EU-regels. Maar enkele praktische verduidelijkingen:
Politieke organisaties: In België verwerken politieke partijen grootschalig politieke opvattingen van leden en sympathisanten → DPO is verplicht. Dit geldt ook voor kleinere lokale afdelingen die onderdeel zijn van de grotere partijstructuur.
Scholen:
- Publieke scholen: Verplicht (overheidsinstelling)
- Private scholen: Meestal niet verplicht, maar GBA raadt het sterk aan
Zorgcentra en rust- en verzorgingstehuizen: Verplicht, ongeacht de grootte. Ook kleinere faciliteiten (50+ bewoners) moeten een DPO aanstellen volgens GBA-praktijk.
Arbeidsgeneeskundige diensten: Verplicht, omdat ze grootschalig gezondheidsgegevens verwerken.
Wanneer is het verstandig (ook al niet verplicht)?
Er zijn situaties waarin een DPO geen wettelijke verplichting is, maar wel strategisch verstandig:
1. Je bedrijf groeit snel (> 50 werknemers) Vanaf ~50 werknemers begint GDPR-compliance ingewikkeld te worden. Meerdere systemen, meer data, meer risico’s. Een DPO brengt structuur.
2. Je verwerkt gevoelige data (ook op beperkte schaal) Bijv. een kleine HR-consultancy die psychologische assessments doet, of een advocatenkantoor met vertrouwelijke klantdossiers. Ook al is het niet “grootschalig”, een DPO voorkomt fouten.
3. Je wilt een USP in je sector “Wij hebben een gecertificeerde DPO” = vertrouwen. In sectoren waar privacy belangrijk is (juridisch, financieel, healthcare) kan dit een concurrentievoordeel zijn.
4. Je werkt internationaal Als je klanten in verschillende EU-landen hebt, of als je gegevens internationaal deelt, helpt een DPO met de complexiteit van verschillende interpretaties en cross-border issues.
5. Risico-management De GBA voert steeds meer controles uit. Een DPO verkleint de kans op boetes (die kunnen oplopen tot €20 miljoen of 4% van je wereldwijde omzet).
6. Je hebt simpelweg geen expertise in-house GDPR is ingewikkeld. Als niemand in je team dit begrijpt, voorkom je veel problemen met een externe DPO die je begeleidt.
Intern vs Extern: Wat Past Bij Jouw Bedrijf?
Je hebt twee opties: een DPO in dienst nemen (intern) of een externe DPO inhuren. Beide hebben voor- en nadelen.
Voordelen interne DPO
✅ Kent de organisatie door en door Een interne medewerker weet hoe processen lopen, kent de cultuur, en heeft sneller impact.
✅ Altijd beschikbaar Fysiek aanwezig, makkelijk aan te spreken, kan ad-hoc vergaderingen bijwonen.
✅ Kan meerdere rollen combineren In een KMO kan de DPO-functie vaak gecombineerd worden met HR, Legal of Compliance (mits geen belangenconflict).
✅ Betrokkenheid bij strategische beslissingen Als onderdeel van het management team kan een interne DPO eerder meesturen.
Nadelen interne DPO
❌ Hoge kosten Een gekwalificeerde DPO kost €50.000-70.000 per jaar (bruto salaris). Voor de meeste KMO’s is dat te duur voor een deeltijdse of secundaire functie.
❌ Beperkte expertise Tenzij je een privacy-expert aanneemt, heeft een interne medewerker vaak geen diepgaande GDPR-kennis. Training kost tijd en geld.
❌ Belangenconflict risico Een DPO moet onafhankelijk zijn. Als je je CFO ook DPO maakt, ontstaat conflict: de CFO wil kosten besparen, de DPO wil investeren in compliance.
❌ Continuïteit probleem Als je DPO ziek wordt, ontslag neemt, of op vakantie gaat – wat dan? Je compliance staat stil.
❌ Beperkte objectiviteit Een interne medewerker kan minder kritisch durven zijn (bangheid om collega’s tegen zich in het harnas te jagen).
