Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kun je namelijk nog zonder vooroordelen nadenken over de gevolgen en kun je je voorstel nog makkelijker herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kun je een DPIA ook op andere momenten en meermaals uitvoeren en actualiseren. Als het voorstel wijzigt, voer je opnieuw een DPIA uit. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet je de DPIA actualiseren. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden geëvalueerd.
Bron: https://www.kcbr.nl/beleid-en-regelgeving-ontwikkelen/beleidskompas/verplichte-kwaliteitseisen/data-protection-impact-assessment , geraadpleegd op 27 januari 2025.
