DPIA.md

title	Data Protection Impact Assessment
toelichting	De DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen. De DPIA zorgt voor naleving van de wetgeving inzake gegevensbescherming, zoals de Algemene Verordening Gegevensbescherming (AVG) in de Europese Unie.
categorie	impact-assessment
vereiste	avg-01-persoonsgegevens-worden-rechtmatig-verwerkt avg-02-beperkte-bewaartermijn-van-persoonsgegevens avg-13-dpia-verplicht avg-09-inroepen-privacyrecht-bij-verwerking-persoonsgegevens avg-05-juistheid-en-actualiteit-van-persoonsgegevens avg-11-privacy-bij-ontwerp-bij-verwerking-van-persoonsgegevens avg-07-transparantie-bij-verwerken-persoonsgegevens aia-33-verwerking-in-testomgeving
maatregel	4-owk-03-privacyrisico
levenscyclus	probleemanalyse ontwerp dataverkenning-en-datapreparatie
onderwerp	privacy-en-gegevensbescherming
rollen	beleid-en-advies jurist projectleider
hide	navigation
version	92559128
version_date	2025-07-04

Direct naar de DPIA{ .button .md-button--secondary }

Hulpmiddel

Is je organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is je organisatie verplicht eerst een 'data protection impact assessment' (DPIA) uit te voeren. Als organisatie moet je zelf bepalen of de gegevensverwerking een hoog privacyrisico oplevert. En je dus een DPIA moet uitvoeren. De volgende criteria kunnen hierbij helpen:

• Wat er in de Algemene verordening gegevensbescherming (AVG) staat over wanneer je een DPIA moet uitvoeren.
• De lijst van de Autoriteit Persoonsgegevens (AP) met soorten verwerkingen waarvoor je een DPIA moet uitvoeren.
• De 9 criteria voor een DPIA van de Europese privacytoezichthouders.

De AVG geeft aan dat je in ieder geval een DPIA moet uitvoeren als je als organisatie:

• Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt en dit gebeurt op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profiling. En hierop besluiten baseert die gevolgen hebben voor mensen. Bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
• Op grote schaal bijzondere persoonsgegevens verwerkt.
• Strafrechtelijke gegevens verwerkt.
• Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.

Een DPIA moet in een vroeg stadium van de beleids- of projectontwikkeling worden uitgevoerd. Op dat moment kan namelijk nog zonder vooroordelen worden nagedacht over de gevolgen en kan het voorstel nog makkelijker worden herzien. Dit voorkomt ook latere, kostbare aanpassingen in processen, herontwerp van systemen of zelfs stopzetten van een project. Behalve aan het begin van een project kan een DPIA ook op andere momenten en meermaals worden uitgevoerd en geactualiseerd. Als het voorstel wijzigt, wordt een DPIA opnieuw uitgevoerd. Als de gegevensverwerkingen of de gevolgen ervan veranderen, moet de DPIA worden geactualiseerd. Volgens de European Data Protection Board (EDPB) moet een DPIA iedere drie jaar worden geëvalueerd.

Relevantie

Een organisatie is bij wet verplicht een DPIA uit te voeren wanneer de verwerking van persoonsgegevens een hoog privacyrisico oplevert. Wanneer hier sprake van is binnen jouw organisatie, dan is de DPIA per definitie relevant voor jou.

Auteur

De DPIA is ontwikkeld door de Europese Unie in het kader van de AVG.

Bijbehorende vereisten { data-search-exclude }

Bijbehorende maatregelen