💼 Management Samenvatting
Een Data Protection Impact Assessment (DPIA) is voor Nederlandse overheidsorganisaties geen theoretische exercitie, maar een verplicht instrument om systematisch na te denken over privacyrisico's vóórdat nieuwe systemen, zoals AI-toepassingen in Microsoft 365 en Azure, worden ingevoerd. Zeker wanneer persoonsgegevens op grote schaal worden geanalyseerd, gecombineerd of gebruikt voor besluitvorming, verwachten zowel de AVG als de Autoriteit Persoonsgegevens dat een DPIA aantoonbaar is uitgevoerd en dat de uitkomsten zichtbaar doorwerken in ontwerpkeuzes, beveiligingsmaatregelen en governance.
Aanbeveling
IMPLEMENT
Risico zonder
High
Risk Score
8/10
Implementatie
220u (tech: 80u)
Van toepassing op:
✓ Rijksoverheid
✓ Gemeenten
✓ Zorginstellingen
✓ Onderwijs
✓ Vitale aanbieders
✓ Gemeenten
✓ Zorginstellingen
✓ Onderwijs
✓ Vitale aanbieders
In de praktijk blijkt dat DPIA's vaak ad hoc, onvolledig of te laat worden uitgevoerd. Projectteams zien de procedure als een juridische formaliteit, waardoor belangrijke risico's rond profiling, geautomatiseerde besluitvorming, dataminimalisatie en bewaartermijnen pas aan het licht komen als de technische inrichting al grotendeels vaststaat. Dit leidt tot dure herontwerpen, discussies met leveranciers en vertraging bij board- of collegebesluiten. Daarbij komt dat AI- en cloudscenario's – zoals Copilot in Microsoft 365, geavanceerde detectieregels in Defender of maatwerkmodellen in Azure – moeilijk te vangen zijn in generieke DPIA-sjablonen. Zonder een duidelijke, herhaalbare methodologie ontstaat versnippering: elke afdeling vult DPIA's anders in, risicobeoordelingen zijn niet vergelijkbaar en auditors krijgen geen consistent beeld van de totale risicopositie van de organisatie.
PowerShell Modules Vereist
Primary API: Microsoft 365 Admin Center, Microsoft Purview, Azure Portal
Connection:
Required Modules: Microsoft.PowerShell.Management
Connection:
PowerShell, Microsoft Graph, REST API'sRequired Modules: Microsoft.PowerShell.Management
Implementatie
Dit artikel beschrijft een praktische, herbruikbare DPIA-methodologie die specifiek is toegesneden op AI- en cloudscenario's binnen Microsoft 365 en Azure voor de Nederlandse publieke sector. We werken uit welke stappen minimaal nodig zijn – van scoping en systeembegrip tot risico-identificatie, maatregelselectie en besluitvorming – en hoe u deze stappen vertaalt naar concrete documenten, checklists en beslisnotities. Daarbij sluiten we aan op AVG-artikelen 35 en 36, de BIO, ISO 27001 en guidance van de Autoriteit Persoonsgegevens. Het gekoppelde PowerShell-script ondersteunt u bij het inrichten van een consistente documentatiestructuur voor DPIA's, het genereren van sjablonen en het monitoren of verplichte onderdelen, zoals risicomatrices en besluitvormingsverslagen, daadwerkelijk aanwezig zijn in de repository van de "Nederlandse Baseline voor Veilige Cloud".
Wanneer is een DPIA verplicht en wat is de reikwijdte?
Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Voor Nederlandse overheidsorganisaties is dat al snel het geval bij AI- en cloudscenario's waarin grote hoeveelheden gegevens worden geanalyseerd, burgers worden geprofileerd of beslissingen aanzienlijke gevolgen kunnen hebben, bijvoorbeeld bij de toekenning van voorzieningen, toezichtselectie of risicoscores. De Autoriteit Persoonsgegevens heeft lijsten gepubliceerd van verwerkingen waarvoor een DPIA in ieder geval verplicht is, zoals grootschalige monitoring van publiek toegankelijke ruimten of systemen waarbij kwetsbare groepen worden geprofileerd. AI-ondersteunde besluitvorming en voorspellende analyses vallen in de praktijk vaak in deze categorie, zeker wanneer meerdere databronnen worden samengebracht. Daarom is het verstandig om AI-initiatieven in Microsoft 365 en Azure standaard te toetsen aan de DPIA-criteria, in plaats van per project opnieuw te discussiëren of een DPIA wel of niet noodzakelijk is.
De reikwijdte van een DPIA gaat verder dan alleen de technische component. Een methodologisch sterke DPIA beschrijft de volledige context: welke wettelijke taak of beleidsdoel wordt nagestreefd, welke processen en ketenpartners zijn betrokken, welke categorieën betrokkenen geraakt worden en welke beslissingen of acties uiteindelijk uit het systeem voortvloeien. Voor AI in Microsoft 365 kan dat bijvoorbeeld betekenen dat niet alleen de Copilot-functionaliteit zelf wordt beschreven, maar ook de onderliggende documentopslag in SharePoint, de gebruikte dataclassificatie, de logging in Purview en de incidentafhandeling in Microsoft Sentinel. In Azure-scenario's spelen naast data-opslag en rekenomgevingen ook ontwikkel- en testomgevingen een rol; gegevens die in een datalake of modeltraining worden gebruikt, kunnen andere risico's opleveren dan gegevens in een operationele productie-applicatie. Door deze context vooraf scherp te definiëren, voorkomt u dat de DPIA zich beperkt tot één component en belangrijke risico's elders in de keten onbesproken blijven.
Een veelgemaakte fout is dat organisaties DPIA's benaderen als statische documenten die één keer worden ingevuld en daarna worden gearchiveerd. De AVG benadrukt juist dat DPIA's een dynamisch karakter hebben: wanneer de aard, omvang, context of doeleinden van de verwerking veranderen, moet de risicoanalyse worden herzien. Voor AI en cloud is dat extra relevant, omdat leveranciers regelmatig nieuwe functies uitrollen, configuratiemogelijkheden uitbreiden en default-instellingen aanpassen. Een robuuste DPIA-methodologie bevat daarom afspraken over triggers voor herbeoordeling, bijvoorbeeld bij het toevoegen van nieuwe databronnen, het inzetten van aanvullende AI-modellen, het opschalen naar nieuwe doelgroepen of het koppelen aan andere ketensystemen. Door deze triggers expliciet op te nemen in ontwerpdocumenten en wijzigingsprocedures, borgt u dat DPIA's niet verouderen maar meebewegen met de technische en organisatorische werkelijkheid.
Een gestructureerde DPIA-aanpak voor AI- en cloudscenario's
Een effectieve DPIA-methodologie bestaat uit duidelijke, herhaalbare stappen die zowel juristen, privacy officers, CISO's als technische teams begrijpen. Een praktisch startpunt is een vaste structuur met vijf blokken: beschrijving van de verwerking, doel en rechtsgrond, beoordeling van noodzakelijkheid en proportionaliteit, systematische risicoanalyse en selectie van mitigerende maatregelen. Bij de beschrijving van de verwerking legt u in begrijpelijke taal uit welke systemen worden gebruikt, welke gegevens stromen waarheen en welke besluiten of acties hieruit volgen. Daarbij is het essentieel om AI-onderdelen expliciet te benoemen: welke modellen of functies worden gebruikt, hoe ze worden gevoed met data en welke mate van menselijke tussenkomst er is. In cloudscenario's beschrijft u bovendien de rolverdeling tussen verwerkingsverantwoordelijke en verwerker, inclusief contractuele borgingen in verwerkersovereenkomsten en aanvullende waarborgen zoals de EU Data Boundary of specifieke soevereiniteitsopties.
De beoordeling van noodzakelijkheid en proportionaliteit vormt het hart van de DPIA. Hier onderbouwt u waarom de verwerking nodig is voor het beoogde doel, of er minder ingrijpende alternatieven zijn en hoe u dataminimalisatie, beperkte bewaartermijnen en doelbinding concreet invult. In AI-scenario's betekent dit onder meer dat u kritisch kijkt naar de omvang en gevoeligheid van de datasets die voor training en inferentie worden gebruikt. Worden er meer gegevens verzameld dan strikt nodig is? Kunnen pseudonimisering of aggregatie worden toegepast zonder dat de functionaliteit substantieel verliest? Zijn er mogelijkheden om gevoelige attributen uit datasets te verwijderen of alleen op geaggregeerd niveau te gebruiken? Een gestructureerde methodologie biedt hiervoor standaardvragen en voorbeeldantwoorden, zodat verschillende projecten elkaar in diepgang en kwaliteit niet overlopen. Dit maakt het ook voor toezichthouders en auditors eenvoudiger om DPIA's onderling te vergelijken.
