DPIA
Een verplichte risico-analyse onder de AVG voor dataverwerking met hoge privacy-impact. Vaak vereist bij AI-systemen die persoonsgegevens gebruiken.
Een Data Protection Impact Assessment (DPIA) is een gestructureerde analyse van de privacy-risico's die een dataverwerking veroorzaakt. De AVG (artikel 35) schrijft een DPIA voor als er een hoog risico voor de rechten en vrijheden van betrokkenen bestaat, bijvoorbeeld bij:
- Systematische geautomatiseerde besluitvorming met juridische gevolgen
- Grootschalige verwerking van bijzondere persoonsgegevens (gezondheid, biometrie)
- Stelselmatige monitoring van openbaar toegankelijke ruimten
Voor AI-systemen die persoonsgegevens verwerken is een DPIA in de praktijk bijna altijd vereist. De DPIA moet onder andere de verwerking beschrijven, de noodzaak toetsen, risico's inschatten en mitigaties benoemen. De Autoriteit Persoonsgegevens publiceert modeltemplates.
Onder de AI Act is een DPIA geen vervanging van een conformiteitsassessment. Voor hoog-risico AI zijn beide nodig, op verschillende rechtsgrondslagen (AVG en AI Act).