Checklist voor gegevensbeschermingseffectbeoordelingen voor oprichters en compliance leads

Een gegevensbeschermingseffectbeoordeling, of DPIA, is het proces dat een SaaS-team gebruikt voordat verwerking met waarschijnlijk hoog risico begint. Artikel 35 AVG vraagt om een beschrijving van de verwerking, een toets op noodzakelijkheid en proportionaliteit, een beoordeling van risico's voor personen en vastgelegde maatregelen.

Voor oprichters en compliance leads is de kernvraag of het team het risico vroeg zag, een onderbouwd besluit nam, controles toewees en bewijs bewaarde.

1. Bevestig of een DPIA nodig is

Start met een korte screening. Let op nieuwe of gevoelige persoonsgegevens, gegevens van werknemers of kinderen, profilering, scoring, geautomatiseerde besluiten, systematische monitoring, gecombineerde datasets, nieuwe leveranciers, nieuwe regio's en wijzigingen in bewaartermijn, toegang of zichtbaarheid. Geen hoog risico? Leg de beslissing vast. Wel hoog risico? Start de DPIA voordat de verwerking begint.

2. Wijs eigenaar en beslisgroep aan

Een DPIA kan product, engineering, security, legal, privacy en vendor management raken, maar heeft één eigenaar nodig. Noteer wie het proces leidt, wie technische input levert, wie privacy beoordeelt en wie de launch kan goedkeuren of blokkeren.

3. Beschrijf de verwerking

Documenteer project, doel, datacategorieën, betrokkenen, systemen, leveranciers, integraties, rollen met toegang, bewaartermijnen, verwijdering, transfers, gebruikersinformatie en reviewdatum. Vermijd vage labels zoals "analytics" of "AI-feature".

4. Toets noodzakelijkheid en proportionaliteit

Vraag of hetzelfde doel met minder data, kortere retentie, aggregatie, pseudonimisering, minder rollen, veiligere defaults of strakkere leveranciersinstructies kan. Dit sluit aan op gegevensbescherming door ontwerp en standaardinstellingen.

5. Beoordeel risico vanuit de persoon

Kijk niet alleen naar bedrijfsrisico. Kan de verwerking gevoelige informatie onthullen, oneerlijke behandeling veroorzaken, onjuiste scores opleveren, onverwachte monitoring creëren, data te breed delen of privacyrechten moeilijker maken?

6. Kies verifieerbare controles

Controles moeten concreet zijn: dataminimalisatie, rolgebaseerde toegang, encryptie, logging, contractuele leveranciersbeperkingen, retentielimieten, menselijke review, bijgewerkte privacy notice en launch gates voor open risico's.

7. Sluit af met een besluit

Leg vast of de verwerking mag doorgaan, welke controles voor launch klaar moeten zijn, wie restrisico accepteert, of voorafgaande raadpleging nodig kan zijn en wanneer de DPIA opnieuw wordt beoordeeld.

8. Bewaar bewijs

Bewaar screening, dataflowdiagram, vendor review, toegangsconfiguratie, verwijderregel, privacy notice, security review, productbesluit, risicoregister en goedkeuring.

FAQ

Wat is het praktische doel?

Hoogrisicoverwerking vóór de start herkennen, risico voor personen verminderen en een uitlegbaar besluit bewaren.

Wanneer geldt dit voor SaaS-teams?

Bij gevoelige data, profilering, geautomatiseerde beoordeling, systematische monitoring, AI, grootschalige verwerking of onverwachte datacombinaties.

Wat nu te doen

• Voeg DPIA-triggers toe aan productplanning, vendor intake, security review en launch readiness.
• Definieer een eigenaar, besluitveld en bewijslijst.
• Beoordeel de volgende risicovolle datawijziging voordat de launch vaststaat.