In de risicoanalysefase brengt u systematisch in kaart welke bedreigingen, kwetsbaarheden en mogelijke gevolgen voor betrokkenen samenkomen. Voor AI en cloud is het zinvol om naast klassieke informatiebeveiligingsrisico's – zoals datalekken of ongeautoriseerde toegang – ook model-specifieke risico's mee te nemen, zoals bias, onverklaarbare uitkomsten, datapoisoning en modelinversie. De methodologie kan gebruikmaken van risicomatrices waarin per scenario de waarschijnlijkheid en impact worden ingeschat aan de hand van voorbeeldcases, bijvoorbeeld foutieve signalering van fraude, onterechte uitsluiting van dienstverlening of overmatige profilering van bepaalde wijken of doelgroepen. Door de uitkomsten van de risicoanalyse te koppelen aan concrete maatregelen – zoals extra logging, menselijke review, calibratie van drempelwaarden, aanvullende training of het uitsluiten van gevoelige kenmerken – ontstaat een transparant spoor van risico naar maatregel. Dit helpt bestuurders om onderbouwde besluiten te nemen en maakt het mogelijk om bij incidenten aan te tonen welke afwegingen eerder zijn gemaakt.
Vertaling naar Microsoft 365 en Azure: patronen en best practices
Om de DPIA-methodologie daadwerkelijk toepasbaar te maken in de praktijk, moet zij worden verbonden met concrete configuratiepatronen in Microsoft 365 en Azure. Voor Copilot en andere AI-functies in Microsoft 365 betekent dit dat de uitkomsten van de DPIA zichtbaar terugkomen in bijvoorbeeld de inrichting van Microsoft Purview, de toekenning van sensitivity labels, de segmentatie van SharePoint-sites en Teams, en de vastlegging van toegangsrechten in Entra ID. Wanneer de DPIA bijvoorbeeld een hoog risico identificeert rond toegang tot zeer gevoelige dossiers, kan dit leiden tot technische maatregelen als aparte tenants of enclaves, strengere voorwaardelijke toegang, extra logging en strengere lifecycle- en bewaarbeleid voor documenten. De methodologie moet teams helpen om dergelijke conclusies niet alleen te beschrijven, maar direct te vertalen naar concrete configuratiestappen en beheerprocedures.
In Azure-scenario's spelen ontwerpkeuzes rond data-architectuur en ontwikkelstraat een grote rol. Een DPIA die constateert dat trainingsdata gevoelige persoonsgegevens bevat, hoort te resulteren in maatregelen als gescheiden opslagaccounts voor rauwe en opgeschoonde data, stricte rolgebaseerde toegang (RBAC), gebruik van managed identities in plaats van gedeelde secrets, en versleuteling van data-at-rest en in-transit. Voor AI-services als Azure OpenAI, Machine Learning of Cognitive Services betekent dit ook dat governance rond prompts, logs en modelversies in lijn moet worden gebracht met de uitkomsten van de DPIA. De methodologie kan hiervoor standaardpatronen bieden: bijvoorbeeld een referentiearchitectuur voor een privacy-bewuste data pipeline of een sjabloon voor een model governance plan waarin versiebeheer, testresultaten en goedkeuringen worden vastgelegd. Zo wordt voorkomen dat technische teams op eigen houtje allerlei oplossingen uitvinden die moeilijk zijn te auditen of te herhalen.
Belangrijk is dat de vertaalslag naar Microsoft 365 en Azure niet eenmalig plaatsvindt, maar een doorlopend dialoogproces wordt tussen privacy, security en IT. Nieuwe features, zoals extra Copilot-mogelijkheden of nieuwe Azure-diensten, moeten systematisch worden gescreend op impact voor reeds bestaande DPIA's. De methodologie kan dit ondersteunen door een koppeling te leggen met change- en releaseprocessen: iedere belangrijke wijziging in configuratie of architectuur vraagt expliciet om de vraag of de bestaande DPIA nog actueel is en of aanvullende maatregelen nodig zijn. Door deze vragen op te nemen in CAB-formulieren, architectuurreviews en implementatiechecklists, wordt de DPIA geen los document, maar een levend kader dat de hele lifecycle van AI- en cloudoplossingen begeleidt. Dit sluit direct aan bij de doelen van de "Nederlandse Baseline voor Veilige Cloud": aantoonbare, herhaalbare en goed gedocumenteerde beveiligings- en privacykeuzes.
Monitoring, review en doorlopende verbetering van DPIA's
Gebruik PowerShell-script dpia-methodology.ps1 (functie Invoke-Monitoring) – Controleert of kernonderdelen van de DPIA-methodologie – zoals sjablonen, risicomatrices en besluitvormingsdocumenten – aanwezig zijn en signaleert hiaten..
Een DPIA verliest snel waarde als hij na oplevering niet actief wordt gemonitord en geactualiseerd. Voor AI- en cloudscenario's is continue verbetering zelfs cruciaal: data, modellen, configuraties en eisen vanuit wet- en regelgeving veranderen doorlopend. Organisaties doen er daarom goed aan om periodieke reviewsessies te organiseren waarin zowel de uitvoering van maatregelen als de onderliggende risico-inschattingen opnieuw worden bekeken. In zulke sessies wordt bijvoorbeeld beoordeeld of de aannames in de oorspronkelijke DPIA nog kloppen, of nieuwe incidenten of near-misses aanleiding geven tot extra maatregelen en of burgers, cliënten of interne gebruikers signalen afgeven dat AI-toepassingen onbedoelde effecten hebben. Door deze reviewmomenten te koppelen aan bestaande audit- of planning & control-cycli, ontstaat een ritme waarin DPIA's op een natuurlijke manier worden bijgewerkt in plaats van ad hoc bij incidenten.
Gebruik PowerShell-script dpia-methodology.ps1 (functie Invoke-Remediation) – Maakt waar nodig sjablonen en basisstructuren aan voor DPIA-documentatie, zodat verbeteracties direct concreet kunnen worden opgepakt..
Monitoring en remediatie zijn het meest effectief wanneer zij zo veel mogelijk worden geautomatiseerd en ingebed in de bestaande tooling. Het gekoppelde PowerShell-script kan bijvoorbeeld periodiek worden uitgevoerd in de repository van de "Nederlandse Baseline voor Veilige Cloud" om te controleren of alle verplichte documenten per DPIA aanwezig zijn, of de mapstructuren voor risicomatrices en besluitvormingsnotities bestaan en of de laatste wijzigingsdatums binnen verwachte grenzen vallen. Wanneer hiaten worden gevonden, kan het script sjablonen genereren en een basisverbeterplan aanmaken, zodat verantwoordelijken niet vanaf nul hoeven te beginnen. Door de resultaten van deze controles te loggen en als auditbewijs te bewaren, ontstaat een transparant spoor van continue verbetering. Dit helpt zowel bij interne verantwoording aan bestuur en directie als bij externe toetsing door de Autoriteit Persoonsgegevens, de Algemene Rekenkamer of andere toezichthouders.
Compliance & Frameworks
- BIO: 9.01, 9.02, 12.01, 12.02 - Systematische risicoanalyse, privacy by design en verantwoording over beveiligings- en privacykeuzes in informatiesystemen, inclusief AI- en clouddiensten.
- ISO 27001:2022: A.5.7, A.5.23, A.8.2, A.8.28 - Beoordeling van informatiebeveiligingsrisico's, bescherming van persoonsgegevens en documentatie van maatregelen binnen de informatiebeveiligingsmanagementsystemen.
- NIS2: Artikel - Verplichting voor essentiële en belangrijke entiteiten om risico-gebaseerde beveiligingsmaatregelen te treffen en periodiek te evalueren, met expliciete aandacht voor documentatie en governance.
Automation
Gebruik het onderstaande PowerShell script om deze security control te monitoren en te implementeren. Het script bevat functies voor zowel monitoring (-Monitoring) als remediation (-Remediation).
PowerShell
<#
.SYNOPSIS
Ondersteunt een gestructureerde DPIA-methodologie voor Microsoft 365 en Azure.
.DESCRIPTION
Dit script helpt Nederlandse overheidsorganisaties bij het borgen van een herhaalbare
DPIA-aanpak voor cloudverwerkingen. Het script voert lichte lokale controles uit op de
aanwezigheid van DPIA-documentatie en kan een mapstructuur en sjablonen genereren voor
DPIA-rapporten en actieplannen.
.NOTES
Filename: dpia-methodology.ps1
Author: Nederlandse Baseline voor Veilige Cloud
Created: 2025-11-26
Last Modified: 2025-11-26
Version: 1.0
Related JSON: content/compliance/dpia-methodology.json
.EXAMPLE
.\dpia-methodology.ps1 -InvokeMonitoring -DebugMode
Voert een veilige lokale testrun uit met voorbeeldresultaten, zonder afhankelijk
te zijn van een specifieke mappenstructuur.
.EXAMPLE
.\dpia-methodology.ps1 -InvokeMonitoring
Controleert in de repository of kernstukken voor DPIA-methodologie aanwezig zijn.
.EXAMPLE
.\dpia-methodology.ps1 -InvokeRemediation -WhatIf
Toont welke sjablonen zouden worden aangemaakt zonder daadwerkelijk bestanden
te wijzigen of directories te creëren.
#>
#Requires -Version 5.1
[CmdletBinding()]
param(
[Parameter(HelpMessage = "Voer controles uit op aanwezigheid van DPIA-documentatie en methodologie")]
[switch]$InvokeMonitoring,
[Parameter(HelpMessage = "Genereer sjablonen en basisstructuren voor DPIA-documentatie")]
[switch]$InvokeRemediation,
[Parameter(HelpMessage = "Toon welke acties zouden worden uitgevoerd zonder wijzigingen aan te brengen")]
[switch]$WhatIf,
[Parameter(HelpMessage = "Voer een veilige lokale test uit met voorbeelddata")]
[switch]$DebugMode
)
$ErrorActionPreference = 'Stop'
function Get-RepositoryRoot {
<#
.SYNOPSIS
Bepaalt de rootmap van de repository op basis van de locatie van dit script.
.OUTPUTS
String met het pad naar de repositoryroot.
#>
[CmdletBinding()]
param()
$root = Resolve-Path (Join-Path $PSScriptRoot "..\..") -ErrorAction SilentlyContinue
if (-not $root) {
throw "Kon de repository-root niet bepalen op basis van PSScriptRoot: $PSScriptRoot"
}
return $root.Path
}
function Get-DpiaDocumentationPaths {
<#
.SYNOPSIS
Bepaalt de paden voor DPIA-gerelateerde documentatie op basis van de repositorystructuur.
.OUTPUTS
PSCustomObject met padinformatie.
#>
[CmdletBinding()]
param()
$repoRoot = Get-RepositoryRoot
$docsRoot = Join-Path $repoRoot "documentatie\dpia"
$templatesPath = Join-Path $docsRoot "sjablonen"
$reportsPath = Join-Path $docsRoot "rapporten"
$actionsPath = Join-Path $docsRoot "actieplannen"
[PSCustomObject]@{
RepositoryRoot = $repoRoot
DocsRoot = $docsRoot
TemplatesPath = $templatesPath
ReportsPath = $reportsPath
ActionsPath = $actionsPath
}
}
function New-DpiaReportTemplate {
<#
.SYNOPSIS
Maakt een sjabloon voor een DPIA-rapport.
.PARAMETER OutputPath
Pad naar het DPIA-sjabloon dat moet worden aangemaakt.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$content = @"
# DPIA-rapport (sjabloon)
Laatst bijgewerkt: $(Get-Date -Format "yyyy-MM-dd")
## 1. Context en doel van de verwerking
Beschrijf de verwerkingsdoeleinden, betrokken processen, systemen (bijvoorbeeld Microsoft 365 en Azure-diensten) en de rolverdeling tussen verwerkingsverantwoordelijke en verwerkers.
## 2. Beschrijving van de verwerkingen en gegevenscategorieën
Licht toe welke categorieën persoonsgegevens worden verwerkt, van welke betrokkenen, via welke kanalen en met welke bewaartermijnen. Neem zowel primaire als afgeleide gegevens op.
## 3. Noodzaak en proportionaliteit
Beoordeel per doel of de verwerking noodzakelijk is en of er minder ingrijpende alternatieven zijn. Beschrijf hoe doelbinding, dataminimalisatie en bewaarbeperking zijn geborgd.
## 4. Risicoanalyse voor rechten en vrijheden van betrokkenen
Werk scenario's uit waarin betrokkenen schade kunnen ondervinden (bijvoorbeeld discriminatie, verlies van controle, identiteitsfraude of reputatieschade) en beoordeel de waarschijnlijkheid en impact.
## 5. Mitigerende maatregelen
Vertaal de geïdentificeerde risico's naar concrete technische en organisatorische maatregelen in Microsoft 365 en Azure, inclusief configuraties, processen en aanvullende controles.
## 6. Rest-risico en besluitvorming
Vat de resterende risico's samen, geef aan of deze acceptabel zijn en leg vast welk bestuursorgaan of welke functiehouder het besluit over acceptatie of aanvullende maatregelen heeft genomen.
## 7. Monitoring en herbeoordeling
Beschrijf hoe en wanneer de DPIA wordt herzien (bijvoorbeeld bij grote wijzigingen in de tenant, nieuwe functionaliteit of gewijzigde wetgeving) en hoe voortgang op maatregelen wordt bewaakt.
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$content | Out-File -FilePath $OutputPath -Encoding UTF8
}
function New-DpiaActionPlanTemplate {
<#
.SYNOPSIS
Maakt een sjabloon voor een DPIA-actieplan.
.PARAMETER OutputPath
Pad naar het actieplan-sjabloon dat moet worden aangemaakt.
#>
[CmdletBinding()]
param(
[Parameter(Mandatory = $true)]
[string]$OutputPath
)
$content = @"
# DPIA-actieplan (sjabloon)
Laatst bijgewerkt: $(Get-Date -Format "yyyy-MM-dd")
| Nr. | Risico / bevinding | Maatregel | Eigenaar | Deadline | Status |
|-----|--------------------|----------|---------|----------|--------|
| 1 | | | | | Open |
Gebruik dit actieplan om maatregelen uit de DPIA te volgen, verantwoordelijkheden vast te leggen en voortgang vast te leggen voor audits en toezichthouders.
"@
$folder = Split-Path -Path $OutputPath -Parent
if (-not (Test-Path -Path $folder)) {
New-Item -Path $folder -ItemType Directory -Force | Out-Null
}
$content | Out-File -FilePath $OutputPath -Encoding UTF8
}
function Invoke-Monitoring {
<#
.SYNOPSIS
Controleert de aanwezigheid van kernonderdelen voor de DPIA-methodologie.
.OUTPUTS
PSCustomObject met een samenvatting van de status.
#>
[CmdletBinding()]
param()
Write-Host ""
Write-Host "DPIA-methodologie – Documentatiecontrole" -ForegroundColor Cyan
Write-Host "=======================================" -ForegroundColor Cyan
if ($DebugMode) {
$summary = [PSCustomObject]@{
DocsRootExists = $true
TemplatesPath = "C:\Voorbeeld\documentatie\dpia\sjablonen"
ReportsPath = "C:\Voorbeeld\documentatie\dpia\rapporten"
ActionsPath = "C:\Voorbeeld\documentatie\dpia\actieplannen"
TemplatesPresent = $true
ReportsPresent = $false
ActionsPresent = $false
}
Write-Host "DebugMode is ingeschakeld. Voorbeeldresultaten:" -ForegroundColor Yellow
$summary
return $summary
}
$paths = Get-DpiaDocumentationPaths
$summary = [PSCustomObject]@{
DocsRootExists = $false
TemplatesPath = $paths.TemplatesPath
ReportsPath = $paths.ReportsPath
ActionsPath = $paths.ActionsPath
TemplatesPresent = $false
ReportsPresent = $false
ActionsPresent = $false
}
if (Test-Path -Path $paths.DocsRoot) {
$summary.DocsRootExists = $true
}
if (Test-Path -Path $paths.TemplatesPath) {
$summary.TemplatesPresent = $true
}
if (Test-Path -Path $paths.ReportsPath) {
$summary.ReportsPresent = $true
}
if (Test-Path -Path $paths.ActionsPath) {
$summary.ActionsPresent = $true
}
Write-Host ""
Write-Host "Samenvatting:" -ForegroundColor Cyan
Write-Host (" Documentatiemap aanwezig : {0}" -f ($summary.DocsRootExists)) -ForegroundColor Cyan
Write-Host (" Sjablonenmap bestaat : {0}" -f ($summary.TemplatesPresent)) -ForegroundColor Cyan
Write-Host (" Rapportenmap bestaat : {0}" -f ($summary.ReportsPresent)) -ForegroundColor Cyan
Write-Host (" Actieplannenmap bestaat : {0}" -f ($summary.ActionsPresent)) -ForegroundColor Cyan
return $summary
}
function Invoke-Remediation {
<#
.SYNOPSIS
Genereert basisdocumentatie voor de DPIA-methodologie wanneer deze ontbreekt.
#>
[CmdletBinding()]
param()
Write-Host ""
Write-Host "DPIA-methodologie – Remediatie" -ForegroundColor Cyan
Write-Host "==============================" -ForegroundColor Cyan
$paths = Get-DpiaDocumentationPaths
foreach ($pathProp in @("DocsRoot", "TemplatesPath", "ReportsPath", "ActionsPath")) {
$path = $paths.$pathProp
if (-not (Test-Path -Path $path)) {
if ($WhatIf) {
Write-Host ("WhatIf: zou map aanmaken: {0}" -f $path) -ForegroundColor Yellow
}
else {
New-Item -Path $path -ItemType Directory -Force | Out-Null
Write-Host ("Map aangemaakt: {0}" -f $path) -ForegroundColor Green
}
}
else {
Write-Host ("Map bestaat al: {0}" -f $path) -ForegroundColor Green
}
}
$reportTemplate = Join-Path $paths.TemplatesPath "dpia-rapport-sjabloon.md"
if (-not (Test-Path -Path $reportTemplate)) {
if ($WhatIf) {
Write-Host ("WhatIf: zou DPIA-rapportsjabloon aanmaken: {0}" -f $reportTemplate) -ForegroundColor Yellow
}
else {
New-DpiaReportTemplate -OutputPath $reportTemplate
Write-Host ("DPIA-rapportsjabloon aangemaakt: {0}" -f $reportTemplate) -ForegroundColor Green
}
}
else {
Write-Host ("DPIA-rapportsjabloon bestaat al: {0}" -f $reportTemplate) -ForegroundColor Green
}
$actionTemplate = Join-Path $paths.TemplatesPath "dpia-actieplan-sjabloon.md"
if (-not (Test-Path -Path $actionTemplate)) {
if ($WhatIf) {
Write-Host ("WhatIf: zou DPIA-actieplansjabloon aanmaken: {0}" -f $actionTemplate) -ForegroundColor Yellow
}
else {
New-DpiaActionPlanTemplate -OutputPath $actionTemplate
Write-Host ("DPIA-actieplansjabloon aangemaakt: {0}" -f $actionTemplate) -ForegroundColor Green
}
}
else {
Write-Host ("DPIA-actieplansjabloon bestaat al: {0}" -f $actionTemplate) -ForegroundColor Green
}
}
Risico zonder implementatie
Risico zonder implementatie
High: Zonder uniforme DPIA-methodologie blijven AI- en cloudprojecten juridisch en bestuurlijk kwetsbaar, zijn risicoafwegingen moeilijk te reconstrueren en ontstaat een versnipperd beeld richting auditors en toezichthouders.
Management Samenvatting
Richt een eenduidige, herhaalbare DPIA-methodologie in voor AI- en cloudscenario's in Microsoft 365 en Azure, leg stappen en verantwoordelijkheden vast en ondersteun teams met sjablonen en geautomatiseerde controles. Zo ontstaan consistente DPIA's, aantoonbare privacy by design en een solide basis voor verantwoording richting bestuur en toezichthouders.
- Implementatietijd: 220 uur
- FTE required: 0.6 FTE