Wat is een DPIA?

Een DPIA (Data Protection Impact Assessment), in het Nederlands ook wel gegevensbescherming-effectbeoordeling (GEB) genoemd, is een instrument uit de AVG (artikel 35) waarmee u de privacy-risico's van een verwerking in kaart brengt vóórdat u ermee start.

Het is een preventief instrument: door risico's vooraf te identificeren, kunt u maatregelen treffen om schade te voorkomen. De Autoriteit Persoonsgegevens (AP) beschouwt de DPIA als een van de belangrijkste accountability-instrumenten onder de AVG.

Wanneer is een DPIA verplicht?

Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De AVG noemt drie specifieke situaties:

Systematische en uitgebreide beoordeling van persoonlijke aspecten (profiling)
Grootschalige verwerking van bijzondere categorieën gegevens of strafrechtelijke gegevens
Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten

De DPIA-lijst van de AP

De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd van verwerkingen waarvoor een DPIA verplicht is:

| Verwerking | Voorbeeld | |---|---| | Heimelijke waarneming | Verborgen camera's, mystery guests | | Zwarte lijsten | Frauderegisters, incidentenregisters | | Biometrische gegevens | Vingerafdrukscanner, gezichtsherkenning | | Genetische gegevens | DNA-analyse, erfelijkheidsonderzoek | | Locatiegegevens | GPS-tracking medewerkers, locatiehistorie | | Flexibel cameratoezicht | Bodycams, dashcams, drones | | Profilering | Creditscoring, gedragsanalyse, gepersonaliseerde pricing | | Observatie van werknemers | Monitoren e-mail, internetgebruik, productiviteit | | Koppeling van databases | Combineren van datasets uit verschillende bronnen | | IoT-toepassingen | Slimme apparaten die continu data verzamelen |

De 9-criteria vuistregel

De European Data Protection Board (EDPB) hanteert 9 criteria. Als uw verwerking aan 2 of meer voldoet, is een DPIA waarschijnlijk nodig:

Evaluatie of scoring (profiling)
Geautomatiseerde besluitvorming met rechtsgevolgen
Systematische monitoring
Gevoelige gegevens of zeer persoonlijke gegevens
Grootschalige gegevensverwerking
Koppeling of combinatie van datasets
Gegevens van kwetsbare personen (kinderen, werknemers, patiënten)
Innovatief gebruik van technologie
Verwerking die betrokkenen belet een recht uit te oefenen

De 7 stappen van een DPIA

Stap 1: Beschrijf de verwerking

Documenteer concreet:

Wat wordt verwerkt (welke gegevens)
Waarom (verwerkingsdoel en rechtsgrondslag)
Hoe (technische middelen en processen)
Door wie (verantwoordelijke, verwerkers, ontvangers)
Hoe lang (bewaartermijnen)
Waar (opslaglocaties, doorgifte)

Stap 2: Beoordeel noodzakelijkheid en proportionaliteit

Is de verwerking noodzakelijk voor het beoogde doel?
Is er een minder ingrijpend alternatief beschikbaar?
Staan de risico's in verhouding tot het doel?
Is de rechtsgrondslag correct en toereikend?

Stap 3: Identificeer risico's

Breng de risico's in kaart voor betrokkenen:

| Risico-categorie | Voorbeelden | |---|---| | Ongeoorloofde toegang | Datalek, hacking, insiderthreat | | Ongewenste wijziging | Data-corruptie, manipulatie | | Verlies van gegevens | Ransomware, hardwarefalen | | Overmatige verwerking | Meer data dan nodig verzameld | | Discriminatie | Oneerlijke beslissingen op basis van profiling | | Verlies van autonomie | Onvoldoende controle door betrokkenen |

Stap 4: Beoordeel waarschijnlijkheid en impact

Gebruik een risicomatrix:

| | Lage impact | Gemiddelde impact | Hoge impact | |---|---|---|---| | Hoge waarschijnlijkheid | Gemiddeld risico | Hoog risico | Zeer hoog risico | | Gemiddelde waarschijnlijkheid | Laag risico | Gemiddeld risico | Hoog risico | | Lage waarschijnlijkheid | Verwaarloosbaar | Laag risico | Gemiddeld risico |

Stap 5: Definieer maatregelen

Voor elk geïdentificeerd risico:

Technische maatregelen: encryptie, pseudonimisering, toegangscontrole, logging
Organisatorische maatregelen: beleid, training, procedures, audits
Juridische maatregelen: contracten, verwerkersovereenkomsten, privacyverklaringen

Stap 6: Documenteer en besluit

Leg vast:

De uitkomsten van de risicoanalyse
De gekozen maatregelen en hun verwachte effect
Het restrisico na implementatie van maatregelen
Het besluit: doorgaan, aanpassen of afzien van de verwerking

Stap 7: Voorafgaande raadpleging (indien nodig)

Als het restrisico na maatregelen nog steeds hoog is, bent u verplicht de Autoriteit Persoonsgegevens te raadplegen vóór de verwerking (artikel 36 AVG). De AP heeft dan 8 weken om te reageren.

DPIA voor websites en SaaS

Specifieke situaties waarin een DPIA relevant kan zijn voor uw digitale diensten:

| Dienst | DPIA nodig? | Reden | |---|---|---| | Gepersonaliseerde content op basis van gedrag | Waarschijnlijk ja | Profiling + systematische monitoring | | AI-gebaseerde chatbot met klantdata | Waarschijnlijk ja | Innovatieve technologie + mogelijke profiling | | Analytics met IP-tracking | Mogelijk | Grootschalige monitoring | | Anonieme A/B-testing | Meestal nee | Geen persoonsgegevens als correct geanonimiseerd | | E-mailmarketing met segmentatie | Mogelijk | Profiling als segmentatie op gedragsdata | | Fraudedetectie met AI | Ja | Geautomatiseerde besluitvorming + profiling |

Tips voor een goede DPIA

Begin vroeg — de DPIA moet plaatsvinden vóór de verwerking, niet achteraf
Betrek uw FG — de Functionaris Gegevensbescherming moet adviseren
Raadpleeg betrokkenen — indien passend, vraag input van betrokkenen
Maak het levend — herzie de DPIA bij significante wijzigingen
Documenteer uitvoerig — accountability vereist bewijs
Wees eerlijk — onderschat risico's niet om de verwerking te rechtvaardigen

Conclusie

Een DPIA is meer dan een compliance-verplichting — het is een kans om privacy-risico's vroegtijdig te identificeren en te mitigeren. Organisaties die DPIA's serieus nemen, bouwen vertrouwen bij hun klanten en verkleinen het risico op datalekken en boetes.

Scan uw website gratis met WarDek — OWASP, NIS2, AVG, AI Act compliance in één scan.

DPIA: gegevensbescherming-effectbeoordeling