Wie voert de DPIA uit?

De verwerkingsverantwoordelijke is verantwoordelijk voor de DPIA, maar in de praktijk wordt deze opgesteld door een team waarin vaak de FG, IT-security, een privacy-jurist en de proceseigenaar zitten. De FG geeft advies op grond van art. 39 AVG. Het is best practice om ook betrokkenen of hun vertegenwoordigers te raadplegen (art. 35 lid 9 AVG).

Wanneer moet ik de AP raadplegen?

Op grond van art. 36 AVG raadpleeg je de AP voorafgaand aan de verwerking, indien de DPIA — ondanks alle mitigerende maatregelen — nog steeds een hoog restrisico aantoont. De AP geeft binnen 8 weken (verlengbaar tot 14) advies. Pas daarna mag de verwerking starten. Vrijwillige raadpleging is altijd mogelijk en kan zinvol zijn bij twijfelgevallen.

Hoe vaak moet een DPIA worden herzien?

De AVG schrijft geen vaste frequentie voor, maar best practice is herziening bij elke wezenlijke wijziging van de verwerking, of in elk geval eens per 3 jaar. Bij datalekken die de verwerking treffen, is herziening direct geboden. Houd een revisiehistorie bij om je verantwoordingsplicht te onderbouwen.

Wat is het verschil tussen een DPIA en een PIA?

PIA (Privacy Impact Assessment) is de bredere internationale benaming. DPIA is de specifieke AVG-term in art. 35. In de praktijk worden de termen vaak door elkaar gebruikt. De AVG-DPIA heeft echter specifieke vormvereisten (art. 35 lid 7) die niet voor elke PIA gelden. Voor Nederlandse organisaties die onder de AVG vallen is "DPIA" de juiste term.

Moet ik een DPIA publiceren?

Nee, een DPIA is een intern document. De AVG verplicht niet tot publicatie. Wel kan een samenvatting worden gepubliceerd om transparantie te bevorderen — sommige overheidsinstellingen doen dit standaard. De volledige DPIA wordt op verzoek aan de AP overgelegd; betrokkenen hebben geen recht op inzage in de volledige DPIA, maar wel op informatie over de verwerking via de privacyverklaring.

Wat als ik een DPIA had moeten doen maar dat niet heb gedaan?

Op grond van art. 83 lid 4 sub a AVG kun je een boete krijgen tot € 10 miljoen of 2% van je wereldwijde jaaromzet. De AP zal handhaving vrijwel zeker stellen op de algemene verantwoordingsplicht (art. 5 lid 2). Best practice: voer alsnog zo snel mogelijk een DPIA uit, documenteer waarom dit niet eerder is gebeurd en welke verbeteringen je hebt doorgevoerd.

Helpt een DPIA bij datalekken?

Ja, op meerdere manieren. Een goede DPIA identificeert risico's vóóraf en treft maatregelen die de kans op datalekken verkleinen. Bij een datalek levert de DPIA documentatie van getroffen maatregelen, wat de AP positief weegt bij eventuele handhaving. Bij de melding aan de AP (art. 33 AVG) verwijs je vaak naar onderdelen van de DPIA om de getroffen maatregelen toe te lichten.

AVG & PrivacyNederland

Gratis DPIA sjabloon (art. 35 AVG) voor Nederland

Bij verwerkingen met een waarschijnlijk hoog risico voor betrokkenen verplicht de AVG je tot een DPIA — een gegevensbeschermingseffectbeoordeling vooraf. Met dit sjabloon bouw je een gestructureerde DPIA op met risicoanalyse, mitigerende maatregelen en restrisico-evaluatie. Direct downloadbaar als PDF.

Create Your DPIA — Gegevensbeschermingseffectbeoordeling

Free to useInstant PDFNo account required

GEGEVENSBESCHERMINGSEFFECTBEOORDELING (DPIA)

Klantenportaal Voor Digitale Gezondheidsdossiers — Art. 35 AVG

IDENTIFICATIE

VERWERKINGSVERANTWOORDELIJKE	GezondData B.V.
FG / CONTACTPERSOON AVG	Mw. drs. M. Klaassen
E-MAIL FG	fg@gezonddata.nl
NAAM VERWERKING	Klantenportaal voor digitale gezondheidsdossiers
DATUM BEOORDELING	28 april 2026
VOLGENDE HERZIENING	28 april 2029 (3 jaar) of eerder bij wezenlijke wijziging

Deze DPIA beoordeelt de gegevensbeschermingseffecten van de verwerking Klantenportaal voor digitale gezondheidsdossiers conform art. 35 AVG. De beoordeling is uitgevoerd voorafgaand aan implementatie en wordt periodiek herzien.

