Archiefwettelijke regels en opslag bij derden (bijvoorbeeld in de cloud)

Beste collegae,

 

Is er iemand die zich al heeft verdiept in de toepasselijkheid van onze archiefregelgeving op gegevens die worden opgeslagen in de "cloud"? Zo ja, mag ik je conclusies delen of, als je ermee bezig bent, kun je mij een weg wijzen? Zelf had ik een parallel getrokken met uitbesteding van de bewaring van fysieke documenten, maar of dat helemaal op gaat, betwijfel ik. Bovendien heb ik ook niet zoveel kunnen achterhalen over uitbestede fysieke bewaring.

 

Dank voor het meedenken en op weg helpen!

Ron

Weergaven: 1915

Hierop reageren

Berichten in deze discussie

Volgens mij kan je als overheid volgens de Archiefwet (en privacywetgeving) niet in de cloud opslaan, aangezien je dan de controle over je bescheiden kwijtraakt.
@Ron,

Ton refereert terecht naar de discussie die over dit onderwerp is gevoerd. Ik wil nog iets toevoegen.
Afgelopen vrijdag stond in de boekenbijlage van de NRC een recensie van Maartje Somers over You Are Not a Gadget door Jason Lanier, de Nederlandse vertaling komt uit bij Contact in september. In de recensie stonden een aantal zaken, die met jouw interessante vraag te maken hebben. De term cloud stamt al uit de jaren zestig, maar raakte populair toen internetaanbieders opslagruimtebegonnen aan te bieden voor hun data en software. Volgens Lanier gaat de menselijke kennis, kunstzinnige uitingen, cultureel erfgoed en persoonlijke informatie in wolken van bist boven onze hoofden zweven in plaats van op eigen computer. Dit werpt bestaande verhoudingen omver en stelt zoals Ton al aangeeft vragen wat valt nog onder onze individuele privacy ? Cloud control is de inzet van krachtmetingen tussen bedrijven en regeringen. Wat de overheid probeert te doen is met wetten het geestelijk eigendom en privacy van burgers beschermen.

Kohnstamm van het CBP vroeg hier afgelopen week nog aandacht voor door te pleiten dat informatiesystemen vanaf het begin de privacy moet worden geregeld (en nog veel meer lijkt me). Privatisering van overheidstaken, het onderbrengen in een gemeenschappelijke regelingen, keteninformatie stelt die overheid steeds minder in staat de regie te voeren en daarbij de privacy te waarborgen. De verdergaande ICT (vormen) lijkt de regiefunctie nog meer te verminderen. En wie controleert de overheid op deze aspecten ?

Persoonlijk denk ik dat het de beste strategie is om het intellectueel eigendom in eigen beheer te houden, maar bijvoorbeeld de techniek indien nodig uit te besteden. Je kunt hierbij denken aan een gezamenlijk e-depot. Wat het fysiek beheer betreft is daar niet zoveel verschil in denkwijze. Het formele beheer bij de overheidsinstelling en de uitvoer van het beheer bij een derde.

De wereld verandert en dientengevolge zullen ook overheidsinstellingen andere keuzes gaan maken.
Lees ook dit bericht op webwereld:

Google Docs ondermijnt vertrouwelijkheid Rijk
hallo Ron,
discussie lijkt zich toe te spitsen op over te dragen en overgedragen archieven, ook de discussie waar Ton naar verwijst. Je vraag betreft de dynamische praktijk?
Naar mijn idee is de archivering volgend aan de manier waarop binnen de organisatie gewerkt wordt; informatiebeheer adviseert en wijst op de (on)mogelijkheden van de gebruikte/in te zetten middelen. Is dat cloud dan zullen we ons bezig moeten houden met de vraag op welke manier het informatiebeheer dan is geregeld (incl. risico's). Dat is navragen, gesprek aangaan en op onderzoek.
Kan niet en mag niet is niet houdbaar; het gebeurt of gaat gebeuren. Dus anticiperen, meedenken, informatiebeheer serieus nemen en laten nemen. "No Fear!"
met groeten,
Jack
Ik kan het niet anders dan eens zijn met Jack. Het is immers niet de zorgplicht die de "cloud" ingestuurd wordt maar de uitvoer. Laten we niet uit het oog verliezen dat storage in de "cloud" niets anders is dan storage op een server op afstand. Dus risico's, garanties en voorwaarden zijn op zichzelf prima te benoemen

