Het is in het kader van de privacyregels soms juist niet wenselijk om bij te houden wie een document heeft geraadpleegd. Het is namelijk voldoende om aan te kunnen geven welke gebruikers rechten hebben om bepaalde documenten van bepaalde medewerkers te raadplegen, en binnen die rechten hebben ze alle vrijheid om dat te doen.

Deze informatie kan namelijk tegen de raadplegende gebruiker worden gebruikt, terwijl deze gewoon de rechten heeft om dit te doen. Pas als er wordt gemuteerd dan moet bewezen kunnen worden wie dat heeft gedaan op welk moment om onwenselijke situaties te verklaren. Voor raadplegen is het wettelijk echter voldoende (en vanuit het perspectief van de gebruiker wenselijk) om alleen het recht tot raadplegen op basis van de ingerichte autorisaties te kunnen 'bewijzen'. Je hoeft aan de betrokken medewerker niet te kunnen bewijzen of een gebruiker documenten heeft geraadpleegd, maar alleen dat deze het recht heeft om deze documenten te raadplegen.

De privacy van de medewerker over wie het dossier gaat, telt in het algemeen zwaarder dan die van de raadpleger (direct leidinggevende of personeelszaken). De raadpleger kan terecht inzage hebben in dossiers, maar daarmee hoeft nog niet iedere feitelijke inzage functioneel te zijn. Om in geval van vragen van de medewerker rondom de beveiliging van het dossier of bij twijfel bij de werkgever over gebruik van de raadpleegrechten actie te kunnen ondernemen, is een log-bestand of audit trail gewenst. Op basis hiervan kan niet-functioneel-raadplegen uitgesloten worden of kan de raadpleger uitleg gevraagd worden over zijn handelen.

Daar denken wij toch echt anders over dan Raet. Ben het eens met Mike.

De rechten cq autorisaties hebben om iets te kunnen betekent nog niet dat er een reden is om daadwerkelijk te raadplegen. In onze gedragscode is opgenomen dat je alleen in een dossier kijkt als daar een functionele reden voor is. 'Zomaar in een dossier kijken' mag dus niet. Doordat niet gelogd wordt wie in welk dossier kijkt, kun je dus niet beoordelen of dit wel of niet gebeurt.

We willen dit dus toch als wens opgenomen zien. Ik ben benieuwd hoe anderen hier over denken.

We snappen de redenatie, en denken na over de consequenties van deze wens.

Nu is het zo dat de Wet Bescherming Privacy hier niet concreet iets over zegt, maar een aantal veelgebrukte normeringen tot op zekere hoogte wel. Die worden vaak als uitgangspunt genomen voor het privacybeleid. Echter, het loggen van dergelijke gegevens op zichzelf valt ook weer on der de Wet Bescherming Privacy, en de vraag is dan dus of het belang van de medewerker van wie de gebruiker het dossier (volgens de autorisatie terecht) raadpleegt zwaarder weegt dan die van de gebruiker zelf. De gebruiker treedt op namens de 'verantwoordelijke', en die heeft ingericht tot welke dossiers en documentsoorten de gebruiker toegang heeft uit hoofde van zijn/haar functie. In de meeste gevallen kan er echter geen link worden gelegd tussen het raadplegen van een document en de reden daarvoor. Vaak is dat op basis van een vraag of een constatering, en dat wil zeggen dat de gebruiker vervolgens moet 'bewijzen' waarom hij/zij een document heeft geraadpleegd terwijl dat volgens de autorisatie terecht was. Dat is een soort ongekeerde bewijslast.

Bij het vaststellen van het niveau van logging is Raet tot nu toe uitgegaan van het principe van onweerlegbaarheid, waarbij het ‘wijzigen van gegevens door een gebruiker’ wordt vastgelegd. Waar het bij deze wens echter over gaat is controle op de toegang tot bepaalde dossiers in het algemeen versus het al dan niet terecht raadplegen van specifieke documenten. Daarbij is Raet tot nu toe uitgegaan van controle op de toegang. Autorisatie is gedeeltelijk automatisch bepaald (bijvoorbeeld managerstoegang) en wij kunnen op een bepaald moment vaststellen wie welke toegang heeft. Omdat de toegang veelal dynamisch wordt bepaald is dat een momentopname. Er wordt momenteel (Youforce-breed) gewerkt aan functionaliteit om klanten ook zelf die autorisatieoverzichten op te laten vragen. Dat wil dus zeggen dat je controleert of een gebruiker vanuit zijn/haar functie toegang heeft tot Personeelsdossiers, en tot welke dossiers en documentsoorten. Uitgangspunt daarbij is dat het in principe niet van belang welke documenten een gebruiker daadwerkelijk heeft geraadpleegd, zolang het volgens de ingerichte autorisatie maar geoorloofd is.

Nu is er voor beide opvattingen iets te zeggen. Om deze reden is deze wens in elk geval een reden om onze collega's van Wet en Regelgeving hier een uitspraak over te laten doen, eventueel na overleg met de Autoriteit Persoonsgegevens.