DPIA-stappenplan: in zes stappen een goede DPIA

Weet je al wat een DPIA is en dat je er een moet uitvoeren? Dan is de volgende vraag: hoe pak je dat aan? De AVG schrijft geen vast format voor, wel vier verplichte onderdelen. Dit stappenplan verwerkt die onderdelen in zes praktische stappen.

Vooraf: begin op tijd. De wet eist dat de DPIA vóór de start van de verwerking is afgerond. Een DPIA die je achteraf schrijft, is juridisch te laat en praktisch mosterd na de maaltijd — de belangrijkste ontwerpkeuzes zijn dan al gemaakt.

Stap 1: beschrijf de verwerking

Leg systematisch vast wat je van plan bent. De toezichthouder verwacht antwoord op minimaal deze vragen:

Tip: een datastroomdiagram (waar komen gegevens binnen, waar gaan ze heen) maakt de rest van de DPIA veel makkelijker.

Stap 2: toets noodzaak en proportionaliteit

Dit is de stap die het vaakst wordt overgeslagen — en waar toezichthouders juist scherp op letten. Beantwoord eerlijk:

Stap 3: breng de risico's voor betrokkenen in kaart

Beoordeel de risico's vanuit het perspectief van de betrokkene, niet vanuit de organisatie. Reputatieschade voor jouw bedrijf is géén DPIA-risico; verlies van controle over gegevens door de betrokkene wél. Denk aan:

Geef per risico een inschatting van kans en impact, bijvoorbeeld op een schaal laag/midden/hoog. Zo kun je straks laten zien welke risico's prioriteit kregen.

Stap 4: bepaal maatregelen per risico

Koppel aan elk risico een of meer maatregelen die het risico verkleinen:

Noteer per risico het restrisico: het risico dat overblijft ná de maatregelen. Blijft er een hoog restrisico staan dat je niet kunt beperken? Dan moet je de Autoriteit Persoonsgegevens raadplegen vóórdat je start (voorafgaande raadpleging, artikel 36 AVG).

Stap 5: vraag advies en leg alles vast

Heeft je organisatie een functionaris gegevensbescherming (FG)? Dan ben je verplicht om diens advies te vragen — en vast te leggen wat je met dat advies hebt gedaan. Waar mogelijk vraag je ook betrokkenen (of hun vertegenwoordigers, zoals een ondernemingsraad of cliëntenraad) naar hun mening. Documenteer de hele beoordeling in één document: dat is je verantwoording richting de toezichthouder.

Stap 6: monitor en herzie

Een DPIA is een momentopname. Plan een periodieke check — veel organisaties kiezen elke drie jaar — en herzie de DPIA direct bij relevante wijzigingen: een nieuw systeem, een nieuwe leverancier, een nieuw doel of een flinke groei van het aantal betrokkenen.

Samengevat: beschrijf, toets, beoordeel risico's, neem maatregelen, vraag advies en houd de DPIA levend. Twijfel je of een DPIA in jouw geval verplicht is? Check dan eerst wanneer een DPIA verplicht is of begin bij de complete DPIA-gids.