Met groet
Leon
De AIVD heeft deze week een rapport uitgebracht met als titel 'kwetsbaarheidsanalyse spionage'. In dit rapport wordt ook aandacht besteed aan het gebruik van zgn. cloud toepassingen door overheidsorganisaties ( zie paragraaf 8.5). Uit dit rapport blijkt duidelijk dat de discussie eigenlijk niet moet gaan over hoe we documenten in 'cloud'toepassingen gaan beheren, maar dat de discussie erover zou moeten gaan of het uit het oogpunt van veiligheid wel wijs is om documenten te maken en te bewaren in een 'cloud'toepassing. En hoewel een 'cloud'toepassing inderdaad niets anders is dan storage op afstand vindt die storage veelal niet in Nederland zelf plaats, maar bijv. op een aantal servers in India, China etc. De daar geldende wetgeving is van kracht op deze storage en de grote vraag is dan natuurlijk wel. Worden de belangen van de Nederlandse burgers goed genoeg beschermd? Ik zou de gemeente waarvoor ik werk absoluut afraden gebruik te maken van deze mogelijkheden.
@Camilla, m.i. ga je voorbij aan het punt van Leon en mij. Ook al vindt de storage op Mars plaats. Het gaat erom: is het beheer van de informatie/records geregeld en gewaarborgd? Als de wetgeving van China, India of Mars zich verzet tegen gewaarborgde informatieopslag van onze archiefbescheiden, dan is het beter om dat niet te doen. Het is onzin om een dienstverlener te verplichten in zijn/haar land geldende wetgeving te overtreden omdat wij goed informatiebeheer willen hebben.....

Aandacht voor het waarborgen van goed informatiebeheer en dit regelen, dat is de bedoeling. De huidige mogelijkheden bieden kansen en risico's om anders/beter met informatie/archief om te gaan.
Gebruikers maken al gebruik van de diverse mogelijkheden; wij/het informatiebeheer hobbelen er een beetje achteraan. Weten we het even niet dan roepen we: wat gebeurt kan en mag niet, is niet veilig, enz. Wie schiet daar wat mee op? Gebeurt het niet meer als wij dat roepen? Gaat iedereen afwachten totdat wij een veilige omgeving in elkaar hebben geprutst?
Afwachten is al te veel gedaan; informatie is nu ook al verloren gegaan omdat we nog te veel papier op zitten bergen en vertrouwen op of vinden dat alles in een DMS terecht moet komen. En als dat niet gebeurt, dan doen we verder niets. We zitten erbij en we kijken ernaar.
Natuurlijk: ik chargeer. Er gebeurt veel positiefs en veel collega's zitten te wachten om het informatiebeheer aan te pakken en de boer op te gaan. Collega's gaan zien dat er veel langs de DIV en het officieel archief heen gaat. Vaak is het een kwestie van een duwtje in de juiste richting om het informatiebeheer opnieuw aan te pakken. Ga staan waar je voor staat; ontdek, wissel van gedachten, onderzoek wat er gebeurt en vorm je een oordeel over wat er gebeurt. Is dat goed voor het informatiebeheer of niet? Zo niet, wat moet of kan er dan anders? Wie is daarvoor nodig?
Veelal is het een kwestie van: realiseren wat we ook alweer doen. Wat hoort er bij informatiebeheer? Dat is in het kort: wat doet de organisatie? welke documenten zijn er? welke zijn belangrijk en moeten hoe lang bewaard worden? waar bevinden de documenten zich? is dat een goede omgeving?
Nu is de lijn: cloud is geen goede omgeving. En de andere vragen worden niet meer gesteld.
En dat alles onder het motto van compliance en persoonlijke verantwoordelijkheid... Net zoals bij papieren archiefstukken. De risico's zijn hetzelfde, hooguit wat internationaler.
ik denk wel dat er een gradatie aangebracht kan worden: gaat het om individuele medewerkers die een bijdrage leveren op een forum of social media omgeving? Gaat het om samenwerken aan voorbereiding van beleid op Google Docs door medewerkers van overheidsorganisaties? Of gaat het om het volledig extern plaatsen van je digitale archief in een serverpark in India?
Tegenwoordig zijn ook veel DIVers bezig met risicomanagement, en het op verschillende manieren gebruik maken van de cloud kan in dat risicomanagement meegenomen worden. Bij sommige categorien archiefstukken zal het dus een no-no zijn, bij andere categorien geen enkel probleem....
n.a.v. bericht Ton: het gaat allemaal meevallen.
De dienstverleners streven ook naar een veilige omgeving, anders hebben ze geen klanten. Heel logisch.
En terdege nadenken, maar er ook mee bezig zijn. Denken en doen. Mooi, zo voor het weekend.
Cloudopslag, een (voorlopige?) conclusie:

Allereerst mijn dank aan alle meedenkers en wegwijzers! Ik heb de discussie met grote interesse gevolgd en van jullie doorverwijzingen gebruik gemaakt. Het is me nu duidelijk dat er inderdaad nog geen specifiek op dit item toegesneden regelgeving is. Dat kan ook bijna niet want de wetgever loopt per definitie achter.

Rest het vraagstuk van het toepassen van de regels voor 'papier' op 'digitaal'. Dat is waar iedereen het in feite ook over heeft. Een aantal van jullie reageert vanuit het 'statisch' archiefbeheer, anderen beschouwen het meer vanuit het 'dynamische' beheer. Daar ligt inderdaad mijn vraagstuk, of wel zoals Ton het weergeeft: in het gebied van de 'as a service' toepassingen. Ik heb het in mijn vraagstelling bewust breed gehouden om zoveel mogelijk reacties op te roepen. Het onderscheid statisch - dynamisch is voor het principe eigenlijk nog niet zo heel relevant.

Als ik het goed heb begrepen dan moeten we het zoeken in de verantwoordelijkheden en organiseren van de taakverdeling. De zorg en de verantwoordelijkheid voor het archiefbeheer blijft bij ons, maar de uitvoering (van de opslag) kan worden besteed, net zoals in de papieren wereld. Of je dat zou moeten doen en zo ja hoe dan, is vers 2. Dan gaat het om inschatten van risico's en hoe je die beperkt door afspraken met de uitvoerder. Uiteindelijk kan in een papieren archief ook worden ingebroken.
Ik deel de mening van de 'modernen' die stellen dat we hoe dan ook worden ingehaald, ondanks drempels die we willen opwerpen. Er wordt immers al 'gesaast' en 'gehost' en ik ken al collega's die via Googledocs documenten delen... We moeten het dus hebben van bewustwording en van afspraken en het borgen van de naleving daarvan. Dat betekent in mijn ogen dat de DIV'er (de informatiebeheerder!) zich in het informatiseringsproces moet gaan mengen en inbreng moet hebben bij het tot stand komen van overeenkomsten met leveranciers en opstellen van interne regelgeving.
Ik ben het ook eens met de 'traditionelen' dat het inschatten van risico's wel heel lastig wordt in de nieuwe wereld van het WWW. Onwetendheid en "onbekend maakt onbemind" spelen daarbij, ook bij mij, een belangrijke rol. De 'modernen' waarschuwen ervoor om de zaak niet op slot te zetten, maar mee te blijven doen. Dat is ook mijn keuze. Uitdagingen genoeg dus!

Dank voor jullie inbreng.
(met de hoop dat niemand zich stoort aan het onderscheid traditioneel en modern, uiteindelijk passen we geen van allen helemaal in 1 van de 2 hokjes).
Ron van Gestel zei:
Cloudopslag, een (voorlopige?) conclusie:
Het is me nu duidelijk dat er inderdaad nog geen specifiek op dit item toegesneden regelgeving is. Dat kan ook bijna niet want de wetgever loopt per definitie achter.

Het onderscheid statisch - dynamisch is voor het principe eigenlijk nog niet zo heel relevant.

Als ik het goed heb begrepen dan moeten we het zoeken in de verantwoordelijkheden en organiseren van de taakverdeling. De zorg en de verantwoordelijkheid voor het archiefbeheer blijft bij ons, maar de uitvoering (van de opslag) kan worden besteed, net zoals in de papieren wereld.

Als ik alle ophef over Amerikaanse clouds even achterwege laat en me richt op de Nederlandse regelgeving, blijft een interessante vraag over: jouw oorspronkelijke vraag over de toepasselijkheid van het Nederlandse archiefrecht. Ik deel daarover jouw hoofdconclusie, maar de tussenstappen niet (helemaal).

Wat mij betreft is het een absolute illusie dat de Nederlandse wetgever achterloopt. De wetgeving met raakvlakken aan het informatiebeleid [bijv. elektronisch bestuurlijk verkeer (2004), handtekeningen (2003), persoonsgegevens (2001)] loopt telkens een paar kilometer voor de troepen uit. Wel is het zo dat de wetgever zich niet mengt in technische discussies - met de eenvoudige reden dat techniek sneller verandert dan wetgeving ooit zal kunnen doen.

De wetgever richt zich vooral tot de verantwoordelijke. Wat deze discussie betreft kunnen we leren van de vorige keer dat outsourcing van data spanning met wetgeving opleverde. Onder de oude wet persoonsregistraties werd de registrator (waarin ik een beheerdersrol zie) aangesproken en dat ging mis toen persoonsregistraties online konden worden geplaatst bij obscure datacenters in obscure landen. De correctie was relatief eenvoudig: in de Wet bescherming persoonsgegevens (opvolger van de wpr) wordt de verantwoordelijke aangesproken. Je kunt dus als organisatie prima persoonsgegevens offshore plaatsen, maar je blijft er wel verantwoordelijk voor.

De link naar het archiefrecht is dan snel gemaakt. Hier wordt ook de verantwoordelijke aangesproken. Het is wel duidelijk dat archiveren op een wolk in 1995 niet werd voorzien, want de formulering "onder hen berustende archiefbescheiden" uit (kapstok)artikel 3 is niet erg handig. Ik neem aan dat we daar "onder hun verantwoordelijkheid berustende" mogen lezen.

Eind van het liedje is wat mij betreft dat het vooral gaat om het uitbesteden van het technisch beheer; niet om wijzigingen in waarborgen of beleid. Zolang het eigendom (ook intellectueel) en het informatiebeleid bij de zorgdrager blijft en er geen (Amerikaanse) aanspraken op onbeperkte toegang worden gemaakt zie ik er geen probleem in. Uiteraard moet de verantwoordelijke/zorgdrager wel met de aanbieder van de dienst overeenkomen hoe en met welke garanties aan de zorgplichten uit het archiefrecht en Wbp wordt voldaan.

Uit technisch oogpunt is er natuurlijk nog steeds wel veel voor te zeggen om alle individuele overheidsorganen niet langer een eigen (zeer betrouwbare) ICT infrastructuur te laten onderhouden. Een archiefwolk is in die zin domweg aantrekkelijk. Juridisch is het (gezien de complicaties van buitenlandse jurisdictie) zeker handig om een Nederlandse wolk te nemen.

... maar dan vooral voor de dynamische fase. Aangezien je bij outsourcing-diensten afrekent per eenheid opslag en die opslag niet (technisch en procedureel) is voorzien voor de (zeer) lange termijn, is het minder aantrekkelijk om elektronisch materiaal langdurig op een wolk te plaatsen. Een tussenfase tussen de dynamische cloud en het statische e-depot zou daar een oplossing voor kunnen zijn: een regionaal gehoste voorziening?

grt,
Frans

Overheid moet nu zelfs naar de cloud, zie deze link.

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden