DPIA vs. PIA: wat is het verschil?

In gesprekken over privacy hoor je beide afkortingen: PIA en DPIA. Vaak bedoelen mensen hetzelfde. Toch is er een echt verschil — en in juridische documenten kan dat verschil ertoe doen.

PIA: de oorspronkelijke term

De Privacy Impact Assessment (PIA) bestaat al sinds de jaren negentig. De methode komt uit landen als Canada, Australië en het Verenigd Koninkrijk, waar overheden en bedrijven vrijwillig de privacygevolgen van nieuwe projecten in kaart brachten. Een PIA kende geen wettelijk vast format: elke organisatie richtte het onderzoek naar eigen inzicht in. Ook in Nederland werkten overheden al vóór de AVG met PIA's, bijvoorbeeld bij nieuwe wetgeving en grote ICT-projecten.

DPIA: de wettelijke variant uit de AVG

Met de komst van de AVG in 2018 kreeg het instrument een wettelijke basis en een nieuwe naam: de Data Protection Impact Assessment (DPIA), in de Nederlandse wettekst gegevensbeschermingseffectbeoordeling (GEB). Anders dan de vrijblijvende PIA is de DPIA:

Het verschil in één oogopslag

Welke term gebruik je?

In de praktijk maakt het meestal weinig uit: wie "PIA" zegt, bedoelt tegenwoordig bijna altijd de DPIA uit de AVG. Maar in formele documenten — contracten, verwerkersovereenkomsten, beleid — gebruik je bij voorkeur DPIA of gegevensbeschermingseffectbeoordeling: dat zijn de termen waar de wet betekenis aan geeft. Zo voorkom je discussie over de vraag of aan de wettelijke eisen is voldaan.

Verder lezen: begin bij wat een DPIA is en wanneer die verplicht is, of ga direct aan de slag met het DPIA-stappenplan in zes stappen.