Wat is een DPIA?
Een DPIA (Data Protection Impact Assessment) is een gestructureerde beoordeling waarmee een organisatie vooraf de risico's van een gegevensverwerking voor de rechten en vrijheden van mensen in kaart brengt en aanpakt. De Nederlandse term in de wet is gegevensbeschermingseffectbeoordeling; in de praktijk hoor je ook vaak de oudere benaming Privacy Impact Assessment (PIA). De DPIA is verankerd in artikel 35 van de Algemene verordening gegevensbescherming (AVG).
De kern is een vorm van risicomanagement, maar dan met de betrokkene als vertrekpunt. Je beschrijft systematisch wat je gaat doen met welke persoonsgegevens, waarom dat nodig en evenredig is, welke risico's daaruit voortvloeien voor de mensen om wie het gaat, en met welke maatregelen je die risico's tot een aanvaardbaar niveau terugbrengt. Een DPIA is daarmee geen formaliteit achteraf, maar een ontwerpdocument: het hoort thuis aan het begin van een project, als onderdeel van privacy by design. Daarmee sluit de DPIA naadloos aan op de verantwoordingsplicht (accountability) die de AVG aan organisaties oplegt: je moet niet alleen voldoen, maar ook kunnen aantonen dát je voldoet.
Wanneer is een DPIA verplicht?
Niet elke verwerking vereist een DPIA. De verplichting ontstaat zodra een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. De AVG noemt in artikel 35 lid 3 drie situaties waarin een DPIA in elk geval verplicht is:
- een systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking, waaronder profilering, waaraan rechtsgevolgen of vergelijkbaar ingrijpende gevolgen verbonden zijn;
- grootschalige verwerking van bijzondere categorieën persoonsgegevens (artikel 9 AVG) of van strafrechtelijke gegevens (artikel 10 AVG);
- stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, zoals uitgebreid cameratoezicht.
Daarnaast heeft de Autoriteit Persoonsgegevens (AP) een nationale lijst opgesteld met soorten verwerkingen waarvoor een DPIA altijd verplicht is. Op die lijst staan onder meer heimelijk onderzoek, zwarte lijsten, grootschalige verwerking van gezondheidsgegevens, fraudebestrijding, creditscores, locatie- en communicatiegegevens, en het stelselmatig observeren of beïnvloeden van gedrag. Deze lijst is niet uitputtend: staat jouw verwerking er niet op, dan moet je nog steeds zelf beoordelen of er sprake is van een hoog risico.
Voor die zelfstandige beoordeling biedt de oude Europese privacytoezichthouder (de Article 29-werkgroep) negen criteria. Denk aan profilering, geautomatiseerde besluitvorming, grootschalige verwerking, het combineren van databestanden, gegevens van kwetsbare groepen en het gebruik van nieuwe technologie. De vuistregel: voldoet een verwerking aan twee of meer van deze negen criteria, dan is een DPIA in beginsel verplicht. Bij twijfel is het verstandig de DPIA toch uit te voeren — de moeite is beperkt en het document is meteen bewijs van je zorgvuldigheid.
| Situatie | DPIA verplicht? |
|---|---|
| Verwerking staat op de DPIA-lijst van de AP | Ja, altijd |
| Eén van de drie situaties uit artikel 35 lid 3 AVG | Ja, altijd |
| Twee of meer van de negen Europese risicocriteria | Ja, in beginsel |
| Eén risicocriterium, beperkte schaal | Beoordelen; vaak niet, maar leg de afweging vast |
| Geen hoog risico aannemelijk | Nee, maar documenteer waarom niet |
Wat moet er in een DPIA staan?
Artikel 35 lid 7 AVG bepaalt de minimale inhoud van een DPIA. Een volwaardige beoordeling bevat ten minste de volgende vier onderdelen:
- Een systematische beschrijving van de beoogde verwerkingen en de doeleinden, inclusief de gerechtvaardigde belangen die de organisatie nastreeft.
- Een beoordeling van de noodzaak en evenredigheid van de verwerking in verhouding tot het doel — kan het ook met minder of minder gevoelige gegevens?
- Een beoordeling van de risico's voor de rechten en vrijheden van de betrokkenen, zoals identiteitsfraude, discriminatie, reputatieschade of verlies van controle over de eigen gegevens.
- De beoogde maatregelen om die risico's aan te pakken: waarborgen, beveiligingsmaatregelen en mechanismen die de bescherming van de persoonsgegevens garanderen en de naleving aantonen.
In de praktijk wordt dit aangevuld met een beschrijving van de gegevensstromen, de bewaartermijnen, de verwerkers en subverwerkers, en de juridische grondslag voor de verwerking. Goede DPIA's koppelen elk geïdentificeerd risico expliciet aan een maatregel en aan een eigenaar, zodat na afronding duidelijk is wat er nog moet gebeuren en wie daarvoor verantwoordelijk is.
Op zoek naar een baan in privacy en gegevensbescherming?
Professionals die DPIA's kunnen opstellen, beoordelen en begeleiden zijn schaars en zeer gewild. Bekijk de nieuwste vacatures voor privacy officers en functionarissen gegevensbescherming in Nederland.
Bekijk Privacy VacaturesDe rol van de functionaris gegevensbescherming
De DPIA is bij uitstek het werkterrein waar privacyfunctionarissen het verschil maken. Artikel 35 lid 2 AVG bepaalt dat de verwerkingsverantwoordelijke bij het uitvoeren van een DPIA advies vraagt aan de functionaris gegevensbescherming, als die is aangesteld. De FG voert de DPIA in de regel niet zélf uit — dat is de verantwoordelijkheid van de proces- of projecteigenaar — maar adviseert over de aanpak, toetst de kwaliteit en bewaakt of de uitkomsten ook daadwerkelijk worden opgevolgd. Wil je weten wanneer een organisatie überhaupt een FG moet aanstellen, lees dan onze gids over wanneer een FG verplicht is.
In de uitvoering werken vaak meerdere rollen samen. De privacy officer begeleidt het proces, brengt de gegevensstromen in kaart en stelt de risicoanalyse op. De IT-auditor of security officer beoordeelt de technische beveiligingsmaatregelen. De business levert de inhoudelijke kennis over doel en noodzaak. En de FG houdt onafhankelijk toezicht op het geheel. Die samenwerking maakt de DPIA tot een uitgelezen moment waarop privacy, security en compliance elkaar in de praktijk raken. Veel organisaties beleggen dit bij een eigen team; andere schakelen een externe functionaris gegevensbescherming in voor de schaarse specialistische kennis.
Hoe verloopt een DPIA-traject?
Een DPIA is geen eenmalig invuldocument, maar een proces met een vaste opbouw. Globaal ziet een traject er als volgt uit:
| Fase | Activiteit |
|---|---|
| 1. Noodzaaktoets | Bepalen of de verwerking waarschijnlijk een hoog risico oplevert en een DPIA dus verplicht is |
| 2. Beschrijving | Systematisch vastleggen van de verwerking, doeleinden, gegevensstromen en grondslag |
| 3. Noodzaak & evenredigheid | Toetsen of het doel ook met minder of minder gevoelige gegevens haalbaar is |
| 4. Risicoanalyse | Risico's voor betrokkenen identificeren en de kans en impact ervan inschatten |
| 5. Maatregelen | Per risico passende technische en organisatorische maatregelen bepalen |
| 6. Advies FG | De functionaris gegevensbescherming raadplegen en het advies vastleggen |
| 7. Besluit & opvolging | Restrisico beoordelen, besluiten en de maatregelen implementeren en periodiek herzien |
Een DPIA is bovendien geen momentopname. Verandert de verwerking wezenlijk — een nieuw doel, een ander systeem, een extra gegevenscategorie — dan moet de beoordeling worden geactualiseerd. Veel organisaties hanteren daarom een periodieke herziening, bijvoorbeeld eens per jaar of bij elke significante wijziging.
