Deze informatie voortaan altijd bij de hand? Download hier een (printbare) PDF-versie.
Een Data Protection Impact Assessment (DPIA), ook wel gegevensbeschermingseffectbeoordeling, is een gestructureerd proces waarmee privacyrisico’s van een verwerking van persoonsgegevens vooraf in kaart worden gebracht. Zo kan een organisatie tijdig passende maatregelen nemen om deze risico’s te verkleinen en aantonen dat zij voldoet aan de verantwoordingsplicht van de Algemene Verordening Gegevensbescherming (AVG).
Een DPIA beschrijft de aard, omvang, context en doeleinden van de verwerking, beoordeelt de noodzakelijkheid en evenredigheid ervan, identificeert mogelijke risico’s voor de rechten en vrijheden van betrokkenen én stelt technische en organisatorische maatregelen vast om die risico’s te minimaliseren. Het documenteren van zowel de gevolgde methodiek als de uitkomsten is essentieel, omdat de Autoriteit Persoonsgegevens (AP) deze kan opvragen.
Onder de AVG (artikel 35) is een DPIA verplicht bij verwerkingen die waarschijnlijk een hoog privacyrisico opleveren. Denk aan grootschalige verwerking van bijzondere persoonsgegevens, systematische monitoring van (grote groepen) betrokkenen, of geautomatiseerde besluitvorming met grote impact.
De AP heeft hiervoor een lijst met verplichte DPIA‑situaties vastgesteld; de European Data Protection Board (EDPB) heeft aanvullende criteria geformuleerd die lidstaten kunnen hanteren.
Sinds 2023 wordt specifiek aandacht besteed aan DPIA’s bij:
AI‑toepassingen, waaronder profilering en voorspellende algoritmes.
Ketenverwerking van data (bijvoorbeeld dataplatforms van overheden of sectorbrede registraties).
Cross‑border data‑uitwisseling tussen EU‑lidstaten en derde landen.
Niet‑naleving van de DPIA‑verplichting kan leiden tot hoge boetes: tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, waarbij het hoogste bedrag geldt. In de AP‑boetebeleidregels is de basisboete voor het niet uitvoeren van een verplichte DPIA € 310.000,-, maar in recente handhavingspraktijk wordt het boetebedrag afgestemd op ernst en duur van de overtreding.
Een DPIA geeft organisaties:
Inzicht in (privacy)risico’s van processen waarin persoonsgegevens worden verwerkt.
Grip op de bescherming van belangen van betrokkenen én de eigen organisatie.
Compliance-bewijs richting toezichthouders en stakeholders.
Dit helpt voorkomen dat incidenten leiden tot reputatieschade, sancties of verstoorde samenwerking met partners. Steeds vaker is een DPIA ook een instrument voor data protection by design en data ethics — waarmee niet alleen wettelijke, maar ook maatschappelijke verantwoording wordt afgelegd.
Een DPIA is wettelijk verplicht bij hoog-risicoverwerkingen, maar wordt ook aanbevolen bij complexe of innovatieve verwerkingen, zelfs als die niet expliciet onder de verplichte lijst vallen. De beoordeling kan in drie stappen:
Raadpleeg artikel 35 lid 3 AVG (criteria voor hoog risico).
Bekijk de AP-lijst verwerkingen waarvoor een DPIA verplicht is.
Pas de EDPB-criteria toe voor toevoeging van verwerkingen met potentieel hoog risico.
Een goede DPIA bevat:
Beschrijving van de verwerking en haar doel.
Noodzaak- en evenredigheidsanalyse.
Risicoanalyse voor de rechten en vrijheden van betrokkenen.
Vastgelegde maatregelen om risico’s te mitigeren.
PDCA‑cyclus voor voortdurende naleving.
Praktisch aan de slag met DPIA’s? Bekijk ons (online) leeraanbod:
Handboek DPIA’s, verkrijgbaar in onze bookshop
E-learning DPIA (ontvang het handboek DPIA’s gratis), zie cursusagenda
Praktijkdag DPIA (ontvang het handboek DPIA’s gratis), zie cursusagenda
Het Handboek DPIA’s is ook digitaal toegankelijk bij afname van een Data&Privacyweb PRO lidmaatschap. Daarmee verkrijg je toegang tot alle digitale boeken en jurisprudentie van Data&Privacyweb.
Met het Data&Privacyweb Expert lidmaatschap krijg je toegang tot de digitale versie van het Handboek DPIA en tot de E-learning DPIA. Ook kun je de praktijkdag dan gratis volgen.
