DPIA template (Data Protection Impact Assessment)
Laatst bijgewerkt: 24-04-2026
Gebruik dit format bij nieuwe of gewijzigde verwerkingen met verhoogd privacyrisico binnen het supportportal.
1. Basisgegevens
- Projectnaam en eigenaar
- Datum start beoordeling en geplande reviewdatum
- Betrokken teams (product, development, support, security, legal/privacy)
- Gerelateerde systemen en leveranciers
2. Beschrijving van de verwerking
- Wat verandert er functioneel?
- Welke persoonsgegevens worden verwerkt?
- Van welke betrokkenen?
- Via welke datastromen (input, opslag, uitwisseling, output)?
- Wat is het concrete doel en waarom is verwerking noodzakelijk?
3. Rechtsgrond en proportionaliteit
- Welke rechtsgrond is van toepassing per verwerkingsdoel?
- Is de verwerking proportioneel ten opzichte van het doel?
- Zijn er privacyvriendelijkere alternatieven onderzocht?
- Welke dataminimalisatiekeuzes zijn gemaakt?
4. Risicoanalyse (kans x impact)
Beoordeel per risico de kans en impact (laag/midden/hoog), bijvoorbeeld:
- onbevoegde toegang tot account-, ticket- of facturatiegegevens;
- onjuiste autorisatie op client/adminfunctionaliteit;
- ongewenste datadeling via e-mail of externe integraties;
- te lange bewaartermijnen of onvoldoende verwijdering;
- beperkte uitlegbaarheid bij betrokkenenverzoeken.
5. Maatregelen
- Technische maatregelen (toegangscontrole, encryptie, logging, rate limits, secure defaults).
- Organisatorische maatregelen (procedures, controles, rolverdeling, training).
- Contractuele maatregelen (DPA, subverwerkersafspraken, doorgiftegrondslag).
- Resterend risico na maatregelen en motivatie van acceptatie.
6. Rechten van betrokkenen
- Kunnen inzage/correctie/verwijdering praktisch uitgevoerd worden?
- Is er een duidelijke workflow en verantwoordelijke per stap?
- Hoe wordt bewijs van afhandeling vastgelegd?
7. Datalek- en incidentimpact
- Wat is het worst-case scenario bij incidenten?
- Hoe snel kan impact worden beperkt?
- Zijn meld- en communicatieprocedures duidelijk en getest?
8. Besluitvorming
- Go: implementatie toegestaan met vastgelegde maatregelen.
- Conditional Go: alleen na uitvoering van verplichte acties.
- No Go: onvoldoende risicobeheersing; herontwerp vereist.
9. Formele vastlegging
- Naam en rol beoordelaar(s)
- Besluitdatum
- Openstaande acties met eigenaar en deadline
- Geplande herbeoordeling (bijvoorbeeld na 6 of 12 maanden)