Leren map met privacybeoordelingsdocumenten open op glazen bureau, vergrootglas op gedrukte tekst, zichtbaar slotmechanisme onder papierlagen.

Wat is een DPIA en wanneer is het verplicht?

Een DPIA, of Data Protection Impact Assessment, is een verplichte privacy-risicoanalyse die organisaties moeten uitvoeren voordat ze starten met een gegevensverwerking die waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. De verplichting is vastgelegd in artikel 35 van de AVG en geldt voor zowel bedrijven als overheidsinstanties. In dit artikel beantwoorden we de meest gestelde vragen over de DPIA: wanneer het verplicht is, wie het moet uitvoeren, wat erin moet staan en wat de gevolgen zijn als je het nalaat.

Wanneer is een DPIA wettelijk verplicht?

Een DPIA is wettelijk verplicht wanneer een verwerking van persoonsgegevens waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen. Dit is geregeld in artikel 35 van de AVG. De Autoriteit Persoonsgegevens heeft daarnaast een lijst gepubliceerd met verwerkingen waarvoor een DPIA altijd verplicht is, ongeacht de specifieke omstandigheden.

In de praktijk is een DPIA in ieder geval vereist bij:

  • Grootschalige verwerking van bijzondere persoonsgegevens, zoals gezondheidsgegevens, biometrische gegevens of gegevens over ras of religie
  • Systematische en uitgebreide profilering op basis van persoonsgegevens, inclusief geautomatiseerde besluitvorming met rechtsgevolgen
  • Grootschalige en stelselmatige monitoring van openbaar toegankelijke ruimten, bijvoorbeeld via camerabewaking
  • Verwerking van persoonsgegevens van kwetsbare groepen, zoals kinderen, patiënten of medewerkers
  • Gebruik van nieuwe technologieën waarbij de privacyrisico’s nog niet volledig in kaart zijn gebracht

De AVG schrijft voor dat je de DPIA uitvoert voordat je begint met de verwerking. Een DPIA achteraf uitvoeren is in strijd met de wet en biedt geen bescherming als er iets misgaat.

Welke organisaties moeten een DPIA uitvoeren?

Alle organisaties die persoonsgegevens verwerken en daarbij een hoog risico creëren voor de rechten en vrijheden van betrokkenen, zijn verplicht een DPIA uit te voeren. Dit geldt voor zowel private bedrijven als publieke instellingen, ongeacht hun omvang. De AVG maakt geen uitzondering voor kleine organisaties als de verwerking zelf risicovol is.

Concreet betekent dit dat de DPIA-plicht van toepassing kan zijn op uiteenlopende organisaties:

  • Ziekenhuizen en zorginstellingen die medische dossiers verwerken
  • HR-afdelingen die personeelsmonitoring of profilering toepassen
  • Gemeenten en overheidsinstanties die burgergegevens koppelen of uitwisselen
  • Webshops en platformen die op grote schaal gebruikersgedrag analyseren
  • Bedrijven die slimme apparaten of sensoren inzetten die continu gegevens verzamelen

Verwerkingsverantwoordelijken zijn primair verplicht de DPIA uit te voeren. Als je als verwerker optreedt voor een andere organisatie, dan rust de plicht op de verwerkingsverantwoordelijke, maar je bent als verwerker wel gehouden alle benodigde informatie te verstrekken. Voor organisaties die actief zijn in sterk gereguleerde sectoren, zoals de overheid of de zorg, gelden bovendien aanvullende kaders. Meer informatie over relevante wet- en regelgeving helpt organisaties inzicht te krijgen in welke verplichtingen op hen van toepassing zijn.

Wat zijn de verplichte onderdelen van een DPIA?

Een DPIA moet minimaal een systematische beschrijving van de verwerking bevatten, een beoordeling van de noodzaak en proportionaliteit, een risicobeoordeling voor de rechten en vrijheden van betrokkenen, en een beschrijving van de maatregelen om die risico’s te beheersen. Dit zijn de vier kernelementen die de AVG voorschrijft in artikel 35, lid 7.

In de praktijk werkt een volledige DPIA dit als volgt uit:

  1. Beschrijving van de verwerking: Wat wordt verwerkt, met welk doel, door wie, hoe lang en op welke technische wijze?
  2. Noodzakelijkheid en proportionaliteit: Is de verwerking noodzakelijk voor het beoogde doel? Zijn er minder ingrijpende alternatieven?
  3. Risicobeoordeling: Welke risico’s brengt de verwerking mee voor betrokkenen, en hoe groot is de kans dat deze risico’s zich voordoen?
  4. Beheersmaatregelen: Welke technische en organisatorische maatregelen worden genomen om de geïdentificeerde risico’s te verminderen?
  5. Raadpleging van betrokkenen: Zijn de belangen van betrokkenen meegewogen, en is er indien nodig overleg geweest?
  6. Advies van de Functionaris Gegevensbescherming (FG): Als de organisatie een FG heeft, is diens advies een verplicht onderdeel van het proces.

Als na de DPIA blijkt dat de risico’s niet voldoende beheersbaar zijn, moet de verwerkingsverantwoordelijke voorafgaand overleg voeren met de Autoriteit Persoonsgegevens. Dit heet een voorafgaande raadpleging en is eveneens wettelijk vastgelegd in de AVG.

Wat is het verschil tussen een DPIA en een PIA?

Een DPIA en een PIA zijn in de kern hetzelfde instrument: beide zijn methoden om privacyrisico’s van een verwerking in kaart te brengen voordat die verwerking start. Het verschil zit in de terminologie en de juridische status. Een PIA (Privacy Impact Assessment) is de informele, internationale benaming die al bestond vóór de AVG. Een DPIA is de officiële term uit de AVG en heeft een wettelijk verplicht karakter.

In de praktijk wordt de term PIA nog veel gebruikt, met name in Angelsaksische landen en in oudere beleidsdocumenten. Wanneer een Nederlandse organisatie spreekt over een privacy impact assessment, bedoelt men doorgaans dezelfde analyse als een DPIA. Het onderscheid is dus vooral terminologisch, niet inhoudelijk.

Wel is het belangrijk om te beseffen dat een PIA die vóór de invoering van de AVG is uitgevoerd, niet automatisch voldoet aan de huidige DPIA-eisen. De AVG stelt specifieke eisen aan de inhoud, het proces en de documentatie die oudere PIA-methodieken mogelijk niet volledig dekken. Als je beschikt over een bestaande PIA, is het verstandig te toetsen of deze nog voldoet aan de huidige wettelijke vereisten.

Hoe lang is een DPIA geldig en wanneer moet je hem herhalen?

Een DPIA heeft geen vaste geldigheidsduur. De AVG schrijft voor dat een DPIA periodiek wordt herzien en in ieder geval opnieuw wordt uitgevoerd wanneer er een wijziging optreedt in de verwerking die nieuwe of hogere risico’s kan meebrengen. In de praktijk hanteren veel organisaties een herziening elke twee tot drie jaar als uitgangspunt, maar de concrete aanleiding is leidend.

Een DPIA moet in ieder geval worden herhaald of herzien bij:

  • Wijzigingen in het doel of de reikwijdte van de verwerking
  • Introductie van nieuwe technologie of systemen die betrokken zijn bij de verwerking
  • Veranderingen in de categorie of het volume van verwerkte persoonsgegevens
  • Nieuwe inzichten over risico’s, bijvoorbeeld door een datalek of incident
  • Wijzigingen in wet- en regelgeving die de beoordeling beïnvloeden
  • Feedback van de Functionaris Gegevensbescherming of de toezichthouder

Een DPIA is daarmee geen eenmalig document, maar een levend instrument dat meegroeit met de organisatie en haar verwerkingen. Het is verstandig om de DPIA op te nemen in de reguliere beleidscyclus, zodat herziening structureel geborgd is en niet afhankelijk is van ad-hocmomenten.

Wat zijn de gevolgen als je geen DPIA uitvoert?

Als een organisatie nalaat een verplichte DPIA uit te voeren, kan de Autoriteit Persoonsgegevens een boete opleggen van maximaal 10 miljoen euro of 2% van de wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is. Naast de financiële sanctie loopt de organisatie ook reputatieschade en operationele risico’s, omdat de onderliggende privacyrisico’s onbeheerst blijven.

De gevolgen zijn niet alleen financieel van aard. Wanneer een organisatie geen DPIA heeft uitgevoerd terwijl dat verplicht was, en er vervolgens een datalek of privacyincident optreedt, kan dit de aansprakelijkheid van de organisatie aanzienlijk vergroten. Betrokkenen kunnen schadevergoeding eisen als zij aantonen dat hun rechten zijn geschonden door een onzorgvuldige verwerking.

Voor overheidsorganisaties en organisaties die onder aanvullende regelgeving vallen, zoals NIS2, zijn de risico’s nog groter. NIS2 vereist dat organisaties aantoonbaar cybersecurityrisico’s beheersen en incidenten melden. Een ontbrekende DPIA kan bij een toezichtonderzoek als bewijs dienen dat de organisatie haar verplichtingen niet serieus neemt, wat kan leiden tot aanvullende handhavingsmaatregelen.

Tot slot is er het risico van reputatieschade. Klanten, partners en burgers verwachten dat organisaties zorgvuldig omgaan met persoonsgegevens. Een publiekelijk bekende overtreding van de DPIA-plicht kan het vertrouwen ernstig beschadigen, met langdurige gevolgen voor de relatie met stakeholders.

Hoe Q-Cyber helpt met DPIA en privacy compliance

Een DPIA uitvoeren vergt meer dan het invullen van een checklist. Het vraagt om inzicht in de technische architectuur van een verwerking, kennis van de toepasselijke wet- en regelgeving én het vermogen om risico’s concreet te vertalen naar beheersmaatregelen. Precies daar onderscheiden wij ons.

Wij ondersteunen organisaties bij het volledige DPIA-traject:

  • Inventarisatie en scope: We brengen in kaart welke verwerkingen een DPIA vereisen en stellen prioriteiten op basis van risico
  • Uitvoering van de DPIA: We begeleiden het proces van beschrijving tot risicobeoordeling en maatregeladvies, volledig in lijn met de AVG
  • Beleidsvorming: We schrijven of herzien privacybeleid zodat het aansluit op de uitkomsten van de DPIA en voldoet aan geldende normen
  • Koppeling met NIS2: We verbinden de DPIA-uitkomsten aan de bredere cybersecurity- en complianceverplichtingen van uw organisatie, waaronder NIS2
  • Trainingen: We verzorgen trainingen voor bestuurders en medewerkers zodat privacy en beveiliging structureel zijn ingebed in de organisatie

Wij werken onafhankelijk, zonder binding aan softwarepartijen of andere toeleveranciers, zodat ons advies altijd in uw belang is. Wil je weten hoe we uw organisatie kunnen helpen? Neem contact met ons op voor een vrijblijvend gesprek.