Een DPIA is verplicht voor vrijwel elk AI-systeem dat persoonsgegevens verwerkt. Wij voeren het AVG assessment uit, borgen artikel 22 AVG compliance voor geautomatiseerde besluitvorming en leveren een privacy impact assessment dat de toets van de Autoriteit Persoonsgegevens doorstaat.
Een DPIA voor AI systemen is geen vrijblijvend advies maar een wettelijke verplichting. De AVG schrijft in artikel 35 voor dat organisaties een Data Protection Impact Assessment uitvoeren wanneer een verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van betrokkenen. AI-systemen die persoonsgegevens verwerken — of dat nu een chatbot is die klantdata analyseert, een HR-tool die sollicitanten screent of een algoritme dat kredietaanvragen beoordeelt — vallen vrijwel zonder uitzondering onder deze DPIA-verplichting. Het niet uitvoeren van een verplicht privacy impact assessment is op zichzelf al een overtreding van de AVG, ongeacht of er daadwerkelijk een datalek of privacyschending plaatsvindt.
De handhavingspraktijk van de Autoriteit Persoonsgegevens (AP) laat zien dat dit geen theoretisch risico is. In 2024 legde de AP een boete van 290.000 euro op aan een uitzendbureau dat AI-gebaseerde cv-screening inzette zonder DPIA. De AP oordeelde dat het bedrijf had moeten vaststellen dat systematische beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking — inclusief profiling — een DPIA verplicht maakt. In datzelfde jaar ontving een zorgverzekeraar een last onder dwangsom van 50.000 euro per week omdat het bedrijf een algoritme voor claimafhandeling gebruikte zonder de vereiste privacy impact assessment. De Europese toezichthouders volgen dezelfde lijn: de Spaanse AEPD beboette CaixaBank met 6 miljoen euro voor gebrekkige DPIA-processen bij geautomatiseerde besluitvorming, en de Italiaanse Garante legde OpenAI tijdelijk een verwerkingsverbod op vanwege het ontbreken van een adequate DPIA voor ChatGPT. Deze handhavingsvoorbeelden onderstrepen dat een DPIA uitvoeren voor AI-systemen geen optie is maar een voorwaarde om operationeel te blijven.
Artikel 22 AVG voegt een specifieke beschermingslaag toe voor geautomatiseerde besluitvorming. Dit artikel bepaalt dat betrokkenen het recht hebben om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking gebaseerd besluit dat rechtsgevolgen heeft of hen anderszins in aanmerkelijke mate treft. Concreet: wanneer je AI-systeem zelfstandig beslist over een kredietaanvraag, een sollicitant afwijst, een verzekeringspremie vaststelt of een klant indeelt in een risicocategorie, dan geldt artikel 22 AVG. De uitzonderingen zijn beperkt: het besluit moet noodzakelijk zijn voor de uitvoering van een overeenkomst, er moet een wettelijke grondslag zijn, of de betrokkene moet uitdrukkelijke toestemming hebben gegeven. In alle gevallen moet je passende waarborgen treffen, waaronder het recht op menselijke tussenkomst, het recht om een standpunt kenbaar te maken en het recht om het besluit aan te vechten. De DPIA moet deze waarborgen expliciet adresseren en documenteren.
De AVG is niet de enige regelgeving die een privacy impact assessment voor AI vereist. Sinds 2 augustus 2026 is de EU AI Act volledig van toepassing voor hoog-risico AI-systemen. De AI Act en de AVG overlappen op meerdere punten en versterken elkaar. Een AI-systeem dat als hoog-risico wordt geclassificeerd onder de AI Act — denk aan AI voor personeelsselectie, kredietbeoordeling, toegang tot onderwijs of justitiele risicobeoordeling — vereist zowel een conformiteitsbeoordeling onder de AI Act als een DPIA onder de AVG. Artikel 26a van de AI Act schrijft bovendien een Fundamental Rights Impact Assessment (FRIA) voor bij hoog-risico AI-systemen die door publieke of semi-publieke instanties worden ingezet. De DPIA en de FRIA zijn complementair: waar de DPIA zich richt op privacyrisico`s, beoordeelt de FRIA bredere grondrechten zoals non-discriminatie, vrijheid van meningsuiting en toegang tot essentiële diensten. In de praktijk adviseren wij om DPIA en FRIA in een geintegreerd assessment uit te voeren, zodat je organisatie met een enkel traject aan beide verplichtingen voldoet.
Wanneer is een DPIA verplicht voor AI? De AP heeft een lijst gepubliceerd met verwerkingstypen waarvoor een DPIA altijd verplicht is. Voor AI-systemen zijn vier criteria bijzonder relevant. Ten eerste: systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking, inclusief profiling. Dit omvat elke AI die klantgedrag voorspelt, koopkansscores berekent of persoonlijkheidskenmerken afleidt. Ten tweede: geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare wezenlijke gevolgen — de directe link met artikel 22 AVG. Ten derde: grootschalige verwerking van bijzondere categorieen persoonsgegevens, zoals gezondheidsdata, biometrische gegevens of gegevens over ras en etniciteit. AI-systemen in de zorg, biometrische authenticatie en emotieherkenning vallen hier onder. Ten vierde: innovatief gebruik van nieuwe technologieen. AI is per definitie een technologische innovatie, waardoor dit criterium bij vrijwel elke AI-toepassing van toepassing is. Wanneer twee of meer van deze criteria van toepassing zijn — wat bij AI-systemen bijna altijd het geval is — is de DPIA zonder twijfel verplicht.
De zes rechtsgrondlagen uit artikel 6 AVG — toestemming, uitvoering van een overeenkomst, wettelijke verplichting, vitaal belang, algemeen belang en gerechtvaardigd belang — hebben elk specifieke consequenties voor AI-verwerkingen. Gerechtvaardigd belang wordt door veel organisaties als eerste optie gekozen omdat het geen toestemming van de betrokkene vereist. Maar de AVG eist bij gerechtvaardigd belang een gedocumenteerde belangenafweging, en bij AI-toepassingen valt die afweging strenger uit dan bij traditionele verwerkingen. De AP heeft in meerdere besluiten benadrukt dat het gebruik van AI om voorspellingen over individuen te doen de redelijke verwachtingen van betrokkenen overstijgt, wat de belangenafweging bemoeilijkt. Toestemming als rechtsgrondslag is voor AI eveneens complex: toestemming moet specifiek en geïnformeerd zijn, maar bij geavanceerde AI-modellen is het lastig om vooraf volledig te communiceren hoe persoonsgegevens door het model worden verwerkt. Het DPIA-traject is het juiste moment om per AI-toepassing de rechtsgrondslag te bepalen, te toetsen en te documenteren.
Bij CleverTech begeleiden we organisaties door het complete DPIA-traject voor AI systemen. Van de initiele risicobeoordeling en rechtsgrondslag-analyse tot de technische en organisatorische maatregelen die artikel 22 AVG compliance borgen. Ons AVG assessment is geen generiek template maar een op maat uitgevoerd privacy impact assessment dat rekening houdt met de specifieke architectuur, datastromen en beslislogica van jouw AI-toepassing. Het resultaat is een levend document dat meegroeit met je AI-systeem, dat je kunt overleggen aan de AP bij een toezichtcontrole, dat je deelt met klanten als bewijs van zorgvuldigheid en dat intern fungeert als governance-kader voor verantwoord AI-gebruik. AVG compliance AI begint hier.
Concrete onderdelen en wat u kunt verwachten
De Autoriteit Persoonsgegevens hanteert een lijst van verwerkingstypen waarvoor een DPIA verplicht is. Voor AI-systemen zijn vooral vier criteria van belang: systematische en uitgebreide beoordeling van persoonlijke aspecten op basis van geautomatiseerde verwerking (profiling), geautomatiseerde besluitvorming met rechtsgevolgen of vergelijkbare wezenlijke gevolgen, grootschalige verwerking van bijzondere categorieen persoonsgegevens, en innovatief gebruik van nieuwe technologieen. Wanneer een verwerking aan twee of meer van deze criteria voldoet, is de DPIA zonder meer verplicht. AI-systemen voldoen vrijwel altijd aan minimaal twee criteria. In de praktijk betekent dit dat bijna elke AI-toepassing die persoonsgegevens verwerkt een privacy impact assessment vereist. Een AI-chatbot die klantgesprekken analyseert en sentimentsscores toekent, een HR-tool die cv`s screent op basis van patroonherkenning, een marketingsysteem dat klantgedrag voorspelt en koopkansscores berekent, een verzekeringsalgoritme dat premies berekent — ze vallen allemaal onder de DPIA-plicht. Zelfs wanneer je een third-party AI-dienst zoals Azure OpenAI, Google Vertex AI of Anthropic Claude inzet met bedrijfsdata, ben je als verwerkingsverantwoordelijke verplicht een DPIA uit te voeren. Het feit dat de AI-verwerking bij een externe provider plaatsvindt, ontslaat je niet van je verplichtingen als verwerkingsverantwoordelijke. Het niet uitvoeren van een verplichte DPIA is op zichzelf al een overtreding van de AVG, zelfs wanneer er geen datalek of privacyschending plaatsvindt. De AP kan een boete opleggen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet specifiek voor het ontbreken van een DPIA. Preventie, documentatie en aantoonbaarheid zijn de kern van de AVG-benadering voor DPIA AI systemen.
