In een aantal gevallen schrijft de AVG voor, dat een organisatie een zogenaamde DPIA (Data Protection Impact Assessment) uitvoert. Een DPIA is een instrument om vooraf de privacyrisico’s van een gegevensverwerking in kaart te brengen. Dat kan bijvoorbeeld het geval zijn als gebruik wordt gemaakt van nieuwe technologie. Met de uitkomst van een DPIA kunnen de juiste (gepaste) maatregelen worden genomen om de risico’s te verkleinen. Ook kan de uitkomst zijn dat de impact op de privacy te groot is of de risico’s dermate groot dat afgezien moet worden van de verwerking. Hoewel het niet wettelijk verplicht is om de DPIA te publiceren, wordt het wel aangeraden omdat dit de transparantie vergroot en het vertrouwen in de organisatie kan versterken.