Bewaartermijnen

Ik ben hier ook al een tijd mee bezig. Maar bij ons is er geen beleid waardoor ik een “Doorlopende machtiging tot vernietiging van digitale bijlagen” moet schrijven.
Deze is nu al 3 keer compleet veranderd, en nu met de afdeling archief een mooie laatste versie opgeleverd. Maar elke keer laten ze weer een andere beleidsmedewerker deze lezen, die dan ook weer aanpassingen heeft. Ik ben daarom erg benieuwd naar de reacties. En dan een aanvullende vraag van mij. Hebben jullie zulke documentatie moeten schrijven? 
 

Het huidige document Bewaartermijnen is geschreven voor onze privacy officers. Mij is wel gevraagd een document te schrijven als we zelf het beleid voor TOPdesk hebben bepaald. Ik had gehoopt op meer input. Daarom mijn vraag op de community. Is dit wat jij bedoelt?

Ja, dat gedeelte bedoel ik. Ik wil daarmee puur dat de bijlagen automatisch verwijderd worden na x aantal jaar. En het Anonimiseren van oud collega's. (en handmatig evt. oude meldingen na 5 jaar archiveren. Mijn document is nog niet goed genoeg. Al dacht ik na de hulp van archief, dat ik er een klap op kon slaan en doorvoeren. Het staat nu op laag pitje.

Wij hanteren nu onderstaand beleid. Nadeel is dat we ook onze inkoop doen via TOPdesk en deze ook worden gearchiveerd / geanonimiseerd. We missen hierdoor soms de geschiedenis van wie/wat/waarom heeft aangeschaft.

Bestanden

• Bestanden van 1e en 2e lijns incidenten                
  5 jaar na sluiten
• Bestanden van problemen                                   
  5 jaar na sluiten
• Bestanden van bekende fouten                            
  5 jaar na sluiten
• Bestanden van deelproblemen                            
  5 jaar na sluiten
• Bestanden van wijzigingen                                  
  5 jaar na sluiten
• Bestanden van activiteiten                                   
  5 jaar na sluiten
• Bestanden van sjablonen
  Na archiveren
• Bestanden van activiteiten
  Na archiveren
• Bestanden van versies
  Na archiveren
• Bestanden van bezoekers                                                             
  1,5 jaar na vertrek

Gegevens van gesloten kaarten verwijderen

5 jaar, na sluiten melding, verwijdert deze functionaliteit de volgende informatie van afgemelde kaarten: aanvraag, actie, en korte omschrijving.

Personen anonimiseren

Op de persoonskaart worden na 1,5 jaar (na archiveren) alle gegevens geanonimiseerd, behalve vestiging, afdeling en locatie. Gekoppelde emails worden van de persoonskaart en alle gekoppelde kaarten verwijderd. Op de gekoppelde kaarten wordt de aanmelderinformatie geanonimiseerd.

• Incident
• Probleem
• Wijziging
• Wijzigingsactiviteit
• Wijzigingssjabloon
• Sjabloon voor wijzigingsactiviteit
• Bezoeker
• Reservering
• Gebeurtenis

Behandelaars anonimiseren

Op de behandelaarskaart worden na 6 maanden alle gegevens geanonimiseerd, behalve de groep Locatie. Op kaarten gekoppeld aan de geanonimiseerde behandelaar worden de naam en het e-mailadres van de behandelaar geanonimiseerd. Dit is van toepassing op wijzigingen, wijzigingsactiviteiten en meldingen.

Archiveren 1e en 2e lijns incidenten na afmelden

• 2 jaar

Hier lopen wij ook tegenaan.

Ons beleid is voor een bepaalde afdeling dat na 5 jaar de meldingen verwijderd moeten worden uit TOPdesk. Hier is geen standaard functionaliteit voor en de API voor incidenten ondersteund geen DELETE actie. Anonimiseren en archiveren is voor hen geen optie. Moeten we dan TOPdesk Support vragen om elk half jaar een SQL script te draaien die dit regelt of wat zijn goede tips?

Topdesk werkt by-design niet met verwijderen van kaarten. Ik weet niet of je op een andere manier ze kan verwijderen. Er zitten vaak koppelingen met andere kaarten. wat gebeurt daarmee.

Je kunt het er niet op gooien dat dit By-design van TOPdesk niet mogelijk is?

Ik heb 1 keer i.v.m. met opschonen en de migratie naar asset management een 100en kaarten ontkoppeld en verwijdert. Nooit meer. 

Wij maken gebruik van de reserverings module in TOPdesk. Ik vind het nog steeds raar dat je reserveringen van meer dan 10 jaar oud niet zelf kan verwijderen en dat je tegen betaling een script moet laten maken door topdesk om eenmalig te laten verwijderen. Het zou toch gewoon mogelijk moeten zijn om per module na x jaar automatisch zaken op te laten schonen lijkt mij toch een stuk basis functionaliteit van tegenwoordig.

Hierbij een mogelijke aanpak om meldingen na vijf jaar via een actiereeks te verwijderen.

Casus:
Meldingen dienen vijf jaar na het bereiken van de status ‘Closed’ te worden verwijderd.

Uitdaging:
Het is via de API niet mogelijk om meldingen volledig te verwijderen. 
Wel kan de inhoud van meldingen worden opgeschoond, zoals:
Aanmelder
Bijlagen
Request- en actievelden
Categorie en subcategorie
Korte omschrijving
Overige velden

Stap 1 Benodigheden
Maak de volgende onderdelen aan (gebruik bijvoorbeeld de naam “deletebyfb” of een vergelijkbare benaming):

- Maak een persoon aan met de naam "deletebyfb" (bedenk een passende naam)
- Maak een functionele behandelaarsgroep met de naam "deletebyfb" (bedenk een passende naam)
- Maak een categorie en subcategorie met de naam "deletebyfb" (bedenk een passende naam)
- Maak een categoriefilter aan met de naam "deletebyfb" en neem de categorie en subcategorie hierin op. 
- Autoriseer uitsluitend functioneel beheerders en het account van de actiereeks voor dit filter.      
  Hierdoor zijn deze meldingen alleen voor deze groep zichtbaar.

Stap 2 – Actiereeks
Configureer een actiereeks waarin de volgende acties worden uitgevoerd:

- Overschrijf de aanmelder met de aangemaakte persoon (deletebyfb)
- Verwijder alle bijlagen
- Verwijder alle requestvelden
- Verwijder alle actievelden
- Maak velden zoals korte omschrijving en extern nummer leeg of vervang deze door “Geanonimiseerd”
- Zet de melding over naar de behandelaarsgroep deletebyfb
- Wijzig de categorie en subcategorie naar deletebyfb

Stap 3 – Gebeurtenisinstelling (procesinstelling)
Stel een gebeurtenis in met de volgende configuratie:

Soort: Kaartdatum
Voorwaarde: Datum gereed is ingevuld = Waar
Kaartdatum: 1825 dagen (5 jaar) + 1 minuut na Datum gereed

Hiermee wordt de actiereeks automatisch en gefaseerd uitgevoerd.
Optioneel:

Pas voorwaarden aan (bijv. alleen specifieke behandelaarsgroepen of (sub)categorieën)
Pas Kaartdatum aan (bijv. 2 jaar in plaats van 5 jaar)

***Belangrijk:
Waarom dus de meldingen laten overzetten naar de behandelaarsgroep en (sub)categorie deletebyfb?

- E-mailberichten en logboeken worden niet verwijderd.

Maar door de melding te verplaatsen naar een afgesloten behandelaarsgroep en categorie, is deze niet meer zichtbaar voor andere gebruikers.
Dit zorgt voor een AVG-proof afscherming van de gegevens.

Resultaat:
De actiereeks controleert continu welke meldingen aan de voorwaarden voldoen en voert daarop de benodigde acties uit.
Hierdoor worden meldingen stapsgewijs aangepast en verplaatst naar de afgesloten behandelaarsgroep.
Vanuit deze behandelaarsgroep (eventueel op basis van een selectie) kunnen vervolgens in korte tijd, het is in een 2 minuten geregeld, handmatig grote aantallen meldingen worden verwijderd.

Staat klaar om handmatig verwijderd te worden: