@CWe  De toegang tot Personeelsdossier wordt wel gedurende een maand gelogd, en indien nodig kan via de Servicedesk een verzoek worden ingediend als er informatie nodig is over één of enkele specifieke gebruikers.   Wat niet wordt gelogd is het raadplegen van specifieke documenten ('read logging'). Naast bovenstaande discussie omtrent het wel of niet mogen loggen is er een andere belangrijke reden dat er geen logging op raadplegen mogelijk is. Personeelsdossier is een vrij doorzoekbaar archief binnen de grenzen van de toegekende autorisatie. Om deze reden is niet vast te stellen of een gebruiker documenten ook daadwerkelijk heeft geraadpleegd of niet, en daarom is het loggen op raadplegen niet 'waterdicht'.   Doordat je als gebruiker vrij kunt zoeken door de documenten binnen je privileges, kun je nooit met zekerheid zeggen of een gebruiker een document daadwerkelijk heeft geraadpleegd. Dat is alleen mogelijk als je, zoals bij medische dossiers, via een zoekfunctie altijd uitkomt bij precies één dossier van één persoon en waarbij je steeds een afzonderlijk een gekozen document moet openen. Alleen in dat geval kun je precies loggen wat de gebruiker heeft gedaan. In geval van een datalek is het dan ook voldoende om aan te geven welke gebruikers eventueel onterecht rechten hebben gehad op welke dossiers, en of ze dan daadwerkelijk documenten hebben geraadpleegd is in principe niet van belang.    Ook in de recente ISO-16175 hercertificering is wederom gebleken dat het niet noodzakelijk is om read logging te gebruiken, zolang je maar precies aan kan geven welke gebruikers rechten hebben op welke dossiers. Dat zouden er altijd maar een paar mogen zijn overigens, de manager en enkele HR-medewerkers. Juist om deze reden is het voldoende om aan te geven wie er volgens de autorisaties rechten heeft om het dossier van een medewerker te raadplegen, en dit is ook in de ISO-16175 certificering beoordeeld en akkoord bevonden.  ... Vis mer

Eens dat releasenotes echt eerder gepubliceerd dienen te worden. Lijkt mij niet dat deze releases adhoq uitgevoerd worden. Visma weet vantevoren wanneer releases live gezet worden, toch? Een kleine moeite voor Visma om ook deze "kleinere" releases aan te kondigen ipv achteraf of op het moment van livegang te communiceren. Zo lijkt het net of Visma zelf ook verrast is door een release. Wanneer het een fix betreft op een onvoorzien issue, is een andere zaak, dat moet zsm opgelost worden en live gezet. ... Vis mer