B5469 - Doelstelling van verwerkingenlogging - Duiden versus reconstrueren

Besluit

Het verwerkingenlog is niet bedoeld en niet geschikt om reconstructies te maken van situaties en gegevens in systemen op een bepaald tijdstip in het verleden.

Toelichting

Stel dat we de informatie over de gegevenssoorten uit het VAR (en eventueel verwerkingenlog) samen met het tijdstip willen gebruiken om te achterhalen wat een gemeentelijk medewerker daadwerkelijk gezien heeft. We willen dus het ‘beeld’ reconstrueren.

  • We zullen dan de gegevens uit het bronsysteem moeten halen op het moment dat deze bekeken zijn (dat vereist een vraag over de formele historie van het bronsysteem).
  • Als het bronsysteem kan verwijderen of overschrijven (soms verplicht de wetgever daartoe) dan is de formele historie niet 100% betrouwbaar.
  • Eigenlijk zouden we dit moeten doen met de software die gebruikt werd op het moment dat de informatie uit het bronsysteem gehaald is en de informatie moeten ophalen met dezelfde systeemfuncties. Dit i.v.m. wijzigingen en bugs.
  • Voor een perfecte reconstructie zou er nooit informatie uit het bronsysteem verloren mogen gaan door (structuur)wijzigingen en daarbij behorende conversies etc.
  • Stel dat we aan al deze eisen zouden kunnen voldoen, dan nog zouden zaken die bijvoorbeeld spelen in autorisatie, infrastructuur e.d. het beeld beïnvloed kunnen hebben.

Conclusie: Het is niet realistisch om op deze wijze een reconstructie te maken.

Als alternatief zouden we de daadwerkelijke berichten die destijds gebruikt zijn kunnen loggen.

  • Dit lijkt niet te voldoen aan het proportionaliteits- en subsidiariteitsbeginsel van de AVG.
  • Dit staat op gespannen voet met de eisen rond corrigeren, verwijderen en overschrijven (zoals vereist door AVG en sommige andere wetgeving). We hebben nu immers niet langer alleen de identificator van een persoon in het verwerkingenlog maar ook de daadwerkelijke persoonsgegevens. Op die persoonsgegevens zijn correctie, vergeetrecht etc. wel van toepassing.