Wanneer moet je een DPIA doen voor AI? De complete checklist

Onder de AVG is een Data Protection Impact Assessment (DPIA) verplicht wanneer gegevensverwerking een hoog privacyrisico oplevert. AI-toepassingen vallen daar vrijwel altijd onder — zeker in de publieke sector waar persoonsgegevens en geautomatiseerde besluitvorming vaak samengaan.

Wanneer is een DPIA verplicht?

De Autoriteit Persoonsgegevens hanteert drie triggers:

1. Grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, etniciteit, politieke voorkeur — Art. 9 AVG)
2. Systematische monitoring van publiek toegankelijke ruimtes (CCTV met AI, slimme camera's)
3. Geautomatiseerde besluitvorming met rechtsgevolg (AI die subsidies toekent, handhaving prioriteert, of uitkeringen beoordeelt)

Voor AI specifiek komen daar nog bij:

• Gebruik van nieuwe technologieën (machine learning is per definitie "nieuw")
• Grootschalige profiling (burgers categoriseren op basis van AI-analyse)
• Verwerking van strafrechtelijke gegevens (Art. 10 AVG, relevant voor OM/Rechtspraak)

De 6-stappen DPIA voor AI-systemen

| Stap | Wat | AI-specifieke aandachtspunten | |------|-----|-------------------------------| | 1. Beschrijving | Wat doet het AI-systeem? | Modeltype, trainingsdata, inference flow | | 2. Noodzaak | Is AI nodig voor dit doel? | Kan het ook met regelgebaseerde logica? | | 3. Risico-analyse | Wat kan er misgaan? | Bias, hallucinaties, data lekkage via embeddings | | 4. Mitigatie | Welke maatregelen neem je? | Human-in-the-loop, output validatie, RAG-verankering | | 5. Conclusie | Is het residuele risico acceptabel? | Go/no-go met FG-advies | | 6. Herbeoordeling | Wanneer check je opnieuw? | Bij modelupdate, nieuwe data, of gewijzigde wetgeving |

Checklist: vergeet deze 5 dingen niet

1. Verwerkingsgrondslag. Art. 6 AVG vereist een geldige basis. "Toestemming" is zelden geschikt voor overheidstoepassingen — gebruik "wettelijke taak" of "algemeen belang."

2. Bewaartermijnen. Chatlogs en embeddings zijn persoonsgegevens als ze herleidbaar zijn. Stel expliciete bewaartermijnen in en ruim periodiek op.

3. Verwerkersovereenkomst. Gebruik je een externe AI-provider (OpenAI, Anthropic, Google)? Dan is een verwerkersovereenkomst verplicht. Check of deze AI-verwerkingen expliciet noemt.

4. Data Protection by Design. Privacy moet in de architectuur zitten, niet achteraf. Pseudonimisering, aggregatie, en dataminimalisatie vóór training.

5. FG betrekken. De Functionaris Gegevensbescherming moet vooraf geraadpleegd worden — niet pas als de DPIA klaar is.

Hoe de gdpr-dpia plugin helpt

De gdpr-dpia Claude Code plugin maakt DPIA's behapbaar:

• /gdpr-dpia genereert een DPIA-template met AI-specifieke secties
• Checkt verwerkingsgrondslagen tegen jouw use case
• Valideert bewaartermijnen en koppelt aan wettelijke grondslagen
• Verwerkersovereenkomst checklist met AI-specifieke clausules

Meer weten?

DjimIT begeleidt organisaties bij DPIA's voor AI-systemen. Van template tot volledig begeleidingstraject met FG en CISO.

Plan een kennismaking →