Privacywetgeving vereist in bepaalde gevallen een voorafgaand onderzoek naar de privacy impact van een verwerking van persoonsgegevens, een zogenaamde data protection impact assessment ("DPIA").

Organisaties moeten steeds zelf bepalen of er een verplichting bestaat. De Algemene verordening gegevensbescherming ("AVG") vereist een DPIA wanneer een verwerking "waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen". Deze beoordeling is niet eenvoudig te maken omdat onduidelijk is wat precies wordt verstaan onder een hoog risico. De AVG noemt een aantal voorbeelden van verwerkingen met een hoog risico. Daarnaast geven de Richtlijnen van de Artikel 29 Werkgroep over DPIA's meer uitleg. Deze Richtlijnen bevatten negen criteria, die, wanneer aan twee wordt voldaan leiden tot de conclusie dat een DPIA moet worden uitgevoerd.

De negen criteria van de Richtlijnen:

1. Evaluatie of scoretoekenning
2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
3. Stelselmatige monitoring
4. Op grote schaal verwerkte gegevens
5. Gevoelige gegevens of gegevens van zeer persoonlijke aard
6. Matching of samenvoeging van datasets
7. Gegevens met betrekking tot kwetsbare betrokkenen
8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen; en
9. Wanneer als gevolg van de verwerking zelf "betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst".  
   
   

Toezichthouder geeft voorbeelden
Recent heeft de Autoriteit Persoonsgegevens een lijst van soorten verwerkingen opgesteld waarvoor het uitvoeren van een DPIA verplicht is. Op deze lijst staan: verwerkingen in het kader van heimelijk onderzoek of zwarte lijsten, grootschalige en/of systematische verwerkingen in het kader van fraudebestrijding, kredietwaardigheid, financiële situatie, cameratoezicht, controle van werknemers, profileringen of observatie/beïnvloeding van gedrag (incl. online behavioural advertising) en grootschalige/systematische verwerkingen van genetische persoonsgegevens, gezondheidsgegevens, locatiegegevens, communicatiegegevens of gegevens uit 'internet of things'- toepassingen.

Controle lijsten toezichthouders
Ook de overige toezichthouders in de EU hebben een eigen lijst met voorbeelden gepubliceerd. Met het doel een geharmoniseerde aanpak te creëren heeft de European Data Protection Board ("EDPB") de lijsten van de verschillende toezichthouders (marginaal) gecontroleerd. In haar opinies maakt de EDPB duidelijk dat de lijst met voorbeelden niet uitputtend is en slechts een uitwerking betreft van de Richtlijnen van de Artikel 29 Werkgroep over DPIA's. De EDPB benadrukt het belang van de bovengenoemde negen criteria uit de Richtlijnen. Zij geeft aan dat het enkele feit dat een bepaald type persoonsgegeven wordt verwerkt niet voldoende is omdat ten minste aan twee criteria uit de lijst moet worden voldaan.  Ook benadrukt de EDPB dat voor de beoordeling van de vraag of sprake is van een verwerking op grote schaal gekeken moet worden naar de criteria uit de Richtsnoeren (aantal betrokkene, volume gegevens, duur, geografische omvang).

Conclusie 
Met de adviezen van de EDBP is de beoordeling of een PIA vereist is er niet makkelijker op geworden. Of sprake is van een hoog risico blijft steeds afhankelijk van de specifieke omstandigheden van het geval. Voor de beoordeling blijven de negen criteria uit de Richtlijnen van de Artikel 29 Werkgroep over DPIA's richtinggevend.