NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER
Onlangs stelde ik aan de leverancier van Khonraad (systeem ter uitvoering van de Wvggz) vragen m.b.t. selectie en vernietiging van (zaak-) documenten (records d.w.z. inclusief bijbehorende metadata waaronder persoonsgegevens) en dossiers.
Gebleken is dat het systeem niet voorziet in het toekennen van bewaartermijnen conform de wetgeving en evenmin worden er vernietigingslijsten gegenereerd voor de records die na respectievelijk 1, 5 of 20 jaar moeten worden verwijderd. Op de vraag of het hele record (document met metadata) als geheel wordt verwijderd, kreeg ik geen positief antwoord.
Gemeenten (burgemeesters) wisselen in dit kader ook informatie uit en zijn mede verantwoordelijk voor de vernietiging van door hen gegenereerde records. Zie Wvggz art. 8:32 lid 4.
Als gemeenten dit door een andere partij, bijvoorbeeld de zorgverlener, laten uitvoeren, is dit dan (goed) vastgelegd?
Dat er een DPIA (Data Protection Impact Asessment) uitgevoerd is, is goed maar zegt meer iets over de beveiliging dan over de eis dat informatie na een bepaalde tijd dient te worden verwijderd/vernietigd.
Wettekst Wvggz art. 8:32 lid 4
De zorgaanbieder, de geneesheer-directeur en de burgemeester bewaren de op grond van deze wet verkregen gegevens gedurende de termijn, bedoeld in artikel 7:454 van het Burgerlijk Wetboek te rekenen vanaf het tijdstip waarop de crisismaatregel, de voortzetting van de crisismaatregel, de zorgmachtiging of de verplichte zorg, bedoeld in artikel 9:1, eerste lid, eerste volzin wordt beëindigd.
Helaas ontving ik heden morgen van de leverancier het volgende bericht:
Wij hebben uw onderstaande e-mail intern besproken.
Wanneer de betreffende gemeenten zich rechtstreeks bij ons melden met het verzoek om de door u geformuleerde vragen te beantwoorden, dan zullen wij daar uiteraard gehoor aan geven. Het past echter niet binnen ons informatiebeveiligingsbeleid om vragen te beantwoorden die worden gesteld door een partij die wij niet kennen, vandaar dat ik u helaas niet rechtstreeks te woord kan staan. Ik hoop dat u hier begrip voor heeft.
Tags:
Die verantwoording leg je vooraf vast in de ketensamenwerking en met de leveranciers.
Zelfde problemen doen zich voor bij andere Cloud applicaties (personeelssystemen bijvoorbeeld). Hebben jullie ook met GIBIT en een pakket aan eisen aanbesteed?
Wat ook een punt is, dat je geen inzicht hebt hoe er in de back-up wordt vernietigd. Hopelijk volgen wat meer tips voor je.
Ken dit nieuwe addendum ook al?: https://vng.nl/nieuws/addendum-op-handvat-gegevensuitwisseling-besc...
Dit filmpje biedt inzicht tussen de relatie van de AVG en Archiefwet: http://www.breednetwerk.nl/video/kia-thematiendaagse-online-weblect...
Hoi Roos,
Net kwam ik toevalling onze AVG verwerkersovereenkomst met Khonraad tegen. En daarin staat duidelijk gemeld dat de persoonsgegevens vernietigd kunnen worden. Als dat vanuit de opdrachtgever of vanuit wetgeving moet. En als ik mij niet vergis moeten de persoonsgegevens vernietigd worden als de bewaartermijn volgens de selectielijst afgelopen is. De vraag is wel of het vernietigen van de persoonsgegevens genoeg is je wilt uiteraard dat ook de daadwerkelijke documenten/zaken vernietigd worden.
Daar zou je misschien het met Khonraad over kunnen hebben.
Succes Jan-Jaap
Dag Jan-Jaap,
Bedankt voor je reactie.
De crux zit hem in het gegeven dat dit (vernietigen/verwijderen) KAN als de opdrachtgever vanuit de wetgeving daartoe opdracht geeft. Het probleem is dat bij veel gemeenten bij aanschaf en/of inrichting van een intern/extern informatiesysteem geen informatiebeheerder met kennis van selectielijsten en dergelijke wordt geraadpleegd.
Technisch KAN je met zo'n systeem dus (persoons-) gegevens verwijderen, maar het is niet zo dat de vernietigingstermijnen conform de selectielijst automatisch aan de werkprocessen of zaken zijn gekoppeld. Zeker als het geen zaaksysteem of gemeentelijk DMS/RMS betreft. Gemeenten zullen zelf ervoor moeten zorgen dat een informatiesysteem/TSA (taakspecifieke applicatie) ook zodanig wordt geconfigureerd dat de juiste vernietigingstermijnen worden toegepast op afgesloten processen. Een (Sr.) adviseur IV hoort te allen tijde betrokken te zijn bij een dergelijke inrichting.
In de reactie van Yvonne Welings valt te lezen dat dit niet enkel voor het hier genoemde systeem geldt. Dat raakt de spijker op zijn kop. Eerder startte ik een nagenoeg gelijksoortige discussie waar ik i.p.v. Khonraad dezelfde vraag stelde maar dan in zijn algemeenheid: "Hoe selecteren en vernietigen gemeenten hun records in al dan niet interne/externe informatiesystemen/ TSA's/ Cloudoplossingen/ 'ketensystemen' ?" Daar reageerde helaas niemand op.
Zoals Yvonne al zegt, geldt dat ook voor personeelssystemen. Ik zou zeggen... en nog een hele rits aan informatiesystemen die binnen een gemeente draaien. Nota bene heb ik ooit een (landelijk zeer bekende) leverancier van zo'n e-HRM systeem zover gekregen dat die alle vernietigingstermijnen achter de processen conform de selectielijst inrichtte. Toen ik jaren later hetzelfde systeem bij een andere gemeente tegenkwam, bleek dit absoluut niet te zijn overgenomen. Hier stonden ALLE (zaak-)dossiers, inclusief aanvragen voor een fiets, computer, verlof, etc...(met name i.h.k.v. het cafetariamodel) op 40 jaar na ontslag i.p.v. 7 jr.! Dat was pas 2 jaar voor mijn komst zo ingericht, dus ver nadat die zelfde leverancier dit voor een andere gemeente op mijn verzoek wel correct had ingeregeld.
Leveranciers geven aan dat zo'n beetje alles KAN, maar als de opdrachtgever(s) niet specifiek aangeeft hoe het betreffende systeem dient te worden ingericht/geconfigureerd dan laat je het dikwijls over aan de techneut. Samenwerking met de procesverantwoordelijke, IT/I&A en IV/DIV is absoluut noodzakelijk om de leverancier het juiste systeem te laten bouwen ook met de eisen die aan archivering worden gesteld. Alleen dan weet je zeker dat records (informatie objecten zoals documenten inclusief hun metadata dus ook eventuele persoonsgegevens) als geheel op tijd worden vernietigd, dat je een selectie kan maken, dat er vernietigingslijsten kunnen worden gegenereerd, etc...
Niet geheel onbelangrijk in dit verhaal is ook dat binnen een ketensamenwerking duidelijk moet zijn vastgelegd wie wat vernietigt/verwijdert en door wie dit technisch wordt uitgevoerd.
Zoals je wellicht hebt kunnen lezen, is de leverancier Khonraad van mening dat zij mij geen antwoord op dergelijke vragen mogen geven omdat het binnen hun informatiebeveiligingsbeleid niet is toegestaan dit te doen t.b.v. een partij die zij niet kennen.
Wat ik van die uitspraak denk, laat ik hier wijselijk in het midden.
Met vriendelijke groet,
Roos
Jan-Jaap Fleurke zei:
Hoi Roos,
Net kwam ik toevalling onze AVG verwerkersovereenkomst met Khonraad tegen. En daarin staat duidelijk gemeld dat de persoonsgegevens vernietigd kunnen worden. Als dat vanuit de opdrachtgever of vanuit wetgeving moet. En als ik mij niet vergis moeten de persoonsgegevens vernietigd worden als de bewaartermijn volgens de selectielijst afgelopen is. De vraag is wel of het vernietigen van de persoonsgegevens genoeg is je wilt uiteraard dat ook de daadwerkelijke documenten/zaken vernietigd worden.
Daar zou je misschien het met Khonraad over kunnen hebben.
Succes Jan-Jaap
Beste Roos,
Eigenlijk wil ik je ook bedanken dat je dit item onder het voetlicht hebt gebracht. Je spreekt natuurlijk niet voor niets zaken af in een verwerkersovereenkomst. Ik zal dit item ook nog eens onder de aandacht brengen in de werkgroep vernietiging van Kees Groeneveld waar ik lid van ben.
Beste Yvonne,
Ook jij bedankt voor de diverse reacties en de informatie die je meestuurde. Is weer eens wat anders om een college over de relatie tussen de AVG en Archiefwet tijdens het hardlopen te beluisteren.
Hoe het precies zit met de verantwoordelijkheid voor het vernietigen/verwijderen van records i.h.k.v. de Wvggz is me nog niet 100% duidelijk geworden. Wel weet ik dat er een verwerker is en een verwerkingsverantwoordelijke of eigenlijk meerdere verwerkingsverantwoordelijken.
In de model verwerkersovereenkomsten is het zonder meer duidelijk dat de verwerker uitvoerend is en de verwerkingsverantwoordelijke de kaders zal moeten aangeven en met die kaders bedoel ik dan ook het bepalen van de vernietigingstermijnen.
Dit is waar het vaak op mank gaat. Diverse keren kreeg ik te horen dat de leverancier een verwerkersovereenkomst had afgesloten. In die verwerkingsovereenkomst staat o.a. het volgende:
3.3 U bent wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient u vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. Wij zorgen ervoor dat Wij voldoen aan de op ons als Verwerker van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die We hebben gemaakt in deze Overeenkomst.
Met U wordt hier de verwerkingsverantwoordelijke bedoeld. Helaas heb ik menig verwerkingsverantwoordelijke gesproken die totaal geen benul had van vernietigingstermijnen en er als vanzelf vanuit ging dat de verwerker het allemaal wel wist en vernietiging/verwijdering vanzelf en tijdig zou uitvoeren.
Omgekeerd zat ik regelmatig met leveranciers om tafel die mij (destijds in de rol van Sr. adviseur DIV bij diverse gemeenten) meewarig aankeken als ik ter sprake bracht dat het voor het tijdig vernietigen van records noodzakelijk was om per proces/zaaktype vernietigingstermijnen toe te kennen, de mogelijkheid te creëren om te kunnen selecteren en op basis van de selectie een vernietigingslijst te kunnen uitdraaien. "Daar moeten andere gemeenten dan toch ook aan voldoen?", was vaak hun commentaar.
In 2002 kreeg ik een floppy disc in handen van Ad van Heijst met het programma'tje EDDA waarmee je je applicatielandschap in kaart bracht. Later was er het model DSP/de i-Navigator om te inventariseren welke informatiesystemen/TSA's/Schijven (en eMailboxen) er per proces/zaaktype werden ingezet. Het leek en lijkt mij logisch dat je zorgt dat in alle bronnen informatie objecten/records (documenten en dossiers) worden vernietigd.
Ik merk wel dat er allengs meer besef is dat informatie zich niet enkel in een DMS/RMS zaaksysteem bevindt, maar het daadwerkelijk zodanig inrichten en uitvoeren van het vernietigingsproces zodanig dat dit op elke locatie en binnen elk informatiesysteem wordt toegepast, blijkt in de praktijk weerbarstig.
Heel prettig om te merken dat zich meerdere mensen inzetten om dit onder de aandacht te brengen en op de rails te krijgen.
Hartelijk dank Yvonne,
Ja, mijn idee! Het zou best kunnen dat het in het geval van de informatie opslag m.b.t. de Wvggz redelijk is geregeld, in elk geval formeel. Technisch heb ik daar m.b.t. selectie en vernietiging zo mijn bedenkingen over, gelet op de reactie van de leverancier zelf. Naar aanleiding van een vraag van een streekarchief of wij bekend waren met Khonraad startte ik een onderzoekje binnen een aantal gemeenten met de vraag hoe zij dit hebben geregeld.
Wat je opmerking over andere Cloud applicaties en o.a. een personeelssysteem betreft, verwijs ik naar mijn andere reactie(s). Ja, ook daar heb ik vanaf 2002 mijn vragen over gesteld en hoofdbrekens over gehad.
Zelf werk ik niet meer bij gemeenten, hoef ik niet meer aan te besteden en PvE's of FO's op te stellen. Desgevraagd wijs ik er wel op om over dit soort zaken na te denken bij de aanschaf van of het aanhaken bij een ander/nieuw informatiesysteem.
Yvonne Welings zei:
Die verantwoording leg je vooraf vast in de ketensamenwerking en met de leveranciers.
Zelfde problemen doen zich voor bij andere Cloud applicaties (personeelssystemen bijvoorbeeld). Hebben jullie ook met GIBIT en een pakket aan eisen aanbesteed?
Wat ook een punt is, dat je geen inzicht hebt hoe er in de back-up wordt vernietigd. Hopelijk volgen wat meer tips voor je.
Ken dit nieuwe addendum ook al?: https://vng.nl/nieuws/addendum-op-handvat-gegevensuitwisseling-besc...
Met belangstelling de discussie gelezen, hoewel ik zelf geen ervaring heb met deze specifieke leverancier. Onderstaande opmerking van Roos herken ik heel erg.
Roos van den Broek zei:
(...) Omgekeerd zat ik regelmatig met leveranciers om tafel die mij (destijds in de rol van Sr. adviseur DIV bij diverse gemeenten) meewarig aankeken als ik ter sprake bracht dat het voor het tijdig vernietigen van records noodzakelijk was om per proces/zaaktype vernietigingstermijnen toe te kennen, de mogelijkheid te creëren om te kunnen selecteren en op basis van de selectie een vernietigingslijst te kunnen uitdraaien. "Daar moeten andere gemeenten dan toch ook aan voldoen?", was vaak hun commentaar. (...)
DIV'ers en archivarissen roepen nogal makkelijk dat "het probleem" bij leveranciers ligt, terwijl leveranciers gewoon leveren wat ze gevraagd wordt. En niet wat ze niet gevraagd wordt. Kun je ze moeilijk verwijten. Dus inderdaad: wees erbij als er een systeem wordt aangeschaft en/of ontwikkeld (archiving by design) en ga niet pas achteraf een systeem auditen. Want natuurlijk voldoet een systeem niet aan eisen die nooit gesteld zijn.
Omdat wij vanuit leveranciers ook vaak reacties krijgen als: 'ik snap wat jullie willen, maar we hebben deze vraag nooit eerder gehad', zijn wij tot het inzicht gekomen dat we op landelijk niveau sterker op archiving by design moeten inzetten. Als individuele gemeente zijn we een te kleine speler om regie op de markt te voeren, zelfs al zijn we de grootste gemeente van het land. Dat is één van de redenen geweest dat ik vorig jaar vanuit KIA met een aantal collega's een traject ben gestart met als belangrijkste doelstelling het vergroten en verspreiden van kennis en kunde over dit onderwerp. Zie ook:
https://kia.pleio.nl/groups/view/28319672/kennisplatform-informatie...
Overigens is iedereen die een bijdrage kan en wil leveren nog altijd van harte welkom bij deze werkgroep!
Dag Rens,
Dank voor je reactie en ja, de spijker op zijn kop. Inderdaad ben ik ook in dit geval van mening dat gemeenten hun kennis en krachten zouden moeten bundelen om leveranciers zo ver te krijgen dat ze datgene leveren wat er mede vanuit de Archiefwet (en de AVG) moet worden geleverd. Het blijft een component welke vaak over het hoofd wordt gezien.
Dan moeten die gemeentes er wel voor zorgen dat de juiste partijen bij de inrichting van zo'n systeem om tafel komen te zitten. Ik krijg nog te vaak te horen dat "de beleidsmedewerker Jeugdzorg/Welzijn/Vastgoedzaken/etc... het niet nodig vindt."
Verwacht bij een beleidsmedewerker van een bepaald vakspecifiek domein (niet zijnde IV) geen kennis op het gebied van IV (informatievoorziening), Archiefwet en selectielijsten. Idem m.b.t. een I&A techneut. Je kan pas de juiste eisen aan een systeem stellen als je dit vanuit alle spelers die daarbij betrokken zijn benadert. Daar horen ook de FG (functionaris gegevensbescherming) en de adviseur/beleidsmedewerker Informatievoorziening bij.
Overigens is een ander probleem dat zelfs bij IV er nog wel eens gebrek aan kennis is, waardoor niemand voor de belangen van de cliënt opkomt als het gaat om het recht op vergetelheid.
Als niemand de leverancier voedt, zal het ook nooit correct in het geleverde systeem kunnen worden uitgevoerd.
Zal zo een kijkje nemen bij het kennisplatform-informatie/archiving by design.
Elke gemeente werkt met het Khonraad systeem. De burgemeester van iedere gemeente is immers nauw betrokken en verantwoordelijk bij een dwangopname.
Zojuist heb ik een goed gesprek met de leverancier van het informatiesysteem, waarin informatie m.b.t. de uitvoering van de Wvggz wordt uitgewisseld, opgeslagen en gearchiveerd, gehad.
Mij is toegezegd dat ik de certificering(-en) en toelichting zal ontvangen zodat duidelijk wordt in hoeverre wordt voorzien in de mogelijkheid om te selecteren en te vernietigen. Vernietigingslijsten kunnen er sowieso niet worden uitgedraaid, heb ik inmiddels vernomen.
