AVG - ARTIKEL 35 - GEGEVENSBESCHERMINGSEFFECTBEOORDELING (DPIA)

Uw DPIA conform
de CNIL-methode

De AVG verplicht een gegevensbeschermingseffectbeoordeling voor elke verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van personen. SYAGA DPIA-Express structureert en documenteert uw DPIA volgens de methodologie van artikel 35 en de richtsnoeren van het EDPB, zonder improvisatie en zonder jargon.

35
AVG-artikel (DPIA)
9
EDPB-criteria (WP248 rev.01)
3
Verplichtingsgevallen (art. 35.3)
4
Methodeonderdelen (art. 35.7 a-d)

De verplichting

Bepalen of uw verwerking een DPIA vereist, en die vervolgens correct uitvoeren

Artikel 35 van de AVG verplicht een DPIA

Elke verwerking die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen moet voorafgaand aan de uitvoering worden onderworpen aan een gegevensbeschermingseffectbeoordeling (AVG, art. 35).

📋

De CNIL-regel van "2 van de 9 criteria"

Het EDPB (voorheen WP29, richtsnoeren WP248 rev.01) heeft 9 criteria voor hoog risico vastgesteld. Zodra een verwerking aan minstens twee van deze criteria voldoet, moet in principe een DPIA worden uitgevoerd: een enkel verkeerd geidentificeerd onderdeel maakt het dossier onvolledig.

🔍

CNIL-lijsten om artikel voor artikel te toetsen

De CNIL (Franse toezichthouder) publiceert lijsten van verwerkingen waarvoor een DPIA wel of niet vereist is. Precies bepalen waar uw verwerking zich bevindt, vraagt een nauwkeurige lezing, geen algemene indruk.

Zonder methode is het risico dubbel

Een DPIA te snel uitvoeren stelt u bloot aan onvolledigheid tegenover een toezichthoudende autoriteit; hem niet uitvoeren wanneer hij vereist is, stelt de organisatie bloot aan een inbreuk op artikel 35. De CNIL-methode structureert deze keuze en documenteert haar.

De methode: DPIA-Express

De door artikel 35.7 van de AVG opgelegde structuur, toegepast op uw verwerking, met een beargumenteerde conclusie bij elke stap

1
Vaststelling van de verplichting

Is uw verwerking echt onderworpen aan de DPIA-plicht?

Analyse tegen de 3 gevallen van artikel 35.3, het raster van de 9 EDPB-criteria (WP248 rev.01) en de CNIL-lijsten van verplichte of niet-verplichte verwerkingen. Beargumenteerde conclusie, of de DPIA nu al dan niet verplicht blijkt.

2
Art. 35.7.a

Systematische beschrijving van de verwerking

Doeleinden, categorieen van gegevens en betrokken personen, ontvangers, bewaartermijnen: de volledige mapping vereist door artikel 35.7.a, consistent met uw register van verwerkingsactiviteiten (art. 30).

3
Art. 35.7.b

Noodzakelijkheid en evenredigheid

Verificatie dat elk verzameld gegeven noodzakelijk is voor het nagestreefde doel, dat de rechtsgrond (art. 6) voor elke verwerking is geidentificeerd, en dat het minimalisatiebeginsel (art. 5.1.c) wordt nageleefd.

4
Art. 35.7.c

Risicobeoordeling voor de betrokken personen

Voor elk geidentificeerd risico: ernst, waarschijnlijkheid, reeds bestaande maatregelen, restrisico, gepresenteerd in een tabel die bruikbaar is voor uw directie of uw FG.

5
Art. 35.7.d en 5.2

Maatregelen en gedocumenteerde conclusie

Beoogde technische en organisatorische maatregelen (art. 32), beargumenteerde conclusie en gedocumenteerde onderbouwing in het kader van de accountability (art. 5.2), inzetbaar bij een controle door de CNIL.

Wat u ontvangt

Een gestructureerd, onderbouwd document, met eerlijke vermelding van wat nog moet worden gevalideerd door uw jurist of uw FG

📝

Gestructureerd DPIA-rapport

Het volledige document volgens artikel 35.7 (a tot d), met een beargumenteerde conclusie.

  • Systematische beschrijving van de verwerking
  • Analyse van noodzakelijkheid en evenredigheid
  • Risicotabel (ernst/waarschijnlijkheid/maatregelen)
  • Conclusie en gedocumenteerde onderbouwing (art. 5.2)

Beoordelingsraster

De voorafgaande analyse die beslist of uw verwerking onder de verplichting valt.

  • De 3 gevallen van artikel 35.3
  • De 9 EDPB-criteria (WP248 rev.01)
  • Toetsing aan de CNIL-lijsten
  • Beargumenteerde en onderbouwde conclusie
📁

Consistentie met register art. 30

De DPIA steunt op dezelfde basis als uw register van verwerkingsactiviteiten.

  • Doeleinden en rechtsgronden
  • Categorieen van gegevens en personen
  • Ontvangers en verwerkers
  • Bewaartermijnen per categorie
🚩

Punten te valideren door uw jurist/FG

Elk onzeker punt wordt expliciet gemeld, nooit in uw plaats beslist.

  • Kwalificatie verwerkingsverantwoordelijke / verwerker
  • Rechtsgronden per doeleinde
  • Geidentificeerde doorgiften buiten de EU
  • Aanwijzing van een FG (art. 37), indien van toepassing
🔗

Bronnen en traceerbaarheid

Elke juridische bewering is onderbouwd, niet uit het geheugen beweerd.

  • Geconsolideerde AVG-tekst (CELEX 32016R0679)
  • CNIL-pagina's en -lijsten (DPIA, register)
  • EDPB-richtsnoeren (WP248 rev.01)
  • Verifieerbare URL's genoemd in het document
📄

Bewerkbaar document

Opgeleverd in een bewerkbaar formaat, herbruikbaar door uw FG of jurist.

  • Structuur conform artikel 35.7
  • Herbruikbaar voor uw toekomstige verwerkingen
  • Klaar om aangevuld te worden voor definitieve validatie
  • Geen opgelegde vaste opmaak

Gebruikte referenties

Een methode die steunt op de teksten en de autoriteiten, niet op eigen interpretaties

35

AVG - Artikel 35

Gegevensbeschermingseffectbeoordeling. Geconsolideerde tekst van Verordening (EU) 2016/679 (EUR-Lex, CELEX 32016R0679).

EDPB

Richtsnoeren WP248 rev.01

De 9 criteria voor hoog risico van het EDPB (voorheen WP29), overgenomen door de CNIL als referentiemethode om de DPIA-verplichting te bepalen.

CNIL

Lijsten en methode van de CNIL

Lijsten van verwerkingen waarvoor een DPIA wel of niet vereist is, en de CNIL-methode voor het uitvoeren van een effectbeoordeling.

30

AVG - Artikel 30

Register van verwerkingsactiviteiten: de consistentiebasis (doeleinden, gegevens, termijnen) waarop elke DPIA steunt.

Een DPIA op maat, zonder verborgen kosten

De scope hangt af van het aantal verwerkingen, hun complexiteit en wat bij u al gedocumenteerd is. Offerte opgesteld na een eerste gesprek.

Vaststelling van de verplichting

U weet niet of uw verwerking betrokken is

Op offerte
afhankelijk van het aantal te analyseren verwerkingen
  • Raster van de 9 EDPB-criteria
  • Toetsing aan artikel 35.3
  • Verificatie van de CNIL-lijsten
  • Beargumenteerde en onderbouwde conclusie
Offerte aanvragen

Meerjarenprogramma

Meerdere risicovolle verwerkingen te dekken

Op offerte
afhankelijk van het aantal verwerkingen en het herzieningsritme
  • Alles van Volledige DPIA +
  • Gemeenschappelijk methodologisch kader
  • Periodieke herziening (art. 35.11)
  • Consistentie gehandhaafd met het register (art. 30)
Offerte aanvragen

Een DPIA staat nooit vast

Artikel 35.11 van de AVG verplicht de analyse te herzien bij een significante wijziging van de verwerking (nieuwe verwerker, wijziging van hosting, uitbreiding van de verzamelscope). Een offerte voor herziening wordt per geval opgesteld.

Veelgestelde vragen

Is mijn verwerking echt onderworpen aan de DPIA-plicht?
Dat hangt af van drie methodisch geverifieerde elementen: de 3 gevallen van artikel 35.3 van de AVG, het raster van de 9 EDPB-criteria (richtsnoeren WP248 rev.01, overgenomen door de CNIL: zodra 2 van de 9 criteria vervuld zijn, moet in principe een DPIA worden uitgevoerd), en de CNIL-lijsten van verplichte of niet-verplichte verwerkingen. Het opgeleverde document beslecht deze vraag en onderbouwt haar, punt voor punt.
Wat bevat het opgeleverde document precies?
Een document gestructureerd volgens artikel 35.7 van de AVG: systematische beschrijving van de verwerking (a), analyse van noodzakelijkheid en evenredigheid (b), beoordeling van de risico's voor de betrokken personen (c), beoogde technische en organisatorische maatregelen (d), en vervolgens een beargumenteerde conclusie. Elke wettelijke verwijzing is onderbouwd (geconsolideerde AVG-tekst, CNIL, EDPB).
En als mijn verwerking uiteindelijk niet onder de DPIA-plicht valt?
Het document blijft op vrijwillige en documentaire basis behouden: het vormt de onderbouwing van uw beslissing om geen formele DPIA uit te voeren, in het kader van het accountability-beginsel (art. 5.2 van de AVG), inzetbaar bij een controle door de CNIL.
Vervangt dit document het advies van mijn advocaat of mijn FG?
Nee. DPIA-Express is een methodologisch begeleidingsinstrument dat de analyse structureert en documenteert; het vormt geen juridisch advies. Elk opgeleverd document vermeldt expliciet de punten die nog door uw jurist of uw Functionaris voor Gegevensbescherming moeten worden gevalideerd voordat het tegenstelbaar wordt gebruikt.
Wie moet de DPIA in mijn organisatie uitvoeren?
De verwerkingsverantwoordelijke blijft juridisch verantwoordelijk voor de DPIA; de FG, indien aanwezig, moet worden geraadpleegd (art. 35.2 van de AVG). DPIA-Express bereidt de stof voor (beschrijving, risico's, maatregelen) zodat deze raadpleging plaatsvindt op een al gestructureerd dossier, niet op een blanco pagina.
Waarom via SYAGA gaan in plaats van het volledig intern te doen?
SYAGA Consulting bestaat sinds 2009 en past deze zelfde methode toe op haar eigen verwerkingen, inclusief op haar eigen Microsoft 365-auditproduct, waarvan de analyse van de DPIA-verplichting exact deze structuur volgt. Wij leveren geen generieke sjabloon: elk document wordt verwerking per verwerking, artikel per artikel opgebouwd.

Klaar om uw DPIA te documenteren?

Beschrijf ons uw verwerking, wij komen bij u terug met een offerte op maat.

Regelgevende monitoring - officiele bronnen

Wat de tekst echt zegt, verteerd in eenvoudige taal. Elk punt behoudt zijn link naar het officiele document.

📋

Wat is een DPIA, in gewone taal?

Een DPIA is simpelweg een beoordelingswerk: men kijkt naar de risico's die een gegevensverwerking met zich meebrengt voor personen, voordat deze wordt ingevoerd. De CNIL definieert het als "een formeel proces om de risico's van de verwerking van persoonsgegevens te beoordelen". Het is geen extra administratieve formaliteit, het is een instrument van gezond verstand dat door de AVG in bepaalde gevallen verplicht is gesteld. Bron: CNIL →

🎯

Wie is echt betrokken: de regel van "2 van de 9 criteria"

U hoeft geen groot bedrijf te zijn om betrokken te zijn. De CNIL beschouwt een DPIA als verplicht zodra een verwerking aan minstens twee van deze negen situaties voldoet: personen beoordelen of scoren, een geautomatiseerde beslissing nemen met een reeel effect op hen, hen systematisch monitoren, gevoelige gegevens verzamelen (gezondheid, afkomst, enz.), op grote schaal verzamelen, meerdere databanken kruisen, kwetsbare personen viseren (werknemers, patienten, minderjarigen...), een nieuwe technologie gebruiken, of iemand een recht of dienst ontzeggen. Bron: CNIL →

Twee CNIL-lijsten die vaak al voor u antwoorden

Om raden te vermijden, heeft de CNIL twee officiele lijsten gepubliceerd: een lijst van 14 soorten verwerkingen waarbij de DPIA verplicht is (gezondheidsgegevens, HR-profilering, monitoring van werknemers, grootschalige geolocatie...), en een lijst van 12 soorten waarbij dat niet vereist is (loon- en personeelsbeheer van minder dan 250 werknemers zonder profilering, leveranciersbeheer, patientendossier van een geisoleerde gezondheidszorgprofessional...). Deze lijsten dekken niet alle gevallen, maar beantwoorden al veel voorkomende situaties. Bron: CNIL-lijst van verplichte verwerkingen →

🧩

Wat de analyse echt moet bevatten

De AVG (artikel 35) vraagt geen roman, maar vier precieze onderdelen: de verwerking en haar doel beschrijven, verifieren dat ze echt noodzakelijk en evenredig is, de risico's voor de betrokken personen beoordelen, en vervolgens de geplande maatregelen opsommen om die risico's te verminderen. Een duidelijke conclusie aan het einde: is de verwerking aanvaardbaar, en onder welke voorwaarden. Bron: AVG, artikel 35 →

👤

De rol van uw FG (indien u er een heeft)

Als uw organisatie een Functionaris voor Gegevensbescherming heeft aangewezen, verplicht de AVG om hem te raadplegen bij het uitvoeren van de DPIA, en hem te belasten met de verificatie dat de analyse goed is uitgevoerd. Het is een waarborg, geen vinkje: de FG blijft de juiste reflex voordat een conclusie wordt gevalideerd. Bron: AVG, artikelen 35 en 39 →

En als het risico na de analyse hoog blijft?

Als de verwerking, ondanks de geplande maatregelen, nog steeds een hoog risico voor de personen inhoudt, verplicht de AVG om de CNIL te raadplegen voordat wordt gestart. Zij beschikt dan over acht weken om haar schriftelijk advies te geven (verlengbaar met zes weken bij een complex dossier). Geruststellend om te weten: dit geval blijft de uitzondering, niet de regel. Bron: AVG, artikel 36 →

💰

De sancties, zonder overdrijven

De CNIL herinnert eraan dat AVG-boetes kunnen oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet, naargelang het hoogste bedrag. Het is een wettelijk plafond, geen fataliteit: een goed uitgevoerde DPIA is juist wat het mogelijk maakt om, bij een controle, aan te tonen dat de kwestie serieus is genomen. Bron: CNIL →

📢

Europees nieuws om te volgen

Het Europees Comite voor gegevensbescherming (EDPB) heeft van 14 april tot 9 juni 2026 een openbare raadpleging gehouden over een ontwerp van uniform DPIA-model, bedoeld om de praktijken tussen Europese landen te harmoniseren. De raadpleging is inmiddels gesloten; wij volgen het vervolg van dit project om onze klanten te informeren zodra dat nodig is. Bron: EDPB →