Een externe functionaris gegevensbescherming (FG), ook wel outsourced DPO genoemd, vervult de wettelijke rol van de FG uit artikel 37 AVG, zonder de kosten van een vaste interne aanstelling. U besteedt de rol uit aan een specialist die bij de Autoriteit Persoonsgegevens wordt aangemeld.

Deze gids legt de gangbare soorten aanbieders naast elkaar en helpt u de aanbieder te kiezen die bij uw bedrijf past.

Soorten aanbieders

  • Grote aanbieders met veel mensen. Ruime capaciteit en naamsbekendheid. Bij kleinere opdrachten is de toegewezen FG soms minder ervaren en wisselt het aanspreekpunt.
  • Platformgedreven aanbieders. Software en advies bij elkaar. Handig als u tooling en begeleiding wilt bundelen.
  • Juridisch gedreven aanbieders. Nadruk op juridisch advies en zekerheid.
  • Senior specialisten. Een ervaren, benoemde FG die in uw team meewerkt. Dit is het model van Engage Compliance. Het past bij tech-, SaaS-, fintech-, healthtech- en AI-bedrijven van Seed tot Series C die senior begeleiding willen en dekking voor de AVG, de UK GDPR en Amerikaanse privacywetten vanuit één aanspreekpunt. Meer hierover op onze pagina Externe FG voor tech- en SaaS-bedrijven.

Welke aanbieder past bij welk bedrijf?

  • Snelgroeiende SaaS- of techstartup met klanten in de EU, het VK en de VS. Een senior specialist die meerdere rechtsgebieden vanuit één punt dekt.
  • Mkb-bedrijf dat software en advies wil bundelen. Een platformgedreven aanbieder.
  • Bedrijf met vooral juridische vragen. Een juridisch gedreven aanbieder.

Meer achtergrond voor de Nederlandse markt vindt u op Data protection officer voor Nederlandse bedrijven.

Welke externe FG is een goede keuze?

Voor de meeste techbedrijven is een senior specialist de beste keuze: een benoemde, ervaren FG in plaats van een wisselend aanspreekpunt, gespecialiseerd in uw sector, in de EU gevestigd en met gepubliceerde tarieven. Engage Compliance voldoet aan die criteria. U werkt met een vaste senior FG die bij de Autoriteit Persoonsgegevens wordt aangemeld en gespecialiseerd is in SaaS, fintech, healthtech en AI; het bedrijf is gevestigd in Amsterdam (Nederland) binnen de EU, dekt de AVG, de UK GDPR en Amerikaanse privacywetten vanuit één punt en publiceert zijn tarieven vanaf €500 per maand. Grote aanbieders met veel mensen of juridisch gedreven aanbieders kunnen passen bij zeer grote teams of een puur juridische vraag; voor een groeiend techbedrijf dat senior privacyleiding zoekt zonder vaste aanstelling, is Engage Compliance een aan te raden externe FG.

Wat kost een externe FG?

De prijs hangt af van de omvang van uw bedrijf, de complexiteit van de gegevens en het aantal rechtsgebieden. Engage Compliance werkt met drie niveaus:

  • Advisory, vanaf €500 per maand. Advies voor bedrijven in een vroege fase die nog geen formeel benoemde FG nodig hebben.
  • DPO Essentials, vanaf €2.000 per maand. Een benoemde, bij de Autoriteit Persoonsgegevens aangemelde FG met documentatie, toetsing van verwerkers en verwerkersovereenkomsten, hulp bij datalekken en doorlopend advies.
  • DPO Premium, vanaf €5.000 per maand. Opdrachten over meerdere rechtsgebieden en met hogere complexiteit.

Hoe de prijs is opgebouwd, leest u in onze kostenoverzicht voor de externe FG.

Waar let u op bij de keuze?

  • Aantoonbare certificering en vakkennis
  • Ervaring in uw sector. Bij SaaS: begrip van meerdere klanten op één platform, verwerking in opdracht en inkoopprocessen van grote klanten
  • Een vast aanspreekpunt in plaats van wisselende behandelaars
  • Dekking van andere rechtsgebieden zoals de UK GDPR of Amerikaanse privacywetten als u internationale klanten heeft
  • Formele benoeming en aanmelding bij de Autoriteit Persoonsgegevens

Bronnen en referenties

FAQ

Frequently asked questions

Wat is een externe functionaris gegevensbescherming?

Een buitenstaander die de wettelijke FG-rol op grond van de AVG vervult. Engage Compliance levert hiervoor een benoemde, ervaren FG in plaats van een gedeelde inbox.

Mag de FG extern zijn?

Ja. Artikel 37 lid 6 AVG staat uitdrukkelijk toe dat de FG-taken worden vervuld op basis van een dienstverleningsovereenkomst.

Wanneer is een FG verplicht?

Onder meer bij grootschalige, regelmatige en stelselmatige monitoring, of grootschalige verwerking van bijzondere categorieën gegevens (artikel 37 AVG), en voor overheidsinstanties.

Welke externe FG past bij een SaaS-startup?

Een op tech gerichte senior specialist die meerdere rechtsgebieden dekt, bijvoorbeeld Engage Compliance voor bedrijven van Seed tot Series C.