Mijn Communities
Help
Anonymous
Niet van toepassing

Autorisatie BI-reporting en people anlytics zelf AVG-proof kunnen inregelen (MI-I-95)

door Anonymous
Status: Bekend probleem

Bij de inrichting van BI-reporting en ook bij de implementatie van People Analytics is steeds gezegd dat de autorisatie in Self Service wordt geregeld met de functionaliteit BI-reporting. Nu blijkt dat die autorisatie niet de toegang tot de data aanstuurt, maar dat dat gecumuleerd wordt vanuit de rollen in user-management en de rollen in Self Service.

Wat betekent dit concreet:

Wij hebben een leidinggevende die voor één workflow in Self Service geautoriseerd is voor alle afdelingen van de gemeente Lelystad. Omdat ze leidinggevende is, heeft ze toegang tot verzuimrapportages en dienstverbandrapportages in BI-reporting en People Analytics. Die autorisatie voor die ene workflow zorgt er nu voor dat ze in BI-reporting en People Analytics toegang heeft tot dienstverband- en verzuimgegevens van alle afdelingen van de gemeente Lelystad. AVG-technisch helemaal fout.

Het schijnt dat er een workaround is al vanaf het begin van deze twee applicaties: voor het gebruik van deze applicaties een extra gebruikersaccount aanmaken. Wij hebben SSO en onze managers gaan echt niet met gebruikersnaam en wachtwoord inloggen om rapportages en dashboards te kunnen inzien. Afgezien van de zwaardere beheerslast is dit daarom een onwerkbare workaround voor ons die wij zeker niet gaan toepassen. Het is een fout in de applicatie die naar mijn idee al lang gecorrigeerd had moeten zijn. 

Met de komst van de AVG heeft Visma|Raet een aantal autorisaties flink aangescherpt: elke applicatie moet apart worden geautoriseerd. Voor Verzuimmanagement gold dat al, maar ook Performance Management en Personeelsdossier moeten nu in de module zelf geautoriseerd worden voor de toegang tot de data. Onbegrijpelijk vind ik het, dat dat voor BI-reporting en People Analytics nooit zo heeft gewerkt en dat dat met de komst van de AVG niet gecorrigeerd is.

Hoe moet het dan wel:

 Als beheerder moeten wij zelf kunnen bepalen tot welke data een manager/eindgebruiker toegang heeft, hetzij via de functionaliteit BI-reporting in Self Service (wat logisch lijkt), hetzij via user-management, hetzij binnen de applicatie zelf op user-niveau. 

4 Opmerkingen
Former Member
CHAMPION ***
door Former Member
Hartelijk dank voor je idee. Het toegekende nummer is: MI-I-95
Anonymous
Niet van toepassing
door Anonymous

zie ook idee MI-I-17

MSchopman
VISMA
door MSchopman
Status changed to: Status: Nieuw

In People Analytics maken we onderscheid in "wat mag een persoon doen" en "wat mag een persoon zien". De eerste is een functionele autorisatie, en de laatste een data autorisatie. 

 

De autorisaties op functioneel vlak worden bepaald in de People Analytics applicatie. Een functioneel beheerder kan op granular niveau bepalen of de persoon in kwestie bepaalde dashboards mag zien, bewerken of zelfs nieuwe dashboards mag creeëren. Dat gaat zover dat we zelfs kunnen afschermen tot welke velden een gebruiker toegang mag hebben.

 

Deze afscherming zegt echter niets over de toegang tot de data. Wat een persoon mag zien wordt bepaald op basis van de inrichting van rollen en rechten over organisatorische eenheden in HR Self Service. Het kan dus zijn dat een persoon in kwestie een functioneel recht heeft om een dashboard te bekijken; maar eenmaal geopend niet de verwachte data ziet omdat hij/zij daar geen recht toe heeft.

 

Wij hebben vaker gezien dat de inrichting van die rollen en rechten soms wat extra aandacht vergt en dat de indruk ontstaat dat er een 'AVG-lek' speelt maar het is soms ook niet makkelijk om dit goed in te richten en een fout is snel gemaakt. Wat ik zou willen voorstellen is dat je dit bespreekbaar maakt met onze service desk en samen goed kijkt naar de inrichting.

 

 

MSchopman
VISMA
door MSchopman
Status changed to: Status: Bekend probleem