Het is in het kader van de privacyregels soms juist niet wenselijk om bij te houden wie een document heeft geraadpleegd. Het is namelijk voldoende om aan te kunnen geven welke gebruikers rechten hebben om bepaalde documenten van bepaalde medewerkers te raadplegen, en binnen die rechten hebben ze alle vrijheid om dat te doen.

Deze informatie kan namelijk tegen de raadplegende gebruiker worden gebruikt, terwijl deze gewoon de rechten heeft om dit te doen. Pas als er wordt gemuteerd dan moet bewezen kunnen worden wie dat heeft gedaan op welk moment om onwenselijke situaties te verklaren. Voor raadplegen is het wettelijk echter voldoende (en vanuit het perspectief van de gebruiker wenselijk) om alleen het recht tot raadplegen op basis van de ingerichte autorisaties te kunnen 'bewijzen'. Je hoeft aan de betrokken medewerker niet te kunnen bewijzen of een gebruiker documenten heeft geraadpleegd, maar alleen dat deze het recht heeft om deze documenten te raadplegen.

De privacy van de medewerker over wie het dossier gaat, telt in het algemeen zwaarder dan die van de raadpleger (direct leidinggevende of personeelszaken). De raadpleger kan terecht inzage hebben in dossiers, maar daarmee hoeft nog niet iedere feitelijke inzage functioneel te zijn. Om in geval van vragen van de medewerker rondom de beveiliging van het dossier of bij twijfel bij de werkgever over gebruik van de raadpleegrechten actie te kunnen ondernemen, is een log-bestand of audit trail gewenst. Op basis hiervan kan niet-functioneel-raadplegen uitgesloten worden of kan de raadpleger uitleg gevraagd worden over zijn handelen.

Daar denken wij toch echt anders over dan Raet. Ben het eens met Mike.

De rechten cq autorisaties hebben om iets te kunnen betekent nog niet dat er een reden is om daadwerkelijk te raadplegen. In onze gedragscode is opgenomen dat je alleen in een dossier kijkt als daar een functionele reden voor is. 'Zomaar in een dossier kijken' mag dus niet. Doordat niet gelogd wordt wie in welk dossier kijkt, kun je dus niet beoordelen of dit wel of niet gebeurt.

We willen dit dus toch als wens opgenomen zien. Ik ben benieuwd hoe anderen hier over denken.

We snappen de redenatie, en denken na over de consequenties van deze wens.

Nu is het zo dat de Wet Bescherming Privacy hier niet concreet iets over zegt, maar een aantal veelgebrukte normeringen tot op zekere hoogte wel. Die worden vaak als uitgangspunt genomen voor het privacybeleid. Echter, het loggen van dergelijke gegevens op zichzelf valt ook weer on der de Wet Bescherming Privacy, en de vraag is dan dus of het belang van de medewerker van wie de gebruiker het dossier (volgens de autorisatie terecht) raadpleegt zwaarder weegt dan die van de gebruiker zelf. De gebruiker treedt op namens de 'verantwoordelijke', en die heeft ingericht tot welke dossiers en documentsoorten de gebruiker toegang heeft uit hoofde van zijn/haar functie. In de meeste gevallen kan er echter geen link worden gelegd tussen het raadplegen van een document en de reden daarvoor. Vaak is dat op basis van een vraag of een constatering, en dat wil zeggen dat de gebruiker vervolgens moet 'bewijzen' waarom hij/zij een document heeft geraadpleegd terwijl dat volgens de autorisatie terecht was. Dat is een soort ongekeerde bewijslast.

Bij het vaststellen van het niveau van logging is Raet tot nu toe uitgegaan van het principe van onweerlegbaarheid, waarbij het ‘wijzigen van gegevens door een gebruiker’ wordt vastgelegd. Waar het bij deze wens echter over gaat is controle op de toegang tot bepaalde dossiers in het algemeen versus het al dan niet terecht raadplegen van specifieke documenten. Daarbij is Raet tot nu toe uitgegaan van controle op de toegang. Autorisatie is gedeeltelijk automatisch bepaald (bijvoorbeeld managerstoegang) en wij kunnen op een bepaald moment vaststellen wie welke toegang heeft. Omdat de toegang veelal dynamisch wordt bepaald is dat een momentopname. Er wordt momenteel (Youforce-breed) gewerkt aan functionaliteit om klanten ook zelf die autorisatieoverzichten op te laten vragen. Dat wil dus zeggen dat je controleert of een gebruiker vanuit zijn/haar functie toegang heeft tot Personeelsdossiers, en tot welke dossiers en documentsoorten. Uitgangspunt daarbij is dat het in principe niet van belang welke documenten een gebruiker daadwerkelijk heeft geraadpleegd, zolang het volgens de ingerichte autorisatie maar geoorloofd is.

Nu is er voor beide opvattingen iets te zeggen. Om deze reden is deze wens in elk geval een reden om onze collega's van Wet en Regelgeving hier een uitspraak over te laten doen, eventueel na overleg met de Autoriteit Persoonsgegevens.

Wat is hiervan de stand van zaken. Wij zouden graag samen met Raet willen kijken naar mogelijkheden en wensen om een logging te hebben op inzage van de personeelsdossiers

Ook in onze organisatie zeer dringend gewenst.

@CWe 
De toegang tot Personeelsdossier wordt wel gedurende een maand gelogd, en indien nodig kan via de Servicedesk een verzoek worden ingediend als er informatie nodig is over één of enkele specifieke gebruikers.

Wat niet wordt gelogd is het raadplegen van specifieke documenten ('read logging'). Naast bovenstaande discussie omtrent het wel of niet mogen loggen is er een andere belangrijke reden dat er geen logging op raadplegen mogelijk is. Personeelsdossier is een vrij doorzoekbaar archief binnen de grenzen van de toegekende autorisatie. Om deze reden is niet vast te stellen of een gebruiker documenten ook daadwerkelijk heeft geraadpleegd of niet, en daarom is het loggen op raadplegen niet 'waterdicht'.

Doordat je als gebruiker vrij kunt zoeken door de documenten binnen je privileges, kun je nooit met zekerheid zeggen of een gebruiker een document daadwerkelijk heeft geraadpleegd. Dat is alleen mogelijk als je, zoals bij medische dossiers, via een zoekfunctie altijd uitkomt bij precies één dossier van één persoon en waarbij je steeds een afzonderlijk een gekozen document moet openen. Alleen in dat geval kun je precies loggen wat de gebruiker heeft gedaan. In geval van een datalek is het dan ook voldoende om aan te geven welke gebruikers eventueel onterecht rechten hebben gehad op welke dossiers, en of ze dan daadwerkelijk documenten hebben geraadpleegd is in principe niet van belang. 

Ook in de recente ISO-16175 hercertificering is wederom gebleken dat het niet noodzakelijk is om read logging te gebruiken, zolang je maar precies aan kan geven welke gebruikers rechten hebben op welke dossiers. Dat zouden er altijd maar een paar mogen zijn overigens, de manager en enkele HR-medewerkers. Juist om deze reden is het voldoende om aan te geven wie er volgens de autorisaties rechten heeft om het dossier van een medewerker te raadplegen, en dit is ook in de ISO-16175 certificering beoordeeld en akkoord bevonden.