Een Privacy Impact Assessment (PIA) is een systematische evaluatie van hoe een voorgesteld project, systeem of verwerkingsactiviteit de privacy van personen beïnvloedt wier persoonsgegevens erbij betrokken zijn. Hoewel de PIA dateert van voor de AVG, zijn de principes ervan geformaliseerd in de vereiste voor een gegevensbeschermingseffectbeoordeling (DPIA) onder artikel 35, die dergelijke beoordelingen verplicht stelt voor verwerkingen die waarschijnlijk een hoog risico opleveren voor de rechten en vrijheden van personen.
Een goed uitgevoerde PIA identificeert privacyrisico's vroeg in de projectlevenscyclus, wanneer wijzigingen het minst kostbaar zijn om door te voeren, en beveelt mitigerende maatregelen aan om die risico's tot aanvaardbare niveaus terug te brengen. Het onderzoekt gegevensstromen, bewaartermijnen, toegangscontroles, deling met derden en mechanismen voor rechten van betrokkenen, en produceert een gedocumenteerd verslag dat de toewijding van de organisatie aan privacycompliance en onderbouwde besluitvorming aantoont.