Persoonsgegevens uit ZRC en een duidelijke verwijzing naar betrokkene

[johannesbattjes]

Op 23 maart 2022 hebben wij met Decos het volgende ingebracht op het technisch gebruikersoverleg voor ZGW:

Op dit moment is een betrokkene bij een rol bij zaak opgeslagen als een url. Weliswaar bevat ZRC velden voor het opslaan van bijvoorbeeld een BSN maar Roxit vindt het niet wenselijk dit soort velden te vullen. In het kort niet omdat

• Het tot verdubbeling van gegevens leidt (bij ons leidt de url naar een API voor betrokkenen waar alles ook al is opgeslagen);
• Allerlei maatregelen voor privacy by design op de hele ZRC van toepassing zijn zoals versleuteling, toegangsrechten beperken, voorkomen van het bevragen van lijsten met BSN’s en de ZRC hieraan niet voldoet;
• Contactgegevens die juist nodig zijn bij de zaak hier niet in staan.
  Tevens is onduidelijk waar de betrokkene-url naar verwijst.

Op de bijeenkomst werd dit inderdaad als een belangrijk probleem gezien in de standaard dat moet worden opgelost. In het verslag van 3 nov 2022 werd dit nogmaals bevestigd. Het probleem wordt nu het aantal integraties op basis van de standaard toeneemt alleen maar dringender.

De oplossing zou kunnen bestaan uit het verwijderen van persoonsgegevens uit de standaard ZRC-bevragingen, een oplossing voor zaakbevragingen met persoonsgevens die het wel mogelijk maakt restricties te zetten op toegang tot persoonsgegevens, en duidelijkheid over de betekenis van de url.

WIj denken graag mee - wat zijn de plannen?

[johannesbattjes]

Wat ook problematisch aan de huidige opzet is: de rol heeft geen PATCH operatie. Stel dat tijdens de zaak een contactgegeven wijzigt dan is het dus niet mogelijk deze wijziging door te voeren in de ZRC

[HenriKorver]

Wat ook problematisch aan de huidige opzet is: de rol heeft geen PATCH operatie. Stel dat tijdens de zaak een contactgegeven wijzigt dan is het dus niet mogelijk deze wijziging door te voeren in de ZRC

Waarom kun je de wijziging niet doorvoeren d.m.v. een PUT-operatie?

[johannesbattjes]

Die is er ook niet

Of kijk ik verkeerd?

[HenriKorver]

Die is er ook niet

Verdomd, je hebt gelijk! Niet zo fraai allemaal, maar gelukkig is er nog wel een work-around. Je kunt de wijziging ook doorvoeren door de te wijzigen ROL eerst te verwijderen met DELETE en daarna de gewijzigde ROL weer op te voeren met een POST.

[HenriKorver]

Dit issue heeft een relatie met #1835.

[michielverhoef]

Op dit moment is een betrokkene bij een rol bij zaak opgeslagen als een url. Weliswaar bevat ZRC velden voor het opslaan van bijvoorbeeld een BSN maar Roxit vindt het niet wenselijk dit soort velden te vullen. In het kort niet omdat

Niet om het te verdedigen maar de gedachte destijds achter de persoonsgegevens was dat er nog geen registers met personen zouden zijn. Wel zijn er gegevens magazijnen die met behulp van StUF ontsloten kunnen worden. Om een geldige StUF bevraging te kunnen doen zijn minimaal de matching-gegevens nodig. Deze zijn daarom opgenomen als alternatief voor de url-verwijzing.

Achteraf (ja, makkelijk praten, ik weet het) had misschien beter een apart register/aparte API gemaakt kunnen worden met personen en eventueel matchinggegevens. Dan had vanuit de Zaken API (en andere API's) daar naar verwezen kunnen worden via de url en hoefde alleen die Personen API beveligd etc. te worden. Zoiets is nog altijd een optie natuurlijk. Dan kunnen de matchinggegevens verdwijnen uit de Zaken API.