DPIA AVG: wanneer ben je verplicht er een uit te voeren?
Je rolt een nieuw HR-systeem uit dat prestaties van medewerkers bijhoudt. Je plaatst camera's bij de ingang van je kantoor. Een half jaar later, tijdens een audit, vraagt iemand: "Hebben jullie daar een DPIA voor gedaan?"
En je vraagt je af wat een DPIA eigenlijk is.
Een DPIA (Data Protection Impact Assessment, in het Nederlands: gegevensbeschermingseffectbeoordeling) is een AVG-verplichting die de meeste mkb-bedrijven pas ontdekken als het te laat is. Tijdens een audit. Na een klacht. Wanneer de Autoriteit Persoonsgegevens (AP) langskomt.
Voor bepaalde verwerkingen is een DPIA niet optioneel. Het is een wettelijke verplichting onder artikel 35 van de AVG. Sla je het over, dan riskeer je boetes tot 10 miljoen euro.
Hieronder leggen we uit wanneer een DPIA verplicht is, wat erin moet staan en hoe je er een uitvoert zonder juridische afdeling.
Wat is een DPIA?
Een DPIA is een gestructureerde risicobeoordeling. Je gebruikt het om de privacyrisico's van een specifieke verwerking te identificeren en te evalueren voordat je die verwerking start (of voortzet).
Het is een privacy-stresstest. Je beschrijft wat je met persoonsgegevens doet, beoordeelt wat er mis kan gaan voor de mensen wier gegevens je verwerkt, en legt vast hoe je die risico's verkleint.
De AVG introduceerde de DPIA in artikel 35 voor verwerkingen die waarschijnlijk een hoog risico opleveren voor de rechten en vrijheden van betrokkenen. Het idee: problemen signaleren voordat ze ontstaan, niet erna.
Een DPIA is niet hetzelfde als je verwerkingsregister (RoPA). Je verwerkingsregister documenteert alle verwerkingen in je organisatie. Een DPIA zoomt in op een specifieke verwerking met verhoogd risico.
Wanneer is een DPIA verplicht?
Artikel 35 AVG geeft geen uitputtende lijst. Het stelt dat een DPIA verplicht is wanneer verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen."
Dat klinkt vaag. Maar de AVG, het European Data Protection Board en de Autoriteit Persoonsgegevens geven concrete handvatten. De AP publiceert een eigen lijst van verwerkingen waarvoor een DPIA verplicht is. Hieronder de belangrijkste triggers.
1. Grootschalige verwerking van bijzondere persoonsgegevens
Verwerking van gezondheidsgegevens, biometrische gegevens, gegevens over ras of etnische afkomst, politieke opvattingen, religieuze overtuigingen, vakbondslidmaatschap, genetische gegevens of strafrechtelijke gegevens. "Grootschalig" hangt af van het aantal betrokkenen, het volume, de geografische reikwijdte en de duur.
Een huisartsenpraktijk met 5.000 patiëntdossiers verwerkt gezondheidsgegevens op schaal. Een HR-afdeling die ziekteverzuimgegevens verwerkt voor 500 medewerkers kan ook kwalificeren.
2. Stelselmatige monitoring van openbare ruimten
Cameratoezicht in een winkel, op een parkeerterrein of bij een kantooringang die toegankelijk is voor het publiek. "Stelselmatig" betekent dat het doorlopend en methodisch is, niet een eenmalige opname.
De AP noemt cameratoezicht op werkplekken en in openbare ruimten expliciet als trigger voor een DPIA.
3. Geautomatiseerde besluitvorming met rechtsgevolgen
Geautomatiseerde profilering die rechtsgevolgen heeft of betrokkenen op vergelijkbare wijze significant treft. Voorbeelden: geautomatiseerde kredietscore, algoritmische screening bij sollicitaties, of risicoprofilering door verzekeraars die premies bepaalt zonder menselijke tussenkomst.
4. Grootschalige personeelsmonitoring
Monitoring van e-mail, internetgebruik, GPS-locatie of productiviteitscijfers van medewerkers. Ook als je het noodzakelijk vindt: monitoring van werknemers op schaal vereist een DPIA.
In Nederland zijn veel bedrijven hier niet bewust van. De AP heeft meerdere keren benadrukt dat het volgen van medewerkers via software, keyloggers of tijdsregistratiesystemen als grootschalige monitoring kan kwalificeren.
5. Combineren van datasets uit verschillende bronnen
Samenvoegen van klantgegevens uit je CRM met websiteanalytics, aankoophistorie uit een ander systeem of data van derden. De combinatie levert nieuwe inzichten over personen op die zij niet hadden verwacht toen ze hun gegevens aan elk afzonderlijk systeem verstrekten.
6. Verwerking van gegevens van kwetsbare groepen
Gegevens over kinderen, ouderen, patienten, werknemers (in de context van de machtsverhouding werkgever-werknemer) of asielzoekers. Deze groepen worden als kwetsbaar beschouwd omdat ze mogelijk minder in staat zijn om vrijelijk toestemming te geven of bezwaar te maken.
7. Innovatieve technologie of nieuwe toepassingen
Gebruik van nieuwe technologie voor het verwerken van persoonsgegevens. Gezichtsherkenning, IoT-apparaten die persoonsgegevens verzamelen, AI-gestuurde beslissystemen. Bij nieuwe technologie zijn risico's moeilijker te voorspellen, en dat is precies waarom je vooraf een DPIA doet.
Vuistregel: als je verwerking aan twee of meer van de bovenstaande criteria voldoet, is een DPIA vrijwel zeker verplicht.
De AP-lijst: extra verplichtingen in Nederland
De Autoriteit Persoonsgegevens heeft een aanvullende lijst gepubliceerd met verwerkingen waarvoor altijd een DPIA verplicht is. Enkele voorbeelden:
- Heimelijk onderzoek (bijvoorbeeld fraudeonderzoek met verborgen camera's)
- Zwarte lijsten (interne lijsten van personen die geweigerd worden)
- Biometrische gegevens voor identificatie (vingerafdruk, gezichtsherkenning)
- Genetische gegevens
- Creditscoring of financiele profilering
- Verwerkingen met locatiegegevens op grote schaal
Opereer je in Nederland, controleer dan altijd de actuele AP-lijst naast de algemene AVG-criteria.
Wat moet er in een DPIA staan?
Artikel 35 lid 7 AVG schrijft vier verplichte onderdelen voor. Elke DPIA moet bevatten:
1. Een systematische beschrijving van de verwerking
Welke persoonsgegevens verwerk je? Van wie? Via welke systemen? Wie heeft toegang? Waar worden de gegevens opgeslagen? Hoe lang bewaar je ze? Wat is de rechtsgrondslag?
Wees specifiek. "We verwerken personeelsgegevens" is niet genoeg. "We verwerken naam, e-mail, functietitel, beoordelingsscores en ziekteverzuimgegevens van medewerkers in BambooHR, toegankelijk voor HR-managers en directe leidinggevenden, bewaard tot 2 jaar na einde dienstverband, op grond van gerechtvaardigd belang en wettelijke verplichting" is het niveau dat je nodig hebt.
2. Een beoordeling van noodzaak en evenredigheid
Is deze verwerking werkelijk noodzakelijk voor het doel dat je hebt aangegeven? Kun je hetzelfde bereiken met minder gegevens, minder ontvangers of kortere bewaartermijnen? Is de rechtsgrondslag solide?
Deze stap dwingt je om de verwerking te rechtvaardigen. Het voorkomt scope creep: meer gegevens verzamelen dan nodig "voor de zekerheid."
3. Een beoordeling van de risico's voor betrokkenen
Wat kan er misgaan voor de mensen wier gegevens je verwerkt? Denk aan:
- Vertrouwelijkheidsrisico's: onbevoegde toegang tot de gegevens (datalek)
- Integriteitsrisico's: gegevens die zonder toestemming worden gewijzigd
- Beschikbaarheidsrisico's: gegevens die verloren gaan of niet beschikbaar zijn wanneer nodig
- Risico's voor rechten en vrijheden: discriminatie, financiele schade, reputatieschade, verlies van controle over persoonsgegevens
Beoordeel per risico de waarschijnlijkheid (hoe kansrijk is het?) en de ernst (hoe erg is het voor de betrokkene?).
4. Maatregelen om de risico's aan te pakken
Documenteer per geïdentificeerd risico wat je doet om het te verkleinen. Voorbeelden:
- Versleuteling van gegevens in opslag en bij transport
- Toegangscontroles en rolgebaseerde autorisaties
- Dataminimalisatie (alleen verzamelen wat nodig is)
- Pseudonimisering
- Periodieke toegangsreviews
- Incidentrespons-procedures
- Training van medewerkers
- Contractuele waarborgen met verwerkers
De maatregelen moeten het restrisico terugbrengen tot een aanvaardbaar niveau. Lukt dat niet, dan moet je de AP raadplegen voordat je verdergaat (artikel 36 AVG).
Hoe voer je een DPIA uit: stappenplan
Je hebt geen advocatenkantoor nodig. Volg deze zes stappen.
Stap 1: Identificeer de verwerking. Kies de specifieke verwerking die de DPIA-verplichting triggert. Een DPIA per verwerking. Probeer niet je hele organisatie in een enkele beoordeling te proppen.
