DPIA vs. PIA: wat is het verschil?
In gesprekken over privacy hoor je beide afkortingen: PIA en DPIA. Vaak bedoelen mensen hetzelfde. Toch is er een echt verschil — en in juridische documenten kan dat verschil ertoe doen.
PIA: de oorspronkelijke term
De Privacy Impact Assessment (PIA) bestaat al sinds de jaren negentig. De methode komt uit landen als Canada, Australië en het Verenigd Koninkrijk, waar overheden en bedrijven vrijwillig de privacygevolgen van nieuwe projecten in kaart brachten. Een PIA kende geen wettelijk vast format: elke organisatie richtte het onderzoek naar eigen inzicht in. Ook in Nederland werkten overheden al vóór de AVG met PIA's, bijvoorbeeld bij nieuwe wetgeving en grote ICT-projecten.
DPIA: de wettelijke variant uit de AVG
Met de komst van de AVG in 2018 kreeg het instrument een wettelijke basis en een nieuwe naam: de Data Protection Impact Assessment (DPIA), in de Nederlandse wettekst gegevensbeschermingseffectbeoordeling (GEB). Anders dan de vrijblijvende PIA is de DPIA:
- Verplicht bij verwerkingen met een waarschijnlijk hoog risico (wanneer precies, lees je hier);
- Inhoudelijk genormeerd: artikel 35 AVG schrijft vier verplichte onderdelen voor, waaronder een beoordeling van noodzaak en proportionaliteit;
- Handhaafbaar: geen DPIA uitvoeren terwijl dat moet, kan een boete opleveren tot €10 miljoen of 2% van de wereldwijde jaaromzet.
Het verschil in één oogopslag
- Basis: een PIA is een vrijwillige best practice; de DPIA is een wettelijke verplichting uit de AVG.
- Vorm: een PIA is vormvrij; de DPIA heeft vier verplichte onderdelen.
- Scope: een PIA kan breder kijken (bijvoorbeeld ook naar ethiek of reputatie); de DPIA focust op risico's voor de rechten en vrijheden van betrokkenen.
- Consequenties: een PIA overslaan heeft geen juridisch gevolg; een verplichte DPIA overslaan is een AVG-overtreding.
Welke term gebruik je?
In de praktijk maakt het meestal weinig uit: wie "PIA" zegt, bedoelt tegenwoordig bijna altijd de DPIA uit de AVG. Maar in formele documenten — contracten, verwerkersovereenkomsten, beleid — gebruik je bij voorkeur DPIA of gegevensbeschermingseffectbeoordeling: dat zijn de termen waar de wet betekenis aan geeft. Zo voorkom je discussie over de vraag of aan de wettelijke eisen is voldaan.
Verder lezen: begin bij wat een DPIA is en wanneer die verplicht is, of ga direct aan de slag met het DPIA-stappenplan in zes stappen.