diff --git a/docs/vereisten/dpia_verplicht_bij_hoog_risico.md b/docs/vereisten/dpia_verplicht_bij_hoog_risico.md
index eb3b808d51..44ed95d46f 100644
--- a/docs/vereisten/dpia_verplicht_bij_hoog_risico.md
+++ b/docs/vereisten/dpia_verplicht_bij_hoog_risico.md
@@ -37,6 +37,19 @@ Een Gegevensbeschermingseffectbeoordeling (GEB) of Data Protection Impact Assess
 Deze beoordeling identificeert en beperkt potentiële risico's en zorgt ervoor dat passende maatregelen worden genomen om de privacy van individuen te beschermen. 
 Deze verplichting draagt bij aan een zorgvuldige en verantwoorde omgang met persoonsgegevens in AI-systemen en algoritmes, waardoor de privacy van individuen wordt gewaarborgd.
 
+Let op: de DPIA verplichting is niet gebaseerd op de hoog-risico criteria uit de AI-act. Volgens [Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens](https://wetten.overheid.nl/BWBR0042812/2019-11-27) moet voor het uitvoeren van een DPIA in ieder geval uitgegaan worden van een hoog risico als er sprake is van één van de volgende voorwaarden:
+ 1. Evaluatie of scoretoekenning
+ 2. Geautomatiseerde besluitvorming met rechtsgevolg of vergelijkbaar wezenlijk gevolg
+ 3. Stelselmatige monitoring
+ 4. Gevoelige gegevens of gegevens van zeer persoonlijke aard
+ 5. Op grote schaal verwerkte gegevens
+ 6. Matching of samenvoeging van datasets
+ 7. Gegevens met betrekking tot kwetsbare betrokkenen
+ 8. Innovatief gebruik of innovatieve toepassing van nieuwe technologische of organisatorische oplossingen
+ 9. de situatie waarin als gevolg van de verwerking zelf "betrokkenen [...] een recht niet kunnen uitoefenen of geen beroep kunnen doen op een dienst of een overeenkomst";
+
+Het is mogelijk dat algoritmes die niet aan één of meer van deze eigenschappen voldoen toch voor een potentieel hoog risico zorgen. 
+
 Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die informatie op grond van artikel 13 AI Verordening om hun verplichting na te komen om een gegevensbeschermingseffectbeoordeling uit te voeren. 
 
 ## Bronnen 
@@ -45,6 +58,7 @@ Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die inf
 |-----------------------------|
 |[Artikel 35 Algemene Verordening Gegevensbescherming](https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32016R0679) |
 |[Artikel 26(9) Verordening Artificiële Intelligentie](https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138-FNL-COR01_NL.pdf) |
+|[Besluit lijst verwerkingen persoonsgegevens waarvoor een gegevensbeschermingseffectbeoordeling (DPIA) verplicht is, Autoriteit Persoonsgegevens](https://wetten.overheid.nl/BWBR0042812/2019-11-27) |
 
 ## Wanneer van toepassing? 
 
@@ -69,7 +83,7 @@ Gebruiksverantwoordelijken van AI-systemen met een hoog risico gebruiken die inf
 ## Risico 
 
 Het niet evalueren van de impact van het verwerking van persoonsgegevens in AI-systemen en algoritmes kan resulteren in het niet onderkennen van de bijbehorende risico's  en het niet op tijd te mitigieren van deze risico's.
-Dit kan leiden tot potentiële schendingen van de rechten en vrijheden van betrokkenen.
+Dit kan leiden tot potentiële schendingen van de rechten en vrijheden van betrokkenen en een onrechtmatige verwerking.
 
 ## Maatregelen