Heeft het CBS een Data Protection Impact Assessment (DPIA) gedaan?

Het CBS heeft conform de standaard Rijks Data Protection Impact Assessment (DPIA) een DPIA uitgevoerd. Voor de Barometer culturele diversiteit is een extra risicoanalyse gedaan in het kader van onthulling c.q. geheimhouding als aanvulling op de CBS-DPIA. In de eerste plaats heeft het CBS een pilot gehouden onder een aantal grote instellingen die hadden toegezegd mee te willen werken.

Het CBS heeft in eerste instantie de gegevens op nationaal niveau berekend. In de pilot is door het CBS onderzocht in hoeverre het mogelijk is om gegevens naar subgroepen zoals vestiging te berekenen. Het risico is namelijk dat een subgroep uit te weinig werknemers bestaat, zodat werknemers van elkaar onderling de migratieachtergrond kunnen afleiden. Tevens is in de pilot onderzocht welke migratieachtergrondindeling in combinatie met welke personeelsomvang nog voldoet aan de CBS onthullingsstandaard. Dit heeft ertoe geleid dat alleen instellingen mogen meedoen die meer dan 250 werknemers hebben (zie Kamerbrief van 14 mei 2020 (29544, nr. 1004). Dit geldt ook voor het detailniveau dat het CBS hanteert voor de migratieachtergrond.

Op verzoek van de Functionaris Gegevensbescherming (FG) is een nadere analyse gedaan of uit de uitkomsten nog informatie kan worden afgeleid over individuele medewerkers van de betreffende organisatie.

In de standaardwerkwijze van het CBS wordt er binnen de kaders van de Algemene Verordening gegevensbescherming (AVG) en de CBS-wet gewerkt. Daarbij controleert het CBS op onthullingsrisico. Het CBS publiceert nooit persoonsgegevens, want dat zou in strijd met artikel 37 CBS-wet zijn. Er wordt altijd geaggregeerd gepubliceerd. Het CBS publiceert normaal gesproken niet over individuele instellingen, maar in dit geval stemt de instelling in met de publicatieplicht van het CBS.