Erfgoed inspectie Ministerie van Onderwijs, Cultuuren Wetenschap
Autoriteit Financiële Markten De d u u r z a m e t o e g a n k e l i j k h e i d van de i n f o r m a t i e h u i s h o u d i n g en het digitale archief
Autoriteit Financiële Markten De duurzame toegankelijkheid van de informatiehuishouding en het digitale archief
Erfgoedinspectie Juli 2014
Pagina 1 van 25
De Erfgoedinspectie en het toezicht op de informatiehuishouding van de centrale overheid
Missie Met alert en proportioneel toezicht brengt de Erfgoedinspectie het behoud (en beheer) van cultureel erfgoed en overheidsinformatie naar het gewenste kwaliteitsniveau met het oog op de duurzame toegankelijkheid en beschikbaarheid.
Visie De inspectie vindt dat een goed functionerende interne systematische kwaliteitszorg bijdraagt aan een betere naleving van wet- en regelgeving. Zij ziet daar een eigen verantwoordelijkheid voor organisaties en stimuleert een systematische kwaliteitszorg bij de organisaties. In haar optreden is de inspectie zacht waar het kan en hard waar het moet en treedt zij zo nodig op.
Toezicht op de o v e r h e i d s i n f o r m a t i e Voor wat betreft het toezicht op de overheidsinformatie ligt de focus van de Erfgoedinspectie voor een belangrijk deel op de duurzame toegankelijkheid van het digitale archief en de digitale archiefbescheiden, zowel in de vorm van data als documenten. Object van toezicht zijn de departementen en daaronder vallende diensten, de Hoge Colleges van Staat, de rechterlijke macht, publiekrechtelijke bestuursorganen, privaatrechtelijke bestuursorganen voor wat betreft de taken met openbaar gezag en de organen van de publiekrechtelijke bedrijfsorganisatie.
Pagina 2 van 25
Inhoudsopgave Inleiding 1. Algemeen beeld 2. Digitale archiefbescheiden en digitaal archief 3. Visie, beleid en architectuur 4. Kwaliteitsmanagement, audits en control 5. Besturing, organisatie en personeel 6. Toegankelijkheid 7. Waardering, selectie en vernietiging 8. Digitale overbrenging 9. Digitale duurzaamheid
5 7 9 11 13 15 17 19 20
Bijlage 1 Verantwoording en bronnen Bijlage 2 Het inspectieprogramma en duurzame digitale toegankelijkheid
23 25
Pagina 3 van 25
Inleiding Dit rapport gaat over de duurzame toegankelijkheid van de digitale archieven van de Autoriteit Financiële Markten (AFM). Het rapport is een bijlage bij brief 658754 van 31 juli 2014. In dit rapport wordt in de meest brede zin ingegaan op de vraag hoe het digitale archief van de AFM er kwalitatief voor staat en wat de eventuele tekortkomingen en verbetermogelijkheden zijn. Het rapport is ingedeeld in een algemeen beeld gevolgd door acht hoofdstukken die ieder een thema behandelen dat bepalend is voor de kwaliteit van het digitale archief. Ieder hoofdstuk begint met een introductie waarin de archiefwettelijke norm en of de digitaliseringsdoelstelling van de rijksoverheid is opgenomen. De introductie wordt gevolgd door de bevindingen van de inspectie, een samenvattende conclusie en aanbevelingen. In de bijlagen is de verantwoording en een overzicht van het geraadpleegde materiaal opgenomen en een korte toelichting op het inspectieprogramma van de Erfgoedinspectie en op de taak van de Erfgoedinspectie.
Pagina 4 van 25
1. Algemeen beeld De Autoriteit Financiële Markten (AFM) is een privaatrechtelijk zelfstandig bestuursorgaan. De AFM is de onafhankelijke toezichthouder op de markten van sparen, lenen, beleggen en verzekeren. De AFM bevordert zorgvuldige financiële dienstverlening aan consumenten en ziet toe op een eerlijke en efficiënte werking van kapitaalmarkten. Dit inspectierapport betreft uitsluitend de archivering van de digitale archiefbescheiden die onder de werking van de Archiefwet 1995 vallen. Dit zijn de archiefbescheiden die voortkomen uit de taken waarbij de AFM openbaar gezag uitoefent: het houden van toezicht op de financiële markten. De AFM werkt al sinds 2003 digitaal in een document management systeem (DMS) en enkele andere applicaties. Al in 2006 stelde het bestuur van de AFM vast dat digitale archivering leidend zou zijn. Het bestuur van de AFM hecht aan een goede dossiervorming omdat dit de effectiviteit, efficiëntie en de transparantie van het handelen van de AFM garandeert. Dit blijkt uit het feit dat de AFM de afgelopen jaren een aantal instrumenten voor de goede, geordende en toegankelijke staat van het archief staat heeft vastgesteld zoals Archiefbeheersregels, Handleiding dossiervorming, document structuurplan en een selectielijst. In deze documenten is ruim aandacht besteed aan duurzame digitale toegankelijkheid. Uit alle documenten komt tot uitdrukking dat digitale archivering geen doel op zich is, maar het primaire proces moet dienen. In 2012 startte het bestuur het project Orde in Zaken om de informatiehuishouding van de AFM te verbeteren met onder andere een nieuw document management systeem. Dit nieuwe systeem SharePoint is in april 2014 geïmplementeerd om de zoek- en vindmogelijkheden van informatie voor de AFM medewerkers beter te waarborgen, mede door effectiever gebruik van metadata. De AFM heeft daarbij diverse flankerende maatregelen getroffen zoals trainingen en goede werkinstructies voor gebruikers om de goede werking met het systeem en daarmee de digitale archivering te waarborgen. Het systeem heeft record management functionaliteit en bij de migratie van archiefbescheiden van het oude naar het nieuwe systeem zijn de eisen voor duurzame toegankelijkheid geborgd. De eindgebruikers hebben zelf verantwoordelijkheid voor het toevoegen van digitale archiefbescheiden in het DMS. Ondanks alle boven genoemde maatregelen, moet nog beproefd worden of toegankelijkheid en volledigheid van de dossiers gegarandeerd is omdat het DMS heel recent in gebruik is genomen. Hoewel de AFM wel interne controles uitvoert op de kwaliteit van dossiers, heeft de organisatie nog geen integraal kwaliteitssysteem waar digitale archivering Pagina 5 van 25
onderdeel van uitmaakt. Een dergelijk systeem zou het risico voor afbreuk aan de kwaliteit van de dossiers kunnen beperken. Daarnaast constateerde de AFM vorig jaar dat het governancemodel voor de informatievoorziening niet meer voldoet en dat een organisatiebrede informatiestrategie ontbreekt. De organisatie neemt dit jaar maatregelen om hier invulling aan te geven. De AFM heeft bij het inrichten van het nieuwe DMS rekening gehouden met toekomstige digitale overbrenging. De organisatie archiveert al sinds 2006 digitaal, de digitale dossiers zijn completer dan de papieren archieven maar de AFM bewaart ook nog papier in dagdozen. Er is nog geen Besluit voor vervanging genomen en daarom is de datum waarop digitale overbrenging ingaat nog onduidelijk.
Aanbevelingen • Besteed in de op te stellen Business Informatiestrategie expliciet aandacht aan de duurzame toegankelijkheid, gebaseerd op de reeds aanwezige kaders; • Zorg dat in het nieuwe governance model van de informatiehuishouding de duurzame digitale toegankelijkheid geborgd blijft; • Richt, uitgaande van het bestaande instrumentarium, een integraal kwaliteitssysteem in dat onder meer toetst of bij de invoering van het nieuwe DMS de geordende en toegankelijke staat van het digitale archief geborgd is. • Neem een beslissing over de ingangsdatum van de Vervanging en neem een formeel Besluit.
Pagina 6 van 25
2. Digitale a r c h i e f b e s c h e i d e n en digitaal archief Het digitale archief van een organisatie wordt gevormd door de informatie die in relatie tot de werkprocessen wordt gegenereerd, vastgelegd en bewaard. Deze informatie bevindt zich in de verschillende applicaties en systemen die worden gebruikt. Eén van de voorwaarden voor een goed en duurzaam toegankelijk digitaal archief is een heldere en binnen de organisatie gedragen definitie van wat onder digitale archiefbescheiden en digitaal archief moet worden verstaan.
Bevinding De AFM heeft op verschillende niveaus vastgelegd wat onder archiefbescheiden wordt verstaan. In artikel 1 van de Archiefbeheersregels AFM (augustus 2007) staat: "Archiefbescheiden: l e : bescheiden, ongeacht hun vorm, door de Autoriteit Financiële Markten ontvangen of opgemaakt en naar hun aard bestemd daar onder te berusten; 2e: bescheiden, ongeacht hun v o r m , met overeenkomstige bestemming, ontvangen of opgemaakt door instellingen of personen, wier rechten of functies op de AFM zijn overgegaan;3e: reproducties, ongeacht hun v o r m , welke bij of krachtens de wet in de plaats zijn gesteld van de onder l e of 2e bedoelde archiefbescheiden". Hiermee volgt de AFM letterlijk de Archiefwet 1995. De AFM maakt hierbij geen onderscheid tussen digitale en papieren archiefbescheiden. In diverse documenten zoals de Handleiding dossiervorming AFM (2014) komt tot uiting dat de AFM het van groot belang acht dat dossiers 'compliant' zijn met weten regelgeving en dat zij 'judgeproof' zijn omdat belanghebbenden de AFM aansprakelijk kunnen houden middels een juridische procedure. De AFM heeft ook een Checklist naleving richtlijnen voor dossiervorming opgesteld. Daarin staat in detail beschreven welke digitale archiefbescheiden in een dossier terug te vinden moeten zijn. Voor een toezichtdossier zijn dat bijvoorbeeld interne overwegingen en besluitvorming evenals alle feiten onderbouwd met behulp van bewijsstukken en bewijsmiddelen. De AFM heeft ook vooronderzoek gedaan naar het archiveren van social media in verband met zorgvuldige dossiervorming. Vanuit de monitoringtaak van AFM kunnen tweets of andere uitingen onderdeel worden van een zaak en daarom ziet de AFM deze als archiefbescheiden in de zin van de Archiefwet. De AFM zal verder onderzoek doen naar de technische, juridische en praktische voorwaarden van het archiveren van social media. Sinds 2006 hanteert de AFM het uitgangspunt dat het digitale archief leidend is. Dit betekent niet dat het gehele archief alleen digitaal is; de instellingsdossiers
Pagina 7 van 25
worden bijvoorbeeld ook in papieren vorm beheerd. Dit heeft te maken met het Besluit voor Vervanging dat nog niet is genomen, (zie hoofdstuk 9)
Samenvattende conclusie De AFM heeft vastgelegd wat digitale archiefbescheiden zijn. Op abstract niveau in de Archiefbeheersregels, maar ook op detailniveau voor een goede toepassing van de definitie in de praktijk. Het begrip archiefbescheiden wordt breed opgevat, dit omvat het totale digitale archief inclusief social media.
