Een DPIA (gegevensbeschermingseffectbeoordeling) is een verplichte risicoanalyse die u uitvoert vóórdat u een verwerking start die waarschijnlijk een hoog risico oplevert voor betrokkenen, voorgeschreven door artikel 35 AVG. U bent verplicht een DPIA te doen in drie situaties: bij systematische en uitgebreide beoordeling op basis van geautomatiseerde verwerking (waaronder profilering) met rechtsgevolgen, bij grootschalige verwerking van bijzondere categorieën persoonsgegevens, en bij grootschalige stelselmatige monitoring van openbaar toegankelijke ruimten. Daarnaast publiceert de Autoriteit Persoonsgegevens (AP) een lijst van verwerkingen waarvoor een DPIA sowieso verplicht is. Een DPIA beschrijft de verwerking, beoordeelt de noodzaak en evenredigheid, brengt de risico’s in kaart en legt de beheersmaatregelen vast. Hieronder de verplichte inhoud en een model.
Deze pagina behandelt de wanneer-vraag, de inhoud en het model. Voor een volledig stappenplan verwijzen we naar onze gids DPIA uitvoeren: stappenplan.
Wanneer is een DPIA verplicht?
Naast de drie criteria van artikel 35 lid 3 hanteert de AP twee aanvullende bronnen:
- De AP-lijst (besluit op grond van art. 35 lid 4) somt soorten verwerkingen op waarvoor een DPIA altijd verplicht is — onder meer heimelijk onderzoek, zwarte lijsten, fraudebestrijding, cameratoezicht op grote schaal, verwerking van communicatiegegevens en grootschalige verwerking van gezondheidsgegevens.
- De negen criteria uit de Europese richtsnoeren (WP248). Voldoet een verwerking aan twee of meer daarvan — bijvoorbeeld profilering, bijzondere gegevens, grootschaligheid, kwetsbare betrokkenen — dan is een DPIA aangewezen.
Bij twijfel geldt: voer de DPIA uit. Het is goedkoper dan achteraf een verwerking moeten terugdraaien of een boete riskeren.
De verplichte inhoud (art. 35 lid 7)
Een DPIA bevat minimaal:
| Onderdeel | Wat u vastlegt |
|---|---|
| Beschrijving van de verwerking | Doel, aard, omvang, context; koppel aan uw verwerkingsregister |
| Noodzaak en evenredigheid | Waarom deze verwerking nodig is en niet minder ingrijpend kan |
| Beoordeling van de risico’s | Risico’s voor de rechten en vrijheden van betrokkenen |
| Beheersmaatregelen | Maatregelen om de risico’s te beperken tot een aanvaardbaar niveau |
De beoordeling van de rechtsgrond (artikel 6) en van de beveiliging (artikel 32) zijn vaste onderdelen van een deugdelijke DPIA.
Model: de opbouw van een DPIA
Een bruikbaar DPIA-model volgt deze structuur:
- Context en verwerkingsbeschrijving — wie, wat, waarom, met welke gegevens, welke betrokkenen, welke ontvangers, welke bewaartermijnen.
- Rechtmatigheidstoets — rechtsgrond, doelbinding, bewaartermijnen en informatieplicht.
- Risicobeoordeling — per risico (onrechtmatige toegang, ongewenste wijziging, verlies): waarschijnlijkheid × ernst, vanuit het perspectief van de betrokkene.
- Beheersmaatregelen — technische en organisatorische maatregelen die het risico terugbrengen, met het restrisico.
- Advies FG en besluit — het advies van de functionaris gegevensbescherming, de eventuele consultatie van betrokkenen, en het besluit van de verantwoordelijke.
Voorafgaande raadpleging (art. 36)
Blijft er ná de beheersmaatregelen een hoog restrisico bestaan, dan moet u vóór de start van de verwerking de AP raadplegen (voorafgaande raadpleging, art. 36). De AP kan dan schriftelijk adviseren of ingrijpen. Dit is de uitzondering, niet de regel: doorgaans lukt het om het risico met maatregelen tot een aanvaardbaar niveau terug te brengen. Maar het niet raadplegen bij een aantoonbaar hoog restrisico is een zelfstandige overtreding.
DPIA als levend document
Een DPIA is geen momentopname. Herzie hem bij elke wezenlijke wijziging van de verwerking — nieuwe gegevens, nieuwe doelen, nieuwe technologie, nieuwe verwerkers — en periodiek, ook zonder wijziging. Koppel de DPIA aan de betreffende registerentry, zodat het verband tussen verwerking en risicobeoordeling zichtbaar blijft. Bij een groeiend aantal risicovolle verwerkingen wordt dit handmatig lastig; een platform zoals Legiscope begeleidt de DPIA met vragenlijsten en houdt de koppeling met register en beheersmaatregelen actueel.
Waarom de AP hierop let
De DPIA is het bewijs dat u vooraf over de risico’s heeft nagedacht — de kern van het accountability-beginsel uit artikel 5. Bij verwerkingen met camera’s, personeelsmonitoring, profilering of gezondheidsgegevens toetst de AP standaard of er een DPIA is uitgevoerd. Het ontbreken ervan bij een verwerking die er duidelijk om vraagt, is een zwaarwegend signaal en weegt mee in de handhaving, met boetes die kunnen oplopen op grond van artikel 83.
Veelgemaakte fouten bij DPIA’s
Een DPIA is snel een papieren exercitie in plaats van een echte risicoanalyse. De terugkerende fouten:
- Te laat beginnen. De DPIA moet vóór de start van de verwerking klaar zijn, niet achteraf ter legitimatie.
- Risico’s vanuit de organisatie beoordelen. Een DPIA kijkt naar de gevolgen voor de betrokkene, niet primair naar het bedrijfsrisico.
- Beheersmaatregelen zonder restrisico. Wie geen restrisico benoemt, kan ook niet beoordelen of voorafgaande raadpleging nodig is.
- De FG niet betrekken. Waar een FG is aangesteld, is diens advies verplicht onderdeel.
- De DPIA nooit herzien. Bij wijziging van de verwerking is een verouderde DPIA waardeloos.
- Betrokkenen niet raadplegen waar dat kan. Bij ingrijpende verwerkingen verwacht de AP dat u waar passend het standpunt van betrokkenen meeweegt.
DPIA en privacy by design
De DPIA staat niet los van het ontwerp van uw verwerking. Artikel 25 (gegevensbescherming door ontwerp en standaardinstellingen) verplicht u om privacy-waarborgen al in het ontwerp in te bouwen. De DPIA is het instrument dat toetst óf dat is gelukt: het maakt de risico’s zichtbaar en dwingt af dat u maatregelen neemt vóór de verwerking live gaat. Een DPIA die alleen achteraf wordt ingevuld, mist die ontwerpfunctie volledig. Behandel de DPIA daarom als onderdeel van uw projectproces — een go/no-go-moment — en niet als een formulier dat de jurist achteraf invult. Zo wordt de DPIA wat de wetgever bedoelde: een sturingsinstrument, geen archiefstuk.
Een DPIA hergebruiken binnen een sector
Voor terugkerende, vergelijkbare verwerkingen mag u een sectorale of generieke DPIA als basis nemen — bijvoorbeeld de collectieve DPIA’s die binnen het onderwijs (SURF, SIVON) en de rijksoverheid (SLM Rijk) zijn opgesteld voor clouddiensten als Microsoft 365 en Google Workspace. U kunt die echter niet klakkeloos overnemen: elke verantwoordelijke moet de organisatiespecifieke context, de eigen configuratie-instellingen en het eigen restrisico toevoegen. Een generieke DPIA accepteren zonder eigen toetsing schiet tekort onder het accountability-beginsel, omdat u dan niet kunt aantonen dat de risico’s in úw concrete situatie zijn beoordeeld. Behandel een sectorale DPIA dus als een sjabloon dat 70 procent van het werk levert, niet als een eindproduct.
Veelgestelde vragen
Wanneer moet ik een DPIA uitvoeren?
Bij systematische en uitgebreide geautomatiseerde beoordeling met rechtsgevolgen, bij grootschalige verwerking van bijzondere gegevens, en bij grootschalige monitoring van openbare ruimten. Daarnaast bij alles wat op de AP-lijst staat of aan twee of meer van de negen Europese criteria voldoet. Bij twijfel: voer hem uit.
Wie voert de DPIA uit?
De verwerkingsverantwoordelijke is verantwoordelijk voor de uitvoering, met advies van de FG waar die is aangesteld. In de praktijk stelt een projectteam of privacy officer de DPIA op; de FG beoordeelt en adviseert; het bestuur neemt het besluit.
Wat is het verschil tussen een DPIA en een gewone risicoanalyse?
Een DPIA beoordeelt de risico’s specifiek vanuit het perspectief van de betrokkene — de gevolgen voor diens rechten en vrijheden — en volgt de verplichte structuur van artikel 35 lid 7. Een reguliere security-risicoanalyse kijkt vooral naar de organisatie zelf. De DPIA omvat de beveiligingsvraag, maar gaat verder.
Moet ik de AP raadplegen na elke DPIA?
Nee. Voorafgaande raadpleging (art. 36) is alleen verplicht wanneer er na de beheersmaatregelen nog een hoog restrisico overblijft. In de meeste gevallen brengt u het risico met maatregelen tot een aanvaardbaar niveau terug en is raadpleging niet nodig.
Conclusie
De DPIA is de verplichte, vooraf uit te voeren risicoanalyse voor verwerkingen met een hoog risico — het bewijs dat u de gevolgen voor betrokkenen heeft doordacht vóór u begon. Bepaal eerst of u verplicht bent aan de hand van artikel 35, de AP-lijst en de negen Europese criteria, volg dan het model met verwerkingsbeschrijving, rechtmatigheidstoets, risicobeoordeling en beheersmaatregelen, en raadpleeg de AP alleen bij een blijvend hoog restrisico. Behandel de DPIA als een levend document dat u koppelt aan uw register — bij meerdere risicovolle verwerkingen loont software die het proces begeleidt en actueel houdt.
Zie ook: een DPIA-voorbeeld en template.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial