Wat is een Data Protection Impact Assessment (DPIA)?

Een Data Protection Impact Assessment (Nederlands: Gegevensbeschermingseffectbeoordeling, GEB) is een gestructureerd proces om de privacy-risico's van een verwerking vooraf te identificeren en mitigeren. AVG Art. 35 maakt het verplicht voor verwerkingen die "waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van natuurlijke personen". Wanneer verplicht? (1) Systematische en uitgebreide evaluatie met geautomatiseerde beslissingen + rechtsgevolg (credit-scoring, fraudedetectie). (2) Grootschalige verwerking van bijzondere persoonsgegevens (Art. 9) of strafrechtelijke data (Art. 10). (3) Systematische monitoring van openbaar toegankelijke ruimten op grote schaal (camerasurveillance). De AP heeft een specifieke lijst gepubliceerd met 17 typen verwerkingen waarbij een DPIA altijd verplicht is (AP-DPIA-lijst 2019, herzien 2024) — incl. arbeids-monitoring, biometrische toegang, locatie-tracking, en zorgapplicaties. Wat staat erin? Art. 35 lid 7: (a) systematische beschrijving van de verwerking, (b) noodzakelijkheid + proportionaliteit, (c) risico-analyse voor de betrokkenen, (d) mitigerende maatregelen. Wie doet het? Verwerkingsverantwoordelijke, met advies van de DPO (Art. 39 lid 1c). Externe DPIA-experts vaak ingehuurd voor complexe gevallen. Voorafgaande raadpleging: als de DPIA aantoont dat er hoge restrisico's blijven, MOET je de AP vooraf raadplegen (Art. 36) voordat je begint. AP heeft dan 8 weken om te reageren — kan tot 14 weken verlengd worden. Boete bij geen DPIA: Art. 83 lid 4, tot €10m / 2% omzet. Recente AP-boetes 2023-2025 voor ontbrekende DPIAs bij grote retail, verzekeringen, en HR-monitoring-platforms. Template: AP heeft een gratis DPIA-template (zie sources).