BESCHRIJVING VAN DE VERWERKING

1.1 Doel: Het beschikbaar stellen van een online portaal waarop patiënten hun eigen gezondheidsdossier kunnen inzien, downloaden en delen met zorgverleners. Doel is de regie van de patiënt te versterken (PROM/PREM) en zorgcontinuïteit te verbeteren.

1.2 Rechtsgrond (art. 6 AVG): Toestemming patiënt voor het portaal en de zorgverlener-deelfunctionaliteit (art. 6 lid 1 sub a en art. 9 lid 2 sub a AVG voor bijzondere gegevens). Daarnaast vitaal belang en uitvoering behandelovereenkomst (art. 7:446 e.v. BW, WGBO).

1.3 Categorieën betrokkenen: Patiënten van aangesloten zorginstellingen (>10.000 personen), inclusief minderjarigen vanaf 16 jaar (art. 8 AVG); ouders/voogden van minderjarigen <16 jaar; geautoriseerde zorgverleners.

1.4 Categorieën persoonsgegevens: Identificatiegegevens (naam, BSN, geboortedatum, contactgegevens); medische gegevens (diagnoses, medicatie, lab-uitslagen, beeldvorming); afspraken; correspondentie zorgverlener-patiënt. BSN op grond van Wet aanvullende bepalingen verwerking persoonsgegevens in de zorg.

1.5 Bewaartermijn: Medisch dossier: 20 jaar na laatste behandelmoment (art. 7:454 lid 3 BW WGBO); accountgegevens portaal: tot 1 jaar na deactivering account; logging: 12 maanden voor security-monitoring.

1.6 Ontvangers / verstrekkingen aan derden: Aangesloten zorginstellingen (rechtstreekse ontvangers); hosting-leverancier (verwerker, ISO 27001 + NEN 7510 gecertificeerd, EU-locatie); identificatieprovider DigiD (overheidsvoorziening). Geen doorgifte buiten EER.

NOODZAAK EN EVENREDIGHEID

2.1 De verwerking is noodzakelijk voor het in clausule 1.1 omschreven doel. Er is onderzocht of het doel met minder of geen persoonsgegevens kan worden bereikt; dit is niet het geval omdat de in 1.4 genoemde gegevens de minimaal benodigde set vormen.

2.2 De verwerking is evenredig: de impact op betrokkenen staat in redelijke verhouding tot het beoogde doel. Beginselen van dataminimalisatie (art. 5 lid 1 sub c AVG), juistheid (sub d), opslagbeperking (sub e) en integriteit (sub f) zijn toegepast.

2.3 De rechten van betrokkenen (art. 12–22 AVG) worden gehonoreerd via gestandaardiseerde verzoekprocedures.

TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

3.1 Technische maatregelen:
- DigiD/iDIN inlog met meervoudige authenticatie (eIDAS hoog); - End-to-end TLS 1.3 voor alle dataverkeer; - AES-256 encryption-at-rest in de database; - Logging van alle inzage en mutaties (12 maanden bewaring); - Penetratietesten halfjaarlijks door externe partij; - Geautomatiseerde patching en kwetsbaarheidsbeheer.

3.2 Organisatorische maatregelen:
- Functiescheiding: medische gegevens zijn alleen toegankelijk voor geautoriseerde zorgverleners en de patiënt zelf; - Verwerkersovereenkomst met hosting-leverancier (art. 28 AVG) inclusief NEN 7510-certificering; - Privacy by Design en Privacy by Default (art. 25 AVG); - Periodieke awareness-training medewerkers en aangesloten zorgverleners; - Datalekprocedure conform art. 33–34 AVG.

3.3 Maatregelen zijn proportioneel afgestemd op de risico's in clausule 4 (art. 32 AVG).

RISICOANALYSE

4.1 De volgende risico's zijn geïdentificeerd voor de rechten en vrijheden van betrokkenen:

R1: Ongeautoriseerde toegang door account-overname (waarschijnlijkheid: middel; impact: hoog) — gevolgen: ongewenste inzage in medisch dossier, identiteitsdiefstal. R2: Datalek bij hosting-leverancier (waarschijnlijkheid: laag; impact: zeer hoog) — gevolgen: massale inzage gevoelige gezondheidsgegevens. R3: Onbedoeld delen door patiënt met onjuiste zorgverlener (waarschijnlijkheid: middel; impact: middel) — gevolgen: ongewenste informatiedeling. R4: Logging-fout (waarschijnlijkheid: laag; impact: middel) — gevolgen: niet kunnen reconstrueren wie inzage had.

