DPIA-stappenplan: in zes stappen een goede DPIA
Weet je al wat een DPIA is en dat je er een moet uitvoeren? Dan is de volgende vraag: hoe pak je dat aan? De AVG schrijft geen vast format voor, wel vier verplichte onderdelen. Dit stappenplan verwerkt die onderdelen in zes praktische stappen.
Vooraf: begin op tijd. De wet eist dat de DPIA vóór de start van de verwerking is afgerond. Een DPIA die je achteraf schrijft, is juridisch te laat en praktisch mosterd na de maaltijd — de belangrijkste ontwerpkeuzes zijn dan al gemaakt.
Stap 1: beschrijf de verwerking
Leg systematisch vast wat je van plan bent. De toezichthouder verwacht antwoord op minimaal deze vragen:
- Welke persoonsgegevens verwerk je, van welke groepen mensen?
- Wat is het doel van de verwerking, en op welke grondslag baseer je die?
- Hoe komen de gegevens binnen, waar worden ze opgeslagen en wie kan erbij?
- Hoelang bewaar je de gegevens, en deel je ze met derden (ook buiten de EU)?
- Welke systemen en leveranciers zijn betrokken?
Tip: een datastroomdiagram (waar komen gegevens binnen, waar gaan ze heen) maakt de rest van de DPIA veel makkelijker.
Stap 2: toets noodzaak en proportionaliteit
Dit is de stap die het vaakst wordt overgeslagen — en waar toezichthouders juist scherp op letten. Beantwoord eerlijk:
- Noodzaak: is deze verwerking echt nodig om het doel te bereiken? Kan het ook zonder, of met geanonimiseerde gegevens?
- Proportionaliteit: staat de inbreuk op de privacy in verhouding tot het doel?
- Subsidiariteit: is er een minder ingrijpend alternatief dat hetzelfde doel bereikt?
Stap 3: breng de risico's voor betrokkenen in kaart
Beoordeel de risico's vanuit het perspectief van de betrokkene, niet vanuit de organisatie. Reputatieschade voor jouw bedrijf is géén DPIA-risico; verlies van controle over gegevens door de betrokkene wél. Denk aan:
- Onbevoegde toegang of datalekken
- Discriminatie of uitsluiting door (geautomatiseerde) besluiten
- Identiteitsfraude
- Chilling effects: mensen passen hun gedrag aan omdat ze zich bekeken voelen
- Functiekruip: gegevens worden later voor iets anders gebruikt dan beloofd
Geef per risico een inschatting van kans en impact, bijvoorbeeld op een schaal laag/midden/hoog. Zo kun je straks laten zien welke risico's prioriteit kregen.
Stap 4: bepaal maatregelen per risico
Koppel aan elk risico een of meer maatregelen die het risico verkleinen:
- Minder gegevens: dataminimalisatie is de krachtigste maatregel — wat je niet hebt, kan niet lekken.
- Pseudonimisering of versleuteling van gegevens in opslag en transport.
- Kortere bewaartermijnen met automatische verwijdering.
- Strakkere toegangsrechten en logging van wie wat inziet.
- Transparantie: duidelijke informatie aan betrokkenen en een eenvoudige manier om rechten uit te oefenen.
Noteer per risico het restrisico: het risico dat overblijft ná de maatregelen. Blijft er een hoog restrisico staan dat je niet kunt beperken? Dan moet je de Autoriteit Persoonsgegevens raadplegen vóórdat je start (voorafgaande raadpleging, artikel 36 AVG).
Stap 5: vraag advies en leg alles vast
Heeft je organisatie een functionaris gegevensbescherming (FG)? Dan ben je verplicht om diens advies te vragen — en vast te leggen wat je met dat advies hebt gedaan. Waar mogelijk vraag je ook betrokkenen (of hun vertegenwoordigers, zoals een ondernemingsraad of cliëntenraad) naar hun mening. Documenteer de hele beoordeling in één document: dat is je verantwoording richting de toezichthouder.
Stap 6: monitor en herzie
Een DPIA is een momentopname. Plan een periodieke check — veel organisaties kiezen elke drie jaar — en herzie de DPIA direct bij relevante wijzigingen: een nieuw systeem, een nieuwe leverancier, een nieuw doel of een flinke groei van het aantal betrokkenen.
Samengevat: beschrijf, toets, beoordeel risico's, neem maatregelen, vraag advies en houd de DPIA levend. Twijfel je of een DPIA in jouw geval verplicht is? Check dan eerst wanneer een DPIA verplicht is of begin bij de complete DPIA-gids.