Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?

bwl21

@gunnar sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Das Sicherheitslevel ist dafür da, damit bestimmte Informationen der Personen-Datenbank von allen, wenigen oder kaum jemanden zu sehen sind, egal in welchem Kontext

Genau, so verstehe ich das auch. Zu den "bestimmten Informationen" gehört auch die Tatsache dass jemand in einer Gruppe ist.

Diese Tatsache ist streng vertraulich (also L3), z.B. ob in folgendem Beispiel jemand in der gruppe zz__test-von-bernhard-zur-rechtvergabe ist.

Diese "strenge Vertraulichkeit" kann ich nicht am "Sicherheitslevel der Personendaten" ausdrücken, sondern muss das an einer anderen Stelle einstellen, nämlich an der Sichtbarkeit der Gruppe.

Anders ausgedrückt: ich muss wissen, dass wenn ich die Berechtigung vergeben will, "L3 Daten sehen", dann muss ich auch die Berechtigung zum Sehen der Mitglieder von zz__test-von-berhard-zur-rechtevergabe bereitstellen.

Das ist ein Schritt, den man wissen muss. Den müsste man nicht beachten wenn man bei jener Gruppe einstellen könnte, dass die Mitgliedschaft eine "L3-Eigenschaft" einer person ist.

Ich weiß schon, dass "Sicherheitslevel" quasi 'orthogonal' zur "Gruppensichtbarkeit" ist.

Das Thema kam auf durch den Hinweis, dass man Custom-Felder bei Personen auch semantisch äquivalent auf Gruppen abbilden kann. Einem Custom-Feld kann ich einen Sicherheitslevel zuweisen, einer Gruppenmitgliedschaft nicht. Insoweit ist die Äquivalenz nicht vollständig gegeben.

Ich gebe auch gerne zu, dass das eine etwas akademische Diskussion ist, weshalb wir sie auch gerne beenden können.

Andy

@bwl21 wir verwenden z. B. bestimmte Gruppentypen, die nur für das Gemeindebüro + Pastoren sichtbar und damit vertraulich sind. Da ist die Rechteverwaltung ja ziemlich easy und eindeutig!

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

@bwl21 wir verwenden z. B. bestimmte Gruppentypen, die nur für das Gemeindebüro + Pastoren sichtbar und damit vertraulich sind. Da ist die Rechteverwaltung ja ziemlich easy und eindeutig!

Danke für den Hinweis. Ich könnte sozusgagn einen Gruppentyp MG L3 Merkmal anlegen. Mit dieser Konvention wird es klarer. Trotzalledem finde ich unschön, dass es nicht vom "Sicherheitslevel Personendaten" direkt erfasst wird.

Andy

@bwl21 öhm ... sorry ... da funktioniert CT anders. Du hast einerseits die Sicherheitslevel für Personen und bestimmt Gruppendaten. Das hat nichts mit den Gruppenmitgliedschaften zu tun. Die steuert man über die globale Rechteverwaltung und dort hast du alle Freiheiten. Dein Beispiel für den Gruppentyp verstehe ich nicht. Der würde eigentlich einen Oberbegriff tragen ... beispielsweise "vertrauliche Gruppen" oder wie auch immer. Bei uns gibt es da z. B. die Typen "Merkmal", "Fürsorge & Datenschutz", "Fortbildungsbudget" u. v. m., die nur für einen kleinen Kreis einsehbar sind. Darunter legt man dann halt die entsprechenden Gruppen an, die nur für bestimmte Gruppen sichtbar sind.

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Du hast einerseits die Sicherheitslevel für Personen und bestimmt Gruppendaten. Das hat nichts mit den Gruppenmitgliedschaften zu tun.

und genau das ist der Punkt: Eine Gruppenmitgliedschaft ist sehr wohl ein personenenbezogenes Datum und sollte daher von den Sicherheitsleveln erfasst werden!

Mein Beispiel für den Gruppentyp geht von einer Konvention aus, wir zur Zeit eingezogen haben. Wir machen den Gruppentyp auch im Gruppennamen sichtbar.

Wie sieht dann z.B. der Gruppentyp Fürsorge & Datenschutz aus. Was bedeutet es wenn jemand in einer Gruppe dieses Typs Mitglied ist? Kann man an einen Mitgliedschaft Datenfelder hängen? Oder ist Fürsorge & Datenschutz schon einen Gruppen, wenn ja, von welchem Typ?

Andy

@bwl21 sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Eine Gruppenmitgliedschaft ist sehr wohl ein personenenbezogenes Datum und sollte daher von den Sicherheitsleveln erfasst werden!

na ja ... das eine hat ja mit dem anderen nichts zu tun!

Wie sieht dann z.B. der Gruppentyp Fürsorge & Datenschutz aus. Was bedeutet es wenn jemand in einer Gruppe dieses Typs Mitglied ist? Kann man an einen Mitgliedschaft Datenfelder hängen? Oder ist Fürsorge & Datenschutz schon einen Gruppen, wenn ja, von welchem Typ?

Das ist der Gruppentyp! Darunter gibt es dann solche Gruppen:

Da die datenschutzrechtlich durchaus sensibel sind, darf der Gruppentyp nur von wenigen autorisierten Mitarbeitern eingesehen werden. Und ja ... in der Gruppe selbst kann man natürlich weitere Felder ergänzen.

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

na ja ... das eine hat ja mit dem anderen nichts zu tun!

Das ist bei churchtools so, das habe ich verstenaden! Und genau das halte ich für einen Fehler. Es ist eine personenbezogene Eigenschaft, ob jemand allergiker ist, oder nicht. Daher sollte es einen Sicherheitslevel unterliegen. Dass es das nicht tut, das ist der Fehler.

Da heisst ihr legt pro Merkmal eine Gruppe an? Ich vermute, dass ihr dann bei 4 "Kranhkeheiten/Einschränkungen" ein Feld dabei habt, in dem steht, welche Einschränkungen vorliegen. Die anderen Felder sind ja "boolean", also ja/nein Felder.

Andy

@bwl21 sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Dass es das nicht tut, das ist der Fehler.

Das kann man so oder so sehen. Die Möglichkeit der Auswertung ist über Gruppen auf jeden Fall einfacher.

Da heisst ihr legt pro Merkmal eine Gruppe an?

Merkmal? Also für jeden relevanten Fall für die Fürsorge und den Datenschutz, ja.

Ich vermute, dass ihr dann bei 4 "Kranhkeheiten/Einschränkungen" ein Feld dabei habt, in dem steht, welche Einschränkungen vorliegen.

ja

Die anderen Felder sind ja "boolean", also ja/nein Felder.

Nein, das ist kein Feld, sondern die Rolle. Für den Gruppentyp gibt es diese Rollen:

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Und ja ... in der Gruppe selbst kann man natürlich weitere Felder ergänzen.

das sind aber dann Eigenschaften der Gruppe, aber nicht Eigeschaften einer Person im Kontext der Gruppe, oder?

Wenn es also eine gruppe "Krankheiten" gibt, dann könnte es ja Felder geben wie "Dignose", "erforderliche Notfallausrstung", "Betreuuer" usw.

Andy

@bwl21 sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

aber nicht Eigeschaften einer Person im Kontext der Gruppe, oder?

Doch.

Beispiele:

bwl21

@andy aber das Bemerkungsfeld ist kein kundenspezifisches Feld. Ich finde bei mir nicht, wie ich kundenspezifische Felder an Gruppenzuordungen hängen kann.

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Nein, das ist kein Feld, sondern die Rolle. Für den Gruppentyp gibt es diese Rollen:

ok. Was machst du, wenn du für eine Person bei Fürsorge und Datenschutz mehr als eine Auswahlliste brauchst.

Ich nenne mal einen konkreten fall. für Jugendmitarbeiter müssen wir z.B. erfasen:

• Polizeiliches Führungszeugnis, vorhanden (j/n), Ablaufdatum
• Präventionsschulung, vorhanden (j/n), Erneuerungsdarum

Wie würdest du das dann abbilden?

Andy

Ganz genau so. Du kannst doch beliebig viele Felder in den Gruppen anlegen.

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Ganz genau so. Du kannst doch beliebig viele Felder in den Gruppen anlegen.

Irgendwie steh ich auf dem Schlauch. Wenn ich ein DB-Feld für Gruppen DBFeldGruppe anlege, dann

• tritt es in allen Gruppen auf
• wirkt es auf die Gruppe, nicht aber auf die Mitgliedschaft einer Person in einer Gruppe. Dazu braucht man ein DBFeldMitglieldschaft. Ich finde nicht, ob, und wenn ja, wo ich das einstellen kann.

in disem Diagramm

• DBFeldPerson gibt einer Person weitere Eigenschaften
• DBFeldGruppe gibt allen Gruppen weitere Eigenschaften

m.E. müsste es noch folgende DBFelder (also anwenderdefinierte Felder) geben.

• DBFeldMitgliedschaft gibt einer Person in einer Gruppe vom Typ Gruppentyp weitere Eigenschaften; Damit könnte man in einer Gruppe weitere Personenbezogene Eigenschaften definieren.
• DBFeldGruppentyp gibt einer Gruppe vom Typ Gruppentyp weitere Eigenschaften. Damit würden nicht alle DBFelder bei allen Gruppen auftreten.

Andy

@bwl21 Felder legst du direkt in der Gruppe im Spaltenkopf mit dem Pluszeichen an.

Andy

Und für die Felder kannst du dann auch wieder die Sicherheitslevel anwenden

bwl21

@andy OK wieder mal ein neues Bedienkonzept ...

Da muss ich Mal rumprobieren. Auf jeden Fall überraschend dass diese Felder nicht in den Stammdaten definiert werden.

bwl21

@andy Hi, da bin ich wieder. Ich habe etwas rumexperimentiert mit den Feldern in einer Gruppe.

Wenn wir die Personendaten von DaviP übernehmen kommen ca 30-40 Felder hinzu. Ich lese den Hinweis, vor dem Anlegen eigener Felder zu prüfen, ob man das über Gruppen usw. abwickeln kann. Im Grunde gibt es für jedes Feld die Option

1. es im Personendatensatz anzulegen (in einem der -leider fest vorgebenen- Abschnitte)

• pro: man kann die Felder in einen Personen-Export einbeziehen
• con: die Personen-Maske wird ziemlich überladen (falls man die Felder sehen kann)

2. manche Felder als Gruppenfelder anzulegen.

• pro: die Felder füllen nicht den Bildschirm
• pro: der Zugriff kann über die Gruppe gehandhabt werden
• pro: man kann die Felder zur Auswahl verwenden
• con: man kann die Felder nicht in einen Personen-Export einbeziehen ( zumindest habe ich das nicht gefunden). In einen Gruppenexport schon. Leider kann man da keine Feldauswahl einstellen, z.b. über eine Vorlage.

So ein richtig gutes Gefühl habe ich noch nicht ... Ich tendiere zu 2. Merkmalsgruppen anzulegen und darin Felder zusammenzufassen.

Ich fürcht, für den Export wird man sich dann über das API was bauen müssen. Das wollte ich für den produktiven Betrieb aber eher vermeiden.

bin für alle Hinweise dankbar.

bwl21

@bwl21 HI andy, jetzt hat es mich wieder verspult ...

in den Gruppenfeldern gibt es nicht alle Datentypen wie bei den Personenfeldern. vor allem gibt es keine Datumsfelder.

Andy

@bwl21 irgendwas ist ja immer. Dafür kannst du mit den Feldern rechnen - also Formeln hinterlegen.