Voordelen externe DPO
✅ Kostenefficiënt Voor KMO’s: €200-500 per maand is veel goedkoper dan een fulltime salaris. Voor grotere bedrijven: €1.000-2.000/maand is nog steeds een fractie van een interne DPO.
✅ Directe expertise Een externe DPO is een specialist. Je krijgt meteen toegang tot diepgaande kennis, zonder trainingsperiode.
✅ Objectiviteit en onafhankelijkheid Externe DPO’s zijn makkelijker kritisch omdat ze geen onderdeel zijn van interne politiek.
✅ Breed perspectief Externe DPO’s werken met meerdere klanten en zien best practices uit verschillende sectoren. Ze brengen die kennis mee.
✅ Schaalbaarheid Je kunt opschalen (meer uren) of afschalen (minder uren) naargelang je behoefte.
✅ Geen HR-gedoe Geen contract, geen vakantiedagen, geen ziektedagen, geen exit procedures. Flexibel in- en uitstappen.
Nadelen externe DPO
❌ Kent organisatie minder goed Vooral in het begin moet een externe DPO ingewerkt worden. Dat kost tijd (hoewel veel korter dan een nieuwe interne medewerker).
❌ Niet altijd fysiek aanwezig Werkt vaak remote. Voor sommige organisaties (vooral niet-digitale) kan dat een drempel zijn.
❌ Beperkte beschikbaarheid Een externe DPO werkt met meerdere klanten. Je hebt geen 40 uur/week toegang. Voor de meeste KMO’s is dit echter geen probleem – je hebt zelden fulltime DPO-capaciteit nodig.
❌ Minder betrokken bij dagelijkse gang van zaken Minder informeel contact. Je moet proactief communiceren in plaats van “even langslopen bij de DPO”.
Vergelijkingstabel: Intern vs Extern
| Criterium | Interne DPO | Externe DPO |
|---|---|---|
| Kosten per jaar | €50.000-70.000 | €2.400-6.000 (KMO) |
| Beschikbaarheid | Fulltime | Deeltijd (afgestemd op behoefte) |
| Expertise level | Afhankelijk van medewerker | Hoog (specialist) |
| Onboarding tijd | 3-6 maanden | 2-4 weken |
| Organisatiekennis | Zeer hoog | Gemiddeld (groeit over tijd) |
| Objectiviteit | Lager (interne druk) | Hoger (onafhankelijk) |
| Continuïteit | Risico bij ziekte/ontslag | Gegarandeerd (vervanging) |
| Schaalbaarheid | Moeilijk (fixed cost) | Makkelijk (variabele uren) |
| Best voor | Grote bedrijven (250+) | KMO’s en midsize (< 250) |
Hybride optie: Interne coördinator + Externe DPO
Een slimme tussenvorm:
- Externe DPO: Officieel aangesteld, verantwoordelijk, expert-adviseur
- Interne privacy coördinator: Dagelijkse aanspreekpunt, implementeert adviezen, houdt dataregister bij
Dit combineert het beste van beide werelden: expertise van extern, met praktische betrokkenheid van intern.
Kosten: Externe DPO €300-500/maand + 0,2-0,5 FTE interne tijd (bijv. HR-manager besteedt 10-20% van tijd aan privacy).
Taken en Verantwoordelijkheden van een DPO
Wat doet een DPO nu eigenlijk? GDPR Artikel 39 definieert de kerntaken. Laat me ze uitleggen in begrijpelijke taal.
Wettelijke taken (GDPR Artikel 39)
Taak 1: Informeren en adviseren
De DPO moet:
- De organisatie (management, medewerkers) informeren over GDPR-verplichtingen
- Advies geven over privacy-impact assessments (DPIA’s)
- Adviseren bij nieuwe projecten of systemen (“Is dit GDPR-proof?”)