Artikel 22 AVG is de kernbepaling voor geautomatiseerde besluitvorming door AI-systemen. Het artikel bepaalt dat betrokkenen het recht hebben om niet te worden onderworpen aan een uitsluitend op geautomatiseerde verwerking — inclusief profiling — gebaseerd besluit dat rechtsgevolgen heeft of hen anderszins in aanmerkelijke mate treft. Dit gaat verder dan alleen financiele beslissingen: het omvat geautomatiseerde afwijzingen van sollicitaties, algoritmische risicoclassificaties, automatische credit scoring, geautomatiseerde content-moderatie die accounts blokkeert en AI-gestuurde triage in de zorg. De wet schrijft voor dat betrokkenen het recht hebben om menselijke tussenkomst te vragen, hun standpunt kenbaar te maken en het besluit aan te vechten. Als organisatie die AI inzet voor geautomatiseerde besluitvorming moet je deze rechten actief faciliteren. Dat betekent concreet: een escalatieprocedure inrichten naar een medewerker die bevoegd en bekwaam is om het AI-besluit handmatig te herbeoordelen, transparant communiceren dat er een geautomatiseerd besluit is genomen en vastleggen op welke grondslag het besluit is gebaseerd. Artikel 22 AVG eist bovendien dat je passende maatregelen treft om de rechten van betrokkenen te beschermen. Bij AI-systemen vertaalt zich dat naar explainability: het vermogen om uit te leggen hoe en waarom het systeem tot een bepaald besluit is gekomen. Black-box AI-modellen zijn hiermee lastig verenigbaar. De DPIA moet documenteren welke uitlegbaarheidsmethoden je toepast — SHAP-waarden, LIME-analyse, decision trees als proxy-modellen of feature importance rankings — en of deze methoden voldoende zijn om betrokkenen een betekenisvolle uitleg te geven.
Bij AI-verwerkingen is de keuze van rechtsgrondslag complexer dan bij traditionele gegevensverwerking. De zes grondslagen uit artikel 6 AVG hebben elk specifieke implicaties voor AI-toepassingen, en de DPIA is het moment om deze keuze per AI-systeem te documenteren en te onderbouwen. Toestemming (art. 6 lid 1a) lijkt voor de hand te liggen, maar is voor AI-toepassingen vaak problematisch. Toestemming moet specifiek, geïnformeerd en vrij gegeven zijn. Bij complexe AI-modellen — zeker bij large language models of deep learning systemen — is het lastig om vooraf precies uit te leggen hoe persoonsgegevens worden verwerkt, waardoor de toestemming mogelijk niet voldoende geïnformeerd is. Bovendien moet toestemming even eenvoudig in te trekken zijn als te geven, wat technisch complex kan zijn wanneer persoonsgegevens al in een getraind model zijn verwerkt. Gerechtvaardigd belang (art. 6 lid 1f) wordt veel gebruikt, maar vereist een drieledige toets: is het belang gerechtvaardigd, is de verwerking noodzakelijk voor dat belang, en wegen de belangen van de betrokkene niet zwaarder? De AP heeft in meerdere besluiten geoordeeld dat AI-profilering de redelijke verwachtingen van betrokkenen overstijgt, waardoor de belangenafweging strenger uitvalt. Wij adviseren per AI-toepassing de rechtsgrondslag te bepalen en in de DPIA vast te leggen. Een klantservice-chatbot kan onder uitvoering van de overeenkomst vallen, terwijl een AI-systeem voor personeelsanalyse eerder een wettelijke grondslag of expliciete toestemming nodig heeft. Deze gedifferentieerde aanpak is precies wat de AP verwacht bij een toezichtcontrole.
De EU AI Act en de AVG zijn twee afzonderlijke regelgevingskaders die voor AI-systemen gelijktijdig van toepassing zijn en elkaar versterken. Een AI-systeem dat als hoog-risico wordt geclassificeerd onder de AI Act — personeelsselectie, kredietbeoordeling, toegangsbeslissingen tot onderwijs, justitiele risicobeoordeling — vereist zowel een conformiteitsbeoordeling en registratie in het EU AI-register onder de AI Act, als een DPIA onder de AVG. Beide verplichtingen bestaan naast elkaar en moeten onafhankelijk worden vervuld. De overlap is substantieel. De AI Act schrijft een risicomanagementsysteem, datakwaliteitsborging, logging, menselijk toezicht en technische documentatie voor. De AVG eist via de DPIA een risicobeoordeling, passende technische en organisatorische maatregelen, documentatie van de verwerking en waarborgen voor betrokkenen. In de praktijk kun je veel documentatie en maatregelen hergebruiken als je DPIA en AI Act conformiteitsbeoordeling geintegreerd uitvoert. Artikel 26a AI Act introduceert daarnaast het Fundamental Rights Impact Assessment (FRIA) voor publieke en semi-publieke inzet van hoog-risico AI. De FRIA beoordeelt bredere grondrechten — non-discriminatie, vrijheid van meningsuiting, toegang tot diensten — en is complementair aan de DPIA. Bij CleverTech voeren we het AVG assessment en de AI Act conformiteitsbeoordeling als geintegreerd traject uit. Je organisatie voldoet met een enkel assessment aan beide regelgevingskaders, zonder dubbel werk of tegenstrijdige documentatie. Dit bespaart tijd, kosten en zorgt voor een consistent compliance-dossier dat zowel de AP als de AI Act toezichthouder overtuigt.
Een privacy impact assessment is geen eenmalige papieren exercitie maar resulteert in concrete technische en organisatorische maatregelen die je implementeert en doorlopend onderhoudt. Technische maatregelen omvatten dataminimalisatie — verwerkt je AI-model niet meer persoonsgegevens dan strikt noodzakelijk? Pseudonimisering en waar mogelijk anonimisering van trainingsdata, toegangscontroles op modelinputs en -outputs, logging van alle geautomatiseerde beslissingen met tijdstempel en beslisgronden, encryptie van data in transit en at rest, en retentiebeleid voor verwerkingsresultaten. Op organisatorisch vlak documenteert de DPIA wie verantwoordelijk is voor het AI-systeem (verwerkingsverantwoordelijke, verwerker, FG-betrokkenheid), hoe je verzoeken van betrokkenen afhandelt (inzage, correctie, verwijdering, bezwaar tegen geautomatiseerde besluitvorming), welke escalatieprocedure geldt bij besluiten die onder artikel 22 AVG vallen, en hoe je het model periodiek evalueert op bias, nauwkeurigheid en proportionaliteit. De DPIA beschrijft ook het proces voor het melden van datalekken die het AI-systeem betreffen — inclusief de 72-uurstermijn bij de AP. De DPIA wordt een levend document: bij elke significante wijziging aan het AI-systeem — nieuw trainingsdata, aangepast model, uitbreiding van use cases, nieuwe databronnen of gewijzigde beslislogica — herbeoordeel je de risico`s en pas je de maatregelen aan. Bij CleverTech richten we deze DPIA-cyclus in als vast onderdeel van je AI-governance framework, zodat AVG compliance AI geen eenmalig project is maar een continu geborgd proces.
Concrete voorbeelden van hoe bedrijven dpia voor ai-systemen: avg assessment en compliance inzetten
Antwoorden op veelgestelde vragen over dpia voor ai-systemen: avg assessment en compliance
Vraag niet beantwoord?
Neem contact met ons op - ga naar de contactpaginaGDPR-boetes kunnen oplopen tot 20 miljoen of 4% van je jaaromzet. Leer hoe je AI inzet zonder de Autoriteit Persoonsgegevens op je dak te krijgen.
De EU AI Act deadline nadert. Ontdek wat Nederlandse bedrijven nu moeten doen: risicoclassificatie, documentatie-eisen en een praktische compliance checklist.
Sinds februari 2025 is AI-geletterdheid wettelijk verplicht. Ontdek wat dit betekent voor jouw bedrijf en hoe je snel en praktisch voldoet aan Artikel 4.
Ontdek andere aspecten van onze ai beveiliging dienst
Een LLM security audit op basis van het OWASP LLM Top 10 2025 framework. Van prompt injection testen tot data leakage, model theft en supply chain risico’s — een volledige AI security audit met red team methodiek, LLM pentest en compliance-ready rapportage.
Meer infoPrompt injection staat op #1 in de OWASP Top 10 for LLM Applications. Met gerichte AI security testing en LLM beveiliging ontdek je kwetsbaarheden voordat een aanvaller ze misbruikt.
Meer infoEen cybersecurity incident met AI-systemen vereist een specifieke aanpak. Stel een compleet incident response plan op — van AI security incident detectie tot herstel — en voldoe direct aan de NIS2-meldplicht.
Meer infoOntdek kwetsbaarheden in je AI-systemen door gecontroleerde adversarial testing — van prompt injection tot model-manipulatie, data-extractie en MITRE ATLAS-rapportage.
Meer infoDe AI Act verplicht logging, menselijk toezicht en cybersecurity voor hoog-risico AI-systemen. Concrete eisen per artikel, tijdlijn, kosten en een geintegreerde aanpak met NIS2 — zodat je in 2026 audit-ready bent.
Meer infoVan shadow AI en API-afhankelijkheden tot leveranciersbeoordeling en multi-provider strategie — bescherm je organisatie in 2026 tegen de verborgen risico van externe AI-diensten, modellen en data-pipelines.
Meer infoOntdek hoe dpia voor ai-systemen: avg assessment en compliance uw bedrijf kan versterken. Geen verplichtingen.
