De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een Data Protection Impact Assessment (DPIA); ook wel Gegevensbeschermingseffectbeoordeling (GEB) genoemd. Dit is een onderzoek naar de effecten van de wetgeving op de gegevensbescherming van burgers. De template van de DPIA Rijksoverheid is geactualiseerd. Wat is er veranderd? In deze blog zet ik het op een rij.
Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd bij de belangenafweging en besluitvorming van (nieuw) beleid, regelgeving en/of (ICT-)projecten. Dit verhoogt de kwaliteit van de besluitvorming. Eind september 2017 is voor de Rijksoverheid een standaard DPIA-model vastgesteld: het model Gegevensbeschermingseffectbeoordeling Rijkdienst (PIA). Dit model beoogt het proces voor een DPIA binnen de Rijksoverheid zoveel mogelijk te standaardiseren en de verantwoordelijke voor het uitvoeren van de DPIA een bruikbaar hulpmiddel te bieden. Het model voldoet aan de eisen die aan een DPIA-model gesteld worden vanuit de AVG en kan als voorbeeld dienen voor het uitvoeren van DPIA’s binnen verschillende departementen, maar is ook buiten de Rijksoverheid toepasbaar. Het huidige model bestaat uit drie onderdelen:
Privacy Officers vanuit verschillende departementen hebben aangegeven dat het goed is om het huidige model te actualiseren. Hierbij gaat het met name om aanpassingen waardoor het document beter en makkelijker te gebruiken is. Samen met de Privacy Officers binnen CIO Rijk en de Privacy Officer Rijk (PAR) is er uiteindelijk besloten om het model te actualiseren. Om te bepalen wat er precies aangepast moet worden, hebben er interviews plaatsgevonden met de primaire gebruikers van het huidige model. Hier zijn allerlei verbetervoorstellen uit naar voren gekomen. Vervolgens is het adviesbureau Considerati gevraagd een toets uit te voeren op het huidige Rijksmodel PIA en om aanvullend advies te geven. Om dit hele proces te begeleiden, is een begeleidingscommissie aangesteld.
Op basis van de interviews met de primaire gebruikers en het advies van Considerati, is een selectie verbeteringen opgesteld en vastgesteld door de begeleidingscommissie. Hieronder een samenvatting van de belangrijkste wijzigingen:
Algemeen
Wijzigingen ‘Proceskader’
Wijzigingen ‘Invulmodel’
Wijzigingen ‘Toelichting’
Kortom, veel veranderingen. Een vraag die tijdens dit proces ook opkwam is hoe om te gaan met toekomstige aanpassingen? Wanneer veranderen we iets en wie mag er dan iets veranderen? Om hier duidelijkheid in te verschaffen is het beheer voortaan als volgt geregeld: de begeleidingscommissie heet voortaan Change Advisory Board (CAB). Zij beheren samen met het PAR-team het Model DPIA Rijksdienst 2.0. Toekomstige verzoeken tot wijzigingen worden door beide organen beheerd en in gezamenlijkheid afgestemd. Voordeel hiervan is dat je sneller veranderingen aan kunt brengen indien nodig. De CAB geeft goedkeuring voor aanpassingen. Echt significante wijzigingen gaan naast het CAB ook via het CIO-beraad (meer ogenprincipe).
De nieuwe versie moet nog gepubliceerd worden, houd hiervoor de website van de Rijksoverheid in de gaten. Ben je benieuwd naar meer toelichting, bekijk dan ook de webinar van het CIP hierover. Vanaf minuut 18 wordt daar het nieuwe model besproken. Heb je na het lezen van deze blog vragen op dit vlak? Laat ons dit dan weten en neem contact met ons op.
Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!
Copyright © 2014 - 2021 IB&P B.V.
algemene voorwaarden - privacyverklaring.
responsible disclosure - sitemap