Skip to content
GDPR Verplichtingen calendar_today Bijgewerkt: 7 april 2026 schedule 5 min leestijd

DPIA: Wanneer is een Gegevensbeschermingseffectbeoordeling Verplicht?

Een DPIA (Data Protection Impact Assessment) is alleen verplicht bij verwerkingen met een hoog risico. Dit artikel legt uit wanneer je er een nodig hebt, wanneer niet, en hoe je er een uitvoert.

summarize Kernpunten
  • check_circle Een DPIA is alleen verplicht bij verwerkingen met een hoog risico voor de rechten en vrijheden van personen
  • check_circle De meeste KMO's hoeven geen DPIA uit te voeren voor hun standaard verwerkingen
  • check_circle De toezichthouder publiceert een lijst van verwerkingen waarvoor een DPIA verplicht is
  • check_circle Een DPIA is geen eenmalig document maar moet worden bijgewerkt als de verwerking verandert

Wat is een DPIA?

Een DPIA (Data Protection Impact Assessment), in het Nederlands “gegevensbeschermingseffectbeoordeling” genoemd, is een beoordeling van de risico’s die een bepaalde verwerking van persoonsgegevens oplevert voor de betrokken personen. De GDPR (ook wel AVG genoemd) verplicht dit in artikel 35 voor verwerkingen die een hoog risico opleveren voor de rechten en vrijheden van natuurlijke personen.

In gewone taal: je bekijkt vooraf of een verwerking problemen kan veroorzaken voor de mensen wiens gegevens je verwerkt, en wat je eraan doet om die risico’s te beperken.

Wanneer is een DPIA verplicht?

De GDPR noemt drie situaties waarin een DPIA sowieso verplicht is:

1. Systematische en uitgebreide profilering met aanzienlijke gevolgen Denk aan: een bank die automatisch beslist over kredietaanvragen op basis van profielgegevens, of een verzekeraar die premies berekent op basis van uitgebreide gedragsanalyse.

2. Grootschalige verwerking van bijzondere categorieen gegevens Bijzondere categorieen zijn onder meer gezondheidsgegevens, biometrische gegevens, gegevens over ras of religie, en strafrechtelijke gegevens. Een ziekenhuis dat patiëntendossiers beheert, valt hieronder. Een KMO die toevallig weet dat een medewerker diabetisch is, niet.

3. Grootschalige, systematische monitoring van openbaar toegankelijke ruimtes Het klassieke voorbeeld is een uitgebreid camerabewakingssysteem in een winkelcentrum of stadscentrum.

Daarnaast publiceren de toezichthouders (GBA in Belgie, AP in Nederland) lijsten met verwerkingen waarvoor een DPIA verplicht is. De Belgische GBA noemt onder andere:

  • Gebruik van biometrische gegevens voor identificatie
  • Samenvoeging van databases uit verschillende bronnen
  • Systematische monitoring van werknemers
  • Grootschalige verwerking van gegevens van kwetsbare personen (kinderen, ouderen, patiënten)

Wanneer heb je GEEN DPIA nodig?

De meeste KMO’s voeren standaard verwerkingen uit die geen hoog risico opleveren. Een paar voorbeelden:

  • Klantenbeheer in een CRM - je slaat contactgegevens en bestelgeschiedenis op. Geen bijzondere categorieen, geen profilering. Geen DPIA nodig.
  • Personeelsadministratie - naam, adres, loongegevens, contracten. Standaard verwerking. Geen DPIA nodig.
  • Nieuwsbrieven versturen - e-mailadressen met toestemming. Geen DPIA nodig.
  • Boekhouding en facturatie - facturatiegegevens van klanten en leveranciers. Geen DPIA nodig.
  • Een paar beveiligingscamera’s bij je bedrijfspand, zolang het niet grootschalig en systematisch is. Meestal geen DPIA nodig (maar bij grotere installaties wel, zie onze gids over camerabewaking).

De vuistregel: als je gegevens verwerkt op een manier die vergelijkbaar is met wat duizenden andere KMO’s ook doen, is de kans klein dat je een DPIA nodig hebt.

Hoe voer je een DPIA uit?

Als je toch een DPIA moet uitvoeren, volg je deze stappen:

Stap 1: Beschrijf de verwerking

Leg vast:

  • Welke persoonsgegevens je verwerkt
  • Waarvoor (het doel)
  • Op welke grondslag (bijv. gerechtvaardigd belang, toestemming)
  • Wie toegang heeft
  • Hoe lang je de gegevens bewaart
  • Welke technologie je gebruikt

Stap 2: Beoordeel de noodzaak en proportionaliteit

Stel jezelf deze vragen:

  • Is deze verwerking echt nodig voor het doel?
  • Kan ik het doel bereiken met minder gegevens of een minder ingrijpende methode?
  • Is de bewaartermijn niet langer dan nodig?

Stap 3: Identificeer de risico’s

Bekijk de risico’s vanuit het perspectief van de betrokkene, niet vanuit je eigen organisatie. Denk aan:

  • Wat als de gegevens uitlekken? Hoe erg is dat voor de betrokkene?
  • Wat als de gegevens onjuist zijn? Welke gevolgen heeft dat?
  • Hebben betrokkenen voldoende controle over hun gegevens?

Stap 4: Bepaal maatregelen

Voor elk risico bepaal je welke maatregelen je neemt om het te beperken:

  • Technische maatregelen (versleuteling, toegangscontrole, pseudonimisering)
  • Organisatorische maatregelen (trainingen, procedures, contracten)
  • Beperkingen in de verwerking zelf (minder gegevens, kortere bewaartermijn)

Stap 5: Documenteer en onderhoud

Leg alles vast in een document. Een DPIA is geen eenmalige exercitie; je moet het bijwerken als de verwerking verandert, als er nieuwe risico’s ontstaan, of als de technologie verandert.

Praktisch advies voor KMO’s

  • Controleer de lijst van de toezichthouder - bekijk of jouw verwerkingen op de verplichte DPIA-lijst staan
  • Begin met je verwerkingsregister - als je dat op orde hebt, kun je snel zien welke verwerkingen mogelijk een DPIA vereisen
  • Gebruik een template - je hoeft het wiel niet opnieuw uit te vinden. De toezichthouders bieden templates aan
  • Vraag advies bij twijfel - als je niet zeker weet of je een DPIA nodig hebt, is het verstandiger om er een uit te voeren dan om het te negeren
auto_awesome Weet je of je een DPIA nodig hebt?

GDPRWise analyseert je verwerkingsactiviteiten en geeft je een duidelijk antwoord: wel of geen DPIA nodig. En als het wel moet, helpen we je op weg.

GW
GDPRWise Redactie

Dit artikel is opgesteld door het GDPRWise-team en gecontroleerd door onze privacy-experts. Wij controleren onze content regelmatig op actualiteit en juridische juistheid.