Is je DPO een vuurtorenwachter of een first officer? China kiest een kant.
Onder de GDPR is de DPO vaak de vuurtorenwachter. Hij ziet de rotsen. Hij waarschuwt op tijd. Hij schijnt licht op risico’s. Maar hij staat niet aan het roer. In veel organisaties blijft de DPO daardoor een sterke adviseur, terwijl de echte koersbeslissingen elders vallen.
China lijkt nu een heel ander model te willen voor “large online platforms”. Eind 2025 verscheen een ontwerp dat de rol van de “persoon verantwoordelijk voor de bescherming van persoonsgegevens” niet alleen verder uitwerkt, maar ook zwaarder positioneert. De functie bestond al onder de PIPL, maar voor grote platformen wordt ze nu veel concreter geregeld, met scherp afgelijnde governance-verplichtingen en stevige bevoegdheden.
Dat is interessant om twee redenen. China kiest niet voor één allesomvattend kader zoals de GDPR, maar voor een gefaseerde en gedifferentieerde aanpak. Daardoor kan het sneller bijsturen waar de impact het grootst is. En precies in die LOP-context lijkt China de privacyfunctie te ontwerpen als een first officer: iemand die niet enkel waarschuwt, maar ook kan ingrijpen wanneer het schip richting verboden wateren vaart.
De GDPR-DPO: onafhankelijkheid als fundament, maar niet altijd als oplossing
De GDPR bouwt de DPO op rond één kernidee: onafhankelijk toezicht binnen de organisatie. De DPO moet betrokken worden bij alle aangelegenheden die met persoonsgegevens te maken hebben, en moet kunnen werken zonder druk of instructies.
In mensentaal kan je het zo samenvatten, vrij vertaald uit artikel 38:
“De DPO mag geen instructies krijgen over hoe hij zijn taken uitoefent, en mag niet worden benadeeld omdat hij die taken uitvoert.”
Die zin vat de rol mooi samen. De DPO moet durven zeggen wat niet populair is, zonder dat zijn positie in gevaar komt.
Maar net daar ontstaat vaak een paradox. In veel organisaties verwacht men van de DPO dat hij “ownership” neemt. Tegelijk zegt dezelfde GDPR-logica dat de DPO niet in een positie mag zitten waar hij zelf de doeleinden en middelen van verwerkingen bepaalt. De klassieke richtsnoeren over DPO’s benadrukken dat conflict of interest risico en noemen net leidinggevende rollen als typische conflicten.
Het gevolg zie je vaak in de praktijk. De DPO staat dicht bij compliance, maar niet altijd dicht bij productontwikkeling, data-strategie of commerciële roadmap. Dan wordt privacy iets dat men checkt op het einde. De DPO wordt een kwaliteitscontrole, terwijl hij eigenlijk een stuurinstrument zou moeten zijn.
Er is nog een tweede spanningsveld. De GDPR legt verantwoordelijkheid bij de controller en processor, niet bij de DPO. Dat is conceptueel juist. Compliance is een bestuursverantwoordelijkheid. Alleen creëert het ook een realiteit waarin een DPO kan waarschuwen en documenteren, maar zelden kan afdwingen. Bij een discussie over risico’s is het uiteindelijk het management dat beslist hoeveel risico het wil nemen.
Daarmee wordt duidelijk waarom sommige bedrijven met een “papier-DPO” eindigen. Op papier is alles correct: een benoeming, een e-mailadres, een DPIA-template, een jaarlijks verslag. In de realiteit is het gewicht van de rol afhankelijk van cultuur, maturiteit en interne governance. En daar wringt het.
China’s aanpak: niet één allesomvattend kader, maar bijsturen waar de impact het grootst is
Europa koos met de GDPR bewust voor een breed, technologie-neutraal en allesomvattend kader. Dat is één van de redenen waarom de GDPR wereldwijd zoveel invloed heeft. Maar die breedte heeft ook een prijs. Detailsturing gebeurt vaak via richtsnoeren, adviezen, enforcement en jurisprudentie. Dat maakt evolutie soms trager en minder voorspelbaar.
China vertrekt anders. De PIPL is een algemene wet die de basisprincipes neerzet, maar de uitwerking gebeurt vaker gefaseerd en gedifferentieerd. Waar de maatschappelijke impact het grootst is, wordt sneller en gedetailleerder gereguleerd.
Het ontwerp voor large online platforms past perfect in die logica. De DPO-functie bestond al. Alleen vindt de wetgever blijkbaar dat die basis niet volstaat voor de grootste spelers. Als je platform tientallen miljoenen gebruikers heeft, dan volstaat een generieke verplichting niet meer. Dan wil men een governance-model dat structureel ingrijpt, met duidelijke interne machtslijnen en externe rapportering.
Dat is een andere filosofie dan de GDPR, maar het is tegelijk een zeer pragmatische manier om de realiteit van grote platformen te adresseren.
Wat verandert er concreet voor large online platforms?
Waar de GDPR-DPO vooral bewaakt en adviseert, schuift China voor grote platformen de privacyverantwoordelijke richting operationele macht. Het verschil voelt als dat tussen de vuurtorenwachter en de first officer. De eerste signaleert risico’s vanop afstand en blijft onafhankelijk. De tweede staat op de brug, midden in de besluitvorming, en kan het schip effectief doen bijsturen – desnoods tegen de stroom in.
Het ontwerp werkt met een afbakening van “large online platform” op basis van schaal en impact. Denk aan drempels rond het aantal gebruikers en het belang van de aangeboden diensten. De rode draad is duidelijk: wie zo groot is dat een incident of misbruik maatschappelijke schade kan veroorzaken, valt onder een zwaarder regime.
Voor die categorie wordt de privacyfunctie niet alleen bevestigd, maar ook “opgetrokken” naar het niveau van governance. De verantwoordelijke voor persoonsgegevensbescherming moet deel uitmaken van het management. Daarmee maakt China meteen een keuze: deze rol hoort niet in een staffunctie zonder beslissingsmacht, maar in de lijn waar keuzes worden gemaakt.
De ontwerptekst gaat nog verder en geeft aan dat deze verantwoordelijke moet deelnemen aan beslissingen rond verwerking van persoonsgegevens en daarbij een vetorecht heeft. Dat is een fundamenteel verschil met de Europese DPO. In Europa is de DPO een adviseur en monitor, maar geen beslisser. In China wordt de rol voor deze platformen expliciet een “gatekeeper” in besluitvorming.
Daarnaast koppelt het ontwerp de rol aan een verplicht intern orgaan of team dat onder leiding van deze verantwoordelijke werkt. Dat orgaan moet processen en regels uitwerken, risico’s monitoren, audits organiseren, incidenten aanpakken, klachten behandelen en rapporteren over de staat van de bescherming.
Opvallend is ook de externe dimensie. De ontwerptekst legt een duidelijke escalatieplicht op wanneer ernstige risico’s of onwettige situaties worden vastgesteld. In bepaalde gevallen moet men melden aan de bevoegde autoriteiten, en bij vermoedens van criminaliteit zelfs aan de politie. Daarmee wordt de privacyfunctie meteen ook een scharnierpunt tussen platform en staat.
Tot slot is er een element dat je in Europese DPO-context zelden zo expliciet ziet: de plicht om periodiek te rapporteren aan de buitenwereld, onder meer via een “social responsibility report” over persoonsgegevensbescherming. Dat plaatst privacy niet alleen in de compliance-sfeer, maar ook in reputatie, accountability en publieke verantwoordelijkheid.
Een antwoord op Europese DPO-kritiek, maar via een andere route
Als je dit naast de Europese praktijk legt, springt één ding meteen in het oog. China lijkt de rol precies te versterken op punten waar de GDPR-DPO vaak kritiek krijgt.
De eerste gekende kritiek is het gebrek aan structurele invloed. In Europa kan de DPO rechtstreeks rapporteren aan het hoogste management, maar dat garandeert niet dat hij mee beslist. In het Chinese ontwerp wordt die kloof dichtgemaakt door de rol formeel in het management te plaatsen en door een veto te voorzien. Als je wil dat privacy geen bijzaak is, dan is beslissingsmacht een directe hefboom.
De tweede kritiek is dat de DPO soms onvoldoende middelen heeft. De GDPR zegt wel dat de organisatie de DPO moet ondersteunen met middelen, toegang en expertise, maar in de praktijk is dat een kwestie van prioriteiten. China maakt het concreter door een interne structuur verplicht te maken die onder leiding van de verantwoordelijke werkt. Dat kan je lezen als een garantie dat de rol niet alleen bestaat uit één persoon met een titel, maar uit een functionerend systeem.
De derde kritiek is escalatie. In Europa kan de DPO de toezichthouder consulteren, maar dat is geen automatische plicht en het is vaak een delicate stap. In China is de link met overheid en handhaving explicieter en steviger. Dat zorgt onvermijdelijk voor meer interne urgentie. Wie weet dat ernstige issues extern moeten worden gemeld, zal intern sneller willen oplossen.
Ook het debat rond externe DPO’s wordt hier geraakt. Onder de GDPR is een externe DPO perfect mogelijk en vaak zinvol, zeker voor kleinere organisaties of groepen. Maar bij zeer grote platformen is “niet ingebed zijn” precies het probleem. China lijkt te zeggen: voor deze categorie willen we geen rol aan de rand. We willen een rol in de kern.
Daarmee kan je het ontwerp lezen als voortschrijdend inzicht in wat een privacyfunctie effectief maakt bij platformen met enorme schaal. Je kan zelfs zeggen dat China een kritiek op de Europese DPO “meeneemt”, maar ze beantwoordt die kritiek niet door de GDPR te verfijnen. Ze beantwoordt ze door de rol anders te ontwerpen.
De keerzijde: onafhankelijkheid en vertrouwelijkheid komen onder druk te staan
Net omdat het ontwerp de rol zo sterk maakt, stelt het ook lastige vragen die Europa anders oplost.
Een DPO die mee beslist, is moeilijker te zien als onafhankelijke toezichthouder. In Europa is het net de bedoeling dat de DPO boven de strijd staat, zodat hij intern vertrouwen kan opbouwen. De DPO is iemand bij wie teams terecht kunnen met vragen, twijfels en problemen, zonder angst dat het meteen een sanctionerend traject wordt.
Als de rol in China een managementrol is met veto en rapporteringsplichten, dan verandert die vertrouwensrelatie. Teams zullen sneller voorzichtig worden. Het kan de rol effectiever maken in governance, maar het kan tegelijk de informele signalen verminderen die je nodig hebt om risico’s vroeg te detecteren.
Ook de sterke koppeling aan autoriteiten heeft een dubbel effect. Ze verhoogt de druk om ernstig te zijn over compliance, maar ze maakt de rol tegelijk gevoeliger, zowel intern als extern. Voor internationale groepen is dat belangrijk: governance rond privacy wordt niet alleen een kwestie van interne compliance, maar ook van geopolitieke realiteit, rapportering en soms zelfs nationale veiligheidslogica.
Dit is het punt waar je moet opletten met te snelle conclusies. “Beter” of “slechter” hangt af van het doel dat je vooropstelt. Europa maximaliseert onafhankelijkheid binnen een rule-of-law governance-model. China maximaliseert controle, impact en staatskoppeling bij spelers die als systeemrelevant worden gezien.
Wat betekent dit voor Belgische ondernemers en Europese groepen?
Voor Belgische bedrijven die actief zijn in China, of die een platform in China uitbaten, is dit ontwerp in de eerste plaats een compliance-signaal. Het toont dat China sneller en gerichter bijkomende verplichtingen kan opleggen aan specifieke categorieën van spelers. Je kan dus niet volstaan met “PIPL compliance” als een eenmalig project. Je moet rekening houden met nieuwe lagen, afhankelijk van schaal en sector.
Voor Europese groepen is er daarnaast een governance-les die breder bruikbaar is. Veel organisaties worstelen met de vraag hoe ze privacy in de lijn krijgen zonder de onafhankelijkheid van de DPO te ondermijnen. Het Chinese ontwerp toont één extreme oplossing: maak er een managementrol van met veto. Europa kiest die route niet, en zou dat ook niet zonder frictie kunnen doen. Maar de onderliggende vraag blijft dezelfde.
Hoe zorg je ervoor dat privacy niet pas op het einde komt? Hoe zorg je dat de DPO niet alleen een controlefunctie is, maar een echte partner die vroeg in het proces mee richting geeft? En hoe maak je die rol effectief zonder hem te “vervuilen” met conflicts of interest?
Het antwoord is zelden een nieuwe titel. Het zit in processen en governance. Het zit in wie wanneer aan tafel zit, welke beslissingsfora er zijn, welke escalatiestromen werken, en of het management privacy ziet als strategisch risico of als administratieve last.
Conclusie
China’s ontwerp voor large online platforms is geen cosmetische aanpassing. Het maakt van de privacyverantwoordelijke een rol met managementgewicht, beslissingsimpact en externe rapporteringsplichten. In vergelijking met de GDPR-DPO is dat een andere wereld.
En net daarom is het relevant. Niet omdat Europa “zoals China” zou moeten worden, maar omdat het ontwerp een ongemakkelijke waarheid blootlegt. Veel kritiek op de Europese DPO komt niet voort uit de tekst van de GDPR, maar uit hoe organisaties de rol inbedden. China lost dat op via macht en verplichting. Europa moet het oplossen via governance, cultuur en scherpe rolafspraken.
Bij consey(.legal) helpen we bedrijven om die vertaalslag te maken. We zetten de DPO-functie neer als een rol die werkt in de bestuurskamer én op de werkvloer, met duidelijke processen, echte betrokkenheid in besluitvorming en een model dat standhoudt wanneer je internationaal actief bent. Wil je dit onderwerp aftoetsen voor jouw organisatie, dan hoor ik je graag via hallo@consey.legal.
Geschreven door Kris Seyen, Founder & Managing Partner consey(.legal)
