Vorab ausgefüllte PIA-Vorlage, abgestimmt auf die TBS Directive on Privacy Impact Assessment, für kanadische Bundesbehörden, die AccessPoint bereitstellen
Last updated: July 12, 2026 by Steve
GC Datenschutz-Folgenabschätzung
Diese Seite ist eine öffentliche Zusammenfassung der Datenschutz-Folgenabschätzung (PIA), die vom Softwareherausgeber (Realizer Services Inc.) für AccessPoint erstellt wurde und auf die Directive on Privacy Impact Assessment des Treasury Board of Canada Secretariat (TBS) abgestimmt ist. Sie dokumentiert die Bestände personenbezogener Daten, die Informationsflüsse, die Datenschutzrisiken und die im Produkt integrierten Schutzmaßnahmen.
Die PIA des Herausgebers deckt die technischen und architektonischen Abschnitte ab und soll kanadische Bundesinstitutionen dabei unterstützen, ihre eigene PIA zu erstellen. Die bereitstellende Institution ergänzt die institutionellen Angaben (institutioneller Überblick, Aufbewahrungsfristen, Vereinbarungen zum Informationsaustausch und Freigabe) und reicht die vollständige PIA bei TBS und dem Office of the Privacy Commissioner (OPC) ein. Die vollständige PIA ist auf Anfrage für Kunden verfügbar – siehe den Schlusshinweis.
Die vollständige technische Architektur finden Sie auf der Seite Technische Architektur. Das ITSG-33-Sicherheitskontroll-Mapping finden Sie auf der Seite GC-Sicherheitskontrollen-Referenz.
Zweck und Geltungsbereich
AccessPoint ist eine Plattform für Informationszugang und Datenschutzmanagement, die staatliche Institutionen dabei unterstützt, Informationszugangs- und Datenschutzprogramme in Übereinstimmung mit dem Access to Information Act (ATIA), dem Privacy Act und gleichwertigen provinziellen/internationalen Regelungen zu verwalten. Ihre Hauptfunktion ist die Verwaltung von Anträgen auf Betroffenenauskunft/Informationszugang – der gesamte Lebenszyklus von der Erfassung über die Zuweisung, Dokumentensammlung, Prüfung und Schwärzung bis zur Antwortzusammenstellung.
Über die Antragsbearbeitung hinaus unterstützt AccessPoint auch das umgebende Datenschutzprogramm: Datenschutz-Folgenabschätzungen (PIA-/AIA-/Sicherheitsbewertungen), Management von Datenschutzvorfällen und -verletzungen (einschließlich Workflows zur Meldung von Datenschutzverletzungen), Beschwerden und Widersprüche, ein Datenschutz-Risikoregister und Verpflichtungsregister sowie Verzeichnisse von Verarbeitungstätigkeiten (ROPA). Diese Module verarbeiten zusätzliche Kategorien personenbezogener Daten und unterliegen denselben Schutzmaßnahmen, Rollen, dem Audit-Ledger und den Datenresidenz-Garantien wie der Kern der Antragsverwaltung.
Geschäftsprozess: Erfassung (ein SAO erstellt den Antrag) → Zuweisung (Custodians erhalten bereinigte Anweisungen ohne PII des Antragstellers) → Dokumentensammlung → Prüfung und Schwärzung → Antwortzusammenstellung → Abschluss (die Aufbewahrungsfrist beginnt).
Betroffene Personen: Antragsteller; Beschäftigte der Institution (SAOs, Administratoren), deren Aktionen im Audit-Trail erfasst werden; Custodians und Contributors (die keinen Zugriff auf PII des Antragstellers haben); Dritte, deren PI in geprüften Dokumenten erscheinen kann; betroffene Personen, die auf Kategorieebene in ROPA und Bewertungen beschrieben werden; von einem Datenschutzvorfall betroffene Personen; Beschwerdeführer und Beschwerdebeteiligte; sowie Konsultationskontakte.
Rechtsgrundlage: Erhebung und Nutzung stützen sich in erster Linie auf den ATIA (§§ 4, 6, 9, 19) und den Privacy Act (§§ 4, 5, 7, 8(2)(m) sowie das Auskunftsrecht des Einzelnen).
Inventar personenbezogener Daten
Erhobene und verarbeitete personenbezogene Daten
| Datenelement | Sensitivität | Quelle | Zweck | Gespeichert in |
|---|---|---|---|---|
| Vollständiger Name des Antragstellers | Mittel | Antragsteller (über Erfassung) | Antragsteller identifizieren, Korrespondenz | Azure SQL |
| E-Mail-Adresse des Antragstellers | Mittel | Antragsteller | E-Mail-Korrespondenz | Azure SQL |
| Postanschrift des Antragstellers | Mittel | Antragsteller | Postalische Zustellung der Antwort | Azure SQL |
| Telefonnummer des Antragstellers | Niedrig-Mittel | Antragsteller | Telefonische Korrespondenz | Azure SQL |
| Organisation des Antragstellers | Niedrig | Antragsteller | Statistische Berichterstattung | Azure SQL |
| Antragsbeschreibung | Mittel | Antragsteller | Suchumfang festlegen | Azure SQL |
| Name der betroffenen Person | Mittel-Hoch | Antragsteller (über Erfassung) | Die betroffene Person des Antrags identifizieren (kann vom Antragsteller abweichen) | Azure SQL |
| Geburtsdatum der betroffenen Person | Hoch | Antragsteller (über Erfassung) | Identitätsprüfung bei Datenschutzanträgen | Azure SQL |
| Mitarbeiternamen, E-Mails, Entra-Objekt-IDs | Niedrig | Entra ID | Benutzeridentifikation, Benachrichtigungen, Authentifizierung, Audit | Azure SQL |
| Audit-Trail (Benutzeraktionen) | Niedrig-Mittel | Systemgeneriert | Rechenschaftspflicht, Compliance | Azure SQL |
| In Prüfung befindliche Dokumente | Potenziell hoch | Unterlagen der Institution | Vorbereitung der ATIA-Antwort | Azure Blob Storage |
| Geschwärzte Dokumentversionen | Mittel | Systemgeneriert | Antwortzusammenstellung | Azure Blob Storage |
| Attestierungsnachweise und elektronische Signaturen (eingegebener Name) | Niedrig-Mittel | Custodians | Formale Freigabe der Vollständigkeit | Azure SQL |
| IP-Adressen und User-Agent-Strings (Attestierung, Dokumentzugriff) | Niedrig-Mittel | Systemseitig erfasst | Forensische Prüfung des Signatur-/Zugriffskontexts | Azure SQL |
| Kommunikation mit dem Antragsteller | Mittel | SAO-Personal | Korrespondenznachweise (Richtung, Methode, Datum, Notizen) | Azure SQL |
| Delegationsnachweise | Niedrig-Mittel | SAO/Administrator | Delegation der Verantwortung von Beauftragten | Azure SQL |
| Konsultationsnachweise und Kontaktverzeichnis | Niedrig-Mittel | SAO-Personal | Behördenübergreifende oder externe Konsultation | Azure SQL |
| Kontaktverzeichnis der Antragsteller | Mittel | Antragsteller / Erfassungspersonal | Wiederverwendbare Antragsteller-Identität; der Antrag verweist auf einen Kontakt, anstatt PII inline zu speichern | Azure SQL |
| Details zu vom Vorfall betroffenen PI | Potenziell hoch | Datenschutz-/ATIP-Personal | Vorfallsfakten, Kategorien betroffener PI, Schadensbewertung, Nachverfolgung der Verletzungsmeldung | Azure SQL |
| Beschwerdebeteiligte und Korrespondenz | Mittel | Datenschutz-/ATIP-Personal | Identität von Beschwerdeführern/Beteiligten und Bearbeitung der Beschwerde | Azure SQL |
| Kategorien des Verzeichnisses von Verarbeitungstätigkeiten (ROPA) | Niedrig-Mittel | Datenschutzpersonal | GDPR Article 30-Beschreibungen nach Kategorie von betroffenen Personen/Empfängern – keine Einzeldatensätze | Azure SQL |
| Antworten auf Bewertungsfragebögen | Niedrig-Mittel | Datenschutzpersonal / Delegierte | PIA-/AIA-/Sicherheitsinhalte; kann von einem Programm verarbeitete PI beschreiben | Azure SQL |
| Erfasste Microsoft 365-Datensätze (Opt-in) | Potenziell hoch | Die eigenen M365-Daten des Custodians | Vom Custodian erfasste E-Mail, Kalender, OneNote, Teams-Chats oder Copilot-Interaktionen als antwortrelevanter Datensatz | Azure Blob Storage (konvertierte PDFs) |
| Hash-verkettetes Audit-Ledger | Niedrig-Mittel | Systemgeneriert | Manipulationssicheres, ausschließlich anfügbares Ledger von Aktionen über alle Module hinweg | Azure SQL |
NICHT erhobene personenbezogene Daten
AccessPoint erhebt oder verarbeitet nicht: Sozialversicherungsnummern; Finanzinformationen (Bankkonten, Kreditkarten); Gesundheits- oder Krankenakten als strukturierte Daten (sie können in geprüften Dokumenten erscheinen); biometrische Daten; Vorstrafeninformationen; Standortdaten; oder Cookies/Tracking-Identifikatoren.
Hinweis: IP-Adressen und User-Agent-Strings werden nur in begrenzten Kontexten (Attestierungssignatur und Protokollierung von Dokumentzugriffen) zu forensischen Prüfungszwecken erfasst, wie oben aufgeführt. Allgemeines Surfverhalten und Geräte-Fingerprinting werden nicht erfasst.
Sensible personenbezogene Daten in Dokumenten
Während des ATIA-Prozesses gesammelte Dokumente können jede Kategorie personenbezogener Daten enthalten, einschließlich sensibler PI über Dritte. AccessPoint analysiert oder indexiert den Dokumentinhalt nicht – es speichert und zeigt Vorschauen an und erleichtert die Schwärzung. Die Klassifizierung und Ausnahmebehandlung von PI innerhalb von Dokumenten erfolgt durch geschulte SAOs mithilfe der integrierten Prüfwerkzeuge.
Microsoft 365-Datensatzerfassung (Opt-in, durch Feature-Toggle gesteuert): Ein Custodian kann seine eigenen Microsoft 365-Datensätze – Outlook-E-Mail, Outlook-Kalender, OneNote, Teams-Chats, Microsoft Lists oder Copilot-Interaktionsverlauf – als antwortrelevanten Datensatz erfassen. Die Erfassung verwendet stets die eigene delegierte Identität des angemeldeten Benutzers und ist auf die eigenen Daten dieses Benutzers beschränkt (der Copilot-Abruf erfolgt nur anwendungsbasiert (app-only), da keine delegierte Graph-Berechtigung existiert, ist aber serverseitig stets auf die eigene Entra-Objekt-ID des angemeldeten Benutzers beschränkt – niemals mandantenweit). Erfasste Inhalte werden in ein PDF gerendert und durchlaufen den normalen Prüf-/Schwärzungs-Workflow. Die Kalendererfassung schließt standardmäßig als Privat/Persönlich/Vertraulich markierte Elemente aus.
Analyse des Flusses personenbezogener Daten
| Phase | Zusammenfassung |
|---|---|
| Erhebung | PI werden gemäß ATIA § 6 (die Antragstellung erfordert Namen und Adresse) und Privacy Act § 4 (Erhebung im Zusammenhang mit einem laufenden Programm) erhoben. Es werden nur die zur Bearbeitung des Antrags erforderlichen PI erhoben, direkt vom Antragsteller und durch SAO-Personal eingegeben. Die Felder sind durch die Institution konfigurierbar. |
| Nutzung | PI des Antragstellers werden ausschließlich zur Bearbeitung des ATIA-/Privacy Act-Antrags verwendet. Nur die Rollen Administrator, SAO und Reviewer können PII des Antragstellers einsehen – Custodians und Contributors sehen sie niemals (serverseitig durch die PII-Filter-Middleware durchgesetzt). Es findet keine automatisierte Entscheidungsfindung, kein Profiling und keine algorithmische Verarbeitung statt; alle Entscheidungen werden von geschultem Personal getroffen. Statistische Berichte sind ausschließlich aggregiert. |
| Offenlegung | Das Antwortpaket wird dem Antragsteller bereitgestellt (ATIA § 7). Die interne Offenlegung gegenüber SAO-/Reviewer-Personal ist rollengesteuert; Custodians/Contributors erhalten ausschließlich bereinigte Anweisungen. E-Mail- und Teams-Benachrichtigungen an Custodians/Contributors enthalten keine PI des Antragstellers. Der Herausgeber erhält nur die Mandanten-ID (Lizenzvalidierung), Benachrichtigungsmetadaten (Empfänger-Benutzer-ID, Aktivitätstyp, Anzeigename des Akteurs, Antragsnummer, Vorschau-/Thementext, Verweis auf zugehörigen Datensatz) und Installationsberichte von Konfigurationspaketen – keine PI des Antragstellers. Microsoft verarbeitet Daten als Unterauftragsverarbeiter innerhalb des institutionseigenen Mandanten. |
| Aufbewahrung und Entsorgung | Eine integrierte Funktion zur Aufbewahrungsprüfung wendet konfigurierbare Aufbewahrungsfristen je Antragstyp an. Die Löschung entfernt Antragsdatensätze, Dokumente, Zuweisungen, Aufgaben, Attestierungen und den Audit-Verlauf dauerhaft und wird in der Tabelle RetentionPurgeLog protokolliert. Automatisierte Backups von Azure SQL bewahren Daten je nach Dienstebene 7–35 Tage auf (konfigurierbare Langzeitaufbewahrung). |
| Richtigkeit | PI des Antragstellers werden aus dem ursprünglichen Antragsformular eingegeben; PI von Beschäftigten stammen aus Entra ID und werden bei jeder Anmeldung aktualisiert. PI werden so gespeichert, wie sie eingegeben wurden – das System transformiert, folgert oder leitet keine zusätzlichen PI ab. |
Der Benachrichtigungspfad veranschaulicht die Kontrolle „keine PI des Antragstellers an den Herausgeber":
Event (e.g., assignment created)
│
▼
API Notification Dispatch Service
│
├── PII Filter: strips requestor PI for Custodian/Contributor templates
│
├──► Email: Graph Mail.Send → Institution's shared mailbox → Recipient
│ (via managed identity or institution's app registration)
│
└──► Teams: API → Realizer Platform API → Graph TeamsActivity.Send → Recipient
(sends: user ID, activity type, actor name, request number, preview text — NO requestor PI)
Datenschutz-Risikobewertung
| Risiko | Wahrscheinlichkeit | Auswirkung | Minderung | Restrisiko |
|---|---|---|---|---|
| Unbefugter Zugriff auf PII des Antragstellers | Gering | Mittel | Sechsstufiges RBAC mit serverseitiger Durchsetzung; Custodians/Contributors architektonisch von PII ausgeschlossen; Entra ID MFA; Rollenprüfungen bei jeder Anfrage. | Gering |
| PI-Verletzung durch Dokumentexposition | Gering-Mittel | Mittel-Hoch | Verschlüsselung im Ruhezustand (TDE, AES-256); rollenbasierte Autorisierung; kein öffentlicher Dokumentzugriff; Schwärzungswerkzeuge entfernen PI vor der Antwortzusammenstellung. | Gering-Mittel |
| PI in Benachrichtigungen | Sehr gering | Gering | Custodian-/Contributor-Vorlagen entfernen PII automatisch; SAO-Benachrichtigungen enthalten die Antragsnummer, aber nicht die Identität des Antragstellers; Teams-Benachrichtigungen enthalten nur den Benachrichtigungstyp, die Antragsnummer und den Aufgaben-/Zuweisungsnamen. | Sehr gering |
| PI-Übertragung an den Herausgeber | Sehr gering | Gering | Der Herausgeber erhält nur die Mandanten-ID (Lizenz) und Benachrichtigungsmetadaten – keine PI, Dokumente oder Antragsdetails – und hat keinen dauerhaften Zugriff auf die Azure-Ressourcen der Institution. | Sehr gering |
| PI außerhalb der kanadischen Jurisdiktion | Konfigurationsabhängig | Mittel | Die Daten werden im Azure-Abonnement der Institution in der von ihr gewählten Region gespeichert (Canada Central/East empfohlen); der Microsoft Cloud Agreement regelt die Datenresidenz. | Von der Institution zu bewerten |
| Unzureichende Aufbewahrung/Entsorgung | Gering-Mittel | Mittel | Integrierte Aufbewahrungsprüfung mit konfigurierbaren Fristen und Löschprotokollierung; die Institution stimmt die Fristenpläne mit den Aufbewahrungs- und Kassationsvorgaben (disposition authorities) von Library and Archives Canada ab. | Gering (bei ordnungsgemäßer Konfiguration) |
| Insider-Bedrohung (Missbrauch durch autorisierte Benutzer) | Gering | Mittel | Umfassender Audit-Trail mit Benutzerzuordnung und Zeitstempeln; rollenbasierter Zugriff begrenzt die Exposition; Administratoren steuern die Rollenzuweisungen. | Gering |
Risikobereichs-Scores
Gemäß dem standardisierten TBS-Rahmenwerk:
| Risikobereich | Score | Begründung |
|---|---|---|
| Art des Programms oder der Aktivität | 2 | Verwaltung von Programm/Aktivität (ATIA-Verwaltung) |
| Art der personenbezogenen Daten | 3 | Kontaktinformationen und potenziell sensible Unterlagen in Dokumenten |
| Programmpartner | 2 | Microsoft (Unterauftragsverarbeiter); Realizer (kein PI-Zugriff) |
| Dauer des Programms | 4 | Langfristige/fortlaufende gesetzliche Verpflichtung |
| Betroffenenkreis des Programms | 3 | Externe Personen, die gesetzliche Rechte ausüben |
| Übertragung personenbezogener Daten | 2 | Verschlüsselte Cloud-Infrastruktur innerhalb der kanadischen Jurisdiktion |
| Technologie und Datenschutz | 2 | Standard-Webanwendung – keine KI, Überwachung oder Biometrie |
| Potenzielle Auswirkung auf die Person | 2-3 | Mögliche Peinlichkeit oder Reputationsschaden bei Offenlegung der Identität des Antragstellers |
Gesamtrisikoniveau: Moderat – üblich für ein Verwaltungsprogramm, das PI externer Personen verarbeitet, gemindert durch starke technische Kontrollen (Verschlüsselung, RBAC, PII-Filterung, Datensouveränität).
Technische und administrative Schutzmaßnahmen
Authentifizierung und Zugriffssteuerung
| Schutzmaßnahme | Umsetzung |
|---|---|
| Authentifizierung | Microsoft Entra ID mit JWT-Bearer-Token. Keine lokalen Benutzerkonten oder Passwörter. |
| Multi-Faktor-Authentifizierung | Durch die Conditional Access-Richtlinien der Institution in Entra ID erzwungen. |
| Continuous Access Evaluation | Unterstützt – die Token-Validierung erfolgt bei jeder API-Anfrage. |
| Rollenbasierte Zugriffssteuerung | Sechs Rollen, serverseitig an allen API-Endpunkten durchgesetzt. |
| PII-Filterung | Serverseitige Middleware entfernt PI des Antragstellers aus Antworten für die Rollen Custodian, Contributor und Reader; sie kann vom Client nicht umgangen werden. |
| Sitzungsverwaltung | Token-basiert; Lebensdauer durch Entra ID-Richtlinien geregelt. |
| Bootstrap des ersten Benutzers | Dem ersten Benutzer werden die Rollen Administrator und SAO zugewiesen. Es existieren keine Standard- oder gemeinsam genutzten Anmeldeinformationen. |
Verschlüsselung
| Ebene | Umsetzung |
|---|---|
| Bei der Übertragung | TLS 1.3 als Minimum am Eingangspunkt des App Service; TLS 1.2+ bei Azure SQL und Blob Storage; FTPS deaktiviert. |
| Im Ruhezustand – Datenbank | Azure SQL Transparent Data Encryption (TDE) mit von Microsoft verwalteten Schlüsseln. |
| Im Ruhezustand – Dokumente | Azure Blob Storage-Verschlüsselung mit AES-256; kundenverwaltete Schlüssel (CMK) verfügbar. |
| Im Ruhezustand – Geheimnisse | Azure Key Vault, Zugriff über verwaltete Identität. |
Netzwerksicherheit
| Schutzmaßnahme | Umsetzung |
|---|---|
| Nur HTTPS | Sämtlicher HTTP-Verkehr wird abgelehnt; HTTP/2 aktiviert. |
| CORS | Auf die SharePoint-Domäne der Institution beschränkt. |
| Ratenbegrenzung | 600 Anfragen/Minute pro authentifiziertem Benutzer. |
| Sicherheitsheader | X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy. |
| Verwaltungsebene | SCM/FTP-Basisauthentifizierung deaktiviert; Verwaltung ausschließlich über das Azure-Portal mit Entra ID + MFA. |
Überwachung und Audit
| Schutzmaßnahme | Umsetzung |
|---|---|
| Anwendungs-Audit-Trail | Alle Erstellungs-/Aktualisierungs-/Löschaktionen werden mit Benutzer-ID, Zeitstempel, geändertem Feld und alten/neuen Werten erfasst. |
| Manipulationssicheres Audit-Ledger | Ein hash-verkettetes (SHA-256), ausschließlich anfügbares Ledger erfasst Aktionen über alle Module hinweg; die Integrität ist serverseitig überprüfbar, und für einen Antrag kann ein gerichtsverwertbares Beweispaket exportiert werden. |
