Glossary

Gegevensbeschermingseffectbeoordeling (DPIA)

Systematische analyse van privacyrisico's bij nieuwe verwerkingen, verplicht voor hoog-risicoverwerkingen onder de AVG.

A

B

C

D

E

F

G

Een DPIA is een gestructureerde risicobeoordeling die je moet uitvoeren vóór het starten van gegevensverwerking die waarschijnlijk een hoog risico oplevert voor personen. Onder AVG Artikel 35 is dit verplicht wanneer je nieuwe technologieën gebruikt, data op grote schaal verwerkt, openbare gebieden systematisch monitort, of geautomatiseerde beslissingen neemt met juridische gevolgen. Voor AI-startups is een DPIA bijna altijd vereist omdat AI-verwerking doorgaans profilering, geautomatiseerde besluitvorming en grootschalige data-analyse omvat.

Hoe voer je een DPIA uit:

  • Beschrijf de verwerking: Welke data verwerk je, waar komt het vandaan, hoe stroomt het door je systemen, en wat is de output? Neem de rol van je AI-model in de verwerkingsketen op.
  • Beoordeel noodzaak en proportionaliteit: Is deze verwerking werkelijk noodzakelijk voor je doel? Kun je hetzelfde bereiken met minder data of een minder ingrijpende aanpak?
  • Identificeer risico's voor personen: Wat kan er misgaan vanuit het perspectief van de betrokkene? Denk aan discriminatie, financieel verlies, reputatieschade, verlies van vertrouwelijkheid en verlies van controle over persoonsgegevens.
  • Definieer mitigerende maatregelen: Beschrijf per risico wat je doet om het te verminderen. Voorbeelden: anonimisering, toegangsbeperkingen, menselijk toezicht bij geautomatiseerde beslissingen, dataminimalisatie, encryptie.
  • Documenteer en evalueer: Een DPIA is een levend document. Evalueer het wanneer je verwerking verandert, je AI-model bijwerkt, of ten minste jaarlijks.

Wanneer is een DPIA verplicht?

  • Geautomatiseerde besluitvorming met juridische of significante gevolgen (bijv. kredietscoring, wervingstools)
  • Grootschalige verwerking van gevoelige data (gezondheid, biometrie, politieke opvattingen)
  • Systematische monitoring van openbaar toegankelijke gebieden
  • Gebruik van nieuwe technologieën (AI, machine learning, IoT) voor verwerking van persoonsgegevens

De ICO DPIA-richtlijnen bieden templates en voorbeelden. Tidal Control biedt een DPIA-workflow die je door elke stap leidt, bevindingen koppelt aan je risicoregister en audit-ready documentatie genereert.

Gerelateerde frameworks

Gerelateerde termen

AI Impact Assessment (AIIA)Functionaris Gegevensbescherming (FG)Verwerkingsregister

H

I

K

L

M

N

O

P

R

S

T

V

W

Z

Terug naar alle begrippen