Een DPIA (Data Protection Impact Assessment, in het Nederlands "gegevensbeschermingseffectbeoordeling") is een verplichte analyse wanneer een verwerking van persoonsgegevens een hoog risico oplevert voor de betrokkenen. Voor AI-projecten die met klantdata, personeelsdata of gezondheidsdata werken, is het bijna altijd nodig — en onder de EU AI Act wordt de lat nog hoger gelegd.
Dit stappenplan laat zien wanneer een DPIA verplicht is, wat erin hoort en hoe je hem in 2–4 weken doorloopt zonder het project te laten stilvallen.
Wanneer is een DPIA verplicht?
Een DPIA is onder de AVG verplicht als een verwerking een "hoog risico" oplevert voor de rechten en vrijheden van betrokkenen. De Autoriteit Persoonsgegevens heeft een lijst gepubliceerd met gevallen waarin dit standaard het geval is. Voor AI-projecten geldt dat je vrijwel altijd aan minstens twee van deze criteria voldoet:
- Grootschalige verwerking van persoonsgegevens — bijvoorbeeld het trainen of gebruiken van een AI-model op een klantdatabase
- Systematische monitoring — AI-tools die gedrag of prestaties van mensen analyseren
- Geautomatiseerde besluitvorming met rechtsgevolgen — bijvoorbeeld kredietbeoordelingen, sollicitatieselecties of prijsdifferentiatie
- Verwerking van bijzondere persoonsgegevens — gezondheid, religie, strafblad, biometrie
- Gebruik van innovatieve technologie — en AI valt hier nadrukkelijk onder
Kom je uit op twee of meer? Dan is een DPIA verplicht. Twijfel je? Dan is het verstandig er een uit te voeren; de kosten zijn lager dan de boetes bij een foute verwerking. Voor de bredere context van AI-regelgeving in Nederland zie onze pillar over AI-wetgeving Nederland en de EU AI Act.
Wat moet er in een DPIA staan?
Artikel 35(7) AVG schrijft vier verplichte onderdelen voor — en de risicoanalyse is er daar één van, niet een aanvulling. In de praktijk zit het meeste werk juist in die risicoanalyse en de bijbehorende mitigatiemaatregelen.
1. Systematische beschrijving van de verwerking Wat wordt er precies verwerkt, door welk systeem, met welk doel? Bij AI betekent dit: welke data wordt gebruikt voor training, welke voor inferentie, waar staat het, wie heeft toegang en hoelang wordt het bewaard.
2. Noodzaak en evenredigheid Is deze verwerking echt nodig om het doel te bereiken? Kan het minder ingrijpend? De "data minimalisatie"-vraag: gebruik je niet meer persoonsgegevens dan strikt noodzakelijk?
3. Risicobeoordeling Welke risico's lopen betrokkenen door deze verwerking? Denk aan discriminatie, verlies van autonomie, reputatieschade, of het onjuist categoriseren van mensen. AI-specifieke risico's zijn bias, hallucinaties en verkeerde beslissingen op basis van verouderde data.
4. Voorgenomen maatregelen Wat ga je doen om die risico's te verkleinen? Encryptie, pseudonimisering, human-in-the-loop controles, audit trails, een mogelijkheid voor betrokkenen om bezwaar te maken tegen geautomatiseerde besluiten.
Dit hoeft geen document van 80 pagina's te zijn. 15–25 pagina's is voor de meeste MKB-projecten voldoende, mits de inhoud concreet is en de keuzes goed onderbouwd.
De zeven stappen van een efficiënte DPIA
Een goed uitgevoerde DPIA voor een AI-project hoeft niet maanden te duren. Met deze aanpak doorloop je hem in 2–4 weken.
Stap 1: Bepaal de scope (week 1, dag 1–2)
Leg vast welk AI-project je beoordeelt. Eén systeem, één use case, één datastroom. Probeer niet drie projecten tegelijk te beoordelen — dat maakt de analyse vaag en de mitigatie onduidelijk.
Stap 2: Beschrijf de gegevensstroom (week 1, dag 3–5)
Teken een diagram van de gegevensstroom: van bron tot verwerking tot opslag tot output. Wie zijn de betrokkenen? Wat voor data verzamel je? Welke leveranciers zitten in de keten (bijvoorbeeld OpenAI, AWS, of een RAG-platform)? Deze stap koppelt direct aan bedrijfsdata klaar maken voor AI — zonder duidelijke datamap kun je geen DPIA doen.
Stap 3: Beoordeel de noodzaak (week 2, dag 1–2)
Stel jezelf de vragen: is AI hier echt de beste oplossing, of kan het ook met minder indringende technologie? Gebruik je niet meer persoonsgegevens dan nodig? Deze stap is cruciaal omdat juist hier veel projecten een rode vlag krijgen van de functionaris gegevensbescherming.
Stap 4: Identificeer de risico's (week 2, dag 3–5)
Loop systematisch door de AVG-risico's én de AI-specifieke risico's. Bias, hallucinatie, model drift, adversarial input, verkeerde trainingsdata. Voor een checklist van AI-specifieke risico's is ons artikel over AI-risico's en aansprakelijkheid een handig vertrekpunt.
Stap 5: Ontwerp mitigatiemaatregelen (week 3, dag 1–3)
Voor elk geïdentificeerd risico: welke maatregel verkleint het? Niet alle risico's hoeven tot nul te worden gereduceerd, maar elk risico moet een proportionele maatregel hebben. Vaak voorkomende maatregelen:
- Human-in-the-loop — een mens controleert AI-beslissingen met impact op personen
- Audit logs — elke beslissing is achteraf te reconstrueren
- Bias-testen — voor inzet structureel testen op ongewenste patronen
- Transparantie naar betrokkenen — duidelijk communiceren dat AI wordt gebruikt
- Recht om bezwaar te maken — een fallback naar menselijke beoordeling
Stap 6: Formele beoordeling (week 3, dag 4–5)
Laat de DPIA beoordelen door je functionaris gegevensbescherming (FG). Als je geen FG hebt, laat hem dan beoordelen door een externe privacyjurist — dat kost doorgaans €500–€1.500 en bespaart je een hoop risico. Bij een restrisico dat als "hoog" wordt ingeschat na mitigatie, moet je de Autoriteit Persoonsgegevens consulteren voordat je met de verwerking start.
Stap 7: Registreer, communiceer en monitor (week 4)
Leg de DPIA vast in je verwerkingenregister, communiceer de uitkomsten naar de betrokken teams en zorg voor een herbeoordelingsmoment. Een DPIA is geen eenmalige oefening — bij significante wijzigingen aan het systeem of de data moet je hem updaten.
Bespaar 8 uur per week op het inrichten van AI-compliance en auditing processen
Veelgemaakte fouten
In de praktijk zien we een handvol terugkerende fouten bij DPIA's voor AI-projecten:
- Te laat starten — de DPIA wordt uitgevoerd nadat de AI al is gebouwd. Resultaat: je ontdekt structurele privacyproblemen pas als het duur is om ze op te lossen.
- Te generiek blijven — "we gebruiken encryptie" is geen mitigatie. Beschrijf welke encryptie, waar, en tegen welk specifiek risico.
- Leveranciersrisico onderschatten — als je een externe AI-dienst gebruikt (OpenAI, Anthropic, Google), moet je hun subprocessors, datalokaties en retentietermijnen ook beoordelen.
- Vergeten de betrokkene te informeren — transparantie is zelf een mitigatie. Als gebruikers niet weten dat AI wordt ingezet, kun je geen geldige toestemming vragen.
- Niet integreren met je AI-compliance checklist — de DPIA staat niet op zichzelf; hij is onderdeel van een bredere compliance-aanpak.
DPIA versus Conformity Assessment onder de AI Act
Sinds augustus 2026 vraagt de EU AI Act voor "high-risk" AI-systemen een aparte conformity assessment, bovenop de AVG-DPIA. Dit is geen vervanging maar een aanvulling: de DPIA beschermt persoonsgegevens, de conformity assessment bewijst dat je AI-systeem veilig, transparant en non-discriminerend is.
Voor de meeste MKB-bedrijven betekent dit dat je twee documenten nodig hebt. Gelukkig overlappen ze voor ongeveer de helft — datastroomdiagrammen, risicoanalyses en mitigatiemaatregelen kun je grotendeels hergebruiken.
Meer weten over AI advies?
Bekijk dienstWat kost een DPIA?
Ruwe kosten voor een MKB-AI-project:
- Interne DPIA door eigen FG: 40–80 uur werk. Geen directe cashkosten, wel opportunity cost.
- Externe privacyjurist als adviseur: €1.500–€5.000 voor review en advies
- Volledig uitbesteed aan een gespecialiseerd bureau: €5.000–€12.000
- Tools en templates: €200–€800 voor software of een goede template
Voor een eerste DPIA is externe begeleiding vaak de moeite waard — je leert het proces goed en de tweede doe je sneller zelf. Combineer het met een bredere AI-adviesopdracht, dan krijg je direct ook een realistisch beeld van welke AI-projecten daadwerkelijk de moeite waard zijn.
Begin voordat je bouwt
Start de DPIA voordat je met het AI-project begint, niet achteraf als compliance-formaliteit. Veel risico's zijn goedkoop op te lossen in het ontwerp en duur op te lossen in de productie. Een DPIA die begint nadat er al code is geschreven, is bijna altijd de DPIA die tot pijnlijke herbouw leidt.
De DPIA's die standhouden onder toezicht zijn bovendien niet de langste. Het zijn degene waarin je bij elk risico direct kunt aanwijzen welke maatregel het afdekt, en in welk systeem die maatregel op dit moment werkt. Schrijf je DPIA zo dat je hem op het moment van een incident niet hoeft te herschrijven — dan heb je hem goed.