Taken van de externe FG — Wat de AVG werkelijk vereist

Artikel 37(1) AVG verplicht de aanwijzing van een FG in drie gevallen: wanneer de verwerking wordt uitgevoerd door een overheidsinstantie of overheidsorgaan, wanneer kernactiviteiten regelmatige en systematische observatie van betrokkenen op grote schaal vereisen, of wanneer kernactiviteiten bestaan uit grootschalige verwerking van bijzondere categorieën gegevens (Artikel 9) of gegevens met betrekking tot strafrechtelijke veroordelingen (Artikel 10). Veel EU-lidstaten hebben deze vereisten uitgebreid via nationale wetgeving. Duitsland vereist bijvoorbeeld een FG voor elke organisatie met 20 of meer werknemers die regelmatig betrokken zijn bij geautomatiseerde verwerking van persoonsgegevens. Andere landen hebben vergelijkbare drempels of sectorspecifieke vereisten. Organisaties kunnen zowel een interne als een externe FG aanwijzen. Een externe FG opereert op basis van een dienstverleningsovereenkomst (Artikel 37(6)) en kan meerdere organisaties bedienen — wat het een levensvatbaar bedrijfsmodel maakt voor privacyprofessionals. De AVG staat dit expliciet toe, mits de FG bereikbaar is voor elke organisatie en zijn taken effectief kan uitvoeren. De trend naar externe FG's versnelt. Kleinere en middelgrote organisaties kunnen vaak geen fulltime interne FG-rol rechtvaardigen, en NIS2 heeft duizenden extra bedrijven onder het toepassingsgebied gebracht. Externe FG's die efficiënt 10-50 klanten kunnen bedienen, vervullen een cruciale marktvraag.

Artikel 39 definieert de minimumtaken van een FG: informeren en adviseren van de verwerkingsverantwoordelijke of verwerker en hun werknemers over AVG-verplichtingen, toezicht houden op naleving van de AVG en het gegevensbeschermingsbeleid van de organisatie, advies geven over gegevensbeschermingseffectbeoordelingen (DPIA's) en toezicht houden op de uitvoering ervan, samenwerken met de toezichthouder, en fungeren als contactpunt voor de toezichthouder over kwesties met betrekking tot verwerking. Het is belangrijk op te merken waarvoor de FG niet verantwoordelijk is: de FG waarborgt geen compliance — dat doet de verwerkingsverantwoordelijke. De FG adviseert, houdt toezicht en rapporteert, maar de uiteindelijke verantwoordelijkheid voor gegevensbescherming ligt bij het management van de organisatie. Dit onderscheid is juridisch significant en moet duidelijk worden vastgelegd in elk FG-dienstverleningscontract. Naast de verplichte taken behandelen externe FG's doorgaans ook: het bijhouden van het verwerkingsregister (Artikel 30), het beheren van inzageverzoeken (Artikel 15-22), het beoordelen en bijhouden van verwerkersovereenkomsten (Artikel 28), het uitvoeren of begeleiden van audits, het opleiden van werknemers, en adviseren over gegevensbescherming door ontwerp en standaardinstellingen (Artikel 25). Deze aanvullende taken moeten expliciet worden vastgelegd in het dienstverleningscontract met bijbehorende tariefstructuren.

Artikel 38(3) is duidelijk: de FG ontvangt geen instructies met betrekking tot de uitoefening van zijn taken. Hij kan niet worden ontslagen of gestraft voor het uitvoeren van zijn taken en moet rechtstreeks rapporteren aan het hoogste management van de verwerkingsverantwoordelijke of verwerker. Voor externe FG's is onafhankelijkheid over het algemeen gemakkelijker te handhaven dan voor interne FG's — u staat niet op de loonlijst van de klant en heeft geen carrière-motieven om uw advies af te zwakken. Toch kunnen er belangenconflicten ontstaan: als een aanzienlijk deel van uw omzet van één klant komt, aarzelt u mogelijk onbewust om ongemakkelijke bevindingen te communiceren. Best practice is om uw klantenportefeuille te diversifiëren zodat geen enkele klant meer dan 20-25% van uw omzet vertegenwoordigt. Documenteer alle aanbevelingen en managementreacties schriftelijk. Als het management uw advies overrulet, leg dit duidelijk vast — het beschermt u professioneel als er later problemen ontstaan. Artikel 38(6) stelt dat de FG andere taken en plichten mag vervullen, mits deze niet leiden tot een belangenconflict. Voor externe FG's betekent dit dat u niet zowel FG als IT-beveiligingsleverancier voor dezelfde klant kunt zijn, of zowel FG als marketingdata-analist. De adviserende en operationele rollen moeten gescheiden blijven.

De economie van een externe FG-praktijk hangt af van efficiëntie. De meeste externe FG's rekenen tussen EUR 500 en EUR 2.000 per klant per maand, afhankelijk van de omvang en complexiteit van de klant. Bij deze tarieven kan het beheren van 15-20 klanten EUR 10.000-30.000 aan maandelijkse omzet genereren — maar alleen als administratieve overhead niet al uw tijd opslokt. De grootste tijdvreters voor externe FG's zijn: verwerkingsregisters bijhouden voor meerdere klanten (opgelost door sjablonen en gestructureerde tools), inzageverzoek-deadlines bijhouden (opgelost door automatische herinneringen), auditrapporten produceren (opgelost door exports met één klik) en context wisselen tussen klanten (opgelost door multi-tenant dashboards). Externe FG's die gespecialiseerde tools gebruiken, rapporteren 40-60% minder tijd te besteden aan administratieve taken vergeleken met degenen die Excel en e-mail gebruiken. Dat vertaalt zich in ofwel hogere winstgevendheid met hetzelfde aantal klanten, ofwel de mogelijkheid om extra klanten aan te nemen zonder de werkbelasting proportioneel te verhogen. Naarmate uw praktijk groeit voorbij 20 klanten, overweeg uw dienstenpakketten te standaardiseren. Definieer duidelijke niveaus (basismonitoring, standaard met training, premium met auditondersteuning) en gebruik uw compliancetool om consistente servicekwaliteit te leveren aan alle klanten. Trustee.eu is specifiek ontworpen voor deze workflow — van eenpersoons-FG-praktijken tot bureaus die 50+ mandaten beheren.