Het idee is dat het Logboek Dataverwerkingen een basis biedt om te zorgen dat de overheid precies de data logt die zij nodig heeft om verantwoording af te leggen over haar taken. Niet meer, maar ook niet minder. En om te zorgen dat organisaties data zodanig loggen dat zij zich niet alleen over een eigen handelen kunnen verantwoorden, maar ook over hun gezamenlijk handelen als “de overheid”.
Informatiehuishouding van de overheid moet op orde worden gebracht. De overheid werkt ten dienste van burgers en bedrijven. De overheid verwerkt daarvoor informatie van deze burgers en bedrijven. Het is belangrijk dat de informatiehuishouding van de overheid op orde is, zodat de overheid transparant en aanspreekbaar is, en zich daarover goed kan verantwoorden.
Dat werkt als een soort vliegwiel, omdat daardoor ook de kwaliteit van de informatie beter wordt. De overheid kan daarmee betere dienstverlening bieden en ook zorgen dat de burger minder met fouten wordt geconfronteerd, of dat overheden fouten beter en sneller kunnen herstellen als deze zich onverhoopt voordoen.
Eenduidige en integrale verantwoording over dataverwerkingen door de overheid. Belangrijk is dat overheidsorganisaties op een eenduidige manier met informatie omgaan en op een eenduidige manier informatie met elkaar uitwisselen.
Voorafgaand aan informatie-uitwisseling is het belangrijk dat transparant is waarom dat gebeurt en, achteraf moet de overheid verantwoording kunnen afleggen over de data en de wijze waarop de data is verwerkt. Zo kunnen eventuele fouten of onregelmatigheden worden hersteld en kunnen burgers hun rechten op grond van de AVG geldend maken (oa. inzage en correctie). Het gaat daarbij niet alleen om overheidsorganisaties afzonderlijk, maar het gaat er ook – juist - om dat “dé overheid” zich als geheel ten opzichte van de burger kan verantwoorden.
Een belangrijk instrument om verbetering van de informatiehuishouding te bereiken is standaardisatie. Op diverse aspecten is daarom standaardisatie nodig en worden deze ontwikkeld. Een van deze aspecten is de wijze waarop overheden zich verantwoorden. Standaardisatie daarvan vormt daarmee een puzzelstukje in het bredere geheel. Hiermee kunnen overheden hun dataverwerkingen op dezelfde wijze verantwoorden en deze verantwoording onderling relateren, zodat de keten van dataverwerkingen tussen organisaties compleet inzichtelijk kan worden gemaakt.
De standaard Logboek Dataverwerkingen is een technische randvoorwaarde (een enabler) die organisaties in staat stelt om hun bredere doelen op het gebied van verantwoording en transparantie te bereiken. De standaard is niet het doel op zich, maar een middel om de verantwoordingsplicht van de overheid waar te kunnen maken.
Het onderscheid tussen de beleidsmatige doelen van het bredere beleidsinstrument en de technische doelen van de standaard is als volgt:
Beleidsmatige doelen (het waarom):
- Het verbeteren van de transparantie en verantwoordelijkheid van de overheid ten opzichte van burgers en bedrijven
- Het faciliteren van inzagerechten en het nakomen van wettelijke verplichtingen
- Het mogelijk maken van auditing, toezicht en kwaliteitsverbetering van de informatiehuishouding
- Het herstellen van fouten en onregelmatigheden
Deze beleidsmatige doelen worden bereikt door middel van de technische mogelijkheden die de standaard biedt.
Technische doelen (beschreven in de normatieve standaard):
- Het bieden van interoperabele functionaliteit voor het loggen van dataverwerkingen
- Het aan elkaar relateren van logs binnen en tussen systemen
- Het specificeren van uniforme interfaces en gedrag voor logging-componenten
Deze technische doelen zijn gericht op het hoe: hoe organisaties dataverwerkingen kunnen loggen op een eenduidige en interoperabele manier.
De standaard vormt daarmee een bouwsteen binnen een groter geheel van wet- en regelgeving (zoals de AVG en AWB), organisatorische maatregelen en beleidsafspraken die samen de verantwoording van de overheid vormgeven.
Dit beschrijft een overzicht van de scope van de standaard, inclusief de zaken die wel en niet binnen de scope van de standaard vallen.
Logging over dataverwerkingen in overheidssystemen. Het uitgangspunt van deze standaard is de verantwoordingsplicht van de overheid over de uitvoering van haar taken en de wetten en kaders die daarbij horen.
De volgende zaken worden niet behandeld in deze standaard:
- Toegangsbeheer: Logging rondom toegang tot systemen en data, waarbij zowel succesvolle als mislukte pogingen om toegang te krijgen worden vastgelegd. Deze logs zijn bedoeld voor het controleren van wie toegang heeft tot gevoelige informatie en voor het detecteren van ongeautoriseerde toegang.
- Toegangsverlening Logboek: De standaard specificeert geen functionaliteit rondom het aanmaken en beheren van toegangs- en onderhoudsprofielen ten behoeve van het logboek. Voor meer informatie zie Federatieve Toegangsverlening.
- Gebruikersactiviteiten: Logging van namen van gebruikers die data gebruiken of verwerken.
- Beveiligingsincidenten: Specifieke logs voor incidenten die de beveiliging kunnen beïnvloeden, zoals malware-detectie, aanvallen of misbruik. Dit soort logging is van groot belang voor het identificeren van bedreigingen en het kunnen reageren op incidenten.
- Technische en Systeemlogs: Logging van systeemfouten, configuratiewijzigingen en technische problemen. Deze logs helpen bij het waarborgen van de stabiliteit en betrouwbaarheid van IT-systemen en ondersteunen het oplossen van technische problemen.
- Logging ten behoeve van motivatie totstandkoming besluitvorming: anders dan uitgevoerde dataverwerkingen (niet: beslisregels, algoritmes, et cetera).
- Correcties op- en verwijdering van verwerkte data: dit wordt gezien als verwerking en volgt de gewone route van datalogging. Voor meer informatie zie besluit 4.5.
- Beperkingen op informatieplichten (bijvoorbeeld indien er een strafrechtelijk onderzoek plaatsvindt): het is aan de organisatie zelf om procedures te implementeren om beperking van inzage uit te voeren. Voor meer informatie zie besluit 4.6.
Het Logboek Dataverwerkingen is een doorontwikkeling van de conceptstandaard GEMMA Verwerkingenlogging, die door VNG Realisatie is gemaakt met als doel de naleving van AVG-verplichtingen rondom de verwerking van persoonsdata te verbeteren.
In 2023 heeft het Ministerie van Binnenlandse Zaken, in samenwerking met verschillende overheidspartijen, een project gestart om de GEMMA Verwerkingenlogging-standaard verder te ontwikkelen. Het uitgangspunt was het vergroten van de transparantie van de overheid en het verbeteren van de informatiepositie van de burger. Vanaf 2024 werd breder gekeken dan alleen de AVG; wettelijke kaders, zoals verantwoordingsverplichtingen, werden als uitgangspunt genomen voor het vormgeven van de standaard. Om aan deze eisen te voldoen, is de standaard aangepast en hernoemd tot Logboek Dataverwerkingen.
Voor de ontwikkeling van de standaard Logboek Dataverwerkingen was het essentieel dat de verschillende aspecten (juridische beleidskaders, techniek, inhoud en beheer) goed op elkaar werden afgestemd. Daartoe werkte het project met een interdisciplinair team: juristen, beleidsmakers en adviseurs van BZK werkten nauw samen met technische experts van Digilab en medewerkers van Logius, de beoogde beheerder. Deze interdisciplinaire aanpak zorgde ervoor dat de standaard aansluit op juridische randvoorwaarden, eenvoudig te beheren en te implementeren is, én effectief functioneert in de praktijk. Dit laatste aspect werd getest in Digilab, waar de standaard in verschillende simulatieomgevingen (Fieldlabs) werd ingebouwd en beproefd op praktische toepasbaarheid.
Om de overgang tussen ontwikkeling en beheer soepel te laten verlopen, was Logius vanaf een vroeg stadium betrokken bij het project. De inzet van Logius is in de loop van de tijd uitgebreid, zodat in 2025 het beheer van de standaard volledig kan worden overgedragen. Dit beheer wordt ingericht volgens de BOMOS-methodologie (Beheer- en OntwikkelModel voor Open Standaarden). Het opzetten van een goede governance-structuur is een integraal onderdeel van het beheer. Hierbij zullen, naast de gebruikers van de standaard, belangrijke rollen zijn weggelegd voor MIDO (Meerjarenprogramma Infrastructuur Digitale Overheid) en het Forum Standaardisatie. Deze gremia zullen naar verwachting respectievelijk de standaard vaststellen en deze opnemen op de Pas-Toe-Of-Leg-Uit-lijst. Het Ministerie van Binnenlandse Zaken blijft opdrachtgever voor het beheer van de standaard.
In dit hoofdstuk worden er voorbeelden beschreven van hoe de standaard gebruikt kan worden in verschillende scenario's om de lezer een beter beeld te geven van de standaard in zijn echte werking. Hierbij zijn er vier voorbeelden met elk een schets van de situatie, de uitgangspunten, het globale proces, de relatie tussen data, de relatie met het Logboek Dataverwerkingen en het gedrag van de applicatie.
Een persoon heeft bij een gemeente een parkeervergunning in gebruik en wil de data van deze vergunning bekijken.
- Het beschreven proces is een voorbeeld, het werkelijke proces kan anders verlopen.
- Het proces is een 'happy flow', dit betekent dat validaties en eventuele foutsituaties in dit voorbeeld niet in ogenschouw worden genomen.
- Autorisatieprocessen zijn in dit voorbeeld niet meegenomen.
- Een Loggingsregel wordt toegevoegd aan het logboek per geheel afgeronde transactie. Er wordt dus geen aparte logregel aangemaakt per ontvangen of verstuurd bericht.
- Een persoon vraagt in zijn 'MijnOmgeving' van de gemeente om de bestaande parkeervergunningdata.
- De 'MijnOmgeving' van de gemeente verzoekt de parkeervergunningapplicatie om de actuele parkeervergunningdata van de persoon.
- Het parkeervergunningsysteem voert dit verzoek uit. Daarna verzendt de parkeervergunningapplicatie de gevraagde data naar de gemeente. Het parkeervergunningensysteem logt dat er data verzonden is naar de gemeente.
- De gemeente toont de data aan de persoon en logt dat deze data is getoond aan de persoon.
Schematisch ziet dit proces er als volgt uit:
De volgende data worden gelogd in de diverse logmomenten:
Om uiteindelijk alle data te kunnen rapporteren, is het van belang dat data op een bepaalde manier aan elkaar gekoppeld is. In dit voorbeeld is de data op de volgende manier gekoppeld:
De relatie met de doelstellingen die gesteld zijn in de standaard Logboek dataverwerkingen worden, op basis van dit voorbeeld, als volgt concreet gerealiseerd:
- het wegschrijven van logs van dataverwerkingen: In dit voorbeeld is het de betrokkene zelf die via een portaal zijn eigen data kan bekijken. Deze actie is een dataverwerking en wordt gelogd bij zowel de gemeenteapplicatie (data wordt getoond aan de betrokkene) als bij de vergunningenapplicatie (verstrekking specifieke informatie aan de gemeenteapplicatie).
- het aan elkaar relateren van logs van dataverwerkingen: Er zijn in dit voorbeeld twee applicaties nodig om het totaal aan gevraagde informatie te kunnen tonen aan de betrokkene. Beide applicaties hebben een logboek voor verwerkte data. Om een totaalbeeld van de gelogde data te kunnen construeren, is een relatie tussen de logs nodig. In dit voorbeeld wordt de koppeling gelegd door het
span_id en trace_id uit het gemeentelogboek te linken aan het foreign_operation.span_id en trace_id uit het vergunningenlogboek.
- het aan elkaar relateren van dataverwerkingen over de grenzen van systemen: Naast het koppelen van logs van diverse applicaties, wordt ook een koppeling gelegd met het Register van verwerkingsactiviteiten. Dit gebeurt per applicatie op basis van het
processing_activity_id (register) te koppelen aan dpl.core.processing_activity_id (logboek). De diverse registers hebben geen directe koppeling met elkaar.
Standaard Logverwerkingen: paragraaf 3.3.1 Gedrag
- De applicatie MOET een Trace starten voor iedere Dataverwerking waarvan nog geen Trace bekend is. Bij elke start van een verwerking wordt een
trace_id aangemaakt. Bijvoorbeeld: in het voorbeeld komt er een bericht binnen bij de 'MijnOmgeving' van de gemeente (opvragenVergunningenVraag). Er wordt direct een trace_id aangemaakt.
- De applicatie MOET voor iedere Dataverwerking een logregel wegschrijven in een Logboek. Log Sampling is niet toegestaan. Een dataverwerking wordt opgeslagen als deze volledig is afgerond. In het voorbeeld is te zien dat een logregel wordt geschreven op het moment dat de vraag- en het antwoordbericht zijn afgerond.
- De applicatie MOET bijhouden of een Dataverwerking geslaagd of mislukt is en dit per Dataverwerking als status meegeven aan het Logboek. Bij elke logregel in het voorbeeld staat de
status_code vermeld ('OK').
- Als een Dataverwerking meerdere Betrokkenen heeft dan MOET de applicatie voor iedere betrokkene een aparte logregel wegschrijven. Een logregel kan naar 0 of 1 betrokkenen verwijzen. In het voorbeeld gaat het om één betrokkene (
dpl.core.data_subject_id), er wordt steeds één logregel aangemaakt.
- Als een applicatie aangeroepen kan worden vanuit een andere applicatie MOET de applicatie Trace Context metadata accepteren bij een dergelijke aanroepen deze metadata kunnen omzetten naar een foreign_operation bericht. Bij een externe verwerking (bijvoorbeeld opvragenVergunningen) geeft de 'MijnOmgeving' de
trace_id en span_id mee aan de Vergunningenapplicatie. De vergunningenapplicatie registreert de trace_id, en span_id als foreign_operation.span_id.
Een persoon heeft bij een gemeente een parkeervergunning in gebruik en wil de data van het kenteken van deze vergunning wijzigen.
- Het beschreven proces is een voorbeeld, het werkelijke proces kan anders verlopen.
- Het proces is een 'happy flow', dit betekent dat validaties en eventuele foutsituaties in dit voorbeeld niet in ogenschouw worden genomen.
- Autorisatieprocessen zijn in dit voorbeeld niet meegenomen.
- Een Loggingsregel wordt toegevoegd aan het logboek per geheel afgeronde transactie. Er wordt dus geen aparte logregel aangemaakt per ontvangen of verstuurd bericht.
- Een persoon vraagt in zijn 'MijnOmgeving' van de gemeente om de bestaande parkeervergunningdata.
- De 'MijnOmgeving' van de gemeente verzoekt de parkeervergunningapplicatie om de actuele parkeervergunningdata van de persoon.
- De parkeervergunningapplicatie voert dit verzoek uit. Daarna verzendt de parkeervergunningapplicatie de gevraagde data naar de gemeente. De parkeervergunningapplicatie logt dat er data verzonden is naar de gemeente.
- De gemeente toont de data aan de persoon en logt dat deze data is getoond aan de persoon.
- De persoon wijzigt het kenteken in de 'MijnOmgeving' van de gemeente.
- De 'MijnOmgeving' van de gemeente verzoekt de parkeervergunningapplicatie om de wijziging af te handelen.
- De parkeervergunningapplicatie verzoekt het RDW te controleren of het kenteken ook daadwerkelijk bij de persoon hoort.
- Het RDW stuurt een antwoord terug naar de parkeervergunningapplicatie en logt de dataverwerking.
- De parkeervergunningapplicatie logt het controleverzoek aan het RDW.
- De parkeervergunningapplicatie wijzigt het kenteken van de persoon en logt het wijzigingsverzoek van de persoon.
- Nadat de wijziging is gedaan in de parkeervergunningapplicatie, wordt het wijzigingsverzoek gelogd in de 'MijnOmgeving' van de gemeente.
- De persoon vraagt in zijn 'MijnOmgeving' van de gemeente om de bestaande parkeervergunningdata.
- De 'MijnOmgeving' van de gemeente verzoekt de parkeervergunningapplicatie om de actuele parkeervergunningdata van de persoon.
- De parkeervergunningapplicatie voert dit verzoek uit. Daarna verzendt de parkeervergunningapplicatie de gevraagde data naar de gemeente. De parkeervergunningapplicatie logt dat er data verzonden zijn naar de gemeente.
- De gemeente toont de data aan de persoon en logt dat deze data is getoond aan de persoon.
Schematisch ziet dit proces er als volgt uit:
De volgende data worden gelogd in de diverse logmomenten:
Log opvragenVergunningen (log vergunningenapplicatie)
| Attribuut |
Waarde |
span_id |
8ee7b01aca8d01d9 |
name |
opvragenVergunningen |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:16:49.000 |
end_time |
2024-07-29 08:16:49.000 |
status_code |
OK |
| resource.name |
Parkeeradmin |
| resource.version |
2.1.6 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
12f2ec2a-0cc4-3541-9ae6-219a178fcfe4 |
| attributeKey |
<leeg> |
| attributeValue |
<leeg> |
foreign_operation.span_id |
b2e339a595246e01 |
Log tonenVergunningen (log gemeente)
| Attribuut |
Waarde |
span_id |
b2e339a595246e01 |
name |
tonenVergunningen |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 10:16:49.690 |
end_time |
2024-07-29 10:16:49.723 |
status_code |
OK |
| resource.name |
MijnOmgeving |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
11x2ec2a-0774-3541-9b16-21ba179fcf15 |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
13j2ec27-0cc4-3541-9av6-219a178fcfe5 |
Log controlerenKenteken (log RDW)
| Attribuut |
Waarde |
span_id |
433f276975204ccf |
name |
controlerenKenteken |
parent_span_idcontrolerenKenteken |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:17:02 |
end_time |
2024-07-29 08:17:02 |
status_code |
OK |
| resource.name |
BRV |
| resource.version |
2.0 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
8c714e4a-a538-36f7-8b1f-37a6884cc68c |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
<leeg> |
foreign_operation.span_id |
414514cf1d40d6b2 |
Log controlerenKenteken (log vergunningenapplicatie)
| Attribuut |
Waarde |
span_id |
414514cf1d40d6b2 |
name |
controlerenKenteken |
parent_span_id |
7a95b6989d2b28c7 |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:17:02.000 |
end_time |
2024-07-29 08:17:02.000 |
status_code |
OK |
| resource.name |
Parkeeradmin |
| resource.version |
2.1.6 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
19u2dd2a-0cb7-3541-9ae6-217a178fc9e6 |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
<leeg> |
foreign_operation.span_id |
ba7cac7ca0489e42 |
Log wijzigenKenteken (log vergunningenapplicatie)
| Attribuut |
Waarde |
span_id |
7a95b6989d2b28c7 |
name |
wijzigenKenteken |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:17:02.000 |
end_time |
2024-07-29 08:17:02.000 |
status_code |
OK |
| resource.name |
Parkeeradmin |
| resource.version |
2.1.6 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
0b1ff20a-3ecb-34bf-8cf5-e4cbacb046ab |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
<leeg> |
foreign_operation.span_id |
df524ee2a3fd5ddf |
Log wijzigenKenteken (log gemeente)
| Attribuut |
Waarde |
span_id |
df524ee2a3fd5ddf |
name |
wijzigenKenteken |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 10:17:02.010 |
end_time |
2024-07-29 10:17:02.039 |
status_code |
OK |
| resource.name |
MijnOmgeving |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
12c21c2a-0875-3543-9b16-21ja179fcf16 |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
13j2ec27-0cc4-3541-9av6-219a178fcfe5 |
foreign_operation.span_id |
<leeg> |
Log opvragenVergunningen (log vergunningenapplicatie)
| Attribuut |
Waarde |
span_id |
6042d706f53fec76 |
name |
opvragenVergunningen |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:17:02.000 |
end_time |
2024-07-29 08:17:02.000 |
status_code |
OK |
| resource.name |
Parkeeradmin |
| resource.version |
2.1.6 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
12f2ec2a-0cc4-3541-9ae6-219a178fcfe4 |
| attributeKey |
<leeg> |
| attributeValue |
<leeg> |
foreign_operation.span_id |
ba7cac7ca0489e42 |
Log tonenVergunningen (log gemeente)
| Attribuut |
Waarde |
span_id |
ba7cac7ca0489e42 |
name |
tonenVergunningen |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 10:17:02.274 |
end_time |
2024-07-29 10:17:02.291 |
status_code |
OK |
| resource.name |
MijnOmgeving |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
11x2ec2a-0774-3541-9b16-21ba179fcf15 |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
13j2ec27-0cc4-3541-9av6-219a178fcfe5 |
Om uiteindelijk alle data te kunnen rapporteren, is het van belang dat data op een bepaalde manier aan elkaar gekoppeld is. In dit voorbeeld zijn de data op de volgende manier gekoppeld:
De relatie met de doelstellingen die gesteld zijn in de standaard Logboek dataverwerkingen worden, op basis van dit voorbeeld, als volgt concreet gerealiseerd:
het wegschrijven van logs van dataverwerkingen: In dit voorbeeld is het de betrokkene zelf die via een portaal zijn eigen data kan bekijken en wijzigen. Deze acties zijn dataverwerkingen en worden gelogd bij zowel de gemeenteapplicatie (data wordt getoond aan de betrokkene) als bij de vergunningenapplicatie (verstrekking specifieke informatie aan de gemeenteapplicatie).
het aan elkaar relateren van logs van dataverwerkingen: Er zijn in dit voorbeeld twee applicaties nodig om het totaal aan gevraagde informatie te kunnen tonen aan de betrokkene. Beide applicaties hebben een logboek voor verwerkte data. Om een totaalbeeld van de gelogde data te kunnen construeren, is een relatie tussen de logs nodig. In dit voorbeeld wordt de koppeling gelegd door het span_id en trace_id (gemeentelogboek) te linken aan het foreign_operation.span_id en trace_id (vergunningenlogboek).
het aan elkaar relateren van dataverwerkingen over de grenzen van systemen: Naast het koppelen van logs van diverse applicaties, wordt ook een koppeling gelegd met het Register van verwerkingsactiviteiten. Dit gebeurt per applicatie op basis van het processing_activity_id (register) te koppelen aan dpl.core.processing_activity_id (logboek). De diverse registers hebben geen directe koppeling met elkaar.
- De applicatie MOET een Trace starten voor iedere Dataverwerking waarvan nog geen Trace bekend is. Bij elke start van een verwerking wordt een
trace_id aangemaakt. Bijvoorbeeld: in het voorbeeld komt er een bericht binnen bij de 'MijnOmgeving' van de gemeente (opvragenVergunningenVraag). Er wordt direct een trace_id aangemaakt.
- De applicatie MOET voor iedere Dataverwerking een logregel wegschrijven in een Logboek. Log Sampling is niet toegestaan. Een dataverwerking wordt opgeslagen als deze volledig is afgerond. In het voorbeeld is te zien dat een logregel wordt geschreven op het moment dat de vraag- en het antwoordbericht zijn afgerond.
- De applicatie MOET bijhouden of een Dataverwerking geslaagd of mislukt is en dit per Dataverwerking als status meegeven aan het Logboek. Bij elke logregel in het voorbeeld staat de
status_code vermeld ('OK').
- Als een Dataverwerking meerdere Betrokkenen heeft dan MOET de applicatie voor iedere betrokkene een aparte logregel wegschrijven. Een logregel kan naar 0 of 1 betrokkenen verwijzen. In het voorbeeld gaat het om één betrokkene (
dpl.core.data_subject_id), er wordt steeds één logregel aangemaakt.
- Als een applicatie aangeroepen kan worden vanuit een andere applicatie MOET de applicatie Trace Context metadata accepteren bij een dergelijke aanroepen deze metadata kunnen omzetten naar een foreign_operation bericht. Bij een externe verwerking (bijvoorbeeld opvragenVergunningen) geeft de 'MijnOmgeving' de
trace_id en span_id mee aan de Vergunningenapplicatie. De vergunningenapplicatie registreert de trace_id, en span_id als foreign_operation.span_id.
Deze case beschrijft de binnengemeentelijke verhuizing van een persoon. De beschrijving is functioneel zo eenvoudig mogelijk. De burger komt aan de balie en er is geen sprake van meeverhuizende gezinsleden.
- Het beschreven proces is een voorbeeld, het werkelijke proces kan anders verlopen.
- Het proces is een 'happy flow', dit betekent dat validaties en eventuele foutsituaties in dit voorbeeld niet in ogenschouw worden genomen.
- Autorisatieprocessen zijn in dit voorbeeld niet meegenomen.
- Een Loggingsregel wordt toegevoegd aan het logboek per geheel afgeronde transactie. Er wordt dus geen aparte logregel aangemaakt per ontvangen of verstuurd bericht.
Schematisch ziet dit proces er als volgt uit:
- De Baliemedewerker voert BSN van de burger in.
- De Browser vraagt om persoonsdata bij de gemeentelijke Balieapplicatie.
- De gemeentelijke Balieapplicatie vraag persoonsdata bij het BRP-systeem.
- Het BRP systeem stuurt gevraagde data naar de gemeentelijke Balieapplicatie en logt de aanvraag.
- De gemeentelijke Balieapplicatie stuurt de data naar de Browser en worden getoond aan de Baliemedewerker. De aanvraag wordt gelogd door de Balieapplicatie.
- De Baliemedewerker voert de wijziging in en de Browser verstuurt de data naar de gemeentelijke Balieapplicatie.
- De gemeentelijke Balieapplicatie verstuurt de data naar het BRP-systeem.
- Het BRP-systeem verwerkt de wijziging, stuurt bevestiging terug naar de gemeentelijke Balieapplicatie en logt de verwerkingsactie.
- De Browser vraagt de actuele persoonsdata op de gemeentelijke Balieapplicatie.
- De gemeentelijke Balieapplicatie vraagt de persoonsdata op bij het BRP-systeem.
- Het BRP-systeem stuurt de persoonsdata naar de gemeentelijke Balieapplicatie en logt de aanvraag.
- De gemeentelijke Balieapplicatie stuurt de persoonsdata naar de Browser en logt de aanvraag.
Schematisch ziet dit proces er als volgt uit:
De volgende data worden gelogd in de diverse logmomenten:
Log opvragenPersoonsgegevens (log BRP)
| Attribuut |
Waarde |
span_id |
7a22eb38-bca6-463f-9955-54ab040287cb |
name |
opvragenPersoonsgegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:16:49.000 |
end_time |
2024-07-29 08:16:49.000 |
status_code |
OK |
| resource.name |
BRP |
| resource.version |
2.0 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
12f2ec2a-0cc4-3541-9ae6-219a178fcfe4 |
| attributeKey |
<leeg> |
| attributeValue |
<leeg> |
foreign_operation.span_id |
b2e339a595246e01 |
Log tonenNAWGegevens (log gemeente)
| Attribuut |
Waarde |
span_id |
b2e339a595246e01 |
name |
tonenNAWGegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 10:16:49.690 |
end_time |
2024-07-29 10:16:49.723 |
status_code |
OK |
| resource.name |
Balieapp |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
11x2ec2a-0774-3541-9b16-21ba179fcf15 |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
13j2ec27-0cc4-3541-9av6-219a178fcfe5 |
Log wijzigenPersoonsgegevens (log BRP)
| Attribuut |
Waarde |
span_id |
433f276975204ccf |
name |
wijzigenPersoonsgegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:17:02 |
end_time |
2024-07-29 08:17:02 |
status_code |
OK |
| resource.name |
BRP |
| resource.version |
2.0 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
8c714e4a-a538-36f7-8b1f-37a6884cc68c |
| attributeKey |
<leeg> |
| attributeValue |
<leeg> |
foreign_operation.span_id |
414514cf1d40d6b2 |
Log wijzigenPersoonsgegevens (log gemeente)
| Attribuut |
Waarde |
span_id |
414514cf1d40d6b2 |
name |
wijzigenPersoonsgegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:17:02.000 |
end_time |
2024-07-29 08:17:02.000 |
status_code |
OK |
| resource.name |
Balieapp |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
19u2dd2a-0cb7-3541-9ae6-217a178fc9e6 |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
13j2ec27-0cc4-3541-9av6-219a178fcfe5 |
foreign_operation.span_id |
<leeg> |
Log opvragenPersoonsgegevens (log BRP)
| Attribuut |
Waarde |
span_id |
7a95b6989d2b28c7 |
name |
opvragenPersoonsgegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:17:02.000 |
end_time |
2024-07-29 08:17:02.000 |
status_code |
OK |
| resource.name |
BRP |
| resource.version |
2.0 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
0b1ff20a-3ecb-34bf-8cf5-e4cbacb046ab |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
<leeg> |
foreign_operation.span_id |
df524ee2a3fd5ddf |
Log tonenNAWGegevens (log gemeente)
| Attribuut |
Waarde |
span_id |
df524ee2a3fd5ddf |
name |
tonenNAWGegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 10:17:02.010 |
end_time |
2024-07-29 10:17:02.039 |
status_code |
OK |
| resource.name |
Balieapp |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
12c21c2a-0875-3543-9b16-21ja179fcf16 |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
13j2ec27-0cc4-3541-9av6-219a178fcfe5 |
foreign_operation.span_id |
<leeg> |
Om uiteindelijk alle data te kunnen rapporteren, is het van belang dat data op een bepaalde manier aan elkaar gekoppeld zijn. In dit voorbeeld is de data op de volgende manier gekoppeld:
De relatie met de doelstellingen die gesteld zijn in de standaard Logboek dataverwerkingen worden, op basis van dit voorbeeld, als volgt concreet gerealiseerd:
- het wegschrijven van logs van dataverwerkingen: In dit voorbeeld is het de Baliemedewerker die via een Balieapplicatie de data van een Betrokkene kan bekijken en wijzigen. Deze acties zijn dataverwerkingen en worden gelogd bij zowel de Balieapplicatie als bij het BRP-systeem.
- het aan elkaar relateren van logs van dataverwerkingen: Er zijn in dit voorbeeld twee applicaties nodig om het totaal aan gevraagde informatie te kunnen tonen aan de betrokkene. Beide applicaties hebben een logboek voor verwerkte data. Om een totaalbeeld van de gelogde data te kunnen construeren, is een relatie tussen de logs nodig. In dit voorbeeld wordt de koppeling gelegd door het
span_id en trace_id (gemeentelogboek) te linken aan het foreign_operation.span_id (BRP-logboek).
- het aan elkaar relateren van dataverwerkingen over de grenzen van systemen: Naast het koppelen van logs van diverse applicaties, wordt ook een koppeling gelegd met het Register van verwerkingsactiviteiten. Dit gebeurt per applicatie op basis van het
processing_activity_id (register) te koppelen aan dpl.core.processing_activity_id (logboek). De diverse registers hebben geen directe koppeling met elkaar.
Standaard Logverwerkingen: paragraaf 3.3.1 Gedrag
- De applicatie MOET een Trace starten voor iedere Dataverwerking waarvan nog geen Trace bekend is. Bij elke start van een verwerking wordt een
trace_id aangemaakt. Bijvoorbeeld: in het voorbeeld komt er een bericht binnen bij de Balieapplicatie van de gemeente (tonenNAWGegevens). Er wordt direct een trace_id aangemaakt.
- De applicatie MOET voor iedere Dataverwerking een logregel wegschrijven in een Logboek. Log Sampling is niet toegestaan. Een dataverwerking wordt opgeslagen als deze volledig is afgerond. In het voorbeeld is te zien dat een logregel wordt geschreven op het moment dat de vraag- en het antwoordbericht zijn afgerond.
- De applicatie MOET bijhouden of een Dataverwerking geslaagd of mislukt is en dit per Dataverwerking als status meegeven aan het Logboek. Bij elke logregel in het voorbeeld staat de
status_code vermeld ('OK').
- Als een Dataverwerking meerdere Betrokkenen heeft dan MOET de applicatie voor iedere betrokkene een aparte logregel wegschrijven. Een logregel kan naar 0 of 1 betrokkenen verwijzen. In het voorbeeld gaat het om één betrokkene (
dpl.core.data_subject_id), er wordt steeds één logregel aangemaakt.
- Als een applicatie aangeroepen kan worden vanuit een andere applicatie MOET de applicatie Trace Context metadata accepteren bij een dergelijke aanroepen deze metadata kunnen omzetten naar een foreign_operation bericht. Bij een externe verwerking (bijvoorbeeld opvragenPersoonsgegevens) geeft de Balieapplicatie de
trace_id en span_id mee aan het BRP-systeem. Het BRP-systeem registreert de trace_id, en span_id als foreign_operation.span_id.
Deze case beschrijft de samenstelling van een huishouding op een bepaald adres. De beschrijving is functioneel zo eenvoudig mogelijk, een burger komt aan de balie en er is geen sprake van wijzigingen in de huishouding.
- Het beschreven proces is een voorbeeld, het werkelijke proces kan anders verlopen.
- Het proces is een 'happy flow', dit betekent dat validaties en eventuele foutsituaties in dit voorbeeld niet in ogenschouw worden genomen.
- Autorisatieprocessen zijn in dit voorbeeld niet meegenomen.
- Een Loggingsregel wordt toegevoegd aan het logboek per geheel afgeronde transactie. Er wordt dus geen aparte logregel aangemaakt per ontvangen of verstuurd bericht.
- Het is optioneel om het BSN (
dpl.core.data_subject_id) te versleutelen ten behoeve van extra databeveiliging. In dit voorbeeld wordt versleuteling van data toegepast.
Schematisch ziet dit proces er als volgt uit:
- De Baliemedewerker voert adres van de burger in.
- De Browser vraagt om persoonsdata bij de gemeentelijke Balieapplicatie.
- De gemeentelijke Balieapplicatie vraag persoonsdata bij het BRP-systeem.
- Het BRP systeem stuurt gevraagde data naar de gemeentelijke Balieapplicatie en logt de aanvraag.
- De gemeentelijke Balieapplicatie stuurt de data naar de Browser en worden getoond aan de Baliemedewerker. De aanvraag wordt gelogd door de Balieapplicatie.
Schematisch ziet dit proces er als volgt uit:
De volgende data worden gelogd in de diverse logmomenten:
Log opvragenPersoonsgegevens (log BRP) persoon 1
| Attribuut |
Waarde |
span_id |
7a22eb38-bca6-463f-9955-54ab040287cb |
name |
opvragenPersoonsgegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:16:49.000 |
end_time |
2024-07-29 08:16:49.000 |
status_code |
OK |
| resource.name |
BRP |
| resource.version |
2.0 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
12f2ec2a-0cc4-3541-9ae6-219a178fcfe4 |
foreign_operation.span_id |
b2e339a595246e01 |
| BSN 1 |
<leeg> |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
ddj2ey299-0cf4-3541-9ar6-21ia178fcfrr |
span_id |
r2e3229059BG246e01 |
parent_span_id |
7a22eb38-bca6-463f-9955-54ab040287cb |
Log opvragenPersoonsgegevens (log BRP) persoon 2
| Attribuut |
Waarde |
span_id |
7a22eb38-bca6-463f-9955-54ab040287cb |
name |
opvragenPersoonsgegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 08:16:49.000 |
end_time |
2024-07-29 08:16:49.000 |
status_code |
OK |
| resource.name |
BRP |
| resource.version |
2.0 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
12f2ec2a-0cc4-3541-9ae6-219a178fcfe4 |
foreign_operation.span_id |
b2e339a595246e01 |
| BSN 2 |
<leeg> |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
f4j2ey299-3er4-3aa41-9ar6-21ia178fc3tyy |
span_id |
9as5y3t-3ca7-463f-wwt9a5-54ab0402rft |
parent_span_id |
7a22eb38-bca6-463f-9955-54ab040287cb |
Log tonenNAWGegevens (log gemeente) persoon 1
| Attribuut |
Waarde |
span_id |
b2e339a595246e01 |
name |
tonenNAWGegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 10:16:49.690 |
end_time |
2024-07-29 10:16:49.723 |
status_code |
OK |
| resource.name |
Balieapp |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
11x2ec2a-0774-3541-9b16-21ba179fcf15 |
| BSN 1 |
<leeg> |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
13j2ec27-0cc4-3541-9av6-219a178fcfe5 |
span_id |
42f33gfa595246ert |
parent_span_id |
b2e339a595246e01 |
Log tonenNAWGegevens (log gemeente) persoon 2
| Attribuut |
Waarde |
span_id |
b2e339a595246e01 |
name |
tonenNAWGegevens |
parent_span_id |
<leeg> |
trace_id |
c6adf4df949d03c662b53e95debdc411 |
start_time |
2024-07-29 10:16:49.690 |
end_time |
2024-07-29 10:16:49.723 |
status_code |
OK |
| resource.name |
Balieapp |
| resource.version |
1.0.5 |
| attributeKey |
dpl.core.processing_activity_id |
| attributeValue |
11x2ec2a-0774-3541-9b16-21ba179fcf15 |
| BSN 2 |
<leeg> |
| attributeKey |
dpl.core.data_subject_id |
| attributeValue |
342ec27-aa41-dav6-219a178f5ty6 |
span_id |
aef53rfa59e240ert |
parent_span_id |
b2e339a595246e01 |
Om uiteindelijk alle data te kunnen rapporteren, is het van belang dat data op een bepaalde manier aan elkaar gekoppeld zijn. In dit voorbeeld zijn de data op de volgende manier gekoppeld:
De relatie met de doelstellingen die gesteld zijn in de standaard Logboek dataverwerkingen worden, op basis van dit voorbeeld, als volgt concreet gerealiseerd:
het wegschrijven van logs van dataverwerkingen: In dit voorbeeld is het de Baliemedewerker die via een Balieapplicatie de data van een Betrokkene kan bekijken. Deze acties zijn dataverwerkingen en worden gelogd bij zowel de Balieapplicatie als bij het BRP-systeem.
het aan elkaar relateren van logs van dataverwerkingen: Er zijn in dit voorbeeld twee applicaties nodig om het totaal aan gevraagde informatie te kunnen tonen aan de betrokkene. Beide applicaties hebben een logboek voor verwerkte data. Om een totaalbeeld van de gelogde data te kunnen construeren, is een relatie tussen de logs nodig. In dit voorbeeld wordt de koppeling gelegd door het span_id en trace_id (gemeentelogboek) te linken aan het foreign_operation.span_id en foreign_operation.trace_id (BRP-logboek). De aanroep van de gemeente-applicatie naar het BRP betreft één opvraag op basis van één adres, één span_id en één trace_id. Het resultaat is meervoudig en moeten naar dezelfde span_id en trace_id leiden van de gemeente-applicatie. Het onderscheid zit in de verschillende BSN's van de personen die via een parent_span_id gekoppeld zijn.
het aan elkaar relateren van dataverwerkingen over de grenzen van systemen: Naast het koppelen van logs van diverse applicaties, wordt ook een koppeling gelegd met het Register van verwerkingsactiviteiten. Dit gebeurt per applicatie op basis van het processing_activity_id (register) te koppelen aan dpl.core.processing_activity_id (logboek). De diverse registers hebben geen directe koppeling met elkaar.
- De applicatie MOET een Trace starten voor iedere Dataverwerking waarvan nog geen Trace bekend is. Bij elke start van een verwerking wordt een
trace_id aangemaakt. Bijvoorbeeld: in het voorbeeld komt er een bericht binnen bij de Balieapplicatie van de gemeente (tonenNAWGegevens). Er wordt direct een trace_id aangemaakt.
- De applicatie MOET voor iedere Dataverwerking een logregel wegschrijven in een Logboek. Log Sampling is niet toegestaan. Een dataverwerking wordt opgeslagen als deze volledig is afgerond. In het voorbeeld is te zien dat logregels worden geschreven op het moment dat de vraag- en het antwoordbericht zijn afgerond.
- De applicatie MOET bijhouden of een Dataverwerking geslaagd of mislukt is en dit per Dataverwerking als status meegeven aan het Logboek. Bij elke logregel in het voorbeeld staat de
status_code vermeld ('OK').
- Als een Dataverwerking meerdere Betrokkenen heeft dan MOET de applicatie voor iedere betrokkene een aparte logregel wegschrijven. Een logregel kan naar 0 of 1 betrokkenen verwijzen. In het voorbeeld gaat het om twee betrokkenen (
dpl.core.data_subject_id), er wordt één logregel aangemaakt per BSN.
- Als een applicatie aangeroepen kan worden vanuit een andere applicatie MOET de applicatie Trace Context metadata accepteren bij een dergelijke aanroepen deze metadata kunnen omzetten naar een foreign_operation bericht. Bij een externe verwerking (bijvoorbeeld opvragenPersoonsgegevens) geeft de Balieapplicatie de
trace_id en span_id mee aan het BRP-systeem. Het BRP-systeem registreert de trace_id, en span_id als foreign_operation.span_id.
Dit project biedt een overzicht van dataverwerkingen binnen de overheid, waaronder het Register van de verwerkingsactiviteiten (RvvA). Dit register documenteert hoe data worden verwerkt, waarschijnlijk ter ondersteuning van transparantie en naleving van de Algemene Verordening Gegevensbescherming (AVG).
Je kunt de voorbeeldapplicatie van het logboek en de specifieke RvvA-sectie hier bekijken:
Dit hoofdstuk bevat voorbeelden van use cases, gebaseerd op praktijkscenario's uit workshops. Ze illustreren hoe de standaard Logboek Dataverwerkingen kan worden toegepast in samenwerkingen tussen organisaties. De voorbeelden zijn niet-normatief en dienen ter verduidelijking voor organisaties met vergelijkbare processen.
In AVG artikel 30-1f wordt de volgende maatregel benoemd:
Elke verantwoordelijke en, in voorkomend geval, de vertegenwoordiger van de verantwoordelijke houdt een register van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden. Dat register bevat alle volgende gegevens: indien mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens moeten worden gewist.
De concrete datum waarop een dataverwerking moet worden gewist uit het logboek, kan bepaald worden door middel van het bewaartermijn in het register en de eindtijd waarop een dataverwerking is gelogd in het logboek. Daardoor is het onnodig om de concrete verwijderdatum van een dataverwerking te registreren in het logboek.
Wanneer een logregel verwijderd moet worden, is afhankelijk van de situatie van een organisatie en het beleid van bewaarperiodes:
- Gelijke bewaartermijn: Als het beleid is dat alle logregels dezelfde bewaartijd hebben, kan er bijvoorbeeld elke dag een batch draaien die kijkt naar de eindtijd van een logregel en berekent of deze verwijderd kan worden.
- Verschillende bewaartermijnen: Als er per activiteit een andere bewaartermijn geldt, moet dat duidelijk worden aangegeven in het Register van Verwerkingsactiviteiten per activiteit in het veld
envisagedTimeLimit.
Voorbeelden van waarden van het veld envisagedTimeLimit:
- Datum (Date) of Datum/Tijd (DateTime):
2025-02-23T00:00:00
- Geheel getal (Integer):
15 (dagen/maanden/jaren)
- Tekst (String):
"20 jaar na onherroepelijk worden besluit"
Het belangrijkste is dat de organisatie duidelijk kan aantonen (verantwoordingsplicht) waarom een bepaalde bewaartermijn is gekozen en dat deze termijn in lijn is met de AVG. Dit betekent dat de keuze van het datatype minder cruciaal is dan de heldere vastlegging en naleving van de bewaartermijn zelf.
Concreet zou de logverwijderingssituatie er als volgt uit kunnen zien:
Scenario 1:
Als het is toegestaan om een vaste retentieperiode voor alle logregels te hanteren, dan zou deze kunnen worden vastgelegd in de envisedTimeLimit in een profiel. Dagelijks wordt een batch gedraaid om te bepalen of een logregel mag worden verwijderd. Als Huidige datum – envisedTimeLimit < end_time dan mag de logregel worden verwijderd.
Voorbeeld:
- Huidige datum: 1-8-2025
- envisedTimeLimit: 6 maanden
- end_time: 1-1-2025
1-8-2025 – 6 maanden = 1-2-2025, de logregel mag dus verwijderd worden.
Scenario 2:
Als het niet is toegestaan om een vaste retentieperiode voor alle logregels te hanteren, dan moet deze worden vastgelegd in de envisedTimeLimit in het Register van Verwerkingsactiviteiten per activiteit.
De batch moet nu op basis van dpl.core.processing_activity_id de envisedTimeLimit opzoeken in het Register van Verwerkingsactiviteiten en bepalen of de logregel verwijderd mag worden.
Noot
Let op:
- De standaard Logboek Dataverwerkingen schrijft niet voor hoe het mechanisme van het verwijderen van logregels zou moeten werken. Het ontwerp en de architectuur moeten door de organisatie zelf bepaald worden.
- De standaard Logboek Dataverwerkingen schrijft niet voor wat de retentietijd is voor activiteiten. Het is de taak van de organisatie om te bepalen (op basis van de wettelijke basis) wat de bewaartijd is van een logregel.
- Het veld
envisedTimeLimit in het Register van Verwerkingsactiviteiten moet altijd worden ingevuld, ook al is de bewaartijd voor alle activiteiten hetzelfde.
Nee, in het Logboek Verwerkingsgegevens worden geen vlaggen gelogd waardoor kan worden gezien dat de gegevens niet getoond mogen worden aan een burger. Het is aan de organisatie om procedures op te stellen om te regelen dat in specifieke gevallen data niet getoond mag worden aan een burger.
- Een overheidsinstantie stuurt mededelende berichten in batchvorm naar een centrale verwerkingsdienst.
- De centrale verwerkingsdienst (intermediair) verwerkt de batch en maakt hier individuele bestanden van. Deze individuele bestanden worden verstuurd naar Logius.
- Logius verstuurt het individueel bestand naar de juiste inbox van de burger in MijnOverheid.
- Voor zowel de verwerking van de batch als het verzenden van de (individuele) berichten wordt een logregel aangemaakt (in beide gevallen komt een BSN ‘tevoorschijn’).
- De
trace_id wordt aangeleverd door de overheidsinstantie, er wordt door de centrale verwerkingsdienst (intermediair) geen aparte trace_id aangemaakt noch wordt er een foreign_trace_id gelogd.
- De centrale verwerkingsdienst (intermediair) heeft een eigen Register van Verwerkingsactiviteiten (via
dpl.core.processing_activity_id).
- De allereerste logregel geldt als ‘kapstok’, alle logregels daarna refereren naar de
span_id van deze allereerste logregel via parent_span_id.
- Elk individueel BSN krijgt een eigen logregel.
| Veld |
Logregel 1 |
Logregel 2 |
| trace_id |
bc9126aaae813fd491ee10bf870db292 |
bc9126aaae813fd491ee10bf870db292 |
| span_id |
b2e339a595246e01 |
414514cf1d40d6b2 |
| parent_span_id |
NA |
b2e339a595246e01 |
| name |
VerwerkBatch |
VerzendBericht |
| start_time |
2024-07-29 10:16:49.690 |
2024-07-29 10:16:49.690 |
| end_time |
2024-07-29 10:16:49.723 |
2024-07-29 10:16:49.723 |
| status_code |
OK |
OK |
| resource.name |
BatchVerwerking |
ZendDienst |
| resource.version |
1.0 |
2.1 |
| attributeKey1 |
dpl.core.processing_activity_id |
dpl.core.processing_activity_id |
| attributeValue1 |
11x2ec2a-0774-3541-9b16 |
12f2ec2a-0cc4-3541-9ae6 |
| attributeKey2 |
dpl.core.data_subject_id |
dpl.core.data_subject_id |
| attributeValue2 |
13j2ec27-0cc4-3541-9av6 |
19u2dd2a-0cb7-3541-9ae6-217 |
| attributeKey3 |
dpl.core.data_subject_id_type |
dpl.core.data_subject_id_type |
| attributeValue3 |
BSN |
BSN |
| attributeKey4 |
dpl.core.foreign_operation.span_id |
dpl.core.foreign_operation.span_id |
| attributeValue4 |
8ccfd3c567c51d68937c263e00a352be |
8ccfd3c567c51d68937c263e00a352be |
Noot
Als het bericht 1 op 1 zou worden doorgestuurd, zou één logregel kunnen volstaan (geen persoonsgegevens zichtbaar).
- Een overheidsinstantie stuurt mededelende berichten in batchvorm naar een centrale verwerkingsdienst (intermediair).
- De centrale verwerkingsdienst verwerkt batch en maakt hier individuele files van. De individuele files worden verstuurd naar een portaaldienst (bijv. Digipoort).
- De portaaldienst verstuurt de individuele file naar de juiste dienstverlener.
Noot
Als er geen HTTP protocol wordt gebruikt, moet er op een bepaalde manier toch headerinformatie worden verzonden.
- Een werkgeversdienst zendt individuele berichten naar een overheidsinstantie met betrekking tot personen met een werkverleden.
- De overheidsinstantie bundelt persoonsgebeurtenisberichten in een batch en zendt deze naar een centrale verwerkingsdienst (intermediair).
- De centrale verwerkingsdienst verwerkt de batch en maakt hier individuele files van en zendt deze naar het juiste EU-land.
Het proces kan ook andersom:
- EU-land komt een persoonsgebeurtenisbericht (bijvoorbeeld van een persoon in het buitenland) en zendt deze naar de centrale verwerkingsdienst.
- De centrale verwerkingsdienst bundelt persoonsgebeurtenisberichten van diverse EU-landen en stuurt deze als batch naar de overheidsinstantie.
- De overheidsinstantie stuurt de batch door naar de werkgeversdienst.
Noot
- De organisatie die als centrale verwerkingsdienst acteert zou een
trace_id aan moeten maken op het moment dat er een bericht vanuit een EU-land komt.
- De overheidsinstantie in deze afbeelding is verantwoordelijke ook al komt het initiële bericht vanuit de werkgeversdienst.
- Niet elke organisatie geeft een acknowledgement terug.
- Een overheidsinstantie/werkgeversdienst/uitkeringsinstantie/zorginstantie stuurt aanpassing ten aanzien van RNI naar een centrale verwerkingsdienst.
- De centrale verwerkingsdienst stuurt aanpassing naar de RVIG (Rijksdienst voor identiteitsgegevens). In dit voorbeeld maakt de centrale verwerkingsdienst alleen individuele berichten indien aanpassingen in batchvorm zijn aangeleverd.
- De RVIG voert de aanpassing uit in de RNI.
- Een werkgeversdienst verstuurt statistische informatie over burgers bedoeld voor zowel een overheidsinstantie als het CBS (twee aparte berichten) in batch via een centrale verwerkingsdienst (intermediair).
- De centrale verwerkingsdienst verwerkt de batch en stuurt individuele berichten naar zowel de overheidsinstantie als het CBS.
- Het CBS anonimiseert de aangeleverde data.
Noot
Het CBS moet de verwerking loggen van verwerkingen persoonsgegevens om persoonsgegevens te anonimiseren.
Dit hoofdstuk bevat veelgestelde vragen over de standaard Logboek Dataverwerking en in dit hoofdstuk worden deze veelgestelde vragen beantwoord en toegelicht.
De overheid moet zich verantwoorden over haar handelen. Daar valt ook onder het verantwoorden van het gebruik van data. Met het gebruik van de standaard Logboek Dataverwerking is een organisatie in staat de logging van de verwerking van data gestandaardiseerd uit te voeren. Dit geldt zowel voor verwerkingen binnen de eigen organisatie als voor verwerkingen die tussen organisaties plaatsvinden.
