De FG moet goed op de hoogte zijn van de Europese en nationale privacywetgeving en van de praktijk van gegevensbescherming. Dit betekent in ieder geval dat de FG voldoende inzicht moet hebben in de gegevensverwerkingen van de school, begrip moet hebben van IT en informatiebeveiliging, inzicht moet hebben in de informatiesystemen die de school gebruikt en de behoeften van de school op het gebied van veiligheid van gegevens en gegevensbescherming.
De FG moet een onafhankelijke positie in de school hebben, maar hoeft niet in dienst te zijn van de school. De FG mag ook extern worden ingehuurd.