Onder AVG Artikel 35 is een Data Protection Impact Assessment (DPIA) verplicht bij verwerkingen met een hoog risico voor de rechten van betrokkenen. Werknemers­data over mentale gezondheid voldoet aan elk criterium: bijzondere persoons­gegevens (Art. 9), grote schaal, machts­ongelijkheid werkgever-werknemer, geautomatiseerde besluit­vorming. Toch loopt 38% van de Nederlandse werkgevers met een welzijns­tool zonder DPIA (AP-onderzoek, 2024).

Waarom DPIA er toe doet — ook als niemand vraagt

  • Aansprakelijkheid: Bij datalek of klacht is "wij hebben geen DPIA gedaan" een zware verzwarende omstandigheid (AP boetebeleid, factor 2-3x).
  • OR-instemming (WOR Art. 27): De ondernemingsraad heeft instemmingsrecht op personeelsinformatiesystemen. Een DPIA is een sterk WOR-document.
  • Verantwoording naar de medewerker: Vertrouwen valt of staat bij transparantie. Een vindbare DPIA op intranet bouwt direct geloofwaardigheid.

Het 8-stappenplan

  1. Doel beschrijven (Art. 5). Wat is het concrete doel? "Vroegtijdige signalering werkstress op teamniveau ter voorkoming van langdurig verzuim." Niet vaag, niet meervoudig.
  2. Rechtsgrond kiezen (Art. 6 + 9). Voor mentale data is doorgaans Art. 9 lid 2(a) — uitdrukkelijke toestemming — de enige werkbare grond. Werkgever kan zich níet beroepen op "noodzakelijk voor arbeidsovereenkomst" omdat de medewerker structureel afhankelijk is.
  3. Necessity en proportionaliteit toetsen. Is dit het minst ingrijpende middel om het doel te bereiken? Documenteer 2-3 alternatieven die je hebt overwogen en waarom dit middel passender is.
  4. Data-flow uittekenen. Welke data wordt verzameld, wie ziet wat, waar staat het opgeslagen, wie zijn sub-processors, hoe lang bewaard. Eén bladzijde, één diagram — recht door de processen.
  5. Risico-inventarisatie. Vier kern­risico's: (1) data­lek, (2) onbedoelde individuele herleidbaarheid in geaggregeerd rapport, (3) machts­misbruik werkgever (toegang die niet had gemoeten), (4) function creep (data ingezet voor nieuw doel). Per risico: waarschijnlijkheid × impact.
  6. Beheers­maatregelen. Voor elk risico minstens één concrete maatregel: encryptie at-rest/in-transit, drempel-aggregatie ≥ 15 deelnemers, role-based access met audit-trail, verwerker­overeenkomst (DPA) inclusief sub-processors lijst, periodieke heroverweging.
  7. Stakeholder-consultatie. De FG (Functionaris Gegevensbescherming) advies vragen — verplicht indien aanwezig. OR consulteren is sterk aanbevolen. Een willekeurig sample medewerkers (5-10) interviewen geeft de meeste leereffect.
  8. Restrisico-evaluatie + beslis­moment. Als restrisico hoog blijft (na maatregelen): voorafgaande raadpleging AP. In de praktijk is dit zelden nodig als drempel-aggregatie en uitdrukkelijke toestemming zijn ingebouwd.

De vier meest gemaakte fouten

  • "De leverancier heeft een DPIA dus wij hoeven niet." Onjuist. De leverancier doet zijn eigen DPIA als verwerker; jij bent verwerkings­verantwoordelijke en moet je eigen verwerking toetsen.
  • Toestemming "verstopt" in arbeids­contract. Niet vrij, niet specifiek, niet aantoonbaar herroepbaar. Een toestemming­vraag binnen de tool zelf, met "Ik weiger" als gelijkwaardige knop, voldoet wel.
  • Drempel-aggregatie te laag instellen (5-10). In kleine teams (15-25 medewerkers) is herleidbaarheid bij N=5 nog reëel — vooral als één team duidelijk anders presteert. Minimaal 15 is praktijkstandaard.
  • Geen evaluatie­moment. Een DPIA is levend. Plan eens per 12 maanden een review; bij feature-wijziging direct.

De praktische snel-template

Een werkbare DPIA past op 6-8 bladzijden. Sectie­indeling:

  1. Doelomschrijving (½ blz)
  2. Rechtsgrond en grondrechten (1 blz)
  3. Data-mapping (1 blz, met diagram)
  4. Risico-matrix (1-2 blz)
  5. Beheers­maatregelen (1-2 blz)
  6. Consultatie­verslag (½ blz)
  7. Conclusie + beslissings­bevoegdheid (½ blz)

Doorlooptijd bij voorbereide template: 2-3 werkweken inclusief OR-consultatie. Niet de drie maanden die HR vaak vreest.

Drie veelgestelde vragen

  • "Moet ik de DPIA publiceren?" Niet verplicht, wel sterk aanbevolen. Een toegankelijke samenvatting (1-2 blz) op intranet versterkt vertrouwen en voldoet aan Art. 12 transparantie­verplichting.
  • "Wat als een werknemer toestemming intrekt?" Direct stoppen met verwerking voor die werknemer. Geen consequenties (geen invloed op beoordeling). Historische geaggregeerde data blijft, individuele data verwijderen binnen 30 dagen.
  • "Hoe lang bewaar ik de DPIA?" Zolang de verwerking loopt + 5 jaar na beëindiging (verjarings­termijn aansprakelijkheid).

Voor werkgevers die een welzijns-platform overwegen en de DPIA-stap willen versnellen: Arpsy Pro levert een DPIA-template als onderdeel van de pilot-onboarding, inclusief data­mapping diagram en risico-matrix specifiek voor het Arpsy Pro-verwerkingsmodel. Vraag de template aan of bekijk de pilot.