Dictionary

DPIA (Data Protection Impact Assessment)

Een DPIA is een risicoanalyse voor verwerkingen van persoonsgegevens die waarschijnlijk een hoog privacyrisico meebrengen. Je onderzoekt vooraf wat er mis kan lopen, welke maatregelen nodig zijn en of het project verantwoord kan doorgaan.

Wat is een DPIA?

DPIA staat voor Data Protection Impact Assessment. Het is een gestructureerde risicoanalyse voor een verwerking van persoonsgegevens die waarschijnlijk een hoog risico meebrengt voor mensen.

Je doet een DPIA voor je begint, niet achteraf wanneer het systeem al live staat. Het doel is eenvoudig: begrijpen welke privacyrisico's het project veroorzaakt, welke maatregelen die risico's beperken en of het resterende risico aanvaardbaar is.

Denk aan een camera-analyse in een winkel, een AI-model dat sollicitanten rangschikt of een platform dat gezondheidsdata combineert met klantprofielen. Bij zulke projecten wil je niet pas na de lancering ontdekken dat de verwerking te breed, te ondoorzichtig of te risicovol is.

Wanneer heb je een DPIA nodig?

Onder GDPR is een DPIA nodig wanneer een type verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen. Dat hangt af van de aard, omvang, context en doelen van de verwerking.

Typische signalen zijn grootschalige verwerking van gevoelige gegevens, systematische monitoring, profiling met juridische of vergelijkbare impact, nieuwe technologie, of het combineren van datasets waardoor mensen anders beoordeeld worden dan ze verwachten.

Voor een gewone klantenlijst heb je meestal geen DPIA nodig. Voor een AI-assistent die supporttickets, klantwaarde en betaalgedrag samenbrengt om klanten automatisch te prioriteren, moet je minstens serieus nagaan of een DPIA vereist is.

Wat staat er in een DPIA?

  • Beschrijving van de verwerking
    Welke data gebruik je, van wie, uit welke bronnen en voor welk doel?

  • Noodzaak en proportionaliteit
    Is deze verwerking nodig voor het doel, of kan het met minder data en minder impact?

  • Risicoanalyse
    Wat kan er mislopen voor de betrokken personen: discriminatie, datalek, verkeerde beslissing, verlies van controle?

  • Maatregelen
    Welke technische en organisatorische maatregelen beperken het risico: toegangsbeheer, logging, dataminimalisatie, menselijke review, encryptie?

DPIA versus gewone security review

Een security review kijkt vooral naar bescherming van systemen en data. Een DPIA kijkt naar de impact op mensen. Die twee overlappen, maar zijn niet hetzelfde.

Een systeem kan technisch goed beveiligd zijn en toch privacyproblemen veroorzaken. Bijvoorbeeld: alleen bevoegde medewerkers zien het AI-scoremodel, maar het model gebruikt te veel gevoelige variabelen of geeft mensen geen begrijpelijke uitleg. Security is dan niet genoeg.

Waar moet je op letten bij een DPIA?

Betrek de juiste mensen vroeg
Legal of de DPO kan de DPIA niet alleen schrijven. Je hebt input nodig van business, data, security en de mensen die het proces kennen.

Maak maatregelen concreet
"We beperken toegang" is te vaag. Schrijf welke rollen toegang krijgen, hoe logging werkt en wie uitzonderingen goedkeurt.

Documenteer beslissingen
Een DPIA is geen vinkje. Als je een risico aanvaardt, moet later duidelijk zijn waarom dat verdedigbaar was.

FAQ over DPIA's

1. Is een DPIA altijd verplicht bij AI?
Nee. Het hangt af van de data, de impact en het doel. AI verhoogt vaak het risico, maar maakt een DPIA niet automatisch verplicht.

2. Wie keurt een DPIA goed?
Dat verschilt per organisatie. De verwerkingsverantwoordelijke blijft verantwoordelijk. Als er een DPO is, moet diens advies meegenomen en gedocumenteerd worden.

Laatst Bijgewerkt: July 8, 2026 Terug naar Woordenboek
Trefwoorden
dpia data protection impact assessment gdpr privacy ai act data governance pii dataminimalisatie dataretentie