4.2 Per risico is een waarschijnlijkheid (laag/middel/hoog) en een impact (laag/middel/hoog) bepaald, conform de WP248-richtlijnen voor DPIA.

MITIGERENDE MAATREGELEN

5.1 Voor elk geïdentificeerd risico zijn de volgende mitigerende maatregelen genomen:

R1: meervoudige authenticatie verplicht; sessie-timeout na 15 min; alert bij afwijkende inlogpogingen; CAPTCHA na 3 mislukte pogingen. R2: leverancier ISO 27001 + NEN 7510; jaarlijkse audit; data-encryption-at-rest; penetratietest halfjaarlijks; back-up off-site EU-locatie. R3: bevestigingsstap bij delen; explicite zorgverlenerselectie via verifieerbare BIG-registratie; herinnering vervaldatum delegatie. R4: redundante logging op twee fysiek gescheiden systemen; integriteitscontroles via hashing; SIEM-monitoring.

5.2 Effectiviteit van de maatregelen wordt periodiek (jaarlijks of bij wijzigingen) getoetst.

RESTRISICO EN AANVAARDBAARHEID

6.1 Na toepassing van de in clausule 5 genoemde maatregelen resteert het volgende restrisico:

Het restrisico voor R1 (account-overname) is gereduceerd tot LAAG door de combinatie van DigiD eIDAS-hoog en monitoring. Voor R2 blijft een laag-middel restrisico bestaan dat inherent is aan elke gehoste verwerking; verzekering voor cyber-incidenten is afgesloten. R3 en R4 zijn na mitigatie laag-restrisico. Het totale restprofiel is aanvaardbaar.

6.2 De verwerkingsverantwoordelijke beoordeelt of dit restrisico aanvaardbaar is.

CONSULTATIE VAN BETROKKENEN EN STAKEHOLDERS

Patiëntfederatie Nederland en de Cliëntenraad van de aangesloten ziekenhuizen zijn geconsulteerd. Hun aanbevelingen ten aanzien van toegankelijke uitlogprocedures, helderheid van de toestemmingsverklaring en de eenvoud van het herroepingsmechanisme zijn verwerkt in het ontwerp. Het concept-portaal is gebruikersgetest met 30 patiënten.

Op grond van art. 35 lid 9 AVG worden waar passend de standpunten van betrokkenen of hun vertegenwoordigers geraadpleegd. Deze raadpleging is gedocumenteerd inclusief de gevolgen voor het ontwerp van de verwerking.

VOORAFGAANDE RAADPLEGING AP (ART. 36 AVG)

Op basis van de risicoanalyse na mitigatie wordt geen voorafgaande raadpleging van de AP noodzakelijk geacht (art. 36 lid 1 AVG). De DPIA en de mitigerende maatregelen zijn voldoende om het restrisico tot een aanvaardbaar niveau te reduceren. Mocht een toekomstige uitbreiding (bijv. AI-toepassing op gezondheidsdata) tot een hoog restrisico leiden, dan vindt voorafgaande raadpleging plaats.

Indien de DPIA na mitigatie nog steeds een hoog restrisico aantoont, raadpleegt de verwerkingsverantwoordelijke de AP voorafgaand aan de verwerking (art. 36 lid 1 AVG). De AP geeft binnen 8 weken (verlengbaar tot 14) advies of bezwaar.

INTERNATIONALE DOORGIFTEN EN VERWERKERS

7.1 Doorgiften naar derde landen buiten de EER worden alleen verricht onder de in art. 44–49 AVG genoemde garanties (adequaatheidsbesluit, modelcontracten, BCR, certificering).

7.2 Met alle verwerkers zijn schriftelijke verwerkersovereenkomsten conform art. 28 lid 3 AVG afgesloten.

7.3 Sub-verwerkers worden alleen ingezet na voorafgaande schriftelijke instemming van de verwerkingsverantwoordelijke.

10.

MONITORING EN PERIODIEKE HERZIENING

8.1 De DPIA wordt herzien bij elke wezenlijke wijziging van de verwerking, of ten minste eenmaal per drie jaar (best practice).

8.2 De FG monitort de effectiviteit van de mitigerende maatregelen en rapporteert jaarlijks aan het bestuur.

8.3 Bij datalekken wordt nagegaan of de DPIA bijstelling behoeft.

11.

GOEDKEURING

Deze DPIA is op 28 april 2026 goedgekeurd door het bestuur van GezondData B.V. en gedeeld met de FG, de Cliëntenraad en de aangesloten zorginstellingen. De maatregelen worden gemonitord door de FG en het bestuur ontvangt halfjaarlijks een voortgangsrapportage.

Deze DPIA is vastgesteld op 28 april 2026 en wordt herzien op 28 april 2029 (3 jaar) of eerder bij wezenlijke wijziging.

VERWERKINGSVERANTWOORDELIJKE

GezondData B.V.

Datum: ____________________

FUNCTIONARIS GEGEVENSBESCHERMING

Mw. drs. M. Klaassen

Datum: ____________________

Wat is een DPIA?

Een DPIA (Data Protection Impact Assessment, in het Nederlands: gegevensbeschermingseffectbeoordeling) is een verplichte voorafgaande beoordeling van een verwerking van persoonsgegevens die waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen (art. 35 AVG). De DPIA dwingt je om systematisch na te denken over noodzaak, evenredigheid, risico's en maatregelen — vóór je de verwerking start. Het is een levend document dat regelmatig wordt herzien.

De AP heeft een lijst opgesteld van verwerkingen waarvoor altijd een DPIA verplicht is (Besluit lijst verplichte DPIA AP, Stcrt. 2019, 64418). Hieronder vallen onder meer: grootschalige verwerking van bijzondere of strafrechtelijke gegevens, systematische monitoring van openbare ruimten, verwerkingen waarbij beslissingen op individuele basis worden genomen via geautomatiseerde besluitvorming met rechtsgevolgen, locatiegegevens van werknemers en verwerkingen met cameratoezicht in zorginstellingen. Daarnaast kan een DPIA verplicht zijn op basis van twee of meer criteria uit de WP248-richtlijnen.

Een goede DPIA is niet alleen een papieren oefening: zij vormt het bewijs dat je organisatie de risico's voor betrokkenen heeft afgewogen en passende maatregelen heeft getroffen. Bij een AP-onderzoek of een datalek is je DPIA het primaire document dat aantoont dat je verantwoordelijk hebt gehandeld (art. 5 lid 2 AVG, verantwoordingsplicht). Ontbreekt een verplichte DPIA, of is deze ondermaats, dan loop je een aanzienlijk hoger risico op handhaving en boetes (tot € 10 miljoen of 2% van de wereldwijde omzet, art. 83 lid 4 sub a AVG).

Wat omvat dit sjabloon

Het Doxuno DPIA-sjabloon volgt de structuur van art. 35 lid 7 AVG en de WP248-richtlijnen. Alle wettelijk verplichte rubrieken zijn opgenomen.

Identificatie van de verwerking

Naam, doel, rechtsgrond en betrokken organisatie

Categorieën betrokkenen

Wie zijn de betrokkenen, inclusief eventuele kwetsbare groepen

Categorieën persoonsgegevens

Welke gegevens, met aandacht voor bijzondere gegevens (art. 9 AVG)

Bewaartermijnen

Wettelijke en operationele bewaartermijnen per gegevenscategorie

Ontvangers en doorgiften

Verwerkers, derden en eventuele doorgiften buiten de EER

Noodzaak en evenredigheid

Toets aan beginselen van art. 5 AVG (minimalisatie, juistheid, etc.)

Technische maatregelen

Encryptie, MFA, logging, monitoring en pentest-regime

Organisatorische maatregelen

Functiescheiding, training, procedures en VWO's

Risicoanalyse

Risico's × waarschijnlijkheid × impact, conform WP248

Mitigerende maatregelen

Per risico de getroffen maatregelen om kans of impact te reduceren

Restrisico-evaluatie

Beoordeling van het overblijvende risico na mitigatie

AP-raadpleging (art. 36)

Wanneer voorafgaande raadpleging van de AP verplicht is

Hoe stel je een DPIA op

Volg de onderstaande stappen voor een complete en wettelijk conforme DPIA.

1
Bepaal of een DPIA verplicht is
Toets je verwerking tegen de lijst van de AP en de 9 WP248-criteria. Bij twee of meer criteria is een DPIA in de regel verplicht. Twijfelgevallen leg je voor aan je FG of een privacy-jurist. Bij vrijwillige DPIA's (waar het niet strikt verplicht is) maak je deze keuze om je verantwoordingsplicht te onderbouwen.
2
Beschrijf de verwerking systematisch
Werk doel, rechtsgrond, betrokkenen, gegevens, bewaartermijnen en ontvangers concreet uit. Vermijd algemene formuleringen ("klantgegevens") en wees specifiek ("naam, e-mail, BSN voor zorgverlening"). De beschrijving is de basis voor de risicoanalyse — onnauwkeurigheid hier vertaalt zich in onnauwkeurige risicoanalyse.
3
Toets noodzaak en evenredigheid
Onderzoek of het doel met minder of geen persoonsgegevens kan worden bereikt (dataminimalisatie, art. 5 lid 1 sub c). Toets de proportionaliteit: staat de impact op betrokkenen in redelijke verhouding tot het beoogde doel? Documenteer overwogen alternatieven en waarom ze zijn afgewezen.
4
Inventariseer risico's en mitigerende maatregelen
Identificeer per scenario het risico voor betrokkenen (bijv. ongeautoriseerde toegang, datalek, profilering, identiteitsdiefstal). Schat waarschijnlijkheid (laag/middel/hoog) en impact (laag/middel/hoog) in. Beschrijf welke maatregelen het risico reduceren — technisch (encryptie, MFA) en organisatorisch (training, functiescheiding).
5
Beoordeel het restrisico en raadpleeg waar nodig de AP
Na alle mitigerende maatregelen blijft een restrisico over. Beoordeel of dit aanvaardbaar is. Bij een hoog restrisico is voorafgaande raadpleging van de AP verplicht (art. 36 AVG); de AP geeft binnen 8 weken (verlengbaar tot 14) advies. Documenteer goedkeuring door bestuur of FG en plan periodieke herziening (best practice: 3 jaar of bij wezenlijke wijziging).

Juridische aandachtspunten in Nederland

De DPIA-verplichting is een hoeksteen van het AVG-regime. Deze juridische aspecten zijn essentieel.

Dit sjabloon is bedoeld als startpunt en vervangt geen juridisch advies. Bij verwerkingen met hoog risico of complexe internationale aspecten raadpleeg je een privacy-jurist of de FG.

Beoordeeld door juridische professionals. De clausules en structuur van dit sjabloon zijn beoordeeld door in Nederland praktiserende juristen privacy en gegevensbescherming.

Wanneer is een DPIA verplicht (art. 35 AVG)

Een DPIA is verplicht bij een verwerking die — gezien aard, omvang, context of doeleinden — waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De WP248-richtlijnen geven 9 criteria; bij 2 of meer is DPIA in de regel vereist. De AP-lijst (Stcrt. 2019, 64418) noemt specifieke verplichte gevallen, waaronder grootschalige verwerking van bijzondere gegevens, systematische monitoring van openbare ruimten en verwerkingen voor automatische besluitvorming met rechtsgevolg.

Inhoud van de DPIA (art. 35 lid 7 AVG)

De DPIA bevat ten minste: een systematische beschrijving van de verwerking en haar doelen; een beoordeling van noodzaak en evenredigheid; een beoordeling van risico's voor de rechten en vrijheden van betrokkenen; en de beoogde maatregelen om risico's aan te pakken (waaronder waarborgen, beveiligingsmaatregelen en mechanismen om de bescherming aan te tonen). Het sjabloon van Doxuno bevat al deze rubrieken.

Voorafgaande raadpleging AP (art. 36 AVG)

Indien een DPIA aantoont dat de verwerking — zonder verdere maatregelen — een hoog restrisico zou opleveren, moet de verwerkingsverantwoordelijke de AP raadplegen voorafgaand aan de verwerking. De AP geeft binnen 8 weken advies (verlengbaar tot 14 weken). Pas na ontvangst van het advies of het verstrijken van de termijn mag de verwerking starten. De AP kan ook ingrijpen door een verbod, beperkingen of corrigerende maatregelen op te leggen.

Verantwoordingsplicht (art. 5 lid 2 AVG)

De DPIA is een belangrijk onderdeel van de verantwoordingsplicht (accountability). Bij een AP-onderzoek of een datalek is de DPIA het primaire bewijs van zorgvuldige afweging. Het ontbreken van een verplichte DPIA is een verzwarende factor bij handhaving. Een goed gedocumenteerde DPIA, ook al is deze niet wettelijk verplicht, kan juist een mitigerende factor zijn bij de hoogte van een eventuele boete.

Veelgestelde vragen

Klaar om je DPIA op te stellen?

Vul de gegevens van de verwerking in en download een complete DPIA conform art. 35 AVG. Met risicoanalyse, mitigerende maatregelen en restrisico-evaluatie.

Create Your DPIA — Gegevensbeschermingseffectbeoordeling Browse All Templates

Free · Instant PDF · No account required