Ungelöst Einzelne Adressen oder datensätze verbergen
-
Hallo zusammen, ich habe eine Frage: wir haben einzelne Mitglieder, die bzgl. dem Einsehen ihrer Stammdaten, z.B. Adresse sehr zurückhaltend sind. Klingt jetzt komisch, aber obwohl sie in der Gemeinde sind, wollen das in ganz bestimmten Fällen einzelne nicht. zwecks Verarbeitung der Liste und MItgliedschaft, brauchen wir natürlich die Adresse, kann ich das auch so einstellen, dass diese auf Wunsch verborgen bleibt? Aber für Admins oder Kassierer/Gemeindeleiter usw. trotzdem sichtbar?
-
@nroemer Spontan fällt mir ein:
- zusätzliche Adressfelder („Straße_vertraulich“, …) definieren
- denen ein höheren Sicherheitslevel geben (als normale Mitglieder sehen können)
- die „Auswerter“ passend berechtigen und
- den Leuten sagen, dass sie diese nutzen sollen für Daten, due die anderen nicht sehen sollen.
Interessant finde ich ja, dass oft die Leute nach Vertraulichkeit ihrer Daten rufen, die wiederum überhaupt kein Problem damit haben/hatten, dieselben Daten in frei herumflatternden (Papier- oder Excel-)Listen, Mails, … einzutragen.
Das ist oft hart irrational.
-
@Simon2 Warum soll das irrational sein? Das Risiko für Missbrauch von Daten ist im digitalen Raum um ein vielfaches höher als mit einem einzelnen Zettel. Die Frage ist doch vielmehr, warum Adressdaten überhaupt jemandem außer Gemeindeleitung/Pastor oder Finanzverwaltung, also Personen die diese Daten tatsächlich benötigen, zugänglich sein sollten. Gerade im kirchlichen Kontext sollten wir doch mittlerweile wirklich gelernt haben, das Mitgliedschaft, Mitarbeit oder angestellt sein in einer Kirche missbräuchliches Verhalten nicht ausschließt.
Ich sag’s mal provokativ: Kirche soll für die Kranken da sein, nicht für die Gesunden. Wir sagen bei unseren Mitarbeitergebeten immer „Pass auf deine Wertsachen auf, denn wir wollen Kirche sein, wo man auf seine Wertsachen aufpassen muss, denn das bedeutet, dass Menschen, die Jesus brauchen in unsere Gottesdienste kommen.“
-
@joe24 sagte in Einzelne Adressen oder datensätze verbergen:
@Simon2 Warum soll das irrational sein? Das Risiko für Missbrauch von Daten ist im digitalen Raum um ein vielfaches höher als mit einem einzelnen Zettel. ...
Eben.
Aber wir sprechen hier gar nicht vom "digitalen Raum", sondern von CT. Da ist das hier:
@joe24 sagte in Einzelne Adressen oder datensätze verbergen:...warum Adressdaten überhaupt jemandem außer Gemeindeleitung/Pastor oder Finanzverwaltung, also Personen die diese Daten tatsächlich benötigen, zugänglich sein sollten. ...
...extrem leicht, sicher und zuverlässig umzusetzen.
Warum setzt ihr dann nicht einfach generell alle Adressdaten (und was ihr sonst noch als sensitiv einschätzt) im Sicherheitslevel hoch und richtet es so ein, dass nur die "...Personen, die diese Daten tatsächlich benötigen..." sehen?
Das geht prima für jedes einzelne Feld separat (so können z.B. die PLZ evtl. mehr/andere Leute sehen als die Straße).
Außerdem kannst du in der Historie jederzeit nachvollziehen, wann sich wer welche Daten vom wem angesehen hat.
Und wenn die Leute ihre Daten gelöscht haben wollen, könnt ihr sie nachweisbar löschen.Das geht mit WhatsApp, facebook, Telegram, Google, EMail, Amazon, Netflix, .... (und was sonst noch 95% der Leute nutzen) eben nicht.
Und mit "Zettelwirtschaft" auch nicht - da kann niemand sagen, was ein ausgeschiedener Mitarbeiter mit den Adressen in seinem Notizbüchlein tut.
... oder ob nicht doch - wie es inzwischen wohl die meisten tun - diese fremden Adressen/Daten- in seinen EMail-Konto (in den Mails oder Adressbüchern - gerne auch automatisch erstellt)
- Handykontakten
- Clouds (kaum ein Rechner, der heutzutage den Dokumentenordner nicht automatisch in iCloud oder Onedrive pumpt)
- ....
ablegt.
Wirklich konsequent mit (physischem) Adressbuch und geschriebenen Briefen arbeitet doch heute so gut wie keiner mehr - und EINER reicht, um all deine Daten eben doch auf einem amerikanischen Server landen zu lassen.
Deshalb ist für mich die Angst vor CT irrational.
-
Zurück zur Ursprungsfrage. Das interessiert mich auch, da wir das hier auch haben. Manchmal bei Adressen, manchmal beim Geburstag.
Da finde ich den Workaround
zusätzliche Adressfelder („Straße_vertraulich“, …) definieren
sehr suboptimal. Zuletzt habe ich mir eine Liste erstellt von Personen zwischen X und Y Jahren, und eine Person ging unter, da das entsprechend Feld eben nicht gefüllt war. Ich finde es grundsätzlich ungeschickt, eigene (redundante) Felder anzulegen (Chaos vorprogrammiert).
Optimal wäre ja, wenn die Person selbst entscheiden könnte, welches Sicherheitslevel die eigenen Daten bekommen. Das ist vermutlich nicht vorgesehen.
Ich denke daher in folgende Richtung:
- Sicherheitslevel der Felder für alle erhöhen
- Alle Personen in eine Gruppe werfen, wo jeder alle Felder sehen kann
- Die Personen, die ihre Daten nicht preisgeben möchten, aus der Gruppe nehmen. Dann kann niemand deren Daten sehen, sie aber auch nichts von den anderen. Das wäre mE nur konsequent, oder?
@joe24 sagte in Einzelne Adressen oder datensätze verbergen:
@Simon2 Die Frage ist doch vielmehr, warum Adressdaten überhaupt jemandem außer Gemeindeleitung/Pastor oder Finanzverwaltung, also Personen die diese Daten tatsächlich benötigen, zugänglich sein sollten.
Wir haben seit Jahrzehnten gute Erfahrung damit
Früher als gedruckter Zettel, heute in CT. Gemeinde bedeutet für uns nicht "wir treffen uns am Sonntag zum Gottesdienst" sondern Gemeinde bedeutet Gemeinschaft. Da hilft es, wenn man sich anrufen oder besuchen kann. Man kann die Kontaktdaten natürlich auch persönlich erfragen, aber wie gesagt: seit 30 Jahren keine Probleme (Bei einer Gemeindegröße von <100 Personen) -
Ich habe da mal einen Feature Request formuliert. Die dort vorgeschlagene "Premium-Version" sollte den o.g. Bedarf ziemlich gut abdecken.
-
Ich verstehe das Anliegen, da ich als Administrator in unserer Gemeinde auch schon ähnliche Fragen hatte. Allerdings möchte ich zu bedenken geben, dass die Berechnung der Sichtbarkeiten von Personen und ihren Attribute schon jetzt zu den kompliziertesten und teuersten im gesamten System gehört. Wenn neben den globalen und gruppen-spezifischen Berechtigungen auch noch individuelle dazukommen sollten, dürfte sich das nochmal erheblich auf Performance und Komplexität auswirken. Das soll nicht heißen, dass wir es nicht doch zukünftig in Erwägung ziehen, aber die Auswirkungen auf das System müssen hier gut durchdacht und abgewogen werden.
-
@thommyb sagte in Einzelne Adressen oder datensätze verbergen:
Ich verstehe das Anliegen, da ich als Administrator in unserer Gemeinde auch schon ähnliche Fragen hatte. Allerdings möchte ich zu bedenken geben, ...
"Verstehen" kann ich das Anliegen auch.
Aber bei solchen Benutzeranfragen muss erlaubt sein zu fragen: Ist eine CT-Erweiterung wirklich der richtige Ansatz? Oder sollte man nicht versuchen- die bestehenden Möglichkeiten besser zu nutzen (auch, wenn damit evtl. nicht die allerletzte Anfrage bedient werden kann) und/oder
- "seine Benutzer" aufzuklären?
Die angesprochene Komplexität betrifft ja nicht nur die CT-Programmierer und -laufzeitumgebung, sondern auch uns alle als Anwender. Schon jetzt ist die Frage "Warum sehe ich dies und jenes (nicht)?" sehr schwierig zu beantworten. Ganz zu schweigen davon, dass mit steigender Komplexität die Wahrscheinlichkeit von Fehlkonfigurationen durch die Admins deutlich erhöht.
... und am Ende hat man ein System, das im Endeffekt für alle schlechter ist.Lohnt das, um die (tw. recht uninformierten) Spezialwünsche Einzelner zu befriedigen?
MMn sollte CT strategisch gesehen vor allem erst einmal EINFACHER in der Benutzung werden - damit käme man 95% der Nutzer entgegen und steigert Akzeptanz und Nutzerzufriedenheit.
(damit will ich keine Kritik an CT üben - die machen einen tollen Job. Und ich habe den Eindruck, dass sie diesen Trend auch anstreben - z.B. mit den "Gruppen 2.0" und dauernder App-Verbesserung)
Gruß
Simon
-
@Simon2 sagte in Einzelne Adressen oder datensätze verbergen:
MMn sollte CT strategisch gesehen vor allem erst einmal EINFACHER in der Benutzung werden - damit käme man 95% der Nutzer entgegen und steigert Akzeptanz und Nutzerzufriedenheit.
Sehr valider Punkt. Wobei die individuelle und intuitive Steuerung der Sichtbarkeit der eigenen (Profil-)Daten aus Benutzersicht dem Ziel "EINFACHER in der Benutzung" und der Akzeptanz sicherlich dienlicher ist als irgendwelche komplexen Konstrukte über einzeln zu pflegende Gruppen oder ein Alles-oder-Nichts-Ansatz.
Daß sich daraus ein Konflikt zur technischen Komplexität (und Performance, Wartbarkeit etc.) ergibt, ist allerdings ebenso unbestritten.
Insbesondere würde ich stark davon abraten, die bestehende kumulative Berechtigungsvergabe um eine subtraktive Komponente (Stichwort: "verbergen") zu ergänzen. Das ist wahrscheinlich nicht nur aus technischer Implementierungssicht mächtig kompliziert, sondern v.a. für die (fachliche) Nachvollziehbarkeit ein Alptraum.Deswegen wäre bei einer eventuellen Implementierung individueller Einstellungen mein Ansatz:
- Das additive Berechtigungsmodell wird uneingeschränkt beibehalten.
- Berechtigungen über Gruppen etc. werden (wie bisher & DSGVO-konform) per (Auslieferungs-)Standard restriktiv vergeben ("berechtigtes Interesse" / "Need-to-Know-Prinzip").
- Individuell kann nur eine zusätzliche Erweiterung der Sichtbarkeit erfolgen (in vom System vordefinierter Granularität), die aber vom Benutzer selbst aktiviert werden muß (d.h. Privacy by Default).