Alles over de DPIA · AVG artikel 35
DPIA: wat het is, wanneer verplicht en hoe je 'm uitvoert
Een DPIA (data protection impact assessment) brengt de privacyrisico's van een gegevensverwerking in kaart vóórdat je start. Op deze pagina lees je precies wat een DPIA is, wanneer die verplicht is en hoe je 'm stap voor stap uitvoert — in gewoon Nederlands, zonder juridisch wollig taalgebruik.
Laatst bijgewerkt op 18 juli 2026 · Gebaseerd op AVG artikel 35 en de richtlijnen van de Autoriteit Persoonsgegevens.
De basis
Wat is een DPIA?
Een DPIA — voluit data protection impact assessment, in de Nederlandse wettekst gegevensbeschermingseffectbeoordeling (GEB) — is een onderzoek dat je uitvoert vóórdat je persoonsgegevens gaat verwerken op een manier die risico's kan opleveren voor de mensen om wie het gaat.
Je beschrijft wat je gaat doen, waarom dat nodig is, welke risico's dat oplevert voor de betrokkenen en welke maatregelen je neemt om die risico's te beperken. Zo voorkom je problemen vooraf, in plaats van dat je ze achteraf moet repareren. De verplichting staat in artikel 35 van de AVG.
Drie termen die je moet kennen
- Verwerkingsverantwoordelijke
- De organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt. Deze partij is verantwoordelijk voor de DPIA.
- Betrokkene
- De persoon van wie de gegevens zijn. De DPIA beoordeelt de risico's vanuit díens perspectief — niet vanuit de organisatie.
- Functionaris gegevensbescherming (FG)
- De interne privacytoezichthouder. Heeft je organisatie een FG, dan moet je die om advies vragen bij de DPIA.
art. 35
het AVG-artikel waarin de DPIA is vastgelegd
De verplichting
Wanneer is een DPIA verplicht?
De hoofdregel: een DPIA is verplicht als een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. De AVG noemt drie situaties waarin dat in elk geval zo is.
Profilering met gevolgen
Een systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking — zoals profilering — waarop besluiten worden gebaseerd met rechtsgevolgen voor mensen.
Bijzondere gegevens, grootschalig
Grootschalige verwerking van bijzondere categorieën persoonsgegevens (zoals gezondheid, religie of politieke opvattingen) of van strafrechtelijke gegevens.
Monitoring openbare ruimte
Stelselmatige en grootschalige monitoring van openbaar toegankelijke ruimten, bijvoorbeeld met (slim) cameratoezicht.
De AP-lijst: 17 verwerkingen waarvoor een DPIA altijd verplicht is
De Autoriteit Persoonsgegevens publiceerde daarnaast een lijst met zeventien soorten verwerkingen waarvoor een DPIA altijd verplicht is:
- Heimelijk onderzoek
- Zwarte lijsten
- Fraudebestrijding
- Creditscores
- Financiële situatie
- Genetische gegevens
- Gezondheidsgegevens
- Samenwerkingsverbanden
- Cameratoezicht
- Flexibel cameratoezicht
- Controle werknemers
- Kwetsbare personen
- Biometrie
- Wifitracking
- Internet of things
- Profilering
- Gedragsbeïnvloeding
Staat jouw verwerking er niet tussen? Gebruik dan de negen criteria van de Europese toezichthouders (EDPB): voldoe je aan twee of meer, dan is een DPIA meestal alsnog nodig.
Lees de volledige uitleg: wanneer is een DPIA verplicht?Stappenplan
Een DPIA uitvoeren in zes stappen.
Beschrijf de verwerking
Wat ga je doen, met welke gegevens, van wie, hoelang bewaar je ze en wie heeft er toegang? Breng aard, omvang, context en doel in kaart.
Toets noodzaak en proportionaliteit
Is de verwerking echt nodig voor het doel? Kan het met minder gegevens, of op een minder ingrijpende manier?
Breng de risico's in kaart
Wat kan er misgaan voor de betrokkenen? Denk aan datalekken, discriminatie, uitsluiting of verlies van controle over gegevens.
Bepaal maatregelen
Beperk elk risico met passende maatregelen: minder gegevens, pseudonimisering, kortere bewaartermijnen, betere beveiliging.
Vraag advies en leg vast
Vraag advies aan je FG en waar mogelijk aan betrokkenen. Documenteer de hele beoordeling — dat is je verantwoording richting de toezichthouder.
Monitor en herzie
Een DPIA is nooit af. Herzie de beoordeling bij elke wijziging van de verwerking en controleer periodiek of alles nog klopt.
Waarom het ertoe doet
Geen DPIA doen is geen optie.
Voer je geen DPIA uit terwijl dat wel moet, dan overtreed je de AVG — óók als er verder niets misgaat met de gegevens. De Autoriteit Persoonsgegevens kan daarvoor een boete opleggen tot €10 miljoen of 2% van de wereldwijde jaaromzet.
Blijkt uit je DPIA een hoog restrisico dat je niet kunt beperken? Dan mag je niet zomaar starten: je bent verplicht eerst de Autoriteit Persoonsgegevens te raadplegen (de voorafgaande raadpleging uit artikel 36 AVG).
€10 mln
maximale boete bij het ontbreken van een verplichte DPIA
Praktijk
Drie voorbeelden uit de praktijk.
Zo ziet de DPIA-plicht eruit in echte situaties — van gemeente tot mkb.
Slim cameratoezicht in een winkelstraat
Een gemeente wil camera's met gedragsherkenning ophangen in het centrum. Dat is stelselmatige, grootschalige monitoring van een openbaar toegankelijke ruimte — precies de situatie van artikel 35 lid 3c.
DPIA verplichtPersoneelsmonitoring bij een logistiek bedrijf
Een vervoerder wil rijgedrag, pauzes en locatie van chauffeurs continu volgen. "Controle werknemers" staat op de AP-lijst van verwerkingen waarvoor een DPIA altijd verplicht is.
DPIA verplichtPatiëntenportaal van een zorggroep
Een samenwerkende groep huisartsen lanceert een portaal waarin duizenden patiënten hun dossier inzien. Grootschalige verwerking van gezondheidsgegevens: DPIA-plicht op grond van artikel 35 lid 3b.
DPIA verplichtValkuilen
Veelgemaakte fouten bij een DPIA.
Deze zes fouten zien toezichthouders — en wij — het vaakst terug.
- Te laat beginnen: de DPIA pas uitvoeren als de verwerking al draait, terwijl de wet "vóór de verwerking" eist.
- De DPIA behandelen als invuloefening in plaats van als echt risico-onderzoek.
- Alleen naar beveiliging kijken en de noodzaak en proportionaliteit van de verwerking overslaan.
- Risico's beoordelen vanuit de organisatie in plaats van vanuit de betrokkene.
- De functionaris gegevensbescherming niet (aantoonbaar) om advies vragen.
- De DPIA na de eerste versie nooit meer herzien, ook niet bij grote wijzigingen.
Kennisbank
Verder lezen over de DPIA.
Verdiepende artikelen over specifieke DPIA-vragen, in dezelfde nuchtere taal.
Wanneer is een DPIA verplicht?
De drie AVG-situaties, de volledige AP-lijst met 17 verwerkingen en de negen EDPB-criteria op een rij.
DPIA-stappenplan: zo pak je het aan
De zes stappen uitgewerkt met praktijktips, van eerste beschrijving tot periodieke herziening.
DPIA vs. PIA: wat is het verschil?
Twee afkortingen die door elkaar worden gebruikt — maar juridisch niet hetzelfde betekenen.
Veelgestelde vragen
Veelgestelde vragen over de DPIA.
Wat betekent DPIA?
DPIA staat voor Data Protection Impact Assessment. In de Nederlandse AVG-tekst heet dit een gegevensbeschermingseffectbeoordeling (GEB). Het is een gestructureerd onderzoek waarmee je vooraf de privacyrisico's van een gegevensverwerking in kaart brengt en maatregelen bepaalt om die risico's te beperken.
Wanneer is een DPIA verplicht?
Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog privacyrisico oplevert voor de betrokkenen (artikel 35 AVG). Denk aan grootschalige verwerking van gezondheidsgegevens, stelselmatige monitoring van openbare ruimten of profilering met rechtsgevolgen. De Autoriteit Persoonsgegevens publiceerde daarnaast een lijst met 17 soorten verwerkingen waarvoor een DPIA altijd verplicht is.
Wie moet de DPIA uitvoeren?
De verwerkingsverantwoordelijke is verantwoordelijk voor de DPIA — de organisatie die doel en middelen van de verwerking bepaalt. In de praktijk voert een projectteam, privacy officer of externe adviseur de DPIA uit. Heb je een functionaris gegevensbescherming (FG), dan ben je verplicht om diens advies te vragen.
Wat gebeurt er als je geen DPIA uitvoert terwijl dat wel moet?
Dan overtreed je de AVG. De Autoriteit Persoonsgegevens kan een boete opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Minstens zo belangrijk: zonder DPIA loop je het risico dat je een verwerking start die je later moet stilleggen of terugdraaien.
Hoe lang duurt een DPIA?
Dat hangt af van de complexiteit van de verwerking. Een eenvoudige DPIA is in enkele dagdelen klaar; bij complexe systemen met veel partijen kan het weken duren. Plan de DPIA vroeg in je project — vóórdat je de verwerking start, want dat is wettelijk vereist.
Wat kost een DPIA?
Voer je de DPIA intern uit, dan kost het vooral tijd. Besteed je de DPIA uit aan een adviseur, dan liggen de kosten meestal tussen enkele honderden en enkele duizenden euro's, afhankelijk van de omvang van de verwerking en het aantal betrokken systemen.
Wat is het verschil tussen een DPIA en een PIA?
Een PIA (Privacy Impact Assessment) is de oudere, algemene term voor een privacy-onderzoek. De DPIA is de wettelijk gedefinieerde variant uit de AVG, met verplichte onderdelen zoals een beoordeling van noodzaak en proportionaliteit. In de praktijk worden de termen vaak door elkaar gebruikt.
Moet ik de DPIA opsturen naar de Autoriteit Persoonsgegevens?
Nee, standaard niet. Alleen als uit de DPIA blijkt dat er een hoog restrisico overblijft dat je niet kunt beperken, ben je verplicht de Autoriteit Persoonsgegevens te raadplegen vóórdat je met de verwerking start. Dit heet een voorafgaande raadpleging (artikel 36 AVG).
Hoe vaak moet je een DPIA herzien?
De AVG noemt geen vaste termijn, maar een DPIA is geen eenmalige exercitie. Herzie de DPIA bij elke relevante wijziging van de verwerking en controleer periodiek of de beoordeling nog klopt — veel organisaties hanteren elke drie jaar als vuistregel.
Is een DPIA ook verplicht voor kleine bedrijven?
Ja. De verplichting hangt af van het risico van de verwerking, niet van de grootte van je organisatie. Een klein bedrijf dat bijvoorbeeld grootschalig gezondheidsgegevens verwerkt of mensen stelselmatig volgt, moet gewoon een DPIA uitvoeren.
Bestaat er een standaard DPIA-template?
Er is geen verplicht format. De AVG schrijft wel vier verplichte onderdelen voor: een beschrijving van de verwerking, een beoordeling van noodzaak en proportionaliteit, een inschatting van de risico's voor betrokkenen en de beoogde maatregelen. Voor de Rijksoverheid bestaat het Model DPIA Rijksdienst; daarnaast publiceren de Autoriteit Persoonsgegevens en de Franse toezichthouder CNIL bruikbare handreikingen en tools.
Moet een DPIA openbaar zijn?
Nee. Een DPIA is een intern verantwoordingsdocument. Het kan wel verstandig zijn om een samenvatting te publiceren, bijvoorbeeld om vertrouwen te wekken bij gebruikers — sommige overheidsorganisaties doen dat standaard.
Vragen over jouw DPIA?
LegalKite is een kennisproject: alles op deze site is vrij te gebruiken. Kom je er met jouw situatie niet uit? Stuur ons een mail — we denken graag mee.
Mail ons je vraag