Stap 2: Beschrijf de verwerking in detail. Breng de datastroom in kaart. Welke gegevens komen binnen, van waar, via welke systemen, wie heeft toegang, waar gaan ze naartoe en wanneer worden ze verwijderd. Gebruik je verwerkingsregister als startpunt.
Stap 3: Beoordeel noodzaak en evenredigheid. Stel jezelf de vraag: is deze verwerking noodzakelijk? Kan ik het met minder gegevens? Is de rechtsgrondslag passend? Documenteer je redenering.
Stap 4: Identificeer en evalueer risico's. Lijst elk privacyrisico op dat je kunt bedenken. Beoordeel per risico de waarschijnlijkheid (laag, middel, hoog) en de impact op de betrokkene (laag, middel, hoog). Wees eerlijk. Risico's onderschatten maakt het hele proces zinloos.
Stap 5: Bepaal risicobeperkende maatregelen. Bepaal per risico welke maatregelen het verkleinen. Koppel elke maatregel aan het risico. Beoordeel na toepassing: is het restrisico aanvaardbaar?
Stap 6: Documenteer, review en raadpleeg. Leg alles vast in een gestructureerd document. Heb je een FG, betrek die erbij (verplicht onder artikel 35 lid 2). Als het restrisico na maatregelen hoog blijft, moet je de AP raadplegen voordat je de verwerking start.
Behandel je DPIA als een levend document. Herzie het wanneer de verwerking verandert, wanneer nieuwe risico's opduiken, of minstens een keer per jaar.
Wat gebeurt er als je een verplichte DPIA overslaat?
Een DPIA overslaan terwijl er een verplicht is, is een directe overtreding van artikel 35 AVG. De gevolgen:
- Boetes tot 10 miljoen euro of 2% van je wereldwijde jaaromzet, afhankelijk van welk bedrag hoger is (artikel 83 lid 4 AVG)
- Bevel om de verwerking te staken totdat een DPIA is uitgevoerd
- Reputatieschade als de overtreding openbaar wordt
- Verhoogde aansprakelijkheid als er een datalek plaatsvindt bij een verwerking die een DPIA had moeten hebben
De AP heeft het duidelijk gemaakt: niet weten dat een DPIA verplicht was, is geen geldig verweer.
DPIA-checklist voor mkb
Gebruik deze checklist om te bepalen of je een DPIA nodig hebt en om volledigheid te controleren.
Heb ik een DPIA nodig?
- [ ] Verwerk ik bijzondere persoonsgegevens op grote schaal?
- [ ] Is er sprake van stelselmatige monitoring (cameratoezicht, personeelsmonitoring)?
- [ ] Worden er geautomatiseerde besluiten genomen met significante gevolgen?
- [ ] Worden datasets uit verschillende bronnen gecombineerd?
- [ ] Gaat het om gegevens van kinderen, werknemers of andere kwetsbare groepen?
- [ ] Wordt er nieuwe of innovatieve technologie ingezet?
Twee of meer aangevinkt? Dan heb je vrijwel zeker een DPIA nodig.
Is mijn DPIA compleet?
- [ ] Verwerking in detail beschreven (gegevenstypen, systemen, ontvangers, bewaartermijnen)
- [ ] Rechtsgrondslag gedocumenteerd
- [ ] Noodzaak en evenredigheid beoordeeld
- [ ] Risico's geïdentificeerd met waarschijnlijkheid en ernst
- [ ] Risicobeperkende maatregelen per risico gedocumenteerd
- [ ] Restrisico geëvalueerd
- [ ] FG geraadpleegd (indien van toepassing)
- [ ] DPIA gekoppeld aan verwerkingsregister-entry
Hoe ComplianceHive helpt bij DPIA's
Een DPIA bestaat niet in isolatie. Het hangt samen met je verwerkingsregister, je leveranciersinventaris en je risicobeheer.
In ComplianceHive zijn je verwerkingen, systemen en leveranciers al gedocumenteerd. Wanneer je een verwerking met hoog risico identificeert, bouw je je DPIA op de gegevens die je al hebt vastgelegd: de gegevenscategorieën, ontvangers, rechtsgrondslag en beveiligingsmaatregelen uit je verwerkingsregister.
Dat betekent dat je niet bij nul begint. Je breidt uit wat je al hebt met een gerichte risicobeoordeling.
Je kunt de DPIA-status bijhouden, risicobeperkende maatregelen koppelen aan specifieke risico's en alles op een plek beheren naast je verwerkingsregister en je procedures voor rechten van betrokkenen.
Klaar om je DPIA's op orde te krijgen?
ComplianceHive geeft je de structuur om verwerkingen vast te leggen, risico's te beoordelen en DPIA's op te bouwen op wat je al hebt.