Forududfyldt PIA-skabelon tilpasset TBS Directive on Privacy Impact Assessment for canadiske føderale myndigheder, der implementerer AccessPoint
Last updated: July 12, 2026 by Steve
GC-privatlivskonsekvensvurdering
Denne side er et offentligt resumé af den privatlivskonsekvensvurdering (PIA), som softwareudgiveren (Realizer Services Inc.) har udarbejdet for AccessPoint, tilpasset Treasury Board of Canada Secretariat (TBS) Directive on Privacy Impact Assessment. Den dokumenterer de beholdninger af personoplysninger, informationsstrømme, privatlivsrisici og beskyttelsesforanstaltninger, der er indbygget i produktet.
Udgiverens PIA dækker de tekniske og arkitektoniske afsnit og har til formål at hjælpe canadiske føderale institutioner med at udfylde deres egen PIA. Den implementerende institution udfylder de institutionsspecifikke oplysninger (institutionsoverblik, opbevaringsplaner, aftaler om informationsdeling og godkendelse) og indsender den udfyldte PIA til TBS og Office of the Privacy Commissioner (OPC). Den fulde PIA er tilgængelig for kunder på anmodning — se den afsluttende bemærkning.
For den fulde tekniske arkitektur henvises til siden Teknisk arkitektur. For kortlægning af sikkerhedskontroller efter ITSG-33 henvises til siden GC-reference for sikkerhedskontroller.
Formål og omfang
AccessPoint er en platform til aktindsigt og forvaltning af privatliv, der hjælper offentlige institutioner med at administrere aktindsigts- og privatlivsprogrammer i overensstemmelse med Access to Information Act (ATIA), Privacy Act og tilsvarende provinsielle/internationale regelsæt. Dens primære funktion er håndtering af anmodninger om egen aktindsigt / aktindsigt — hele livscyklussen fra modtagelse via tildeling, dokumentindsamling, gennemgang, sladring og pakning af svar.
Ud over anmodningshåndtering understøtter AccessPoint også det omkringliggende privatlivsprogram: privatlivskonsekvensvurderinger (PIA/AIA/sikkerhedsvurderinger), håndtering af privatlivshændelser og -brud (herunder arbejdsgange for bruddanmeldelse), klager og anker, et privatlivsrisikoregister og forpligtelsesregister samt fortegnelser over behandlingsaktiviteter (ROPA). Disse moduler behandler yderligere kategorier af personoplysninger og er omfattet af de samme beskyttelsesforanstaltninger, roller, revisionslog og garantier for datalokalitet som kernen til anmodningshåndtering.
Forretningsproces: modtagelse (en SAO opretter anmodningen) → tildeling (varetagere modtager renset instruktion uden rekvirent-PII) → dokumentindsamling → gennemgang og sladring → pakning af svar → afslutning (opbevaringsuret begynder).
Berørte personer: rekvirenter; institutionens medarbejdere (SAO'er, administratorer), hvis handlinger registreres i revisionssporet; varetagere og bidragydere (som ikke har adgang til rekvirent-PII); tredjeparter, hvis personoplysninger kan forekomme i dokumenter under gennemgang; registrerede beskrevet på kategoriniveau i ROPA og vurderinger; personer berørt af en privatlivshændelse; klagere og klageparter; og høringskontakter.
Retligt grundlag: indsamling og brug hviler primært på ATIA (§§ 4, 6, 9, 19) og Privacy Act (§§ 4, 5, 7, 8(2)(m) samt den enkeltes ret til aktindsigt).
