hitobito icon indicating copy to clipboard operation
hitobito copied to clipboard
verified publisher icon hitobito

PERSON: Umgang mit nicht mehr verwendeten Benutzerdaten

Open Michael-Schaer opened this issue 4 years ago • 14 comments

Personen ohne eine aktive Rolle in der Applikation sollen nach 18 Monaten archiviert werden.

  • Anonymisieren und Archivieren würde, soweit ich das beurteilen kann, dem revDSG entsprechen
  • Archivierte Benutzer könnten mit "Anonymus" angezeigt werden. So wäre klar, dass dort eine Person war und die Anzahl TN würden z.B. im Anlass weiterhin stimmen.
  • Anonymisierte / archivierte Personen dürften einige wenige Daten enthalten. TBD, Beispiel:
    • Geburtsjahr
    • Hauptebene
    • Geschlecht
    • Hitobito Personennummer
    • Korrespondenzsprache
    • Eintrittsdatum
    • Austrittsdatum
  • Archivierte Benutzer können nicht mehr
    • gefunden werden
    • einer Gruppe hinzugefügt werden (Rolle assigned)
    • keinem Event angemeldet werden

Michael-Schaer avatar Jun 07 '21 13:06 Michael-Schaer

Einfach löschen, finde ich eine sehr schlechte Idee. In vielen Fällen sind solche Personen noch in diversen Anlässen verknüpft. Wenn die Personen vollständig gelöscht werden, verschwinden sie auch aus diesen Anlässen ohne Hinweis, dass sie je dabei waren.

Resultat könnte dann z.B. ein Kurs ohne Hauptleitung sein. Da wir die DB aber auch nutzen wollen um Rückwirkend solche Dinge nachzuschauen, kommt löschen für uns nicht in Frage. (Aus diesem Grund finde ich auch den aktuellen Löschen-Knopf problematisch.)

Die Güterabwägung zwischen Archiv-relevanten Informationen und Datenschutz steht schon länger auf meiner Pendenzenliste. Ich bin da auch sehr an einer verbandsübergreifenden Diskussion interessiert.

nchiapol avatar Jul 04 '21 10:07 nchiapol

@Michael-Schaer Mit Löschen ist ein komplettes Löschen gemeint? Oder ein entfernen aller Rollen? Gibt es Qualis, welche nur in Hitobito vorhanden sind und entsprechend Archiviert werden müssen?

chrusu avatar Sep 02 '21 11:09 chrusu

Merci für eure Rückmeldungen! Mir fallen mehrere Sachen ein:

  • Anonymisieren und Archivieren würde, soweit ich das beurteilen kann, dem revDSG entsprechen
  • Archivierte Benutzer könnten mit "Anonymus" angezeigt werden. So wäre klar, dass dort eine Person war und die Anzahl TN würden z.B. im Anlass weiterhin stimmen.
  • Anonymisierte / archivierte Personen dürften einige wenige Daten enthalten. TBD, Beispiel:
    • Geburtsjahr
    • Hauptebene
    • Geschlecht
    • Hitobito Personennummer
    • Korrespondenzsprache
    • Eintrittsdatum
    • Austrittsdatum
  • Wenn eine Datenlöschung beantragt wird, muss eine Funktion "Löschen" (ungleich "Archivieren") vorhanden sein (ev. aber wie jetzt nur für globale Admins)

Und noch eine Idee fürs zurückverfolgen der Qualifikationen (könnte an einem Hackathon als externes Tool umgesetzt werden): Die zu archivierende Person erhält eine verschlüsselte Datei per Mail. Die Datei enthält Vorname, Name und eine Liste der Qualifikationen. Mit einem Master-Schlüssel (z.B. für die Geschäftsstelle der PBS) kann die Datei im Notfall wieder geöffnet werden. Falls die Person keine E-Mail-Adresse eingetragen hat, wird die Gruppenleitung gebeten, die Datei weiterzuleiten.

Michael-Schaer avatar Sep 02 '21 13:09 Michael-Schaer

@Michael-Schaer Ich lese gerade noch das neue PSA-Schutzkonzept der PBS, welches an der kommenden DV thematisiert wird. Darin steht:

Es ist sicherzustellen, dass Personen, die von der Pfadibewegung Schweiz ausgeschlossen wurden, nicht etwa mit einem Wohnortswechsel o.ä. wieder eintreten können. Dabei können Referenzen und Erstgespräche mit Neuzugängen ein wichtiges Mittel zur Abklärung sein. Der Kontakt zur ehemaligen Abteilung klärt allfällige Unsicherheiten.

Ist der Kontakt zur ehemaligen Abteilung noch gegeben, wenn solche Personen archiviert werden? Oder müssten vielleicht Personen in der S-Liste von der Archivierung ausgenommen werden? Müsst ihr nicht abschliessend in diesem Issue beantworten, ich wollte das nur aufbringen damit ihr alle Fälle durchdenkt.

carlobeltrame avatar Nov 10 '21 14:11 carlobeltrame

Merci für den Hinweis bezüglich PSA. Ich habe zur Sicherheit beim Projektteam nachgefragt: Das Schutzkonzept verlangt keine besonders lange Datenaufbewahrung aus der MiData. Im Gegenteil sollen Personen, die mehr als 12 Monate nicht aktiv waren, als Neuregistrierung mit erhöhten Anforderungen gehandhabt werden. Offen ist also nur noch, ob die MiData für "natlose" Wechsel zwischen Abteilungen konsultiert werden soll. Wir werden allenfalls die Zeitspannen (12 oder 18 Monate) der Aufbewahrung in der MiData und der Empfehlungen im PSA synchronisieren.

Michael-Schaer avatar Nov 23 '21 14:11 Michael-Schaer

Details zur Umsetzung:

  • im Core realisieren
  • Automatismus nach 18 Monaten nur bei der PBS aktivieren

chrusu avatar Mar 23 '22 12:03 chrusu

Brainstorming zum Thema Datenarchivierung am Sonntag, 03.04.2022 17:00 Mit dabei: Windband, Cevi und PBS

Wer gerne mit dabei ist, bitte bei mir melden!

Michael-Schaer avatar Mar 24 '22 09:03 Michael-Schaer

@nchiapol @betsim @richardjubla Merci nochmal für den wertvollen Austausch am Workshop zur Datenarchivierung. Bevor ich ein neues Ticket erstelle, möchte ich euer Feedback zu meiner Zusammenfassung einholen. Wichtig scheint mir ausserdem, das Thema Ehemalige soweit als möglich auszuklammern, da wir das Thema an einem separaten Workshop besprechen wollen.

Dann ist beim Vorbereiten noch eine wichtige Frage aufgetaucht: Wir haben am Workshop herausgefunden, dass der J+S von den Jugendverbänden verlangt, die TN-Daten für 5 Jahre aufzubewahren. Ich habe nun herausgefunden: Bei der PBS gilt dies nur für J+S Lager, alle anderen Anlässe sind nicht betroffen. Wie ist das bei Cevi und Jubla?

Ergebnisse aus dem Workshop

Diagramm Personen-Zustände

Das Diagramm zeigt die wichtigsten Aspekte, damit die Übersicht noch vorhanden ist. Details weiter unten.

Anforderungen Datenarchivierung(1)

Welche Daten werden bei der Archivierung gelöscht?

  • Kontakt-Angaben
  • Viele der Profil-Infos
  • Abos
  • Notizen
  • Qualifikationen
  • Log
  • Person ist nicht mehr suchbar für Rollen (diskutierbar)

Welche Daten werden bei der Archivierung beibehalten?

  • Hitobito Personennummer / ID
  • Namen
  • Geburtsjahr (Datum verstecken)
  • Geschlecht
  • Sprache
  • Rollen-History
  • SBV: Aktivjahre auf Basis der Rollen-History
  • Youth: Eintrittsdatum, PBS: auch Austrittsdatum
  • Cevi: Ortsgruppe, PBS: Hauptebene

Weitere Learnings

  • Ehemalige sind eigentlich aktive Datensätze. Einige Daten werden nicht mehr benötigt. Kontaktangaben beispielsweise sind aber sehr wichtig. Der Status "Archiviert" unterscheidet sich also klar vom Status "Ehemalig"
  • Daten speichern vs. Daten anzeigen könnte besser erkundet werden
  • Archivierung verhindern bei offenen Anlass-Anmeldungen?
  • Bei Wiedereintritt: Dublikatssuche startet nur, wenn Person durch jemand anderes erfasst wird
  • User sollten auch, wo möglich, ihren Status selber wählen können
  • Löschungsprozess unterscheidet sich ev. zwischen Cevi/SBV und PBS/Jubla (im Diagramm nicht berücksichtigt)
  • Bei der PBS steht eine Anonymisierung von archivierten Daten zur Diskussion

Offen

  • Zeitpunkt der Umsetzung
  • Finanzierung

Michael-Schaer avatar Apr 12 '22 16:04 Michael-Schaer

Vielen Dank @Michael-Schaer für deine super Arbeit. Von meiner Seite her gibt es keine Ergänzungen.

betsim avatar Apr 16 '22 14:04 betsim

Vielen Dank auch von mir @Michael-Schaer. Das entspricht auch meinem Verständnis unseres Workshops.

Zur Frage der Aufbewahrungsfrist der TN-Daten: Danke für den Hinweis. Betroffen sind natürlich nur Angebote die durch eine externe Stelle unterstützt wurden. Neben J+S kommt da noch BSV in Frage (J+S Leiterkurse und allfällige weitere Aus- und Weiterbildungen, bei uns auch von Ortsgruppen). Ich habe BSV eben nachgeschaut. Gemäss der relevanten Verordnung (https://www.fedlex.admin.ch/eli/cc/2021/864/de#art_14) ist die Aufbewahrungsfrist dort 10 Jahre.

Grundsätzlich würde ich empfehlen, dass wir alle Anlässe gleich behandeln. Das reduziert die Komplexität und reduziert die möglichen Fehler.

Schliesslich noch einmal ein Gedanke zum Löschen: Wichtig ist für mich, dass alle Daten in der DB korrekt bzw. nachvollziehbar sind, z.B. die der Anlässe. Entsprechend finde ich die aktuelle "Löschen"-Funktion immer noch heikel. Ich glaube wir sollten Grundsätzlich entscheiden, ob die DB auch als "historisches Gedächtnis" funktionieren soll.

  • Falls Ja: Beim Löschen einer Person sollte überall ein anonymer Platzhalter eingefügt werden. (So bleibt nachvollziehbar, dass da noch jemand war.)
  • Falls Nein: Nach X Jahren sollten nicht nur die Personendaten sondern auch Anlässe, alte Rollen, ... gelöscht werden. (So kann die kein falsches Bild mehr vermitteln.)

Persönlich bin ich natürlich im Ja-Lager :-)

nchiapol avatar Apr 20 '22 05:04 nchiapol

Die Minimierung und Archivierung der Daten ist eine gute Sache, da sie grundsätzlich die Datensparsamkeit erhöht. Wenn ich wählen müsste, wäre ich zuerst für bereinigen/löschen, vor einer 10 jährigen Archivierung.

Mein Verständnis/Hinweis zur Aufbewahrungsfrist: Die gesetzlichen Anforderungen an die Aufbewahrung und/oder Protokollierung ist (aktuell) nicht der Auftrag der Datenbank, oder wird deren Komplexität stark erhöhen. Das Gesetz (z.B. https://www.fedlex.admin.ch/eli/cc/2021/864/de#art_14) verlangt eine Aufbewahrung der "Unterlagen mit Bezug zum Gesuch". Nicht den Zustand der Datenbank zu diesen Zustand. Die Datenbank hat eher die Aufgabe den aktuellen Zustand abzubilden als eine Rechtssicherheit für 10 Jahre zu garantieren. (Ein PDF kann sicherer rechtsgültig archiviert werden als eine aktiv bewirtschaftete Datenbank!)

Bei der jubla sehe ich die Aufbewahrung (Archiv) (Verbindlichkeit) von Gesuchen bis zur Zugehörigkeit von Fachgruppen etc. in einem Archiv, welches unabhängig von der Datenbank ist. Konkret bildet die Datenbank eher aktuelle Zustände ab (Gestorbene Mitglieder werden gelöscht) und ein Archiv/Dokumentverwaltung stellt sicher, dass Recherchen, rechtliche Aufbewahrung oder Verträge korrekt (und rechtssicher) aufbewahrt werden.

richardjubla avatar Apr 25 '22 14:04 richardjubla

Merci viel mal für eure Kommentare.

Ich glaube wir müssen hier noch einen Konsens finden: Archivierung innerhalb vs. ausserhalb Hitobito. Einerseits gibt es gute Gründe, rechtlich relevante Daten ausserhalb von Hitobito zu führen. Vermutlich braucht es aber auch eine Archivierung innerhalb Hitobito. Wir haben von einem "Gedächtnis" vergangener Anlässe gesprochen. Auch beim SBV gibt es Argumente, um gewisse Daten länger aufzubewahren.

Ich würde folgendes Vorgehen vorschlagen:

  1. Cevi, Jubla, PBS (bei Bedarf auch SBV) überlegen sich ein gutes System, um J+S und BSV gerecht zu werden (Archivierung 10 Jahre, innerhalb oder ausserhalb Hitobito).
  2. Archivierungsfunktion ergibt sich dann (auch mit Bedürfnissen SBV). Ev. können Zeitspannen und ähnlich pro Kunde konfigurierbar sein.

Darf ich euch noch einmal zu einer kurzen Sitzung (50 Minuten) mit Fokus "J+S, BSV Archivierung" einladen?

Michael-Schaer avatar May 02 '22 10:05 Michael-Schaer

Klar, bin gerne dabei.

Von: Michael Schär @.> Datum: Montag, 2. Mai 2022 um 12:41 An: hitobito/hitobito @.> Cc: Simon @.>, Mention @.> Betreff: Re: [hitobito/hitobito] PERSON: Umgang mit nicht mehr verwendeten Benutzerdaten (#1299)

Merci viel mal für eure Kommentare.

Ich glaube wir müssen hier noch einen Konsens finden: Archivierung innerhalb vs. ausserhalb Hitobito. Einerseits gibt es gute Gründe, rechtlich relevante Daten ausserhalb von Hitobito zu führen. Vermutlich braucht es aber auch eine Archivierung innerhalb Hitobito. Wir haben von einem "Gedächtnis" vergangener Anlässe gesprochen. Auch beim SBV gibt es Argumente, um gewisse Daten länger aufzubewahren.

Ich würde folgendes Vorgehen vorschlagen:

  1. Cevi, Jubla, PBS (bei Bedarf auch SBV) überlegen sich ein gutes System, um J+S und BSV gerecht zu werden (Archivierung 10 Jahre, innerhalb oder ausserhalb Hitobito).
  2. Archivierungsfunktion ergibt sich dann (auch mit Bedürfnissen SBV). Ev. können Zeitspannen und ähnlich pro Kunde konfigurierbar sein.

Darf ich euch noch einmal zu einer kurzen Sitzung (50 Minuten) mit Fokus "J+S, BSV Archivierung" einladen?

— Reply to this email directly, view it on GitHubhttps://github.com/hitobito/hitobito/issues/1299#issuecomment-1114713468, or unsubscribehttps://github.com/notifications/unsubscribe-auth/AALCZ56EAWXXWYDEO2N2MNDVH6WMLANCNFSM46HUO2TQ. You are receiving this because you were mentioned.Message ID: @.***>

betsim avatar May 02 '22 10:05 betsim

Ich bin auch gerne mit dabei

nchiapol avatar May 05 '22 20:05 nchiapol

@Michael-Schaer im Flussdiagramm müsste noch ergänzt werden, dass Personen ohne Rollen, welche aber noch Verwalter*innen von Kindern sind, weiterhin als "aktiv" gelten müssen.

Ausserdem bin ich unsicher, ob ihr den Fall berücksichtigt habt, dass eine Person sich nur extern für einen Anlass angemeldet hat und nie eine aktive Rolle in einer Gruppe bekommen hat. Müsste das "Ablaufdatum" / Archivierungsdatum / Löschdatum solcher Personen auf x Monate nach dem Anlass gesetzt werden? Sonst würden unter Umständen Personen, welche sich sehr früh als externe für einen Anlass im übernächsten Jahr anmelden (z.B. Weltlager), bereits vor der Durchführung des Anlasses wieder archiviert oder gelöscht.

carlobeltrame avatar Jan 06 '23 14:01 carlobeltrame

@carlobeltrame

Ich würde möglichst wenig Abhängigkeiten und Sonderformen ermöglichen. Das Ablaufdatum würde ich an den letzten Login oder eigenen Edit knüpfen und bin ohne weiteres bereit eine Person "zu verlieren", welche sich für einen Anlass in fünf Jahren angemeldet hat und dazwischen nie mehr "aktiv" war. (Idealerweise hat sie vorher eine Warnung erhalten)

Personen welche Kinder verwalten, sollten ihre Kinder mit der Bereinigung ebenfalls verlieren. (oder es gilt wiederum für jeden Account die gleiche Ablauffrist und das gleiche Verhalten) Verwaltete Konten sollten nicht in den Ablauf kommen, da nur der Verwalter deren Ablauf bestimmen soll/darf. (Beispiel: Geschiedene Eltern -> Vater mit Sorgerecht wird inaktiv -> Mutter darf Kind/Informationen nicht übernehmen)

richardjubla avatar Jan 06 '23 17:01 richardjubla