In één zin. Een Data Protection Impact Assessment (DPIA) is verplicht zodra een verwerking waarschijnlijk een hoog risico voor betrokkenen oplevert — de Autoriteit Persoonsgegevens publiceerde een limitatieve lijst van 17 categorieën die altijd een DPIA vereisen, en het ontbreken van een DPIA in deze gevallen is een zelfstandige boetegrond.
Belangrijkste punten
- Verplicht bij hoog risico (art. 35 lid 1) of AP-lijst (art. 35 lid 4).
- AP-lijst: 17 categorieën verwerkingen.
- WP29 Guidelines 9 risico-indicatoren.
- Voorafgaande raadpleging AP bij rest-hoog-risico (art. 36).
- Boete categorie III bij ontbrekende DPIA (basis 525 K EUR).
- Onderdeel van privacy by design (art. 25).
1. Wanneer is DPIA verplicht
Drie triggers:
- Art. 35 lid 1: verwerking levert waarschijnlijk hoog risico op.
- Art. 35 lid 3: specifieke gevallen (profilering met rechtsgevolgen, grootschalige bijzondere gegevens, grootschalige systematische monitoring openbare ruimte).
- Art. 35 lid 4: door AP op verplichte lijst geplaatst.
2. AP-lijst verplichte DPIA-categorieën
Officiële AP-publicatie (Staatscourant 2019, herzien 2024) — 17 categorieën waaronder:
- Heimelijk onderzoek (recherchebureaus).
- Zwarte lijsten of waarschuwingslijsten.
- Fraudedetectie en -bestrijding.
- Creditscoring en kredietregistratie.
- Financiële situatie (DSP2, BKR).
- Genetisch onderzoek.
- Gezondheidsgegevens grootschalig.
- Samenwerkingsverbanden voor signalering.
- Cameratoezicht in openbare ruimte.
- Flexibele werkplekken met monitoring.
- Internet-of-things in woonomgeving.
- Profileringssoftware.
- Observatie en beïnvloedingsgedrag.
- Biometrische gegevens.
- Locatiegegevens stelselmatig.
- Communicatiegegevens (telecom).
- Gebruikspatronen (vehicletelematica).
Voor de praktijk in de financiële sector (creditscoring, fraudedetectie) en de zorg (grootschalige gezondheidsgegevens) betekent dit dat vrijwel elke kernverwerking DPIA-plichtig is.
3. WP29 / EDPB risico-indicatoren
Bij twijfel buiten AP-lijst: WP29 Guidelines (door EDPB bevestigd) noemen 9 criteria. Twee of meer = waarschijnlijk hoog risico:
- Evaluatie of scoring.
- Geautomatiseerde besluitvorming met rechtsgevolgen.
- Systematische monitoring.
- Gevoelige of bijzondere gegevens.
- Grootschalige verwerking.
- Matching of combineren datasets.
- Kwetsbare betrokkenen (kinderen, werknemers, patiënten).
- Innovatief gebruik nieuwe technologie.
- Verwerking belemmert betrokkenen in uitoefening recht.
4. Inhoud DPIA (art. 35 lid 7)
Vier verplichte elementen:
- Systematische beschrijving verwerking en doel (incl. gerechtvaardigd belang indien van toepassing).
- Beoordeling noodzakelijkheid en proportionaliteit.
- Beoordeling risico’s voor rechten en vrijheden betrokkenen.
- Voorgestelde maatregelen om risico’s te beperken inclusief waarborgen, beveiligingsmaatregelen, mechanismen aantonen naleving.
5. Wie voert DPIA uit
Verwerkingsverantwoordelijke is eindverantwoordelijk. Praktische uitvoering vaak door:
- FG (verplicht advies, art. 35 lid 2).
- Privacy officer of compliance team.
- Externe DPIA-specialist (privacyconsultant).
- IT-architect en business owner samen.
FG-advies is verplicht maar niet bindend. Negeren vereist schriftelijke motivering.
6. DPIA-methodologie: 10 stappen
| Stap | Activiteit | Output |
|---|---|---|
| 1 | Triggers identificeren | DPIA noodzakelijk ja/nee |
| 2 | Scope en stakeholders | Project charter |
| 3 | Verwerking beschrijven | Data flow diagram |
| 4 | Noodzakelijkheidstest | Onderbouwing |
| 5 | Proportionaliteitstest | Onderbouwing |
| 6 | Risico-identificatie | Risico register |
| 7 | Risicobeoordeling | Heatmap |
| 8 | Mitigerende maatregelen | Actielijst |
| 9 | Rest-risico evaluatie | Acceptabel/raadpleging AP |
| 10 | Documentatie + besluit | DPIA-rapport |
7. Risicobeoordeling: matrix
Per geïdentificeerd risico bepalen: waarschijnlijkheid (laag/midden/hoog) × impact (laag/midden/hoog). Impactcategorieën: financiële schade, identiteitsfraude, fysieke schade, discriminatie, verlies controle persoonsgegevens, reputatieschade, beperking rechten. Hoog risico vereist mitigatie of voorafgaande raadpleging AP.
8. Mitigerende maatregelen
- Technisch: encryptie, pseudonimisering, anonimisering, access controls, logging, retentiebeperking.
- Organisatorisch: training, beleid, FG-toezicht, audit.
- Juridisch: contracten, toestemming, transparantie, rechten-procedures.
- Gedrag: privacy by default, minimalisatie, dataopruimactie.
9. Voorafgaande raadpleging AP (art. 36)
Wanneer rest-risico na mitigatie nog steeds hoog is, verplicht voorafgaande raadpleging AP. AP heeft 8 weken (verlengbaar met 6) voor advies. Aanvraag bevat: DPIA-rapport, mitigerende maatregelen, contactgegevens FG, schriftelijke onderbouwing. AP kan verwerking verbieden of voorwaarden opleggen.
10. DPIA en AI-systemen
EU AI Act (gefaseerd 2025-2027) introduceert Fundamental Rights Impact Assessment (FRIA) voor hoog-risico AI. FRIA + DPIA grotendeels overlappend — EDPB Guidelines (verwacht 2026) zullen samenloop verduidelijken. AP-prioriteit 2026: handhaving op AI-systemen zonder DPIA.
11. Periodieke evaluatie
Art. 35 lid 11: DPIA herzien wanneer risico verandert. Triggers: nieuwe functionaliteit, andere ontvangers, scope-uitbreiding, nieuwe technologie, incident, wetsverandering. Best practice: jaarlijkse review ongeacht wijzigingen, gedocumenteerd in DPIA-bijwerklog.
12. AP-handhaving op DPIA-tekorten
| Verantwoordelijke | Jaar | Sanctie | DPIA-issue |
|---|---|---|---|
| Erasmus MC | 2023 | bevel | Geen DPIA ICU-algoritme |
| GGD GHOR | 2021 | 150 K EUR | DPIA CoronIT onvolledig |
| ROC Amsterdam | 2024 | 50 K EUR | Geen DPIA leerlingvolgsysteem |
| Aena (Spanje) | 2025 | 10 M EUR | Gezichtsherkenning zonder DPIA |
| Clearview AI (NL) | 2023 | 30,5 M EUR | Geen DPIA biometrische database |
| CNIL Carrefour | 2020 | 2,2 M EUR | DPIA + transparantie tekort |
AP-prioriteit 2026: DPIA-naleving bij AI-systemen en grootschalige profilering. Voor AP boetes 2025 overzicht en AVG Art. 32 beveiliging over mitigerende technische maatregelen.
13. DPIA-template essentials
Minimumstructuur volgens EDPB Guidelines 4/2017 en CNIL PIA-handboek:
- Identificatiekaart: verwerking, doel, verantwoordelijke, FG.
- Verwerkingsbeschrijving: data flow, ontvangers, doorgifte, retentie.
- Naleving fundamenten: rechtmatigheid, behoorlijkheid, transparantie, doelbinding, minimalisatie, juistheid, opslagbeperking, integriteit.
- Rechten betrokkenen: inzage, rectificatie, wissing, beperking, dataportabiliteit, bezwaar.
- Risico-analyse: identificatie, waarschijnlijkheid, impact, restrisico.
- Maatregelen: technisch, organisatorisch, juridisch.
- Goedkeuring: FG-advies, bestuursbeslissing, datum.
CNIL biedt gratis open-source DPIA-tool (cnil.fr/pia). AP heeft geen eigen tool maar verwijst naar deze of commerciële alternatieven (OneTrust, DataGuard, Privacy1).
14. Documentatie en publicatie
DPIA-rapport: intern document, niet verplicht publiek. AP en betrokkenen kunnen wel om inzage vragen. Best practice: openbare samenvatting publiceren bij grootschalige overheidsverwerking — transparantie verhoogt vertrouwen. Voorbeelden: CoronaMelder DPIA, gemeente Amsterdam algoritmeregister.
15. Officiële hulpmiddelen en bronnen
De verplichte-DPIA-lijst en de uitleg bij artikel 35 AVG staan op de site van de Autoriteit Persoonsgegevens. Voor een gratis methodiek biedt de Franse toezichthouder CNIL een open-source PIA-tool die ook in Nederland breed wordt gebruikt; de European Data Protection Board publiceert de onderliggende richtsnoeren (WP248) over wat “waarschijnlijk hoog risico” inhoudt. Documenteer in uw DPIA welke bron en methodiek u volgt — dat maakt de beoordeling toetsbaar en herhaalbaar voor volgende verwerkingen, en het toont de AP dat u een gestructureerde, erkende aanpak hanteert in plaats van een ad-hoc invuloefening.
FAQ
Wat is een DPIA precies?
Een gestructureerde risicobeoordeling voor verwerkingen met hoog risico voor betrokkenen. Verplicht onder AVG artikel 35 in specifieke gevallen. Onderdeel van accountability en privacy by design.
Hoe lang duurt een DPIA?
Eenvoudige DPIA: 2-4 weken doorlooptijd. Complexe DPIA (AI, grootschalige biometrie, nieuwe technologie): 2-4 maanden. Stakeholderinterviews, technische analyse en juridische beoordeling kosten tijd.
Wat als ik geen DPIA uitvoer waar dat verplicht is?
Boete categorie III (basis 525 K EUR) onder art. 83 lid 4. Bovendien verstevigt ontbreken van DPIA bij later incident de boete voor andere overtredingen. Aena (Spanje 2025): 10 M EUR boete onder andere wegens ontbreken DPIA bij gezichtsherkenning.
Moet ik betrokkenen raadplegen bij DPIA?
Art. 35 lid 9: indien passend de mening van betrokkenen of hun vertegenwoordigers vragen. Niet strikt verplicht maar best practice bij grootschalige of gevoelige verwerking. Werknemersraadpleging via ondernemingsraad voor HR-DPIA’s.
Is een DPIA hetzelfde als een Privacy Impact Assessment?
In de praktijk grotendeels ja. DPIA is de AVG-terminologie (art. 35). PIA is bredere term gebruikt buiten Europa. EDPB en AP gebruiken DPIA als juridisch correcte benaming.
Wanneer moet ik voorafgaande raadpleging AP doen?
Wanneer DPIA na alle mitigerende maatregelen nog steeds een rest-hoog-risico identificeert (art. 36). AP heeft 8 weken (verlengbaar met 6) voor schriftelijk advies. Aanvraag bevat DPIA-rapport, mitigatieplan, FG-contactgegevens, schriftelijke onderbouwing. AP kan verwerking verbieden, voorwaarden opleggen of groen licht geven. Negeren van raadplegingsplicht is zelfstandige overtreding.
Hoe verhoudt DPIA zich tot FRIA onder EU AI Act?
FRIA (Fundamental Rights Impact Assessment, art. 27 AI Act) is verplicht voor publieke entiteiten en sommige private entiteiten die hoog-risico AI inzetten. Overlapt grotendeels met DPIA. EDPB Guidelines (verwacht 2026) zullen integratie verduidelijken. Praktisch: één gecombineerd document met aparte secties voor AVG (rechten betrokkenen, beveiliging) en AI Act (fundamentele rechten, accuracy, robustness). Zie ook AVG Art. 5 beginselen en Datalekken melden.
Kan ik een sectorale DPIA hergebruiken?
Ja, voor vergelijkbare verwerkingen binnen sector. SLM Rijk (Microsoft 365), SURF (Google Workspace, Zoom), het Privacyconvenant uit het onderwijs en NEN 7510-DPIA’s bieden sectorale baselines. Verantwoordelijke moet wel eigen organisatiespecifieke toetsing toevoegen — generieke DPIA accepteren zonder analyse is onvoldoende onder accountability.
Zie ook: een DPIA-voorbeeld en template.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial