Förifylld PIA-mall i linje med TBS Directive on Privacy Impact Assessment för kanadensiska federala myndigheter som inför AccessPoint
Last updated: July 12, 2026 by Steve
GC:s integritetskonsekvensbedömning (PIA)
Denna sida är en offentlig sammanfattning av integritetskonsekvensbedömningen (Privacy Impact Assessment, PIA) som utarbetats av programvaruutgivaren (Realizer Services Inc.) för AccessPoint, i linje med Treasury Board of Canada Secretariats (TBS) Directive on Privacy Impact Assessment. Den dokumenterar innehav av personuppgifter, informationsflöden, integritetsrisker och skyddsåtgärder inbyggda i produkten.
Utgivarens PIA täcker de tekniska och arkitektoniska avsnitten och är avsedd att hjälpa kanadensiska federala institutioner att färdigställa sin egen PIA. Den implementerande institutionen fyller i de institutionella detaljerna (institutionell översikt, bevarandescheman, avtal om informationsdelning och godkännande) och lämnar in den färdigställda PIA:n till TBS och Office of the Privacy Commissioner (OPC). Den fullständiga PIA:n finns tillgänglig för kunder på begäran — se den avslutande anmärkningen.
För den fullständiga tekniska arkitekturen, se sidan Teknisk arkitektur. För kartläggning av ITSG-33-säkerhetskontroller, se sidan Referens för GC-säkerhetskontroller.
Syfte och omfattning
AccessPoint är en plattform för hantering av tillgång till information och integritet som hjälper myndighetsinstitutioner att administrera program för tillgång till information och integritet i enlighet med Access to Information Act (ATIA), Privacy Act och motsvarande provinsiella/internationella regelverk. Dess primära funktion är hantering av subject access-/tillgång till information-förfrågningar – hela livscykeln från mottagande genom tilldelning, dokumentinsamling, granskning, maskering och paketering av svar.
Utöver förfrågningshantering stöder AccessPoint även det omgivande integritetsprogrammet: integritetskonsekvensbedömningar (PIA/AIA/säkerhetsbedömningar), hantering av integritetsincidenter och personuppgiftsincidenter (inklusive arbetsflöden för anmälan om personuppgiftsincidenter), klagomål och överklaganden, ett riskregister för integritetsfrågor och register över åtaganden, samt register över behandling (ROPA). Dessa moduler behandlar ytterligare kategorier av personuppgifter och omfattas av samma skyddsåtgärder, roller, granskningsliggare och garantier för dataresidens som kärnan för förfrågningshantering.
Affärsprocess: mottagande (en SAO skapar förfrågan) → tilldelning (förvaltare får sanerade instruktioner utan den sökandes personuppgifter) → dokumentinsamling → granskning och maskering → paketering av svar → avslutning (bevarandeklockan börjar).
Berörda individer: sökande; institutionens anställda (SAO:er, administratörer) vars handlingar registreras i granskningsspåret; förvaltare och medarbetare (som inte har tillgång till den sökandes personuppgifter); tredje parter vars personuppgifter kan förekomma i dokument under granskning; registrerade som beskrivs på kategorinivå i ROPA och bedömningar; individer som berörs av en integritetsincident; klagande och parter i klagomål; samt samrådskontakter.
Rättslig grund: insamling och användning vilar huvudsakligen på ATIA (avsnitt 4, 6, 9, 19) och Privacy Act (avsnitt 4, 5, 7, 8(2)(m), samt individens rätt till tillgång).
Inventering av personuppgifter
Insamlade och behandlade personuppgifter
| Dataelement | Känslighet | Källa | Syfte | Lagras i |
|---|---|---|---|---|
| Sökandes fullständiga namn | Medel | Sökande (via mottagande) | Identifiera sökande, korrespondens | Azure SQL |
| Sökandes e-postadress | Medel | Sökande | E-postkorrespondens | Azure SQL |
| Sökandes postadress | Medel | Sökande | Postleverans av svar | Azure SQL |
| Sökandes telefonnummer | Låg-medel | Sökande | Telefonkorrespondens | Azure SQL |
| Sökandes organisation | Låg | Sökande | Statistisk rapportering | Azure SQL |
| Beskrivning av förfrågan | Medel | Sökande | Definiera sökningens omfattning | Azure SQL |
| Personens namn | Medel-hög | Sökande (via mottagande) | Identifiera den person förfrågan avser (kan skilja sig från den sökande) | Azure SQL |
| Personens födelsedatum | Hög | Sökande (via mottagande) | Identitetsverifiering för integritetsförfrågningar | Azure SQL |
| Anställdas namn, e-postadresser, Entra-objekt-ID:n | Låg | Entra ID | Användaridentifiering, aviseringar, autentisering, granskning | Azure SQL |
| Granskningsspår (användarhandlingar) | Låg-medel | Systemgenererat | Ansvarighet, efterlevnad | Azure SQL |
| Dokument under granskning | Potentiellt hög | Institutionens handlingar | Förberedelse av ATIA-svar | Azure Blob Storage |
| Maskerade dokumentversioner | Medel | Systemgenererat | Paketering av svar | Azure Blob Storage |
| Intygandeposter och e-signaturer (maskinskrivet namn) | Låg-medel | Förvaltare | Formellt godkännande av fullständighet | Azure SQL |
| IP-adresser och user agent-strängar (intygande, dokumentåtkomst) | Låg-medel | Systemregistrerat | Forensisk granskning av signerings-/åtkomstkontext | Azure SQL |
| Sökandekorrespondens | Medel | SAO-personal | Korrespondensregister (riktning, metod, datum, anteckningar) | Azure SQL |
| Delegeringsposter | Låg-medel | SAO/administratör | Delegering av handläggaransvar | Azure SQL |
| Samrådsposter och kontaktkatalog | Låg-medel | SAO-personal | Interdepartementalt eller externt samråd | Azure SQL |
| Kontaktkatalog för sökande | Medel | Sökande/mottagningspersonal | Återanvändbar identitet för sökande; förfrågan länkas till en kontakt i stället för att lagra personuppgifter direkt | Azure SQL |
| Detaljer om personuppgifter berörda av incident | Potentiellt hög | Integritets-/ATIP-personal | Incidentfakta, kategorier av berörda personuppgifter, skadebedömning, spårning av anmälan om personuppgiftsincident | Azure SQL |
| Parter i klagomål och korrespondens | Medel | Integritets-/ATIP-personal | Identitet för klagande/part och klagomålshantering | Azure SQL |
| Kategorier för register över behandling (ROPA) | Låg-medel | Integritetspersonal | GDPR Article 30-beskrivningar per kategori av registrerad/mottagare — inte enskilda poster | Azure SQL |
| Svar på bedömningsfrågeformulär | Låg-medel | Integritetspersonal/delegater | PIA-/AIA-/säkerhetsinnehåll; kan beskriva personuppgifter som hanteras av ett program | Azure SQL |
| Insamlade Microsoft 365-poster (valfritt) | Potentiellt hög | Förvaltarens egen M365-data | E-post, kalender, OneNote, Teams-chattar eller Copilot-interaktioner som samlats in av förvaltaren som en relevant handling | Azure Blob Storage (konverterade PDF-filer) |
| Hash-kedjad granskningsliggare | Låg-medel | Systemgenererat | Manipulationssäker liggare med endast tillägg över åtgärder i alla moduler | Azure SQL |
Personuppgifter som INTE samlas in
AccessPoint samlar inte in eller behandlar: personnummer (Social Insurance Numbers); finansiell information (bankkonton, kreditkort); hälso- eller sjukvårdsjournaler som strukturerad data (de kan förekomma i dokument under granskning); biometriska data; brottsregisterinformation; platsdata; eller cookies/spårningsidentifierare.
Observera: IP-adresser och user agent-strängar registreras endast i begränsade sammanhang (signering av intygande och loggning av dokumentåtkomst) för forensiska granskningsändamål, enligt listan ovan. Allmänt surfbeteende och enhetsfingeravtryck samlas inte in.
Känsliga personuppgifter i dokument
Dokument som samlas in under ATIA-processen kan innehålla vilken kategori av personuppgifter som helst, inklusive känsliga personuppgifter om tredje parter. AccessPoint analyserar eller indexerar inte dokumentinnehåll – det lagrar, förhandsgranskar och underlättar maskering. Klassificering och undantagshantering av personuppgifter i dokument utförs av utbildade SAO:er med hjälp av de inbyggda granskningsverktygen.