| Dokumentzugriffsprotokoll | Vorschau- und Download-Ereignisse werden mit Benutzer-ID, Zeitstempel, IP-Adresse und User-Agent erfasst. Nur Einfügen (insert-only). |
| Aufbewahrungs-Löschprotokoll | Alle Löschvorgänge werden mit Benutzerzuordnung erfasst. |
| Anwendungsüberwachung | Azure Application Insights erfasst HTTP-Anfragen, Ausnahmen und Abhängigkeitsaufrufe (90 Tage Aufbewahrung). |
| Warnungsregeln | Konfigurierbare Metrikwarnungen für HTTP-5xx-Fehler und hohe Latenz. |
| Log Analytics | Zentralisierte Protokollspeicherung mit KQL-Abfragefunktion für Sicherheitsuntersuchungen. |
Administrative Schutzmaßnahmen
Administratoren weisen Rollen über die Einstellungen zu; Rollenänderungen werden sofort wirksam. Eine Application Access Policy beschränkt Mail.Send ausschließlich auf das dafür vorgesehene freigegebene Postfach. Konfigurationsänderungen werden über versionierte Konfigurationspakete mit Installations-Audit-Protokollierung angewendet. Mitarbeiterschulungen, die Richtlinie zur akzeptablen Nutzung und Verfahren zur Reaktion auf Datenschutzverletzungen werden von der Institution festgelegt.
Drittanbieterdienste und Datenweitergabe
| Dienst | Rolle | Erhaltene PI | Datenstandort |
|---|---|---|---|
| Microsoft Azure | Unterauftragsverarbeiter (IaaS: App Service, SQL, Blob, Key Vault, Application Insights) | Alle Anwendungsdaten | Azure-Region der Institution |
| Microsoft 365 | Auftragsverarbeiter (Graph Mail.Send, Teams-Aktivitätsfeed) und optional eine Quelle für vom Custodian erfasste Datensätze |
Inhalte von E-Mail-/Teams-Benachrichtigungen; bei Opt-in-Erfassung die eigenen M365-Inhalte dieses Custodians | M365-Mandant der Institution |
| Realizer Services (Herausgeber) | Softwareherausgeber – keine Auftragsverarbeiterrolle für Kunden-PI | Keine – nur Mandanten-ID + Benachrichtigungsmetadaten + Installationsberichte von Konfigurationspaketen | Azure des Herausgebers (Kanada) |
| Syncfusion | Eingebettete Bibliothek (kein Dienst) | Keine – die Konvertierung erfolgt innerhalb des App Service der Institution | App Service der Institution |
Kernaussage: Es werden keine PI des Antragstellers, keine Dokumentinhalte und keine Antragsdetails an Realizer Services oder eine externe Partei übertragen. Die gesamte Dokumentverarbeitung (Konvertierung, Schwärzung) erfolgt innerhalb des institutionseigenen App Service.
Anwendbare Personal Information Banks
| PIB | Registrierungsnummer | Beschreibung |
|---|---|---|
| Access to Information Act and Privacy Act Requests | PSU 901 | Unterlagen zu ATIP-Anträgen |
| Employee Personnel Records | PSE 901 | Mitarbeiternamen und -rollen im Audit-Trail |
Institutionen sollten die anwendbaren PIBs bestätigen und prüfen, ob für ihre spezifische Bereitstellung neue PIBs erforderlich sind.
Verfügbarkeit der vollständigen PIA
Die vollständige Datenschutz-Folgenabschätzung – einschließlich des vollständigen Inventars personenbezogener Daten, der detaillierten Analyse von Erhebung/Nutzung/Offenlegung/Aufbewahrung/Richtigkeit, der Rechtsgrundlagen und der Datenflussdiagramme – ist auf Anfrage für Kunden und Interessenten verfügbar. Bereitstellende Institutionen nutzen sie als technische und architektonische Grundlage für ihre eigene PIA und ergänzen den institutionellen Überblick, die Aufbewahrungsfristen, die Vereinbarungen zum Informationsaustausch und die Freigabe, bevor sie diese bei TBS und dem Office of the Privacy Commissioner einreichen.