Media, Informatie en Communicatie
Informatiehuishouding van twee kanten bekeken
Afstudeerscriptie Annemarie Jol D09 | D5all
Tutor
: A. Veen
Docent : M. Hagoort
Informatie en Media deeltijd 4 juni 2013
Inhoud 1
INLEIDING
4
1.1
Probleemstelling
4
1.2
Methoden van onderzoek
6
1.3
Leeswijzer
6
2
THEORETISCHE ACHTERGROND
7
2.1
Wat is informatie?
7
2.2
De functie van informatie binnen een organisatie
7
2.3
De kwaliteit van de informatievoorziening binnen een organisatie
9
2.4
De informatie audit vragenlijst
10
2.5
De forensic readiness checklist
14
2.6
De verschillen tussen beide instrumenten
19
3
PRAKTIJKONDERZOEK
25
3.1
De gemeente als organisatie
25
3.2
Beschrijving en verantwoording gekozen onderzoeksmethode
27
3.3
Onderzoek gemeente X
28
3.4
Onderzoek gemeente Y
29
3.5
Analyse van de resultaten van de onderzoeken in de gemeente X en
gemeente Y
31
3.6
34
Interviews met experts
2
4
CONCLUSIE:
42
5
LITERATUURLIJST
43
6
BIJLAGEN
48
Bijlage 1: Analyse vragenlijsten op vraagniveau
49
Bijlage 2: Protocol interviews gemeenten
61
Bijlage 3: Resultaten vragenlijst Rodin en CER bij de gemeenten X en Y
75
Bijlage 4: Protocol interview experts
89
Bijlage 5: Plan van Aanpak
92
Bijlage 6: Checklist e-discovery readiness
102
Bijlage 7: RODIN vragenlijst
111
3
1
Inleiding
“ Plasterk: ‘ Volledig digitale overheid in 2017’ “, kopte het AD, Elsevier “Plasterk: 300 miljoen besparen met digitale overheid” en de overheid zelf “Digitale overheid levert gemak en besparingen op”. Zeer recentelijk liet minister van Binnenlandse Zaken weten dat burgers en bedrijven vanaf 2017 hun overheidszaken volledig digitaal gaan regelen. De digitale overheid is een ambitieus plan voor de komende jaren. De reacties kwamen al snel: “Digitalisering overheid voor 2017 vergt grote inhaalslag” en “Plasterk begrijpt digitale dienstverlening nog niet”. Is de overheid klaar om helemaal alles digitaal te gaan regelen? Hebben ze de informatiehuishouding voldoende op orde? Is het veilig genoeg? Een relevante vraag na de verschillende hack-affaires waarbij grote instellingen als banken getroffen werden, de DigiNotar affaire en zo meer. Digitale dienstverlening uit het oogpunt van gemak, kostenbesparing en efficiency, en de daarmee samenhangende veiligheid van onze gegevens die de overheid verzameld en beheert zijn onderwerpen die nogal eens onder de aandacht komen de laatste tijd. Om een beeld te krijgen van hoe het ervoor staat met diverse aspecten van de informatiehuishouding van een (overheids)organisatie bestaan verschillende instrumenten. In deze scriptie onderzoek en vergelijk ik twee daarvan. Waarin verschillen ze, wat onderzoek je er precies mee en waar en wanneer gebruik je ze. Om een kleine bijdrage te leveren aan de kwaliteitsverbetering van de digitale overheid!
