Een Data Protection Impact Assessment (DPIA) klinkt als iets voor grote organisaties met een juridische afdeling. In de praktijk raakt het ook het MKB — zeker als je AI-automatisering inzet voor processen waarbij persoonsgegevens worden verwerkt. De AVG verplicht in bepaalde situaties een DPIA voordat je een werkstroom live zet. Wie dat overslaat, riskeert niet alleen een boete, maar ook een werkstroom die later stil moet worden gelegd.
Dit artikel legt uit wat een DPIA is, wanneer je er een moet uitvoeren, hoe de stappen eruitzien, en hoe het samenhangt met AI-automatisering. Lees ook de bredere context in AI en de AVG: wat mag wel en niet en de AI Act voor het MKB.
Wat is een DPIA?
Een DPIA — in het Nederlands ook wel gegevensbeschermingseffectbeoordeling — is een gestructureerde analyse waarmee je de privacyrisico's van een nieuwe verwerking in kaart brengt. Het gaat niet om een eenmalig formulier invullen, maar om een proces waarbij je:
- beschrijft welke persoonsgegevens je verwerkt en waarom;
- de risico's voor betrokkenen identificeert;
- beoordeelt of die risico's rechtmatig zijn;
- maatregelen neemt om de risico's te beperken;
- vastlegt hoe je dat hebt gedaan.
Een DPIA is daarmee een intern document en een bewijs van zorgvuldigheid richting de Autoriteit Persoonsgegevens (AP) als er later vragen komen.
Wanneer ben je verplicht een DPIA uit te voeren?
De AVG (artikel 35) verplicht een DPIA bij verwerkingen die "waarschijnlijk een hoog risico" opleveren. Voor AI-automatisering zijn er drie situaties waarbij dit al snel van toepassing is:
1. Geautomatiseerde besluitvorming met significante gevolgen
Als de AI-werkstroom beslissingen neemt die rechtsgevolgen hebben of mensen op vergelijkbare wijze treffen, is een DPIA verplicht. Denk aan: een werkstroom die automatisch credit-limits aanpast, sollicitaties filtert, of klanten indeelt in risicocategorieën.
2. Grootschalige verwerking van gevoelige gegevens
Gevoelige gegevens zijn: gezondheidsgegevens, strafrechtelijke informatie, biometrische gegevens, en gegevens over ras, godsdienst of politieke opvattingen. Als je werkstroom dergelijke data verwerkt — ook alleen leest, classificeert of doorstuurt — geldt de DPIA-plicht bij substantieel volume.
3. Stelselmatige monitoring
Een werkstroom die continu e-mails, communicatie of gedrag van mensen analyseert, valt onder stelselmatige monitoring. Dit geldt ook voor intern gebruik: een werkstroom die medewerkerscommunicatie analyseert, heeft een DPIA nodig. Voor het specifieke geval van mailbox-automatisering — waar deze grens snel in zicht komt — staan de afwegingen in AI in de mailbox onder de AVG.
De AP heeft een lijst gepubliceerd met verwerkingstypen waarbij een DPIA altijd verplicht is. Check die lijst als je twijfelt.
Wanneer is het niet verplicht maar wel verstandig?
Zelfs als je technisch niet verplicht bent een DPIA te doen, is het zinvol er een te maken als:
- De werkstroom persoonsgegevens verwerkt van medewerkers of klanten;
- Je een externe leverancier inschakelt die gegevens verwerkt;
- Je werkt in een gevoelige sector (zorg, HR, financiële dienstverlening).
Een korte DPIA in die gevallen is een uur werk en geeft rust — en documentatie als er later vragen komen.
De DPIA-stappen in de praktijk
Een DPIA hoeft geen omvangrijk project te zijn. Voor een typische MKB-werkstroom werk je dit in vijf stappen uit:
Stap 1 — Beschrijf de verwerking
Wat doet de werkstroom precies? Welke persoonsgegevens worden verwerkt (namen, e-mailadressen, factuurgegevens, correspondentie)? Wie is de verwerkingsverantwoordelijke, wie is eventueel de verwerker? Hoe lang worden de gegevens bewaard?
Stap 2 — Beoordeel de noodzaak en rechtmatigheid
Op welke rechtsgrond verwerk je de gegevens (toestemming, uitvoering van een overeenkomst, gerechtvaardigd belang)? Is de verwerking proportioneel: gebruik je niet meer gegevens dan noodzakelijk voor het doel?
Stap 3 — Identificeer de risico's
Wat kan er misgaan? Denk aan: onbedoelde inzage door de AI-leverancier, datalekken bij de hostingprovider, onjuiste classificaties met gevolgen voor betrokkenen, gegevens die langer bewaard worden dan bedoeld.
Stap 4 — Bepaal technische en organisatorische maatregelen
Welke maatregelen beperk je de risico's? Voorbeelden: gegevens worden versleuteld opgeslagen, de verwerker heeft een verwerkersovereenkomst getekend, logs worden na 90 dagen automatisch gewist, de werkstroom verwerkt geen gevoelige gegevens tenzij strikt noodzakelijk.
Stap 5 — Leg vast en evalueer periodiek
Documenteer de uitkomsten van stap 1 tot 4. Plan een herziening in als de werkstroom wezenlijk verandert of als er een incident is geweest.
Hoe verhoudt een DPIA zich tot de AI Act?
Sinds de AI Act in werking is getreden, is er een tweede compliance-laag toegevoegd naast de AVG. De AI Act heeft zijn eigen risicobeoordelingsvereisten, met name voor AI-systemen in hoog-risico categorieën (zie de AI Act voor het MKB).
De DPIA (AVG) en de AI Act-beoordeling overlappen, maar zijn niet hetzelfde:
| DPIA (AVG) | AI Act beoordeling | |
|---|---|---|
| Focus | Risico voor persoonsgegevens | Risico voor veiligheid en grondrechten |
| Wanneer verplicht | Bij hoog risico voor betrokkenen | Bij hoog-risico AI-toepassing |
| Uitgevoerd door | Verwerkingsverantwoordelijke | Aanbieder of gebruiker AI-systeem |
| Documentatie | Intern bewaren | In register AI-systemen |
Voor de meeste MKB-werkstromen (factuurverwerking, e-mailtriage, rapportages) is de DPIA het meest relevante instrument. AI Act-verplichtingen spelen pas als je in hoog-risico categorieën werkt — denk aan werving, kredietverlening of kritieke infrastructuur.
Praktische aandachtspunten bij AI-leveranciers
Als je een externe leverancier inschakelt voor de bouw of het beheer van een AI-werkstroom, gelden er aanvullende vereisten:
- Verwerkersovereenkomst. Zodra een leverancier persoonsgegevens voor jou verwerkt, is een verwerkersovereenkomst verplicht (artikel 28 AVG). Zorg dat dit getekend is voordat de werkstroom live gaat.
- Subverwerkers. Vraag welke subverwerkers de leverancier gebruikt — taalmodel-API's (OpenAI, Anthropic), cloudproviders, monitoringtools. Die subverwerkers vallen ook onder je DPIA.
- Gegevenslocatie. Als gegevens buiten de EER worden verwerkt, heb je aanvullende grondslag nodig (Standard Contractual Clauses of een adequaatheidsbesluit).
- Zelfhosten als oplossing. Voor gevoelige gegevens kan zelfhosten van het taalmodel — n8n met een lokaal model op EU-infrastructuur — de DPIA aanzienlijk vereenvoudigen omdat gegevens je infrastructuur niet verlaten.
Lees hoe we privacyvriendelijk bouwen op onze veiligheidspagina en bekijk onze diensten voor documentverwerking als je facturen of correspondentie wil automatiseren.
Samengevat
Een DPIA is geen bureaucratisch obstakel maar een nuttig instrument: het dwingt je na te denken over wat er mis kan gaan, en legt vast dat je dat serieus hebt genomen. Voor AI-automatisering in het MKB is de DPIA verplicht bij geautomatiseerde besluitvorming met gevolgen, grootschalige gevoelige-gegevensverwerking, en stelselmatige monitoring — en verstandig in vrijwel alle andere gevallen waarbij persoonsgegevens een rol spelen.