Vooraf ingevuld PIA-sjabloon, afgestemd op de TBS Directive on Privacy Impact Assessment, voor Canadese federale overheidsafdelingen die AccessPoint implementeren

Last updated: July 12, 2026 by Steve

GC-privacyeffectbeoordeling

Deze pagina is een publieke samenvatting van de privacyeffectbeoordeling (Privacy Impact Assessment, PIA) die de softwareuitgever (Realizer Services Inc.) heeft opgesteld voor AccessPoint, afgestemd op de Directive on Privacy Impact Assessment van het Treasury Board of Canada Secretariat (TBS). Ze documenteert de persoonsgegevensbestanden, informatiestromen, privacyrisico's en waarborgen die in het product zijn ingebouwd.

De PIA van de uitgever bestrijkt de technische en architecturale onderdelen en is bedoeld om Canadese federale instellingen te helpen bij het voltooien van hun eigen PIA. De implementerende instelling voltooit de institutionele details (institutioneel overzicht, bewaarschema's, informatiedelingsovereenkomsten en goedkeuring) en dient de voltooide PIA in bij de TBS en het Office of the Privacy Commissioner (OPC). De volledige PIA is op aanvraag beschikbaar voor klanten — zie de slotopmerking.

Voor de volledige technische architectuur, zie de pagina Technische architectuur. Voor de ITSG-33-beveiligingscontrolemapping, zie de pagina GC-beveiligingscontrolesreferentie.

Doel en reikwijdte

AccessPoint is een platform voor toegang tot informatie en privacybeheer dat overheidsinstellingen helpt bij het beheren van toegangs- en privacyprogramma's in overeenstemming met de Access to Information Act (ATIA), de Privacy Act en gelijkwaardige provinciale/internationale regimes. De primaire functie is het beheer van subject access-/toegang-tot-informatieverzoeken — de volledige levenscyclus van intake tot toewijzing, documentverzameling, beoordeling, redactie en antwoordverpakking.

Naast de verzoekafhandeling ondersteunt AccessPoint ook het bredere privacyprogramma: privacyeffectbeoordelingen (PIA-/AIA-/Security-assessments), beheer van privacyincidenten en datalekken (inclusief workflows voor melding van datalekken), klachten en beroepen, een privacyrisicoregister en verplichtingenregister, en verwerkingsregisters (ROPA). Deze modules verwerken aanvullende categorieën persoonsgegevens en vallen onder dezelfde waarborgen, rollen, auditlogboek en garanties voor gegevensresidentie als de kern voor verzoekbeheer.

Bedrijfsproces: intake (een SAO maakt het verzoek aan) → toewijzing (Custodians ontvangen geanonimiseerde instructies zonder PII van de verzoeker) → documentverzameling → beoordeling en redactie → antwoordverpakking → afsluiting (de bewaartermijn gaat in).

Betrokken personen: verzoekers; medewerkers van de instelling (SAO's, Administrators) van wie de handelingen worden vastgelegd in de audittrail; Custodians en Contributors (die geen toegang hebben tot PII van de verzoeker); derden van wie PI kan voorkomen in documenten die worden beoordeeld; betrokkenen die op categorieniveau worden beschreven in ROPA en assessments; personen die zijn getroffen door een privacyincident; klagers en partijen bij een klacht; en raadplegingscontactpersonen.

Wettelijke bevoegdheid: verzameling en gebruik berusten voornamelijk op de ATIA (art. 4, 6, 9, 19) en de Privacy Act (art. 4, 5, 7, 8(2)(m), en het recht van de betrokkene op toegang).

Inventaris van persoonsgegevens

Verzamelde en verwerkte persoonsgegevens

Gegevenselement Gevoeligheid Bron Doel Opgeslagen in
Volledige naam van de verzoeker Gemiddeld Verzoeker (via intake) Verzoeker identificeren, correspondentie Azure SQL
E-mailadres van de verzoeker Gemiddeld Verzoeker E-mailcorrespondentie Azure SQL
Postadres van de verzoeker Gemiddeld Verzoeker Verzending van antwoord per post Azure SQL
Telefoonnummer van de verzoeker Laag-gemiddeld Verzoeker Telefonische correspondentie Azure SQL
Organisatie van de verzoeker Laag Verzoeker Statistische rapportage Azure SQL
Beschrijving van het verzoek Gemiddeld Verzoeker Reikwijdte van de zoekopdracht bepalen Azure SQL
Naam van de betrokkene Gemiddeld-hoog Verzoeker (via intake) De betrokkene van het verzoek identificeren (kan afwijken van de verzoeker) Azure SQL
Geboortedatum van de betrokkene Hoog Verzoeker (via intake) Identiteitsverificatie voor privacyverzoeken Azure SQL
Namen, e-mailadressen en Entra-object-ID's van medewerkers Laag Entra ID Gebruikersidentificatie, meldingen, authenticatie, audit Azure SQL
Audittrail (gebruikershandelingen) Laag-gemiddeld Systeemgegenereerd Verantwoording, compliance Azure SQL
Documenten in beoordeling Mogelijk hoog Archieven van de instelling Voorbereiding ATIA-antwoord Azure Blob Storage
Geredigeerde documentversies Gemiddeld Systeemgegenereerd Antwoordverpakking Azure Blob Storage
Attestatierecords en e-handtekeningen (getypte naam) Laag-gemiddeld Custodians Formele goedkeuring van volledigheid Azure SQL
IP-adressen en user agent-tekenreeksen (attestatie, documenttoegang) Laag-gemiddeld Systeemvastgelegd Forensische audit van ondertekenings-/toegangscontext Azure SQL
Communicatie met de verzoeker Gemiddeld SAO-personeel Correspondentierecords (richting, methode, datum, notities) Azure SQL
Delegatierecords Laag-gemiddeld SAO/Administrator Delegatie van functionarisverantwoordelijkheid Azure SQL
Consultatierecords en contactenmap Laag-gemiddeld SAO-personeel Interdepartementale of externe consultatie Azure SQL
Contactenmap van verzoekers Gemiddeld Verzoeker / intakepersoneel Herbruikbare verzoekersidentiteit; het verzoek koppelt aan een contactpersoon in plaats van PII inline op te slaan Azure SQL
Details van bij het incident betrokken PI Mogelijk hoog Privacy-/ATIP-personeel Incidentfeiten, categorieën betrokken PI, schadebeoordeling, opvolging van melding van datalekken Azure SQL
Partijen bij een klacht en correspondentie Gemiddeld Privacy-/ATIP-personeel Identiteit van klager/partij en klachtafhandeling Azure SQL
Categorieën verwerkingsregister (ROPA) Laag-gemiddeld Privacypersoneel GDPR Article 30-beschrijvingen per categorie van betrokkene/ontvanger — geen individuele records Azure SQL
Antwoorden op assessmentvragenlijsten Laag-gemiddeld Privacypersoneel / gedelegeerden PIA-/AIA-/Security-inhoud; kan PI beschrijven die door een programma wordt verwerkt Azure SQL
Vastgelegde Microsoft 365-records (opt-in) Mogelijk hoog De eigen M365-gegevens van de Custodian Door de Custodian vastgelegde e-mail, agenda, OneNote, Teams-chats of Copilot-interacties als responsief record Azure Blob Storage (geconverteerde PDF's)
Hash-geketend auditlogboek Laag-gemiddeld Systeemgegenereerd Manipulatiebestendig, alleen-toevoegen logboek van handelingen over alle modules heen Azure SQL

Persoonsgegevens die NIET worden verzameld

AccessPoint verzamelt of verwerkt niet: Social Insurance Numbers; financiële informatie (bankrekeningen, creditcards); gezondheids- of medische dossiers als gestructureerde gegevens (deze kunnen voorkomen in documenten die worden beoordeeld); biometrische gegevens; strafblad-informatie; locatiegegevens; of cookies/trackingidentificatoren.

Opmerking: IP-adressen en user agent-tekenreeksen worden alleen vastgelegd in beperkte contexten (attestatieondertekening en registratie van documenttoegang) voor forensische auditdoeleinden, zoals hierboven vermeld. Algemeen surfgedrag en apparaatfingerprinting worden niet verzameld.

Gevoelige persoonsgegevens in documenten

Documenten die tijdens het ATIA-proces worden verzameld, kunnen elke categorie persoonsgegevens bevatten, inclusief gevoelige PI over derden. AccessPoint analyseert of indexeert documentinhoud niet — het slaat op, toont voorbeelden en faciliteert redactie. Classificatie en uitzondering van PI binnen documenten wordt uitgevoerd door getrainde SAO's met behulp van de ingebouwde beoordelingstools.

Vastlegging van Microsoft 365-records (opt-in, achter een feature toggle): een Custodian kan zijn/haar eigen Microsoft 365-records vastleggen — Outlook-e-mail, Outlook-agenda, OneNote, Teams-chats, Microsoft Lists of Copilot-interactiegeschiedenis — als responsief record. Vastlegging gebruikt altijd de eigen gedelegeerde identiteit van de aangemelde gebruiker en is beperkt tot de eigen gegevens van die gebruiker (Copilot-opvraging is app-only, aangezien er geen gedelegeerde Graph-machtiging bestaat, maar is serverside altijd beperkt tot de eigen Entra-object-ID van de aangemelde gebruiker — nooit tenantbreed). Vastgelegde inhoud wordt weergegeven als PDF en komt in de normale beoordelings-/redactieworkflow terecht. Agendavastlegging sluit standaard items uit die zijn gemarkeerd als Privé/Persoonlijk/Vertrouwelijk.

Analyse van persoonsgegevensstromen

Fase Samenvatting
Verzameling PI wordt verzameld op grond van ATIA art. 6 (het indienen van een verzoek vereist naam en adres) en Privacy Act art. 4 (verzameling gerelateerd aan een operationeel programma). Alleen PI die nodig is om het verzoek te verwerken wordt verzameld, rechtstreeks bij de verzoeker en ingevoerd door SAO-personeel. Velden zijn configureerbaar door de instelling.
Gebruik PI van de verzoeker wordt uitsluitend gebruikt om het ATIA-/Privacy Act-verzoek te verwerken. Alleen de rollen Administrator, SAO en Reviewer kunnen PII van de verzoeker bekijken — Custodians en Contributors zien het nooit (serverside afgedwongen door PII-filtermiddleware). Er vindt geen geautomatiseerde besluitvorming, profilering of algoritmische verwerking plaats; alle beslissingen worden genomen door getraind personeel. Statistische rapporten zijn uitsluitend geaggregeerd.
Openbaarmaking Het antwoordpakket wordt verstrekt aan de verzoeker (ATIA art. 7). Interne openbaarmaking aan SAO-/Reviewer-personeel is rolgestuurd; Custodians/Contributors ontvangen alleen geanonimiseerde instructies. E-mail- en Teams-meldingen aan Custodians/Contributors bevatten geen PI van de verzoeker. De uitgever ontvangt alleen de tenant-ID (licentievalidatie), meldingsmetadata (gebruikers-ID van de ontvanger, activiteitstype, weergavenaam van de actor, verzoeknummer, voorbeeld-/onderwerptekst, verwijzing naar gerelateerd record) en installatierapporten van configuratiepakketten — geen PI van de verzoeker. Microsoft verwerkt gegevens als subverwerker binnen de eigen tenant van de instelling.
Bewaring en verwijdering Een ingebouwde functie voor bewaartermijnbeoordeling past configureerbare bewaartermijnen per verzoektype toe. Purge verwijdert verzoekrecords, documenten, toewijzingen, taken, attestaties en auditgeschiedenis permanent, en wordt gelogd in de RetentionPurgeLog-tabel. Geautomatiseerde Azure SQL-back-ups bewaren gegevens 7–35 dagen, afhankelijk van het niveau (configureerbare langetermijnbewaring).
Nauwkeurigheid PI van de verzoeker wordt ingevoerd vanaf het oorspronkelijke verzoekformulier; PI van medewerkers is afkomstig van Entra ID en wordt bij elke aanmelding vernieuwd. PI wordt opgeslagen zoals ingevoerd — het systeem transformeert, leidt af of genereert geen aanvullende PI.

Het meldingspad illustreert de controle "geen PI van de verzoeker naar de uitgever":

Event (e.g., assignment created)
        │
        ▼
  API Notification Dispatch Service
        │
        ├── PII Filter: strips requestor PI for Custodian/Contributor templates
        │
        ├──► Email: Graph Mail.Send → Institution's shared mailbox → Recipient
        │    (via managed identity or institution's app registration)
        │
        └──► Teams: API → Realizer Platform API → Graph TeamsActivity.Send → Recipient
             (sends: user ID, activity type, actor name, request number, preview text — NO requestor PI)

Privacyrisicobeoordeling

Risico Waarschijnlijkheid Impact Mitigatie Restrisico
Ongeautoriseerde toegang tot PII van de verzoeker Laag Gemiddeld Zeslaags RBAC met serverside afdwinging; Custodians/Contributors architecturaal uitgesloten van PII; Entra ID MFA; rolcontroles bij elk verzoek. Laag
PI-inbreuk via documentblootstelling Laag-gemiddeld Gemiddeld-hoog Versleuteling in rust (TDE, AES-256); rolgebaseerde autorisatie; geen publieke documenttoegang; redactietools verwijderen PI vóór antwoordverpakking. Laag-gemiddeld
PI in meldingen Zeer laag Laag Custodian-/Contributor-templates verwijderen PII automatisch; SAO-meldingen bevatten het verzoeknummer maar niet de identiteit van de verzoeker; Teams-meldingen bevatten alleen het meldingstype, verzoeknummer en taak-/toewijzingsnaam. Zeer laag
PI-overdracht naar de uitgever Zeer laag Laag De uitgever ontvangt alleen de tenant-ID (licentie) en meldingsmetadata — geen PI, documenten of verzoekdetails — en heeft geen permanente toegang tot de Azure-resources van de instelling. Zeer laag
PI buiten Canadese jurisdictie Configuratieafhankelijk Gemiddeld Gegevens worden opgeslagen in het Azure-abonnement van de instelling, in de regio die deze selecteert (Canada Central/East aanbevolen); de Microsoft Cloud Agreement behandelt gegevensresidentie. Door instelling te beoordelen
Ontoereikende bewaring/verwijdering Laag-gemiddeld Gemiddeld Ingebouwde bewaartermijnbeoordeling met configureerbare periodes en purge-logging; de instelling stemt schema's af op de disposition authorities van Library and Archives Canada. Laag (bij juiste configuratie)
Interne dreiging (misbruik door geautoriseerde gebruiker) Laag Gemiddeld Uitgebreide audittrail met gebruikersattributie en tijdstempels; rolgebaseerde toegang beperkt blootstelling; Administrators beheren roltoewijzingen. Laag

Risicoscores per gebied

Volgens het gestandaardiseerde TBS-raamwerk:

Risicogebied Score Onderbouwing
Type programma of activiteit 2 Beheer van programma/activiteit (ATIA-beheer)
Type persoonsgegevens 3 Contactgegevens en mogelijk gevoelige records in documenten
Programmapartners 2 Microsoft (subverwerker); Realizer (geen PI-toegang)
Duur van het programma 4 Langlopende/doorlopende wettelijke verplichting
Programmapopulatie 3 Externe personen die wettelijke rechten uitoefenen
Overdracht van persoonsgegevens 2 Versleutelde cloudinfrastructuur binnen Canadese jurisdictie
Technologie en privacy 2 Standaard webapplicatie — geen AI, surveillance of biometrie
Potentiële impact op de betrokkene 2-3 Mogelijke gêne of reputatieschade bij openbaarmaking van de identiteit van de verzoeker

Algeheel risiconiveau: Gematigd — standaard voor een administratief programma dat PI van externe personen verwerkt, gemitigeerd door sterke technische controles (versleuteling, RBAC, PII-filtering, gegevenssoevereiniteit).

Technische en administratieve waarborgen

Authenticatie en toegangscontrole

Waarborg Implementatie
Authenticatie Microsoft Entra ID met JWT bearer-tokens. Geen lokale gebruikersaccounts of wachtwoorden.
Multi-factorauthenticatie Afgedwongen door het Conditional Access-beleid van de instelling in Entra ID.
Continuous Access Evaluation Ondersteund — tokenvalidatie vindt plaats bij elk API-verzoek.
Rolgebaseerd toegangsbeheer Zes rollen serverside afgedwongen op alle API-eindpunten.
PII-filtering Serverside middleware verwijdert PI van de verzoeker uit antwoorden voor de rollen Custodian, Contributor en Reader; dit kan niet worden omzeild door de client.
Sessiebeheer Tokengebaseerd; levensduur bepaald door Entra ID-beleid.
Bootstrap van de eerste gebruiker De eerste gebruiker krijgt de rollen Administrator en SAO toegewezen. Er bestaan geen standaard- of gedeelde referenties.

Versleuteling

Laag Implementatie
Tijdens transport TLS 1.3 minimaal aan de front door van de App Service; TLS 1.2+ op Azure SQL en Blob Storage; FTPS uitgeschakeld.
In rust — database Azure SQL Transparent Data Encryption (TDE) met door Microsoft beheerde sleutels.
In rust — documenten Azure Blob Storage AES-256-versleuteling; klant-beheerde sleutels (CMK) beschikbaar.
In rust — geheimen Azure Key Vault, benaderd via beheerde identiteit.

Netwerkbeveiliging

Waarborg Implementatie
Alleen HTTPS Al het HTTP-verkeer geweigerd; HTTP/2 ingeschakeld.
CORS Beperkt tot het SharePoint-domein van de instelling.
Rate limiting 600 verzoeken/minuut per geauthenticeerde gebruiker.
Beveiligingsheaders X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy.
Beheervlak SCM/FTP-basisauthenticatie uitgeschakeld; beheer uitsluitend via Azure Portal met Entra ID + MFA.

Monitoring en audit

Waarborg Implementatie
Applicatie-audittrail Alle create-/update-/delete-acties vastgelegd met gebruikers-ID, tijdstempel, gewijzigd veld en oude/nieuwe waarden.
Manipulatiebestendig auditlogboek Een hash-geketend (SHA-256), alleen-toevoegen logboek registreert handelingen over alle modules heen; de integriteit is serverside verifieerbaar, en voor een verzoek kan een gerechtsklaar bewijspakket worden geëxporteerd.
Documenttoegangslogboek Voorbeeldweergave- en downloadgebeurtenissen vastgelegd met gebruikers-ID, tijdstempel, IP-adres en user agent. Alleen invoegen.
Bewaartermijn-verwijderingslogboek Alle purge-bewerkingen vastgelegd met gebruikersattributie.
Applicatiemonitoring Azure Application Insights legt HTTP-verzoeken, uitzonderingen en afhankelijkheidsaanroepen vast (bewaartermijn 90 dagen).
Waarschuwingsregels Configureerbare metrische waarschuwingen voor HTTP 5xx-fouten en hoge latentie.
Log Analytics Gecentraliseerde logopslag met KQL-queryfunctionaliteit voor beveiligingsonderzoeken.

Administratieve waarborgen

Administrators wijzen rollen toe via Instellingen; rolwijzigingen worden onmiddellijk van kracht. Een Application Access Policy beperkt Mail.Send tot uitsluitend het aangewezen gedeelde postvak. Configuratiewijzigingen worden toegepast via versiebeheerde configuratiepakketten met audit-logging van de installatie. Personeelstraining, het beleid voor aanvaardbaar gebruik en procedures voor de afhandeling van datalekken worden vastgesteld door de instelling.

Diensten van derden en gegevensdeling

Dienst Rol Ontvangen PI Gegevenslocatie
Microsoft Azure Subverwerker (IaaS: App Service, SQL, Blob, Key Vault, Application Insights) Alle applicatiegegevens Azure-regio van de instelling
Microsoft 365 Verwerker (Graph Mail.Send, Teams-activiteitenfeed) en, optioneel, een bron van door Custodians vastgelegde records Inhoud van e-mail-/Teams-meldingen; bij opt-in vastlegging de eigen M365-inhoud van die Custodian M365-tenant van de instelling
Realizer Services (uitgever) Softwareuitgever — geen verwerkersrol voor PI van klanten Geen — alleen tenant-ID + meldingsmetadata + installatierapporten van configuratiepakketten Azure van de uitgever (Canada)
Syncfusion Ingebedde bibliotheek (geen dienst) Geen — conversie vindt plaats binnen de App Service van de instelling App Service van de instelling

Kernpunt: Er wordt geen PI van de verzoeker, documentinhoud of verzoekdetails verzonden naar Realizer Services of enige externe partij. Alle documentverwerking (conversie, redactie) vindt plaats binnen de eigen App Service van de instelling.

Toepasselijke Personal Information Banks (PIB's)

PIB Registratienummer Beschrijving
Access to Information Act and Privacy Act Requests PSU 901 Records gerelateerd aan ATIP-verzoeken
Employee Personnel Records PSE 901 Namen en rollen van medewerkers in de audittrail

Instellingen dienen te bevestigen welke PIB's van toepassing zijn en of nieuwe PIB's vereist zijn voor hun specifieke implementatie.

Beschikbaarheid van de volledige PIA

De volledige privacyeffectbeoordeling — inclusief de volledige inventaris van persoonsgegevens, gedetailleerde analyse van verzameling/gebruik/openbaarmaking/bewaring/nauwkeurigheid, wettelijke bevoegdheden en gegevensstroomdiagrammen — is op aanvraag beschikbaar voor klanten en prospects. Implementerende instellingen gebruiken deze als de technische en architecturale basis voor hun eigen PIA, waarbij zij het institutionele overzicht, de bewaarschema's, informatiedelingsovereenkomsten en goedkeuring voltooien voordat ze deze indienen bij de TBS en het Office of the Privacy Commissioner.