Insamling av Microsoft 365-poster (valfritt, styrt av funktionsväxel): en förvaltare kan samla in sina egna Microsoft 365-poster – e-post i Outlook, Outlook-kalender, OneNote, Teams-chattar, Microsoft Lists eller Copilot-interaktionshistorik – som en relevant handling. Insamling använder alltid den inloggade användarens egen delegerade identitet och är begränsad till den användarens egen data (Copilot-hämtning är enbart app-baserad, eftersom ingen delegerad Graph-behörighet finns, men är alltid begränsad server-side till den inloggade användarens eget Entra-objekt-ID – aldrig hela klientorganisationen). Insamlat innehåll återges som en PDF och går in i det normala gransknings-/maskeringsflödet. Kalenderinsamling exkluderar som standard poster märkta Privat/Personligt/Konfidentiellt.
Analys av flöden av personuppgifter
| Skede | Sammanfattning |
|---|---|
| Insamling | Personuppgifter samlas in enligt ATIA avsnitt 6 (inlämning av förfrågan kräver namn och adress) och Privacy Act avsnitt 4 (insamling relaterad till ett operativt program). Endast personuppgifter som är nödvändiga för att behandla förfrågan samlas in, direkt från den sökande och registrerade av SAO-personal. Fält är konfigurerbara av institutionen. |
| Användning | Den sökandes personuppgifter används uteslutande för att behandla ATIA-/Privacy Act-förfrågan. Endast rollerna administratör, SAO och granskare kan se den sökandes personuppgifter – förvaltare och medarbetare ser dem aldrig (tillämpat server-side genom PII-filtermiddleware). Inget automatiserat beslutsfattande, ingen profilering eller algoritmisk behandling sker; alla beslut fattas av utbildad personal. Statistiska rapporter är enbart aggregerade. |
| Utlämnande | Svarspaketet tillhandahålls den sökande (ATIA avsnitt 7). Internt utlämnande till SAO-/granskarpersonal är rollstyrt; förvaltare/medarbetare får endast sanerade instruktioner. E-post- och Teams-aviseringar till förvaltare/medarbetare innehåller inga personuppgifter om den sökande. Utgivaren tar endast emot klientorganisations-ID (licensvalidering), aviseringsmetadata (mottagarens användar-ID, aktivitetstyp, aktörens visningsnamn, förfrågningsnummer, förhandsgransknings-/ämnestext, referens till relaterad post) och installationsrapporter för konfigurationspaket – inga personuppgifter om den sökande. Microsoft behandlar data som underbiträde inom institutionens egen klientorganisation. |
| Bevarande och gallring | En inbyggd funktion för bevarandegranskning tillämpar konfigurerbara bevarandeperioder per förfrågningstyp. Radering tar permanent bort förfrågningsposter, dokument, tilldelningar, uppgifter, intyganden och granskningshistorik, och loggas i tabellen RetentionPurgeLog. Azure SQL:s automatiska säkerhetskopior bevarar data i 7–35 dagar beroende på nivå (konfigurerbart långtidsbevarande). |
| Korrekthet | Den sökandes personuppgifter registreras från det ursprungliga förfrågningsformuläret; anställdas personuppgifter hämtas från Entra ID och uppdateras vid varje inloggning. Personuppgifter lagras som de registrerats – systemet omvandlar, härleder eller drar inte slutsatser om ytterligare personuppgifter. |
Aviseringsvägen illustrerar kontrollen "inga personuppgifter om den sökande till utgivaren":
Event (e.g., assignment created)
│
▼
API Notification Dispatch Service
│
├── PII Filter: strips requestor PI for Custodian/Contributor templates
│
├──► Email: Graph Mail.Send → Institution's shared mailbox → Recipient
│ (via managed identity or institution's app registration)
│
└──► Teams: API → Realizer Platform API → Graph TeamsActivity.Send → Recipient
(sends: user ID, activity type, actor name, request number, preview text — NO requestor PI)
Integritetsriskbedömning
| Risk | Sannolikhet | Påverkan | Åtgärd | Kvarstående risk |
|---|---|---|---|---|
| Obehörig åtkomst till den sökandes personuppgifter | Låg | Medel | Sexnivå-RBAC med server-side tillämpning; förvaltare/medarbetare arkitektoniskt uteslutna från personuppgifter; Entra ID MFA; rollkontroller vid varje förfrågan. | Låg |