Pagina 8 van 25
3. Visie, beleid en architectuur De overheid wordt digitaal. Omdat het technisch mogelijk is, uit kosten- en efficiencyoverwegingen, om een betere dienstverlening te kunnen bieden en om het 'nieuwe werken' te kunnen faciliteren. Het is dan ook beleid van de rijksoverheid dat overheidsorganisaties volledig digitaal gaan werken, met inbegrip van duurzaam digitaal archiveren. In uiteenlopende beleidsstukken, programmaplannen en architectuurmodellen is de strategie, het beleid en de verdere uitwerking vastgelegd. Het is belangrijk dat overheidsorganisaties op basis hiervan een 'eigen' aansluitende visie en strategie op de digitale informatiehuishouding ontwikkelen en dat duurzame toegankelijkheid in de informatiearchitectuur is opgenomen. Dit schept duidelijkheid over de te volgen koers om tot een zo doelmatig mogelijke informatiehuishouding te komen, inclusief expliciete aandacht voor de duurzame toegankelijkheid van het digitale archief.
Bevinding De AFM werkt sinds 2006 volledig digitaal. De AFM heeft echter nog geen integrale visie op de inrichting van de informatievoorziening. De AFM heeft vastgesteld dat deze ontbreekt in het Verbetervoorstel 2014 ICT Governance en business ICT alignement. De AFM wil daarom in 2014 een Business Informatiestrategie vaststellen. Deze informatiestrategie moet inzichtelijk maken hoe de informatievoorziening bijdraagt aan de doelstellingen die in de missie en strategie zijn van de AFM zijn geformuleerd. Het bestuur van de AFM heeft de afgelopen jaren wel beleid en kaders vastgesteld die de digitale archivering ondersteunen. In de Normen dossiervorming inzake toezichtgerelateerde dossiers (2006) is bijvoorbeeld gesteld dat digitale dossiervorming leidend is. De hoofddoelstelling van dit normenkader was het bevorderen van de dossiervorming van de AFM, zodanig dat het de effectiviteit, efficiëntie en de transparantie van het handelen van de AFM garandeert. Het normenkader beschrijft in detail hoe de dossiervorming er uit moet zien waarbij de naleving van wettelijke normen zoals de Archiefwet geborgd is, inclusief de duurzame toegankelijkheid. In die periode werden ook de Archiefbeheersregels AFM augustus 2 0 0 7 vastgesteld waarin tevens aandacht wordt besteed aan duurzame digitale toegankelijkheid. De Archiefbeheersregels zijn door de jaren heen regelmatig geactualiseerd, evenals de normen voor dossiervorming. De AFM werkt onder architectuur. 2013) wordt de Archiefwet
In de Informatie
Architectuur
richtlijnen
expliciet genoemd en zijn verschillende
de wet in principes gevat. Bijvoorbeeld
in het architectuurprincipe
(juli
bepalingen
uit
Consistent en Pagina 9 van 25
betrouwbaar wordt gesteld dat de AFM vertrouwelijkheid en zorgvuldige elektronische archivering garandeert. In 2012 startte het project Orde in Zaken "een zaak van iedereen". Onder dezelfde hoofddoelstelling als het normenkader is een aanvang gemaakt met het verder verbeteren van het werken met en het zoeken en vinden van informatie voor alle medewerkers van de AFM. Het beleidsplan werkt in detail het op orde brengen van de structuur, rechten en metadata van de informatie en de inrichting van een nieuw DMS/RMA SharePoint u\t, inclusief de duurzame toegankelijkheid (zie ook hoofdstuk 6 en 9 ) .
Samenvattende
conclusie
De AFM heeft nog geen integrale visie op de informatievoorziening vastgelegd, het streven is om dat in 2014 te realiseren. Voor digitale archivering en de duurzame digitale toegankelijkheid zijn wel verschillende beleidsstukken vastgesteld en projecten ingericht zoals Orde in Zaken voor de implementatie van het nieuwe DMS/RMA SharePoint. In deze beleidsstukken komt tot uitdrukking dat de duurzame toegankelijkheid geen doel op zich is, maar de bedrijfsvoering moet dienen. Digitale archivering wordt niet los gezien van het primair proces, informatiebeveiliging en digitale ontwikkelingen bij de overheid.
Aanbeveling • Besteed in de op te stellen visie Business Informatiestrategie expliciet aandacht aan de digitale archivering en de duurzame toegankelijkheid, gebaseerd op de reeds aanwezige beleidskaders.
Pagina 10 van 25
4. K w a l i t e i t s m a n a g e m e n t , audits en control Intern toezicht en control, audits, kwaliteitsmanagement en een vastgesteld normenkader zijn belangrijke elementen die ingezet kunnen worden bij het op orde krijgen en houden van de digitale informatiehuishouding. Met de inwerkingtreding van de Archiefregeling in 2010 is het toepassen van een kwaliteitssysteem een archiefwettelijke verplichting geworden.
Bevinding De AFM heeft verschillende vormen van kwaliteitscontrole ingevoerd voor de informatiehuishouding. Deze worden nog niet structureel toegepast, maar wel ad hoe. Zo worden er binnen het primair proces reviews uitgevoerd op de kwaliteit van de dossiervorming. In de Handleiding Dossiervorming AFM is vastgelegd dat het (afdelings)hoofd waarborgt dat de medewerkers de normen uit de kaderstellende richtlijnen uit de Handleidingen de daarop gebaseerde afdelingsprocedures toepassen. Het (afdelings)hoofd doet dit door de medewerkers te informeren, te instrueren en door het steekproefsgewijs toetsen van dossiers. Op verzoek van de portefeuillehouder in de managementgroep rapporteert het (afdelings)hoofd over uitkomsten van de steekproefsgewijze dossiertoets en de naleving van de afdelingsprocedures door zijn of haar medewerkers. Hiervoor wordt de Checklist naleving richtlijnen voor dossiervorming gebruikt. Een recente interne review bracht bijvoorbeeld aan het licht dat het format voor naamgeving in Livelink vaak niet goed werd toegepast doordat het door de medewerkers als te complex werd ervaren. Ook bleek dat de checklist voor de afronding van projecten in Livelink niet bij alle medewerkers bekend was. Deze bevindingen gebruikt de AFM om de kwaliteit van het archiefbeheer te verbeteren. De dossiervorming is ook onderdeel van reguliere interne audits door de Interne Audit Dienst op het primair proces van de AFM: het toezicht. De uitkomsten daarvan worden echter niet actief met het team Document- en Informatiemanagement (DIM) gedeeld. De laatste specifieke audit op het informatiebeheer dateert van 2008 en was een vervolgonderzoek gericht op de postafhandeling. De AFM is recent gaan werken met een nieuw DMS wat een grote verandering meebrengt in het beheer van de digitale archiefbescheiden in het primair proces. De ervaring bij andere overheidsorganisaties leert dat bij een dergelijke verandering integrale monitoring van de kwaliteit van de dossiers noodzakelijk is.
Pagina 11 van 25
Samenvattende
conclusie
De AFM heeft verschillende waarborgen ingebouwd om te zorgen dat de kwaliteit van de dossiers op orde is. De uitvoering van de interne controles is belegd bij de afdelingshoofden en de Interne Auditdienst. Doordat de interne controles nog niet structureel worden uitgevoerd en de bevindingen niet altijd worden gedeeld met DIM, de beheerder van het document management systeem, is er echter nog geen sprake van een integraal intern toezicht op het archiefbeheer. Dit is, zeker gezien de recente veranderingen in het informatiebeheer, een belangrijk instrument om de kwaliteit van het archiefbeheer te blijven verbeteren.
Aanbeveling • Richt, uitgaande van het bestaande instrumentarium, een integraal kwaliteitssysteem in voor het digitale archiefbeheer waarbij DIM structureel is betrokken.
Pagina 12 van 25
5. Besturing, o r g a n i s a t i e en personeel De eindverantwoordelijkheid voor de digitale informatiehuishouding ligt, conform het begrip zorgdragerschap in de Archiefwet 1995, bij het bestuur van de archiefvormende overheidsorganisatie. Het is belangrijk dat de sturing op de digitale informatiehuishouding goed is ingericht en dat de verantwoordelijkheden goed zijn afgebakend en zijn vastgelegd. Er moet voldoende personeel zijn om alle taken met betrekking tot de digitale informatiehuishouding uit te kunnen voeren en er moet voldoende kennis aanwezig zijn, in het bijzonder over de eisen die gesteld worden aan de digitale archivering en duurzame toegankelijkheid. Ook dit zijn archiefwettelijke eisen, vastgelegd in het Archiefbesluit 1995. Digitaal werken impliceert dat iedere medewerker digitale archiefbescheiden creëert, bewerkt, opslaat en van metagegevens voorziet. Dit noodzaakt tot een duidelijke afbakening van verantwoordelijkheden en goede afspraken over het omgaan met digitale informatie, vastgelegd in een handleiding, online wiki of werkinstructies. Bevinding De sturing op de digitale informatiehuishouding is op verschillende manieren vastgelegd. In de eerste plaats op hoofdlijnen in de Archiefbeheersregels AFM (2007) en meer in detail in de Handleiding dossiervorming AFM. Beide documenten geven een gedetailleerde uitwerking van wie verantwoordelijk is voor welk aspect van de digitale informatiehuishouding: van het bestuur van de AFM als zorgdrager tot en met de medewerkers AFM die verantwoordelijk zijn voor het zelf toevoegen van archiefbescheiden aan het document management evenals de manier waarop. Het bestuur van de AFM hecht aan de kwaliteit informatiehuishouding.
Dat blijkt bijvoorbeeld
zitting nemen in de stuurgroep
van de digitale uit het feit dat bestuursleden
zelf
voor het project Orde in Zaken.
Het hoofd van het Facilitair Bedrijf (FB) is volgens de eigen regels verantwoordelijk voor het beheer van de archiefbescheiden van de AFM conform wet- en regelgeving. De manager Document en Informatiemanagement (DIM) stelt regelingen en algemene voorschriften vast voor de documentaire informatievoorziening. Het beleid v o o r d e digitale informatiehuishouding wordt in zijn afdeling gemaakt. DIM fungeert tevens als de beheerorganisatie voor de dossiervorming binnen de AFM en adviseert de afdelingen wat betreft de voorschriften voor de digitale informatiehuishouding. De afdelingshoofden binnen het primair proces zijn met hun medewerkers verantwoordelijk voor de toegankelijke en volledige dossiers conform de Archiefwet.
Pagina 13 van 25
Het hoofd FB en manager DIM zijn formeel samen met het hoofd verantwoordelijk
voor de duurzaamheid
Informatisering
van de digitale archiefbescheiden.
De
AFM is de afgelopen jaren sterk gegroeid in omvang en daarbij is gebleken dat de informatiseringsafdeling
en DIM overvraagd
werden. Bovendien ontbreekt
volgens de AFM voor de ICT aan beheerprocessen, gebruikersprocedures.
De informatievoorziening
AFM bekijkt nu hoe de ICT governance Dit is uitgewerkt alignment.
businessafdelingen waarschijnlijk
die functioneert
buslness-ICT van
tussen de
Het inrichten van de functie
wordt onderzocht.
het centrale functioneel
nemen waaronder
en
ingericht.
die de AFM wil maken is het creëren/integreren
en de informatisering.
informatiemanager
wordt nu opnieuw ingericht en de
2014, ICT governance
een afdeling van informatievoorziening corporate
en
opnieuw en beter kan worden
in het Verbetervoorstel
De vervolgstap
inrichtingskeuzes
het
van
DIM zal in het toekomstige
beheer van de bedrijfsapplicaties
model
op zich
SharePoint.
De medewerkers van AFM plaatsen en beheren al sinds 2006 archiefbescheiden in het systeem Livelink, sinds kort SharePoint. Bij hun aanstelling krijgen zij een training voor het werken met het DMS en hoe zij de digitale archiefbescheiden daarin moeten beheren. Externe adviseurs verzorgen opleidingen voor de medewerkers DIM om de (digitale) kennis op niveau te houden. (Zie ook hoofdstuk 6)
Samenvattende
conclusie
De verantwoordelijkheden voor de verschillende facetten van de digitale informatiehuishouding zijn op meerdere plaatsen binnen de AFM belegd. Daarom is in diverse documenten ruim aandacht besteed aan het vastleggen van deze verantwoordelijkheden, waarbij het Bestuur een belangrijke rol speelt. Ook de verbinding tussen ICT en DIM is formeel vastgelegd, samen zijn zij verantwoordelijk voor de duurzaamheid van de digitale archiefbescheiden. In de praktijk van een sterk groeiende organisatie heeft de AFM vastgesteld dat de huidige invulling van taken van ICT en DIM niet langer passend is. AFM onderzoekt daarom het governance-model van de ICT en de informatievoorziening met het oog op de verbetering van de inrichting hiervan, mogelijk komt er een corporate informatiemanager. De AFM-medewerkers die allen een belangrijke rol hebben bij het beheer van digitale archiefbescheiden in het DMS, krijgen daarvoor instructies.
Aanbeveling •Zorg dat in het nieuwe governance model van de informatiehuishouding de duurzame toegankelijkheid geborgd blijft.
Pagina 14 van 25
6, T o e g a n k e l i j k h e i d In de digitale omgeving neemt de hoeveelheid informatie exponentieel toe. Dit geldt ook voor de informatie in de documentmanagement systemen en andere systemen waarin zich digitale archiefbescheiden bevinden. Deze digitale informatie moet goed toegankelijk zijn en blijven. Een eerste vereiste voor een goed toegankelijk en raadpleegbaar digitaal archief is duidelijkheid over welke digitale archiefbescheiden er worden beheerd en in welke applicaties deze archiefbescheiden zich bevinden. Het tweede vereiste is dat de digitale informatie goed geordend en beheerd wordt. Belangrijke voorwaarden hierbij zijn onder andere het toekennen van metadata en eenduidige afspraken over naamgeving en omschrijving. Voorwaarden van andere aard liggen op het gebied van de gebruiksvriendelijkheid van de systemen, zoals een goede zoekfunctionaliteit, gemakkelijke en intuïtieve navigatie en een overzichtelijke indeling.
Bevinding Tot april 2014 gebruikte het AFM Livelink als document management systeem (DMS). Dit systeem voldeed echter niet aan de wensen van de AFM voor het goed en gemakkelijk zoeken en vinden van documenten en informatie. Ook was de ordening in Livelink gebaseerd op de afdelingen bij AFM en daardoor niet goed bestand tegen organisatieveranderingen. Om dit te verbeteren is het plan van aanpak Orde in Zaken opgesteld met als doel Livelink te vervangen door SharePoint en zodoende de verbetering van de interne informatievoorziening te bewerkstelligen. SharePoint is in april 2014 in de organisatie gelanceerd. In dit plan van aanpak is verder een aantal voorwaarden voor het slagen van het project uitgewerkt zoals het opstellen van een informatieplattegrond, ordening, metadata. Deze deelprojecten zijn sinds kort gerealiseerd en geïmplementeerd in het nieuwe systeem SharePoint. Bij inrichting van het SharePoint heeft DIM aansluiting gezocht bij het primaire proces om te kijken hoe de toegankelijkheid goed zou kunnen aansluiten op de wensen van eindgebruikers. De werkprocessen van de AFM zijn vastgelegd in het Proceshuis. DIM heeft dit document als uitgangspunt gebruikt om een informatieplattegrond in te richten. De ordening in SharePoint is vervolgens gebaseerd op deze werkprocessen. In SharePoint gebeurt het toekennen van metadata nu grotendeels via de koppeling met de informatieplattegrond en deels door het gebruik van verplichte velden.
