Privacywetgeving

DPIA voorbeeld: template en ingevuld voorbeeld

DPIA voorbeeld en template onder de AVG: een ingevulde gegevensbeschermingseffectbeoordeling voor cameratoezicht, met de AP-lijst van verplichte verwerkingen.

Also available in:Français·Deutsch

Een DPIA (Data Protection Impact Assessment, in het Nederlands gegevensbeschermingseffectbeoordeling) is verplicht wanneer een verwerking waarschijnlijk een hoog risico voor betrokkenen oplevert, en volgt de structuur van artikel 35 AVG: een systematische beschrijving van de verwerking, een beoordeling van de noodzaak en evenredigheid, een inschatting van de risico’s en de maatregelen om die te beperken. Hieronder een bruikbare template met een ingevuld voorbeeld voor cameratoezicht op een kantoorpand — een verwerking die vaak DPIA-plichtig is. Zo ziet u niet alleen wat een DPIA moet bevatten, maar ook hoe u het invult.

Een DPIA is geen formaliteit die u achteraf invult; het is een instrument dat u vóór de start van de verwerking dwingt om risico’s te zien en te beperken.

Key Takeaways

  • Een DPIA is verplicht bij hoog risico (art. 35 AVG) — de AP publiceerde een lijst met 17 verplichte verwerkingscategorieën.
  • De vaste onderdelen: beschrijving, noodzaak/evenredigheid, risico’s, maatregelen.
  • Cameratoezicht, zwarte lijsten en heimelijk onderzoek staan op de AP-lijst van DPIA-plichtige verwerkingen.
  • Blijft er na maatregelen een hoog restrisico, dan volgt een voorafgaande raadpleging van de AP (art. 36).
  • Het overslaan van een verplichte DPIA is zelf een overtreding — ICS kreeg daarvoor een boete van €150.000.

Wanneer is een DPIA verplicht?

Een DPIA is verplicht bij een waarschijnlijk hoog risico. Artikel 35 lid 3 noemt drie situaties: systematische en uitgebreide beoordeling (profilering) met rechtsgevolgen, grootschalige verwerking van bijzondere persoonsgegevens, en stelselmatige grootschalige monitoring van openbaar toegankelijke ruimten. De AP heeft dit aangevuld met een lijst van 17 soorten verwerkingen die altijd een DPIA vereisen, waaronder heimelijk onderzoek, zwarte lijsten, cameratoezicht op grote schaal en verwerking van locatiegegevens.

Twijfelt u of uw verwerking eronder valt, doorloop dan eerst het stappenplan om een DPIA uit te voeren en de bredere uitleg over de gegevensbeschermingseffectbeoordeling. Als de verwerking niet op de lijst staat en geen hoog-risicokenmerken heeft, volstaat een korte pre-scan die u vastlegt.

Een handige tussenstap is de zogeheten pre-DPIA of DPIA-drempeltoets. Daarin loopt u de negen criteria van de EDPB langs — waaronder profilering, geautomatiseerde besluitvorming, grootschalige verwerking, koppeling van datasets, gegevens van kwetsbare betrokkenen en innovatief technologiegebruik. Voldoet uw verwerking aan twee of meer van die criteria, dan is een volledige DPIA in beginsel verplicht. Deze drempeltoets kost weinig tijd en geeft u een gedocumenteerde onderbouwing van uw keuze om wél of géén DPIA te doen — precies het bewijs dat de AP wil zien als zij later vraagt waarom u dacht dat een DPIA niet nodig was.

De DPIA-template: vier onderdelen

Onderdeel Wat u beschrijft
1. Beschrijving Doel, aard, omvang en context; gegevenscategorieën; betrokkenen; grondslag
2. Noodzaak en evenredigheid Waarom deze verwerking; minder ingrijpende alternatieven; bewaartermijn
3. Risico’s Bedreigingen voor rechten en vrijheden; kans en impact
4. Maatregelen Technische en organisatorische maatregelen; restrisico

De template sluit aan op het model van de Rijksoverheid (het PIA-model) en op de structuur van artikel 35. Betrek waar mogelijk de functionaris voor gegevensbescherming en, bij twijfel, de betrokkenen.

Ingevuld voorbeeld: cameratoezicht kantoorpand

1. Beschrijving. Doel: beveiliging van het pand en voorkomen van diefstal buiten kantooruren. Aard: continu camerabeeld van entree, parkeerplaats en magazijn. Betrokkenen: medewerkers, bezoekers, leveranciers. Gegevens: beeldopnames (mogelijk herleidbaar tot personen). Grondslag: gerechtvaardigd belang (art. 6 lid 1f), na een belangenafweging.

2. Noodzaak en evenredigheid. Camera’s zijn noodzakelijk omdat eerdere incidenten met minder ingrijpende middelen (verlichting, sloten) niet zijn opgelost. Geen camera’s op werkplekken of in pauzeruimtes — dat zou disproportioneel zijn. Bewaartermijn: maximaal 4 weken, conform de AP-norm, tenzij een concreet incident langer bewaren rechtvaardigt.

3. Risico’s. Risico op continue monitoring van medewerkers (privacy op de werkvloer), risico op ongeautoriseerde toegang tot beelden, risico op functiecreep (beelden gebruiken voor prestatiebeoordeling — verboden).

4. Maatregelen. Duidelijke bordjes bij elke ingang (informatieplicht), toegang tot beelden beperkt tot de beveiliger op need-to-know-basis met logging, versleutelde opslag conform artikel 32 AVG, automatische verwijdering na 4 weken, en instemming van de ondernemingsraad. Restrisico na maatregelen: laag — geen voorafgaande raadpleging nodig.

Deze structuur past u aan per verwerking. De AP publiceert haar DPIA-lijst en toelichting op haar officiële website; de EDPB gaf richtsnoeren over DPIA’s (WP248).

Veelgemaakte fouten bij een DPIA

Een DPIA is snel een papieren exercitie als u niet oppast. De fouten die de AP in de praktijk het vaakst aantreft:

  • Te laat beginnen. De DPIA hoort vóór de start van de verwerking, niet als verantwoording achteraf. Een DPIA die pas na livegang wordt ingevuld, kan de risico’s niet meer wegnemen — het datamodel en de verwerking liggen dan al vast.
  • Risico’s voor de organisatie in plaats van voor de betrokkene. Een DPIA beoordeelt de risico’s voor de rechten en vrijheden van betrokkenen, niet de bedrijfsrisico’s. Wie een DPIA verwart met een gewone risicoanalyse, mist de kern.
  • Maatregelen die niet bij de risico’s passen. Elke geïdentificeerde bedreiging hoort een concrete maatregel te krijgen. Een generieke opsomming (“wij nemen passende maatregelen”) volstaat niet.
  • Geen herbeoordeling. Verandert de verwerking — nieuwe gegevens, nieuw doel, nieuwe techniek — dan actualiseert u de DPIA. Een eenmalig document veroudert snel.
  • De FG of betrokkenen niet raadplegen. Artikel 35 lid 2 verplicht u het advies van de functionaris voor gegevensbescherming te vragen; waar mogelijk betrekt u ook de betrokkenen.

De onderliggende boodschap is dat een DPIA een besluitvormingsinstrument is, geen archiefstuk. De waarde zit in de vragen die het u dwingt te stellen vóórdat u begint: is deze verwerking echt nodig, kan het met minder gegevens, en wegen de maatregelen op tegen de risico’s? Beantwoordt u die eerlijk, dan is de DPIA niet alleen een wettelijke plicht maar ook het moment waarop u een dure of riskante verwerking nog kunt bijsturen.

Na de DPIA

Blijft er ondanks maatregelen een hoog restrisico, dan bent u verplicht tot een voorafgaande raadpleging van de AP (art. 36 AVG) vóórdat u start. Sla de DPIA nooit over als hij verplicht is: dat is zelf een overtreding. De AP legde ICS (International Card Services) een boete van €150.000 op omdat het bedrijf een verplichte DPIA had nagelaten.

Leg de DPIA vast en koppel haar aan de verwerking in uw verwerkingsregister. Voor organisaties met veel DPIA-plichtige verwerkingen helpt een platform zoals Legiscope om de beoordeling, de maatregelen en het restrisico per verwerking bij te houden en periodiek te herzien — want een DPIA is geen eenmalig document maar volgt de verwerking.

FAQ

Wanneer moet ik een DPIA uitvoeren?

Wanneer een verwerking waarschijnlijk een hoog risico oplevert, of wanneer ze op de AP-lijst van 17 verplichte verwerkingscategorieën staat — waaronder grootschalig cameratoezicht, zwarte lijsten en heimelijk onderzoek. Bij twijfel voert u een korte pre-scan uit en legt u de uitkomst vast.

Wat moet een DPIA minimaal bevatten?

De vier onderdelen van artikel 35 lid 7: een systematische beschrijving van de verwerking, een beoordeling van noodzaak en evenredigheid, een inschatting van de risico’s voor betrokkenen, en de maatregelen om die risico’s te beperken. Zonder deze onderdelen is de DPIA onvolledig.

Wat gebeurt er als ik een verplichte DPIA oversla?

Dat is zelf een overtreding van artikel 35 AVG. De AP kan handhaven, ook zonder dat er een datalek is geweest. ICS kreeg een boete van €150.000 voor het nalaten van een verplichte DPIA.

Moet ik de AP raadplegen na een DPIA?

Alleen als er na de maatregelen nog een hoog restrisico overblijft. Dan schrijft artikel 36 AVG een voorafgaande raadpleging voor: u legt de verwerking aan de AP voor vóórdat u begint. Blijft het restrisico laag, dan is raadpleging niet nodig.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →