Privacywerk is voor een groot deel terugkerend, gestructureerd werk: bepalen of een DPIA nodig is, die DPIA uitvoeren, hem laten toetsen, en de uitkomst in het verwerkingsregister borgen. Steeds dezelfde structuur, steeds opnieuw in Word eromheen werken. Daar is dit project op gericht: de 80% standaardwerk wegnemen, zodat de FG en de jurist zich op de echte vragen kunnen richten.
Op privacybased.com/tools staat nu de volledige set — vier tools die op elkaar aansluiten:
1. Pre-DPIA — heb je een DPIA überhaupt nodig?
Een quickscan op de 17 categorieën uit het besluit van de Autoriteit Persoonsgegevens en de 9 risico-indicatoren uit de WP29-richtsnoeren. Onderbouwde conclusie + PDF. Ook een gemotiveerde “nee” is een verplichte uitkomst — die hoort thuis in het register.
2. Volledige DPIA — Rijksmodel met ingebakken risicoanalyse
De drie blokken van het Rijksmodel, met de ISO/IEC 27005-risicoanalyse direct in de tool: per dreiging asset, aard (CIA), kwetsbaarheid, kans × impact, behandeling, maatregelen en restrisico. Scoort iets te hoog of blijft het restrisico hoog, dan wijst de tool op de voorafgaande raadpleging bij de AP (AVG art. 36).
3. FG-Toetsingskader DPIA — een primeur
Voor zover ik heb kunnen nagaan is dit de eerste online implementatie van het FG-Toetsingskader DPIA van het Ministerie van Justitie en Veiligheid (Bureau FG JenV en AenM, v1.0, december 2025). Je beoordeelt een DPIA langs de 4 blokken en 15 categorieën van het kader, elk op een 5-puntsschaal, en krijgt een rapportage-PDF met aanbevelingen. Bedoeld voor FG's en privacy officers die DPIA's gestructureerd en navolgbaar willen toetsen — precies zoals het kader het bedoelt, maar dan zonder handwerk.
4. Verwerkingsregister (ROPA) — nieuw
De rechte AVG art. 30-uitwerking: gegevens van de verwerkingsverantwoordelijke één keer invullen, daarna onbeperkt verwerkingen toevoegen (automatisch bewaard), en exporteren als nette register-PDF of als CSV om in Excel of een GRC-tool te importeren.
Wat het wél en niet is
Wel: een navolgbare structuur, een correcte papier-trail en presentabele PDF's voor je dossier. Gebaseerd op publieke bronnen — het besluit van de AP, WP29/EDPB-richtsnoeren, het Rijksmodel DPIA, ISO/IEC 27005 en het FG-Toetsingskader van het Ministerie van J&V.
Niet: juridisch advies. Voor verwerkingen met hoog risico of in twijfelgevallen blijf je de FG raadplegen.
Praktisch
Geen account, geen registratie. Je antwoorden blijven lokaal in je browser tot je expliciet de PDF downloadt. Bij het downloaden vraag ik je e-mailadres — niet om iets te versturen, maar om te weten welke organisaties de tools gebruiken en waar ze tegenaan lopen.
Probeer ze op privacybased.com/tools en laat me weten wat ontbreekt of beter kan. De volgende verfijningsronde komt op basis van jullie feedback.
— Hans Leemans
PrivacyBased — specialist informatiebeveiliging & privacy