Pagina 15 van 25
Er staan nu 4,6 miljoen documenten in SharePoint (Deze zijn gemigreerd vanuit Livelink, zie hoofdstuk 9 ) . De jaarlijkse aanwas bedraagt globaal 430.000 documenten. De medewerkers van AFM plaatsen al sinds 2003 z e l f d e digitale archiefbescheiden in het document management systeem. (De inkomende post is hiervan uitgezonderd, dat doet DIM). Bij de overgang van het werken van het systeem Livelink naar SharePoint is veel aandacht besteed aan de introductie van het werken met het nieuwe systeem waarbij ook het bestuur van de AFM een sturende rol heeft gespeeld. De Handleiding dossiervorming is voor de AFMeindgebruikers vertaald naar wikipagina's. Ook hebben medewerkers bij de introductie van S/7arePpo/nt e-learning modules gevolgd en zijn per afdeling keyusers en ambassadeurs aangewezen. Voor de totstandkoming van volledige, geordende dossiers door de eindgebruikers zijn dus verschillende waarborgen ingebouwd, toch worden er nog digitale archiefbescheiden zoals email, buiten SharePoint, in bijvoorbeeld de kantoorautomatiseringsapplicaties bewaard. Ook de forensische onderzoeksgegevens staan niet in het DMS. Deze worden volledig beheerd door de betreffende afdeling. Het betreft hier in beslag genomen databases en email bestanden. Het betreft hier archiefbescheiden waarbij DIM niet in het beheer is betrokken. De AFM heeft een Koppelvlakken overzicht van het beperkte aantal overige applicaties waarin zich digitale archiefbescheiden bevinden. De applicaties van de ondersteunende processen vallen niet onder de Archiefwetgeving.
Samenvattende
conclusie
De belangrijkste
applicatie voor het beheer van de digitale archiefbescheiden
het DMS/RMA SharePoint. uit de voorganger
De applicatie bevat ook de digitale
informatieplattegrond faciliteren.
archiefbescheiden
Livelink. De ordening is gebaseerd op de werkprocessen
AFM. De AFM heeft diverse instrumenten
van de
opgesteld zoals een
om de toegankelijkheid
De daadwerkelijke
is
toegankelijkheid
van de digitale archiefbescheiden van de digitale
te
archiefbescheiden
moet nog beproefd worden omdat het systeem pas kort geleden is geïmplementeerd.
Een deel van de digitale archiefbescheiden
andere applicaties
dan
bevindt zich in
SharePoint.
Aanbeveling •Betrek alle digitale archiefbescheiden in de invloedssfeer van DIM. •Toets, in ieder geval na een jaar, of de toegankelijkheid van SharePoint voldoet aan de verwachtingen en doe zo nodig (een) aanpassing(en).
Pagina 16 van 25
7. W a a r d e r i n g , s e l e c t i e en vernietiging In een digitale omgeving moet vooraf rekening gehouden worden met het verwijderen en vernietigen van gegevens. Selectie en vernietiging van digitale archiefbescheiden mag uitsluitend plaatsvinden op grond van een vastgestelde selectielijst, waarin de bewaartermijnen zijn opgenomen en waarin is opgenomen welke archiefbescheiden als blijvend te bewaren worden beschouwd. De Archiefwet verbiedt voortijdige vernietiging van digitale archiefbescheiden en verplicht tot vernietiging nadat de bewaartermijn is verstreken. Voortijdige vernietiging kan tot gevolg hebben dat belangrijke informatie onbedoeld verdwijnt, waardoor problemen met de bedrijfsvoering kunnen ontstaan en geen of onvoldoende verantwoording kan worden afgelegd.
Bevinding De AFM heeft de beschikking over twee vastgestelde selectielijsten voor de gehele organisatie en de rechtsvoorganger. De AFM heeft berekend dat rond de 4 0 % van de handelingen in de selectielijst blijvend te bewaren archief oplevert. Geschat wordt dat het uiteindelijk gaat om een kleine hoeveelheid van de digitale archiefbescheiden. In de selectielijst zijn de werkprocessen van de AFM herkenbaar en het is mogelijk om de bewaartermijnen toe te passen in de digitale omgeving. Op dit moment wordt de selectielijst geactualiseerd in verband met vier nieuwe handelingen voor de projectdossiers. De bewaartermijnen zijn nog niet gekoppeld aan de digitale archiefbescheiden in SharePoint maar dat gaat op korte termijn gebeuren. Dit is overigens alleen van toepassing op het record management applicatie (RMA) gedeelte waarin archiefbescheiden pas terecht komen als dossiers worden afgesloten. Daarom wil DIM er door middel van query's op toezien dat het afsluiten van dossiers door eindgebruikers werkelijk gebeurt. Uit het voormalige DMS Livelink zijn digitale archiefbescheiden vernietigd op basis van de bewaartermijnen uit de selectielijst. Eventuele vernietiging van de archiefbescheiden die zich buiten Livelink en SharePoint bevinden onttrekt zich aan de waarneming van DIM en vindt niet plaats op basis van een selectielijst.
Samenvattende
conclusie
De AFM beschikt over twee vastgestelde selectielijsten voor al haar openbaar gezag taken. De AFM is onlangs overgegaan op het nieuwe informatiesysteem, SharePoint. De bewaartermijnen zijn nog niet gekoppeld aan de RMA. Pagina 17 van 25
Aanbeveling: • Pas de bewaartermijnen uit de selectielijst toe op de digitale archiefbescheiden in SharePoint. • Zorg ervoor dat de digitale archiefbescheiden alleen volgens archiefwettelijke eisen vernietigd worden.