Voorafgaande raadpleging: wanneer moet je naar de AP?
De DPIA leidt idealiter tot maatregelen die het risico terugbrengen naar een aanvaardbaar niveau. Maar wat als er ook ná die maatregelen nog een hoog restrisico overblijft? Dan komt artikel 36 AVG in beeld: de voorafgaande raadpleging. De verwerkingsverantwoordelijke is in dat geval verplicht de Autoriteit Persoonsgegevens te raadplegen vóórdat de verwerking begint.
De toezichthouder beoordeelt de voorgenomen verwerking en geeft binnen acht weken schriftelijk advies; bij complexe zaken kan die termijn met zes weken worden verlengd. Voorafgaande raadpleging is dus geen standaardstap, maar het sluitstuk dat alleen aan de orde is wanneer een organisatie het hoge risico niet zelf weet weg te nemen. In de praktijk is het bereiken van dit punt vaak een signaal om het ontwerp van de verwerking fundamenteel te heroverwegen.
| Begrip | Wat houdt het in? |
|---|---|
| DPIA (artikel 35) | Je beoordeelt zelf vooraf de risico's van een risicovolle verwerking en treft maatregelen |
| Restrisico | Het risico dat overblijft nadat alle maatregelen zijn getroffen |
| Voorafgaande raadpleging (artikel 36) | Verplichte gang naar de AP als het restrisico hoog blijft, vóór de start van de verwerking |
DPIA en aanpalende verplichtingen
De DPIA staat niet op zichzelf. Het instrument grijpt in op verschillende andere verplichtingen en kaders die voor privacy- en compliancefuncties dagelijkse kost zijn. Een paar belangrijke verbanden:
- Verwerkingsregister: de DPIA bouwt voort op een actueel register van verwerkingsactiviteiten; zonder goed overzicht is een betrouwbare risicoanalyse niet mogelijk.
- ISO 27701 en ISO 27001: een DPIA-proces sluit aan op een privacy- en informatiebeveiligingsmanagementsysteem. Lees meer in onze gids over ISO 27701-certificering.
- AI Act: bij hoog-risico AI-systemen overlapt de DPIA met de beoordeling van grondrechten. Hoe dat samenkomt lees je in ons artikel over AI Act compliance.
- Certificering en opleiding: wie zich in de DPIA-praktijk wil bekwamen, vindt veel houvast in een privacycertificering zoals de CIPP/E.
Wat de DPIA betekent voor jouw carrière
De DPIA is uitgegroeid tot een van de meest tastbare deliverables binnen het privacyvak. Organisaties moeten ze opstellen, actueel houden en kunnen verantwoorden tegenover de toezichthouder — en dat vraagt om mensen die de juridische én de technische kant beheersen. Daardoor is DPIA-ervaring een waardevolle troef op de arbeidsmarkt. De vaardigheid raakt onder meer de volgende functies:
- Privacy officer: begeleidt DPIA-trajecten, stelt risicoanalyses op en vertaalt uitkomsten naar maatregelen;
- Functionaris gegevensbescherming (FG/DPO): adviseert over en houdt toezicht op de DPIA's binnen de organisatie;
- Privacy- en compliance consultant: voert DPIA's uit voor klanten of zet een herhaalbaar DPIA-proces op;
- IT security officer en IT-auditor: beoordelen de technische beveiligingsmaatregelen die uit de DPIA voortvloeien.
Wil je je in deze richting ontwikkelen, dan is een combinatie van AVG-kennis, een gestructureerde risicoaanpak en praktijkervaring met DPIA's het sterkste profiel. Veel professionals starten als junior privacy officer en groeien door naar een rol als FG of privacy consultant. De vraag naar dit profiel is structureel: zolang organisaties digitaliseren en met gevoelige data werken, blijven DPIA's nodig. Bekijk de actuele privacy- en gegevensbeschermingsvacatures om te zien welke werkgevers op zoek zijn, of verken het bredere aanbod aan IT-compliancevacatures in Nederland.