C3677 - Inzage door betrokkene
Er zijn allerlei scenario’s te bedenken om een betrokkene inzage te geven in het verwerkingenlog. Het gaat te ver om deze allemaal te beschrijven. Vanuit de verwerkingenlogging API is dat ook niet nodig. Met enkele API functies kunnen we vele scenario’s bedienen.
Voor de beeldvorming zijn hieronder drie scenario’s beschreven die aansluiten bij respectievelijk Logging Maturity Level (LML) 0, 4 en 5.
- Maturity Level 0: De betrokkene wil inzage in het verwerkingenlog maar kan hierover online geen informatie vinden. Na telefonisch contact met de gemeente komt de betrokkene in contact met de verantwoordelijke persoon binnen de gemeente. Deze neemt het verzoek in behandeling en probeer met kunst en vliegwerk de informatie te verzamelen uit de tientallen systemen die de gemeente heeft. Omdat de verwerkingenlogging API bij veel systemen niet geïmplementeerd is, moet bij iedere systeem een andere procedure doorlopen worden en zijn er ook diverse systemen die geen informatie kunnen produceren. Nadat het overzicht enigszins geüniformeerd is door de medewerker, maakt deze een afspraak met de betrokkene op het gemeentehuis. Tijdens de afspraak stelt de medewerker de identiteit van de betrokkene vast en toont/verstrekt de gegevens.
- Maturity Level 4: De betrokkene gaat naar de website van de gemeente naar de webpagina voor inzage in de verwerkingenloggegevens. Na identificatie en authenticatie (DigiD) worden de verwerkingenloggegevens van de meest recente periode opgehaald uit de gemeentelijke systemen (via de verwerkingenlogging API). De gegevens worden direct online gepresenteerd en zijn voor veel betrokkenen zonder verdere toelichting te begrijpen. De gepresenteerde interface stelt de betrokkene instaat om informatie te filteren, informatie te krijgen over de doelbinding (verwerkingsactiviteit) en verder terug te gaan in de historie.
- Maturity Level 5: Vergelijkbaar met Maturity Level 4 alleen gaat de betrokkene nu naar de website van de overheid (MijnOverheid?) en krijgt daar inzage in alle verwerkingenloggegevens van de overheid.
Besluiten inzake de inzage door betrokkene:
- Bij inzage worden alleen acties opgehaald uit het gemeentelijke verwerkingenlog. Er wordt dus geen informatie getoond van andere gemeenten of overheidspartijen (B5214).
- Indien er sprake is van een gefedereerd gemeentelijk verwerkingenlog dan dient er een service te zijn die zich opstelt als ‘het gemeentelijk verwerkingenlog’ (B8970).
- Er dient altijd een periode gespecificeerd te worden om te voorkomen dat er te veel gegevens opgevraagd worden. In de praktijk zal vastgesteld moeten welke periode normaal gesproken leidt tot een acceptabele hoeveelheid acties. In de interface kan vervolgens de mogelijkheid geboden worden om steeds een periode verder terug te gaan in de tijd.
- Als een betrokkene zijn of haar verwerkingenlog raadpleegt dan kan het zijn dat daarin acties voorkomen waarbij meerdere personen betrokken waren. In dergelijke situaties mag bij deze acties alleen de betrokkene zelf getoond worden. Dit staat beschreven als criterium bij de functie van de API (F2008).
- Zie voor voorbeelden de cases waarbij meerdere personen betrokken zijn: verhuizing met medebewoners (C1628), registratie huwelijk (C4084) en de personen in het resultaat van een zoekopdracht (C4081).
- Bij een inzage-verzoek door betrokkene (F2008) worden alle acties getoond die niet, of niet meer, vertrouwelijk zijn.
- Bij een inzage-verzoek door betrokkene (F2008) worden diverse attributen weggelaten die details bevatten over de uitvoering zoals gebruiker, systeem en gegevensbron. Deze attributen zijn alleen in te zien als door betrokkene gemotiveerd kan worden dat inzage van deze gegevens noodzakelijk is. Deze motivering dient door een bevoegd gemeentelijke medewerker beoordeeld te worden (bijv. een Privacy Officer). Het belang om deze informatie in te zien moet zwaarder wegen dan de privacy van de gemeentelijk medewerker en eventuele exposure van informatie over interne systemen.
Besluiten inzake het loggen van de inzage
Bij het inzien van het verwerkingenlog verwerken we persoonsgegevens. Gevolg is dat de inzage van het verwerkingenlog gelogd moet worden.
Het verwerkingenlog treed op als provider. De applicatie die de opvraging verzorgt als consumer. Ook het verwerkingenlog heeft, in de rol van provider, informatie nodig van de consumer om goed te kunnen loggen. Deze informatie wordt bij aanroep van de API in de header meegegeven (B9177). Het gaat daarbij om de volgende informatie:
- OIN van de consumer
- ID van de verwerking
- Vertrouwelijkheid van de verwerking
- Bewaartermijn van de verwerking
Deze procedure is dus identiek aan de procedure die gevolgd wordt bij het opvragen van gegevens bij andere registers zoals beschreven in o.a. de onderstaande cases: