Vooraf ingevuld PIA-sjabloon, afgestemd op de TBS Directive on Privacy Impact Assessment, voor Canadese federale overheidsafdelingen die AccessPoint implementeren
Last updated: July 12, 2026 by Steve
GC-privacyeffectbeoordeling
Deze pagina is een publieke samenvatting van de privacyeffectbeoordeling (Privacy Impact Assessment, PIA) die de softwareuitgever (Realizer Services Inc.) heeft opgesteld voor AccessPoint, afgestemd op de Directive on Privacy Impact Assessment van het Treasury Board of Canada Secretariat (TBS). Ze documenteert de persoonsgegevensbestanden, informatiestromen, privacyrisico's en waarborgen die in het product zijn ingebouwd.
De PIA van de uitgever bestrijkt de technische en architecturale onderdelen en is bedoeld om Canadese federale instellingen te helpen bij het voltooien van hun eigen PIA. De implementerende instelling voltooit de institutionele details (institutioneel overzicht, bewaarschema's, informatiedelingsovereenkomsten en goedkeuring) en dient de voltooide PIA in bij de TBS en het Office of the Privacy Commissioner (OPC). De volledige PIA is op aanvraag beschikbaar voor klanten — zie de slotopmerking.
Voor de volledige technische architectuur, zie de pagina Technische architectuur. Voor de ITSG-33-beveiligingscontrolemapping, zie de pagina GC-beveiligingscontrolesreferentie.
Doel en reikwijdte
AccessPoint is een platform voor toegang tot informatie en privacybeheer dat overheidsinstellingen helpt bij het beheren van toegangs- en privacyprogramma's in overeenstemming met de Access to Information Act (ATIA), de Privacy Act en gelijkwaardige provinciale/internationale regimes. De primaire functie is het beheer van subject access-/toegang-tot-informatieverzoeken — de volledige levenscyclus van intake tot toewijzing, documentverzameling, beoordeling, redactie en antwoordverpakking.
Naast de verzoekafhandeling ondersteunt AccessPoint ook het bredere privacyprogramma: privacyeffectbeoordelingen (PIA-/AIA-/Security-assessments), beheer van privacyincidenten en datalekken (inclusief workflows voor melding van datalekken), klachten en beroepen, een privacyrisicoregister en verplichtingenregister, en verwerkingsregisters (ROPA). Deze modules verwerken aanvullende categorieën persoonsgegevens en vallen onder dezelfde waarborgen, rollen, auditlogboek en garanties voor gegevensresidentie als de kern voor verzoekbeheer.
Bedrijfsproces: intake (een SAO maakt het verzoek aan) → toewijzing (Custodians ontvangen geanonimiseerde instructies zonder PII van de verzoeker) → documentverzameling → beoordeling en redactie → antwoordverpakking → afsluiting (de bewaartermijn gaat in).
Betrokken personen: verzoekers; medewerkers van de instelling (SAO's, Administrators) van wie de handelingen worden vastgelegd in de audittrail; Custodians en Contributors (die geen toegang hebben tot PII van de verzoeker); derden van wie PI kan voorkomen in documenten die worden beoordeeld; betrokkenen die op categorieniveau worden beschreven in ROPA en assessments; personen die zijn getroffen door een privacyincident; klagers en partijen bij een klacht; en raadplegingscontactpersonen.
Wettelijke bevoegdheid: verzameling en gebruik berusten voornamelijk op de ATIA (art. 4, 6, 9, 19) en de Privacy Act (art. 4, 5, 7, 8(2)(m), en het recht van de betrokkene op toegang).
Inventaris van persoonsgegevens
Verzamelde en verwerkte persoonsgegevens
| Gegevenselement | Gevoeligheid | Bron | Doel | Opgeslagen in |
|---|---|---|---|---|
| Volledige naam van de verzoeker | Gemiddeld | Verzoeker (via intake) | Verzoeker identificeren, correspondentie | Azure SQL |
| E-mailadres van de verzoeker | Gemiddeld | Verzoeker | E-mailcorrespondentie | Azure SQL |
| Postadres van de verzoeker | Gemiddeld | Verzoeker | Verzending van antwoord per post | Azure SQL |
| Telefoonnummer van de verzoeker | Laag-gemiddeld | Verzoeker | Telefonische correspondentie | Azure SQL |
| Organisatie van de verzoeker | Laag | Verzoeker | Statistische rapportage | Azure SQL |
| Beschrijving van het verzoek | Gemiddeld | Verzoeker | Reikwijdte van de zoekopdracht bepalen | Azure SQL |
| Naam van de betrokkene | Gemiddeld-hoog | Verzoeker (via intake) | De betrokkene van het verzoek identificeren (kan afwijken van de verzoeker) | Azure SQL |
| Geboortedatum van de betrokkene | Hoog | Verzoeker (via intake) | Identiteitsverificatie voor privacyverzoeken | Azure SQL |
| Namen, e-mailadressen en Entra-object-ID's van medewerkers | Laag | Entra ID | Gebruikersidentificatie, meldingen, authenticatie, audit | Azure SQL |
| Audittrail (gebruikershandelingen) | Laag-gemiddeld | Systeemgegenereerd | Verantwoording, compliance | Azure SQL |
| Documenten in beoordeling | Mogelijk hoog | Archieven van de instelling | Voorbereiding ATIA-antwoord | Azure Blob Storage |
| Geredigeerde documentversies | Gemiddeld | Systeemgegenereerd | Antwoordverpakking | Azure Blob Storage |
| Attestatierecords en e-handtekeningen (getypte naam) | Laag-gemiddeld | Custodians | Formele goedkeuring van volledigheid | Azure SQL |
| IP-adressen en user agent-tekenreeksen (attestatie, documenttoegang) | Laag-gemiddeld | Systeemvastgelegd | Forensische audit van ondertekenings-/toegangscontext | Azure SQL |
| Communicatie met de verzoeker | Gemiddeld | SAO-personeel | Correspondentierecords (richting, methode, datum, notities) | Azure SQL |
| Delegatierecords | Laag-gemiddeld | SAO/Administrator | Delegatie van functionarisverantwoordelijkheid | Azure SQL |
| Consultatierecords en contactenmap | Laag-gemiddeld | SAO-personeel | Interdepartementale of externe consultatie | Azure SQL |
| Contactenmap van verzoekers | Gemiddeld | Verzoeker / intakepersoneel | Herbruikbare verzoekersidentiteit; het verzoek koppelt aan een contactpersoon in plaats van PII inline op te slaan | Azure SQL |
| Details van bij het incident betrokken PI | Mogelijk hoog | Privacy-/ATIP-personeel | Incidentfeiten, categorieën betrokken PI, schadebeoordeling, opvolging van melding van datalekken | Azure SQL |
| Partijen bij een klacht en correspondentie | Gemiddeld | Privacy-/ATIP-personeel | Identiteit van klager/partij en klachtafhandeling | Azure SQL |
| Categorieën verwerkingsregister (ROPA) | Laag-gemiddeld | Privacypersoneel | GDPR Article 30-beschrijvingen per categorie van betrokkene/ontvanger — geen individuele records | Azure SQL |
| Antwoorden op assessmentvragenlijsten | Laag-gemiddeld | Privacypersoneel / gedelegeerden | PIA-/AIA-/Security-inhoud; kan PI beschrijven die door een programma wordt verwerkt | Azure SQL |
| Vastgelegde Microsoft 365-records (opt-in) | Mogelijk hoog | De eigen M365-gegevens van de Custodian | Door de Custodian vastgelegde e-mail, agenda, OneNote, Teams-chats of Copilot-interacties als responsief record | Azure Blob Storage (geconverteerde PDF's) |
| Hash-geketend auditlogboek | Laag-gemiddeld | Systeemgegenereerd | Manipulatiebestendig, alleen-toevoegen logboek van handelingen over alle modules heen | Azure SQL |
Persoonsgegevens die NIET worden verzameld
AccessPoint verzamelt of verwerkt niet: Social Insurance Numbers; financiële informatie (bankrekeningen, creditcards); gezondheids- of medische dossiers als gestructureerde gegevens (deze kunnen voorkomen in documenten die worden beoordeeld); biometrische gegevens; strafblad-informatie; locatiegegevens; of cookies/trackingidentificatoren.
Opmerking: IP-adressen en user agent-tekenreeksen worden alleen vastgelegd in beperkte contexten (attestatieondertekening en registratie van documenttoegang) voor forensische auditdoeleinden, zoals hierboven vermeld. Algemeen surfgedrag en apparaatfingerprinting worden niet verzameld.
Gevoelige persoonsgegevens in documenten
Documenten die tijdens het ATIA-proces worden verzameld, kunnen elke categorie persoonsgegevens bevatten, inclusief gevoelige PI over derden. AccessPoint analyseert of indexeert documentinhoud niet — het slaat op, toont voorbeelden en faciliteert redactie. Classificatie en uitzondering van PI binnen documenten wordt uitgevoerd door getrainde SAO's met behulp van de ingebouwde beoordelingstools.
Vastlegging van Microsoft 365-records (opt-in, achter een feature toggle): een Custodian kan zijn/haar eigen Microsoft 365-records vastleggen — Outlook-e-mail, Outlook-agenda, OneNote, Teams-chats, Microsoft Lists of Copilot-interactiegeschiedenis — als responsief record. Vastlegging gebruikt altijd de eigen gedelegeerde identiteit van de aangemelde gebruiker en is beperkt tot de eigen gegevens van die gebruiker (Copilot-opvraging is app-only, aangezien er geen gedelegeerde Graph-machtiging bestaat, maar is serverside altijd beperkt tot de eigen Entra-object-ID van de aangemelde gebruiker — nooit tenantbreed). Vastgelegde inhoud wordt weergegeven als PDF en komt in de normale beoordelings-/redactieworkflow terecht. Agendavastlegging sluit standaard items uit die zijn gemarkeerd als Privé/Persoonlijk/Vertrouwelijk.
Analyse van persoonsgegevensstromen
| Fase | Samenvatting |
|---|---|
| Verzameling | PI wordt verzameld op grond van ATIA art. 6 (het indienen van een verzoek vereist naam en adres) en Privacy Act art. 4 (verzameling gerelateerd aan een operationeel programma). Alleen PI die nodig is om het verzoek te verwerken wordt verzameld, rechtstreeks bij de verzoeker en ingevoerd door SAO-personeel. Velden zijn configureerbaar door de instelling. |
| Gebruik | PI van de verzoeker wordt uitsluitend gebruikt om het ATIA-/Privacy Act-verzoek te verwerken. Alleen de rollen Administrator, SAO en Reviewer kunnen PII van de verzoeker bekijken — Custodians en Contributors zien het nooit (serverside afgedwongen door PII-filtermiddleware). Er vindt geen geautomatiseerde besluitvorming, profilering of algoritmische verwerking plaats; alle beslissingen worden genomen door getraind personeel. Statistische rapporten zijn uitsluitend geaggregeerd. |
| Openbaarmaking | Het antwoordpakket wordt verstrekt aan de verzoeker (ATIA art. 7). Interne openbaarmaking aan SAO-/Reviewer-personeel is rolgestuurd; Custodians/Contributors ontvangen alleen geanonimiseerde instructies. E-mail- en Teams-meldingen aan Custodians/Contributors bevatten geen PI van de verzoeker. De uitgever ontvangt alleen de tenant-ID (licentievalidatie), meldingsmetadata (gebruikers-ID van de ontvanger, activiteitstype, weergavenaam van de actor, verzoeknummer, voorbeeld-/onderwerptekst, verwijzing naar gerelateerd record) en installatierapporten van configuratiepakketten — geen PI van de verzoeker. Microsoft verwerkt gegevens als subverwerker binnen de eigen tenant van de instelling. |
| Bewaring en verwijdering | Een ingebouwde functie voor bewaartermijnbeoordeling past configureerbare bewaartermijnen per verzoektype toe. Purge verwijdert verzoekrecords, documenten, toewijzingen, taken, attestaties en auditgeschiedenis permanent, en wordt gelogd in de RetentionPurgeLog-tabel. Geautomatiseerde Azure SQL-back-ups bewaren gegevens 7–35 dagen, afhankelijk van het niveau (configureerbare langetermijnbewaring). |
| Nauwkeurigheid | PI van de verzoeker wordt ingevoerd vanaf het oorspronkelijke verzoekformulier; PI van medewerkers is afkomstig van Entra ID en wordt bij elke aanmelding vernieuwd. PI wordt opgeslagen zoals ingevoerd — het systeem transformeert, leidt af of genereert geen aanvullende PI. |
Het meldingspad illustreert de controle "geen PI van de verzoeker naar de uitgever":
Event (e.g., assignment created)
│
▼
API Notification Dispatch Service
│
├── PII Filter: strips requestor PI for Custodian/Contributor templates
│
├──► Email: Graph Mail.Send → Institution's shared mailbox → Recipient
│ (via managed identity or institution's app registration)
│
└──► Teams: API → Realizer Platform API → Graph TeamsActivity.Send → Recipient
(sends: user ID, activity type, actor name, request number, preview text — NO requestor PI)
Privacyrisicobeoordeling
| Risico | Waarschijnlijkheid | Impact | Mitigatie | Restrisico |
|---|---|---|---|---|
| Ongeautoriseerde toegang tot PII van de verzoeker | Laag | Gemiddeld | Zeslaags RBAC met serverside afdwinging; Custodians/Contributors architecturaal uitgesloten van PII; Entra ID MFA; rolcontroles bij elk verzoek. | Laag |
| PI-inbreuk via documentblootstelling | Laag-gemiddeld | Gemiddeld-hoog | Versleuteling in rust (TDE, AES-256); rolgebaseerde autorisatie; geen publieke documenttoegang; redactietools verwijderen PI vóór antwoordverpakking. | Laag-gemiddeld |
| PI in meldingen | Zeer laag | Laag | Custodian-/Contributor-templates verwijderen PII automatisch; SAO-meldingen bevatten het verzoeknummer maar niet de identiteit van de verzoeker; Teams-meldingen bevatten alleen het meldingstype, verzoeknummer en taak-/toewijzingsnaam. | Zeer laag |
| PI-overdracht naar de uitgever | Zeer laag | Laag | De uitgever ontvangt alleen de tenant-ID (licentie) en meldingsmetadata — geen PI, documenten of verzoekdetails — en heeft geen permanente toegang tot de Azure-resources van de instelling. | Zeer laag |
| PI buiten Canadese jurisdictie | Configuratieafhankelijk | Gemiddeld | Gegevens worden opgeslagen in het Azure-abonnement van de instelling, in de regio die deze selecteert (Canada Central/East aanbevolen); de Microsoft Cloud Agreement behandelt gegevensresidentie. | Door instelling te beoordelen |
| Ontoereikende bewaring/verwijdering | Laag-gemiddeld | Gemiddeld | Ingebouwde bewaartermijnbeoordeling met configureerbare periodes en purge-logging; de instelling stemt schema's af op de disposition authorities van Library and Archives Canada. | Laag (bij juiste configuratie) |
| Interne dreiging (misbruik door geautoriseerde gebruiker) | Laag | Gemiddeld | Uitgebreide audittrail met gebruikersattributie en tijdstempels; rolgebaseerde toegang beperkt blootstelling; Administrators beheren roltoewijzingen. | Laag |
Risicoscores per gebied
Volgens het gestandaardiseerde TBS-raamwerk:
| Risicogebied | Score | Onderbouwing |
|---|---|---|
| Type programma of activiteit | 2 | Beheer van programma/activiteit (ATIA-beheer) |
| Type persoonsgegevens | 3 | Contactgegevens en mogelijk gevoelige records in documenten |
| Programmapartners | 2 | Microsoft (subverwerker); Realizer (geen PI-toegang) |
| Duur van het programma | 4 | Langlopende/doorlopende wettelijke verplichting |
| Programmapopulatie | 3 | Externe personen die wettelijke rechten uitoefenen |
| Overdracht van persoonsgegevens | 2 | Versleutelde cloudinfrastructuur binnen Canadese jurisdictie |
| Technologie en privacy | 2 | Standaard webapplicatie — geen AI, surveillance of biometrie |
| Potentiële impact op de betrokkene | 2-3 | Mogelijke gêne of reputatieschade bij openbaarmaking van de identiteit van de verzoeker |
Algeheel risiconiveau: Gematigd — standaard voor een administratief programma dat PI van externe personen verwerkt, gemitigeerd door sterke technische controles (versleuteling, RBAC, PII-filtering, gegevenssoevereiniteit).
Technische en administratieve waarborgen
Authenticatie en toegangscontrole
| Waarborg | Implementatie |
|---|---|
| Authenticatie | Microsoft Entra ID met JWT bearer-tokens. Geen lokale gebruikersaccounts of wachtwoorden. |
| Multi-factorauthenticatie | Afgedwongen door het Conditional Access-beleid van de instelling in Entra ID. |
| Continuous Access Evaluation | Ondersteund — tokenvalidatie vindt plaats bij elk API-verzoek. |
| Rolgebaseerd toegangsbeheer | Zes rollen serverside afgedwongen op alle API-eindpunten. |
| PII-filtering | Serverside middleware verwijdert PI van de verzoeker uit antwoorden voor de rollen Custodian, Contributor en Reader; dit kan niet worden omzeild door de client. |
| Sessiebeheer | Tokengebaseerd; levensduur bepaald door Entra ID-beleid. |
| Bootstrap van de eerste gebruiker | De eerste gebruiker krijgt de rollen Administrator en SAO toegewezen. Er bestaan geen standaard- of gedeelde referenties. |
Versleuteling
| Laag | Implementatie |
|---|---|
| Tijdens transport | TLS 1.3 minimaal aan de front door van de App Service; TLS 1.2+ op Azure SQL en Blob Storage; FTPS uitgeschakeld. |
| In rust — database | Azure SQL Transparent Data Encryption (TDE) met door Microsoft beheerde sleutels. |
| In rust — documenten | Azure Blob Storage AES-256-versleuteling; klant-beheerde sleutels (CMK) beschikbaar. |
| In rust — geheimen | Azure Key Vault, benaderd via beheerde identiteit. |
Netwerkbeveiliging
| Waarborg | Implementatie |
|---|---|
| Alleen HTTPS | Al het HTTP-verkeer geweigerd; HTTP/2 ingeschakeld. |
| CORS | Beperkt tot het SharePoint-domein van de instelling. |
| Rate limiting | 600 verzoeken/minuut per geauthenticeerde gebruiker. |
| Beveiligingsheaders | X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy. |
| Beheervlak | SCM/FTP-basisauthenticatie uitgeschakeld; beheer uitsluitend via Azure Portal met Entra ID + MFA. |
Monitoring en audit
| Waarborg | Implementatie |
|---|---|
| Applicatie-audittrail | Alle create-/update-/delete-acties vastgelegd met gebruikers-ID, tijdstempel, gewijzigd veld en oude/nieuwe waarden. |
| Manipulatiebestendig auditlogboek | Een hash-geketend (SHA-256), alleen-toevoegen logboek registreert handelingen over alle modules heen; de integriteit is serverside verifieerbaar, en voor een verzoek kan een gerechtsklaar bewijspakket worden geëxporteerd. |
| Documenttoegangslogboek | Voorbeeldweergave- en downloadgebeurtenissen vastgelegd met gebruikers-ID, tijdstempel, IP-adres en user agent. Alleen invoegen. |
| Bewaartermijn-verwijderingslogboek | Alle purge-bewerkingen vastgelegd met gebruikersattributie. |
| Applicatiemonitoring | Azure Application Insights legt HTTP-verzoeken, uitzonderingen en afhankelijkheidsaanroepen vast (bewaartermijn 90 dagen). |
| Waarschuwingsregels | Configureerbare metrische waarschuwingen voor HTTP 5xx-fouten en hoge latentie. |
| Log Analytics | Gecentraliseerde logopslag met KQL-queryfunctionaliteit voor beveiligingsonderzoeken. |
Administratieve waarborgen
Administrators wijzen rollen toe via Instellingen; rolwijzigingen worden onmiddellijk van kracht. Een Application Access Policy beperkt Mail.Send tot uitsluitend het aangewezen gedeelde postvak. Configuratiewijzigingen worden toegepast via versiebeheerde configuratiepakketten met audit-logging van de installatie. Personeelstraining, het beleid voor aanvaardbaar gebruik en procedures voor de afhandeling van datalekken worden vastgesteld door de instelling.
Diensten van derden en gegevensdeling
| Dienst | Rol | Ontvangen PI | Gegevenslocatie |
|---|---|---|---|
| Microsoft Azure | Subverwerker (IaaS: App Service, SQL, Blob, Key Vault, Application Insights) | Alle applicatiegegevens | Azure-regio van de instelling |
| Microsoft 365 | Verwerker (Graph Mail.Send, Teams-activiteitenfeed) en, optioneel, een bron van door Custodians vastgelegde records |
Inhoud van e-mail-/Teams-meldingen; bij opt-in vastlegging de eigen M365-inhoud van die Custodian | M365-tenant van de instelling |
| Realizer Services (uitgever) | Softwareuitgever — geen verwerkersrol voor PI van klanten | Geen — alleen tenant-ID + meldingsmetadata + installatierapporten van configuratiepakketten | Azure van de uitgever (Canada) |
| Syncfusion | Ingebedde bibliotheek (geen dienst) | Geen — conversie vindt plaats binnen de App Service van de instelling | App Service van de instelling |
Kernpunt: Er wordt geen PI van de verzoeker, documentinhoud of verzoekdetails verzonden naar Realizer Services of enige externe partij. Alle documentverwerking (conversie, redactie) vindt plaats binnen de eigen App Service van de instelling.
Toepasselijke Personal Information Banks (PIB's)
| PIB | Registratienummer | Beschrijving |
|---|---|---|
| Access to Information Act and Privacy Act Requests | PSU 901 | Records gerelateerd aan ATIP-verzoeken |
| Employee Personnel Records | PSE 901 | Namen en rollen van medewerkers in de audittrail |
Instellingen dienen te bevestigen welke PIB's van toepassing zijn en of nieuwe PIB's vereist zijn voor hun specifieke implementatie.
Beschikbaarheid van de volledige PIA
De volledige privacyeffectbeoordeling — inclusief de volledige inventaris van persoonsgegevens, gedetailleerde analyse van verzameling/gebruik/openbaarmaking/bewaring/nauwkeurigheid, wettelijke bevoegdheden en gegevensstroomdiagrammen — is op aanvraag beschikbaar voor klanten en prospects. Implementerende instellingen gebruiken deze als de technische en architecturale basis voor hun eigen PIA, waarbij zij het institutionele overzicht, de bewaarschema's, informatiedelingsovereenkomsten en goedkeuring voltooien voordat ze deze indienen bij de TBS en het Office of the Privacy Commissioner.