Naar hoofdinhoud
Kennisbank
AVG

Wanneer is een DPIA verplicht? De negen criteria

Een DPIA (gegevensbeschermingseffectbeoordeling) is verplicht bij een waarschijnlijk hoog privacyrisico. De negen criteria uit de Europese richtsnoeren en de vuistregel: twee of meer criteria = DPIA uitvoeren.

Bijgewerkt 10 juli 2026 5 min lezen

Artikel 35 AVG verplicht een gegevensbeschermingseffectbeoordeling (DPIA) wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Maar wanneer is dat zo? De Europese privacytoezichthouders hebben daarvoor negen criteria geformuleerd, met een praktische vuistregel: zijn twee of meer criteria van toepassing, voer dan een DPIA uit.

De negen criteria

  • Evalueren of scoren van mensen op persoonlijke kenmerken (profilering, beoordelingen).
  • Geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbaar grote impact.
  • Stelselmatig volgen of observeren van betrokkenen (monitoring, cameratoezicht).
  • Verwerking van bijzondere, strafrechtelijke of anderszins zeer gevoelige gegevens.
  • Grootschalige verwerking (aantallen betrokkenen, volume, duur of geografische reikwijdte).
  • Koppelen of combineren van datasets uit verschillende bronnen of doelen.
  • Gegevens van kwetsbare betrokkenen (kinderen, patiënten, werknemers, mensen in een afhankelijke positie).
  • Innovatieve technologie of een nieuwe toepassing van bestaande technologie — denk aan AI.
  • Verwerkingen die betrokkenen de toegang tot een recht, dienst of overeenkomst kunnen ontzeggen.

Wat als een DPIA nodig is?

Een DPIA beschrijft de verwerking, beoordeelt noodzaak en evenredigheid, brengt de risico’s voor betrokkenen in kaart en bepaalt maatregelen. Betrek de functionaris gegevensbescherming (FG). Blijft er ondanks maatregelen een hoog restrisico over, dan moet u de Autoriteit Persoonsgegevens vooraf raadplegen (art. 36 AVG).

AI-systemen: bijna altijd raak

AI-toepassingen scoren al snel op meerdere criteria tegelijk: innovatieve technologie, evaluatie van personen en vaak ook geautomatiseerde besluitvorming. Wie AI-systemen inventariseert voor de EU AI Act, doet er dus goed aan de DPIA-vraag per systeem direct mee te nemen — de twee beoordelingen versterken elkaar.

Maak er een checklist van

Leg de negen criteria als vaste checklist naast elke nieuwe of gewijzigde verwerking in uw verwerkingsregister en documenteer de uitkomst — ook als de conclusie “geen DPIA nodig” is. Zo is de afweging later altijd te reconstrueren.

Dit artikel is informatief en geen juridisch advies. Wetgeving kan wijzigen. Raadpleeg bij twijfel een specialist of de officiele bronnen.

Aan de slag met Normio

Zet deze theorie om in een concreet actieplan. Probeer Normio 14 dagen gratis.

Start 14 dagen gratis
Wanneer is een DPIA verplicht? De negen criteria | Normio