A data protection impact assessment should be carried out by the controller where the processing operations are likely to result in a high risk to the rights and freedoms of data subjects by virtue of their nature, scope or purposes, which should include, in particular, the measures, safeguards and mechanisms envisaged to ensure the protection of personal data and to demonstrate compliance with this Directive.
Indien verwerkingsactiviteiten op grond van hun aard, reikwijdte of doel waarschijnlijk een hoog risico voor de rechten en vrijheden van betrokkenen met zich brengen, dient de verwerkingsverantwoordelijke een gegevensbeschermingseffectbeoordeling uit te voeren, waarbij met name wordt gekeken naar de voorgenomen maatregelen, waarborgen en mechanismen voor het beschermen van persoonsgegevens en het aantonen dat aan deze richtlijn is voldaan.