Data Protection Impact Assessment
De DPIA-concept-template ligt klaar voor afronding met de FG. Onderstaand de kern; de volledige tekst staat in docs/DPIA.md.
Verwerkingsprofiel in één oogopslag
- Verwerker: Gemeente Eindhoven zelf (zelf-hosted, geen externe AI-leverancier).
- Categorieën: documentinhoud (.pptx), naam + e-mail medewerker (via EntraID), audit-events.
- Bewaartermijn: 90 dagen, configureerbaar via
RETENTION_DAYS. - Externe data-stromen: geen — alle generatie en analyse is rule-based en lokaal.
- Grondslag: gerechtvaardigd belang (art. 6 lid 1 sub f AVG) — kwaliteitsborging publieke communicatie.
Top-risico's en mitigatie
| Risico | Kans | Impact | Mitigatie |
|---|---|---|---|
| Onbedoelde upload vertrouwelijke .pptx | Medium | Medium | Banner upload-scherm + 90-dagen retention + audit |
| Document-inhoud lekt via logs | Laag | Hoog | Logs bevatten alleen actor + actie + telling, geen vrije tekst |
Onbevoegde toegang tot .data/ | Laag | Hoog | EntraID-SSO afdwingen, .data/ niet HTTP-bereikbaar |
| Externe AI-leverancier ziet data | n.v.t. | n.v.t. | Geen externe AI in deze versie |
Akkoord-template
De volledige tabel met paraferende rollen (Eigenaar, FG, CISO, ICT) staat in docs/DPIA.md.