Praktisch voorbeeld: Je wilt een nieuwe CRM implementeren. De DPO beoordeelt: “Dit systeem bewaart data in de VS – we moeten Standard Contractual Clauses afsluiten en een DPIA doen.”
Taak 2: Toezicht houden op naleving
De DPO controleert of de organisatie GDPR-compliant is:
- Audits en compliance checks
- Bewaken dat beleidslijnen worden gevolgd
- Testen of procedures werken (bijv. privacy rechten verzoeken correct afhandelen)
Praktisch voorbeeld: De DPO doet een kwartaalcheck: klopt het dataregister nog? Worden nieuwe medewerkers getraind? Zijn verwerkersovereenkomsten up-to-date?
Taak 3: Contactpunt voor toezichthouder (GBA)
De DPO is het officiële aanspreekpunt voor de Gegevensbeschermingsautoriteit:
- Bij vragen van de GBA
- Bij controles of inspecties
- Bij meldingen van datalekken
Praktisch voorbeeld: De GBA stuurt een informatievraag over jullie verwerking van klantgegevens. De DPO coördineert de response en communiceert met de GBA.
Taak 4: Aanspreekpunt voor betrokkenen
Klanten, werknemers, of andere betrokkenen kunnen bij de DPO terecht met:
- Vragen over privacy
- Verzoeken (inzage, verwijdering, rectificatie)
- Klachten over gegevensverwerking
Praktisch voorbeeld: Een ex-werknemer wil weten welke gegevens jullie nog van hem bewaren. De DPO coördineert de response (binnen 30 dagen).
Wat een DPO NIET doet (belangrijke mythes)
Mythe 1: De DPO is eindverantwoordelijk voor compliance ❌ Fout. De directie/zaakvoerder blijft verantwoordelijk. De DPO adviseert, maar neemt geen beslissingen over budget, resources, of strategische keuzes.
Mythe 2: De DPO lost alle privacy-problemen op ❌ Fout. De DPO identificeert en adviseert. Implementatie is taak van de organisatie (IT, HR, marketing, etc.).
Mythe 3: De DPO mag andere functies combineren met belangenconflict ❌ Fout. De DPO mag NIET tegelijk zijn:
- CEO / Zaakvoerder (beslist over compliance budget)
- CFO (beslist over kosten)
- IT Manager (beslist over security investeringen)
- Marketing Manager (beslist over data-gebruik)
- HR Directeur (beslist over personeelsgegevens)
Wel oké:
- DPO + Legal Counsel (vaak zelfs logisch)
- DPO + Compliance Officer
- DPO + Quality Manager
Mythe 4: De DPO moet altijd jurist zijn ❌ Fout. De DPO moet gegevensbeschermingskennis hebben, maar hoeft geen juridische achtergrond te hebben. IT-achtergrond, HR-achtergrond, of consultancy-achtergrond kan ook, mits aangevuld met GDPR-opleiding.
Mythe 5: De DPO moet fulltime bezig zijn ❌ Fout. Voor veel KMO’s is een part-time DPO (extern of intern) voldoende. Het hangt af van de complexiteit en omvang van de verwerking.
Praktische dagelijkse activiteiten
Wat doet een DPO zoal in een typische maand?
Week 1-2:
- 1 uur compliance check: dataregister updaten
- 2 uur advisering: nieuwe marketing tool assessment
- 1 uur training: nieuwe medewerkers GDPR basics
- 30 minuten: privacy rechten verzoek afhandelen
Week 3:
- 3 uur: DPIA voor nieuw HR-systeem
- 1 uur: verwerkersovereenkomst reviewen met nieuwe leverancier
- 1 uur: management meeting (privacyrisico’s bespreken)
Week 4:
- 2 uur: incident response (datalek procedure getest)
- 1 uur: GBA communicatie (vraag beantwoorden)
- 1 uur: rapportage schrijven voor directie
Totaal: ~15-20 uur/maand voor gemiddelde KMO. Meer bij complexe organisaties, minder bij simpele.
