| Sammlung: - Anonymisierung von Gebühren
- Schnittstellen
- Circ Rules Austausch
- Update Hebis-Projekt
|
|
Folien von Holly |
Folie 2: Anonymize closed loans with associated fees/fines… - Vorschlag: Anonymisieren, wenn kein Gebührendatensatz mehr verknüpft ist (also gelöscht wurde)
- Alternative: Wenn der Gebührendatensatz eine Referenz auf den Nutzer enthält und auf den Ausleihdatensatz zeigt, kann der Ausleihdatensatz schon vorher anonymisiert werden.
Grundsätzlich: - Eine stärkere Kapselung der FOLIO-Module würde das Datenmanagement (löschen, anonymisieren, pseudonymisieren) vermutlich wesentlich erleichtern. Wenn Daten nicht mehr aus einem Modul in andere kopiert werden, sondern lediglich über Referenzen (Pointer, UUIDs) verknüpft werden, könnten sich die Module auf "ihr" Thema beschränken und es müsste beispielsweise bei der Ausleihe nicht Aspekte der Gebühren berücksichtigt werden.
- Spezialrecht geht dem Datenschutzrecht vor, beispielsweise bei Aufbewahrungsfristen.
- Die Grundsätze des Kassenrechts waren bei einer ersten Analyse unter https://info.gbv.de/display/FOLIO/Kassenrecht+bzw.+VV-ZBR über alle Länder und den Bund gleich. Lediglich in Ausführungsdetails gab es Unterschiede in Umsetzungsvorgaben und Vorarbeit durch die für Finanzen zuständigen Stellen.
- Datenschutz gilt nur für personenbezogene Daten, also NICHT (mehr) für anonymisierte Daten.
- Ausleihdatensätze ohne (indirekte) Referenz zu Benutzerdaten(-sätzen) sind anonymisiert. Solange jedoch z. B. durch einen Gebührendatensatz noch auf den Ausleihdatensatz referenziert wird, wäre ein solcher Ausleihdatensatz lediglich pseudonymisiert.
Nachtrag aus Slack: Aus FHH-Vorschrift (mit Anmerkungen in Klammern):
Die nachfolgenden Vorschriften finden Anwendung auf IT-Verfahren für das Haushalts-, Kassenund Rechnungswesen. Dies sind IT-Verfahren für - Anordnungen (einer Gebühr im OUS durch Software), - Zahlungen, - Geldverwaltung und Abrechnung oder - Buchführung, Belegung der Buchungen, Abschlüsse und Rechnungslegung. Ebenfalls zu den Verfahren nach Satz 1 gehören Kartenzahlverfahren, elektronische Zahlungssysteme und IT-Verfahren, in denen Daten, insbesondere Stammdaten (für Gebührenbescheide), erzeugt und an die Verfahren nach Satz 2 zur Erfüllung der dort aufgeführten Aufgaben übergeben werden.Die Einführung (also VOR Inbetriebnahme) und die wesentliche Änderung eines IT-Verfahrens sind nur zulässig, soweit Risiken für die Kassensicherheit durch technische oder organisatorische Maßnahmen wirksam beherrscht werden können. Die Kassensicherheit kann auch durch eine kumulierte Betrachtung der durch das IT-Verfahren verursachten Einzelrisiken gefährdet sein.Das IT-Verfahren ist so auszugestalten, dass über sämtliche buchführungspflichtigen Geschäftsvorfälle ein sachlicher und zeitlicher Nachweis erbracht werden kann. Dieser muss von einer sachverständigen, nicht am Verfahren beteiligten Person in angemessener Zeit dahingehend prüfbar sein, ob - die verfahrensrechtlichen Vorgaben dieser Anlage und der weiteren kassenrechtlichen Vorschriften eingehalten wurden (formelle Richtigkeit) und - die inhaltlichen Anforderungen an eine Buchung sowie an eine Ein- oder Auszahlung, insbesondere das Vorliegen eines Rechtsgrundes, erfüllt sind (sachliche Richtigkeit). Die Geschäftsvorfälle müssen retrograd und progressiv prüfbar sein, das heißt, der Zusammenhang zwischen erfassten und verarbeiteten Daten bis zur Buchung muss sowohl von der Datenerfassung ausgehend chronologisch fortschreitend (progressiv) als auch von der Buchung ausgehend chronologisch rückschreitend (retrograd) erkennbar und nachvollziehbar sein. Erfolgt die Dokumentation nicht bereits bei der Datenerfassung oder -übernahme (z. B. Primanota), sondern erst auf einer nachfolgenden Verarbeitungsstufe (z. B. maschineninterne Buchungsprotokolle), dann ist durch Kontrollen oder andere Maßnahmen die Vollständigkeit der Geschäftsvorfälle von deren Entstehung bis zu deren Dokumentation sicherzustellen. (Dies könnt vielleicht eine Öffnung für die "PDF-Dokumentation" sein, die man sich aber mit einem signifikanten, regelmäßigen Prüfaufwand erkaufen würde)https://info.gbv.de/display/FOLIO/Kassenrecht+bzw.+VV-ZBR (bearbeitet) Aber: Die Belege müssen nach ihrer Erstellung unveränderbar sein und lesbar gemacht werden können. Die Darstellung der Geschäftsvorfälle muss vollständig oder auszugsweise sowie geordnet nach Zeitpunkt, Sach- und Personenkonten erfolgen können. Im IT-Verfahren sind Berechtigungen (z.B. eine vordefinierte Prüferrolle) einzurichten, die durch direkte Zuordnung zu einer Person einen lesenden Zugriff auf alle Daten und Systemeinstellungen des IT-Verfahrens ermöglichen |