Pagina 18 van 25
8. Digitale overbrenging Een deel van de digitale archiefbescheiden heeft wetenschappelijke en cultuurhistorische waarde. Deze archiefbescheiden zijn in de selectielijst aangemerkt als 'blijvend te bewaren' en moeten na een termijn van 20 jaar worden overgebracht naar een e-depot van het Nationaal Archief of een Regionaal Historisch Centrum. Overbrenging van digitale archiefbescheiden, zowel uit een DMS of bedrijfssysteem of in de vorm van een database is voor een belangrijk deel nog onbekend terrein. Nu ook digitale archiefbescheiden op leeftijd komen wordt digitale overbrenging een actueel vraagstuk.
Bevinding De organisatie heeft nog geen concrete stappen genomen voor digitale overbrenging. Wel is in de huidige applicatie SharePoint rekening gehouden met een mogelijke export van bestanden met de bijbehorende metadata in XML. Het is volgens AFM mogelijk om de blijvend te bewaren digitale archiefbescheiden straks uit het RMA over te brengen naar het Nationaal Archief (NA). De AFM beschouwt het digitale archief als leidend. Bij toekomstige overbrenging moet nog wel gekeken worden naar de kwaliteit van de scans die in de digitale dossiers zijn opgenomen (zie ook hoofdstuk 9) De AFM heeft nog geen contact met het Nationaal Archief over de aansluitvoorwaarden om digitaal over te kunnen brengen. De Handleiding dossiervorming geeft wel enkele interne regels voor overbrenging, zoals: "Regelmatig opschonen van de systemen door, op basis van een op wettelijke regelingen gestoeld bewaarplan, documenten die daarvoor in aanmerking komen op tijd over te dragen aan het Nationaal Archief of te verwijderen met behulp van een in te richten RMA".
Samenvattende
conclusie
De AFM is zich bewust van het feit dat de blijvend te bewaren archiefbescheiden straks digitaal moeten overgebracht naar het Nationaal Archief. Archiefwettelijk gezien komt de overbrenging pas in 2026 in beeld, maar het is raadzaam om zich op de hoogte te blijven stellen van de ontwikkelingen met betrekking tot de aansluitvoorwaarden voor digitale overbrenging.
Pagina 19 van 25
9. Digitale d u u r z a a m h e i d De bewaartermijn van digitale archiefbescheiden wordt bepaald vanuit allerlei wetten en regelingen. De bewaartermijn kan soms erg lang zijn. Digitale bestanden en archiefbescheiden moeten gedurende deze bewaartermijn leesbaar, interpreteerbaar en in authentieke vorm reproduceerbaar blijven. Deze digitale duurzaamheid is niet vanzelfsprekend. Het is noodzakelijk om bij aanschaf en inrichting van applicaties rekening te houden met de eisen die aan de duurzame toegankelijkheid van digitale informatie worden gesteld en aan de maatregelen die getroffen moeten worden om de digitale duurzaamheid te kunnen waarborgen. Dit zijn maatregelen als het gebruik van open standaarden, tijdige conversie en migratie op het gebied van informatieveiligheid die de integriteit en authenticiteit van de digitale archiefbescheiden waarborgen.
Bevinding Voor het duurzaam beheer van de digitale archiefbescheiden heeft de AFM een record management applicatie binnen SharePoint ingericht. De AFM heeft nog geen apart bewaarbeleid geformuleerd, conversie en migratie worden toegepast als er concrete aanleiding toe is, zoals ook is vastgelegd in de Archiefbeheersregels (AFM). In het plan van aanpak Orde in Zaken is ruim aandacht besteed aan de conversie en migratie van de archiefbescheiden van het ene naar het andere systeem, de risico's die dat met zich meebrengt, en de manier waarop deze ondervangen kunnen worden. Bijvoorbeeld het betrekken van externe ondersteuning, het opstellen van een migratieplan en het uitvoeren van tests. Bij de overgang van Livelink naar SharePoint is dit daadwerkelijk toegepast. DIM en functioneel beheer zijn standaard betrokken bij de uitfasering van systemen, de data worden indien nodig gemigreerd naar een datawarehouse. Dit komt overigens nog zelden voor. Alhoewel de digitale archivering leidend is en de digitale dossiers completer zijn dan de papieren dossiers worden er nog steeds papieren archiefbescheiden bewaard in dagdozen. Dat komt omdat de AFM nog geen besluit voor Vervanging heeft genomen. Het is de vraag of de blijvend te bewaren digitale scans voldoen aan de eisen van de archiefwetgeving. Sinds de introductie van SharePoint is dat wel het geval. Wat betreft de maatregelen voor informatieveiligheid voor de integriteit van het digitale archief heeft AFM een kwetsbaarheids- en afhankelijkheidsanalyse op de digitale systemen uitgevoerd als gevolg van een risico-inventarisatie voor de Pagina 20 van 25
informatiebeveiliging. Ook hebben penetratietests plaatsgevonden. De inventarisatie is echter alleen uitgevoerd op de bedrijfssystemen. Het DMS is buiten beschouwing gebleven, er zijn dus geen bevindingen beschikbaar wat betreft de informatiebeveiliging rond het DMS.
