NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER
Zijn er organisaties die vakapplicaties/procesapplicaties/bedrijfsapplicaties auditen op archieffunctionaliteit? Ik ben geinteresseerd in welke methoden gebruikt worden om te bepalen of documenten etc op een verantwoorde wijze worden opgeslagen en beheerd in dergelijke applicaties. Er is regelgeving, normering (bv 23081, 2082 of 16175) en handreikingen die opsommen waar applicaties aan moeten voldoen, maar ik ben vooral benieuwd hoe organisaties dat praktisch hebben ingericht?
In mijn werk probeer ik de verschillende werkprocessen zo veel mogelijk te ondersteunen met functionele ICT oplossingen. na een analyse van het proces en een inventarisatie van de wensen en eisen start ik meestal met een onderzoek hoe dit het beste ondersteund kan worden met ICT. Dit is grotendeels gebaseerd op proces ondersteunende functionaliteit maar ook op beheersbaarheid en kosten. Uiteraard komt ook het stuk document management aan de orde en dat is best lastig en tijdrovend.
Ik ben geen voorstander van een centraal systeem waar alle documenten uit verschillende systemen worden opgeslagen dus probeer zoveel mogelijk te regelen dat de procesapplicaties ook zorgen voor de archieffunctie. Mijn vraag is of DIV/Informatiemanagement betrokken is bij advies of auditen voor zowel nieuwe als bestaande applicaties en zo ja hoe ze dat doen?
Tags:
Mijn waarneming is dat er steeds meer door leveranciers zelf wordt geaudit om aan te tonen dat er voldaan wordt aan bepaalde NEN normen. Met deze audit wordt niet altijd aangetoond of het systeem door de organisatie ook is ingericht conform de NEN norm en daarnaast schijnt er ook een groot verschil te zijn in de kwaliteit tussen de verschillende auditbedrijven. Zie ook: http://www.breednetwerk.nl/forum/topics/ervaringen-gevraagd-over-ce...
Ik vind dit best een pittig onderwerp. Ik zou voor te bewaren processen sowieso niet voor archivering in een vakapplicatie kiezen om te voorkomen dat je straks veel koppelingen naar het e-depot moet gaan maken. Bij te vernietigen processen speelt dit niet, dus zou archivering in de een vakapplicatie mogelijk moeten zijn. Je moet wel oppassen dat je span of control niet te groot wordt. Het lijkt mij lastig om tientallen (zo niet honderden) applicaties te moeten controleren of alles volgens de afspraken loopt.
Ik heb bij mijn vorige werk gekeken naar een P&O-applicatie die aan alle normen voldeed. Een groot voordeel vond ik dat de vernietiging te automatiseren was (afhankelijk van het proces). Hierdoor kan je het beheer verkleinen en beperken tot alleen kwaliteitscontroles.
Ik zou dus voorzichtig zijn met het open staan voor archieffunctionaliteit in vakapplicaties. Het is verstandig om vooraf criteria vast te stellen waaraan een applicatie moet voldoen om ook archieffunctionaliteiten uit te voeren, zodat je bij elke applicatie dezelfde criteria gebruikt. Wat mij betreft zijn die criteria in ieder geval voldoen aan de geldende kwaliteitsnormen, geen te bewaren processen en de mogelijkheid tot automatiseren van vernietiging. Met dat laatste bedoel ik automatische toekenning van bewaartermijnen op basis van resultaat en automatisch vernietigingslijsten genereren. Voor enkele processen met korte bewaartermijn zou volledige automatisering ook een optie kunnen zijn, mits er een goede kwaliteitscontrole is en er een mogelijkheid is om bepaalde zaken toch langer te kunnen bewaren.
PS: let op dat normen m.b.t. recordmanagement voor applicaties vaak alleen iets zeggen over de software, maar niet over hoe de applicatie wordt ingericht/gebruikt. Dat laatste is v.w.b. DIV/Informatiemanagement veel belangrijker.
Mooie reactie Stefan, de meeste gemeenten hebben overigens GIBIT onderschreven, waarin eisen voor archivering zijn opgenomen. Dat is zeer relatief want sommige leveranciers met een monopolie positie hebben lak aan GIBIT.
https://www.vngrealisatie.nl/gibit Blij dat de common ground gedachte steeds meer wordt omarmd.
Goed verwoord, Stefan, en ik ben het ook helemaal met je eens. Probleem is tot nu toe vooral het 'archief' in bedrijfsapplicaties die in een (ver) verleden ooit zijn aangeschaft zonder voldoende aandacht voor het bewaar/vernietigingsproces, zonder beheertools ook, en waarmee men nog steeds werkt. Applicaties die ook geen koppelingen hebben...
Stefan van den Deijssel zei:
Ik vind dit best een pittig onderwerp. Ik zou voor te bewaren processen sowieso niet voor archivering in een vakapplicatie kiezen om te voorkomen dat je straks veel koppelingen naar het e-depot moet gaan maken. Bij te vernietigen processen speelt dit niet, dus zou archivering in de een vakapplicatie mogelijk moeten zijn. Je moet wel oppassen dat je span of control niet te groot wordt. Het lijkt mij lastig om tientallen (zo niet honderden) applicaties te moeten controleren of alles volgens de afspraken loopt.
Ik heb bij mijn vorige werk gekeken naar een P&O-applicatie die aan alle normen voldeed. Een groot voordeel vond ik dat de vernietiging te automatiseren was (afhankelijk van het proces). Hierdoor kan je het beheer verkleinen en beperken tot alleen kwaliteitscontroles.
Ik zou dus voorzichtig zijn met het open staan voor archieffunctionaliteit in vakapplicaties. Het is verstandig om vooraf criteria vast te stellen waaraan een applicatie moet voldoen om ook archieffunctionaliteiten uit te voeren, zodat je bij elke applicatie dezelfde criteria gebruikt. Wat mij betreft zijn die criteria in ieder geval voldoen aan de geldende kwaliteitsnormen, geen te bewaren processen en de mogelijkheid tot automatiseren van vernietiging. Met dat laatste bedoel ik automatische toekenning van bewaartermijnen op basis van resultaat en automatisch vernietigingslijsten genereren. Voor enkele processen met korte bewaartermijn zou volledige automatisering ook een optie kunnen zijn, mits er een goede kwaliteitscontrole is en er een mogelijkheid is om bepaalde zaken toch langer te kunnen bewaren.
PS: let op dat normen m.b.t. recordmanagement voor applicaties vaak alleen iets zeggen over de software, maar niet over hoe de applicatie wordt ingericht/gebruikt. Dat laatste is v.w.b. DIV/Informatiemanagement veel belangrijker.
Klopt Wim, bij reeds aanwezige applicaties kan je vaak niet veel. Ik was in mijn reactie uitgegaan van nieuwe applicaties. Bestaande applicaties zijn meestal nogal hopeloos v.w.b. recordmanagement, vaak kan je dan alleen nog maar puinruimen (als het mee zit). Ik wil dit binnenkort gaan oppakken, te beginnen met de applicaties waar de meest gevoelige informatie in staat (sociale zaken bijvoorbeeld). Ik ben benieuwd of er al vakgenoten ervaring hebben met het opschonen van bestaande applicaties.
Het (aanpakken van het) opschonen van (oude) applicaties staat op onze projectenlijst ('to do-lijst'). Collega's van het sociale domein zijn de eerste stappen van een aanpak aan het zetten, met ons, om er werk van te maken. Het is een flinke klus. De voorbereiding, maar ook de daadwerkelijke uitvoering straks. Het gaat dan om documenten en data (vanaf wel 1998 meen ik).
Stefan van den Deijssel zei:
Klopt Wim, bij reeds aanwezige applicaties kan je vaak niet veel. Ik was in mijn reactie uitgegaan van nieuwe applicaties. Bestaande applicaties zijn meestal nogal hopeloos v.w.b. recordmanagement, vaak kan je dan alleen nog maar puinruimen (als het mee zit). Ik wil dit binnenkort gaan oppakken, te beginnen met de applicaties waar de meest gevoelige informatie in staat (sociale zaken bijvoorbeeld). Ik ben benieuwd of er al vakgenoten ervaring hebben met het opschonen van bestaande applicaties.
Dank voor jullie reacties!
Als informatiemanager krijg ik regelmatig verzoeken van afdelingen om het proces van aanschaf en implementatie van een berijfsapplicatie te ondersteunen. dat kan zeer verschillend zijn, het kan gaan om een P&O proces, of een inkoopproces maar net zo goed een onderzoeksdossier of iets voor de studentenadministratie, huisvesting of juridische zaken. Hierbij is het (bijna) altijd mogelijk dat een document aan een registratie wordt gekoppeld.
Leveranciers van diverse applicaties doen soms hun best om aan bepaalde nen-normen te voldoen, maar dat zijn vaak andere dan die gebruikt worden om archivering en metadatering te bepalen. Zoals terecht opgemerkt ben je met een certificering van een leverancier nog niet, het gaat om het hele systeem wat ingericht moet worden. maar als Informatiemanager en hoofd van de DIV afdeling wordt van mij wel verwacht dat ik uitspraken kan doen over de geboden archieffunctionaliteit van een applicatie. Uiteraard is er een onderscheid in te bewaren of te vernietigen processen en dat zou zeker een afweging moeten spelen in de beoordeling van de applicatie. Dit is ook een zekere mate van risicomanagement.
Zelf vind ik het geen probleem om tientallen of honderden applicaties te moeten auditen, dat is iets waar al jaren over gesproken wordt als nieuwe taakomschrijving van DIV, maar ik ben het eens dat je dit niet kunt doen voor alle applicaties binnen een organisatie. Je kunt best aan de hand van een classificering (bv BIV) het belang van een applicatie inschatten en daar je audit strategie aan ophangen. dat is een verdere uitwerking...
Gibit zegt ook niet veel meer over de eisen dan de normen, regelgeving en handreikingen waar ik eerder naar verwees, maar het geeft wel mooi aan dat je als organisatie in staat moet zijn om applicaties te kunnen beoordelen op diverse criteria, waaronder o.a. toegankelijkheid en archivering. Ik ben dus op zoek naar een praktische methode of tooling om dit te kunnen.
Kijk ook eens hier na, weliswaar uit de erfgoedwereld:
http://www.breednetwerk.nl/forum/topics/scoremodell-digitale-duurza...
We komen deze vraag in onze beroepspraktijk (gelukkig!) steeds vaker tegen. Dat betekent namelijk dat organisaties steeds bewuster zijn en maatregelen treffen op het gebied van duurzame toegankelijkheid. We hebben ervaren dat DUTO hierbij een goed bruikbare richtlijn is.
In de praktijk zien we ook dat organisaties bij een applicatieaudit meteen meerdere aspecten toetsen. Naast duurzame toegankelijkheid wordt er dan ook getoetst op informatiebeveiliging en AVG. Als er veel applicaties in gebruik zijn, wordt vaak gestart met de meest bedrijfskritische applicaties.
Het wordt tijd dat de DUTO richtlijnen in de Archiefwet worden opgenomen. Mooi punt voor de consultatie bij de herziening in 2019.
Ik raad het blindelings volgen van standaarden af. Zo stelt de NEN 2082 ook eisen aan de duurzame bewaring van informatie, maar voor veel applicaties zullen deze eisen 'over the top' zijn aangezien de meeste informatie maar een paar jaar bewaard hoeft te worden.
DUTO lijkt mij al een stuk praktischer, maar ook daarbij geldt dat afhankelijk van de applicatie de ene eis relevanter is dan de ander. Bij iedere aanbesteding zul je dus bij het opstellen van het PvE goed moeten nadenken welke eisen en welke wensen je gaat formuleren. Wat uiteraard wel handig kan zijn is om vooraf in het algemeen een aantal onderwerpen op te schrijven waar bij iedere aanbesteding over nagedacht moet worden, bijvoorbeeld (uit de losse pols):
De vraag of je hier hele nauwkeurige eisen over moet stellen zal afhangen van de context en risico's.
Tot slot, valt mij op dat je het vooral hebt over documenten. Hoe zit het met applicaties waar (alleen) data in opgeslagen wordt?
Misschien kan de voorzichtige conclusie zijn dat de archiveringseisen in GIBIT duidelijker moeten? Maar dan nog lopen we nog steeds tegen de werkelijkheid aan dat leveranciers bewust eisen zoals GIBIT negeren:
Artikel 28. Archivering
Typerend voor de overheidsmarkt is de gebondenheid aan de Archiefwet. In dit artikel zijn daarom enkele randvoorwaarden opgenomen. Het eerste lid bepaalt dat de leverancier zorg moet dragen voor het aantoonbaar beheren en beschermen van de bewaarde gegevens overeenkomstig daartoe in de Gemeentelijke ICT-kwaliteitsnormen gestelde eisen. Het tweede lid bepaalt dat de leverancier gegevens overeenkomstig de in die normen gestelde termijnen moet bewaren. Het derde lid bepaalt dat de leverancier de archiefbescheiden moet kunnen migreren naar archiefsystemen van de gemeente, overeenkomstig de Gemeentelijke ICT-kwaliteitsnormen. Het artikel zal in de praktijk enige overlap (kunnen) vertonen met het in artikel 22.3 en 22.4 beschreven deel van het Exit-scenario. Het vierde lid is opgenomen omdat (met name bij Hosting) denkbaar is dat de leverancier de enige partij is die feitelijk over de archiefbescheiden beschikt. Het artikel stelt buiten alle twijfel dat leverancier die gegevens moet (terug)leveren aan de gemeente bij opschorting, opzegging of ontbinding van de overeenkomst. Het is de leverancier dus niet toegestaan die gegevens te ‘gijzelen’. Ook hier geldt dat er enige overlap is met het in artikel 22.3 en 22.4 beschreven Exit-scenario.
https://www.vngrealisatie.nl/sites/default/files/2018-07/GIBIT%20Ar...
© 2024 Gemaakt door Marco Klerks. Verzorgd door