DPIA publicatie
Model DPIA Rijksdienst
Het Model DPIA Rijksdienst bestaat uit drie onderdelen. Het eerste deel geeft een algemene inleiding op het instrument model DPIA Rijksdienst en beschrijft het proces van het uitvoeren van een DPIA.
Het tweede deel bevat het model om een DPIA uit te voeren bestaande uit 17 punten.
In het derde deel wordt per punt van het model een toelichting gegeven, uitgesplitst naar een DPIA van regelgeving en gegevensverwerkingen van het Rijk Dit model wordt gebruikt in de Rijksdienst.
Organisaties kunnen dit model voor de eigen organisatie aanvullen met organisatie specifieke elementen. Door dergelijke elementen toe te voegen, kan het instrument beter toegesneden worden op het eigen organisatieonderdeel en wordt het daarmee beter bruikbaar.
Naast het model DPIA Rijksdienst kan binnen de Rijksdienst ook gebruik worden gemaakt van het instrument rapportagemodel DPIA Rijksdienst; het rapportagemodel kan worden gebruikt als sjabloon voor een DPIA-rapportage. Hierin komen de 17 punten naar voren die in het model worden genoemd.
De opsteller van een DPIA-rapportage gebruikt het rapportagemodel samen met het model DPIA Rijksdienst om efficiënt een DPIA-rapportage op te stellen.
Een DPIA moet volgens het model worden uitgevoerd bij:
- de ontwikkeling van beleid en regelgeving die betrekking hebben op verwerkingen van persoonsgegevens of waaruit verwerkingen van persoonsgegevens voortvloeien;
- wanneer sprake is van een verplichting op basis van departementaal beleid of;
- voorgenomen verwerkingen van persoonsgegevens die waarschijnlijk een hoog risico inhouden voor de rechten en vrijheden van betrokkenen (artikel 35 van de Algemene verordening gegevensbescherming).
In de Algemene verordening gegevensbescherming is vastgelegd welke ruimte je hebt bij het verzamelen en verwerken van persoonsgegevens. Voor de beantwoording van de vraag of de beperkingen op het grondrecht tot bescherming van de persoonlijke levenssfeer gerechtvaardigd zijn, dient de voorgenomen regelgeving te worden getoetst aan de noodzaak, effectiviteit en hanteerbaarheid van de maatregel.
Daarnaast is de proportionaliteit van belang: de inbreuk mag niet groter zijn dan strikt noodzakelijk is.
Leg voorgenomen wet- en regelgeving ter advisering voor aan de Autoriteit Persoonsgegevens indien sprake is van verwerking (zie artikel 36, vierde lid, van de Algemene verordening gegevensbescherming).
In 2021 is het Rijksmodel PIA Rijksdienst geactualiseerd.
De belangrijkste wijzigingen zijn als volgt samen te vatten:
- De benaming ‘Rijksmodel PIA Rijksdienst’ is veranderd naar ‘Model DPIA Rijksdienst’.
- Waar nodig is de toelichting in begrijpelijkere taal geschreven, met behoud van de juridische juistheid.
- Verplichte ondertekening door de CIO is geschrapt van het voorblad.
- Tekstblokken zijn verwijderd, zodat geen beperking aanwezig is wat betreft het schrijven van tekst.
- Voorbeeldtabellen zijn toegevoegd, waar van toepassing, zodat deze direct en gemakkelijk gebruikt kunnen worden.
- Vragen zijn gewijzigd om te verduidelijken wat wordt gevraagd per onderdeel.
- Inleiding uitgebreid ter verduidelijking wat de relatie is tussen alle documenten van het Rijksmodel DPIA.