Samenvattende
conclusie
SharePoint heeft een functionaliteit voor digitale duurzaamheid. Daarnaast is eventuele noodzakelijke conversie en migratie van bestanden formeel belegd en gebeurt dit in de praktijk zorgvuldig. Er is nog geen aanvang gemaakt met de vervanging van archiefbescheiden. Het archief is daardoor nog hybride en alhoewel de keuze voor digitale archivering is gemaakt, werkt het onduidelijkheid en dubbel beheer in de hand. Bij de maatregelen voor informatieveiligheid voor de integriteit van het digitale archief die de AFM heeft getroffen is het DMS niet meegenomen.
Aanbevelingen • Neem een beslissing over de ingangsdatum van de Vervanging en neem een formeel Besluit. •Betrek SharePoint bij een volgende risico-inventarisatie voor informatiebeveiliging.
Pagina 21 van 25
Pagina 22 van 25
Bijlage 1 Verantwoording en bronnen De grondslag voor de conclusies en aanbevelingen vormen de neerslag van de inspectiegesprekken, de hieronder genoemde documenten en de gegevens uit de monitor 2013-2014 van de Erfgoedinspectie. De nota van bevindingen is voor wederhoor afgestemd met de gesprekspartners bij de Autoriteit Financiële Markten. De concept rapportagebrief is met een verzoek om een reactie en voor wederhoor aan de Autoriteit Financiële Markten voorgelegd.
De
inspectiegesprekken
De inspectiegesprekken hebben plaatsgevonden op 27 februari, 13 en 19 maart 2014. De
documenten
1. laarplan 2014 facilitair bedrijf, versie 1.0, 2013 2. Checklist naleving richtlijnen voor dossiervorming? 3. Memo Classificatieschema vertrouwelijkheid, maart 2009 4. Handleiding dossiervorming AFM, versie 2.1 (concept), januari 2014 5. Memo Regeling toegankelijkheid Livelink , december 2010 5. Plan van Aanpak Orde in Zaken "een zaak van iedereen", versie 1.0, juni 2012 7. Verbetervoorstel 2014, ICT Governance en business-ICT alignment, versie 1.0, februari 2014 8. Memo Verbetervoorstel ICT Governance en business ICT-alignment, februari 2014 9. Memo Beheer Sharepoint Platform, november 2012 10.
Factsheet Facilitair Bedrijf, team DIM, oktober 2012
11.
Selectielijst van de Autoriteit Financiële Markten op het beleidsterrein
Regulering & Toezicht bank- en kredietwezen 2002-, april 2010 12. Auditrapport Vervolgonderzoek en follow-up audit Postafhandeling mei 2008 13.
Plan Centraal Functioneel Beheer Projectomschrijving, versie 2.0, juni 2013
14.
Samenvatting jaarverslag AFM 2012
15.
Kick-off Project Centrale Beheer Organisatie (CBO), powerpoint presentatie
16.
Effect Centraal, missie en kernwaarden 2014 AFM
17.
Visiedocument Werken onder Architectuur, versie 2.0, augustus 2012
18.
Memo Vastlegging social media, november 2012
19.
Vastlegging Social media voor de AFM, november 2012
20.
Archiefbeheersregels AFM, augustus 2007
Pagina 23 van 25
21.
Memo Normen dossiervorming inzake toezicht gerelateerde dossiers, maart
2006 22.
Informatiearchitectuur AFM richtlijnen, principes en richtlijnen Informatie en
Technische architectuur, (versie 1.3, juli 2013) 23.
Checklist naleving richtlijnen voor dossiervorming (ongedateerd)
24.
Koppelvlakken overzicht (ongedateerd)
25.
Proceshuis (ongedateerd)
26.
Memo Classificatieschema vertrouwelijkheid (maart 2009)
Pagina 24 van 25
Bijlage 2 Het inspectieprogramma duurzame digitale toegankelijkheid
De Erfgoed inspectie voert een inspectieonderzoek uit naar de duurzame toegankelijkheid van archiefbescheiden in een digitale omgeving. Aanleiding voor dit onderzoek is de ervaring van de Erfgoedinspectie, uit onder andere inspecties en de periodieke monitor, dat overheidsorganisaties geen duidelijk beeld hebben wat archiveren in een digitale omgeving precies inhoudt. Vaak wordt daaronder verstaan het archiveren in een document management systeem en worden gegevens in bedrijfssystemen over het hoofd gezien. Doel van het onderzoek is om inzicht te verkrijgen in de staat van de duurzame toegankelijkheid van digitale informatie bij de organisaties van de centrale overheid. Belangrijk onderdeel van het onderzoek zijn de inspecties die archiefvormende organisaties worden uitgevoerd. Deze organisaties vormen een doorsnee beeld van de centrale overheid. De bevindingen uit deze inspecties worden aangevuld met de uitkomsten van de monitor 2013-14 van de Erfgoedinspectie. In overkoepelende rapporten zal de Erfgoedinspectie over de staat van de duurzame toegankelijkheid van digitale archiefbescheiden bij de centrale overheid rapporteren. Tot nu zijn twee rapporten gepubliceerd en aan de Tweede Kamer toegezonden, respectievelijk Beperkt houdbaar? en Duurzaam duurt het langst. Uiteindelijke doelstelling van het onderzoek is een op termijn verbeterde praktijk, waarin de duurzame toegankelijkheid in een digitale omgeving voldoende wordt gewaarborgd.
Pagina 25 van 25
