Heeft het CBS een Data Protection Impact Assessment (DPIA) gedaan?

Ja. Het CBS heeft conform de standaard Rijks Data Protection Impact Assessment (DPIA) een DPIA uitgevoerd. Voor de Barometer is een extra risicoanalyse gedaan in het kader van onthulling van individuele werknemers als aanvulling op de CBS-DPIA. In de eerste plaats heeft het CBS een pilot gehouden onder een aantal grote instellingen die hadden toegezegd mee te willen werken. Het CBS heeft in eerste instantie de gegevens op nationaal niveau berekend. In de pilot is door het CBS onderzocht in hoeverre het mogelijk is om gegevens naar subgroepen zoals vestiging te berekenen. Het risico is namelijk dat een subgroep uit te weinig werknemers bestaat, zodat werknemers van elkaar onderling het herkomstland kunnen afleiden. Tevens is in de pilot onderzocht welke migratieachtergrondindeling in combinatie met welke personeelsomvang nog voldoet aan de CBS onthullingsstandaard. Dit heeft ertoe geleid dat alleen instellingen mogen meedoen die meer dan 250 werknemers hebben (zie Kamerbrief van 14 mei 2020 (29544, nr. 1004).

Daarnaast is op verzoek van de Functionaris Gegevensbescherming (FG) een nadere analyse gedaan of uit de uitkomsten nog informatie kan worden afgeleid over individuele werknemers van de betreffende organisatie. Dat bleek niet het geval.

In de standaardwerkwijze van het CBS wordt er binnen de kaders van de Algemene Verordening gegevensbescherming (AVG) en de CBS-wet gewerkt. Daarbij controleert het CBS op onthullingsrisico. Het CBS publiceert nooit persoonsgegevens, want dat zou in strijd met artikel 37 CBS-wet zijn. Er wordt altijd geaggregeerd gepubliceerd. Het CBS publiceert normaal gesproken niet over individuele instellingen, maar in dit geval verzoekt de organisatie het CBS om de Barometer uit te voeren en stemt de organisatie in met de publicatieplicht van het CBS (zie ‘Worden er gegevens openbaar gemaakt?’).