Elke organisatie die data verwerkt kan de standaard Logboek Dataverwerking inzetten bij processen waar logging en monitoring, bijvoorbeeld vanuit de wetgeving wenselijk is.
Nee, de standaard kan ook worden gebruikt voor verwerking van andere typen data, zoals bijvoorbeeld de registratie van (geografische) objecten.
Nee, deze materie is buiten scope van de standaard Logboek Dataverwerkingen.
Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor deze standaard en de doorontwikkeling ervan. Het beheer wordt door Logius uitgevoerd.
Er zijn momenteel geen verplichtingen voor gebruik van de standaard. Indien de standaard ooit verplicht wordt zal dit worden gepubliceerd bij het Forum Standaardisatie op de Pas-toe-of-leg-uit-lijst. Hiervoor dient eerst de gehele procedure te worden doorlopen.
In de standaard Logboek Dataverwerking wordt geen identificerende data opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). We gaan ervan uit dat daar in de organisatie een Audit log voor is ingericht, aangezien dat verplicht is vanuit BIO.
Vanuit Audit Log kan wel een relatie gelegd worden met een verwerking in de standaard Logboek Dataverwerking door te verwijzen naar de span_id die de verwerking identificeert.
Voor redenatie hierachter, zie besluit 4.4
Daarnaast is het van belang om te beseffen dat het vastleggen van data over een gebruiker in de Audit Log, ook een dataverwerking is. Immers, de data van de gebruiker (bijv. de ambtenaar die het systeem heeft gebruikt) worden daarbij opgeslagen (verwerkt). Dat is dus een eigen, aparte, dataverwerking die gelogd dient te worden in de Logboek Dataverwerkingen van de verwerker.
In de logging worden geen identificerende data opgeslagen over gebruiker van het systeem (bijv. de ambtenaar die het systeem gebruikt). Om de link tussen een gebruiker en de standaard Logboek Dataverwerking te maken, kan de Audit Log worden aangepast door te verwijzen naar de span_id die de dataverwerking identificeert die door de gebruiker is uitgevoerd.
Ja dat kan. Het is wel van belang een duidelijk onderscheid te maken tussen verantwoordelijke en een verwerker van de data. Dit bepaalt bijvoorbeeld de Register van verwerkingsactiviteiten waarnaar u dient te verwijzen bij implementatie van de standaard Logboek Dataverwerking.
Voor meer informatie over de rol van een verantwoordelijke en een verwerker kunt u de de website van Autoriteit Persoonsgegevens raadplegen.
Ja, de performance is getest met een aantal demo-applicaties. De testen toonden aan dat er weinig tot geen performanceverlies was op geraakte applicaties.
In het Register van verwerkingsactiviteiten (art 30 AVG) zijn de binnen de organisatie uit te voeren taken en processen waarin verwerkingen worden uitgevoerd benoemd. In de Logboek Dataverwerkingen standaard wordt de relatie gelegd tussen de beschreven processen in het register en de daadwerkelijk uitgevoerde activiteit waarbij data zijn verwerkt. Door deze relatie ontstaat inzicht in de taak en activiteit waarvoor de data verwerkt zijn.
Voor de implementatie van deze standaard is het noodzakelijk dat iedere verwerkingsactiviteit in uw RvvA uniek te identificeren is. Mocht dat nog niet het geval zijn, voeg dan een unieke identificator toe aan alle dataverwerkingen.
Het is aanbevolen – maar niet verplicht – om de RvvA benaderbaar te maken met een API. Dat voorkomt dat de identificatoren van de verwerkingsactiviteiten “hardcoded” moeten worden toegevoegd aan de logging en dat bij inzage, handmatig data uit de RvvA moeten worden toegevoegd in de logging.
Het is van belang dat, als de RvvA wordt aangepast,de wijzigingen toevoegd worden als nieuwe verwerkingsactiviteiten met een eigen unieke identificator. Bestaande verwerkingsactiviteiten mogen niet wijzigen of verwijderd worden. Hierdoor blijven de oude verwijzingen uit de Logboek Dataverwerking intact.
Ja, dat kan nog steeds. Het is niet verplicht een RvvA API te implementeren, de RvvA is uiteraard wel verplicht in het geval van persoonsdataverwerking. Voor de implementatie van de Logboek Dataverwerkingen is het van belang dat iedere verwerkingsactiviteit te identificeren is met een unieke identificator.
Stel de RvvA is uitgewerkt in een MS-Exceldocument en het systeem heeft daar geen API-toegang toe Daarnaast zijn de dataverwerkingenin de RvvA niet uniek te identificeren met een identificator.
In dat geval zal er een kolom moeten worden toegevoegd aan het MS-Exceldocument waariedere dataverwerkingeen unieke identificator krijgt. Deze identificatoren van de dataverwerkingen in uw RvvA zullen dan 'hardcoded' moeten worden toegevoegd in de logging. Bij inzage zullen de data uit de RvvA, die horen bij een dataverwerking, handmatig moeten worden opgezocht.
De standaard Logboek Dataverwerking gaat er alleen vanuit dat er een RvvA is. Hoe gedetailleerd de RvvA is, is een beslissing van de organisatie zelf. Uiteraard is het wel zo dat hoe gedetailleerder de RvvA is opgezet, hoe transparanter er kan worden gerapporteerd naar burger en (overige) overheid.
Het is van belang dat als de RvvA aangepast moet worden,de wijzigingen toegevoegd worden als nieuwe verwerkingsactiviteit met een eigen unieke identificator. Bestaande verwerkingsactiviteiten mogen niet worden aangepast of verwijderd.
Hierdoor blijven de oude verwijzingen uit de Logboek Dataverwerking intact.
De keuze om aan te sluiten bij OpenTelemetry betekent dat het voor veel organisaties eenvoudiger is om de standaard te implementeren. Als het echter niet mogelijk is om OpenTelemetry te gebruiken, bijvoorbeeld omdat men volledig gebruik maakt van proprietary log collectors die dat niet ondersteunen, kan men wel de kleine benodigde subset van de OpenTelemetry interfaces zelf implementeren zodat aan de standaard wordt voldaan.
Door OpenTelemetry aan te bevelen als een eenvoudige implementatie houdt men de vrijheid om daar waar dat nuttig is een andere oplossing te kiezen dan een OpenTelemetry collector.
De NEN 7513 norm legt vast welke data moet worden gelogd van acties op persoonlijke gezondheidsinformatie.
De norm beschrijft alle verschillende aspecten van gezondheidsinformatie die bij verschillende soorten activiteiten moet worden vastgelegd en verduidelijkt wat deze aspecten inhouden.
Hierbij legt de norm niet het formaat van logging vast, enkel de vereiste informatie.
Deze standaard is daarom inzetbaar in combinatie met de NEN 7513 norm, door vast te leggen in welk formaat dat past.
Hiervoor is, als onderdeel van de totstandkoming van deze standaard, allereerst een modelanalyse van de norm gemaakt in relatie tot welke informatie de core standaard bevat.
Alle missende informatie is beschreven in een potentiële extensie, om na te gaan of dit een haalbare aanpak is.
Deze extensie zal niet worden vastgesteld en is enkel bedoeld als proof-of-concept tijdens de totstandkoming.
Mocht in de toekomst er interesse zijn om de NEN 7513 norm te implementeren op basis van deze standaard, dan kan deze extensie als startpunt van het traject gebruikt worden.
Nee, organisaties hoeven historische logregels niet aan te passen wanneer zij starten met het implementeren van deze standaard. De standaard is ontworpen zonder verplichting tot het herstructureren van bestaande data.
