DPIA-template (gegevensbeschermingseffectbeoordeling) — sjabloon AVG Art. 35

Zie ons artikel DPIA. Verplicht bij hoog risico (Art. 35): systematische evaluatie met automatische besluitvorming + rechtsgevolg, grootschalig bijzondere data, systematische monitoring publieke ruimte, of een van AP's 17 DPIA-list-toepassingen. Verplichte inhoud (Art. 35 lid 7): (a) systematische beschrijving verwerking, (b) noodzakelijkheid + proportionaliteit, (c) risico-analyse voor betrokkenen, (d) mitigerende maatregelen. Sjabloon-elementen: projectnaam, verwerkingsverantwoordelijke, DPO-betrokkenheid, doel + grondslag, data-types + bewaartermijnen, verwerkers, internationale doorgifte, risico-matrix (likelihood × impact), mitigerende maatregelen, restrisico-evaluatie, conclusie + handtekening. Voorafgaande raadpleging (Art. 36): als restrisico's hoog blijven, MOET je AP vooraf raadplegen — AP heeft 8 weken (14 weken bij complex). AP-template: AP heeft een gratis Excel + Word DPIA-template gepubliceerd. SIVON heeft sector-specifieke DPIA-templates voor onderwijs. Wie doet DPIA? Verwerkingsverantwoordelijke, met advies van DPO (Art. 39 lid 1c). Voor complexe cases (AI, biometrie, grootschalig zorg): externe DPIA-expert vaak nodig. Boetes bij ontbreken: Art. 83 lid 4 — tot €10m / 2%. AP-handhaving 2023-2025 was strikt op missende DPIAs in retail, verzekeringen, HR-monitoring.