AP versoepelt DPIA-plicht voor ondernemers
Organisaties die persoonsgegevens verwerken met een hoog privacyrisico, moeten verplicht een effectbeoordeling (DPIA) uitvoeren. Maar dat hoeft binnenkort niet meer voor elke situatie. De Autoriteit Persoonsgegevens (AP) heeft een conceptlijst opgesteld met uitzonderingen, specifiek bedoeld om het midden- en kleinbedrijf (mkb) en zelfstandig ondernemers te ontlasten. Om te zorgen dat de lijst aansluit op de realiteit, start de toezichthouder een publieke consultatie.
Organisaties die persoonsgegevens verwerken met een hoog privacyrisico, moeten verplicht een effectbeoordeling (DPIA) uitvoeren. Maar dat hoeft binnenkort niet meer voor elke situatie. De Autoriteit Persoonsgegevens (AP) heeft een conceptlijst opgesteld met uitzonderingen, specifiek bedoeld om het midden- en kleinbedrijf (mkb) en zelfstandig ondernemers te ontlasten. Om te zorgen dat de lijst aansluit op de realiteit, start de toezichthouder een publieke consultatie.
Een Data Protection Impact Assessment (DPIA) – in goed Nederlands een gegevensbeschermingseffectbeoordeling – is een zwaar instrument. Bedrijven gebruiken het om vooraf de privacyrisico’s van een nieuwe gegevensverwerking in kaart te brengen, vooral wanneer er innovatieve technologieën in het spel zijn. Hoewel noodzakelijk voor de privacybescherming, zorgt het bij kleinere ondernemers vaak voor een flinke administratieve regeldruk.
Met de nieuwe uitzonderingslijst wil de AP die druk nu gericht gaan verlagen.
Praktijktoets voor ondernemers en experts
De privacytoezichthouder wil voorkomen dat de nieuwe regels de plank misslaan en roept daarom de hulp in van de praktijk. Mkb’ers, zzp'ers, privacy-experts en andere belanghebbenden worden nadrukkelijk uitgenodigd om hun blik op de conceptlijst te werpen.
Uw mening telt
Heeft u opmerkingen over de voorlopige lijst met DPIA-uitzonderingen, of heeft u vragen over het proces? Reacties kunnen tot en met 10 augustus 2026 per e-mail worden ingestuurd via: st-mkb@autoriteitpersoonsgegevens.nl.
Het verdere verloop: Via Brussel naar de Staatscourant
De AP verzamelt alle binnengekomen feedback om de lijst verder aan te scherpen. De toezichthouder zal naderhand een samenvatting van de reacties publiceren, uiteraard volledig geanonimiseerd.
De route naar de definitieve invoering kent daarna nog een Europese tussenstop:
Stap 1: Verwerking feedback – De AP past de conceptlijst aan op basis van de consultatierondes.
Stap 2: Europees advies – De lijst wordt voorgelegd aan de European Data Protection Board (EDPB) voor een definitieve toetsing.
Stap 3: Officiële publicatie – Na het advies van de EDPB wordt de definitieve lijst gepubliceerd in de Staatscourant en op de website van de AP. Vanaf dat moment treden de uitzonderingen officieel in werking.
Met dit initiatief hoopt de AP een gezonde balans te vinden tussen een effectieve bescherming van persoonsgegevens en werkbare regels voor het Nederlandse bedrijfsleven.
Meer over privacy
Over Witold Kepinski
