De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een Data Protection Impact Assessment (DPIA); ook wel Gegevensbeschermingseffectbeoordeling (GEB) genoemd. Dit is een onderzoek naar de effecten van de wetgeving op de gegevensbescherming van burgers. De template van de DPIA Rijksoverheid is geactualiseerd. Wat is er veranderd? In deze blog zet ik het op een rij.

Het huidige DPIA-model

Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd bij de belangenafweging en besluitvorming van (nieuw) beleid, regelgeving en/of (ICT-)projecten. Dit verhoogt de kwaliteit van de besluitvorming. Eind september 2017 is voor de Rijksoverheid een standaard DPIA-model vastgesteld: het model Gegevensbeschermingseffectbeoordeling Rijkdienst (PIA). Dit model beoogt het proces voor een DPIA binnen de Rijksoverheid zoveel mogelijk te standaardiseren en de verantwoordelijke voor het uitvoeren van de DPIA een bruikbaar hulpmiddel te bieden. Het model voldoet aan de eisen die aan een DPIA-model gesteld worden vanuit de AVG en kan als voorbeeld dienen voor het uitvoeren van DPIA’s binnen verschillende departementen, maar is ook buiten de Rijksoverheid toepasbaar. Het huidige model bestaat uit drie onderdelen:

1. Het proceskader; hierin wordt o.a. beschreven wat een DPIA is, hoe en wanneer je een DPIA moet uitvoeren, wie er verantwoordelijk is voor het uitvoeren ervan en welke stappen moeten worden doorlopen.
2. Het model; dit is gebaseerd op het nieuwe rapportagemodel en dient als leidraad voor het opstellen van een DPIA. Alle verplichte aspecten worden hierin opgesomd met vragen die beantwoord moeten worden.
3. De toelichting; in de toelichting wordt ieder punt uit het model toegelicht. Ook worden (juridische) definities uitgelegd en aansprekende voorbeelden gegeven. Zo wordt bijvoorbeeld uitgelegd wat persoonsgegevens zijn.

Waarom actualiseren?

Privacy Officers vanuit verschillende departementen hebben aangegeven dat het goed is om het huidige model te actualiseren. Hierbij gaat het met name om aanpassingen waardoor het document beter en makkelijker te gebruiken is. Samen met de Privacy Officers binnen CIO Rijk en de Privacy Officer Rijk (PAR) is er uiteindelijk besloten om het model te actualiseren. Om te bepalen wat er precies aangepast moet worden, hebben er interviews plaatsgevonden met de primaire gebruikers van het huidige model. Hier zijn allerlei verbetervoorstellen uit naar voren gekomen. Vervolgens is het adviesbureau Considerati gevraagd een toets uit te voeren op het huidige Rijksmodel PIA en om aanvullend advies te geven. Om dit hele proces te begeleiden, is een begeleidingscommissie aangesteld.

Wat is er veranderd?

Op basis van de interviews met de primaire gebruikers en het advies van Considerati, is een selectie verbeteringen opgesteld en vastgesteld door de begeleidingscommissie. Hieronder een samenvatting van de belangrijkste wijzigingen:

Algemeen

• De naam van het Rijksmodel PIA is veranderd in ‘Model DPIA Rijksdienst’
• Vanaf nu is DPIA de officiële benaming voor dergelijke beoordelingen binnen het Rijk en dus niet meer PIA of GEB.
• Juridische definities worden zo simpel en helder mogelijk uitgelegd en in begrijpelijkere taal geschreven.
• Waar van toepassing zijn er meer verwijzingen naar relevante artikelen in de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).

Wijzigingen ‘Proceskader’

• Er is een verwijzing toegevoegd naar de DPIA prescan. Logisch, want die doe je eerst om te kijken of er een DPIA gedaan moet worden.
• Net als bij de DPIA prescan is ter verantwoording en goedkeuring een plek voor ondertekening door de verwerkingsverantwoordelijke toegevoegd.
• De verplichte ondertekening van de CIO is eruit gehaald. Reden hiervoor is dat niet bij ieder proces, beleid of wet- en regelgeving de CIO betrokken is.
• Er wordt benadrukt dat de security en privacy officer, betrokken moeten worden bij het uitvoeren van de DPIA.
• Er is een mogelijkheid opgenomen om te toetsen of er wordt voldaan aan transparantieverplichting, een van de belangrijkst beginselen uit de AVG.
• Middels een afbeelding wordt gevisualiseerd hoe het proces van een DPIA eruitziet. Ook om aan te duiden dat het een continu proces is.
• Het stappenplan voor een DPIA is aangepast.

Wijzigingen ‘Invulmodel’

• De naam ‘invulmodel’ is veranderd naar ‘rapportagemodel’. Het document dient namelijk als rapportage.
• In tegenstelling tot het invulmodel, is het rapportagemodel een gemakkelijk te veranderen document. Zo zijn afbeeldingen en voorbeeldtabellen gemakkelijker toe te voegen en/of te verwijderen.
• Ook het gebruik van tekstvlakken is aangepast, hierdoor zijn er geen beperkingen meer met betrekking tot het toevoegen van tekst.
• Bij ieder onderwerp in het model zijn heldere voorbeelden toegevoegd.

Wijzigingen ‘Toelichting’

• Er is een vaste schaal (laag – gemiddeld – hoog) voor het formuleren van de risico-inschatting toegevoegd.
• Er zijn voorbeeldtabellen toegevoegd waarin je per risico kunt aangeven wat de maatregelen en de restrisico’s zijn en wie hier verantwoordelijk voor is.
• Er is een beslisboom toegevoegd om de AVG-rol van de organisatie te bepalen. Dit omdat niet altijd even duidelijk is welke AVG-rol de organisatie heeft bij de gegevensverwerking, zijn zij verwerkingsverantwoordelijke of niet? Deze beslisboom maakt het makkelijker om tot een besluit te komen.
• Een van onderwerpen is ‘Technieken en methoden’. Omdat het document verouderd was, is dit onderdeel uitgebreid met nieuwe voorbeelden, zoals kunstmatige intelligentie (AI) en het gebruik van algoritmen.

Wijzigingsbeheer op versie 2.0

Kortom, veel veranderingen. Een vraag die tijdens dit proces ook opkwam is hoe om te gaan met toekomstige aanpassingen? Wanneer veranderen we iets en wie mag er dan iets veranderen? Om hier duidelijkheid in te verschaffen is het beheer voortaan als volgt geregeld: de begeleidingscommissie heet voortaan Change Advisory Board (CAB). Zij beheren samen met het PAR-team het Model DPIA Rijksdienst 2.0. Toekomstige verzoeken tot wijzigingen worden door beide organen beheerd en in gezamenlijkheid afgestemd. Voordeel hiervan is dat je sneller veranderingen aan kunt brengen indien nodig. De CAB geeft goedkeuring voor aanpassingen. Echt significante wijzigingen gaan naast het CAB ook via het CIO-beraad (meer ogenprincipe).

Meer informatie?

De nieuwe versie moet nog gepubliceerd worden, houd hiervoor de website van de Rijksoverheid in de gaten. Ben je benieuwd naar meer toelichting, bekijk dan ook de webinar van het CIP hierover. Vanaf minuut 18 wordt daar het nieuwe model besproken. Heb je na het lezen van deze blog vragen op dit vlak? Laat ons dit dan weten en neem contact met ons op.