1.1 Probleemstelling Aanleiding tot het onderzoek De aanleiding tot het onderwerp van mijn afstudeerscriptie is een gesprek met G.J. van Bussel, lector van het lectoraat Digital Archiving and Compliance, welke tevens opdrachtgever is. Vanuit het vak van informatiemanagement wordt er gebruik gemaakt van een instrument voor een informatie audit, om te kunnen onderzoeken of en hoe goed een organisatie zijn informatievoorziening op orde heeft. Recentelijk is vanuit het lectoraat EDiscovery een checklist voor ‘forensic readiness’ ontwikkeld, die (vanuit een ander oogpunt) ook onderzoekt of en hoe een organisatie zijn informatievoorziening op orde heeft. Omdat beide instrumenten gebruikt worden voor onderzoek naar hetzelfde, zou je kunnen verwachten dat de resultaten bij het gebruik van beide instrumenten hetzelfde zijn. Omdat ze echter vanuit een hele andere achtergrond ontwikkeld zijn, en wellicht een heel ander doel dienen zou het heel goed kunnen dat de resultaten van elkaar verschillen. Het op orde hebben van de informatiehuishouding is om vanuit meerdere oogpunten en om meerdere redenen van belang. Informatie is de vijfde productiefactor en wanneer een organisatie daar optimaal gebruik van wil maken om de effectiviteit en efficiency van de bedrijfsprocessen te optimaliseren, moet de informatievoorziening goed op orde zijn. Daarnaast vindt in vrijwel alle organisaties een enorme toename van informatie plaats, terwijl zij door een toegenomen 4
regeldruk verplicht worden zich meer te verantwoorden over hun handelen. Wanneer er een incident of een onderzoek plaatsvindt en/of er verantwoording afgelegd moet worden, is het van belang deze informatie zo volledig mogelijk op effectieve en efficiënte wijze te kunnen achterhalen. Ook hierbij is het van belang dat de informatievoorziening op orde is, want dit bespaart de organisatie kosten en tijd bij een onderzoek. Wanneer je onderzoek wilt doen naar de gesteldheid van de informatievoorziening van een organisatie, wil je dat deze zo volledig mogelijk afgestemd is op het daarmee beoogde doel. Nu nog niet helder is op welke punten deze instrumenten verschillen, is het niet mogelijk om een doelbewuste keuze maken voor het ene of het andere instrument, dan wel items uit beide instrumenten te gebruiken om een zo volledig mogelijk onderzoek te doen. Probleemstelling Wat zijn de verschillen in resultaat tussen toepassing van de informatie audit vragenlijst en de forensic readiness checklist bij de gemeente X en de gemeente Y en maken deze verschillen een keuze nodig voor toepassing van één van beide instrumenten of is het mogelijk dat beide instrumenten elkaar aanvullen? Doelstelling Inzicht krijgen in het verschil in resultaten bij toepassing van de informatie audit vragenlijst en de forensic readiness checklist in (twee) gemeentelijke organisaties om advies te kunnen geven wanneer het best gekozen kan worden voor welk instrument en waarin ze elkaar kunnen aanvullen. Deelvragen Om de probleemstelling concreter uit te werken zijn in het plan van aanpak (bijlage 5) de volgende deelvragen geformuleerd. Deelvraag 1: Wat is de theoretische achtergrond (essentie, context, doelen) van een informatie audit vragenlijst en in welke aspecten verschilt deze van een forensic readiness checklist? Deelvraag 2: Wat is de theoretische achtergrond (essentie, context, doelen) van een forensic readiness checklist en in welke aspecten verschilt deze van een informatie audit vragenlijst? Deelvraag 3: Wat zijn de verschillen in resultaten tussen de informatie audit vragenlijst en de forensic readiness checklist bij toepassing in de gemeente X en de gemeente Y? Deelvraag 4: Is een keuze voor toepassing van één van beide instrumenten nodig en waarom? Deelvraag 5: Is het mogelijk en zinvol dat beide instrumenten elkaar aanvullen en zo ja, hoe?
5
1.2 Methoden van onderzoek Mijn onderzoek bestaat uit twee delen: een theoretisch onderzoek en een praktijkonderzoek. Deskresearch Allereerst heb ik gebruik gemaakt van de methode van deskresearch. In de literatuur heb ik informatie gevonden over de theoretische achtergrond van de informatie audit en forensic readiness onderzoek. Hierbij heb ik onderzoek gedaan naar de inhoud en achtergrond van beide onderzoeksmethoden. Daarbij is met name nagegaan in welke context ze gebruikt worden, met welk doel ze uitgevoerd worden, welke instrumenten ervoor gebruikt worden en welke verschillende vragenlijsten/checklisten gebruikte worden voor deze onderzoeken. Ik heb hiervoor verschillende literatuurbronnen gebruikt, zowel boeken als artikelen uit de digitale databanken uit de mediatheek van de Hogeschool van Amsterdam, internetbronnen, collegestof en aangereikte literatuur bij informatiemanagement vakken en de minor Ediscovery. Met de op deze wijze gevonden en onderzochte literatuur heb ik in hoofdstuk 2 het theoretisch kader geschetst waarbinnen dit onderzoek heeft plaatsgevonden Daarnaast heb ik via deskresearch ook de bronnen van de gemeente Y en de gemeente X bestudeerd, om van beide organisaties waar ik het praktijkonderzoek heb uitgevoerd een achtergrondbeeld te vormen en om een deel van de vragen uit de beide vragenlijsten al te kunnen beantwoorden. Inhoudsanalyse Op basis van de door middel van deskresearch gevonden informatie en de gemaakte keuze voor de twee instrumenten heb ik een inhoudsanalyse van beide instrumenten gedaan om ze met elkaar te vergelijken en er achter te komen op welke punten ze van elkaar verschillen. Praktijkonderzoek De onderzoeksaanpak en gebruikte methodiek die wordt toegepast in het praktijkonderzoek wordt nader toegelicht in paragraaf 3.2 .
1.3 Leeswijzer Allereerst zal ik in hoofdstuk 2 de theoretische achtergrond van de informatie audit vragenlijst en de forensic readiness checklist toelichten. In hoofdstuk 3 beschrijf ik hoe ik de verschillende delen van mijn praktijkonderzoek heb uitgevoerd en welke resultaten dat opgeleverd heeft. En tot slot heb ik daar in hoofdstuk 4 een conclusie uit geformuleerd.
6
2
Theoretische achtergrond
In mijn onderzoek komen een aantal begrippen aan de orde. Om helder te hebben waar het dan om gaat, licht ik allereerst die begrippen toe. In de eerste plaats wordt het begrip informatie besproken en de functie die informatie binnen een organisatie vervult. Vervolgens wordt ingegaan op het begrip kwaliteit van de informatievoorziening en de rol die dit begrip binnen een organisatie vervult. In de laatste drie paragrafen van dit hoofdstuk worden de twee typen vragenlijsten besproken die in dit onderzoek centraal staan: de informatie audit vragenlijst en de forensic readiness checklist. Van beide typen vragenlijst wordt een concreet voorbeeld gekozen dat gebruikt zal worden in het kader van het praktijkonderzoek dat in hoofdstuk 3 zal worden besproken. Het hoofdstuk wordt afgesloten met een discussie over de (theoretische) verschillen tussen beide typen vragenlijst
2.1 Wat is informatie? Om je informatiehuishouding op orde te hebben, draait het om informatiemanagement en informatiebeheer. Centraal hierbij staat het begrip informatie. Er zijn veel verschillende definities voor het begrip informatie, die elkaar raken maar het net anders formuleren. Een vrij algemene definitie van informatie is: ‘gegevens die betekenis hebben gekregen doordat ze in een bepaalde vorm aan een bepaalde gebruiker zijn verstrekt’ (Vaassen, et. al., 2012). Volgens Bots en Jansen (2005) bestaat informatie uit ‘met elkaar in verband gebrachte en geïnterpreteerde gegevens. De ontvanger van de gegevens geeft er een betekenis aan en koppelt de nieuwe gegevens aan elkaar of aan al aanwezige informatie. Informatie is altijd gekoppeld aan een specifieke situatie’. Er wordt in de literatuur dus onderscheid gemaakt tussen ‘gegevens’ of ‘data’ die op zichzelf geen betekenis hebben, maar nadat ze volgens de definitie van Eck Poppe (2003) gecategoriseerd, geanalyseerd, samengevat, in een context geplaatst en toegankelijk gemaakt zijn en daarmee verworden tot informatie.
2.2 De functie van informatie binnen een organisatie In het kader van dit onderzoek betreft het de informatie binnen een organisatie, ook wel bedrijfsinformatie genoemd. Dit kan beschreven worden als: alle cruciale informatie die op vele plaatsen binnen een bedrijf nodig is om dagelijks de juiste operationele, tactische en strategische beslissingen te nemen. Het is het totaal van werkgerelateerde en beleidsondersteunende informatie in een bedrijf (Eck Poppe, 2003). Informatie wordt binnen organisaties voor verschillende mogelijkheden en doeleinden gebruikt. Er kan onderscheid gemaakt worden tussen informatie als product en informatie als productiefactor. Vanuit bedrijfsmatig oogpunt kan informatie gezien worden als de vijfde productiefactor, naast arbeid, kapitaal, grondstoffen en ondernemerschap. Hierbij wordt 7
uitgegaan van de ‘vermenigvuldigende’ relatie tussen de inzet van de productiefactor informatie en de output van een organisatie (Hagoort & Eck-Poppe, 2010). Deze rol van informatie als productiefactor is in alle organisaties (en in toenemende mate) aan de orde. Het refereert aan de rol van informatie voor de vier soorten basisprocessen in organisaties: primaire processen (maatschappelijke waardetoevoeging), ondersteunende processen (interne dienstverlening), ontwikkelingsprocessen (interne ontwikkeling) en besturings- en managementprocessen (Abcouwer, Gels & Truijens, 2006). Daarnaast kan informatieverwerking ook behoren tot de primaire processen. Hierbij heeft informatie ook de rol als product. Dit onderzoek vindt plaats bij twee gemeentes. Een gemeente is een kennis- en informatie-intensieve organisatie, waarbij een (steeds groter deel) bestaat uit een informatieproduct. Voor alle operationele bedrijfsprocessen wordt het fundament gevormd door een adequaat ingerichte en professioneel gebruikte informatiehuishouding. Dit omvat het geheel van opslag, het beheer en verstrekking van gegevens binnen een organisatie (KING, 2011). De informatiehuishouding