Moet de functionaris voor gegevensbescherming iemand van binnen de verwerkingsverantwoordelijken en verwerkers zijn of mag het iemand extern zijn?

De AVG staat beide mogelijkheden toe. De functionaris voor gegevensbescherming kan een werknemer van de betrokken verwerkingsverantwoordelijke of verwerker zijn. Deze laatsten kunnen ook een beroep doen op een externe DPO via een dienstverleningsovereenkomst.  In het laatste geval kan eenzelfde DPO voor verschillende bedrijven of overheidsinstanties en overheidsorganen werken, voor zover hij uiteraard voldoende ondersteuning krijgt, voldoende tijd kan besteden aan elk van zijn "klanten" en er voor hem geen belangenconflict ontstaat.