De AVG verplicht een gegevensbeschermingseffectbeoordeling voor elke verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. SYAGA DPIA-Express structureert en documenteert uw DPIA volgens de methodologie van artikel 35 en de richtsnoeren van het EDPB, zonder improvisatie en zonder jargon.
Bepalen of uw verwerking een DPIA vereist, en die vervolgens correct uitvoeren
Elke verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen moet voorafgaand aan de uitvoering worden onderworpen aan een gegevensbeschermingseffectbeoordeling (AVG, art. 35).
Het EDPB (voorheen WP29, richtsnoeren WP248 rev.01) heeft 9 criteria voor hoog risico vastgesteld. Zodra een verwerking aan minstens twee van deze criteria voldoet, moet in principe een DPIA worden uitgevoerd: een enkel verkeerd geidentificeerd onderdeel maakt het dossier onvolledig.
De CNIL (Franse toezichthouder) publiceert lijsten van verwerkingen waarvoor een DPIA wel of niet vereist is. Precies bepalen waar uw verwerking zich bevindt, vraagt een nauwkeurige lezing, geen algemene indruk.
Een DPIA te snel uitvoeren stelt u bloot aan onvolledigheid tegenover een toezichthoudende autoriteit; hem niet uitvoeren wanneer hij vereist is, stelt de organisatie bloot aan een inbreuk op artikel 35. De CNIL-methode structureert deze keuze en documenteert haar.
De door artikel 35.7 van de AVG opgelegde structuur, toegepast op uw verwerking, met een beargumenteerde conclusie bij elke stap
Analyse tegen de 3 gevallen van artikel 35.3, het raster van de 9 EDPB-criteria (WP248 rev.01) en de CNIL-lijsten van verplichte of niet-verplichte verwerkingen. Beargumenteerde conclusie, of de DPIA nu al dan niet verplicht blijkt.
Doeleinden, categorieen van gegevens en betrokken personen, ontvangers, bewaartermijnen: de volledige mapping vereist door artikel 35.7.a, consistent met uw register van verwerkingsactiviteiten (art. 30).
Verificatie dat elk verzameld gegeven noodzakelijk is voor het nagestreefde doel, dat de rechtsgrond (art. 6) voor elke verwerking is geidentificeerd, en dat het minimalisatiebeginsel (art. 5.1.c) wordt nageleefd.
Voor elk geidentificeerd risico: ernst, waarschijnlijkheid, reeds bestaande maatregelen, restrisico, gepresenteerd in een tabel die bruikbaar is voor uw directie of uw FG.
Beoogde technische en organisatorische maatregelen (art. 32), beargumenteerde conclusie en gedocumenteerde onderbouwing in het kader van de accountability (art. 5.2), inzetbaar bij een controle door de CNIL.
Een gestructureerd, onderbouwd document, met eerlijke vermelding van wat nog moet worden gevalideerd door uw jurist of uw FG
Het volledige document volgens artikel 35.7 (a tot d), met een beargumenteerde conclusie.
De voorafgaande analyse die beslist of uw verwerking onder de verplichting valt.
De DPIA steunt op dezelfde basis als uw register van verwerkingsactiviteiten.
Elk onzeker punt wordt expliciet gemeld, nooit in uw plaats beslist.
Elke juridische bewering is onderbouwd, niet uit het geheugen beweerd.
Opgeleverd in een bewerkbaar formaat, herbruikbaar door uw FG of jurist.
Een methode die steunt op de teksten en de autoriteiten, niet op eigen interpretaties
Gegevensbeschermingseffectbeoordeling. Geconsolideerde tekst van Verordening (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).
De 9 criteria voor hoog risico van het EDPB (voorheen WP29), overgenomen door de CNIL als referentiemethode om de DPIA-verplichting te bepalen.
Lijsten van verwerkingen waarvoor een DPIA wel of niet vereist is, en de CNIL-methode voor het uitvoeren van een effectbeoordeling.
Register van verwerkingsactiviteiten: de consistentiebasis (doeleinden, gegevens, termijnen) waarop elke DPIA steunt.
De scope hangt af van het aantal verwerkingen, hun complexiteit en wat bij u al gedocumenteerd is. Offerte opgesteld na een eerste gesprek.
U weet niet of uw verwerking betrokken is
Verwerking geidentificeerd als hoog risico
Meerdere risicovolle verwerkingen te dekken
Een DPIA staat nooit vast
Artikel 35.11 van de AVG verplicht de analyse te herzien bij een significante wijziging van de verwerking (nieuwe verwerker, wijziging van hosting, uitbreiding van de verzamelscope). Een offerte voor herziening wordt per geval opgesteld.
Beschrijf ons uw verwerking, wij komen bij u terug met een offerte op maat.
Wat de tekst echt zegt, verteerd in eenvoudige taal. Elk punt behoudt zijn link naar het officiele document.
Een DPIA is simpelweg een beoordelingswerk: men kijkt naar de risico's die een gegevensverwerking met zich meebrengt voor personen, voordat deze wordt ingevoerd. De CNIL definieert het als "een formeel proces om de risico's van de verwerking van persoonsgegevens te beoordelen". Het is geen extra administratieve formaliteit, het is een instrument van gezond verstand dat door de AVG in bepaalde gevallen verplicht is gesteld. Bron: CNIL →
U hoeft geen groot bedrijf te zijn om betrokken te zijn. De CNIL beschouwt een DPIA als verplicht zodra een verwerking aan minstens twee van deze negen situaties voldoet: personen beoordelen of scoren, een geautomatiseerde beslissing nemen met een reeel effect op hen, hen systematisch monitoren, gevoelige gegevens verzamelen (gezondheid, afkomst, enz.), op grote schaal verzamelen, meerdere databanken kruisen, kwetsbare personen viseren (werknemers, patienten, minderjarigen...), een nieuwe technologie gebruiken, of iemand een recht of dienst ontzeggen. Bron: CNIL →
Om raden te vermijden, heeft de CNIL twee officiele lijsten gepubliceerd: een lijst van 14 soorten verwerkingen waarbij de DPIA verplicht is (gezondheidsgegevens, HR-profilering, monitoring van werknemers, grootschalige geolocatie...), en een lijst van 12 soorten waarbij dat niet vereist is (loon- en personeelsbeheer van minder dan 250 werknemers zonder profilering, leveranciersbeheer, patientendossier van een geisoleerde gezondheidszorgprofessional...). Deze lijsten dekken niet alle gevallen, maar beantwoorden al veel voorkomende situaties. Bron: CNIL-lijst van verplichte verwerkingen →
De AVG (artikel 35) vraagt geen roman, maar vier precieze onderdelen: de verwerking en haar doel beschrijven, verifieren dat ze echt noodzakelijk en evenredig is, de risico's voor de betrokken personen beoordelen, en vervolgens de geplande maatregelen opsommen om die risico's te verminderen. Een duidelijke conclusie aan het einde: is de verwerking aanvaardbaar, en onder welke voorwaarden. Bron: AVG, artikel 35 →
Als uw organisatie een Functionaris voor Gegevensbescherming heeft aangewezen, verplicht de AVG om hem te raadplegen bij het uitvoeren van de DPIA, en hem te belasten met de verificatie dat de analyse goed is uitgevoerd. Het is een waarborg, geen vinkje: de FG blijft de juiste reflex voordat een conclusie wordt gevalideerd. Bron: AVG, artikelen 35 en 39 →
Als de verwerking, ondanks de geplande maatregelen, nog steeds een hoog risico voor de personen inhoudt, verplicht de AVG om de CNIL te raadplegen voordat wordt gestart. Zij beschikt dan over acht weken om haar schriftelijk advies te geven (verlengbaar met zes weken bij een complex dossier). Geruststellend om te weten: dit geval blijft de uitzondering, niet de regel. Bron: AVG, artikel 36 →
De CNIL herinnert eraan dat AVG-boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, naargelang het hoogste bedrag. Het is een wettelijk plafond, geen fataliteit: een goed uitgevoerde DPIA is juist wat het mogelijk maakt om, bij een controle, aan te tonen dat de kwestie serieus is genomen. Bron: CNIL →
Het Europees Comite voor gegevensbescherming (EDPB) heeft van 14 april tot 9 juni 2026 een openbare raadpleging gehouden over een ontwerp van uniform DPIA-model, bedoeld om de praktijken tussen Europese landen te harmoniseren. De raadpleging is inmiddels gesloten; wij volgen het vervolg van dit project om onze klanten te informeren zodra dat nodig is. Bron: EDPB →