wordt beschouwd als een afspiegeling van de organisatie waarbinnen ze functioneert (Bussel, 2009). Ze laat zes aspecten zien (mensen, middelen, processen, kennis, methoden en procedures) die het organisatorische raamwerk vormen voor de informatievoorziening. De informatievoorziening organiseert de informatiewaardeketen of ‘ content value chain’ en model dat laat zien hoe via de keten de ‘waarde’ van informatie in organisaties wordt gebruikt en vermeerderd. ‘ De waardeketen bevat alle activiteiten die worden verricht aan of met content’ (Bussel, 2009). De volgende activiteiten zijn in de informatiewaardeketen opgenomen: creatie, vastlegging opslag, bewerking, structurering, publicatie, gebruik, behoud, toegankelijkheid, distributie, waardering, vernietiging, beveiliging en toetsing van betrouwbare informatie De informatiehuishouding heeft twee functies: - de informatiefunctie: medewerkers hebben op het juiste moment, de juiste informatie nodig om de (primaire) bedrijfsprocessen goed te laten verlopen - de verantwoordingsfunctie: informatie die benodigd is om de bewijs- en rechtspositie van een organisatie te waarborgen en het (langdurig) realiseren van democratische, juridische en maatschappelijke verantwoording (Bussel, 2009). Deze verantwoordingsfunctie is een wezenlijk onderdeel van ‘ good governance’ , goed bestuur. Een definitie van governance is:’ het waarborgen van de onderlinge samenhang in de wijze van sturen beheersen en toezichthouden van een (overheids)organisatie, gericht op een efficiënte en effectieve realisatie van beleidsdoelstellingen, alsmede het daarover op een open wijze communiceren en verantwoording afleggen ten behoeve van belanghebbenden.’ (Governance, z.j.). Good governance bevat dus adequate sturing,
8
beheersing, verantwoording en toezicht (RODIN, 2012). De kwaliteit van de informatievoorziening is hiervoor van cruciaal belang.
2.3 De kwaliteit van de informatievoorziening binnen een organisatie Een algemene definitie van kwaliteit is volgens het INK-model geformuleerd als: “Het leveren van diensten waarbij tevredenheid van klant, maatschappij, medewerkers en bestuur met elkaar in balans zijn.” (Riepma, 2011). Bij onderzoeken van de kwaliteit van informatie kan gekeken worden naar een spectrum van verschillende aspecten aan de orde komen die de kwaliteit van informatie bepaald. Binnen dit kwaliteitsspectrum zijn twee hoofdcategorieën te onderscheiden : effectiviteit of doeltreffendheid (dit is de mate waarin doelstellingen zijn gerealiseerd) en efficiëntie of doelmatigheid (dit is de mate waarin de doelstellingen worden gerealiseerd tegen de laagst mogelijke kosten). De categorie effectiviteit kan nog verder onderverdeeld worden in de aspecten betrouwbaarheid (waaronder vallen: volledigheid, accuratesse en juistheid) en relevantie (waaronder vallen: nauwkeurigheid, tijdigheid en begrijpelijkheid) (Vaassen. et.al. 2012). Kwalitietsmanagement is en discipline die zich bezighoudt met het continue verbeteren van de kwaliteit van processen, mensen en organisatie. De Deming-cirkel of Plan Do Check Act cyclus is een bekend principe om te werken aan kwaliteit binnen een organisatie. De cyclus bestaat uit vier stappen: Plan: plannen maken en doelstellingen formuleren Do: plannen uitvoeren en registreren procesgegevens Check:plannen vergelijken met realisatie en deze bespreken Act: plannen en doelstellingen actualiseren en bijsturen (Passionned Group, 2013).
(Heitink, 2012)
9
Veel modellen werken met de PDCA cyclus, zoals het INK-managementmodel, een kwaliteitsmodel voor integrale kwaliteitszorg. De Bestuursacademie Nederland heeft een speciaal voor gemeenten, waterschappen en provincies uitgewerkte versie van het INK model, het Kwaliteitsmodel voor Overheidsorganisaties. Dit sluit beter aan bij dit soort organisaties.
(Kerhof & Witjes, 2006) In dit model staat het realiseren van maatschappelijke effecten als taak van de overheid centraal. Dit model heeft hiervoor zes organisatiegebieden benoemd: Beleid en strategie, management, medewerkers, financiën, informatie en processen. Deze zes organisatiegebieden moeten resultaten opleveren in vier resultaatgebieden, namelijk: waardering door medewerkers, waardering door doelgroepen, waardering door derden en in de eindresultaten (Dienstverleningsconcept BEL, z.j.). Het leren en verbeteren gaat volgens de PDCA cyclus.
2.4 De informatie audit vragenlijst Een audit betreft een onderzoek naar het functioneren van een bedrijf als geheel of op onderdelen (Audit, 2011). Verder kunnen in verschillende definities nog een aantal aanvullende kenmerken gevonden worden, zoals dat het auditproces een systematisch en onafhankelijk karakter heeft, dat het gedocumenteerd wordt (Audit, 2012), waarbij objectieve en aantoonbare feiten onderzocht worden (Werff, 2010) en waarbij de resultaten afgezet worden tegen een normenkader (KING, 2011) Er bestaan verschillende vormen van audits: zoals een IT-audit (waarbij onderzoek gedaan wordt naar een of meer aspecten van de IT van een organisatie), operational audit (ook wel 10
proces audit genoemd), financial audit (ook wel accountantscontrole genoemd) etc. Zo heb je ook de informatie audit. Ook voor een informatie audit zijn verschillende definities in gebruik. Een Nederlandse definitie, die aansluit bij die van Henczel (2001) is: “een informatie audit is een systematische aanpak om binnen een bedrijf inzicht te verkrijgen in de informatiebehoeftes, de informatie en kennis die aanwezig is, de informatiestromen, informatieoverschotten en –hiaten […] in alle hiërarchische lagen” (Eck Poppe, 2003) Anders gezegd, er wordt onderzocht welke bijdrage de informatievoorziening levert aan de doelstellingen van een organisatie (Heine, 2008). Een informatie audit kan meerdere doelen dienen: - de aanwezige informatie en de informatiebehoefte(n) van een bedrijf in kaart brengen, zodat een bedrijf op basis daarvan beslissingen kan nemen ten aanzien van het informatiebeleid (Eck Poppe, 2003) -het verbeteren van de (kwaliteit van de) bestaande informatievoorziening, waaronder het opheffen van zwakke punten en verbeteren van sterke punten, ROI verbeteren, het vormen van een efficiëntere organisatie, prettiger werken en (meer) tevreden klanten (Heine, 2008). Wanneer een organisatie nog niet eerder een informatie audit heeft gedaan of laten doen, kan een informatie audit dus gebruikt worden als een soort nulmeting waarbij de hele informatiehuishouding en informatiebehoefte(n) in kaart gebracht wordt en op basis daarvan beleid ontwikkeld kan worden of de kwaliteit verbeterd kan worden. Het kan ook onderdeel van het kwaliteitsbeleid zijn waarbij (structureel) een (interne en/of externe) informatie audit uitgevoerd wordt om te kijken waar de organisatie staat en of beleid of uitvoering eventueel aangepast zou moeten worden. Daarnaast kan het ook een wettelijke grondslag hebben. Het kan een hulpmiddel zijn voor verantwoording of een organisatie voldoet aan wet- en regelgeving. Binnen de overheid is het zelfs verplicht om voor bepaalde basisregistraties een audit uit te laten voeren. In deze audit zit ook een informatiecomponent. Omdat er geen eensluidende definitie bestaat wat een informatie audit is, bestaat er ook geen wereldwijd geaccepteerd model voor het proces van een informatie audit. (Henczel, 2001). In elk model bestaat het audit proces uit meerdere stappen. Henczel (2001) beschrijft een model dat bestaat uit zeven fases: Fase 1: Voorbereiding (Planning) Fase 2: Onderzoeken en verzamelen van gegevens (Data Collection) Fase 3: Verwerken en analyseren van resultaten (Data Analysis) Fase 4: Interpretatie van resultaten en formuleren van aanbevelingen (Data Evaluation) Fase 5: Rapporteren en doen van aanbevelingen (Communicating Recommendations) Fase 6: Implementeren van aanbevelingen (Implementing Recommendations) Fase 7: Systematische invoering audit (The Information Audit as a Continuum) (Henczel, 2001).
