De Autoriteit Persoonsgegevens heeft een lijst opgesteld van soorten verwerkingen waarvoor ‘data protection impact assessment’ (DPIA) niet verplicht is. Om deze lijst goed aan te laten sluiten bij de praktijk, vraagt de AP via een consultatie reacties aan het mkb, zelfstandige ondernemers, experts en (andere) belanghebbenden.
Geen DPIA-verplichting
De AP stelt in de lijst onder meer vast dat dat voor de volgende verwerkingen geen DPIA-verplichting geldt zover deze worden uitgevoerd door verwerkingsverantwoordelijken die beroepsbeoefenaar zijn of een andere natuurlijke persoon zonder dienstverband, of werkgever zijn met maximaal 250 werknemers, en die op het grondgebied van het Europese deel van Nederland hun werkzaamheden uitvoeren.
Verwerking persoonsgegevens werknemers
Verwerking van persoonsgegevens van werknemers om wettelijke verplichtingen op het gebied van boekhouding, personeelsbeheer (HR), salarisadministratie, sociale zekerheid en ziektekostenverzekeringen, en belastingen te kunnen naleven. Behalve wanneer profilering plaatsvindt of wanneer het om de verwerking van bijzondere persoonsgegevens gaat waaronder biometrische gegevens, dan wel als het de evaluatie of profilering of het systematisch monitoren van werknemers betreft, of als sprake is van artikel 8 van de platformwerkersrichtlijn.
Verwerking klantgegevens i.v.m. zakelijke activiteiten
Verwerkingen van persoonsgegevens van bestaande klanten in verband met zakelijke activiteiten, zoals facturering of het aanbieden of verlenen van diensten zoals klantenacties of -wedstrijden en het versturen van nieuwsbrieven.
DPIA
Is een organisatie van plan persoonsgegevens te verwerken, maar levert dat waarschijnlijk een hoog privacyrisico op? Dan is de organisatie verplicht eerst een Data protection impact assessment (DPIA) uit te voeren. Vooral als het gaat om een verwerking waarbij nieuwe technologieën worden gebruikt.
Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen, zodat de organisatie maatregelen kan nemen om deze risico’s te verkleinen. Een DPIA wordt ook wel een ‘gegevensbeschermingseffectbeoordeling’ (GEB) genoemd.
De verplichting om een DPIA uit te voeren staat in de Algemene verordening gegevensbescherming (AVG).
Een DPIA uitvoeren kan nodig zijn als er bij het verwerken van gegevens gebruik wordt gemaakt van nieuwe technologieën. De AVG geeft aan dat je in elk geval een DPIA moet uitvoeren als de organisatie:
- Systematisch en uitgebreid persoonlijke aspecten van mensen beoordeelt. Dit doe je op basis van geautomatiseerde verwerking van persoonsgegevens, waaronder profilering. En hierop baseer je besluiten die gevolgen hebben voor mensen, bijvoorbeeld dat zij geen lening kunnen afsluiten. Een voorbeeld hiervan is creditscoring.
- Op grote schaal bijzondere persoonsgegevens verwerkt, zoals gegevens over iemands gezondheid of politieke voorkeur.
- Strafrechtelijke gegevens.
- Op grote schaal en systematisch mensen volgt in een publiek toegankelijk gebied. Bijvoorbeeld met cameratoezicht.
Uitzonderingen op DPIA-plicht
De AP kan een lijst opstellen en te publiceren van soorten verwerkingen waarvoor geen DPIA nodig is. Het gaat om verwerkingen door onder meer het mkb en zelfstandige ondernemers in Nederland. De lijst vermindert zo de regeldruk voor deze bedrijven en ondernemers.
Jouw input
Wil je reageren op de voorlopige lijst DPIA-uitzonderingen? Stuur dan uiterlijk 10 augustus 2026 een e-mail naar st-mkb@autoriteitpersoonsgegevens.nl. Hier kun je ook terecht met vragen over het document of het consultatieproces.
Organisaties die AI-systemen ontwikkelen of gebruiken, moeten sinds 2 februari 2025 zorgen dat hun werknemers ‘AI-geletterd’ zijn. Dít betekent dat zij ervoor moeten zorgen dat werknemers voldoende weten en AI op een verantwoorde manier kunnen inzetten.

