Wanneer moet je een DPIA doen voor AI? De complete checklist

GDPR

Onder de AVG is een Data Protection Impact Assessment (DPIA) verplicht wanneer gegevensverwerking een hoog privacyrisico oplevert. AI-toepassingen vallen daar vrijwel altijd onder, zeker in de publieke sector waar persoonsgegevens en geautomatiseerde besluitvorming vaak samengaan.

Wanneer is een DPIA verplicht?

De Autoriteit Persoonsgegevens hanteert drie triggers:

Grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, etniciteit, politieke voorkeur, Art. 9 AVG)
Systematische monitoring van publiek toegankelijke ruimtes (CCTV met AI, slimme camera's)
Geautomatiseerde besluitvorming met rechtsgevolg (AI die subsidies toekent, handhaving prioriteert, of uitkeringen beoordeelt)

Voor AI specifiek komen daar nog bij:

Gebruik van nieuwe technologieën (machine learning is per definitie "nieuw")
Grootschalige profiling (burgers categoriseren op basis van AI-analyse)
Verwerking van strafrechtelijke gegevens (Art. 10 AVG, relevant voor OM/Rechtspraak)

De 6-stappen DPIA voor AI-systemen

Stap	Wat	AI-specifieke aandachtspunten
1. Beschrijving	Wat doet het AI-systeem?	Modeltype, trainingsdata, inference flow
2. Noodzaak	Is AI nodig voor dit doel?	Kan het ook met regelgebaseerde logica?
3. Risico-analyse	Wat kan er misgaan?	Bias, hallucinaties, data lekkage via embeddings
4. Mitigatie	Welke maatregelen neem je?	Human-in-the-loop, output validatie, RAG-verankering
5. Conclusie	Is het residuele risico acceptabel?	Go/no-go met FG-advies
6. Herbeoordeling	Wanneer check je opnieuw?	Bij modelupdate, nieuwe data, of gewijzigde wetgeving

Checklist: vergeet deze 5 dingen niet

Verwerkingsgrondslag. Art. 6 AVG vereist een geldige basis. "Toestemming" is zelden geschikt voor overheidstoepassingen, gebruik "wettelijke taak" of "algemeen belang."
Bewaartermijnen. Chatlogs en embeddings zijn persoonsgegevens als ze herleidbaar zijn. Stel expliciete bewaartermijnen in en ruim periodiek op.
Verwerkersovereenkomst. Gebruik je een externe AI-provider (OpenAI, Anthropic, Google)? Dan is een verwerkersovereenkomst verplicht. Check of deze AI-verwerkingen expliciet noemt.
Data Protection by Design. Privacy moet in de architectuur zitten, niet achteraf. Pseudonimisering, aggregatie, en dataminimalisatie vóór training.
FG betrekken. De Functionaris Gegevensbescherming moet vooraf geraadpleegd worden, niet pas als de DPIA klaar is.

Hoe de gdpr-dpia plugin helpt

De gdpr-dpia Claude Code plugin maakt DPIA's behapbaar:

/gdpr-dpia genereert een DPIA-template met AI-specifieke secties
Checkt verwerkingsgrondslagen tegen jouw use case
Valideert bewaartermijnen en koppelt aan wettelijke grondslagen
Verwerkersovereenkomst checklist met AI-specifieke clausules

Meer weten?

DjimIT begeleidt organisaties bij DPIA's voor AI-systemen. Van template tot volledig begeleidingstraject met FG en CISO.

Plan een kennismaking →

AI & Security Intelligence

Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.

Security & AI Operating Model

Advisory met executiekracht

Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.

Bekijk advisory niveaus →Plan een intake

Wanneer moet je een DPIA doen voor AI? De complete checklist

GDPR

Wanneer is een DPIA verplicht?

De Autoriteit Persoonsgegevens hanteert drie triggers:

Grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, etniciteit, politieke voorkeur, Art. 9 AVG)
Systematische monitoring van publiek toegankelijke ruimtes (CCTV met AI, slimme camera's)
Geautomatiseerde besluitvorming met rechtsgevolg (AI die subsidies toekent, handhaving prioriteert, of uitkeringen beoordeelt)

Voor AI specifiek komen daar nog bij:

Gebruik van nieuwe technologieën (machine learning is per definitie "nieuw")
Grootschalige profiling (burgers categoriseren op basis van AI-analyse)
Verwerking van strafrechtelijke gegevens (Art. 10 AVG, relevant voor OM/Rechtspraak)

De 6-stappen DPIA voor AI-systemen

Stap	Wat	AI-specifieke aandachtspunten
1. Beschrijving	Wat doet het AI-systeem?	Modeltype, trainingsdata, inference flow
2. Noodzaak	Is AI nodig voor dit doel?	Kan het ook met regelgebaseerde logica?
3. Risico-analyse	Wat kan er misgaan?	Bias, hallucinaties, data lekkage via embeddings
4. Mitigatie	Welke maatregelen neem je?	Human-in-the-loop, output validatie, RAG-verankering
5. Conclusie	Is het residuele risico acceptabel?	Go/no-go met FG-advies
6. Herbeoordeling	Wanneer check je opnieuw?	Bij modelupdate, nieuwe data, of gewijzigde wetgeving

Checklist: vergeet deze 5 dingen niet

Verwerkingsgrondslag. Art. 6 AVG vereist een geldige basis. "Toestemming" is zelden geschikt voor overheidstoepassingen, gebruik "wettelijke taak" of "algemeen belang."
Bewaartermijnen. Chatlogs en embeddings zijn persoonsgegevens als ze herleidbaar zijn. Stel expliciete bewaartermijnen in en ruim periodiek op.
Verwerkersovereenkomst. Gebruik je een externe AI-provider (OpenAI, Anthropic, Google)? Dan is een verwerkersovereenkomst verplicht. Check of deze AI-verwerkingen expliciet noemt.
Data Protection by Design. Privacy moet in de architectuur zitten, niet achteraf. Pseudonimisering, aggregatie, en dataminimalisatie vóór training.
FG betrekken. De Functionaris Gegevensbescherming moet vooraf geraadpleegd worden, niet pas als de DPIA klaar is.

Hoe de gdpr-dpia plugin helpt

De gdpr-dpia Claude Code plugin maakt DPIA's behapbaar:

/gdpr-dpia genereert een DPIA-template met AI-specifieke secties
Checkt verwerkingsgrondslagen tegen jouw use case
Valideert bewaartermijnen en koppelt aan wettelijke grondslagen
Verwerkersovereenkomst checklist met AI-specifieke clausules

Meer weten?

DjimIT begeleidt organisaties bij DPIA's voor AI-systemen. Van template tot volledig begeleidingstraject met FG en CISO.

Plan een kennismaking →

AI & Security Intelligence

Wekelijkse nieuwsbrief met AI updates, security alerts en compliance inzichten, direct in uw inbox.

Security & AI Operating Model

Advisory met executiekracht

Van BIO2 en NIS2 tot EU AI Act, embedded in uw operating model, niet als extern project. Maandelijks opzegbaar, met assessments als bewijsvoering.

Bekijk advisory niveaus →Plan een intake

Wanneer moet je een DPIA doen voor AI? De complete checklist

Wanneer is een DPIA verplicht?

De 6-stappen DPIA voor AI-systemen

Checklist: vergeet deze 5 dingen niet

Hoe de gdpr-dpia plugin helpt

Meer weten?

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

GDPRuler — waarom compliance een runtime systems-probleem is, geen documentatieprobleem

Local is geen privacygarantie — waarom OS-geïntegreerde AI om een nieuw governance-model vraagt

Van CTI-JSON naar formele cyber-terrain kennisgrafen

Wanneer moet je een DPIA doen voor AI? De complete checklist

Wanneer is een DPIA verplicht?

De 6-stappen DPIA voor AI-systemen

Checklist: vergeet deze 5 dingen niet

Hoe de gdpr-dpia plugin helpt

Meer weten?

AI & Security Intelligence

Advisory met executiekracht

Gerelateerde artikelen

GDPRuler — waarom compliance een runtime systems-probleem is, geen documentatieprobleem

Local is geen privacygarantie — waarom OS-geïntegreerde AI om een nieuw governance-model vraagt

Van CTI-JSON naar formele cyber-terrain kennisgrafen