Externe DPO België: Wat Kost Het Realistisch?
Nu de belangrijkste vraag: wat mag een externe DPO kosten? Ik geef je transparantie – iets wat veel consultants vermijden.
Prijsmodellen in de markt
Model 1: Per uur
- €100-150/uur (freelance GDPR-consultants)
- €150-200/uur (senior consultants, boutique firma’s)
- €200+/uur (Big 4, grote consultancy)
Voor/Nadelen:
- ✅ Flexibel, betaal alleen wat je gebruikt
- ❌ Onvoorspelbaar, rekening kan oplopen
- ❌ Geen structureel toezicht
Wanneer geschikt:
- Voor éénmalige projecten (DPIA, audit, implementatie)
- Niet ideaal voor DPO-functie (die moet structureel zijn)
Model 2: Maandelijks retainer (de standaard voor DPO)
- €200-400/maand voor kleine KMO (5-25 werknemers, beperkte verwerking)
- €400-700/maand voor middelgrote KMO (25-100 werknemers)
- €700-1.500/maand voor grotere KMO of complexe verwerking (100-250 werknemers)
- €1.500-3.000/maand voor midsize bedrijven (250-500 werknemers)
Wat zit er typisch in:
- X uur per maand beschikbaarheid (bijv. 5-10 uur)
- Jouw naam als externe DPO bij GBA
- Kwartaalrapportages
- Onbeperkt e-mail/telefoon advies
- Datalekken support
Voor/Nadelen:
- ✅ Voorspelbare kosten
- ✅ Structurele begeleiding
- ✅ Relatie opbouw
- ❌ Betaal ook in rustige maanden
Wanneer geschikt:
- Voor DPO-functie (dit is de norm)
- Langetermijn compliance partnership
Model 3: Jaarabonnement (met korting)
- Vaak 10-15% korting bij jaarcontract
- €2.400-4.800/jaar (kleine KMO)
- €4.800-8.400/jaar (middelgrote KMO)
- €8.400-18.000/jaar (grotere KMO)
Voor/Nadelen:
- ✅ Goedkoper dan maandelijks
- ✅ Commitment van beide kanten
- ❌ Minder flexibel
Gemiddelde kosten voor KMO’s (realistic pricing)
Ik zie in de Belgische markt deze ranges (gebaseerd op mijn eigen research en concurrentie-analyse):
Micro KMO (5-10 werknemers, simpele verwerking):
- €250-350/maand
- Inclusief: 3-4 uur/maand, dataregister opzet, privacy policy, kwartaalcheck
Kleine KMO (10-50 werknemers, standaard verwerking):
- €400-600/maand
- Inclusief: 5-7 uur/maand, DPO-functie, training, DPIA/jaar
Middelgrote KMO (50-100 werknemers, middelgrote complexiteit):
- €700-1.000/maand
- Inclusief: 8-12 uur/maand, actieve begeleiding, meerdere DPIA’s, on-site bezoeken
Grotere KMO (100-250 werknemers, complexe verwerking):
- €1.200-2.000/maand
- Inclusief: 15-20 uur/maand, strategic partnership, maandelijks on-site
Wat beïnvloedt de prijs?
Factor 1: Omvang van de organisatie Meer werknemers = meer dataverwerkingen = meer werk.
Factor 2: Complexiteit van de verwerking
- Verwerk je bijzondere categorieën (gezondheidsgegevens)? +30-50%
- Internationale dataverwerkingen? +20-30%
- Veel IT-systemen en integraties? +20-30%
Factor 3: Sectoreisen
- Gezondheidszorg: hogere eisen (+20-40%)
- Financiële sector: compliance overlap (+15-30%)
- Marketing/Advertising: veel tracking & cookies (+20-35%)
Factor 4: Huidige status
- “Greenfield” (vanaf nul): eerste 6 maanden intensiever (vaak +50%)
- “Maintenance” (al compliant): standaard tarief
Factor 5: Beschikbaarheid en response time
- Standaard (response binnen 48u): normaal tarief
- Prioriteit (response binnen 24u): +15-20%
- 24/7 bereikbaar (bijv. datalekken): +30-50%
ROI: Wat kost GEEN DPO?
Directe kosten non-compliance:
Boetes:
- GBA-boetes KMO’s: €2.000-20.000 (gemiddeld ~€8.000)
- Ernstige overtredingen: tot €20 miljoen of 4% wereldwijde omzet
Datalek kosten:
- Melding & afhandeling: €5.000-15.000
- Reputatieschade: onberekenbaar
- Schadeclaims betrokkenen: variabel
Juridische kosten:
- Privacy-geschil: €10.000-50.000 advocatenkosten
- Gerechtelijke procedures: €50.000+
Indirecte kosten:
Opportunity cost:
- Jij als ondernemer besteedt 5-10 uur/maand aan GDPR → €500-1.500/maand (jouw tijd)
- Stress en zorgen: mentale belasting
Reputatieschade:
- Klanten verliezen door privacy-incident
- Moeilijker om nieuwe klanten te winnen
Vergelijking:
- Externe DPO: €400-800/maand = €4.800-9.600/jaar
- Risico zonder DPO: Gemiddelde boete + incident kosten + jouw tijd = €15.000-30.000+
ROI is overduidelijk – zelfs zonder incident voorkom je stress en bespaar je tijd.
Hoe Kies Je de Juiste Externe DPO?
Er zijn veel aanbieders op de markt. Sommige goed, andere… minder. Hier zijn 7 criteria om te checken:
Criterium 1: Relevante kennis en ervaring
Wat checken:
- Hoeveel jaar ervaring met GDPR?
- Specifieke ervaring in jouw sector?
- Hoeveel klanten begeleidt de DPO? (te veel = geen tijd, te weinig = weinig ervaring)
Goede signalen:
- ✅ 3+ jaar GDPR-consultancy ervaring
- ✅ Portfolio met vergelijkbare bedrijven (qua sector en grootte)
- ✅ Case studies of referenties
Red flags:
- ❌ “Ik ben net begonnen met GDPR-consultancy” (tenzij sterke achtergrond)
- ❌ Geen concrete voorbeelden van eerdere klanten
- ❌ Te veel klanten (>30 voor één persoon = geen tijd voor jou)
Criterium 2: Certificeringen en kwalificaties
Relevante certificeringen:
- CIPP/E (Certified Information Privacy Professional – Europe) van IAPP
- CIPM (Certified Information Privacy Manager) van IAPP
- EADPP-certificering (European Academy for Data Protection Professionals)
- CDPO (Certified Data Protection Officer)
Let op: Een certificering is geen vereiste volgens de GDPR, maar het toont aan dat iemand serieus geïnvesteerd heeft in opleiding.
Alternatieve achtergronden die ook sterk zijn:
- Juridische achtergrond (privacy recht)
- IT Security achtergrond + GDPR-opleiding
- Ervaring als interne DPO bij grote organisatie
Criterium 3: Communicatie en toegankelijkheid
Wat checken:
- Hoe snel reageert de DPO op je eerste contact?
- Is de communicatie helder en begrijpelijk (geen jargon-overload)?
- Kun je hem/haar bellen of is het alleen e-mail?
Test: Stel een GDPR-vraag (bijv. “Hoe zit het met Google Analytics in België?”). Een goede DPO geeft een genuanceerd antwoord, geen standaard copy-paste.
Goede signalen:
- ✅ Response binnen 24-48 uur
- ✅ Begrijpelijke uitleg (ook voor niet-juristen)
- ✅ Biedt gratis kennismakingsgesprek aan
Red flags:
- ❌ Duurt een week voor eerste response
- ❌ Antwoorden vol juridische termen zonder uitleg
- ❌ Alleen contact via formulier (geen telefoon/e-mail)
Criterium 4: Onafhankelijkheid en objectiviteit
Wat checken:
- Is de DPO écht onafhankelijk, of verkoopt hij/zij ook andere diensten met belangenconflict?
