NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER
Op BREED hebben in het verleden verschillende discussies plaatsgevonden over openbaarheid van stukken. Er ontstaan al veel discussie waar het dan precis over gaat. Wat ik nog steeds mis, vaak tegen aan loop en iedere keer in discussie met juristen en apllicatiebeheerders terug komt: welke informatie is intern toegankelijk voor alle ambtenaren en welke informatie moeten we afschermen voor een bepaalde groep. In deze discussie wil ik het niet hebben over informatie delen met de buitenwacht (burgers, bedrijven, journalisten e.d.). Dus de WOB wil ik er buiten houden.
Ik wil graag tot een overzicht komen. Het overzicht kan dan dienen als input voor een basis autorisatie schema, maar ook om bijvoorbeeld juristen een handje de goede weg op te helpen.
Hiertoe een aanzet, mede gebaseerd op deze twee al bestaande discussies:
http://www.breednetwerk.nl/group/zaakgerichtwerken/forum/topics/hoe...
http://www.breednetwerk.nl/forum/topics/openbaarheid-tenzij?comment...
Dus, als een gemeente intern zijn informatie wil delen, waar moet de organisatie rekening mee houden?
Welke wetten zijn van toepassing op de inhoud:
- Archiefwet (welke artikelen…….?)
- Wet bescherming persoonsgegevens WBP (welke artikelen ……..?)
- … Iemand meer suggesties?
Welke wetten/ regelingen zijn van toepassing op de ambtenaar:
- Ambtseed
- CAR-UWO (welke artikelen??)
- Gemeentelijke gedragscode
- …. Iemand nog suggesties?
Welke processen moeten beperkt toegankelijk zijn en waarom?
- PD’s.
- Leerlingenvervoer
- Cliëntgegevens SoZa
- Klachten voor de gemeentelijke ombudscommissie (Komt van Hans Hellings)
- BIBOB toets
- Nazorg van ex-gedetineerden
- Koninklijke onderscheidingen
- Nog meer suggesties?? Welke processen missen nog? Wat is de wettelijke grondslag daarvan?
Als je het weet vul de (?) in het stuk aan, kom met suggesties, schiet er maar op. Ik ben benieuwd.
Heb je nog tips waar er nog andere discussies over dit onderwerp spelen, dan hoor ik die ook graag.
Mocht er iemand zin hebben en tijd hebben om dit verder gezamenlijk op te willen pakken, stuur mij een e-mail. Ik wil graag tot een mooi overzicht komen en hulp daarbij is altijd welkom.
Tags:
Dag Mark,
Goed initiatief !!!
Hartelijke groet
Yvonne Welings
Nog een kleine aanvulling:
Dit jaar heb ik aan GEO van de gemeente Tilburg gevraagd of bij de aanschaf van luchtfoto's de auteursrechten vastgelegd kunnen worden. Bij het archief staan duizenden oudere luchtfoto's die we niet kunnen publiceren omdat de auteursrechten bij anderen berusten. En wat bleek, het was helemaal geen probleem om dat te doen. We kunnen dus de luchtfoto's uit 2012 gewoon gaan gebruiken en publiceren zonder extra kosten.
Hallo,
Interessant onderwerp dat ook bij ons in de organisatie regelmatig terugkomt.
Als aanvulling wil ik nog de categorie 'bestuurlijk gevoelige stukken' noemen. Direct ook een van de vaagste categorieën, maar mensen in de organisatie willen soms stukken pas intern beschikbaar stellen als ze besproken zijn in een selecte groep, omdat ze naar hun inschatting erg gevoelig liggen. Vaak is de gewenste afscherming dan ook van tijdelijke aard.
Onder "processen" noem je onder andere PD's en cliëntgegevens. Zijn dat processen?... ;-)
Wij hanteren bij de invoering van het zaakgericht werken momenteel twee vertrouwelijkheidscategorieën: wel of niet. Ieder zaaktype krijgt een standaard categorie, maar deze kan per zaak gewijzigd worden.
Niet vertrouwelijk:
Wel vertrouwelijk:
DIV (groep vertrouwelijk) is een deel van de hele DIV-groep.
Bij ons geldt het principe "Alles is intern openbaar, tenzij...". Er kan vervolgens heel veel op die puntjes gezet worden. Al die wet- en regelgeving is dan allemaal leuk en aardig, maar uiteindelijk draait de afweging om een ethisch onderbuikgevoel. Zodra er bijvoorbeeld iets van persoonsgebonden informatie is, dan begint die onderbuik namelijk te knagen. Een adres moet kunnen, kinderen en partners worden al iets gevoeliger, medische en financiële informatie is nog vervelender, et cetera. Afhankelijk van die knagende onderbuik wordt wet- en regelgeving (meestal de Wbp) zo geïnterpreteerd dat de zaken al dan niet vertrouwelijk moeten worden geacht.
Ik vind het daarom veel belangrijker dat een aantal verantwoordelijke, ethische mensen samen bediscusiëren of iets vertrouwelijk moet zijn of niet, dan dat er heel scherp het wetsartikel naast gelegd kan worden. Een landelijk overzicht is dan handig, maar biedt ook het gevaar dat het niet meer nodig is om actief na te denken over dit onderwerp.
Nazorg van ex-gedetineerden hebben wij inderdaad als vertrouwelijk gekenmerkt. De vraag kwam voorbij, wij keken elkaar in de ogen en iedereen was het hierover met elkaar eens. Ik heb geen idee welke wet daarbij hoort. Zet de Wbp er maar bij.
Dag Mark,
Wat betreft de interne openbaarheid heb je het hier feitelijk over autorisaties, wie is in welke mate geautoriseerd. Een belangrijke richtlijn; wie is proceseigenaar en vervolgens de functies die een rol spelen of belang hebben in uitvoerende zin, buiten de functioneel betrokken onder meer DIV als archiefbeheerder en gemeentarchivaris/archiefinspecteur als toezichthouder. Wie mag/moet er tbv van zijn/haar ambtelijk werk in welke mate hier kennis van nemen, en wie heeft mutatierechten. Daar heb je in principe geen wettelijke bepalingen voor nodig.
De vraag is of andere interne medewerkers die in betreffende proces geen enkele functionele (uitvoerende) rol of bedrijfsbelang hebben ook toegang mogen/moeten hebben tot deze informatie. Aan enkel het feit dat zij (toevallig) ambtelijke collega's zijn geeft nog geen vanzelfsprekend recht op toegang. Feitelijk hebben zij dan niet meer toegangsrechten dan elke andere burger op dat proces zou hebben, al dan niet op basis van de WOB en WBP.
Misschien kan je langs deze lijn tot logische antwoorden komen.
Dank voor deze eerste reacties.
@Marius, als ik je richtlijn aanhoud dan ga je vanuit het proces bekijken wie er allemaal leesrechten mag hebben. Gezien de hoeveelheid processen en het simpel houden van autorisatietabellen draaien veel organisaties deze juist om. Zeker in het geval er nog geen sprake is van zgw dan wordt er veelal nog op documentniveau autorisaties bepaald. Mijn ervaring van dit laatste is: chaos. Dus draaien we het om: 'alles intern openbaar, tenzij...'. Wat is dan die 'tenzij. Daar ben ik benieuwd naar.
En om, zoals jij aangeeft, dan te stellen dat collega's dezelfde toegangsrechten moeten hebben als iedere burger vind ik te kort door de bocht. Dan houden we de interne verkokering in stand en wordt informatiemanagement georganiseerd in hokjes. Ik vind dat een ouderwetse gedachte en het lijkt mij een stap terug in de tijd.
@Mark, denk niet dat dit iets te maken heeft met ouderwetse gedachten, maar gewoon een feit. Je kan geen automatisch toegangsrechten of -status ontlenen aan het enkele feit dat je een ambtelijke collega bent, maar geen enkele bemoeienis met het betreffende proces hebt. Analoog was dit beter te coordineren omdat men dan bij DIV het dossier moest opvragen (mits goed geregeld). Het feit dat daar voor gekozen wordt komt doordat dit digitaal inderdaad veel inspanningen kost om dit te autoriseren omdat de menselijke buffer is weggevallen. Intern openbaar tenzij ..... klinkt dan misschien we heel modern en open, maar is meer ingegeven door technische "onmacht".
Bedoek dan ook niet dat ambtelijke collega's dezelfde toegangsrechten moeten hebben als de burger, maar dat amtelijk automatisc recht tot toegang. De vraag of deze dan toegangsrechten moet hebben is veel relevanter. Natuurlijk wordt van elke ambtenaar verwacht dat hij/zij door in de ambtelijke organisatie werkzaam te zijn met informatie te maken krijgt die vertrouwelijkheid vereist. Ben alleen bang dat de tenzij regel erg subjectief zal blijven omdat daar in veel gevallen geen wetgeving aan gekoppeld kan worden en daar waar de WBP geen sluitend antwoord geeft. Bovendie maakt -voor zover ik weet- de WBP geen onderscheid in burgers en (toevallige) collega ambtenaren. Wat dus voor de bruger van toepassing is, is dan eigenlijk ook op die collega ambtenaar van toepassing. Het ziet er steeds meer naar uit dat authorisatie een belangrijke plek gaat krijgen in de digitale omgeving. RODIN (2.6) vereist zelfs een dergelijk autorisatieschema. RODIN kan je toch moeilijk en stap terug in de tijd noemen.
@Marius, de discussie die we ingaan is precies mijn reden om tot een overzicht te komen. Het blijkt maar weer dat op dit punt een eenduidige inrichting lastig blijkt. En je reactie houdt de discussie scherp. Maar in het kader van, ik gooi er maar eens wat kreten in, eenmalige opslag, niet meer vragen naar de bekende weg, integraal klantbeeld/ bedrijfbeeld, integrale samenwerking e.d. blijft de insteek van 'openbaar, tenzij...' mijn inziens een juiste. Anders maken we het nodeloos ingewikkeld.
Over de WBP. Daar wordt gesproken over het bestuursorgaan en niet 'alleen die ambtenaar die betrokken is bij het proces'. En is het aan het bestuursorgaan de juiste maatregelen te treffen tegen misbruik. En dan komen we bij de eed aflegging e.d.
Over de Rodin. Deze stelt alleen 'een door het bestuur/ management vastgesteld autorisatieschema' als eis. Welk schema? Die moet je dus opstellen. En ik ervaar in de praktijk, bij verschillende gemeenten dat we iedere keer verzanden in een hoop juridische discussies en speelt 'gevoel'iedere keer op. Dat moet toch anders kunnen?
Ik ben het helemaal eens met Mark.
Ook wij staan op het standpunt Openbaar tenzij. Zoveel mogelijk interne openbaarheid. We staan op het punt een zaaksysteem te gaan implementeren.
Om die reden zijn wij een kader aan het ontwikkelen voor interne toegankelijkheid van zaakdossiers. Dat kader zullen we gebruiken om straks per zaaktype de mate van openbaarheid te bepalen. Het kader laten we op directieniveau vaststellen.
Het is nog niet zover.... de uitwerking en het overleg is aan de gang. Maar over het prille concept kan ik dit zeggen:
- Ik heb veel inspiratie voor het kader opgedaan vanuit de gemeente Hengelo. Zo kwamen wij op het idee om (net zoals Hengelo) puur als eigen intern referentiekader delen uit de Wbp en de Wob te gebruiken, maar dan niet de hele wet zoals die voor "de buitenwereld zou gelden".
We zijn tenslotte allemaal beëdigde ambtenaren die horen te weten hoe we zorgvuldig moeten omgaan met informatie.
- Iederen die in ons systeem toegang krijgt moet een verklaring tekenen. Dat is ingegegeven door de GBA omdat het zaaksysteem een actieve koppeling heeft met de GBA. De verklaring hebben we "breder" gemaakt dan alleen GBA gegevens. Dus er wordt gewezen op een verantwoord gebruik van alle informatie in het systeem niet alleen GBA. Onze GBA verordening zal ook iets moeten worden aangepast.
- bij het zaakdossier wordt loginformatie opgeslagen en die is voor idereen raadpleegbaar! dus het is zichtbaar wie informatie in een zaak of document heeft gewijzigd. Mijn ervaring bij andere organisaties leert dat collega's elkaar aanspreken hierover als dat nodig is.
- Verder kiezen we voor zoveel mogelijk openbaarheid. Als het écht moet is er de volgende voorkeur:
1. Alleen beperken op documentype. Dus dan is niet gelijk een hele zaak ontoegankelijk.
2. Alleen beperken tijdens de behandelfase van een zaak, na afhandelen wel (dit zal vooral van belang zijn bij privaatrechelijke taken..... waarvoor we de Wob gebruiken) -idee=ook afkomstig van Hengelo-
3. pas als de bovenstaande opties ongewenst zijn blijft als laatse optie compleet afschermen
Hoe het uiteindelijk exact gaat worden kan ik dus niet zeggen maar bovenstaand is zo'n beetje in een notendop de richting waarin nu wordt gedacht en gepraat.
Groeten Christa (gemeente Leiden)
Christa, ik ben geïnteresseerd in die verklaring die de medewerkers moeten tekenen. Wij worstelen namelijk ook met de regels en ethiek rondom de GBA-gegevens die via het zaaksysteem ontsloten worden. Zou je mij zo'n verklaring willen mailen (m.klerks@s-hertogenbosch.nl)?
Voor wat betreft de strikte regelgeving, als ik mij niet vergis zegt de Wbp het volgende. Een organisatie mag persoonsgebonden gegevens verwerken, wanneer dat nodig is voor haar producten en diensten. Een organisatie moet aan kunnen geven welke typen van gebruikers toegang hebben tot welke persoonsgebonden gegevens. Als de organisatie dus zegt dat al haar medewerkers toegang hebben tot alle gegevens, dan is dat prima volgens de Wbp. Nu moet de organisatie echter wel "redelijkerwijs" enige moeite doen om misbruik tegen te gaan. Hoe dat moet, geeft de Wbp niet aan, maar het moge duidelijk zijn dat het inperken van de interne toegang tot de gegevens wel helpt.
Marius zegt: "Je kan geen automatisch toegangsrechten of -status ontlenen aan het enkele feit dat je een ambtelijke collega bent, maar geen enkele bemoeienis met het betreffende proces hebt." Jawel, dat kan dus wel! Mits de organisatie daarvoor kiest (en voldoende andere maatregelen neemt om misbruik tegen te gaan).
Daarnaast gelden er nog andere wetten. Het GBA is hier heel rigide in, heb ik begrepen. Je moet tot op het individu weten wie toegang heeft tot de GBA-gegevens en wie welke gegevens geraadpleegd heeft. (P.S. Welk zaaksysteem logt raadpleging van adresgegevens e.d. die komen uit het GBA?)
Mark, ik heb een ideetje. Misschien moeten we eerst inventariseren:
De Wbp beperkt namelijk niet alleen de toegang tot persoonsgebonden informatie, maar verplicht ook tot toegang aan het individu tot de eigen persoonlijke informatie. De Wob verplicht tot toegang, maar geeft ook uitzonderingsgronden. Et cetera. Daarna kunnen we dit als input gebruiken om de vertrouwelijkheid van zaaktypen te bepalen, waarbij de ethische discussie ook ruimte verdient.
Overigens kan zo'n discussie over de (on-)toegankelijkheid van informatie enorm helpen bij ambities rondom digitale samenwerking. Als in een vroeg stadium besluiten worden genomen over wie er - intern en extern - toegang mag hebben tot welke informatie, dan kan bij ieder nieuw initiatief tot samenwerking er snelle stappen genomen worden in het koppelen en inrichten van de systemen. Dat geldt zeker als de keuzes ingebed zijn in de (gegevens-)architectuur.
@Mark@Christa. Wat jullie bedoelen is ook helemaal een probleem, dat moet elke organsatie zelf afwegen. Maar het blijft wel vreemd dat de eed en zelfs het tekenen van een verklaring om toegang tot systemen te krijgen dan niet voldoende borging is voor die zorgvuldigheid. Dat lijkt behoorlijk op een vorm van authorisatie, even los van lees- en mutatierechten. Waarom dan nog "tenzij" en waarom zou die zorgvuldigheid dan niet voldoende zijn geborgd?
Een ander aspect wat mij opvalt is dat openbaarheid wordt gekoppeld aan zaaktype. Maar dezelfde zaaktype (overeenkomstige procesgang) kunnen verschillende taken/zaken omvatten die zich niet noodzakelijkwijs 1:1 verhouden wat gevolgen kan hebben voor opbaarheid. Daarnaast begrijp ik dat er tijdens het actieve dossier er wel afbakening/authoristie wordt toegepast/toegekend, wat natuurlijk ook logisch is. Hoe is dat dan geauthoriseerd? Hoe ga je dat dan regelen bij volledig geautomatiseerde zaaksystemen?
@Christa. Ben ook benieuwd naar de praktische uitwerking van het volgende citaat "Zo kwamen wij op het idee om (net zoals Hengelo) puur als eigen intern referentiekader delen uit de Wbp en de Wob te gebruiken, maar dan niet de hele wet zoals die voor "de buitenwereld zou gelden".
Mij vraag is: Gebruiken jullie dezelfde delen van de Wbp en Wob als Hengelo? En volgen de andere gemeenten dan dezelfde criteria? En welke afweging maak je dan bij welke onderdelen weer niet intern van toepassing maar wel voor de "buitenwereld" blijven gelden? Ben bang dat je hiermee in een subjectief domein terecht komt met juist het nodige "gevoel" en juridische discussies die Mark nu juist niet ziet zitten, en terecht natuurlijk.
Over de impact van de Wet Bescherming Persoonsgegevens (WBP) op informatievoorziening heb ik deze blog in het verleden online geplaatst.
© 2024 Gemaakt door Marco Klerks. Verzorgd door