Fortegnelse over personoplysninger
Indsamlede og behandlede personoplysninger
| Dataelement | Følsomhed | Kilde | Formål | Lagres i |
|---|---|---|---|---|
| Rekvirentens fulde navn | Mellem | Rekvirent (via modtagelse) | Identificere rekvirent, korrespondance | Azure SQL |
| Rekvirentens e-mailadresse | Mellem | Rekvirent | E-mailkorrespondance | Azure SQL |
| Rekvirentens postadresse | Mellem | Rekvirent | Levering af svar med post | Azure SQL |
| Rekvirentens telefonnummer | Lav-mellem | Rekvirent | Telefonisk korrespondance | Azure SQL |
| Rekvirentens organisation | Lav | Rekvirent | Statistisk rapportering | Azure SQL |
| Beskrivelse af anmodning | Mellem | Rekvirent | Fastlægge søgningens omfang | Azure SQL |
| Den registreredes navn | Mellem-høj | Rekvirent (via modtagelse) | Identificere den person, anmodningen angår (kan afvige fra rekvirenten) | Azure SQL |
| Den registreredes fødselsdato | Høj | Rekvirent (via modtagelse) | Identitetsbekræftelse ved privatlivsanmodninger | Azure SQL |
| Medarbejderes navne, e-mails, Entra object-id'er | Lav | Entra ID | Brugeridentifikation, notifikationer, godkendelse, revision | Azure SQL |
| Revisionsspor (brugerhandlinger) | Lav-mellem | Systemgenereret | Ansvarlighed, regeloverholdelse | Azure SQL |
| Dokumenter under gennemgang | Potentielt høj | Institutionens dokumenter | Forberedelse af ATIA-svar | Azure Blob Storage |
| Sladrede dokumentversioner | Mellem | Systemgenereret | Pakning af svar | Azure Blob Storage |
| Attestregistreringer og e-signaturer (indtastet navn) | Lav-mellem | Varetagere | Formel godkendelse af fuldstændighed | Azure SQL |
| IP-adresser og user agent-strenge (attestering, dokumentadgang) | Lav-mellem | Systemopfanget | Retsteknisk revision af signerings-/adgangskontekst | Azure SQL |
| Rekvirentkommunikation | Mellem | SAO-personale | Korrespondanceregistreringer (retning, metode, dato, noter) | Azure SQL |
| Delegeringsregistreringer | Lav-mellem | SAO/administrator | Delegering af sagsbehandleransvar | Azure SQL |
| Høringsregistreringer og kontaktfortegnelse | Lav-mellem | SAO-personale | Høring på tværs af myndigheder eller ekstern høring | Azure SQL |
| Kontaktfortegnelse over rekvirenter | Mellem | Rekvirent / modtagelsespersonale | Genanvendelig rekvirentidentitet; anmodningen linker til en kontakt frem for at lagre PII inline | Azure SQL |
| Detaljer om berørte personoplysninger ved hændelser | Potentielt høj | Privatlivs-/ATIP-personale | Hændelsesfakta, kategorier af berørte personoplysninger, skadesvurdering, sporing af bruddanmeldelse | Azure SQL |
| Klageparter og korrespondance | Mellem | Privatlivs-/ATIP-personale | Klagers/parts identitet og klagebehandling | Azure SQL |
| Kategorier i fortegnelser over behandlingsaktiviteter (ROPA) | Lav-mellem | Privatlivspersonale | GDPR Article 30-beskrivelser efter kategori af registrerede/modtagere — ikke individuelle registreringer | Azure SQL |
| Svar på vurderingsspørgeskema | Lav-mellem | Privatlivspersonale / delegerede | PIA-/AIA-/sikkerhedsindhold; kan beskrive personoplysninger, der behandles af et program | Azure SQL |
| Microsoft 365-opfangede optegnelser (tilvalg) | Potentielt høj | Varetagerens egne M365-data | Varetageropfanget e-mail, kalender, OneNote, Teams-chats eller Copilot-interaktioner som en relevant optegnelse | Azure Blob Storage (konverterede PDF'er) |
| Hash-kædet revisionslog | Lav-mellem | Systemgenereret | Manipulationsafslørende log, der kun kan tilføjes til, over handlinger på tværs af alle moduler | Azure SQL |
Personoplysninger, der IKKE indsamles
AccessPoint indsamler eller behandler ikke: personnumre (Social Insurance Numbers); finansielle oplysninger (bankkonti, kreditkort); helbreds- eller lægejournaler som strukturerede data (de kan forekomme i dokumenter under gennemgang); biometriske data; oplysninger om strafbare forhold; lokationsdata; eller cookies/sporingsidentifikatorer.
Bemærk: IP-adresser og user agent-strenge opfanges kun i begrænsede sammenhænge (attestsignering og logning af dokumentadgang) med henblik på retsteknisk revision, som anført ovenfor. Generel browsingadfærd og device fingerprinting indsamles ikke.
Følsomme personoplysninger i dokumenter
Dokumenter, der indsamles under ATIA-processen, kan indeholde enhver kategori af personoplysninger, herunder følsomme personoplysninger om tredjeparter. AccessPoint analyserer eller indekserer ikke dokumentindhold — det lagrer, viser og understøtter sladring. Klassificering og undtagelse af personoplysninger i dokumenter foretages af uddannede SAO'er ved hjælp af de indbyggede gennemgangsværktøjer.
Microsoft 365-optagelse af optegnelser (tilvalg, styret af feature-toggle): en varetager kan optage sine egne Microsoft 365-optegnelser — Outlook-e-mail, Outlook-kalender, OneNote, Teams-chats, Microsoft Lists eller Copilot-interaktionshistorik — som en relevant optegnelse. Optagelse bruger altid den indloggede brugers egen delegerede identitet og er afgrænset til den pågældende brugers egne data (Copilot-hentning er app-only, da der ikke findes en delegeret Graph-tilladelse, men er altid afgrænset server-side til den indloggede brugers eget Entra object-id — aldrig hele tenanten). Optaget indhold gengives som en PDF og indgår i det normale gennemgangs-/sladringsforløb. Kalenderoptagelse udelader som standard elementer, der er markeret som Private/Personal/Confidential.
Analyse af strømmen af personoplysninger
| Fase | Resumé |
|---|---|
| Indsamling | Personoplysninger indsamles i henhold til ATIA § 6 (indsendelse af en anmodning kræver navn og adresse) og Privacy Act § 4 (indsamling knyttet til et driftsprogram). Kun de personoplysninger, der er nødvendige for at behandle anmodningen, indsamles — direkte fra rekvirenten og indtastet af SAO-personale. Felterne kan konfigureres af institutionen. |
| Brug | Rekvirentens personoplysninger bruges udelukkende til at behandle ATIA-/Privacy Act-anmodningen. Kun rollerne Administrator, SAO og Kontrollant kan se rekvirent-PII — Varetagere og Bidragydere ser den aldrig (håndhævet server-side af PII-filter-middleware). Der foregår ingen automatiseret beslutningstagning, profilering eller algoritmisk behandling; alle afgørelser træffes af uddannet personale. Statistiske rapporter er udelukkende aggregerede. |
| Videregivelse | Svarpakken udleveres til rekvirenten (ATIA § 7). Intern videregivelse til SAO-/Kontrollant-personale er rollestyret; Varetagere/Bidragydere modtager kun renset instruktion. E-mail- og Teams-notifikationer til varetagere/bidragydere indeholder ingen rekvirent-personoplysninger. Udgiveren modtager kun tenant-id'et (licensvalidering), notifikationsmetadata (modtagerens bruger-id, aktivitetstype, aktørens visningsnavn, anmodningsnummer, preview-/emnetekst, reference til relateret optegnelse) og installationsrapporter for konfigurationspakker — ingen rekvirent-personoplysninger. Microsoft behandler data som underdatabehandler inden for institutionens egen tenant. |
| Opbevaring og bortskaffelse | En indbygget funktion til opbevaringsgennemgang (Retention Review) anvender konfigurerbare opbevaringsperioder pr. anmodningstype. Sletning (purge) fjerner permanent anmodningsregistreringer, dokumenter, tildelinger, opgaver, attesteringer og revisionshistorik og logges i tabellen RetentionPurgeLog. Azure SQL's automatiske sikkerhedskopier opbevarer data i 7–35 dage afhængigt af niveau (konfigurerbar langtidsopbevaring). |
| Nøjagtighed | Rekvirentens personoplysninger indtastes fra den oprindelige anmodningsformular; medarbejderes personoplysninger hentes fra Entra ID og opdateres ved hver indlogning. Personoplysninger lagres som indtastet — systemet transformerer, udleder eller afleder ikke yderligere personoplysninger. |
Notifikationsvejen illustrerer kontrollen "ingen rekvirent-personoplysninger til udgiveren":
Event (e.g., assignment created)
│
▼
API Notification Dispatch Service
│
├── PII Filter: strips requestor PI for Custodian/Contributor templates
│
├──► Email: Graph Mail.Send → Institution's shared mailbox → Recipient
│ (via managed identity or institution's app registration)
│
└──► Teams: API → Realizer Platform API → Graph TeamsActivity.Send → Recipient
(sends: user ID, activity type, actor name, request number, preview text — NO requestor PI)
Vurdering af privatlivsrisici
| Risiko | Sandsynlighed | Konsekvens | Afhjælpning | Restrisiko |
|---|---|---|---|---|
| Uautoriseret adgang til rekvirent-PII | Lav | Mellem | Seks-lags RBAC med server-side håndhævelse; Varetagere/Bidragydere er arkitektonisk udelukket fra PII; Entra ID MFA; rollekontrol ved hver anmodning. | Lav |
| Brud på personoplysninger via dokumenteksponering | Lav-mellem | Mellem-høj | Kryptering i hvile (TDE, AES-256); rollebaseret autorisation; ingen offentlig dokumentadgang; sladringsværktøjer fjerner personoplysninger før pakning af svar. | Lav-mellem |
| Personoplysninger i notifikationer | Meget lav | Lav | Skabeloner til Varetagere/Bidragydere fjerner automatisk PII; SAO-notifikationer indeholder anmodningsnummeret, men ikke rekvirentens identitet; Teams-notifikationer indeholder kun notifikationstype, anmodningsnummer og opgave-/tildelingsnavn. | Meget lav |
| Overførsel af personoplysninger til udgiveren | Meget lav | Lav | Udgiveren modtager kun tenant-id'et (licens) og notifikationsmetadata — ingen personoplysninger, dokumenter eller anmodningsdetaljer — og har ingen stående adgang til institutionens Azure-ressourcer. | Meget lav |
| Personoplysninger uden for canadisk jurisdiktion | Konfigurationsafhængig | Mellem | Data lagres i institutionens Azure-abonnement i den region, den vælger (Canada Central/East anbefales); Microsoft Cloud Agreement adresserer datalokalitet. | Vurderes af institutionen |
| Utilstrækkelig opbevaring/bortskaffelse | Lav-mellem | Mellem | Indbygget opbevaringsgennemgang med konfigurerbare perioder og sletningslogning; institutionen afstemmer planer med Library and Archives Canada's dispositionshjemler. | Lav (ved korrekt konfiguration) |
| Insidertrussel (misbrug fra autoriseret bruger) | Lav | Mellem | Omfattende revisionsspor med brugertilskrivning og tidsstempler; rollebaseret adgang begrænser eksponering; administratorer styrer rolletildelinger. | Lav |
Scorer for risikoområder
I henhold til TBS' standardiserede rammeværk:
| Risikoområde | Score | Begrundelse |
|---|---|---|
| Type af program eller aktivitet | 2 | Administration af program/aktivitet (ATIA-administration) |
| Type af personoplysninger | 3 | Kontaktoplysninger og potentielt følsomme optegnelser i dokumenter |
| Programpartnere | 2 | Microsoft (underdatabehandler); Realizer (ingen adgang til personoplysninger) |
| Programmets varighed | 4 | Langsigtet/løbende lovbestemt forpligtelse |
| Programmets population | 3 | Eksterne personer, der udøver lovbestemte rettigheder |
| Overførsel af personoplysninger | 2 | Krypteret cloud-infrastruktur inden for canadisk jurisdiktion |
| Teknologi og privatliv | 2 | Standard-webapplikation — ingen AI, overvågning eller biometri |
| Potentiel indvirkning på den enkelte | 2-3 | Mulig forlegenhed eller omdømmeskade, hvis rekvirentens identitet videregives |
Samlet risikoniveau: Moderat — standard for et administrativt program, der behandler personoplysninger om eksterne personer, afhjulpet af stærke tekniske kontroller (kryptering, RBAC, PII-filtrering, datasuverænitet).
Tekniske og administrative beskyttelsesforanstaltninger
Godkendelse og adgangskontrol
| Beskyttelsesforanstaltning | Implementering |
|---|---|
| Godkendelse | Microsoft Entra ID med JWT bearer-tokens. Ingen lokale brugerkonti eller adgangskoder. |
| Multifaktorgodkendelse | Håndhæves af institutionens Entra ID Conditional Access-politikker. |
| Continuous Access Evaluation | Understøttet — tokenvalidering sker ved hver API-anmodning. |
| Rollebaseret adgangskontrol | Seks roller håndhæves server-side på alle API-endepunkter. |
| PII-filtrering | Server-side middleware fjerner rekvirentens personoplysninger fra svar for rollerne Varetager, Bidragyder og Læser; den kan ikke omgås af klienten. |
| Sessionsstyring | Tokenbaseret; levetid styres af Entra ID-politikker. |
| Første-bruger-bootstrap | Den første bruger tildeles rollerne Administrator og SAO. Der findes ingen standard- eller delte legitimationsoplysninger. |
Kryptering
| Lag | Implementering |
|---|---|
| Under transport | TLS 1.3 som minimum ved App Service-frontdøren; TLS 1.2+ på Azure SQL og Blob Storage; FTPS deaktiveret. |
| I hvile — database | Azure SQL Transparent Data Encryption (TDE) med Microsoft-administrerede nøgler. |
| I hvile — dokumenter | Azure Blob Storage AES-256-kryptering; kundeadministrerede nøgler (CMK) tilgængelige. |
| I hvile — hemmeligheder | Azure Key Vault, tilgået via managed identity. |
Netværkssikkerhed
| Beskyttelsesforanstaltning | Implementering |
|---|---|
| Kun HTTPS | Al HTTP-trafik afvises; HTTP/2 aktiveret. |
| CORS | Begrænset til institutionens SharePoint-domæne. |
| Rate limiting | 600 anmodninger/minut pr. godkendt bruger. |
| Sikkerhedsheadere | X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy. |
| Administrationsplan | SCM/FTP basic authentication deaktiveret; administration via Azure Portal med kun Entra ID + MFA. |
Overvågning og revision
| Beskyttelsesforanstaltning | Implementering |
|---|---|
| Applikationsrevisionsspor | Alle opret/opdater/slet-handlinger registreres med bruger-id, tidsstempel, ændret felt og gamle/nye værdier. |
| Manipulationsafslørende revisionslog | En hash-kædet (SHA-256) log, der kun kan tilføjes til, registrerer handlinger på tværs af alle moduler; integriteten kan verificeres server-side, og en retsklar bevispakke kan eksporteres for en anmodning. |
| Log over dokumentadgang | Preview- og downloadhændelser registreres med bruger-id, tidsstempel, IP-adresse og user agent. Kun indsættelse. |
| Log over opbevaringssletning | Alle sletningsoperationer registreres med brugertilskrivning. |
| Applikationsovervågning | Azure Application Insights opfanger HTTP-anmodninger, undtagelser og afhængighedskald (90 dages opbevaring). |
| Alarmregler | Konfigurerbare metrik-alarmer for HTTP 5xx-fejl og høj latens. |
| Log Analytics | Centraliseret loglagring med KQL-forespørgselsmulighed til sikkerhedsundersøgelser. |
Administrative beskyttelsesforanstaltninger
Administratorer tildeler roller via Indstillinger; rolleændringer træder i kraft med det samme. En Application Access Policy begrænser Mail.Send til udelukkende den udpegede delte postkasse. Konfigurationsændringer anvendes via versionerede konfigurationspakker med revisionslogning af installation. Personaletræning, politik for acceptabel brug og procedurer for brudrespons fastlægges af institutionen.
Tredjepartstjenester og datadeling
| Tjeneste | Rolle | Modtagne personoplysninger | Dataplacering |
|---|---|---|---|
| Microsoft Azure | Underdatabehandler (IaaS: App Service, SQL, Blob, Key Vault, Application Insights) | Alle applikationsdata | Institutionens Azure-region |
| Microsoft 365 | Databehandler (Graph Mail.Send, Teams-aktivitetsfeed) og, valgfrit, en kilde til varetageroptagne optegnelser |
Indhold i e-mail-/Teams-notifikationer; ved tilvalgt optagelse den pågældende varetagers eget M365-indhold | Institutionens M365-tenant |
| Realizer Services (udgiver) | Softwareudgiver — ingen databehandlerrolle for kunde-PII | Ingen — kun tenant-id + notifikationsmetadata + installationsrapporter for konfigurationspakker | Udgiverens Azure (Canada) |
| Syncfusion | Indlejret bibliotek (ikke en tjeneste) | Ingen — konvertering sker i institutionens App Service | Institutionens App Service |
Nøglepunkt: Ingen rekvirent-personoplysninger, dokumentindhold eller anmodningsdetaljer overføres til Realizer Services eller nogen ekstern part. Al dokumentbehandling (konvertering, sladring) sker i institutionens egen App Service.
Relevante Personal Information Banks
| PIB | Registreringsnummer | Beskrivelse |
|---|---|---|
| Access to Information Act and Privacy Act Requests | PSU 901 | Optegnelser vedrørende ATIP-anmodninger |
| Employee Personnel Records | PSE 901 | Medarbejderes navne og roller i revisionssporet |
Institutioner bør bekræfte relevante PIB'er, og om der kræves nye PIB'er til deres specifikke implementering.
Tilgængelighed af den fulde PIA
Den fulde privatlivskonsekvensvurdering — herunder den komplette fortegnelse over personoplysninger, detaljeret analyse af indsamling/brug/videregivelse/opbevaring/nøjagtighed, retlige hjemler og dataflowdiagrammer — er tilgængelig for kunder og potentielle kunder på anmodning. Implementerende institutioner bruger den som det tekniske og arkitektoniske grundlag for deres egen PIA og udfylder institutionsoverblik, opbevaringsplaner, aftaler om informationsdeling og godkendelse, før de indsender til TBS og Office of the Privacy Commissioner.