Templates & tools voor DPO’s (DPIA, LIA, AI & meer)

Datum
09.04.2026

Als Data Protection Officer (DPO) weet je hoe uitdagend het kan zijn om GDPR-verplichtingen praktisch en efficiënt toe te passen. Van het uitvoeren van een DPIA tot het documenteren van een gerechtvaardigd belang (LIA) of het omgaan met nieuwe AI-toepassingen: het vraagt niet alleen kennis, maar ook de juiste tools.

In deze blog bundelen we enkele concrete GDPR tools en templates die je meteen kan gebruiken in je dagelijkse praktijk. Geen theoretische uitleg, maar praktische hulpmiddelen die je helpen om sneller, consistenter en beter onderbouwd te werken als DPO.

Je ontdekt onder andere:

  • een beoordelingskader voor DPIA’s
  • een generieke DPIA voor AI-transcriptie
  • een LIA-vragenlijst
  • een cloud exit strategie
  • en een cheat sheet voor joint controllership

Kortom: een praktische toolkit voor elke DPO die werk wil maken van efficiënte en toekomstgerichte GDPR-compliance.

Beoordelingstool om de kwaliteit van DPIA’s te toetsen

DPIA objectief toetsen en verbeteren met het FG Toetsingskader

Het Ministerie van Justitie en Veiligheid en het Ministerie van Asiel en Migratie in Nederland, twee ministeries die om evidente redenen veel ervaring met DPIA’s zullen hebben, hebben een zogeheten “FG Toetsingskader DPIA’s” gepubliceerd.

Per klassiek onderdeel dat in een DPIA hoort te zitten (denk: beschrijvingen van de verwerking, toetsing rechtmatigheid, beschrijving technische en organisatorische maatregelen) bevat dit toetsingskader een mogelijke score van 1 t/m 5 met per score een beschrijving van wat er in de DPIA moet staan om een bepaalde score te halen. Het doel is te komen tot betere handvatten voor “de business” over het opstellen van DPIA’s en om uniformer tot beoordeling van die DPIA’s te komen.

Nu gaat nog niet iedere organisatie een niveau van maturiteit hebben dat DPIA’s al met zoveel detail beoordeeld (kunnen) worden, maar hoe dan ook is het nuttige input voor de FG om intern uit te kunnen leggen wat de verwachtingen zijn bij een goede DPIA.

Link naar het toetsingskader

Een generieke DPIA voor de transcriptie met AI.

Mooi startpunt voor een DPIA tbv een klassieker in de AI tools: transcriptie met behulp van AI

Het Platform AI en Overheid publiceerde een “white label” DPIA, oftewel een generieke DPIA die als basis gebruikt kan worden door overheidsentiteiten die aan de slag willen met AI transcriptie-tools maar die besluiten dat hiervoor eerst een DPIA nodig is.

De generieke DPIA is voor de duidelijkheid een startpunt, zaken zoals de rechtmatigheid en de genomen TOMs zijn taken die een organisatie nog zelf moet invullen maar desalniettemin is het een degelijk basis. Zeker het lijstje met risico’s, interessant genoteerd met steeds een algemeen risico dat in scenario’s wordt opgesplitst en beoordeeld, is nuttige inspiratie.

Een paar kanttekeningen die we ook maakten toen deze DPIA de revue passeerde in de eerste Stay Tuned van 2026: niet iedere transcriptietool vereist een DPIA, de genoemde bewaartermijnen zoals “onbeperkt” zullen aangepast moeten worden, en de mogelijke toepassing van biometrie rond stemherkenning is niet meegenomen, maar het is dan ook een vertrekpunt.

Link naar de informatiepagina, inclusief privacy by design checklist

Een LIA-vragenlijst (uit Hamburg) voor het documenteren van het gerechtvaardigd belang.

Vragenlijst voor de uitvoering van een vaak vergeten GDPR verplichting: de gerechtvaardigd belang afweging, ook wel de legitimate interest assessment (LIA)

Iedere verwerkingsactiviteit waarbij men zich beroept op het gerechtvaardigd belang zou, hoe kleinschalig die soms ook mag zijn, onderbouwd moeten zijn met een belangenafweging. Om de uitvoering daarvan de faciliteren heeft de Hamburgse gegevensbeschermingsautoriteit een vragenlijst gepubliceerd om te ondersteunen. Het is een zeer uitgebreide insteek, maar nuttige inspiratie voor de uitvoering van een LIA.

Saillant detail, in de publicatie op de website geeft de autoriteit zelf aan dat de vragenlijst ook gebruikt kan worden door overheden, waarmee meteen aangegeven wordt dat zij wel degelijk mogelijkheden zien voor een overheid om zich voor bepaalde verwerkingsactiviteiten te beroepen op het gerechtvaardigd belang.

Link naar de vragenlijst*

*de pagina zelf is ‘auf Deutsch‘, maar onderin staat de Engelse versie er bij:

Herkennen van deceptive design

Leuke quiz van de CNIL voor het herkennen van zogeheten deceptive design praktijken op sociale media

De CNIL heeft een leuke website gemaakt waar men aandacht vraagt voor diverse vormen van deceptive design, of om het op z’n Frans te zeggen: “les apparances trompeuses”. Klinkt toch nog steeds beter dan “misleidende ontwerpen”, en deze quiz werd meteen goed onthaald als een ludieke afsluiter van onze eerste Stay Tuned van 2026.

Nu, behalve de toegankelijke manier om informatie te delen over deceptive design bevat het tegelijk nuttige praktijkvoorbeelden van zaken die ook voorbij komen in het bredere begrip “transparantie” zoals ook opgenomen in de richtlijnen van de EDPB. Leuk en nuttig dus!

Link naar de quiz

Een Cloud Exit-strategie checklist.

Digitale soevereiniteit is mainstream geworden, maar hoe doen we het concreet?

Het is een onderwerp dat, zeker binnen de overheid, keer op keer de kop opsteekt: we zitten muurvast in het Amerikaanse ecosysteem. Dan kun je als privacy professional wel aankomen met de risico’s en digitale soevereiniteit maar voor de meeste organisaties heeft men geen goed beeld hoe daar eigenlijk mee om te gaan.

Welnu, beginnen bij het begin… of eigenlijk het einde: hoe maak je namelijk de overstap? We hebben ons wat laten inspireren op contractuele modelbepalingen in het kader van de Data Act. In die wetgeving zitten namelijk ook concrete aspecten rond het kunnen overstappen met je data tussen aanbieders, en in die context heeft men ook proberen te benoemen welke elementen je in je contracten moet voorzien om effectief over te migreren.

DPI heeft die elementen in een migratie-checklist gegoten en die kun je via de knop hieronder downloaden.

Link naar Cloud Exit stratgy

Een Cheat Sheet voor het omgaan met gezamenlijke verwerkingsverantwoordelijkheid.

Joint-Controllers lijken het nieuwe paradepaardje van autoriteiten en het HvJEU te worden, en wat nu?

Tijdens de eerste Stay Tuned van 2026, waar we zoals gebruikelijk een flinke berg uitspraken van gegevensbeschermingsautoriteiten bespraken, kwam er een trend naar voren: autoriteiten én het Hof van Justitie van de Europese Unie zien steeds vaker gezamenlijke verantwoordelijkheid (oftewel joint-controllership) in complexe gegevensverwerkingen.

Zoals de term het al aangeeft betekent dit een gedeelde verantwoordelijkheid in plaats van een ondergeschikte rol voor één van beide partijen als verwerker, of complete onafhankelijkheid van elkaar als aparte verwerkingsverantwoordelijken. Heel concreet betekent zo’n classificatie echter wel dat er vanalles onderling geregeld moet worden: van afspraken over beveiliging, omgaan met incidenten tot het behandelen van verzoeken van betrokkenen en nog zo verder.

DPI ontwikkelde een cheat sheet die je kunt gebruiken om je joint-controllership afspraken te verifiëren om zeker te weten dat je niets over het hoofd zit.

Link naar ‘Cheat Sheet Joint Controlling’

Datum
09.04.2026

Laatste nieuws

Threat & Vulnerability Management: van reactief brandjes blussen naar een proactieve veiligheidsdiscipline
Terugblik op Stay Tuned as DPO 2026 Q1: Een kwartaal vol privacy-inzichten
Hands-on DPO: van template tot rechtspraak
De DPO anno 2026: ben je al AI-proof?

Stay informed via our newsletter

Stay connected with our latest news, offers and available training.

Newsletter
x

Blijf op de hoogte via onze nieuwsbrief

Blijf in contact met ons laatste nieuws, aanbiedingen en beschikbare opleidingen.

Newsletter
x

Schrijf je in