De DPIA[1], of wel de “gegevensbeschermingseffectbeoordeling” in goed Nederlands, is een verplichte risicobeoordeling wanneer de verwerking van persoonsgegevens waarschijnlijk een hoog risico met zich meebrengt voor de rechten en vrijheden van betrokkenen. Even vrij vertaald voor wie niet dagelijks met de AVG bezig is.
Sinds januari 2025 kom ik de DPIA opvallend vaak tegen als verplichte stap bij zo’n beetje álles wat met persoonsgegevens te maken heeft. Maar dat lees ik helemaal niet zo terug in de AVG of op de website van de Autoriteit Persoonsgevens.
Wat is hier aan de hand?
Zijn organisaties strenger dan nodig?
Hebben we een torenhoog moreel kompas?
Mooi als dat zo is, maar ik heb m’n twijfels. Waarom willen we die DPIA zo graag?
Bij meerdere klanten – vooral grote financiële instellingen – zie ik dat DPIA’s bijna standaard worden uitgevoerd bij alles waar persoonsgegevens aan te pas komen. Of anders wel een pre-DPIA, om te checken of een volledige DPIA nodig is. En dan krijg je vaak het advies: “Doe het maar gewoon, dan weet je zeker dat je goed zit.” Efficiënt? Mwah.
Kijk je wat dieper in de privacy-aanpak, dan zie je veel nadruk op zichtbare, tastbare (en vaak dure) maatregelen. DPIA’s zijn daar een goed voorbeeld van. Laat ik er een paar uitlichten.
Veel organisaties hebben een pre-DPIA-proces opgezet – inclusief formulier, gewoon beschikbaar. Handig! Iedereen in de organisatie kan zo zelf checken of een DPIA nodig is. Mooi geregeld, toch?
Maar… bij andere organisaties wordt die pre-DPIA vooral gebruikt als makkelijke manier om het AVG-vinkje te halen zonder echt werk te hoeven doen.
Dan rijst de vraag: bereik je daar ook het doel “beschermen van persoonsgegevens” mee in je processen?
Steeds vaker zie ik dat organisaties standaard een DPIA verplicht stellen bij vrijwel elke verwerking van persoonsgegevens. Een voorbeeld: je wilt voor een eenmalige mailing adressen delen met een drukker. Logisch om daarbij aan privacy te denken, en natuurlijk moet je zorgen voor een goede afspraken over geheimhouding en dergelijke in een verwerkersovereenkomst. Maar een volledige DPIA? Dat is overkill.
Of stel: door een product-aanpassing wordt een extra gegeven verzameld. Dan kijk je kort naar de risico’s: verandert er iets wezenlijks? Past het nog binnen bestaande maatregelen?
Dan is het updaten van het verwerkingsregister genoeg; geen DPIA nodig dus.
En dan nog iets: DPIA’s worden netjes gemaakt en keurig opgeslagen, maar je vindt zelden iets terug over opvolging, monitoring of tests.
Dan heb je een mooi rapport, maar wat levert het op?
Sommige organisaties verplichten elke drie jaar een herijking van de DPIA. Soms zelfs een volledige heruitvoering. Goed idee? In theorie wel: je houdt alles actueel en voldoet keurig aan de AVG. Maar in de praktijk?
De DPIA kijkt naar risico’s en maatregelen, met de kennis van dat moment. En dat moment verandert continu; zeker in IT-land. Maatregelen worden goedkoper of juist duurder, effectiever of verouderen. Denk aan twee-factor-authenticatie: ooit complex, nu de norm.
Toch houden veel organisaties star vast aan het driejaarlijkse ritme. En dan zijn ze zo druk met bijwerken van oude DPIA’s, dat ze geen tijd meer hebben voor nieuwe, wél risicovolle verwerkingen. Schiet je je doel dan niet voorbij?
Hoe dan wél?
Kijk gewoon op de site van de AP. Daar staat precies wanneer een DPIA nodig is. Het is een krachtig instrument, maar ook een zwaar middel. Gebruik het alleen waar het hoort: bij nieuwe, grootschalige verwerkingen.
En verder? Voor structurele privacybescherming zijn er véél belangrijkere elementen:
Die zijn vaak effectiever dan een DPIA, maar minder aantoonbaar. En misschien is dát wel de crux: we willen kunnen laten zien dat we ‘iets’ gedaan hebben.
Dus grijpen we naar de DPIA, want daar bestaan tenminste formats voor. Slim? Denk het niet…
Nee, niet helemaal. Een DPIA is waardevol als voorbereiding op een nieuw systeem of proces. Maar dan moet dat systeem nog gebouwd worden, dat proces nog ingericht, alles getest…
Een ingevulde DPIA betekent dus nog niks. Het is een momentopname, geen garantie.
Echte bescherming zit in de hele cyclus: DPIA aan het begin, ja. Maar dan doorpakken: uitvoeren, controleren en verbeteren. De goede oude PDCA[2]-cyclus.
Mijn standpunt? Geef medewerkers duidelijke richtlijnen en formats om gegevens goed te beschermen.
Laat ze zien wat belangrijk is en hoe je dat aanpakt – niet alleen dat je iets moet doen.
Start met je Privacybeleid: leg daarin vast hoe je met persoonsgegevens omgaat, afgestemd op jouw organisatie, jouw risico’s en jouw maatregelen.
Maak het concreet, praktisch en toetsbaar.
Een voorbeeld: behandel datalekken als leermoment.
Bespreek een incident in de weekstart, laat de FG even aansluiten, maak een verslag en sla het op.
Dat is leerzaam én aantoonbaar – en vaak effectiever dan een DPIA.
Voor het blijvend goed beveiligen van de privacy van persoonsgegevens zijn nog veel meer mogelijkheden (zonder hieronder uitputtend te willen zijn):
Kortom: goede privacybescherming vraagt om een mindset en een aanpak die passen bij de situatie.
Niet overal een DPIA, maar doordachte maatregelen die écht effect hebben.
Doe Privacy In Alles en ik ben fan van de nieuwe DPIA: leve DPIA!
[1] Data Protection Impact Analysis
[2] Plan, Do, Check, Act, ook bekend als de Deming cyclus
