Persoonsgegevens in een 'omschrijving zaak' bij zaakgericht werken

Wij bij DIV hebben altijd de volgende regel gehanteerd: Je probeert de zaak zo precies mogelijk te omschrijven. Denk hierbij aan de 5 W's : wie, wat, waar, wanneer en waarom.

Een paar voorbeelden:

1. Als iemand gaat verhuizen, dan omschrijf je in de zaak wie waar naar toe verhuist per wanneer

2. Iemand vraagt een bouwvergunning aan, dan vermeld je in de omschrijving om wat voor adres het gaat. (aanvraag wordt vaak gedaan via aannemer)

3. Als iemand overlijdt, dan zet je in de zaak de naam van de persoon met datum en overlijden (aangifte wordt vaak gedaan door begrafenisondernemer)

Op deze manier zijn de gegevens later snel weer vindbaar en is de informatie juist te interpreteren.

Bij de koppeling van diverse vakapplicatie met ons zaaksysteem Join wordt in de omschrijving van de zaak nu vaak alleen het zaaktype vermeld.

Volgens onze Security Officer mogen er helemaal geen persoonsgegevens in de omschrijving staan; Vanuit informatiebeveiliging is het onwenselijk om informatie buiten de standaard velden op te slaan. Of het nu gaat om informatie in bestandsnamen of zaken in bijvoorbeeld omschrijvingsvelden die worden opgeslagen is dit niet toegestaan. De reden is dat het mis/gebruiken van dit soort velden uiteindelijk kunnen leiden tot informatielekken.

Hoe zien andere gemeenten hier tegen aan?

Weergaven: 156

Hierop reageren

Berichten in deze discussie

Dat lijkt me een opvatting. die te kort door de bocht is. Kent de security officer de AVG wel, want daar is toch duidelijk deze bepaling opgenomen in art, 89:

Artikel 89 - Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

1.       De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.

2.       Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

3.       Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18, 19, 20 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

4.       Wanneer verwerking als bedoeld in de leden 2 en 3 tegelijkertijd ook een ander doel dient, zijn de afwijkingen uitsluitend van toepassing op verwerking voor de in die leden bedoelde doeleinden.

Dank voor je reactie Yvonne.

Yvonne Welings zei:

Dat lijkt me een opvatting. die te kort door de bocht is. Kent de security officer de AVG wel, want daar is toch duidelijk deze bepaling opgenomen in art, 89:

Artikel 89 - Waarborgen en afwijkingen in verband met verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden

1.       De verwerking met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met deze verordening voor de rechten en vrijheden van de betrokkene. Die waarborgen zorgen ervoor dat er technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen. Deze maatregelen kunnen pseudonimisering omvatten, mits aldus die doeleinden in kwestie kunnen worden verwezenlijkt. Wanneer die doeleinden kunnen worden verwezenlijkt door verdere verwerking die de identificatie van betrokkenen niet of niet langer toelaat, moeten zij aldus worden verwezenlijkt.

2.       Wanneer persoonsgegevens met het oog op wetenschappelijk of historisch onderzoek of statistische doeleinden worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten de verwezenlijking van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

3.       Wanneer persoonsgegevens met het oog op archivering in het algemeen belang worden verwerkt, kan in het Unierecht of het lidstatelijke recht worden voorzien in afwijkingen van de in de artikelen 15, 16, 18, 19, 20 en 21 genoemde rechten, behoudens de in lid 1 van dit artikel bedoelde voorwaarden en waarborgen, voor zover die rechten het verwezenlijken van de specifieke doeleinden onmogelijk dreigen te maken of ernstig dreigen te belemmeren, en dergelijke afwijkingen noodzakelijk zijn om die doeleinden te bereiken.

4.       Wanneer verwerking als bedoeld in de leden 2 en 3 tegelijkertijd ook een ander doel dient, zijn de afwijkingen uitsluitend van toepassing op verwerking voor de in die leden bedoelde doeleinden.

Een herkenbaar verhaal, Jolanda. Ook binnen onze gemeente had ik nog niet zo lang geleden een discussie met onze Security & Privacy adviseur over het gebruik van persoonsgegevens in zaakomschrijvingen (die dan desgewenst ook op de vernietigingslijsten terechtkomen).

Zelf sta ik er ook niet zo rigide in, maar dat is wellicht te verklaren uit mijn verleden als old-school DIV-medewerker. Daarom ook mijn dank Yvonne, voor je verwijzing naar het onderbouwende art. 89 van de AVG.

Als die gegevens ook al in standaardvelden staan, vraag ik me inderdaad af waarom je die nog eens overschrijft in een omschrijvingsveld. Niet alleen vanuit perspectief van privacy en security, maar ook vanuit perspectief van informatiebeheer. Een veld met vrije tekst heeft als risico dat er verschillende schrijfvormen worden gehanteerd wat de vindbaarheid niet bevordert. Een veld met gecontroleerde tabel, idealiter gekoppeld aan een basis-, kern- of andere bronregistratie, is minder foutgevoelig en verhoogt de toegankelijkheid. Een tweede nadeel is dat vrijetekstvelden altijd gedoe opleveren met migraties. Stel dat je ooit een ander systeem gaat implementeren, dan loop je risico op informatieverlies.

Kortom niet alleen maar een welles-nietes-discussie tussen privacywet en Archiefwet, maar iets om goed over na te denken vanuit integraal perspectief.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden