Voorbeeld template Baselinetoets Informatiebeveiliging en Privacy Aansluiting CORV: scenario ‘SaaS oplossing’ en zelf indienen van VTO SCENARIO: VTO: Gemeente Notificaties: Gemeente Zorgmelding: Veilig Thuis (AMHK) LET OP: in dit scenario is de invullingskeuze van een gemeente zo gemaakt dat VTO’s door een jeugdfunctionaris van de gemeenten worden verstuurd en de notificaties door de gemeente zelf worden ontvangen. De ontvangst van zorgmeldingen is bij de Veilig Thuis organisatie belegd. Als de gemeente ook deze zorgmeldingen ontvangt, zullen er nog meer en gevoelige gegevens binnen de gemeente binnenkomen. Datum: Projectleider: Opdrachtgever: Versie: Opsteller: Functie: Validatie door: Functie: 1 Versiebeheer Versies Versie Goedkeuring Versie Datum Auteur Datum Samenvatting van de wijziging Naam 2 Inhoud 1. Inleiding ..................................................................................................................................................... 4 2. Vragenlijst proces ...................................................................................................................................... 5 2.1 Naam en functie geïnterviewden ........................................................................................................ 5 2.2 Beschrijving van het proces ................................................................................................................. 5 2.3 Beschrijving keten ............................................................................................................................... 6 2.6 Wettelijke grondslag proces ................................................................................................................ 6 2.7 Betrokken informatiesystemen ........................................................................................................... 6 3. Vragenlijst Beschikbaarheid, Integriteit en Vertrouwelijkheid (BIV). ....................................................... 7 3.1 Vragenlijst Beschikbaarheid ................................................................................................................ 7 3.2 Vragenlijst Integriteit........................................................................................................................... 8 3.3 Vragenlijst Vertrouwelijkheid .............................................................................................................. 9 4. Vragenlijst persoonsgegevens ................................................................................................................. 10 5. Analyse en advies .................................................................................................................................... 12 5.1 Analyse BIV ........................................................................................................................................ 12 5.2 Analyse Persoonsgegevens ............................................................................................................... 12 5.3 Advies ................................................................................................................................................ 12 Bijlage 1 Privacy impact analyse CORV........................................................................................................ 13 3 1. Inleiding Met ingang van 1 januari 2015 worden gemeenten in het kader van de Jeugdwet verantwoordelijk voor alle jeugdhulp, inclusief de jeugdbescherming en jeugdreclassering (JB/JR). Voor de communicatie tussen justitiële partijen en gemeentelijke partijen wordt de Collectieve Opdracht Routeervoorziening (CORV) ontwikkeld. Op 1 januari 2015 moeten de partijen die belast zijn met de uitvoering van de justitiële jeugdzorg zijn aangesloten op CORV. Dit is een wettelijke verplichting. Het doel van deze baselinetoets is om vast te stellen of de baseline informatiebeveiliging Nederlandse Gemeenten (BIG) voldoende maatregelen biedt om de gemeente te laten aansluiten op CORV. Dit is een eis van het ministerie van Justitie. Afhankelijk van de uitkomsten van deze baselinetoets volgt eventueel nog een uitgebreide privacy impact analyse (PIA). Deze baselinetoets en een eventuele diepgaande risicoanalyse en/of PIA maken deel uit van het projectdossier aansluiten CORV en dienen ook ter verantwoording van de eisen uit de aansluitvoorwaarden CORV. 4 2. Vragenlijst proces 2.1 Naam en functie geïnterviewden Medewerker 1, functie Medewerker 2, functie Medewerker 3, functie 2.2 Beschrijving van het proces CORV is een digitaal knooppunt dat zorgt voor berichtenuitwisseling met justitiële ketenpartners. CORV is alleen een postbode van de formele berichten: verzoek tot onderzoek (VTO), notificaties en zorgmeldingen. De gemeente moet zorgen voor een postbus en het proces achter de postbus regelen voor de ontvangst van de berichten. LET OP: in dit scenario is de invullingskeuze van een gemeente zo gemaakt dat VTO’s door een jeugdfunctionaris van de gemeenten worden verstuurd en de notificaties door de gemeente zelf worden ontvangen. Verzoek tot onderzoek (VTO) Het indienen van een VTO vindt plaats door een ambtenaar van de gemeente, of een professional namens een door de gemeente gemandateerde jeugdhulpaanbieder, bij de Raad voor de Kinderbescherming (RvdK). Nadat een VTO is ingediend, worden notificaties op het VTO vanuit de RvdK alléén geretourneerd aan de oorspronkelijke indiener/verzender van het VTO. De gemeente heeft er voor gekozen deze taak zelf uit te voeren en te beleggen bij de jeugdconsulenten. Notificaties jeugdbescherming en jeugdreclassering In de uitvoering van de maatregelen in het kader van jeugdbescherming en jeugdreclassering heeft de gemeente een zeer beperkte rol. Dit proces speelt zich grotendeels alleen af tussen de justitiële partners en de gecertificeerde instelling die de tenuitvoerlegging doet. De gemeente krijgt enkel een notificatie met ‘DAT’ informatie van de opgelegde maatregel, zodat zij de regie kan blijven voeren vanuit het perspectief van ‘één gezin, één plan, één regisseur’ en zorg kan dragen voor proces- en budgetbewaking. De regisseursrol ligt al bij de gemeente en dit type bericht zal dan ook bij de gemeente binnenkomen. De acties die genomen worden, liggen bij de Jeugdconsulent. Mocht de informatie betrekking hebben op een traject dat al meegenomen is in een plan dat door het kernteam behandeld wordt, dan zal de jeugdconsulent deze informatie meenemen in het kernteam. Zorgformulier Politie Het doen van een zorgmelding door de politie aan de door een gemeente aangewezen partij die de toegangsfunctie vervult. Deze meldingen kunnen ook buiten kantooruren binnenkomen. Het is cruciaal dat een snelle en kwalitatieve inhoudelijke beoordeling plaatsvindt en er vervolgens in sommige gevallen 5 direct actie wordt ondernomen. Tevens is het verplicht dat de zorgmeldingen omtrent huiselijk geweld en kindermishandeling worden opgepakt door het Veilig Thuis (AMHK). Het ligt voor de hand om het zorgformulier Politie te laten ontvangen door het Veilig Thuis, vanwege de verantwoordelijkheid voor activiteiten omtrent huiselijk geweld en kindermishandeling. De gemeente heeft afspraken gemaakt met de Veilig Thuis organisatie over het doorsturen en de ontvangst van de overige zorgmeldingen en notificaties bij de jeugdconsultent. 2.3 Beschrijving keten CORV wordt beheerd door het ministerie van Veiligheid en Justitie en is alleen toegankelijk voor actoren in de justitiële jeugdketen. De processen die worden ondersteund met CORV spelen zich af in de jeugdketen en met name op het justitiële deel ervan: RvdK, politie, rechterlijke macht, gecertificeerde instellingen, Veilig Thuis en de gemeente. De actoren in deze keten kunnen zowel leverancier van gegevens zijn als afnemer. In het geval van de gemeente [GEMEENTENAAM] geldt dit ook, waarbij de gemeente afnemer is van de notificaties en de leveranciersrol vervult voor wat betreft het versturen van een VTO. LET OP: in dit scenario is de invullingskeuze van een gemeente zo gemaakt dat VTO’s door een jeugdfunctionaris van de gemeenten worden verstuurd en de notificaties door de gemeente zelf worden ontvangen. 2.6 Wettelijke grondslag proces VTO: art. 2.4 Jeugdwet, art 1:240 BW en art. 8, onder e, Wbp JB-/JR-maatregel: art. 8, onder e Wbp ZOF: art. 3, art. 11, lid 1, Politiewet 2012 en art. 8, onder e, Wbp 2.7 Betrokken informatiesystemen Informatiesysteem [INFORMATIESYSTEEM] [DIGIKOPPELING ADAPTER, INCL. VPN] Leverancier [LEVERANCIER] [LEVERANCIER] Eigenaar 6 3. Vragenlijst beschikbaarheid, integriteit en vertrouwelijkheid (BIV) 3.1 Vragenlijst beschikbaarheid B1 Managementbeslissingen: Hoe lang duurt het voordat het nemen van beslissingen nadelig beïnvloedt wordt door het ontbreken van informatie? 0 Naast notificaties kan er altijd via andere wegen informatie bij de gemeente terecht komen, in ieder geval via de declaraties/facturaties. Nadelig effect van ontbreken van notificaties gaat pas op langer termijn spelen. 0 Applicatie is extern in beheer, imagoschade zal extern liggen. Voor de interne onderdelen gaat imagoschade pas op langer termijn spelen. 0 Opdrachten en maatregelen lopen toch wel door in een rechtstreekse lijn met de gecertificeerde instelling. Dit is niet afhankelijk van notificaties. B2 Imagoverlies: Hoe lang duurt het voordat er sprake is van imagoverlies? B3 Hapering dienstverlening: Hoe lang kan de applicatie of informatie niet beschikbaar zijn voordat er daadwerkelijk hapering in de dienstverlening aan burgers/bedrijven ketenpartners ontstaat. B4 Wettelijke aansprakelijkheid: Hoe lang kan de applicatie of informatie niet beschikbaar zijn voordat er wettelijke of contractuele verplichtingen niet kunnen worden nagekomen? B5 Additionele kosten: Na welke periode zijn additionele kosten voor de organisatie te verwachten, bij het niet beschikbaar zijn van de applicatie of informatie? B6 Moreel van de medewerkers: Na welke periode is er sprake van een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers? B7 Herstel: Hoe kort duurt het om te herstellen na een langdurige niet beschikbaarheid van een applicatie of informatie? Zijn er hoge herstelkosten? Subtotalen B1-B7 Weging Subtotaal betrouwbaarheid Baselinenorm Argumentatie (verplicht invullen) 1 maand 1 week 1 dag Waardering 1 uur Gevolgen van het niet beschikbaar hebben van de benodigde informatie of gegevens. 1 Kan alleen ontstaan door budgetuitputting en zelfs dan zijn er andere maatregelen mogelijk om wettelijke of contractuele verplichtingen te kunnen voldoen. 0 Dit hangt samen met de termijn waarin het storend wordt, langere termijn. 0 Dit hangt samen met de termijn waarin het storend wordt, langere termijn. 1 0 3 De impact van herstel zal vrij beperkt zijn. De notificaties worden verwerkt in de back-office applicatie waarvoor al een backup- en herstelregime geldt. 1 2 1 1 5 0 3 8 Binnen de norm 7 3.2 Vragenlijst integriteit Gevolgen van fouten in informatie of doelbewuste manipulatie van informatie om te frauderen of fraude te maskeren (in het ergste geval) Waardering 3 I1 Managementbeslissingen: Kan onjuiste informatie leiden tot onjuiste beslissingen? I2 Fraudepotentie: Zijn er frauderisico’s? Wat zijn de gevolgen? I3 Onderbreking van strategische processen: In hoeverre kunnen de kernprocessen van de organisatie onderbroken worden als gevolg van ongeautoriseerde wijziging van, of fouten in informatie? Vertrouwen van het publiek c.q. klanten: Kan het vertrouwen van het publiek geschaad worden door onjuiste informatie? Wat zijn de gevolgen voor de organisatie? Wettelijke aansprakelijkheid: Wat kunnen de gevolgen zijn van het niet voldoen aan wettelijke of contractuele verplichtingen die veroorzaakt worden door onjuiste informatie? I4 I5 I6 I7 Additionele kosten: In hoeverre kunnen er additionele kosten ontstaan door het toepassen van onjuiste informatie? Bijvoorbeeld het moeten herstellen van een corrupte database of opnieuw invoeren van gegevens. Moreel van de medewerkers: Wat zijn de schadelijke effecten op het moreel van medewerkers als u onjuiste informatie gebruikt? Subtotalen I1-I7 Weging Subtotaal integriteit Baselinenorm 2 1 1 Argumentatie (verplicht invullen) 0 Op basis van notificaties worden geen beslissingen genomen, hooguit kan de budgetuitputting verkeerd ingeschat worden. De impact hiervan is echter beperkt. 1 Omdat op basis van notificaties geen beslissingen worden genomen, zijn frauderisico's afwezig. 1 Opdrachten en maatregelen zijn niet afhankelijk van notificaties. 1 Alle inbreuken op integriteit zal enige imagoschade veroorzaken, maar voor CORV zal dit beperkt blijven. 1 Risico ligt alleen op vlak van budgetuitputting en zelfs dan zijn er andere maatregelen mogelijk om wettelijke of contractuele verplichtingen te kunnen voldoen. Risico ligt alleen op vlak van budgetuitputting en zelfs dan zal dit geen additionele kosten veroorzaken. 1 1 0 3 0 2 5 1 Risico ligt alleen op vlak van budgetuitputting en zelfs dan zal dit geen schadelijke effecten veroorzaken. 2 0 5 14 Binnen de norm 3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners /politiek/burgers en afnemers. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 8 3.3 Vragenlijst vertrouwelijkheid Gevolgen van onbedoelde of ongeautoriseerde verspreiding van gegevens of informatie (in het ergste geval) V1 Vertrouwen van de burger: Wat zijn de gevolgen voor de gemeente indien de binnen het proces beschikbare informatie te vroeg c.q. niet volgens de regels verspreid wordt? V2 Vertrouwen van het publiek: Wat zijn de gevolgen voor het publieke imago van de gemeente als vertrouwelijke informatie van de organisatie onterecht wordt verspreid Waardering 3 1 2 1 Argumentatie (verplicht invullen) 0 Vertrouwelijkheid van persoonsgegevens ligt heel gevoelig. Iedere privacyschending zal ten koste gaan van het vertrouwen van burgers en het publiek. Vertrouwelijkheid van persoonsgegevens ligt heel gevoelig. Iedere privacyschending zal ten koste gaan van het vertrouwen van burgers en het publiek. De gemeente kan toegang tot CORV ontzegt worden. Dit zal echter met een onderzoek en een plan van aanpak redelijk snel hersteld kunnen worden. 1 V3 Vertrouwen van ketenpartners: Kan de gemeente toegang tot de keten geweigerd worden? Wat zijn de gevolgen voor de relatie met de ketenpartners als vertrouwelijke informatie onterecht wordt verspreid. 1 V4 Vertrouwen van ketenpartners: Wat zijn de gevolgen voor de relatie met de ketenpartners als vertrouwelijke informatie onterecht wordt verspreid. 1 Het vertrouwen van ketenpartners kan beschadigd worden en dus ook de relatie ermee. Doordat dit een professionele relatie betreft is die op een zakelijke manier wel te herstellen. V5 (Wettelijke) Aansprakelijkheid: Wat zijn de gevolgen voor (wettelijke) aansprakelijkheid bij het onterecht verspreiden van deze informatie? V6 Additionele kosten: In hoeverre is er sprake van additionele kosten door onterechte verspreiding van deze informatie? V7 Moreel van de medewerkers: In hoeverre kan een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers een gevolg zijn van de onterechte verspreiding van informatie? Subtotalen I1-I7 1 Mogelijk kunnen burgers schade ondervinden van openbaarmaking van JB- en JR-maatregelen en de gemeente ervoor aansprakelijk stellen. Wanneer de gemeente aansprakelijk gesteld wordt, is de kans aanwezig dat schadevergoeding betaald moet worden. 1 Het moreel van medewerkers zal geen schade oplopen door openbaarmaking van JB- en JR-maatregelen. Weging Subtotaal vertrouwelijkheid Baselinenorm 1 2 4 3 2 0 1 Er is 2x een 3 gescoord, risicoanalyse is noodzakelijk 1 0 14 2 vragen boven de norm 14 3 = zeer ernstige schade: raadsvragen, reactie wethouder vereist, belangrijke partners / klanten stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade: krantenkoppen, vragen van belangrijke partners /politiek/burgers en afnemers. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 9 4. Vragenlijst persoonsgegevens Persoonlijke gevolgen van onbedoelde of ongeautoriseerde verspreiding van persoonsgegevens van betrokkene(n) (in het ernstigste geval) Waardering 3 P1 Veiligheid: Is de veiligheid van personen in het geding indien persoonsgegevens uitlekken of onterecht worden verwerkt? P2 Chantage: Kan de betrokkene eventueel gechanteerd worden bij het uitlekken van persoonsgegevens? P3 Identiteits- en financiële fraude: Bestaat de mogelijkheid dat door het uitlekken van persoonsgegevens identiteits- of financiële fraude kan plaatsvinden? Fysieke en geestelijke schade: Kan de betrokkene schade oplopen indien gegevens betreffende de persoon openbaar worden, of onterecht worden verwerkt? Vertrouwen van de burger: Wat zijn de gevolgen voor het publieke imago van de gemeente als vertrouwelijke informatie omtrent personen onterecht wordt verspreid of anderszins wordt verwerkt. (Wettelijke) Aansprakelijkheid: Wat zijn de gevolgen voor (wettelijke) aansprakelijkheid bij het onterecht verspreiden/verwerken van deze persoonlijke informatie? P4 P5 P6 P7 P8 P9 Additionele kosten: In hoeverre is er sprake van additionele kosten, door onterechte verspreiding / verwerking van deze persoonlijke informatie? Moreel van de medewerkers: In hoeverre kan een duidelijk negatieve invloed op het moreel en de motivatie van medewerkers een gevolg zijn van de onterechte verspreiding/verwerking van informatie? Heeft u het/de specifieke doel(en) waarvoor u de persoonsgegevens gaat verwerken in detail vastgelegd? P10 Worden bestaande persoonsgegevens voor nieuwe doeleinden verwerkt in een bestaand systeem? 2 1 1 Argumentatie (verplicht invullen) 0 1 Uitlekken van informatie over JR en JBmaatregelen zullen leiden tot imago schade bij kind/ouders/verzorgenden. Dit is een mogelijkheid, omdat de ouders vrijwel altijd zullen willen voorkomen dat informatie op straat komt te liggen. 1 De informatie over JB- en JRmaatregelen bevat alleen procesmatige informatie. 1 Ook de betrokkene zelf kan schade oplopen door openbaar raken van informatie over JB- en JR-maatregelen, al zal dat alleen geestelijk zijn. Het vertrouwen van burgers is al laag en zal door een incident op dit gebied verder zakken. 1 1 1 Er lijkt een kans op aansprakelijkheidsstelling, omdat ouders/betrokkenen in sociaal opzicht in diskrediet kunnen raken, wat ook financiële consequenties kan hebben. Wanneer de gemeente aansprakelijk gesteld wordt, is de kans aanwezig dat schadevergoeding betaald moet worden. 1 Het moreel van medewerkers zal geen schade oplopen door openbaarmaking van JB- en JR-maatregelen. 1 Voor zover nodig wel, het is een wettelijke verplichting en wordt in mandaten meegenomen. 1 De gegevens worden verwerkt in GWS4all, wel binnen een nieuwe module ervan. 10 Persoonlijke gevolgen van onbedoelde of ongeautoriseerde verspreiding van persoonsgegevens van betrokkene(n) (in het ernstigste geval) P11 Gaat het bij het project/systeem om het nastreven van bestaande aanvullende doeleinden door bestaande persoonsgegevens, of verzamelingen daarvan, te gebruiken, vergelijken, delen koppelen of anderszins verder te verwerken? P12 Indien u op P11 ja hebt geantwoord: Hebben alle personen/instanties/systemen die betrokken zijn bij de verwerking andere doelstelling met de verwerking van de desbetreffende persoonsgegevens of is spanning mogelijk met de doelstellingen van de gemeente, gelet op hun taak of hun belang? P13 Indien u op P11 ja hebt geantwoord: Kan er verschil bestaan in doelen gedurende het gehele proces? P14 Worden de verzamelde/verwerkte persoonsgegevens alleen beoordeeld voor het doel waarvoor ze aangeleverd worden en blijft het beoordelen, in kaart brengen of voorspellen van het gedrag/de aanwezigheid of de prestaties van mensen achterwege? P15 Indien u op P14 ja hebt geantwoord: gebeurt dit zonder kennis van de betrokkenen? P16 Indien u op P14 ja hebt geantwoord: Zijn de gegevens die hiervoor worden gebruikt, afkomstig uit verschillende (eventueel externe) bronnen en zijn zij oorspronkelijk voor andere doelen verzameld? Subtotalen P1-P16 Weging Subtotaal persoonsgegevens Waardering 3 1 2 1 Argumentatie (verplicht invullen) 0 Nieuwe doelen op gebied van Jeugd, nieuwe gegevens. 1 Ketenpartners hebben vergelijkbare doelen en voor zover er verschillen zijn, veroorzaken die geen spanning met de doelen van de gemeente. 1 Doelen blijven hetzelfde gedurende het hele proces. 1 Dit is geborgd met autorisaties en systeeminrichting. 1 nvt 1 nvt 4 3 2 2 0 10 1 0 16 Resultaat: advies PIA uitvoeren! 1 3 = zeer ernstige schade voor de persoon en de gemeentelijke organisatie: raadsvragen, reactie wethouder vereist, belangrijke partners / burgers en derden stellen professionaliteit van de gemeentelijke dienst ter discussie. 2 = ernstige schade voor de persoon, de gemeentelijke dienst: krantenkoppen, vragen van partners / burgers ,boete CBP. 1 = acceptabele schade, binnen marges: incident met direct betrokkenen snel recht te zetten. 0 = verwaarloosbare schade of niet van toepassing. 11 5. Analyse en advies 5.1 Analyse beschikbaarheid, integriteit en vertrouwelijkheid Score Beschikbaarheid Integriteit Vertrouwelijkheid Aantal score boven de baselinenorm Baseline-norm 3 5 14 8 14 14 0 0 2 Het niveau van de baseline informatiebeveiliging volgens de IBD bevindt zich op de volgende (BIV)waarden: Beschikbaarheid: Belangrijk (waarde = 8 in de gehanteerde beschikbaarheidsschaal). Integriteit: Hoog (waarde = 14 in de gehanteerde Integriteitsschaal) Vertrouwelijkheid: Vertrouwelijk (waarde =14 in de gehanteerde vertrouwelijkheidsschaal) Let op: Als er één of meerdere keren een twee (2) is gescoord bij Beschikbaarheid (B) en een drie (3) gescoord is bij de Integriteit (I) en Vertrouwelijkheid (V)- + Persoonsgegevens (P)-rating, dan betekent dat, er een verhoogd risico aanwezig is. Op grond hiervan moet er, onafhankelijk van de rest van de scores, een diepgaande risicoanalyse uitgevoerd worden. De resultaten van deze baselinetoets dienen als input voor de diepgaande risicoanalyse. De analyse van de informatiewaarde die verwerkt wordt via CORV wijst uit dat de focus bij bescherming van informatie op het vertrouwelijkheidsaspect moet komen te liggen. Deze waarde valt buiten de baseline-normen, zoals gesteld door de Informatiebeveiligingsdienst. 5.2 Analyse Persoonsgegevens Score Persoonsgegevens Aantal score boven de baselinenorm Baseline-norm 16 0 4 Een verdergaande analyse van bescherming van persoonsgegevens bevestigt de uitkomsten van de analyse hierboven, maar wijst uit dat op aantal punten persoonsgegevens zeer gevoelig zijn. 5.3 Advies Op basis van de baselinetoets zijn extra maatregelen nodig, deze moeten worden vastgesteld door middel van een aanvullende Diepgaande risico analyse. Doordat de analyse uit heeft gewezen dat de persoonsgegevens die via CORV verwerkt worden zeer gevoelig zijn, is volgens de opzet van de baselinetoets een privacy impact analyse (PIA) nodig. Deze wordt (later) als bijlage toegevoegd. 12 Bijlage 1 Privacy impact analyse CORV De PIA voor het deelproject justitiele ketenonformatisering is op 3 december naar de Tweede Kamer gezonden en deze PIA bevat alle aanknopingspunten die nodig zijn. Met name de tabel in hoofdstuk 7 zegt iets over het risico als zaken al of niet uitgevoerd zijn. Deze baselinetoets template en de diepgaande risicoanalyse template, en het juist omgaan met - en toepassen van de maatregelen verlaagd het risico van de gemeente.1 1 Zie: http://www.tweedekamer.nl/downloads/document?id=98f54305-51de-48ab-89adb8017b85e6df&title=Privacy%20Impact%20Assessment%20%28PIA%29%20deelproject%20Justiti%C3%ABle%20Ke teninformatisering.pdf 13