De Gegevensbeschermings- effectbeoordeling (DPIA)

De Gegevensbeschermings- effectbeoordeling (DPIA)

Expert blog door Julia van Leeuwen

Met de komst van de Algemene Verordening Gegevensbescherming is de Nederlandse taal een woord rijker: ‘de Gegevensbeschermingseffectbeoordeling’.


Het woord is geschikt voor het spelletje Galgje, maar wat minder voor Scrabble en het is ook nog niet ingeburgerd in het dagelijkse taalgebruik. De Gegevensbeschermingseffectbeoordeling wordt vaak aangeduid als DPIA (de afkorting van Data Protection Impact Assessment), en in dit artikel zal die afkorting ook worden gebruikt. In dit artikel zal worden uitgelegd waarom de DPIA is ingevoerd en wanneer de DPIA moet worden uitgevoerd. Ook zal kort worden stilgestaan bij de rol van de Functionaris Gegevensbescherming (hierna: ‘de FG’) bij de DPIA en bij de uitvoering van de DPIA.

Waarom DPIA?

Eén van de verplichtingen uit de AVG is het beheren van de risico’s die verbonden zijn met de verwerking van persoonsgegevens. Als een DPIA wordt uitgevoerd, worden de risico’s in kaart gebracht. Dat wordt gedaan vóórdat een aanvang wordt gemaakt met de verwerking van de persoonsgegevens. Door de risico’s vooraf in kaart te brengen, worden de risico’s mogelijk beperkt en kunnen er voor aanvang van de gegevensverwerking extra maatregelen worden genomen.

Wanneer moet een organisatie een DPIA uitvoeren?

Uit artikel 35 van de AVG blijkt het antwoord. De DPIA moet worden uitgevoerd als een verwerking, in het bijzonder een verwerking waarbij nieuwe technologieën worden gebruikt, gelet op de aard, de omvang, de context en de doeleinden daarvan waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene. Uit de wet volgt dat er in ieder geval sprake is van een hoog risico als:

  • Bijzondere persoonsgegevens op grote schaal worden verwerkt;
  • Er stelselmatige en grootschalige monitoring plaatsvindt in openbaar toegankelijke ruimten; en
  • als er systematisch en uitgebreid persoonlijke aspecten van natuurlijke personen worden geëvalueerd.

In de zorgsector zal vaak sprake zijn van een hoog risico en zal de DPIA ook vaak moeten worden uitgevoerd. Gegevens over de gezondheid van mensen kwalificeren immers als ‘bijzondere persoonsgegevens’. Als een individuele arts of een andere zorgprofessional gegevens van patiënten of cliënten verwerkt, wordt dat niet gezien als verwerking op grote schaal. In grotere verbanden, denk aan zorginstellingen en ziekenhuizen, zal dat al snel wel het geval zijn.

Functionaris Gegevensbescherming

Als er eenmaal geconcludeerd is dat de DPIA moet worden uitgevoerd, moet de FG worden ingeschakeld. Uit artikel 39 van de AVG blijkt dat een FG desgevraagd advies mag verstrekken met betrekking tot de DPIA en dat de FG moet toezien op de uitvoering van de DPIA.

De uitvoering

Vervolgens moet de DPIA worden uitgevoerd. De DPIA bevat ten minste:

  • een beschrijving van de beoogde verwerkingen en de doelen die met de verwerkingen worden nagestreefd;
  • een beoordeling van de noodzaak en de evenredigheid van de verwerkingen;
  • een beoordeling van de risico’s voor de betrokkenen;
  • de maatregelen die worden genomen om risico’s aan te pakken.

Nadat de DPIA is uitgevoerd, zijn de risico’s van een voorgenomen verwerking in kaart gebracht. Als de verantwoordelijke tot de conclusie komt dat er een hoog risico is verbonden aan de verwerking, dient hij de Autoriteit Persoonsgegevens te raadplegen. De Autoriteit Persoonsgegevens zal dan binnen een termijn van acht weken schriftelijk advies geven. Ook kan de Autoriteit Persoonsgegevens haar andere bevoegdheden gebruiken. Zo kan de Autoriteit Persoonsgegevens een verbod opleggen.

Tot slot

De DPIA is één van de nieuwe verplichtingen onder de AVG. Een verplichting die niet per se negatief hoeft te zijn. Door de DPIA uit te voeren, kunt u al vroegtijdig risico’s in kaart brengen. U kunt op die manier al in een vroeg stadium aanpassingen verrichten en de privacy binnen uw organisatie verbeteren.


Julia van Leeuwen 

Julia van Leeuwen is advocaat bij Holla Advocaten daar maakt zij deel uit van het team Intellectuele Eigendom & ICT. Het spreekt haar aan dat het een rechtsgebied is waarbinnen je vindingrijk en creatief kunt zijn. Ook het constante spanningsveld tussen bescherming van de intellectuele eigendom en het vrij beschikbaar zijn van producten maakt dit rechtsgebied voor haar interessant.


 Vond u dit interessant?

Blijf op de hoogte en schrijf u in voor tips, evenementen en nieuws van Bizon Software?

Uw naam

Uw email

Regelmatig nodigen we experts uit om als gastblogger actuele ontwikkelingen uit de markt te bespreken.