Wat moet er in een DPIA voor een AI-systeem staan?

Door /
DPIA voor een AI-systeem: wat moet erin staan? (2026)

DPIA voor een AI-systeem: wat moet erin staan?

Kort antwoord: Een DPIA voor een AI-systeem bevat minimaal een beschrijving van de verwerking en het doel, een beoordeling van de noodzaak en proportionaliteit, een analyse van de privacyrisico’s voor betrokkenen, en de maatregelen om die risico’s te beperken. Voor AI komen daar specifieke punten bij: de herkomst en kwaliteit van de trainingsdata, het risico op bias, de mate van menselijk toezicht en de uitlegbaarheid van de uitkomsten. Een DPIA is verplicht zodra de verwerking van persoonsgegevens een hoog risico oplevert, op grond van artikel 35 van de AVG.

Steeds meer bedrijven en gemeenten zetten AI in voor besluitvorming, klantcontact en interne processen. Die systemen verwerken vaak persoonsgegevens en kunnen grote invloed hebben op mensen. Een Data Protection Impact Assessment (DPIA) brengt de privacyrisico’s in beeld en helpt ze te beperken. In dit artikel lees je wat een DPIA voor een AI-systeem is, wanneer het verplicht is en wat erin moet staan, eerst voor bedrijven en daarna voor gemeenten, met de actuele regels van 2026.

Wat is een DPIA voor een AI-systeem?

Een DPIA, in het Nederlands een gegevensbeschermingseffectbeoordeling, is een gestructureerde analyse waarmee een organisatie de privacyrisico’s van een verwerking in kaart brengt en beperkt. De afkorting staat voor Data Protection Impact Assessment. De DPIA komt uit de Algemene verordening gegevensbescherming (AVG) en is verplicht voordat een organisatie start met een verwerking die een hoog risico oplevert voor mensen.

Bij AI-systemen telt de DPIA extra zwaar. AI-systemen zijn vaak complex, leren van grote hoeveelheden data en kunnen beslissingen nemen of voorbereiden die mensen direct raken. Een DPIA dwingt een organisatie om vooraf na te denken over wat er kan misgaan en welke maatregelen dat voorkomen.

Wanneer is een DPIA verplicht?

Kort antwoord: Een DPIA is verplicht zodra een verwerking van persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van mensen. De trigger is het risico, niet de technologie. AI-systemen raken die drempel vaak, maar niet automatisch.

Artikel 35 van de AVG bepaalt wanneer een DPIA verplicht is. Het draait om de vraag of de verwerking waarschijnlijk een hoog risico inhoudt voor betrokkenen. Het Europees Comité voor gegevensbescherming heeft daarvoor negen criteria opgesteld. Komen er twee of meer samen, dan is een DPIA vrijwel altijd nodig. AI-systemen raken die criteria vaak tegelijk:

  • Profilering of scoring: AI die mensen beoordeelt, rangschikt of een voorspelling over hen doet.
  • Geautomatiseerde besluitvorming: systemen die beslissingen nemen of voorbereiden met gevolgen voor iemands rechten of kansen.
  • Systematische monitoring: het volgen of observeren van gedrag.
  • Grootschalige verwerking: grote hoeveelheden persoonsgegevens.
  • Bijzondere persoonsgegevens: bijvoorbeeld gezondheid, etniciteit of biometrie.

Een AI-systeem dat sollicitanten beoordeelt of klantgedrag voorspelt, raakt al snel meerdere criteria tegelijk. Verwerkt een AI-systeem geen persoonsgegevens, bijvoorbeeld een model dat alleen technische sensordata verwerkt, dan is een DPIA niet verplicht. Ook dan kan een bredere risicobeoordeling verstandig zijn.

DPIA en FRIA: wat is het verschil?

Sinds de AI Act bestaat er naast de DPIA een tweede toets: de Fundamental Rights Impact Assessment (FRIA), in het Nederlands de grondrechtentoets. De twee overlappen, maar zijn niet hetzelfde. De tabel hieronder zet ze naast elkaar.

Kenmerk DPIA FRIA
Komt uit De AVG (artikel 35) De AI Act
Richt zich op Privacyrisico’s bij verwerking van persoonsgegevens Bredere impact op grondrechten van hoogrisico-AI
Geldt voor Elke organisatie met een hoogrisico-verwerking Overheden en partijen die publieke diensten leveren, plus bepaalde hoogrisico-gebruikers
Wanneer Voor de start van de verwerking Voor ingebruikname van het hoogrisico-AI-systeem

Je kunt de DPIA en de FRIA in de praktijk combineren in één traject, zolang beide kaders volledig zijn afgedekt. Een DPIA vervangt geen FRIA en een FRIA vervangt geen DPIA.

Belangrijke wijziging in 2026: op 7 mei 2026 bereikten het Europees Parlement en de Raad een politiek akkoord over het zogeheten AI Act Omnibus. Daarmee zijn de meeste verplichtingen voor hoogrisico-AI-systemen, inclusief de FRIA, verschoven van 2 augustus 2026 naar 2 december 2027. De DPIA-verplichting uit de AVG staat daar los van en geldt onverkort: die bestaat al sinds 2018.

Een DPIA voor bedrijven

Kort antwoord: Voor bedrijven is een DPIA verplicht zodra een AI-systeem persoonsgegevens verwerkt op een manier die een hoog risico oplevert. Dat speelt vaak bij AI voor werving en selectie, kredietbeoordeling, fraudedetectie, klantprofilering en personeelsmonitoring. De DPIA is geen formaliteit, maar het document waarmee je aantoont dat je de risico’s kent en beheerst.

Veel bedrijven onderschatten hoe vaak een DPIA aan de orde is. Een AI-module die aan een bestaand CRM-systeem wordt toegevoegd voor leadscoring, kan op zichzelf al een DPIA-plicht oproepen, ook als er voor het oude systeem ooit een DPIA is gedaan. De vuistregel: zodra AI mensen beoordeelt of voorspellingen over hen doet, toets je of een DPIA nodig is.

Let ook op de samenhang met andere AI Act-verplichtingen. Is een AI-systeem hoogrisico en verwerkt het persoonsgegevens, dan is een DPIA verplicht. Verkoop of lever je AI als aanbieder, dan komen daar technische documentatie en een conformiteitsbeoordeling bij. Gebruik je AI als deployer, dan gelden onder andere menselijk toezicht en correct gebruik volgens de instructies.

Stappenplan voor bedrijven

Een DPIA voor een AI-systeem doorloop je in zeven stappen. Reken op enkele weken, afhankelijk van de complexiteit van het systeem.

  1. Toets of een DPIA nodig is. Loop de negen criteria van het Europees Comité voor gegevensbescherming langs. Twee of meer raak? Dan een DPIA.
  2. Beschrijf de verwerking en het doel. Leg vast wat het AI-systeem doet, voor wie en met welk doel.
  3. Breng de gegevensstromen in kaart. Welke data gaat erin, waar komt die vandaan, waar wordt die opgeslagen en wie heeft toegang.
  4. Beoordeel noodzaak en proportionaliteit. Is de verwerking nodig voor het doel en staat de inbreuk op privacy in verhouding tot dat doel.
  5. Analyseer de risico’s. Kijk naar privacyrisico’s en specifiek AI-risico’s zoals bias, ondoorzichtige uitkomsten en onterechte beslissingen.
  6. Bepaal maatregelen. Denk aan dataminimalisatie, versleuteling, anonimisering, menselijk toezicht en een procedure voor bezwaar.
  7. Documenteer, raadpleeg en evalueer. Leg de DPIA vast, betrek de FG en, bij hoge restrisico’s, de Autoriteit Persoonsgegevens. Werk de DPIA bij als het systeem verandert.

Praktijkvoorbeeld bedrijf: een uitzendbureau voert een AI-systeem in dat cv’s automatisch rangschikt op geschiktheid. Het systeem profileert kandidaten en bereidt beslissingen voor over hun loopbaankansen. Dat raakt meerdere DPIA-criteria tegelijk. De DPIA kijkt naar de herkomst van de trainingsdata, het risico dat het model bepaalde groepen benadeelt, en hoe een recruiter de uitkomst controleert en kan overrulen.

Een DPIA voor gemeenten

Kort antwoord: Voor gemeenten is een DPIA verplicht zodra een AI-systeem persoonsgegevens verwerkt met een hoog risico, bijvoorbeeld bij uitkeringscontrole, fraudedetectie of zorgvoorspelling. Omdat de overheid besluiten neemt die direct ingrijpen in het leven van inwoners, geldt hier vaak ook een FRIA. Beide toetsen kun je combineren.

Gemeenten zetten AI in om dienstverlening te verbeteren en maatschappelijke opgaven aan te pakken. Veel van die toepassingen vallen onder hoog risico, omdat ze beslissingen voorbereiden over rechten, voorzieningen of toezicht. Juist daar telt een zorgvuldige DPIA zwaar.

De geschiedenis laat zien waarom. Bij de toeslagenaffaire zijn grondrechten van burgers geschaad door onzorgvuldig gebruik van risicomodellen. Een goede DPIA, en waar nodig een FRIA, is bedoeld om zulke risico’s vooraf te zien en te voorkomen.

Stappenplan voor gemeenten

Het stappenplan voor gemeenten lijkt op dat voor bedrijven, met een extra accent op grondrechten en publieke verantwoording.

  1. Toets of een DPIA nodig is. Beoordeel of de verwerking een hoog risico oplevert. Bij veel gemeentelijke AI is dat het geval.
  2. Beschrijf de verwerking en het doel. Leg vast wat het AI-systeem doet, voor welk proces en met welk publiek doel.
  3. Breng de gegevensstromen in kaart. Welke data verwerkt het systeem, uit welke bronnen, en hoe is de opslag en toegang geregeld.
  4. Beoordeel noodzaak en proportionaliteit. Weegt het doel op tegen de inbreuk op de privacy van inwoners.
  5. Analyseer privacy- en grondrechtenrisico’s. Combineer waar nodig de DPIA met een FRIA, zodat ook de bredere impact op grondrechten is afgedekt.
  6. Bepaal maatregelen en betrek belanghebbenden. Denk aan dataminimalisatie, menselijk toezicht en, waar passend, raadpleging van inwoners of belangengroepen.
  7. Documenteer, raadpleeg en evalueer. Leg de DPIA vast, betrek de FG en, bij hoge restrisico’s, de Autoriteit Persoonsgegevens. Werk de DPIA bij als het systeem verandert.

Praktijkvoorbeeld gemeente: een gemeente voert een AI-systeem in dat zorgbehoeften voorspelt. Het systeem verwerkt persoonsgegevens en gezondheidsdata, een bijzondere categorie. De DPIA kijkt naar hoe de gegevens worden verzameld, verwerkt en beveiligd, of het model bepaalde wijken of groepen onbedoeld benadeelt, en welke maatregelen de privacy van inwoners beschermen.

Wat moet er in een DPIA staan?

Of je nu een bedrijf of een gemeente bent, een volledige DPIA bevat in elk geval de volgende onderdelen. De eerste vier komen rechtstreeks uit artikel 35 van de AVG, de rest is specifiek voor AI.

  • Beschrijving van de verwerking: wat doet het AI-systeem, voor wie, met welk doel en op welke rechtsgrond.
  • Noodzaak en proportionaliteit: is de verwerking nodig voor het doel en staat de inbreuk in verhouding tot dat doel.
  • Risico’s voor betrokkenen: welke privacyrisico’s er zijn en hoe groot die zijn.
  • Maatregelen: wat de organisatie doet om de risico’s te beperken.
  • Trainingsdata: waar de data vandaan komt, hoe representatief en actueel die is en hoe de kwaliteit is geborgd.
  • Risico op bias: of het model bepaalde groepen onbedoeld kan benadelen en hoe dat is getoetst.
  • Menselijk toezicht: hoe een medewerker de uitkomsten controleert en kan corrigeren.
  • Uitlegbaarheid: of het systeem kan onderbouwen hoe het tot een uitkomst komt.
  • Beheer en evaluatie: wie verantwoordelijk is en wanneer de DPIA wordt herzien.

Veelgemaakte fouten

  • De DPIA als formaliteit afvinken. Een DPIA die alleen op papier bestaat, beschermt niemand en houdt geen stand bij een controle.
  • Denken dat AI automatisch een DPIA vereist. De trigger is het hoge risico van de verwerking, niet de technologie. Toets dat per systeem.
  • De DPIA eenmalig uitvoeren. Een AI-systeem leert en verandert. Zonder evaluatie veroudert de DPIA snel.
  • AI-specifieke risico’s overslaan. Bias, ondoorzichtige uitkomsten en gebrekkig menselijk toezicht horen expliciet in de analyse.
  • DPIA en FRIA verwarren. Het zijn aparte toetsen. De een vervangt de ander niet.
  • De FG te laat betrekken. De Functionaris Gegevensbescherming hoort vanaf het begin mee te kijken, niet pas bij de eindcontrole.

Veelgestelde vragen

Wanneer is een DPIA verplicht voor een AI-systeem?

Een DPIA is verplicht zodra een verwerking van persoonsgegevens waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van mensen, op grond van artikel 35 AVG. De trigger is niet de technologie, maar het risico. AI-systemen raken die drempel vaak omdat ze profileren, geautomatiseerd beslissen, grootschalig gegevens verwerken of bijzondere persoonsgegevens gebruiken. Verwerkt een AI-systeem geen persoonsgegevens, dan is een DPIA niet verplicht.

Wat is het verschil tussen een DPIA en een FRIA?

Een DPIA komt uit de AVG en richt zich op privacyrisico’s bij de verwerking van persoonsgegevens. Een FRIA komt uit de AI Act en richt zich op de bredere impact op grondrechten van hoogrisico-AI. De FRIA geldt voor overheden en voor private partijen die publieke diensten leveren of bepaalde hoogrisico-systemen gebruiken. Je kunt beide assessments combineren, maar elk kader moet volledig zijn afgedekt.

Wat moet er minimaal in een DPIA voor een AI-systeem staan?

Minimaal een systematische beschrijving van de verwerking en het doel, een beoordeling van de noodzaak en proportionaliteit, een analyse van de risico’s voor betrokkenen, en de maatregelen om die risico’s te beperken. Voor AI-systemen komen daar specifieke punten bij: de herkomst en kwaliteit van de trainingsdata, het risico op bias, de mate van menselijk toezicht en de uitlegbaarheid van de uitkomsten.

Wie voert de DPIA uit?

De verwerkingsverantwoordelijke is eindverantwoordelijk voor de DPIA. In de praktijk werkt een team samen: de proceseigenaar, IT, een privacyjurist en de Functionaris Gegevensbescherming (FG). De FG geeft advies en toetst, maar voert de DPIA niet zelf uit. Bij hoge restrisico’s moet je vooraf de Autoriteit Persoonsgegevens raadplegen.

Hoe vaak moet een DPIA worden bijgewerkt?

Werk de DPIA bij zodra het AI-systeem of de gegevensverwerking wezenlijk verandert, bijvoorbeeld bij een nieuw model, nieuwe databronnen of een nieuw doel. Houd daarnaast een vast controlemoment aan, bijvoorbeeld jaarlijks. Een AI-systeem leert en verandert, dus een eenmalige DPIA verliest snel zijn waarde.

Hulp nodig bij een DPIA voor je AI-systeem?

VerantwoordAI helpt bedrijven en gemeenten bij het uitvoeren van een DPIA en, waar nodig, een FRIA voor AI-systemen. Download de gratis whitepaper of plan een vrijblijvend intakegesprek via verantwoordai.nl/contact.

Dit artikel is voor het laatst gecontroleerd en bijgewerkt op 26 mei 2026.

Gerelateerde berichten:

  1. Hoe maak je een AI-register binnen je gemeente?
  2. Checklist: voldoet jouw AI-systeem aan de AI Act?
  3. Toolvergelijking: compliance dashboards voor publieke AI
  4. Waarom ‘AI = technologie’ een misverstand is voor beleid
  5. Volg onze mini-cursus: AI Act in 15 minuten
  6. AI Act vs AVG: dit zijn de verschillen en overlap
  7. Praktijkgids: zo implementeer je een AI-assistent in je gemeente
  8. AI-geletterdheid verplicht: zo voldoe je aan artikel 4 (stappenplan 2026)
Scroll naar boven