Skip to main content

Model DPIA Rijksdienst 2.0; what’s new?

| IB&P | ,

De Rijksoverheid is verplicht om bij de ontwikkeling van nieuwe wetgeving rekening te houden met de resultaten van een Data Protection Impact Assessment (DPIA); ook wel Gegevensbeschermingseffectbeoordeling (GEB) genoemd. Dit is een onderzoek naar de effecten van de wetgeving op de gegevensbescherming van burgers. De template van de DPIA Rijksoverheid is geactualiseerd. Wat is er veranderd? In deze blog zet ik het op een rij.

Het huidige DPIA-model

Door het uitvoeren van een DPIA wordt de bescherming van persoonsgegevens gewaarborgd bij de belangenafweging en besluitvorming van (nieuw) beleid, regelgeving en/of (ICT-)projecten. Dit verhoogt de kwaliteit van de besluitvorming. Eind september 2017 is voor de Rijksoverheid een standaard DPIA-model vastgesteld: het model Gegevensbeschermingseffectbeoordeling Rijkdienst (PIA). Dit model beoogt het proces voor een DPIA binnen de Rijksoverheid zoveel mogelijk te standaardiseren en de verantwoordelijke voor het uitvoeren van de DPIA een bruikbaar hulpmiddel te bieden. Het model voldoet aan de eisen die aan een DPIA-model gesteld worden vanuit de AVG en kan als voorbeeld dienen voor het uitvoeren van DPIA’s binnen verschillende departementen, maar is ook buiten de Rijksoverheid toepasbaar. Het huidige model bestaat uit drie onderdelen:

  1. Het proceskader; hierin wordt o.a. beschreven wat een DPIA is, hoe en wanneer je een DPIA moet uitvoeren, wie er verantwoordelijk is voor het uitvoeren ervan en welke stappen moeten worden doorlopen.
  2. Het model; dit is gebaseerd op het nieuwe rapportagemodel en dient als leidraad voor het opstellen van een DPIA. Alle verplichte aspecten worden hierin opgesomd met vragen die beantwoord moeten worden.
  3. De toelichting; in de toelichting wordt ieder punt uit het model toegelicht. Ook worden (juridische) definities uitgelegd en aansprekende voorbeelden gegeven. Zo wordt bijvoorbeeld uitgelegd wat persoonsgegevens zijn.

Waarom actualiseren?

Privacy Officers vanuit verschillende departementen hebben aangegeven dat het goed is om het huidige model te actualiseren. Hierbij gaat het met name om aanpassingen waardoor het document beter en makkelijker te gebruiken is. Samen met de Privacy Officers binnen CIO Rijk en de Privacy Officer Rijk (PAR) is er uiteindelijk besloten om het model te actualiseren. Om te bepalen wat er precies aangepast moet worden, hebben er interviews plaatsgevonden met de primaire gebruikers van het huidige model. Hier zijn allerlei verbetervoorstellen uit naar voren gekomen. Vervolgens is het adviesbureau Considerati gevraagd een toets uit te voeren op het huidige Rijksmodel PIA en om aanvullend advies te geven. Om dit hele proces te begeleiden, is een begeleidingscommissie aangesteld.

Wat is er veranderd?

Op basis van de interviews met de primaire gebruikers en het advies van Considerati, is een selectie verbeteringen opgesteld en vastgesteld door de begeleidingscommissie. Hieronder een samenvatting van de belangrijkste wijzigingen:

Algemeen

  • De naam van het Rijksmodel PIA is veranderd in ‘Model DPIA Rijksdienst’
  • Vanaf nu is DPIA de officiële benaming voor dergelijke beoordelingen binnen het Rijk en dus niet meer PIA of GEB.
  • Juridische definities worden zo simpel en helder mogelijk uitgelegd en in begrijpelijkere taal geschreven.
  • Waar van toepassing zijn er meer verwijzingen naar relevante artikelen in de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).

Wijzigingen ‘Proceskader’

  • Er is een verwijzing toegevoegd naar de DPIA prescan. Logisch, want die doe je eerst om te kijken of er een DPIA gedaan moet worden.
  • Net als bij de DPIA prescan is ter verantwoording en goedkeuring een plek voor ondertekening door de verwerkingsverantwoordelijke toegevoegd.
  • De verplichte ondertekening van de CIO is eruit gehaald. Reden hiervoor is dat niet bij ieder proces, beleid of wet- en regelgeving de CIO betrokken is.
  • Er wordt benadrukt dat de security en privacy officer, betrokken moeten worden bij het uitvoeren van de DPIA.
  • Er is een mogelijkheid opgenomen om te toetsen of er wordt voldaan aan transparantieverplichting, een van de belangrijkst beginselen uit de AVG.
  • Middels een afbeelding wordt gevisualiseerd hoe het proces van een DPIA eruitziet. Ook om aan te duiden dat het een continu proces is.
  • Het stappenplan voor een DPIA is aangepast.

Wijzigingen ‘Invulmodel’

  • De naam ‘invulmodel’ is veranderd naar ‘rapportagemodel’. Het document dient namelijk als rapportage.
  • In tegenstelling tot het invulmodel, is het rapportagemodel een gemakkelijk te veranderen document. Zo zijn afbeeldingen en voorbeeldtabellen gemakkelijker toe te voegen en/of te verwijderen.
  • Ook het gebruik van tekstvlakken is aangepast, hierdoor zijn er geen beperkingen meer met betrekking tot het toevoegen van tekst.
  • Bij ieder onderwerp in het model zijn heldere voorbeelden toegevoegd.

Wijzigingen ‘Toelichting’

  • Er is een vaste schaal (laag – gemiddeld – hoog) voor het formuleren van de risico-inschatting toegevoegd.
  • Er zijn voorbeeldtabellen toegevoegd waarin je per risico kunt aangeven wat de maatregelen en de restrisico’s zijn en wie hier verantwoordelijk voor is.
  • Er is een beslisboom toegevoegd om de AVG-rol van de organisatie te bepalen. Dit omdat niet altijd even duidelijk is welke AVG-rol de organisatie heeft bij de gegevensverwerking, zijn zij verwerkingsverantwoordelijke of niet? Deze beslisboom maakt het makkelijker om tot een besluit te komen.
  • Een van onderwerpen is ‘Technieken en methoden’. Omdat het document verouderd was, is dit onderdeel uitgebreid met nieuwe voorbeelden, zoals kunstmatige intelligentie (AI) en het gebruik van algoritmen.

Wijzigingsbeheer op versie 2.0

Kortom, veel veranderingen. Een vraag die tijdens dit proces ook opkwam is hoe om te gaan met toekomstige aanpassingen? Wanneer veranderen we iets en wie mag er dan iets veranderen? Om hier duidelijkheid in te verschaffen is het beheer voortaan als volgt geregeld: de begeleidingscommissie heet voortaan Change Advisory Board (CAB). Zij beheren samen met het PAR-team het Model DPIA Rijksdienst 2.0. Toekomstige verzoeken tot wijzigingen worden door beide organen beheerd en in gezamenlijkheid afgestemd. Voordeel hiervan is dat je sneller veranderingen aan kunt brengen indien nodig. De CAB geeft goedkeuring voor aanpassingen. Echt significante wijzigingen gaan naast het CAB ook via het CIO-beraad (meer ogenprincipe).

Meer informatie?

De nieuwe versie moet nog gepubliceerd worden, houd hiervoor de website van de Rijksoverheid in de gaten. Ben je benieuwd naar meer toelichting, bekijk dan ook de webinar van het CIP hierover. Vanaf minuut 18 wordt daar het nieuwe model besproken. Heb je na het lezen van deze blog vragen op dit vlak? Laat ons dit dan weten en neem contact met ons op.  

IB&P

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Inzicht in je risico’s: onmisbaar voor elke gemeente

In de digitale wereld is het beschermen van informatie en het beheren van risico’s cruciaal, ook voor gemeenten. Waarom dit belangrijk is en hoe je dit aanpakt, lees je in deze blog.

Rapportage Datalekken AP 2023

Te veel organisaties in Nederland die worden getroffen door een cyberaanval, waarschuwen betrokkenen niet dat hun gegevens in verkeerde handen zijn gevallen’. Dit blijkt uit het jaarlijkse overzicht van datalekmeldingen in Nederland van de Autorit…

Wat is de rol van de Privacy Officer bij BCM?

Het is belangrijk dat de dienstverlening van de gemeente altijd doorgaat, ook in het geval van een incident of calamiteit. Dit noemen we bedrijfscontinuïteit. Nu is de vraag: wat is de rol van de Privacy Officer hierbij? Is dat alleen om de wet na…

De rol van de proceseigenaar bij BCM

Net zoals elke organisatie, kan een gemeente te maken krijgen met incidenten die de continuïteit van de dienstverlening in gevaar kunnen brengen. BCM is daarom een term die je steeds vaker hoort binnen gemeenten. Vooral proceseigenaren spelen hier…

Hoe kunnen functioneel beheerders en Privacy Officers elkaar ondersteunen?

De implementatie van de AVG of Wpg is niet uitsluitend de verantwoordelijkheid van de Privacy Officer. Het is een samenspel van diverse medewerkers uit verschillende vakgebieden, waaronder de functioneel beheerder. Hoe kunnen functioneel beheerder…

Hoe kun je contractmanagement implementeren?

: Contractmanagement zorgt ervoor dat alle afspraken en verplichtingen in een zakelijk contract goed worden nageleefd en beheerd, vanaf het moment dat het contract wordt ondertekend tot het einde ervan. Maar wat houdt contractmanagement eigenlijk …