Compliance

DPIA uitvoeren: stappenplan AVG artikel 35

DPIA stappenplan AVG art. 35: AP-lijst verplichte gevallen, methodologie, voorafgaande raadpleging. Praktisch 10-stappen model 2026.

Also available in:Italiano

In één zin. Een Data Protection Impact Assessment (DPIA) is verplicht zodra een verwerking waarschijnlijk een hoog risico voor betrokkenen oplevert — de Autoriteit Persoonsgegevens publiceerde een limitatieve lijst van 17 categorieën die altijd een DPIA vereisen, en het ontbreken van een DPIA in deze gevallen is een zelfstandige boetegrond.

Belangrijkste punten

  • Verplicht bij hoog risico (art. 35 lid 1) of AP-lijst (art. 35 lid 4).
  • AP-lijst: 17 categorieën verwerkingen.
  • WP29 Guidelines 9 risico-indicatoren.
  • Voorafgaande raadpleging AP bij rest-hoog-risico (art. 36).
  • Boete categorie III bij ontbrekende DPIA (basis 525 K EUR).
  • Onderdeel van privacy by design (art. 25).

1. Wanneer is DPIA verplicht

Drie triggers:

  • Art. 35 lid 1: verwerking levert waarschijnlijk hoog risico op.
  • Art. 35 lid 3: specifieke gevallen (profilering met rechtsgevolgen, grootschalige bijzondere gegevens, grootschalige systematische monitoring openbare ruimte).
  • Art. 35 lid 4: door AP op verplichte lijst geplaatst.

2. AP-lijst verplichte DPIA-categorieën

Officiële AP-publicatie (Staatscourant 2019, herzien 2024) — 17 categorieën waaronder:

  • Heimelijk onderzoek (recherchebureaus).
  • Zwarte lijsten of waarschuwingslijsten.
  • Fraudedetectie en -bestrijding.
  • Creditscoring en kredietregistratie.
  • Financiële situatie (DSP2, BKR).
  • Genetisch onderzoek.
  • Gezondheidsgegevens grootschalig.
  • Samenwerkingsverbanden voor signalering.
  • Cameratoezicht in openbare ruimte.
  • Flexibele werkplekken met monitoring.
  • Internet-of-things in woonomgeving.
  • Profileringssoftware.
  • Observatie en beïnvloedingsgedrag.
  • Biometrische gegevens.
  • Locatiegegevens stelselmatig.
  • Communicatiegegevens (telecom).
  • Gebruikspatronen (vehicletelematica).

Voor de praktijk in de financiële sector (creditscoring, fraudedetectie) en de zorg (grootschalige gezondheidsgegevens) betekent dit dat vrijwel elke kernverwerking DPIA-plichtig is.

3. WP29 / EDPB risico-indicatoren

Bij twijfel buiten AP-lijst: WP29 Guidelines (door EDPB bevestigd) noemen 9 criteria. Twee of meer = waarschijnlijk hoog risico:

  1. Evaluatie of scoring.
  2. Geautomatiseerde besluitvorming met rechtsgevolgen.
  3. Systematische monitoring.
  4. Gevoelige of bijzondere gegevens.
  5. Grootschalige verwerking.
  6. Matching of combineren datasets.
  7. Kwetsbare betrokkenen (kinderen, werknemers, patiënten).
  8. Innovatief gebruik nieuwe technologie.
  9. Verwerking belemmert betrokkenen in uitoefening recht.

4. Inhoud DPIA (art. 35 lid 7)

Vier verplichte elementen:

  • Systematische beschrijving verwerking en doel (incl. gerechtvaardigd belang indien van toepassing).
  • Beoordeling noodzakelijkheid en proportionaliteit.
  • Beoordeling risico’s voor rechten en vrijheden betrokkenen.
  • Voorgestelde maatregelen om risico’s te beperken inclusief waarborgen, beveiligingsmaatregelen, mechanismen aantonen naleving.

5. Wie voert DPIA uit

Verwerkingsverantwoordelijke is eindverantwoordelijk. Praktische uitvoering vaak door:

  • FG (verplicht advies, art. 35 lid 2).
  • Privacy officer of compliance team.
  • Externe DPIA-specialist (privacyconsultant).
  • IT-architect en business owner samen.

FG-advies is verplicht maar niet bindend. Negeren vereist schriftelijke motivering.

6. DPIA-methodologie: 10 stappen

Stap Activiteit Output
1 Triggers identificeren DPIA noodzakelijk ja/nee
2 Scope en stakeholders Project charter
3 Verwerking beschrijven Data flow diagram
4 Noodzakelijkheidstest Onderbouwing
5 Proportionaliteitstest Onderbouwing
6 Risico-identificatie Risico register
7 Risicobeoordeling Heatmap
8 Mitigerende maatregelen Actielijst
9 Rest-risico evaluatie Acceptabel/raadpleging AP
10 Documentatie + besluit DPIA-rapport

7. Risicobeoordeling: matrix

Per geïdentificeerd risico bepalen: waarschijnlijkheid (laag/midden/hoog) × impact (laag/midden/hoog). Impactcategorieën: financiële schade, identiteitsfraude, fysieke schade, discriminatie, verlies controle persoonsgegevens, reputatieschade, beperking rechten. Hoog risico vereist mitigatie of voorafgaande raadpleging AP.

8. Mitigerende maatregelen

  • Technisch: encryptie, pseudonimisering, anonimisering, access controls, logging, retentiebeperking.
  • Organisatorisch: training, beleid, FG-toezicht, audit.
  • Juridisch: contracten, toestemming, transparantie, rechten-procedures.
  • Gedrag: privacy by default, minimalisatie, dataopruimactie.

9. Voorafgaande raadpleging AP (art. 36)

Wanneer rest-risico na mitigatie nog steeds hoog is, verplicht voorafgaande raadpleging AP. AP heeft 8 weken (verlengbaar met 6) voor advies. Aanvraag bevat: DPIA-rapport, mitigerende maatregelen, contactgegevens FG, schriftelijke onderbouwing. AP kan verwerking verbieden of voorwaarden opleggen.

10. DPIA en AI-systemen

EU AI Act (gefaseerd 2025-2027) introduceert Fundamental Rights Impact Assessment (FRIA) voor hoog-risico AI. FRIA + DPIA grotendeels overlappend — EDPB Guidelines (verwacht 2026) zullen samenloop verduidelijken. AP-prioriteit 2026: handhaving op AI-systemen zonder DPIA.

11. Periodieke evaluatie

Art. 35 lid 11: DPIA herzien wanneer risico verandert. Triggers: nieuwe functionaliteit, andere ontvangers, scope-uitbreiding, nieuwe technologie, incident, wetsverandering. Best practice: jaarlijkse review ongeacht wijzigingen, gedocumenteerd in DPIA-bijwerklog.

12. AP-handhaving op DPIA-tekorten

Verantwoordelijke Jaar Sanctie DPIA-issue
Erasmus MC 2023 bevel Geen DPIA ICU-algoritme
GGD GHOR 2021 150 K EUR DPIA CoronIT onvolledig
ROC Amsterdam 2024 50 K EUR Geen DPIA leerlingvolgsysteem
Aena (Spanje) 2025 10 M EUR Gezichtsherkenning zonder DPIA
Clearview AI (NL) 2023 30,5 M EUR Geen DPIA biometrische database
CNIL Carrefour 2020 2,2 M EUR DPIA + transparantie tekort

AP-prioriteit 2026: DPIA-naleving bij AI-systemen en grootschalige profilering. Voor AP boetes 2025 overzicht en AVG Art. 32 beveiliging over mitigerende technische maatregelen.

13. DPIA-template essentials

Minimumstructuur volgens EDPB Guidelines 4/2017 en CNIL PIA-handboek:

  1. Identificatiekaart: verwerking, doel, verantwoordelijke, FG.
  2. Verwerkingsbeschrijving: data flow, ontvangers, doorgifte, retentie.
  3. Naleving fundamenten: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimalisatie, juistheid, opslagbeperking, integriteit.
  4. Rechten betrokkenen: inzage, rectificatie, wissing, beperking, dataportabiliteit, bezwaar.
  5. Risico-analyse: identificatie, waarschijnlijkheid, impact, restrisico.
  6. Maatregelen: technisch, organisatorisch, juridisch.
  7. Goedkeuring: FG-advies, bestuursbeslissing, datum.

CNIL biedt gratis open-source DPIA-tool (cnil.fr/pia). AP heeft geen eigen tool maar verwijst naar deze of commerciële alternatieven (OneTrust, DataGuard, Privacy1).

14. Documentatie en publicatie

DPIA-rapport: intern document, niet verplicht publiek. AP en betrokkenen kunnen wel om inzage vragen. Best practice: openbare samenvatting publiceren bij grootschalige overheidsverwerking — transparantie verhoogt vertrouwen. Voorbeelden: CoronaMelder DPIA, gemeente Amsterdam algoritmeregister.

15. Officiële hulpmiddelen en bronnen

De verplichte-DPIA-lijst en de uitleg bij artikel 35 AVG staan op de site van de Autoriteit Persoonsgegevens. Voor een gratis methodiek biedt de Franse toezichthouder CNIL een open-source PIA-tool die ook in Nederland breed wordt gebruikt; de European Data Protection Board publiceert de onderliggende richtsnoeren (WP248) over wat “waarschijnlijk hoog risico” inhoudt. Documenteer in uw DPIA welke bron en methodiek u volgt — dat maakt de beoordeling toetsbaar en herhaalbaar voor volgende verwerkingen, en het toont de AP dat u een gestructureerde, erkende aanpak hanteert in plaats van een ad-hoc invuloefening.

FAQ

Wat is een DPIA precies?

Een gestructureerde risicobeoordeling voor verwerkingen met hoog risico voor betrokkenen. Verplicht onder AVG artikel 35 in specifieke gevallen. Onderdeel van accountability en privacy by design.

Hoe lang duurt een DPIA?

Eenvoudige DPIA: 2-4 weken doorlooptijd. Complexe DPIA (AI, grootschalige biometrie, nieuwe technologie): 2-4 maanden. Stakeholderinterviews, technische analyse en juridische beoordeling kosten tijd.

Wat als ik geen DPIA uitvoer waar dat verplicht is?

Boete categorie III (basis 525 K EUR) onder art. 83 lid 4. Bovendien verstevigt ontbreken van DPIA bij later incident de boete voor andere overtredingen. Aena (Spanje 2025): 10 M EUR boete onder andere wegens ontbreken DPIA bij gezichtsherkenning.

Moet ik betrokkenen raadplegen bij DPIA?

Art. 35 lid 9: indien passend de mening van betrokkenen of hun vertegenwoordigers vragen. Niet strikt verplicht maar best practice bij grootschalige of gevoelige verwerking. Werknemersraadpleging via ondernemingsraad voor HR-DPIA’s.

Is een DPIA hetzelfde als een Privacy Impact Assessment?

In de praktijk grotendeels ja. DPIA is de AVG-terminologie (art. 35). PIA is bredere term gebruikt buiten Europa. EDPB en AP gebruiken DPIA als juridisch correcte benaming.

Wanneer moet ik voorafgaande raadpleging AP doen?

Wanneer DPIA na alle mitigerende maatregelen nog steeds een rest-hoog-risico identificeert (art. 36). AP heeft 8 weken (verlengbaar met 6) voor schriftelijk advies. Aanvraag bevat DPIA-rapport, mitigatieplan, FG-contactgegevens, schriftelijke onderbouwing. AP kan verwerking verbieden, voorwaarden opleggen of groen licht geven. Negeren van raadplegingsplicht is zelfstandige overtreding.

Hoe verhoudt DPIA zich tot FRIA onder EU AI Act?

FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act) is verplicht voor publieke entiteiten en sommige private entiteiten die hoog-risico AI inzetten. Overlapt grotendeels met DPIA. EDPB Guidelines (verwacht 2026) zullen integratie verduidelijken. Praktisch: één gecombineerd document met aparte secties voor AVG (rechten betrokkenen, beveiliging) en AI Act (fundamentele rechten, accuracy, robustness). Zie ook AVG Art. 5 beginselen en Datalekken melden.

Kan ik een sectorale DPIA hergebruiken?

Ja, voor vergelijkbare verwerkingen binnen sector. SLM Rijk (Microsoft 365), SURF (Google Workspace, Zoom), het Privacyconvenant uit het onderwijs en NEN 7510-DPIA’s bieden sectorale baselines. Verantwoordelijke moet wel eigen organisatiespecifieke toetsing toevoegen — generieke DPIA accepteren zonder analyse is onvoldoende onder accountability.

Zie ook: een DPIA-voorbeeld en template.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →