Je bouwt een app die medische klachten bijhoudt, of je webshop gaat bezoekers profileren op aankoopgedrag. Op een gegeven moment stuit je op artikel 35 van de AVG en vraag je je af of jij nu ook zo’n Gegevensbeschermingseffectbeoordeling moet uitvoeren. Het antwoord hangt af van de aard van je verwerking, en de verplichting geldt al voordat je begint, niet pas als er iets misgaat. In dit artikel zie je eerst hoe je bepaalt of een DPIA voor jou verplicht is, daarna hoe je hem stap voor stap uitvoert, en ten slotte hoe je de uitkomsten verwerkt in je privacyverklaring.

Wanneer slaat artikel 35 AVG op jou?

Een DPIA is verplicht als je een verwerking plant die waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Artikel 35 AVG noemt drie situaties die sowieso een DPIA triggeren: grootschalige verwerking van bijzondere persoonsgegevens (denk aan gezondheidsdata of strafrechtelijke informatie), systematische en grootschalige profilering, en het stelselmatig monitoren van openbaar toegankelijke ruimten. Maar het begrip “hoog risico” is breder dan die drie voorbeelden. Nieuwe technologieën, onbekende verwerkingswijzen of combinaties van gegevens die samen gevoelig worden, kunnen ook de verplichting activeren.

De Autoriteit Persoonsgegevens (AP) heeft een verplichte lijst gepubliceerd met verwerkingen waarbij een DPIA altijd nodig is. Denk aan het verwerken van communicatiegegevens voor fraudedetectie, het koppelen van locatiedata aan persoonsprofielen, of het inzetten van kunstmatige intelligentie voor geautomatiseerde besluitvorming over mensen. Staat jouw verwerking op die lijst? Dan is de discussie voorbij: je voert een DPIA uit.

Stap 1: Voer de drempeltoets uit

Voordat je de hele DPIA-machine in gang zet, doe je eerst een snelle drempeltoets. De Europese privacytoezichthouder EDPB heeft negen risicocriteria geformuleerd. Voldoet jouw verwerking aan twee of meer van deze criteria? Dan is een DPIA verplicht.

  • Beoordeling of scoring van mensen (bijvoorbeeld kredietwaardigheid of gezondheidsrisico)
  • Geautomatiseerde besluitvorming met rechtsgevolgen
  • Stelselmatige monitoring van betrokkenen
  • Verwerking van bijzondere of gevoelige gegevens
  • Grootschalige gegevensverwerking
  • Koppeling of combinatie van datasets uit verschillende bronnen
  • Verwerking van gegevens van kwetsbare personen (kinderen, patiënten)
  • Innovatief gebruik van technologie
  • Situaties waarbij betrokkenen hun rechten niet eenvoudig kunnen uitoefenen

Stel: je bent ZZP’er en je bouwt een platform waarop scholieren (kwetsbare personen) hun leerprestaties bijhouden via een AI-algoritme (innovatieve technologie) dat automatisch advies geeft over studiekeuzes (geautomatiseerde besluitvorming). Drie criteria, drempeltoets geslaagd, DPIA verplicht.

Stap 2: Raadpleeg de verplichte lijst van de Autoriteit Persoonsgegevens

Naast de drempeltoets heeft de AP een eigen lijst gepubliceerd met verwerkingen waarbij een DPIA altijd verplicht is, ongeacht het aantal EDPB-criteria waaraan je voldoet. Controleer deze lijst via de website van de AP voordat je verder gaat. Een webshophouder die klantenprofielen aanmaakt op basis van surf- en aankoopgedrag voor gepersonaliseerde aanbiedingen kan al op deze lijst staan. Even checken kost vijf minuten en voorkomt hoofdpijn later.

Stap 3: Leg de reikwijdte vast

De DPIA begint met een gedetailleerde beschrijving van wat je precies doet. Schrijf op: welke persoonsgegevens je verwerkt, van wie (klanten, werknemers, websitebezoekers), met welk doel, hoe lang je de gegevens bewaart, wie er toegang toe heeft en welke systemen of partijen betrokken zijn. Wees concreet. “Wij verwerken contactgegevens” is te vaag. “Wij verwerken naam, e-mailadres, IP-adres en aankoophistorie van klanten in Nederland en België, voor maximaal twee jaar, opgeslagen bij hostingpartij X in Duitsland” is bruikbaar.

Hoe gedetailleerder je de reikwijdte beschrijft, hoe gemakkelijker de volgende stappen worden. Dit is ook het moment om vast te leggen op welke rechtsgrond je de verwerking baseert: toestemming, gerechtvaardigd belang, wettelijke verplichting of een van de andere grondslagen uit artikel 6 AVG.

Stap 4: Breng de noodzakelijkheid en evenredigheid in kaart

Nu toets je of je verwerking eigenlijk wel proportioneel is. Verwerk je niet meer dan strikt noodzakelijk voor het doel? Als je een nieuwsbrief verstuurt, heb je een naam en e-mailadres nodig. Maar je hebt geen geboortedatum, telefoonnummer of locatiegegevens nodig, tenzij je daarvoor een aparte, duidelijke reden hebt. Stel jezelf de vraag: wat zou er misgaan als we dit gegeven weglaten? Als het antwoord “niets” is, verwerk je het niet.

Evenredigheid gaat ook over bewaarperioden. Bewaar je gegevens standaard tien jaar terwijl twee jaar voldoende is? Dat is niet evenredig. Documenteer je keuzes hier expliciet, want dit is precies wat een toezichthouder wil zien als ze bij je aan de deur kloppen.

Stap 5: Identificeer en scoor de risico’s

Dit is het hart van de DPIA. Je brengt systematisch in kaart welke risico’s jouw verwerking meebrengt voor betrokkenen. Denk aan datalekken, ongeautoriseerde toegang door derden, misbruik van profieldata, of discriminatie door een foutief algoritme. Gebruik een kans-impact-matrix: hoe groot is de kans dat dit risico zich voordoet, en hoe groot is de schade voor de betrokkene als het misgaat?

Een handig format is een simpele tabel met kolommen voor de dreiging, de kans (laag/midden/hoog), de impact (laag/midden/hoog), de risicoscore en de geplande maatregel. Zo houd je het overzichtelijk en aantoonbaar, ook voor jezelf als je er later op terugkijkt.

Stap 6: Bepaal en documenteer de beheersmaatregelen

Voor elk risico dat je in stap 5 hebt geïdentificeerd, beschrijf je welke maatregelen je neemt om het risico te verkleinen. Maatregelen zijn technisch (encryptie, toegangscontrole, tweefactorauthenticatie, pseudonimisering) of organisatorisch (bewustwordingstraining, verwerkersovereenkomsten een duidelijk protocol bij datalekken). Wees concreet: “wij nemen beveiligingsmaatregelen” is geen maatregel, “wij versleutelen alle opgeslagen persoonsgegevens met AES-256 en beperken toegang tot twee medewerkers” is dat wel.

Stap 7: Haal advies op bij de Functionaris Gegevensbescherming en betrek betrokkenen

Als jouw organisatie een Functionaris Gegevensbescherming (FG) heeft, ben je verplicht die te raadplegen bij een DPIA. De FG toetst of je de juiste risico’s hebt geïdentificeerd en of de maatregelen afdoende zijn. Heb je geen FG, dan kun je een externe privacydeskundige inschakelen of de DPIA intern laten reviewen door iemand die niet bij de verwerking betrokken is.

Waar mogelijk betrek je ook de betrokkenen zelf, of hun vertegenwoordigers. Dat klinkt ingewikkeld, maar voor een SaaS-platform betekent het in de praktijk vaak: een korte enquête onder testgebruikers, of overleg met een klantenpanel. Je hoeft geen volksraadpleging te organiseren, maar je moet aantonen dat je de belangen van betrokkenen serieus hebt meegenomen.

Stap 8: Beslis op basis van het restrisico

Na alle maatregelen blijft er altijd een restrisico over. De vraag is: is dat restrisico acceptabel? Als je na alle maatregelen nog steeds een hoog risico signaleert dat je niet verder kunt reduceren, ben je verplicht de AP vooraf te raadplegen (artikel 36 AVG). Die voorafgaande raadpleging is geen straf, maar een vangnet. De AP geeft dan advies voordat je begint, zodat je niet achteraf in de problemen komt.

Documenteer je beslissing expliciet in de DPIA, inclusief de onderbouwing waarom het restrisico acceptabel is of waarom je besluit de AP te raadplegen.

Stap 9: Vertaal de DPIA-uitkomsten naar je privacyverklaring en register van verwerkingsactiviteiten

Een DPIA levert waardevolle informatie op die direct bruikbaar is voor je privacyverklaring. De beschrijving van verwerkingsdoelen, categorieën persoonsgegevens, bewaartermijnen en beveiligingsmaatregelen die je in stap 3 tot 6 hebt gedocumenteerd, vormen de basis van wat je in je privacyverklaring aan bezoekers moet communiceren. Gebruik een tool zoals de privacypolicygenerator om die informatie gestructureerd te vertalen naar begrijpelijke taal voor je doelgroep.

Vergeet ook je register van verwerkingsactiviteiten niet. Artikel 30 AVG verplicht de meeste organisaties een dergelijk register bij te houden. De DPIA-documentatie is een logische aanvulling op dat register: noteer bij de relevante verwerking dat er een DPIA is uitgevoerd, wanneer, met welke uitkomst, en waar het document te vinden is.

Stap 10: Plan de herziening

Een DPIA is geen eenmalige exercitie. Je legt vast wanneer je de beoordeling opnieuw uitvoert, wie daarvoor verantwoordelijk is en welke gebeurtenissen een tussentijdse herziening triggeren. Denk aan: een significante wijziging in de verwerking, een datalek dat te maken heeft met de beoordeelde verwerking, nieuwe technologie die je inzet, of gewoon een periodieke cyclus, bijvoorbeeld elke twee jaar.

Wijs concreet iemand aan als eigenaar van de DPIA. Bij een ZZP’er ben jij dat zelf. Bij een groeiend SaaS-bedrijf is dat bij voorkeur de privacy officer of de FG. Zonder eigenaar raakt de DPIA in de la en verliest hij zijn waarde.

Met de drempeltoets weet je snel of een DPIA voor jouw situatie verplicht is. Is dat het geval, werk dan de reikwijdte, de risico’s en de bijbehorende maatregelen gestructureerd uit voordat je met de verwerking start. Leg de conclusies vast in je verwerkingsregister en pas je privacyverklaring aan op wat je hebt gevonden. Gebruik de generator op privacypolicygenerator.nl om de uitkomsten van je DPIA meteen te verwerken in een AVG-conforme privacyverklaring.