DPIA is verplicht als de verwerking waarschijnlijk hoog risico oplevert (AVG art. 35). AI-systemen die persoonsgegevens verwerken vallen er vrijwel altijd onder, helemaal bij high-risk AI Act-classificatie.
Wanneer DPIA verplicht
Bij grootschalige systematische monitoring, bijzondere persoonsgegevens, geautomatiseerde besluitvorming met significante impact, gebruik nieuwe technologie. AI in HR, klantenservice met klant-data, fraude-detectie: vrijwel altijd DPIA-plichtig.
Standaardstructuur
Beschrijving verwerking, noodzakelijkheids-toets, proportionaliteits-toets, risico-analyse voor betrokkenen, mitigaties, restrisico, conclusie. Plus voor AI: bias-analyse, hallucinatie-impact, automation-bias-risico.
FRIA als aanvulling
Onder AI Act art. 27 voor sommige high-risk-systemen ook Fundamental Rights Impact Assessment. Overlap met DPIA maar bredere scope (niet alleen privacy, ook andere fundamentele rechten). Wij integreren beide tot een document.
Living document
Een DPIA is geen eenmalig document. Bij significant change herzien. Per kwartaal toetsen of nog actueel. Bij audit recente versie tonen, niet die van voor productie. AVG-bewijsmateriaal bij actuele praktijk.
Verwant: Freelance AI consultant inhuren, FRIA uitvoeren.