Ik moet een DPIA opstellen, wat hoort er minimaal in?
Een DPIA beschrijft de verwerking, beoordeelt de risico's voor betrokkenen en legt de maatregelen vast. AVG artikel 35 geeft de bouwstenen, de AP en EDPB hebben praktische templates online.
Probeer dit eerst zelf
- 1Beschrijf de verwerking concreet: doel, soorten persoonsgegevens, betrokken groepen, bewaartermijnen, ontvangers en doorgiftes buiten de EER.
- 2Toets noodzaak en proportionaliteit. Kun je hetzelfde doel halen met minder data of minder ingrijpend? Documenteer waarom huidige opzet de juiste is.
- 3Maak een risico-analyse vanuit de betrokkene, niet vanuit jou. Denk aan onrechtmatige toegang, ongewenst koppelen, profilering of discriminatie.
- 4Koppel maatregelen aan elk risico: technisch (encryptie, toegangscontrole, logging) en organisatorisch (training, beleid, contractuele afspraken).
- 5Laat de FG of een privacy-jurist meelezen, beleg goedkeuring bij de directie en zet een herbeoordelingsmoment in de agenda.
Wanneer ons inschakelen
Verwerk je bijzondere gegevens op grote schaal of doe je profilering met juridische gevolgen, dan is meelezen door een specialist verstandig voordat je live gaat.
Zie ook
- Valt mijn bedrijf onder NIS2 of niet?Twee vragen bepalen het: zit je in een aangewezen sector, en heb je meer dan 50 medewerkers of meer dan 10 miljoen omzet. Daaronder val je alleen indirect, via je klanten.
- Wat verandert er met de Cyberbeveiligingswet?De Cyberbeveiligingswet is de NL-implementatie van NIS2. Inwerkingtreding loopt via de wetgevingsagenda van het ministerie van Justitie en Veiligheid, exacte datum volg je via NCSC.
- Ben ik als directeur persoonlijk aansprakelijk onder NIS2?Ja, het bestuur is verantwoordelijk voor goedkeuring en toezicht op de cybermaatregelen. Bij ernstige nalatigheid kan dat persoonlijk worden.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.