Een leidinggevende heeft een aanvullende rol voor een specifieke workflow in Self Service. In die aanvullende rol heeft hij toegang tot alle dienstverbanden van de organisatie. In Youforce Reporting mag hij alleen zijn eigen medewerkers zien. Door deze aanvullende rol ziet hij in Youforce Reporting toch alle dienstverband- en verzuimgegevens, van alle medewerkers in de organisatie. 

Als beheerder kunnen wij dit niet oplossen, want of wij het nu regelen via User Management met alleen MSS-rollen, of met gebruikersrollen in Self Service, alle autorisaties worden bij elkaar opgeteld. De leidinggevende ziet alle dienstverbanden waarvoor hij geautoriseerd is in de aanvullende rol, die niet bedoeld was om Youforce Reporting aan te sturen. 

In de melding die ik hierover bij het Service Center heb gemaakt zeggen ze letterlijk:

Mijn advies in deze is om hier een topic van aan te maken op de community. Vanuit het Service Center kan ik niet veel voor je betekenen aangezien het (wat ons betreft) geen issue is, maar werkt zoals ontworpen. 

Bizar: als iets werkt zoals het is ontworpen dan werkt het dus per definitie juist?!

Ik denk dat hier sprake is van een ernstige ontwerpfout die moet worden gecorrigeerd. Naar mijn idee moet autorisatiebeheer van Youforce-Reporting op dezelfde manier werken als bij de andere applicaties: hetzij via een rol in User Management, hetzij via een gebruikersrol in Self Service. Die rol bepaalt welke medewerkers een gebruiker mag zien. En dan niet cumulatief zoals nu gebeurt, maar op basis van die specifiek gedefinieerde rol. 

Het is AVG-technisch niet juist dat een gebruiker door een fout in het ontwerp van de applicatie meer medewerkers kan zien dan is toegestaan en dat een applicatiebeheerder hierop geen invloed kan uitoefenen.