Voorbeelden belangenconflict:
- DPO + IT-leverancier: Verkoopt je een duur systeem en is dan DPO (hij adviseert in zijn eigen voordeel)
- DPO + Advocatenkantoor: Adviseert juridische stappen die honorarium opleveren
- DPO + Marketing bureau: Wil tracking-tools verkopen (conflict met privacy)
Goede signalen:
- ✅ Focus puur op privacy/compliance consultancy
- ✅ Geen verkoop van software of andere diensten
- ✅ Transparante pricing (geen verborgen upsells)
Criterium 5: Belgische context en taalvaardigheden
Wat checken:
- Kent de DPO de Belgische specificiteiten?
- Kan hij/zij in het Nederlands (en Frans indien relevant)?
Belgische specificiteiten:
- Verwijzing naar GBA (niet “AP” of “CNIL”)
- Kennis Belgische bewaartermijnen (bijv. sociale documenten)
- Ervaring met Belgische toezichthouder
Taalvaardigheden: Voor Vlaanderen: Nederlands is minimum. Voor Brussel/Wallonië: tweetaligheid (NL/FR) is vaak nodig.
Red flags:
- ❌ Verwijst naar Nederlandse of Franse autoriteiten (verkeerde land)
- ❌ Copy-paste algemene EU-teksten zonder Belgische aanpassing
- ❌ Geen ervaring met GBA-procedures
Criterium 6: Contract en SLA (Service Level Agreement)
Wat checken:
- Wat staat er precies in het contract?
- Zijn de diensten helder omschreven?
- Wat zijn de opzegtermijnen?
Goede contractvoorwaarden:
- ✅ Heldere omschrijving diensten (X uur/maand, reactietijd Y)
- ✅ Redelijke opzegtermijn (1-3 maanden)
- ✅ Geen jarenlange lock-in (max 12 maanden)
- ✅ Duidelijke prijs (geen verborgen kosten)
Red flags:
- ❌ Vage omschrijving (“algemene DPO-diensten”)
- ❌ Lange binding (> 2 jaar)
- ❌ Hoge exit-kosten
- ❌ “Onbeperkt advies” zonder urenspecificatie (zal beperkt blijken)
Criterium 7: Referenties en track record
Wat checken:
- Kan de DPO referenties geven van bestaande klanten?
- Zijn er testimonials of case studies?
- Kun je een referentie-klant bellen?
Vragen aan referentie:
- “Hoe snel reageert de DPO gemiddeld?”
- “Zijn jullie tevreden over de kwaliteit van het advies?”
- “Zou je hem/haar aanraden?”
- “Wat is het minst sterke punt?”
Goede signalen:
- ✅ 3+ tevreden klanten die je mag contacteren
- ✅ LinkedIn recommendations
- ✅ Case studies (geanonimiseerd) op website
Red flags:
- ❌ Geen enkele referentie beschikbaar
- ❌ “Vanwege vertrouwelijkheid kan ik geen klanten noemen” (verdacht)
- ❌ Alleen algemene “5-sterren reviews” zonder inhoud
Het Aanstelproces: Stap voor Stap
Je hebt een externe DPO gevonden. Wat nu? Dit is het proces:
Stap 1: Kennismakingsgesprek en intake (Week 1)
Wat gebeurt er:
- De DPO leert je organisatie kennen
- Je bespreekt doelstellingen en verwachtingen
- Hij/zij doet een eerste inschatting van de compliance status
Vragen die de DPO stelt:
- Hoeveel werknemers? Welke dataverwerkingen?
- Welke systemen gebruiken jullie? (CRM, HR-software, etc.)
- Hebben jullie al een dataregister?
- Zijn er eerdere incidenten of GBA-contact geweest?
- Wat zijn de grootste privacy-zorgen?
Output:
- Voorstel met scope en pricing
- Planning eerste maanden
Wat kost dit: Vaak gratis (als onderdeel van sales proces) of €100-250 voor uitgebreide intake.
Stap 2: Contract en aanstelling (Week 1-2)
Juridische vereisten:
A. Verwerkersovereenkomst De externe DPO krijgt toegang tot persoonsgegevens → je sluit een verwerkersovereenkomst af (processor agreement). Dit regelt:
- Welke gegevens de DPO mag inzien
- Beveiliging en vertrouwelijkheid
- Wat gebeurt na beëindiging contract
B. DPO-aanstel document Een formele benoeming waarin staat:
- Naam en contactgegevens DPO
- Datum aanstelling
- Taken en verantwoordelijkheden
- Rapportagelijn (bijv. directie)
C. Publicatie contactgegevens Je moet de contactgegevens van je DPO:
- Intern bekend maken (aan alle medewerkers)
- Extern publiceren (op je website, in privacy policy)
- Bij de GBA registreren (via online formulier)
GBA-registratie:
- Verplicht binnen redelijke termijn (direct na aanstelling)
- Gratis, via GBA-website
- Invullen: naam DPO, e-mailadres, eventueel telefoonnummer
Stap 3: Onboarding en gap-analyse (Week 2-4)
Wat gebeurt er: De DPO doet een grondige analyse van je huidige situatie:
Documenten die de DPO opvraagt:
- Bestaand dataregister (indien aanwezig)
- Privacy policy / privacyverklaring
- Verwerkersovereenkomsten met leveranciers
- Overzicht IT-systemen en tools
- HR-procedures (personeelsdossiers)
- Marketing processen (nieuwsbrieven, cookies)
De gap-analyse: De DPO identificeert:
- Wat ontbreekt? (bijv. geen dataregister)
- Wat is niet compliant? (bijv. cookie banner zonder opt-in)
- Welke risico’s zijn er? (bijv. geen datalekprocedure)
Output: Een compliance actieplan met:
- Lijst van alle actiepunten
- Prioriteit (hoog/medium/laag)
- Verantwoordelijke per actie
- Tijdslijn (quick wins week 1-4, structurele zaken maand 2-6)
Tijd: 2-4 weken (afhankelijk van complexiteit en documentatie-kwaliteit)
Stap 4: Eerste implementatiefase (Maand 2-3)
Quick wins (eerste 4 weken):
- Dataregister opstellen (als dit ontbreekt)
- Privacy policy updaten
- Cookie banner fixen
- Lijst verwerkersovereenkomsten compleet maken
Structurele implementaties (maand 2-3):
- Training medewerkers (GDPR-awareness)
- Datalekprocedure opstellen en testen
- Privacy rechten procedures implementeren
- DPIA’s uitvoeren (bij hoog-risico verwerkingen)
Communicatie:
- Wekelijkse of tweewekelijkse check-ins
- E-mail/telefoon bij specifieke vragen
- Eventueel on-site bezoek (afhankelijk van contract)
Stap 5: Lopende samenwerking (Structureel)
Maandelijks:
- Beschikbaar voor ad-hoc vragen (binnen afgesproken uren)
- Review nieuwe systemen/tools
- Adviseren bij privacy rechten verzoeken
Kwartaal:
- Compliance check-in
- Dataregister update
- Rapportage aan directie
Jaarlijks:
- Volledige audit en risk assessment
- Training refresh voor medewerkers
- Privacy policy update (indien nodig)
Bij incidenten:
- Datalek? DPO coördineert response + GBA-melding
- GBA-controle? DPO is het aanspreekpunt
- Privacy-klacht? DPO helpt met afhandeling
Veelgestelde Vragen
Kan ik zelf DPO zijn als zaakvoerder? Technisch wel toegestaan, maar sterk afgeraden. Als zaakvoerder heb je een belangenconflict: jij beslist over budgetten, resources, en strategische keuzes. De DPO moet onafhankelijk kunnen adviseren, ook als dat betekent “we moeten meer investeren in compliance”. Dat is lastig als je jezelf adviseert.
Hoeveel klanten mag een externe DPO hebben? Geen wettelijke limiet, maar praktisch: meer dan 30-40 actieve klanten (afhankelijk van hun grootte) betekent dat er geen tijd meer is voor goede begeleiding. Vraag dit aan je potentiële DPO.
Wat als mijn externe DPO stopt of ziek wordt? Serieuze externe DPO’s hebben een back-up regeling. Vraag hiernaar in het contract. Bij grotere consultancy firma’s is dit automatisch geregeld (collega neemt over). Bij freelancers is dit risico groter – zorg voor afspraken.
Moet mijn externe DPO in België gevestigd zijn? Nee, maar sterk aan te raden. Een DPO in Nederland of Frankrijk kent de Belgische specificiteiten minder goed (GBA-procedures, Belgische wetgeving, taalvereisten).
Kan ik een externe DPO combineren met andere consultancy-diensten? Ja, maar let op belangenconflicten. Bijvoorbeeld:
- ✅ DPO + Algemeen GDPR-advies (logisch)
- ✅ DPO + Privacy-audits (past bij rol)
- ❌ DPO + IT-leverancier (conflict: verkoopt systemen)
- ❌ DPO + Marketing-advies (conflict: wil tracking tools verkopen)
Hoelang moet ik me binden aan een externe DPO? Redelijke contracten: 1-3 maanden opzegtermijn, max 12 maanden initieel contract. Daarna vaak maandelijks opzegbaar. Vermijd multi-jaar lock-ins.
Wat als we niet tevreden zijn met onze externe DPO? Bespreek dit eerst met de DPO zelf (misschien miscommunicatie). Als het niet verbetert: beëindig het contract (volgens opzegtermijn). Je kunt altijd een andere DPO aanstellen.
Conclusie: Is Een Externe DPO Iets Voor Jou?
Een externe DPO is ideaal voor jouw organisatie als:
✅ Je 10-250 werknemers hebt (te klein voor fulltime, te groot om het te negeren)
✅ Je geen interne privacy-expertise hebt
✅ Je compliance zekerheid wilt zonder hoge vaste kosten
✅ Je verplicht bent een DPO aan te stellen maar geen budget hebt voor intern
✅ Je risico’s wilt minimaliseren (boetes, reputatieschade)
Een interne DPO overweeg je als:
✅ Je 250+ werknemers hebt (vanaf hier wordt fulltime lonend)
✅ Je complexe, grootschalige, of zeer gevoelige dataverwerkingen hebt
✅ Je privacy als strategische prioriteit ziet (niet alleen compliance)
✅ Je budget hebt voor €50.000-70.000/jaar salaris
Actie vandaag:
- Check: Ben je verplicht een DPO aan te stellen? (3 situaties eerder in artikel)
- Evalueer: Intern of extern? (vergelijkingstabel)
- Onderzoek: Vergelijk 3-5 externe DPO’s in België
- Boek: Gratis kennismakingsgesprek met je top kandidaat
Wil je sparren over jouw specifieke situatie?
Ik bied een gratis 30-minuten GDPR Quick Scan aan waarin we je situatie bespreken en ik je direct praktisch advies geef – zonder verplichtingen.
Boek hier je gratis quick scan →
Of start met een gratis GDPR-scan via mijn tool.
Of bekijk direct mijn externe DPO diensten om te zien wat ik kan betekenen voor jouw organisatie.
Over de auteur
Ik ben Stijn Belmans, Data Protection Officer bij een Belgische politieke partij en freelance GDPR-consultant. Met mijn EADPP-certificering en praktijkervaring help ik Belgische KMO’s met pragmatische privacy-compliance. Geen juridisch jargon, gewoon heldere begeleiding die werkt.
Laatst bijgewerkt: November 2025
Door Stijn Belmans – Data Protection Officer & GDPR Consultant | EADPP-gecertificeerd
