Is een DPIA verplicht voor elk bedrijf?

Nee. Een DPIA is alleen verplicht als je verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. De meeste standaardverwerkingen (klantenadministratie, facturen, nieuwsbrief) vereisen geen DPIA. Het wordt verplicht bij grootschalige verwerking van gevoelige gegevens, systematische monitoring of gebruik van nieuwe technologieën zoals AI.

Financieel: niets als je het zelf doet met gratis tools. De CNIL biedt open-source software, de Rijksoverheid heeft een model-DPIA en DataLekt.nl biedt een gratis checker. De investering zit in tijd: reken op een halve tot hele dag voor een DPIA van gemiddelde complexiteit. Laat je het extern doen, dan variëren de kosten sterk per aanbieder.

Kan ik een boete krijgen als ik geen DPIA heb gedaan?

Ja. ICS (creditcardbedrijf) kreeg een boete van 150.000 euro voor het niet uitvoeren van een verplichte DPIA. De Politie Rotterdam betaalde 50.000 euro voor hetzelfde. Het ontbreken van een DPIA is een zelfstandige overtreding, ongeacht of er daadwerkelijk iets misgaat met de data.

Hoe verhoudt een DPIA zich tot de AI Act?

Als een AI-systeem hoog risico is onder de AI Act en persoonsgegevens verwerkt, zijn zowel een conformiteitsbeoordeling (AI Act) als een DPIA (AVG) verplicht. Ze zijn niet uitwisselbaar, maar de bevindingen mogen worden hergebruikt. De conformiteitsbeoordeling kijkt naar het AI-systeem als geheel; de DPIA focust op de risico's voor persoonsgegevens.

Moet ik de AP raadplegen na de DPIA?

Alleen als je na het treffen van maatregelen nog steeds een hoog restrisico overhoudt dat je niet kunt mitigeren. In dat geval ben je verplicht de AP vooraf te raadplegen (Art. 36 AVG). De AP geeft dan advies binnen acht weken. In de praktijk is dit zeldzaam: de meeste DPIA's leiden tot maatregelen die het risico voldoende verlagen.

DPIA: wanneer verplicht en hoe aanpakken

ICS, een creditcardbedrijf, kreeg in 2024 een boete van 150.000 euro. Niet omdat er klantgegevens waren gelekt. Niet omdat hun beveiliging faalde. Maar omdat ze geen DPIA hadden uitgevoerd terwijl dat verplicht was. Het ontbreken van de analyse was op zichzelf de overtreding.

Een DPIA (Data Protection Impact Assessment) is een risicoanalyse die je uitvoert voordat je begint met een verwerking die waarschijnlijk een hoog risico oplevert. De meeste MKB-bedrijven hebben er geen nodig voor hun standaardverwerkingen. Maar zodra je met gevoelige gegevens, AI of grootschalige monitoring werkt, verandert dat.

Wanneer is een DPIA verplicht?

Artikel 35 van de AVG noemt drie situaties waarin een DPIA altijd verplicht is:

Systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking, inclusief profilering, waarop besluiten worden gebaseerd die rechtsgevolgen hebben
Grootschalige verwerking van bijzondere categorieën persoonsgegevens (gezondheid, religie, etniciteit) of strafrechtelijke gegevens
Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten (cameratoezicht)

Daarnaast heeft de AP een lijst van 17 typen verwerkingen gepubliceerd waarvoor een DPIA verplicht is. De meest relevante voor het MKB:

Heimelijk onderzoek
Zwarte lijsten
Fraudebestrijding op grote schaal
Gezondheidsgegevens verwerken
Cameratoezicht (vast en flexibel)
Werknemersmonitoring (internetgebruik, locatie)
Locatiegegevens verwerken
Profilering
Biometrische gegevens

De 9 criteria: de praktische toets

De Europese privacytoezichthouders (EDPB) hebben negen criteria opgesteld. Als twee of meer van toepassing zijn, is een DPIA verplicht.

Beoordeling op persoonlijke kenmerken. Je maakt profielen op basis van werkprestaties, gezondheid, gedrag, voorkeuren of locatie.
Geautomatiseerde besluitvorming. Je neemt besluiten met juridische of vergelijkbare gevolgen op basis van automatische verwerking.
Systematische monitoring. Je observeert personen op grote schaal, ook buiten hun verwachting.
Gevoelige gegevens. Je verwerkt bijzondere categorieën (gezondheid, politieke voorkeur) of financiële gegevens.
Grootschalige verwerking. Het gaat om veel betrokkenen, veel data, een lange duur of een groot geografisch bereik.
Gekoppelde databases. Je combineert datasets uit verschillende bronnen met verschillende doelen.
Kwetsbare betrokkenen. Je verwerkt gegevens van werknemers, kinderen, patiënten of anderen die niet vrij kunnen instemmen.
Nieuwe technologieën. Je gebruikt technologie met potentieel onbekende privacyrisico's, zoals AI.
Blokkering van rechten of diensten. De verwerking kan ertoe leiden dat iemand een recht, dienst of contract wordt ontzegd.

Twee of meer criteria? Dan is een DPIA verplicht. Maar ook bij één criterium kan het verstandig zijn om de analyse te doen.

Wanneer je GEEN DPIA nodig hebt

De meeste standaard MKB-verwerkingen vallen erbuiten:

Klantgegevens voor facturen en offertes
Nieuwsbrief versturen aan opt-in abonnees
Salarisadministratie (tenzij op grote schaal met gevoelige gegevens)
Contactformulier op je website
Projectadministratie in een CRM

Gebruik je ChatGPT voor brainstorms zonder persoonsgegevens? Geen DPIA. Gebruik je AI voor het screenen van sollicitanten? Wel een DPIA (nieuw technologie + kwetsbare betrokkenen + geautomatiseerde besluitvorming = drie criteria).

Hoe je een DPIA uitvoert

Artikel 35 lid 7 schrijft vier elementen voor. In de praktijk is het een proces van zeven stappen.

Stap 1: Beschrijf de verwerking. Welke persoonsgegevens, van wie, voor welk doel, op welke grondslag, via welke systemen. Gebruik je verwerkingsregister als startpunt.

Stap 2: Beoordeel noodzaak en proportionaliteit. Is deze verwerking echt nodig? Is het de minst ingrijpende manier om je doel te bereiken? Kun je hetzelfde resultaat bereiken met minder of geanonimiseerde gegevens?

Stap 3: Identificeer risico's. Wat kan er misgaan voor de betrokkenen? Denk aan: ongeautoriseerde toegang, dataverlies, discriminatie, onjuiste beslissingen, verlies van controle over eigen gegevens.

Stap 4: Beoordeel de risico's. Per risico: hoe waarschijnlijk is het en hoe groot is de impact? Een matrix van waarschijnlijkheid en ernst helpt om te prioriteren.

Stap 5: Definieer maatregelen. Technische maatregelen (versleuteling, pseudonimisering, toegangscontrole, logging) en organisatorische maatregelen (beleid, training, verwerkersovereenkomsten). Per risico: welke maatregel verlaagt het tot een aanvaardbaar niveau?

Stap 6: Documenteer. Leg alles vast: de verwerking, de risico's, de maatregelen en je conclusie. Dit is je bewijs van compliance.

Stap 7: Evalueer periodiek. Een DPIA is geen eenmalige exercitie. Bij wijzigingen in de verwerking, nieuwe technologie of nieuwe risico's: opnieuw beoordelen.

Wil je snel beoordelen of je verwerkingen een DPIA vereisen? Doe de Privacy Scan en krijg binnen 2 minuten inzicht in je risico's.

DPIA en AI: de overlap met de AI Act

Als je een AI-systeem inzet dat persoonsgegevens verwerkt en onder hoog risico valt in de AI Act, heb je twee assessments nodig: een DPIA (AVG) en een conformiteitsbeoordeling (AI Act). Ze zijn niet uitwisselbaar, maar complementair.

De conformiteitsbeoordeling kijkt naar het AI-systeem als geheel: veiligheid, betrouwbaarheid, menselijk toezicht. De DPIA focust op de risico's voor persoonsgegevens specifiek. De bevindingen uit de conformiteitsbeoordeling (datakwaliteit, cybersecurity) kun je hergebruiken in de DPIA.

AI staat op de AP-lijst als "nieuwe technologie" en is daarmee een criterium voor een verplichte DPIA. In combinatie met een tweede criterium (kwetsbare betrokkenen, profilering, geautomatiseerde besluitvorming) is de DPIA vrijwel altijd verplicht bij AI met persoonsgegevens.

Gratis tools en templates

CNIL PIA-tool. Open-source software van de Franse toezichthouder. Stap-voor-stap interface met kennisbank. Beschikbaar in Frans en Engels. Gratis, installeerbaar of via server.
Model DPIA Rijksdienst v3.0. Het officiële model van de Nederlandse overheid. Uitgebreid, 17 punten, gericht op overheidsinstellingen maar bruikbaar voor elk bedrijf.
NOREA Handreiking DPIA v2.0. Van de beroepsorganisatie voor IT-auditors. Praktisch en methodisch.
DataLekt.nl DPIA-checker. Gratis online tool die bepaalt of je verwerking een DPIA vereist. Anoniem, geen registratie nodig.
Rocket Lawyer DPIA-template. Gratis downloadbare template.

Samenvatting

Drie vragen om te bepalen of je een DPIA nodig hebt:

Verwerk je bijzondere categorieën persoonsgegevens op grote schaal? (gezondheid, religie, strafrechtelijk)
Gebruik je nieuwe technologieën (AI) in combinatie met persoonsgegevens?
Zijn twee of meer van de negen EDPB-criteria van toepassing?

Een keer ja is een reden om de DPIA te overwegen. Twee keer ja maakt het verplicht. Nul keer ja: je standaardverwerkingen zijn waarschijnlijk in orde.

En als je twijfelt: een onnodige DPIA kost een halve dag. Een ontbrekende DPIA kan 150.000 euro kosten. ICS kan erover meepraten.

Dit is informatie, geen juridisch advies. Raadpleeg een specialist voor je specifieke situatie.