Aan de Voorzitter van de Eerste Kamer der Staten-Generaal
Den Haag, 6 juli 2016
Hierbij stuur ik u, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties
en de Minister van Veiligheid en Justitie, het onderzoeksrapport «Evaluatie Toetsmodel
PIA Rijksdienst»1. Bij de aanbieding van het Toetsmodel PIA Rijksdienst (brief van 21 juni 2013, Kamerstukken
II 2012/13, 26 643, nr. 282 herdruk) heb ik gezegd dat het Toetsmodel vanaf 1 september 2013 verplicht wordt toegepast
bij ontwikkeling van nieuwe wetgeving en systemen die zien op de verwerking van persoonsgegevens.
Met het Toetsmodel is uitvoering gegeven aan de motie-Franken (Kamerstukken I 2010/11,
31 051, D), het regeerakkoord «Bruggen Slaan» (Regeerakoord VVD-PvdA, 29 oktober 2012, p28)
en maatregelen die in de i-Strategie van de rijksoverheid (Kamerstukken II 2011/12,
26 643, nr. 216, p. 10) zijn aangekondigd ter versterking van de aandacht voor privacy bij grote
ICT-projecten. In mijn eerdere brief heb ik tevens aangekondigd dat het gebruik van
het Toetsmodel binnen twee jaar na inwerkingtreding zal worden geëvalueerd. Deze evaluatie
heeft plaatsgevonden en het evaluatierapport treft u bijgaand aan. Het onderzoek is
uitgevoerd door Privacy Management Partners in opdracht van de directie Constitutionele
Zaken en Wetgeving van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
en is op 20 mei jl opgeleverd. Op 30 mei jl. is het rapport door de onderzoekers gepresenteerd
tijdens een bijeenkomst in aanwezigheid van circa 80 ambtenaren van diverse departementen
en andere, externe deskundigen. Het onderzoek heeft de ervaringen van gebruikers met
en hun waardering voor het Toetsmodel in kaart gebracht.
Daartoe zijn de onderstaande drie centrale onderzoeksvragen geformuleerd:
-
1. Vervult het Toetsmodel een richtinggevende en corrigerende functie bij het gebruik
van persoonsgegevens?
-
2. Sluit het Toetsmodel qua invulling en formulering aan bij de specifiek voor de overheid
geldende vereisten om privacyaspecten te toetsen in een vroeg stadium van beleidsontwikkeling
(in aanvulling op het bestaande instrumentarium om privacyaspecten van beleid- en
wetgeving te toetsen)?
-
3. In hoeverre behoeft het Toetsmodel aanpassing in het licht van de vereisten die aan
een PIA worden gesteld in artikel 35 van de komende Algemene Verordening Gegevensbescherming
(AVG)?
De onderzoekers concluderen het Toetsmodel PIA Rijksdienst richtinggevend en corrigerend
werkt, zij het nog in beperkte mate. Het Toetsmodel heeft een positieve invloed op
privacybewustzijn en behoorlijke, zorgvuldige en rechtmatige verwerking van persoonsgegevens.
In sommige gevallen wordt een project stopgezet, vaker worden de verwerkingen van
gegevens verbeterd of met meer waarborgen omkleed. Het komt echter ook voor dat een
PIA vooral als administratieve last wordt beschouwd, of dat aanbevelingen sneuvelen
onder politieke of bestuurlijke druk. Inhoudelijke verbeteringen aan het Toetsmodel
kunnen de effectiviteit ervan verbeteren; voor het goed uitvoeren van een PIA is privacydeskundigheid
echter onontbeerlijk. De onderzoekers concluderen voorts dat het Toetsmodel qua inhoud
en proces nog kan verbeteren. De belangrijkste concrete verbeterpunten zijn het verminderen
van juridisch taalgebruik, het scheiden van PIA’s voor wetgeving en beleid en PIA’s
voor processen en systemen, en het ontwikkelen van een interactieve digitale versie
van het Toetsmodel en bevorderen van privacydeskundigheid. Qua proces blijkt een belangrijk
knelpunt het tijdig uitvoeren van de PIA. Debet hieraan is gebrek aan duidelijkheid
over het proces. Uit de evaluatie blijkt tevens dat de PIA-benadering van het Toetsmodel
zich goed blijkt te verhouden tot de AVG. Er zijn in die benadering dan ook geen fundamentele
wijzigingen benodigd. Wel brengt de AVG enkele aandachtspunten met zich mee voor een
volgende versie van het Toetsmodel en voor het proces daaromheen. Het betreft onder
meer de vraag wanneer een PIA verplicht is en wanneer de Functionaris voor de Gegevensbescherming
moet worden geconsulteerd.
In de komende maanden wordt door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties,
in samenwerking met andere departementen, bezien hoe de negen aanbevelingen die in
het evaluatierapport zijn opgenomen, kunnen worden verwerkt in een nieuwe versie van
het Toetsmodel PIA Rijksdienst.
De Minister voor Wonen en Rijksdienst,
S.A. Blok