Eine private Vereinigung, die eine Verarbeitung personenbezogener Daten im Auftrag einer öffentlichen Bundesstelle (autorité publique fédérale) oder solche Daten von letzterer empfängt, hat einen DSB zu bestellen, wenn durch die Verarbeitung in Art. 35 DSGVO (Datenschutz-Folgenabschätzung) genannte Risiken entstehen können (Art. 21 des belgischen Datenschutzgesetzes).
Datenverarbeitung gemäß Art. 8 § 1 (2) des belgischen Datenschutzgesetzes bezieht sich auf die Verarbeitung durch eine gemeinnützige Stiftung, die Daten von Personen verarbeitet, denen schwere strafrechtliche Taten, in Bezug auf vermisste Personen oder sexueller Ausbeutung, vorgeworfen werden. In so einem Fall darf die Stiftung keine Akten führen und muss einen Datenschutzbeauftragten ernennen.
Laut Art. 190 des belgischen Datenschutzgesetzes muss ein Datenschutzbeauftragter bestellt werden wenn die Verarbeitung der personenbezogenen Daten ein hohes Risiko aufweist und eine Datenschutzfolgeabschätzung gemäß Art. 35 DSGVO wahrscheinlich ist.
