Een Data Protection Impact Assessment (DPIA) is onder de AVG verplicht bij verwerkingen van persoonsgegevens met een hoog privacyrisico. Toch weten veel organisaties niet wanneer deze verplichting geldt of hoe ze een DPIA correct uitvoeren. In dit artikel lees je precies wat een DPIA inhoudt, wanneer je er één moet doen en wat erin moet staan.
Tip: Twijfel je of jouw organisatie AVG-compliant is? Onze privacyrecht specialisten helpen je verder.
Wat is een DPIA (Data Protection Impact Assessment)?
Een DPIA (Data Protection Impact Assessment) is een gestructureerde risicoanalyse die je uitvoert vóórdat je start met een gegevensverwerking die mogelijk een hoog risico oplevert voor de privacy van betrokkenen. Het doel: privacyrisico’s voor betrokkenen in kaart brengen en beheersen.
Een DPIA geeft antwoord op vier vragen:
- Wat houdt de verwerking precies in?
- Welke privacyrisico’s brengt dit mee?
- Is de verwerking noodzakelijk en proportioneel?
- Welke maatregelen beperken de risico’s?
Een DPIA is geen theoretisch document, maar een praktisch hulpmiddel om privacyrisico’s beheersbaar te maken.
Wanneer is een DPIA verplicht?
Je voert een DPIA uit als een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. De verantwoordelijkheid om dit te beoordelen ligt bij de verwerkingsverantwoordelijke.
Verwerkingen waarvoor een DPIA altijd verplicht is
De Autoriteit Persoonsgegevens (AP) stelt een lijst vast van verwerkingen waarvoor je altijd een DPIA uitvoert:
- Grootschalige verwerking van gezondheids-, genetische of biometrische gegevens
- Systematische monitoring, zoals cameratoezicht
- Profilering en gedragsbeïnvloeding
- Verwerking van locatie- of communicatiegegevens
- Fraudebestrijding en zwarte lijsten
- Kredietwaardigheidsbeoordelingen
- Gegevensdeling binnen samenwerkingsverbanden
- Heimelijk onderzoek
- Internet of Things-toepassingen
Staat jouw verwerking op deze lijst? Dan voer je altijd een DPIA uit.
Niet op de AP-lijst? Toch mogelijk verplicht
Ook buiten de AP-lijst geldt de DPIA-plicht. De Europese toezichthouders hanteren negen beoordelingscriteria. Combineer je meerdere van onderstaande factoren, dan voer je een DPIA uit:
| Criterium | Voorbeeld |
|---|---|
| Profilering of scoring | Kredietbeoordeling, risicoclassificatie |
| Geautomatiseerde besluitvorming | Afwijzing zonder menselijke toets |
| Stelselmatige monitoring | Personeelsmonitoring, locatietracking |
| Gevoelige gegevens | Medisch, financieel, strafrechtelijk |
| Grootschalige verwerking | Miljoenen betrokkenen of grote datasets |
| Koppeling van databronnen | Combineren van systemen of registers |
| Kwetsbare betrokkenen | Kinderen, patiënten, werknemers |
| Nieuwe technologieën | AI, biometrie, IoT |
| Uitsluiting van rechten of diensten | Weigering toegang tot zorg of financiering |
Vuistregel: Zijn twee of meer van deze criteria van toepassing? Dan voer je een DPIA uit.
Wat staat er in een DPIA?
De AVG schrijft geen vast format voor, maar stelt wel minimumeisen. Een volledige DPIA bevat:
- Beschrijving van de verwerking — wat, hoe, waarom en door wie
- Doel en rechtsgrondslag — waarom is de verwerking noodzakelijk?
- Noodzakelijkheids- en proportionaliteitstoets — kan het ook met minder gegevens?
- Risicoanalyse — welke risico’s lopen betrokkenen?
- Maatregelen — hoe beperk je de risico’s?
De DPIA toont aantoonbaar aan dat je privacyrisico’s bewust afweegt én documenteert.
Wie voert de DPIA uit?
Een DPIA kan:
- Intern worden uitgevoerd door medewerkers met voldoende privacykennis;
- Of worden uitbesteed aan een externe deskundige.
Belangrijk is dat degene die de DPIA uitvoert toegang heeft tot alle relevante informatie binnen de organisatie en kritisch kan doorvragen, bijvoorbeeld over:
- Welke persoonsgegevens worden verwerkt;
- Wie toegang heeft tot de gegevens;
- Met wie gegevens worden gedeeld;
- Hoe lang gegevens worden bewaard;
- Welke beveiligingsmaatregelen zijn getroffen.
Rol van de Functionaris Gegevensbescherming (FG)
Heeft jouw organisatie een Functionaris Gegevensbescherming (FG)? Dan:
- Voert de FG de DPIA niet zelf uit;
- Maar moet de FG wel tijdig worden betrokken;
- En kan hij of zij adviseren en toezicht houden op het proces.
Welke risico’s beoordeel je bij een DPIA?
Bij een DPIA kijk je naar risico’s voor betrokkenen én voor de organisatie zelf.
Risico’s voor betrokkenen:
- Identiteitsfraude
- Financiële schade
- Reputatieschade
- Verlies van controle over eigen gegevens
- Discriminatie of uitsluiting
Risico’s voor de organisatie:
- Reputatieschade en vertrouwensverlies
- Verplichte proceswijzigingen
- Handhaving en boetes door de toezichthouder
Wat doe je als risico’s niet voldoende te beperken zijn?
Blijven er na de DPIA onacceptabele restrisico’s bestaan? Dan raadpleeg je vóór de start van de verwerking de AP. Dit heet een voorafgaande raadpleging. De AP beoordeelt de DPIA en stelt aanvullende maatregelen voor, of adviseert de verwerking niet uit te voeren.
Hoe vaak DPIA uitvoeren?
Een DPIA is geen eenmalige taak. Je voert een nieuwe DPIA uit, of herziet de bestaande, bij:
- Wijzigingen in de verwerking of het systeem
- Inzet van nieuwe technologieën
- Periodieke herziening (minimaal elke 2 à 3 jaar)
Stappenplan DPIA uitvoeren
Zo pak je een DPIA stap voor stap aan:
- Beoordeel of een DPIA verplicht is (AP-lijst + negen criteria)
- Stel een projectteam samen (juridisch, IT, management)
- Beschrijf de verwerking volledig en nauwkeurig
- Voer de risicoanalyse uit voor betrokkenen en organisatie
- Bepaal maatregelen om risico’s te verlagen
- Betrek de FG (indien aanwezig)
- Documenteer en onderteken — zorg voor een aantoonbaar proces
- Raadpleeg de AP bij resterende hoge risico’s
Hulp nodig bij DPIA?
Een DPIA correct uitvoeren vraagt juridische kennis én praktijkervaring. Onze privacyrecht advocaten helpen organisaties bij:
- Beoordelen of een DPIA verplicht is
- Uitvoeren en documenteren van de DPIA
- Adviseren over passende privacymaatregele
- Bredere AVG-compliance
