Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?

bwl21

Wenn ich ein neues DB-Feld anlege, da kommt die Meldung, dass man vieles über Gruppenmitgliedschaft regeln kann. Das ist sicher zielführend.

Nun ist aber die Zugehörigkeit zu einer Gruppe auch ein personenbezogenes Datum. Z.B. mitgliedschaft in einer Selbsthilfegruppe ...

Ich kann nicht rausfinden, ob und wenn ja, wo ich den Sicherheitslevel für eine solche Mitlgiedschaft einstellen kann.

Das müsst m.E. am Gruppentyp bzw. Gruppentyprolle gehen.

jziegeler

@bwl21 das wird anhand der Gruppe geregelt und nicht an der Person selbst. https://intern.church.tools/?q=churchwiki#WikiView/filterWikicategory_id:0/doc:Gruppensichtbarkeiten/follow_redirect:true/

D. Winkler_FR

@bwl21 Was möchtest du denn konkret mit dem Sicherheitslevel erreichen? Dass die Personen in der Gruppe sich sehen - oder nicht sehen? Oder dass sie bestimmte Gruppenfelder - nicht - sehen?
Für die Gruppenfelder kannst du ja jeweils die Sicherheitsstufe angeben und per Rechtverwaltung bestimmen, ob der Teilnehmer / Leiter der Gruppe dieses sieht oder nicht.
Über die Gruppenrolle kannst du ebenso festlegen, ob die Teilnehmer die Gruppe überhaupt sehen oder nicht.

D. Winkler_FR

@d-winkler_fr Sorry...

bwl21

@jziegeler danke für den Hinweis. Das liest sich auf den ersten Blick eher komplex ...

Ich steige noch nicht ganz durch, wie ich folgendes Szenario abdecken kann:

1. ich lege einen Gruppentyp "MGL3 Merkmale" an.
2. ich lege eine Gruppe an "MGL3 Schwimmer" vom Typ "MGL3 Merkmale"
3. ich lege eine Gruppe an "MGL3 CT-Fan" vom Typ "MGL3 Merkmale"
4. ich möchte, dass nur der, der Pesonendaten L3-Daten sehen kann, von diesen Mitgliedschaften etwas sieht.

Wenn ich richtig sehe, genügt es dann nicht

Ich müsste das zusätzlich noch bei view grouptype einstellen

jziegeler

@bwl21 genau, die Sicherheitslevel für Personendaten haben nichts mit den Gruppen per se zu tun

bwl21

@jziegeler sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

genau, die Sicherheitslevel für Personendaten haben nichts mit den Gruppen per se zu tun

Das ist schade ... Eine Gruppenmitgliedschaft ist doch auch ein personenbezogene Information und sollte daher über die Sicherheitslevel gesteuert werden können.

In andern Worten: wenn jemand nur L1 Daten sehen darf, dann müsste ich mich drauf verlassen können, dass er nicht die Mitgliedschaft einer Person in einer speziellen Gruppen (deren Mitgliedschaft auf L3) liegt sehen kann.

Gunnar

@bwl21 Du versuchst ein Konzept "Sicherheitslevel" auf etwas anzuwenden. Vielleicht solltest Du beschreiben, was dein ZWECK ist - 3 Beispiele
a) Nur Teilnehmer einer Gruppe sollen sehen, wer in der Gruppe ist
b) Die Bereichsleitung soll nicht sehen, wer in Selbsthilfegruppen ist
c) Die Gemeindeleitung soll jede Gruppe und deren Teilnehmer sehen

Je nach dem was du nun schreibst können wir dir helfen, welches Konzept anzuwenden ist. Das Sicherheitslevel ist dafür da, damit bestimmte Informationen der Personen-Datenbank von allen, wenigen oder kaum jemanden zu sehen sind, egal in welchem Kontext. Bei den Gruppen wird normalerweise über die Rollen und deren Rechte gearbeitet ...

bwl21

@gunnar sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Das Sicherheitslevel ist dafür da, damit bestimmte Informationen der Personen-Datenbank von allen, wenigen oder kaum jemanden zu sehen sind, egal in welchem Kontext

Genau, so verstehe ich das auch. Zu den "bestimmten Informationen" gehört auch die Tatsache dass jemand in einer Gruppe ist.

Diese Tatsache ist streng vertraulich (also L3), z.B. ob in folgendem Beispiel jemand in der gruppe zz__test-von-bernhard-zur-rechtvergabe ist.

Diese "strenge Vertraulichkeit" kann ich nicht am "Sicherheitslevel der Personendaten" ausdrücken, sondern muss das an einer anderen Stelle einstellen, nämlich an der Sichtbarkeit der Gruppe.

Anders ausgedrückt: ich muss wissen, dass wenn ich die Berechtigung vergeben will, "L3 Daten sehen", dann muss ich auch die Berechtigung zum Sehen der Mitglieder von zz__test-von-berhard-zur-rechtevergabe bereitstellen.

Das ist ein Schritt, den man wissen muss. Den müsste man nicht beachten wenn man bei jener Gruppe einstellen könnte, dass die Mitgliedschaft eine "L3-Eigenschaft" einer person ist.

Ich weiß schon, dass "Sicherheitslevel" quasi 'orthogonal' zur "Gruppensichtbarkeit" ist.

Das Thema kam auf durch den Hinweis, dass man Custom-Felder bei Personen auch semantisch äquivalent auf Gruppen abbilden kann. Einem Custom-Feld kann ich einen Sicherheitslevel zuweisen, einer Gruppenmitgliedschaft nicht. Insoweit ist die Äquivalenz nicht vollständig gegeben.

Ich gebe auch gerne zu, dass das eine etwas akademische Diskussion ist, weshalb wir sie auch gerne beenden können.

Andy

@bwl21 wir verwenden z. B. bestimmte Gruppentypen, die nur für das Gemeindebüro + Pastoren sichtbar und damit vertraulich sind. Da ist die Rechteverwaltung ja ziemlich easy und eindeutig!

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

@bwl21 wir verwenden z. B. bestimmte Gruppentypen, die nur für das Gemeindebüro + Pastoren sichtbar und damit vertraulich sind. Da ist die Rechteverwaltung ja ziemlich easy und eindeutig!

Danke für den Hinweis. Ich könnte sozusgagn einen Gruppentyp MG L3 Merkmal anlegen. Mit dieser Konvention wird es klarer. Trotzalledem finde ich unschön, dass es nicht vom "Sicherheitslevel Personendaten" direkt erfasst wird.

Andy

@bwl21 öhm ... sorry ... da funktioniert CT anders. Du hast einerseits die Sicherheitslevel für Personen und bestimmt Gruppendaten. Das hat nichts mit den Gruppenmitgliedschaften zu tun. Die steuert man über die globale Rechteverwaltung und dort hast du alle Freiheiten. Dein Beispiel für den Gruppentyp verstehe ich nicht. Der würde eigentlich einen Oberbegriff tragen ... beispielsweise "vertrauliche Gruppen" oder wie auch immer. Bei uns gibt es da z. B. die Typen "Merkmal", "Fürsorge & Datenschutz", "Fortbildungsbudget" u. v. m., die nur für einen kleinen Kreis einsehbar sind. Darunter legt man dann halt die entsprechenden Gruppen an, die nur für bestimmte Gruppen sichtbar sind.

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Du hast einerseits die Sicherheitslevel für Personen und bestimmt Gruppendaten. Das hat nichts mit den Gruppenmitgliedschaften zu tun.

und genau das ist der Punkt: Eine Gruppenmitgliedschaft ist sehr wohl ein personenenbezogenes Datum und sollte daher von den Sicherheitsleveln erfasst werden!

Mein Beispiel für den Gruppentyp geht von einer Konvention aus, wir zur Zeit eingezogen haben. Wir machen den Gruppentyp auch im Gruppennamen sichtbar.

Wie sieht dann z.B. der Gruppentyp Fürsorge & Datenschutz aus. Was bedeutet es wenn jemand in einer Gruppe dieses Typs Mitglied ist? Kann man an einen Mitgliedschaft Datenfelder hängen? Oder ist Fürsorge & Datenschutz schon einen Gruppen, wenn ja, von welchem Typ?

Andy

@bwl21 sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Eine Gruppenmitgliedschaft ist sehr wohl ein personenenbezogenes Datum und sollte daher von den Sicherheitsleveln erfasst werden!

na ja ... das eine hat ja mit dem anderen nichts zu tun!

Wie sieht dann z.B. der Gruppentyp Fürsorge & Datenschutz aus. Was bedeutet es wenn jemand in einer Gruppe dieses Typs Mitglied ist? Kann man an einen Mitgliedschaft Datenfelder hängen? Oder ist Fürsorge & Datenschutz schon einen Gruppen, wenn ja, von welchem Typ?

Das ist der Gruppentyp! Darunter gibt es dann solche Gruppen:

Da die datenschutzrechtlich durchaus sensibel sind, darf der Gruppentyp nur von wenigen autorisierten Mitarbeitern eingesehen werden. Und ja ... in der Gruppe selbst kann man natürlich weitere Felder ergänzen.

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

na ja ... das eine hat ja mit dem anderen nichts zu tun!

Das ist bei churchtools so, das habe ich verstenaden! Und genau das halte ich für einen Fehler. Es ist eine personenbezogene Eigenschaft, ob jemand allergiker ist, oder nicht. Daher sollte es einen Sicherheitslevel unterliegen. Dass es das nicht tut, das ist der Fehler.

Da heisst ihr legt pro Merkmal eine Gruppe an? Ich vermute, dass ihr dann bei 4 "Kranhkeheiten/Einschränkungen" ein Feld dabei habt, in dem steht, welche Einschränkungen vorliegen. Die anderen Felder sind ja "boolean", also ja/nein Felder.

Andy

@bwl21 sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Dass es das nicht tut, das ist der Fehler.

Das kann man so oder so sehen. Die Möglichkeit der Auswertung ist über Gruppen auf jeden Fall einfacher.

Da heisst ihr legt pro Merkmal eine Gruppe an?

Merkmal? Also für jeden relevanten Fall für die Fürsorge und den Datenschutz, ja.

Ich vermute, dass ihr dann bei 4 "Kranhkeheiten/Einschränkungen" ein Feld dabei habt, in dem steht, welche Einschränkungen vorliegen.

ja

Die anderen Felder sind ja "boolean", also ja/nein Felder.

Nein, das ist kein Feld, sondern die Rolle. Für den Gruppentyp gibt es diese Rollen:

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Und ja ... in der Gruppe selbst kann man natürlich weitere Felder ergänzen.

das sind aber dann Eigenschaften der Gruppe, aber nicht Eigeschaften einer Person im Kontext der Gruppe, oder?

Wenn es also eine gruppe "Krankheiten" gibt, dann könnte es ja Felder geben wie "Dignose", "erforderliche Notfallausrstung", "Betreuuer" usw.

Andy

@bwl21 sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

aber nicht Eigeschaften einer Person im Kontext der Gruppe, oder?

Doch.

Beispiele:

bwl21

@andy aber das Bemerkungsfeld ist kein kundenspezifisches Feld. Ich finde bei mir nicht, wie ich kundenspezifische Felder an Gruppenzuordungen hängen kann.

bwl21

@andy sagte in Gruppenmitgliedschaft ist personenbezogenes Datum wie kann ich Level zuordnen?:

Nein, das ist kein Feld, sondern die Rolle. Für den Gruppentyp gibt es diese Rollen:

ok. Was machst du, wenn du für eine Person bei Fürsorge und Datenschutz mehr als eine Auswahlliste brauchst.

Ich nenne mal einen konkreten fall. für Jugendmitarbeiter müssen wir z.B. erfasen:

• Polizeiliches Führungszeugnis, vorhanden (j/n), Ablaufdatum
• Präventionsschulung, vorhanden (j/n), Erneuerungsdarum

Wie würdest du das dann abbilden?