GDPR - Wat doet een DPO en heeft u één nodig binnen uw onderneming?
19/02/2026
De DPO: verplichting of slimme zet?
Sinds de invoering van de GDPR horen ondernemers steeds vaker de term Data Protection Officer of DPO. Toch blijft de vraag terecht: moet ik er echt één aanstellen, en wat doet zo iemand eigenlijk? Het antwoord hangt af van de activiteiten van uw onderneming, maar ook van hoe u met persoonsgegevens omgaat.
Wanneer is een DPO wettelijk verplicht?
Voor een aantal organisaties is de aanstelling van een DPO geen keuze, maar een wettelijke verplichting. Dat is onder meer het geval wanneer persoonsgegevens een centrale rol spelen in de dagelijkse werking van de onderneming.
Concreet is een DPO vereist wanneer uw kernactiviteiten bestaan uit het grootschalig en systematisch opvolgen of analyseren van personen, bijvoorbeeld via monitoring of profiling. Ook ondernemingen die op grote schaal gevoelige gegevens verwerken — zoals medische gegevens of informatie over strafrechtelijke veroordelingen — vallen onder deze verplichting. Voor overheidsinstanties en bepaalde publieke organisaties geldt de DPO-verplichting in principe altijd.
In de praktijk is die beoordeling niet altijd zwart-wit. Wat “grootschalig” is, of wat precies als “kernactiviteit” geldt, vergt een concrete analyse van uw onderneming. Bovendien kan ook andere regelgeving, zoals de wetgeving rond netwerk- en informatiebeveiliging of Private Opsoring, een DPO-verplichting opleggen, zelfs wanneer de GDPR dat op zich niet expliciet doet.
Wat doet een DPO precies?
Een DPO is geen IT-verantwoordelijke en ook geen manager die beslist wat er met gegevens gebeurt. De functie is in essentie adviserend en toezichthoudend.
De DPO waakt erover dat persoonsgegevens correct en in overeenstemming met de privacywetgeving worden verwerkt. Hij of zij adviseert over verplichtingen onder de GDPR, volgt risico’s op en fungeert als aanspreekpunt voor zowel de toezichthoudende autoriteit als voor klanten, medewerkers of andere betrokkenen. Belangrijk daarbij is dat de DPO onafhankelijk moet kunnen werken en rechtstreeks rapporteert aan het hoogste management. De DPO kan een werknemer zijn, maar kan ook een externe positie hebben.
Geen verplichting, toch interessant?
Ook wanneer u niet wettelijk verplicht bent een DPO aan te stellen, kan dat in de praktijk een verstandige keuze zijn. Voor veel kmo’s biedt een DPO houvast bij vragen over gegevensbescherming, nieuwe projecten of datalekken. Bovendien toont u hiermee aan dat uw onderneming privacy en zorgvuldige gegevensverwerking ernstig neemt — een niet te onderschatten element in relaties met klanten en partners.
Let wel: ook bij een vrijwillige aanstelling moet aan alle wettelijke voorwaarden worden voldaan. Een “DPO in naam” zonder echte onafhankelijkheid of duidelijk afgelijnd takenpakket is geen goede oplossing.
Twijfelt u? Laat u begeleiden
Of een DPO voor uw onderneming verplicht, aangewezen of overbodig is, vergt een gerichte analyse. Wij denken graag met u mee en helpen u beoordelen welke aanpak past bij uw activiteiten en risico’s.
Blijf ons volgen
De Gegevensbeschermingsautoriteit scherpt haar strategie voor 2026–2028 verder aan. In onze volgende nieuwsbrieven ontdekt u wat dit betekent voor uw onderneming — en hoe u hier strategisch op inspeelt.
Bericht geplaatst door Robbe De Backer - Veerle Stroobants, advocaten op 19/02/2026.
Ik wil een afspraak