Khonraad merkt terecht op dat zij enkel leverancier zijn van het pakket en verwerker en daarom niet verantwoordelijk zijn voor hetgeen er in dat pakket wel of niet is opgenomen aan functionaliteiten en vernietigingstermijnen. Die plicht rust immers op de verwerkingsverantwoordelijken (zie Wvggz art. 8:32 lid 1 t/m 4).
Eerder sprak ik mijn zorg uit over het gebrek aan kennis daar waar het de rol van de verwerkingsverantwoordelijke betreft. Die gaat er nog te vaak vanuit dat met het aangaan van een verwerkersovereenkomst 'alles is geregeld'.
Dat is natuurlijk op allerlei systemen die binnen een gemeente draaien van toepassing. U krijgt wat u vraagt en als er in het PvE en/of het FO geen archiefbeheerfunctionaliteiten zijn opgenomen, dan zitten die ook niet vanzelf in het systeem.
Wat categorie betreft geldt het volgende:
12.2.4 Gedwongen opname in psychiatrisch ziekenhuis
Procestermijn: De bestaans- of geldigheidsduur van het procesobject
Bewaartermijn: 20 jaar
Herkomst: Wet- en regelgeving: Wet verplichte geestelijke gezondheidszorg, art. 8.32 lid 4, Wet Zorg en Dwang art. 18a. lid 2
Toelichting: na beëindiging onvrijwillige zorg of zoveel langer als redelijkerwijs uit de zorg van een goed hulpverlener
Beste Roos,
Ook bij ons is dit vraagstuk gaan spelen. Het proces van het opleggen van een huisverbod vindt ook plaats in Khonraad. Aan de hand van de DPIA voor dit proces (Selectielijst 12.2.3) hebben wij aan Khonraad gevraagd hoe men met selectie en vernietiging omgaan. Wij hebben wel een inhoudelijke reactie ontvangen, namelijk dat zij voldoen aan artikel 10 van de Wet tijdelijk huisverbod:
Artikel 10 - 1. De beschikking waarbij het huisverbod met toepassing van artikel 2, eerste lid, of 9, eerste lid, is opgelegd of verlengd, wordt gedurende vijf jaren ter gemeentesecretarie bewaard en vervolgens vernietigd. De gedurende deze termijn ontvangen stukken betreffende het huisverbod worden daarbij gevoegd.
Hoe ze voldoen is niet duidelijk geworden. We zullen nader in gesprek gaan met Khonraad om na te gaan of bijvoorbeeld vernietiging plaatsvindt aan de hand van (goedgekeurde) vernietigingslijsten. Ik zal onze bevindingen hier delen.
Als jij of anderen inmiddels meer ervaring hebben met Khonraad of hierover nieuwe inzichten hebben dan verneem ik dat natuurlijk graag.
Roos van den Broek zei:
Elke gemeente werkt met het Khonraad systeem. De burgemeester van iedere gemeente is immers nauw betrokken en verantwoordelijk bij een dwangopname.
Zojuist heb ik een goed gesprek met de leverancier van het informatiesysteem, waarin informatie m.b.t. de uitvoering van de Wvggz wordt uitgewisseld, opgeslagen en gearchiveerd, gehad.
Mij is toegezegd dat ik de certificering(-en) en toelichting zal ontvangen zodat duidelijk wordt in hoeverre wordt voorzien in de mogelijkheid om te selecteren en te vernietigen. Vernietigingslijsten kunnen er sowieso niet worden uitgedraaid, heb ik inmiddels vernomen.
Khonraad merkt terecht op dat zij enkel leverancier zijn van het pakket en verwerker en daarom niet verantwoordelijk zijn voor hetgeen er in dat pakket wel of niet is opgenomen aan functionaliteiten en vernietigingstermijnen. Die plicht rust immers op de verwerkingsverantwoordelijken (zie Wvggz art. 8:32 lid 1 t/m 4).
Eerder sprak ik mijn zorg uit over het gebrek aan kennis daar waar het de rol van de verwerkingsverantwoordelijke betreft. Die gaat er nog te vaak vanuit dat met het aangaan van een verwerkersovereenkomst 'alles is geregeld'.
Dat is natuurlijk op allerlei systemen die binnen een gemeente draaien van toepassing. U krijgt wat u vraagt en als er in het PvE en/of het FO geen archiefbeheerfunctionaliteiten zijn opgenomen, dan zitten die ook niet vanzelf in het systeem.
© 2024 Gemaakt door Marco Klerks. Verzorgd door