Model DPIA Rijksdienst 2.0; what’s new?

| Renco Schoemaker | ,

De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een Data Protection Impact Assessment (DPIA); ook wel Gegevensbeschermingseffectbeoordeling (GEB) genoemd. Dit is een onderzoek naar de effecten van de wetgeving op de gegevensbescherming van burgers. De template van de DPIA Rijksoverheid is geactualiseerd. Wat is er veranderd? In deze blog zet ik het op een rij.

Het huidige DPIA-model

Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd bij de belangenafweging en besluitvorming van (nieuw) beleid, regelgeving en/of (ICT-)projecten. Dit verhoogt de kwaliteit van de besluitvorming. Eind september 2017 is voor de Rijksoverheid een standaard DPIA-model vastgesteld: het model Gegevensbeschermingseffectbeoordeling Rijkdienst (PIA). Dit model beoogt het proces voor een DPIA binnen de Rijksoverheid zoveel mogelijk te standaardiseren en de verantwoordelijke voor het uitvoeren van de DPIA een bruikbaar hulpmiddel te bieden. Het model voldoet aan de eisen die aan een DPIA-model gesteld worden vanuit de AVG en kan als voorbeeld dienen voor het uitvoeren van DPIA’s binnen verschillende departementen, maar is ook buiten de Rijksoverheid toepasbaar. Het huidige model bestaat uit drie onderdelen:

  1. Het proceskader; hierin wordt o.a. beschreven wat een DPIA is, hoe en wanneer je een DPIA moet uitvoeren, wie er verantwoordelijk is voor het uitvoeren ervan en welke stappen moeten worden doorlopen.
  2. Het model; dit is gebaseerd op het nieuwe rapportagemodel en dient als leidraad voor het opstellen van een DPIA. Alle verplichte aspecten worden hierin opgesomd met vragen die beantwoord moeten worden.
  3. De toelichting; in de toelichting wordt ieder punt uit het model toegelicht. Ook worden (juridische) definities uitgelegd en aansprekende voorbeelden gegeven. Zo wordt bijvoorbeeld uitgelegd wat persoonsgegevens zijn.

Waarom actualiseren?

Privacy Officers vanuit verschillende departementen hebben aangegeven dat het goed is om het huidige model te actualiseren. Hierbij gaat het met name om aanpassingen waardoor het document beter en makkelijker te gebruiken is. Samen met de Privacy Officers binnen CIO Rijk en de Privacy Officer Rijk (PAR) is er uiteindelijk besloten om het model te actualiseren. Om te bepalen wat er precies aangepast moet worden, hebben er interviews plaatsgevonden met de primaire gebruikers van het huidige model. Hier zijn allerlei verbetervoorstellen uit naar voren gekomen. Vervolgens is het adviesbureau Considerati gevraagd een toets uit te voeren op het huidige Rijksmodel PIA en om aanvullend advies te geven. Om dit hele proces te begeleiden, is een begeleidingscommissie aangesteld.

Wat is er veranderd?

Op basis van de interviews met de primaire gebruikers en het advies van Considerati, is een selectie verbeteringen opgesteld en vastgesteld door de begeleidingscommissie. Hieronder een samenvatting van de belangrijkste wijzigingen:

Algemeen

  • De naam van het Rijksmodel PIA is veranderd in ‘Model DPIA Rijksdienst’
  • Vanaf nu is DPIA de officiële benaming voor dergelijke beoordelingen binnen het Rijk en dus niet meer PIA of GEB.
  • Juridische definities worden zo simpel en helder mogelijk uitgelegd en in begrijpelijkere taal geschreven.
  • Waar van toepassing zijn er meer verwijzingen naar relevante artikelen in de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).

Wijzigingen ‘Proceskader’

  • Er is een verwijzing toegevoegd naar de DPIA prescan. Logisch, want die doe je eerst om te kijken of er een DPIA gedaan moet worden.
  • Net als bij de DPIA prescan is ter verantwoording en goedkeuring een plek voor ondertekening door de verwerkingsverantwoordelijke toegevoegd.
  • De verplichte ondertekening van de CIO is eruit gehaald. Reden hiervoor is dat niet bij ieder proces, beleid of wet- en regelgeving de CIO betrokken is.
  • Er wordt benadrukt dat de security en privacy officer, betrokken moeten worden bij het uitvoeren van de DPIA.
  • Er is een mogelijkheid opgenomen om te toetsen of er wordt voldaan aan transparantieverplichting, een van de belangrijkst beginselen uit de AVG.
  • Middels een afbeelding wordt gevisualiseerd hoe het proces van een DPIA eruitziet. Ook om aan te duiden dat het een continu proces is.
  • Het stappenplan voor een DPIA is aangepast.

Wijzigingen ‘Invulmodel’

  • De naam ‘invulmodel’ is veranderd naar ‘rapportagemodel’. Het document dient namelijk als rapportage.
  • In tegenstelling tot het invulmodel, is het rapportagemodel een gemakkelijk te veranderen document. Zo zijn afbeeldingen en voorbeeldtabellen gemakkelijker toe te voegen en/of te verwijderen.
  • Ook het gebruik van tekstvlakken is aangepast, hierdoor zijn er geen beperkingen meer met betrekking tot het toevoegen van tekst.
  • Bij ieder onderwerp in het model zijn heldere voorbeelden toegevoegd.

Wijzigingen ‘Toelichting’

  • Er is een vaste schaal (laag – gemiddeld – hoog) voor het formuleren van de risico-inschatting toegevoegd.
  • Er zijn voorbeeldtabellen toegevoegd waarin je per risico kunt aangeven wat de maatregelen en de restrisico’s zijn en wie hier verantwoordelijk voor is.
  • Er is een beslisboom toegevoegd om de AVG-rol van de organisatie te bepalen. Dit omdat niet altijd even duidelijk is welke AVG-rol de organisatie heeft bij de gegevensverwerking, zijn zij verwerkingsverantwoordelijke of niet? Deze beslisboom maakt het makkelijker om tot een besluit te komen.
  • Een van onderwerpen is ‘Technieken en methoden’. Omdat het document verouderd was, is dit onderdeel uitgebreid met nieuwe voorbeelden, zoals kunstmatige intelligentie (AI) en het gebruik van algoritmen.

Wijzigingsbeheer op versie 2.0

Kortom, veel veranderingen. Een vraag die tijdens dit proces ook opkwam is hoe om te gaan met toekomstige aanpassingen? Wanneer veranderen we iets en wie mag er dan iets veranderen? Om hier duidelijkheid in te verschaffen is het beheer voortaan als volgt geregeld: de begeleidingscommissie heet voortaan Change Advisory Board (CAB). Zij beheren samen met het PAR-team het Model DPIA Rijksdienst 2.0. Toekomstige verzoeken tot wijzigingen worden door beide organen beheerd en in gezamenlijkheid afgestemd. Voordeel hiervan is dat je sneller veranderingen aan kunt brengen indien nodig. De CAB geeft goedkeuring voor aanpassingen. Echt significante wijzigingen gaan naast het CAB ook via het CIO-beraad (meer ogenprincipe).

Meer informatie?

De nieuwe versie moet nog gepubliceerd worden, houd hiervoor de website van de Rijksoverheid in de gaten. Ben je benieuwd naar meer toelichting, bekijk dan ook de webinar van het CIP hierover. Vanaf minuut 18 wordt daar het nieuwe model besproken. Heb je na het lezen van deze blog vragen op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

Renco Schoemaker
Laatste berichten van Renco Schoemaker (alles zien)

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.
Meer info

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Ga naar website

Meer blogs lezen

Hoe zorg je dat een SaaS-leverancier voldoet aan je beveiligingseisen?

Gemeenten besteden het beheer van software steeds vaker uit en maken hierbij gebruik van SaaS. Bij de selectie van een SaaS-leverancier is het belangrijk dat de leverancier weet wat er van hen verwacht wordt als het gaat om informatiebeveiliging. …
Verder lezen

Wat zijn de verplichtingen rondom het melden van een datalek?

Elke organisatie die persoonsgegevens verwerkt, is verplicht om een melding te maken bij de AP wanneer er zich een datalek heeft voorgedaan, zo ook gemeenten. Maar wanneer en voor welke datalekken moet je de AP informeren? En wanneer moet je het d…
Verder lezen

De ENSIA-coördinator als projectleider?

Gemeenten leggen jaarlijks verantwoording af over informatieveiligheid middels ENSIA. De uitvoering ervan wordt begeleid door de ENSIA-coördinator. Maar hoe pak je dit aan en welke vaardigheden zijn hiervoor nodig? Je leest het in deze blog.
Verder lezen

De rol van de gemeenteraad bij informatiebeveiliging en privacy

De gemeenteraad heeft een belangrijke rol om er op toe te zien dat informatiebeveiliging en privacybescherming goed wordt geborgd binnen de gemeentelijke organisatie. In deze blog lees je wat die rol inhoudt en welke taken en verantwoordelijkheden…
Verder lezen

Gemeentelijke privacy: Een blik achter de schermen

De AVG bestaat dit jaar vijf jaar. Sinds 25 mei 2018 moeten alle organisaties, waaronder gemeenten, voldoen aan de verplichtingen uit de AVG bij het verwerken van persoonsgegevens. Maar hoe is het gesteld met de privacy bij gemeenten? Hebben ze de…
Verder lezen

Hoe zet je Artificial Intelligence (AI) succesvol in?

Gemeenten maken steeds meer gebruik van AI, omdat dit ontzettend veel kansen biedt. Tegelijkertijd roept het gebruik van AI ook nieuwe vragen op. Je leest er meer over in deze blog
Verder lezen
Biblio

Blog artikelen

Nieuwsberichten

Downloads

Diensten

BIO - AVG - ENSIA

Bewustwording

Detachering

Over IB&P

Lees ons boek

CISO Pioniers

Privacy Pioniers

Contact

Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap