De Autoriteit Persoonsgegevens (AP) heeft een conceptlijst opgesteld met soorten verwerkingen waarvoor mogelijk géén Data Protection Impact Assessment (DPIA) vereist is. Met deze lijst wil de AP meer duidelijkheid geven aan organisaties, met name aan het mkb, zelfstandig ondernemers en andere kleinere organisaties.

Dat is goed nieuws, want in de praktijk bestaat vaak onzekerheid over de vraag wanneer een DPIA verplicht is. Toch betekent deze ontwikkeling niet dat organisaties achterover kunnen leunen. Een uitzondering op de DPIA-plicht is namelijk geen uitzondering op de AVG zelf.

Wat is een DPIA?

Een Data Protection Impact Assessment, ook wel gegevensbeschermingseffectbeoordeling genoemd, is een onderzoek waarmee een organisatie vooraf de privacyrisico’s van een gegevensverwerking in kaart brengt.

Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. Denk bijvoorbeeld aan situaties waarin een organisatie op grote schaal bijzondere persoonsgegevens verwerkt, personen systematisch monitort of nieuwe technologie gebruikt waarbij persoonsgegevens een belangrijke rol spelen.

Met een DPIA beoordeelt een organisatie onder andere:

– welke persoonsgegevens worden verwerkt;
– waarom deze gegevens nodig zijn;
– welke risico’s er zijn voor betrokkenen;
– welke maatregelen nodig zijn om deze risico’s te beperken.

Het doel is dus niet alleen juridisch voldoen aan de AVG, maar vooral: privacyrisico’s vooraf herkennen en beheersen.

Wat stelt de AP nu voor?

De AP heeft een conceptlijst opgesteld met verwerkingen waarvoor geen DPIA nodig zou zijn. Deze lijst is bedoeld om duidelijkheid te geven over situaties waarin de risico’s volgens de AP niet zodanig hoog zijn dat een volledige DPIA noodzakelijk is.

Daarmee kan de lijst vooral voor kleinere organisaties praktisch zijn. Denk aan mkb-bedrijven, zelfstandigen, verenigingen, stichtingen, onderwijsinstellingen of organisaties die met relatief beperkte gegevensverwerkingen werken.

De AP vraagt belanghebbenden om op de conceptlijst te reageren. Organisaties, privacyprofessionals en andere betrokkenen kunnen tot en met 10 augustus 2026 hun reactie indienen. Op basis van deze reacties kan de AP de lijst verder aanscherpen.

Minder regeldruk, maar geen vrijbrief

De conceptlijst kan organisaties helpen om onnodige administratieve lasten te voorkomen. Niet iedere verwerking van persoonsgegevens vraagt immers om een uitgebreide DPIA. Dat neemt niet weg dat organisaties altijd zelf verantwoordelijk blijven voor de naleving van de AVG.

Ook wanneer een verwerking straks onder een DPIA-uitzondering valt, moet een organisatie nog steeds kunnen aantonen dat de verwerking rechtmatig, transparant en zorgvuldig plaatsvindt.

Dat betekent onder andere dat u nog steeds moet letten op:

– een geldige grondslag voor de verwerking;
– duidelijke informatie richting betrokkenen;
– een actueel verwerkingsregister;
– passende technische en organisatorische beveiligingsmaatregelen;
– afspraken met verwerkers;
– bewaartermijnen en dataminimalisatie.

Een verwerking kan dus buiten de DPIA-plicht vallen, maar alsnog privacyrisico’s opleveren die aandacht vragen.

Waarom is dit relevant voor organisaties?

Veel organisaties worstelen met de vraag of een DPIA nodig is. Soms wordt uit voorzichtigheid een DPIA uitgevoerd, terwijl dat achteraf niet noodzakelijk blijkt. In andere gevallen wordt juist géén DPIA uitgevoerd, terwijl er wel sprake is van een hoog privacyrisico.

Een duidelijke uitzonderingslijst kan helpen om betere keuzes te maken. Vooral voor kleinere organisaties is dat waardevol, omdat zij vaak niet beschikken over een eigen privacy officer of juridische afdeling.

Tegelijk blijft zorgvuldigheid belangrijk. De vraag is niet alleen: “Staat deze verwerking op de uitzonderingslijst?” De betere vraag is: “Kunnen wij onderbouwen waarom deze verwerking verantwoord is?”

Wat kunt u nu al doen?

Organisaties doen er verstandig aan om de ontwikkelingen rondom de DPIA-uitzonderingslijst te volgen. Daarnaast is dit een goed moment om bestaande en geplande gegevensverwerkingen opnieuw te bekijken.

Een praktische aanpak is:

  1. Controleer welke verwerkingen binnen uw organisatie mogelijk een hoog privacyrisico opleveren.
  2. Bekijk of er eerder DPIA’s zijn uitgevoerd en of deze nog actueel zijn.
  3. Leg vast waarom u wel of geen DPIA uitvoert.
  4. Zorg dat het verwerkingsregister klopt met de praktijk.
  5. Vraag tijdig advies bij twijfel, vooral bij nieuwe systemen, cameratoezicht, AI-toepassingen of verwerking van bijzondere persoonsgegevens.

Juist de onderbouwing is belangrijk. Als de AP vragen stelt, moet een organisatie kunnen uitleggen waarom een DPIA wel of niet noodzakelijk was.

Conclusie

De conceptlijst met DPIA-uitzonderingen kan zorgen voor meer duidelijkheid en minder onnodige regeldruk. Vooral voor kleinere organisaties kan dit praktisch voordeel opleveren.

Maar de kern blijft hetzelfde: persoonsgegevens moeten zorgvuldig worden verwerkt. Een mogelijke uitzondering op de DPIA-plicht betekent niet dat privacyrisico’s genegeerd mogen worden.

Twijfelt u of uw organisatie een DPIA moet uitvoeren? Of wilt u weten of uw huidige privacyprocessen voldoende zijn ingericht? AVG Juristen helpt u graag met een praktische beoordeling, heldere onderbouwing en concrete vervolgstappen.

Praktisch met Privacy.


Dit artikel is een hulp. Het bericht wordt met aandacht samengesteld, maar aan de informatie kan geen enkel recht worden ontleend.

Krijg een persoonlijk consult.

Bel ons vandaag nog 030 – 785 27 91