Aan de Voorzitter van de Eerste Kamer der Staten-Generaal

Den Haag, 6 juli 2016

Hierbij stuur ik u, mede namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Veiligheid en Justitie, het onderzoeksrapport «Evaluatie Toetsmodel PIA Rijksdienst»1. Bij de aanbieding van het Toetsmodel PIA Rijksdienst (brief van 21 juni 2013, Kamerstukken II 2012/13, 26 643, nr. 282 herdruk) heb ik gezegd dat het Toetsmodel vanaf 1 september 2013 verplicht wordt toegepast bij ontwikkeling van nieuwe wetgeving en systemen die zien op de verwerking van persoonsgegevens. Met het Toetsmodel is uitvoering gegeven aan de motie-Franken (Kamerstukken I 2010/11, 31 051, D), het regeerakkoord «Bruggen Slaan» (Regeerakoord VVD-PvdA, 29 oktober 2012, p28) en maatregelen die in de i-Strategie van de rijksoverheid (Kamerstukken II 2011/12, 26 643, nr. 216, p. 10) zijn aangekondigd ter versterking van de aandacht voor privacy bij grote ICT-projecten. In mijn eerdere brief heb ik tevens aangekondigd dat het gebruik van het Toetsmodel binnen twee jaar na inwerkingtreding zal worden geëvalueerd. Deze evaluatie heeft plaatsgevonden en het evaluatierapport treft u bijgaand aan. Het onderzoek is uitgevoerd door Privacy Management Partners in opdracht van de directie Constitutionele Zaken en Wetgeving van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en is op 20 mei jl opgeleverd. Op 30 mei jl. is het rapport door de onderzoekers gepresenteerd tijdens een bijeenkomst in aanwezigheid van circa 80 ambtenaren van diverse departementen en andere, externe deskundigen. Het onderzoek heeft de ervaringen van gebruikers met en hun waardering voor het Toetsmodel in kaart gebracht.

De onderzoekers concluderen het Toetsmodel PIA Rijksdienst richtinggevend en corrigerend werkt, zij het nog in beperkte mate. Het Toetsmodel heeft een positieve invloed op privacybewustzijn en behoorlijke, zorgvuldige en rechtmatige verwerking van persoonsgegevens. In sommige gevallen wordt een project stopgezet, vaker worden de verwerkingen van gegevens verbeterd of met meer waarborgen omkleed. Het komt echter ook voor dat een PIA vooral als administratieve last wordt beschouwd, of dat aanbevelingen sneuvelen onder politieke of bestuurlijke druk. Inhoudelijke verbeteringen aan het Toetsmodel kunnen de effectiviteit ervan verbeteren; voor het goed uitvoeren van een PIA is privacydeskundigheid echter onontbeerlijk. De onderzoekers concluderen voorts dat het Toetsmodel qua inhoud en proces nog kan verbeteren. De belangrijkste concrete verbeterpunten zijn het verminderen van juridisch taalgebruik, het scheiden van PIA’s voor wetgeving en beleid en PIA’s voor processen en systemen, en het ontwikkelen van een interactieve digitale versie van het Toetsmodel en bevorderen van privacydeskundigheid. Qua proces blijkt een belangrijk knelpunt het tijdig uitvoeren van de PIA. Debet hieraan is gebrek aan duidelijkheid over het proces. Uit de evaluatie blijkt tevens dat de PIA-benadering van het Toetsmodel zich goed blijkt te verhouden tot de AVG. Er zijn in die benadering dan ook geen fundamentele wijzigingen benodigd. Wel brengt de AVG enkele aandachtspunten met zich mee voor een volgende versie van het Toetsmodel en voor het proces daaromheen. Het betreft onder meer de vraag wanneer een PIA verplicht is en wanneer de Functionaris voor de Gegevensbescherming moet worden geconsulteerd.

In de komende maanden wordt door het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties, in samenwerking met andere departementen, bezien hoe de negen aanbevelingen die in het evaluatierapport zijn opgenomen, kunnen worden verwerkt in een nieuwe versie van het Toetsmodel PIA Rijksdienst.

De Minister voor Wonen en Rijksdienst, S.A. Blok