| Personuppgiftsincident via dokumentexponering | Låg-medel | Medel-hög | Kryptering i vila (TDE, AES-256); rollbaserad auktorisering; ingen offentlig dokumentåtkomst; maskeringsverktyg tar bort personuppgifter innan paketering av svar. | Låg-medel |
| Personuppgifter i aviseringar | Mycket låg | Låg | Mallar för förvaltare/medarbetare tar automatiskt bort personuppgifter; SAO-aviseringar innehåller förfrågningsnumret men inte den sökandes identitet; Teams-aviseringar innehåller endast aviseringstyp, förfrågningsnummer och uppgifts-/tilldelningsnamn. | Mycket låg |
| Överföring av personuppgifter till utgivaren | Mycket låg | Låg | Utgivaren tar endast emot klientorganisations-ID (licens) och aviseringsmetadata – inga personuppgifter, dokument eller förfrågningsdetaljer – och har ingen stående åtkomst till institutionens Azure-resurser. | Mycket låg |
| Personuppgifter utanför kanadensisk jurisdiktion | Konfigurationsberoende | Medel | Data lagras i institutionens Azure-prenumeration i den region den väljer (Canada Central/East rekommenderas); Microsoft Cloud Agreement adresserar dataresidens. | Institutionen bedömer |
| Otillräckligt bevarande/otillräcklig gallring | Låg-medel | Medel | Inbyggd bevarandegranskning med konfigurerbara perioder och raderingsloggning; institutionen anpassar scheman till Library and Archives Canadas gallringsbeslut. | Låg (med korrekt konfiguration) |
| Internt hot (missbruk av behörig användare) | Låg | Medel | Omfattande granskningsspår med användarattribuering och tidsstämplar; rollbaserad åtkomst begränsar exponering; administratörer styr rolltilldelningar. | Låg |
Riskområdespoäng
Enligt TBS:s standardiserade ramverk:
| Riskområde | Poäng | Motivering |
|---|---|---|
| Typ av program eller verksamhet | 2 | Administration av program/verksamhet (ATIA-administration) |
| Typ av personuppgifter | 3 | Kontaktuppgifter och potentiellt känsliga handlingar i dokument |
| Programpartner | 2 | Microsoft (underbiträde); Realizer (ingen åtkomst till personuppgifter) |
| Programmets varaktighet | 4 | Långsiktig/fortlöpande lagstadgad skyldighet |
| Programpopulation | 3 | Externa individer som utövar lagstadgade rättigheter |
| Överföring av personuppgifter | 2 | Krypterad molninfrastruktur inom kanadensisk jurisdiktion |
| Teknik och integritet | 2 | Standardwebbapplikation — ingen AI, övervakning eller biometri |
| Potentiell påverkan på individen | 2-3 | Möjlig förlägenhet eller ryktesskada om den sökandes identitet avslöjas |
Övergripande risknivå: Måttlig — standard för ett administrativt program som behandlar personuppgifter om externa individer, begränsad genom starka tekniska kontroller (kryptering, RBAC, filtrering av personuppgifter, datasuveränitet).
Tekniska och administrativa skyddsåtgärder
Autentisering och åtkomstkontroll
| Skyddsåtgärd | Implementering |
|---|---|
| Autentisering | Microsoft Entra ID med JWT-bearer-token. Inga lokala användarkonton eller lösenord. |
| Multifaktorautentisering | Tillämpas genom institutionens policyer för Villkorsstyrd åtkomst (Conditional Access) i Entra ID. |
| Kontinuerlig åtkomstutvärdering | Stöds — tokenvalidering sker vid varje API-förfrågan. |
| Rollbaserad åtkomstkontroll | Sex roller tillämpade server-side på alla API-ändpunkter. |
| Filtrering av personuppgifter | Server-side middleware tar bort den sökandes personuppgifter från svar för rollerna förvaltare, medarbetare och läsare; kan inte kringgås av klienten. |
| Sessionshantering | Tokenbaserad; livslängd styrd av Entra ID-policyer. |
| Bootstrap för första användaren | Den första användaren tilldelas rollerna administratör och SAO. Inga standard- eller delade autentiseringsuppgifter finns. |
Kryptering
| Lager | Implementering |
|---|---|
| Under överföring | TLS 1.3 lägst vid App Service-ingången; TLS 1.2+ på Azure SQL och Blob Storage; FTPS inaktiverat. |
| I vila — databas | Azure SQL Transparent Data Encryption (TDE) med Microsoft-hanterade nycklar. |
| I vila — dokument | Azure Blob Storage AES-256-kryptering; kundhanterade nycklar (CMK) tillgängligt. |
| I vila — hemligheter | Azure Key Vault, åtkomst via hanterad identitet. |
Nätverkssäkerhet
| Skyddsåtgärd | Implementering |
|---|---|
| Enbart HTTPS | All HTTP-trafik avvisas; HTTP/2 aktiverat. |
| CORS | Begränsad till institutionens SharePoint-domän. |
| Hastighetsbegränsning | 600 förfrågningar/minut per autentiserad användare. |
| Säkerhetshuvuden | X-Content-Type-Options, X-Frame-Options, Referrer-Policy, Permissions-Policy, Content-Security-Policy. |
| Hanteringsplan | Grundläggande autentisering för SCM/FTP inaktiverad; hantering enbart via Azure-portalen med Entra ID + MFA. |
Övervakning och granskning
| Skyddsåtgärd | Implementering |
|---|---|
| Applikationens granskningsspår | Alla skapa-/uppdatera-/ta bort-åtgärder registreras med användar-ID, tidsstämpel, ändrat fält samt gamla/nya värden. |
| Manipulationssäker granskningsliggare | En hash-kedjad (SHA-256) liggare med endast tillägg registrerar åtgärder över alla moduler; integriteten kan verifieras server-side, och ett domstolsklart bevispaket kan exporteras för en förfrågan. |
| Logg för dokumentåtkomst | Förhandsgransknings- och nedladdningshändelser registreras med användar-ID, tidsstämpel, IP-adress och user agent. Endast infogning. |
| Raderingslogg för bevarande | Alla raderingsåtgärder registreras med användarattribuering. |
| Applikationsövervakning | Azure Application Insights registrerar HTTP-förfrågningar, undantag och beroendeanrop (90 dagars kvarhållning). |
| Larmregler | Konfigurerbara mätvärdeslarm för HTTP 5xx-fel och hög latens. |
| Log Analytics | Centraliserad logglagring med KQL-frågemöjlighet för säkerhetsutredningar. |
Administrativa skyddsåtgärder
Administratörer tilldelar roller via Inställningar; rolländringar träder i kraft omedelbart. En Application Access Policy begränsar Mail.Send till enbart den avsedda delade brevlådan. Konfigurationsändringar tillämpas via versionerade konfigurationspaket med granskningsloggning av installationer. Personalutbildning, policy för acceptabel användning och rutiner för hantering av personuppgiftsincidenter fastställs av institutionen.
Tredjepartstjänster och datadelning
| Tjänst | Roll | Mottagna personuppgifter | Dataplats |
|---|---|---|---|
| Microsoft Azure | Underbiträde (IaaS: App Service, SQL, Blob, Key Vault, Application Insights) | All applikationsdata | Institutionens Azure-region |
| Microsoft 365 | Personuppgiftsbiträde (Graph Mail.Send, Teams aktivitetsflöde) och, valfritt, en källa för poster insamlade av förvaltare |
Innehåll i e-post-/Teams-aviseringar; vid valfri insamling, förvaltarens eget M365-innehåll | Institutionens M365-klientorganisation |
| Realizer Services (utgivare) | Programvaruutgivare — ingen roll som personuppgiftsbiträde för kundens personuppgifter | Inga — enbart klientorganisations-ID + aviseringsmetadata + installationsrapporter för konfigurationspaket | Utgivarens Azure (Kanada) |
| Syncfusion | Inbäddat bibliotek (inte en tjänst) | Inga — konvertering sker inom institutionens App Service | Institutionens App Service |
Viktig poäng: Inga personuppgifter om den sökande, inget dokumentinnehåll eller några förfrågningsdetaljer överförs till Realizer Services eller någon extern part. All dokumentbehandling (konvertering, maskering) sker inom institutionens egen App Service.
Tillämpliga personuppgiftsbanker
| PIB | Registreringsnummer | Beskrivning |
|---|---|---|
| Access to Information Act and Privacy Act Requests | PSU 901 | Poster relaterade till ATIP-förfrågningar |
| Employee Personnel Records | PSE 901 | Anställdas namn och roller i granskningsspåret |
Institutioner bör bekräfta tillämpliga PIB:er och huruvida nya PIB:er krävs för deras specifika distribution.
Tillgänglighet av den fullständiga PIA:n
Den fullständiga integritetskonsekvensbedömningen – inklusive den kompletta inventeringen av personuppgifter, detaljerad analys av insamling/användning/utlämnande/bevarande/korrekthet, rättslig grund och dataflödesdiagram – finns tillgänglig för kunder och potentiella kunder på begäran. Implementerande institutioner använder den som den tekniska och arkitektoniska grunden för sin egen PIA, och fyller i den institutionella översikten, bevarandescheman, avtal om informationsdelning och godkännande innan de lämnar in den till TBS och Office of the Privacy Commissioner.