DPIA

Een DPIA (Data Protection Impact Assessment) is een onderzoek dat je verplicht moet doen voordat je een AI-systeem op persoonsgegevens loslaat als het risico op privacy-schade groot is. De AVG schrijft het voor. In de praktijk komt dat neer op vrijwel elk hoog-risico AI-project waarbij klantdata, personeelsdata of medische data wordt verwerkt.

• Systematische geautomatiseerde besluitvorming met juridische gevolgen
• Grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, biometrie)
• Stelselmatige monitoring van openbaar toegankelijke ruimten

Voor AI-systemen die persoonsgegevens verwerken is een DPIA in de praktijk bijna altijd vereist. De DPIA moet onder andere de verwerking beschrijven, de noodzaak toetsen, risico's inschatten en mitigaties benoemen. De Autoriteit Persoonsgegevens publiceert modeltemplates.

Onder de AI Act is een DPIA geen vervanging van een conformiteitsassessment. Voor hoog-risico AI zijn beide nodig, op verschillende rechtsgrondslagen (AVG en AI Act).