11
In de fase van onderzoeken en verzamelen van gegevens beschrijft Henczel (2001) verschillende manieren waarop dit kan. In dit soort onderzoek worden o.a. gebruikt: vragenlijst(en), focus groepen, (persoonlijke interviews) . Een vragenlijst kan gebruikt worden voor het verzamelen van kwantitatieve en kwalitatieve gegevens. Zoals Henczel (2001) beschrijft zijn vragenlijsten geschikt voor gegevensverzameling bij grotere groepen mensen, minder arbeidsintensief en op zich plaatsonafhankelijk (ze kunnen elektronisch verstuurd worden). De informatie audit vragenlijsten die ik in dit onderzoek gebruik, kun je in dit licht niet zien als vragenlijsten als zodanig. Ze horen bij de methode van persoonlijke interviews. De hoeveelheid en soort vragen lenen zich niet goed voor een schriftelijke vragenlijst (voldoen bijv. niet zo goed aan de eis van eenvoudig te lezen en te begrijpen (Henczel, 2001), Er is sprake van gestructureerde interviews. Deze vorm komt in de richting van het mondeling afnemen van een vragenlijst met gesloten en open vragen. Dit is een meer kwantitatieve methode dus (Verhoeven, 2011). Persoonlijke interviews zijn geschikt voor het verzamelen van ‘rich data’. Wel is interviewen een tijds- en arbeidsintensieve vorm van onderzoek. (Henczel, 2001). Er bestaan verschillende vragenlijsten op dit gebied. Een aantal die ik gevonden heb, beschrijf ik hieronder kort. Omdat ik mijn praktijkonderzoek bij twee gemeentes uitvoer, heb ik bij de vragenlijsten iets meer gezocht naar vragenlijsten die (ook of met name) bij gemeentes toegepast kunnen worden. - Doe-het-zelf informatie audit (Eck Poppe, 2003). Dit is een vragenlijst die door een organisatie gebruikt kan worden voor het zelf uitvoeren van een informatie-audit om een overzicht te krijgen van informatie die in het bedrijf aanwezig is, de informatie die ontbreekt en een overzicht van de behoefte aan informatie binnen het bedrijf. De vragenlijst bestaat uit 19 meest open vragen verdeeld over 4 categorieën (Algemeen, informatiebehoeften, informatiebronnen, delen van informatie). - Sample Questionnaire: General Information Users (Henczel, 2001) Dit is een voorbeeldvragenlijst die gebruikt kan worden om gegevens te verzamelen van informatiegebruikers. Henczel geeft aan dat de vragenlijst bedoeld is voor schriftelijk gebruik (dus medewerkers worden geacht de vragenlijst zelf in te vullen) en bestaat uit 6 vragen (met subonderdelen). Het betreft open vragen, waarbij gevraagd wordt naar taken, (gebruik en waarding van) informatiebronnen, informatiebehoefte en welke informatie beschikbaar gesteld wordt voor anderen. -VNG-model tien kritische prestatie indicatoren gemeentelijke archiefketen (VNG, 2012) Strikt genomen is dit raamwerk een bestuurlijk verantwoordingsinstrument en geen kwaliteitsinstrument. Het is bedoeld om in kaart te brengen of een gemeente voldoet aan de archiefwetgeving. Het is geen instrument gericht op het bewaken en de verbetering van de kwaliteit van de uitvoering. Het instrument kan gebruikt worden in kader van de verplichte 12
horizontale verantwoording die gemeentes moeten afleggen aan de toezichthouders als gevolg van de Wet revitalisering generiek toezicht. Dit model bestaat uit 10 hoofdvragen met onder elke hoofdvraag 3 tot 7 subvragen en een uitgebreide toelichting van het model en de individuele subvragen (VNG, 2012). - RODIN (Referentiekader opbouw digitaal informatiebeheer (Lopai & Wga, 2010) Het referentiekader is een begrijpelijke samenvatting van alle relevante weten regelgeving, normen en standaards. Het is bruikbaar als handvat voor de inrichting, het gebruik en de beoordeling van de digitale beheeromgeving. Het kan gebruikt worden door informatiemanagers, adviseurs DIV en interne auditors in overheidsorganisaties die onder de Archiefwet vallen, maar ook door archiefinspecteurs en externe auditors. (RODIN, 2012) Volgens de inleiding op het referentiekader kunnen ook niet-overheidsorganisaties er gebruik van maken, als zij hun digitale informatie duurzaam toegankelijk willen beheren. Het is in 2010 opgesteld door de organisaties van provinciale en gemeentelijke archiefinspecteurs. Het betreft het geheel van organisatie, beleid, processen en procedures, financieel beheer, personeel, databeheer, databeveiliging en aanwezige hard- en software, dat het duurzaam beheer van digitale archiefbescheiden mogelijk maakt” (RODIN, 2012). RODIN bevat 30 stellingen, (waarvan 1 met 4 subvragen en 1 met 7 subvragen) verdeeld over 3 subcategorieën: Beleid en organisatie, Informatiebeheer en ICT-beheer en beveiliging. - Procedure Informatie Audit (Van Bussel Document Services, 2007) Deze vragenlijst is ontwikkeld door Van Bussel Document Services en wordt gebruikt bij informatie audits. Hij bestaat uit 102 items verdeeld over 5 categorieën: Ask, check, interview, audit en report en bevat inhoudelijke vragen, maar geeft ook duidelijkheid over de te volgen procedures: wat moet je in welke fase doen, wie moet je interviewen etc. De RODIN vragenlijst is mede op deze vragenlijst gebaseerd. - zelfevaluatie informatiehuishouding (Gemeentearchief gemeente Rotterdam, z.j.) KING heeft in navolging van de Baseline Informatiehuishouding Rijksoverheid nu een Baseline Informatiehuishouding Gemeenten ontwikkeld, in opdracht van de VNG (VNG, 2012a). Dit is een handvat voor gemeenten om de informatiehuishouding in te richten en informatierisico’s te beheersen. Deze richtlijn verbindt het informatiebeheer inclusief archivering met de doelstellingen en de werkwijze van een moderne, elektronische gemeente. De Baseline biedt een overzicht van normen en praktische instrumenten en maatregelen om de normen te halen. Het doel is om de toegankelijkheid en betrouwbaarheid van de informatie van de gemeente te bevorderen. Risicomanagement en kwaliteitsbeleid vormen belangrijke uitgangspunten. De Baseline kan (o.a.) gebruikt worden als toetsingskader voor de gemeentelijke auditdiensten. Om de Baseline praktisch toepasbaar te maken heeft de gemeente Rotterdam op basis van deze Baseline een zelfevaluatie informatiehuishouding ontwikkeld.. 13
Bij elke vraag wordt in percentage antwoord gegeven in welke mate de organisatie voldoet aan het gestelde. Het programma is zo ingericht dat het een totaalscore berekent en vergelijkt met de normen die gesteld zijn in de Baseline Informatiehuishouding Gemeenten. Verantwoording keuze informatie audit vragenlijst Als informatie audit vragenlijst heb ik gekozen voor de RODIN (Referentiekader Opbouw Digitaal Informatiebeheer)-vragenlijst. De redenen hiervoor zijn de volgende: het is een kwaliteitsinstrument, wat nodig is voor een informatie audit (in tegenstelling tot bijvoorbeeld het VNG-model van de tien kritische prestatie indicatoren gemeentelijke archiefketen, wat een verantwoordingsinstrument is). De vragenlijst is een breed geheel, hij gaat in op verschillende onderdelen en niveaus, zoals organisatie, beleid, processen en procedures, financiële aspecten en ICT en beveiligingsaspecten. Verder is RODIN een algemeen geaccepteerd instrument. Hij wordt door de archiefinspectie gebruikt als auditinstrument voor de beoordeling van het archief- en informatiebeheer (inmiddels is de toezichtfunctie van de archiefinspectie gewijzigd door de Wet revitalisering generiek toezicht). Deze vragenlijst is weliswaar gericht op gebruik binnen de overheid, maar, zoals de inleiding op dit instrument al aangeeft: “Ook niet overheidsorganisaties, die hun digitale informatie duurzaam toegankelijk willen beheren, kunnen er gebruik van maken” (Lopai & Wga, 2010). Dit maakt dat de resultaten van mijn onderzoek mogelijk ook breder toegepast kunnen worden en/of beter vergeleken kunnen worden met resultaten in andere organisaties. Doordat de hele vragenlijst gericht is op het digitale aspect van informatiebeheer is dit instrument heel geschikt om te vergelijken met een forensic readiness checklist. Deze laatste is namelijk ontwikkeld vanuit het werkveld van E-Discovery, ‘electronic’-discovery, wat zich dus ook richt op de digitale kant van informatiebeheer.
2.5 De forensic readiness checklist Het begrip forensic readiness Het begrip forensic readiness komt uit het vakgebied van E-Discovery. In zijn lectorale rede beschrijft Hans Henseler (2010) dat het er bij E-Discovery om gaat dat informatie op forensisch verantwoorde wijze wordt veiliggesteld én slim verwerkt wordt.”Digitale sporen moeten kunnen worden getraceerd en geanalyseerd, en moeten worden bewaard en gepresenteerd op een manier die enerzijds praktisch haalbaar is en anderzijds tegemoetkomt aan wat de wet bij sporen voorschrijft om als wettelijk bewijsmateriaal te dienen.”(Henseler, 2010). In het vakgebied van E-Discovery is hiervoor een model ontwikkeld: het Electronic Discovery Reference Model (EDRM). Dit model is in 2005 in de Verenigde Staten ontwikkeld door George Socha en Tom Gelbmann en bevat zes verschillende fases om op een methodische wijze relevante informatie naar boven te halen en te gebruiken bij een onderzoek.
14
(EDRM, z.j.) Voor dit onderzoek is met name de eerste fase: information management van belang. De fase van information management gaat over het op orde hebben van de (digitale) informatiehuishouding van de organisatie, door middel van het managen van alle (digitale) informatiebronnen van een organisatie. Dit gedurende de hele informatie levenscyclus, vanaf het ontstaan en gebruik tot het archiveren en vernietigen van de informatie. Deze eerste fase is als het ware een voortdurend proces. Fase twee start pas, wanneer de organisatie betrokken is bij een incident. Vanaf dat moment treden de volgende fasen van het proces in werking en is het van belang om de potentiële informatiebronnen te identificeren (fase 2), veilig te stellen en te verzamelen (fase 3). Waarna de verzamelde informatie wordt verwerkt, bekeken en geanalyseerd (fase 4), waarna de resultaten kunnen worden opgeleverd (fase 5) en gepresenteerd (fase 6). Omdat dit verder voor dit onderzoek niet van belang is, zal ik hier niet verder op ingaan. Wanneer de eerste fase van information management op orde is, dan kan het proces in de hierboven genoemde vervolgfasen efficiënter en effectiever doorlopen worden. Het begrip ‘forensic readiness’, waarbij het gaat om “het preventief verzamelen van tegenbewijs en het klaar zijn voor forensische onderzoeken”(Henseler, 2010) moeten we dan ook in deze eerste fase plaatsen. Voor forensic readiness bestaan meerdere definities. In het artikel van Taylor et.al (2007) wordt de volgende definitie gehanteerd: “the ability of a system to efficiently capture and use digital evidence”, waarbij je ‘system’ zowel in engere zin kunt lezen als een (informatie)systeem, als in ruimere zin, het hele stelsel van informatiebronnen die zich in een organisatie bevindt. In een ander artikel beschrijft Vrouwenvelder (2009) dat forensic readiness de vraag beantwoord “of uw organisatie over voldoende en juiste gegevens 15
beschikt om een onderzoek naar een onverhoopte fraude of integriteitschending uit te voeren. Hierbij wil ik nog opmerken dat de begrippen ‘forensic readiness’, ‘e-discovery readiness’ en ‘litigation readiness’ vaak door elkaar gebruikt worden. Het onderscheid tussen forensic en e-discovery is dat strikt genomen het begrip ‘forensic’ slaat op een justitiële context (forensisch onderzoek vindt plaats in een strafrechtelijke procedure) en ‘d-discovery’ slaat op een meer algemene context (waarbij e-discovery onderzoek slaat op het zoeken naar digitale sporen. Dit hoeft niet tot een strafzaak te leiden, maar kan ook in het kader van een privaatrechtelijke procedure of publiekrechtelijke procedure of vanwege andere redenen uitgevoerd worden). De term ‘ litigation readiness’ komt uit de Verenigde Staten en gaat over het klaar (ready) zijn voor ‘a legal proceeding in a cour (a judicial contest to determine and enforce legal rights)’ (Litigation, z.j.). Dit onderscheid maakt voor de te volgen stappen bij het forensisch of e-discovery onderzoek in principe niet uit, maar het resultaat van het onderzoek wordt in een andere context gebruikt. Er wordt in veel publicaties ook geen onderscheid gemaakt tussen de verschillende begrippen en ze worden door elkaar gebruikt. Omdat e-discovery readiness een meer correct begrip is in deze context dan forensic readiness zal ik dit in het vervolg gebruiken. In het artikel van Taylor et. al. (2007), wordt beschreven dat een van de eerste auteurs die schreef over forensic readiness, Tan (2001) twee redenen beschreef waarom forensic readiness voor een systeem van belang is: 1) het minimaliseren van de kosten voor het reageren op een incident en 2)het vermogen van een omgeving om digitaal bewijs te verzamelen te maximaliseren (Taylor et. al., 2007) In het artikel van Vrouwenvelder (2009) wordt een stappenplan beschreven dat een organisatie kan volgen om ‘forensic ready’ te worden: 1.Het vaststellen van de processen waarin gegevens worden gegenereerd die noodzakelijk zijn in het geval van onderzoek […], de fraudegevoelige bedrijfsprocessen […] 2.Het bepalen van de gegevensbronnen van potentieel bewijsmateriaal 3.Het bepalen van de wijze waarop het potentiële bewijsmateriaal wordt vastgelegd en gearchiveerd. Hierbij spelen kosten-batenoverwegingen een rol […] 4. Het implementeren van beleid om potentieel bewijsmateriaal veilig op te slaan en te gebruiken […] 5. Het proactief detecteren van mogelijke integriteitschendingen […] 6. Het opstellen van een procedure waarin criteria zijn opgenomen om te bepalen wanneer een formeel onderzoek wordt ingesteld waarbij gebruik wordt gemaakt van digitaal bewijsmateriaal […] 7.Het creëren en verhogen van bewustzijn bij de medewerkers om te voorkomen dat onzorgvuldig wordt omgegaan met digitaal bewijsmateriaal […]
16
Bij een onderzoek naar forensic readiness van een organisatie zal gekeken worden naar in hoeverre deze stappen zijn doorlopen en succesvol zijn afgerond. Het is dus belangrijk te weten waar zich welke informatie in de organisatie zich bevind en hoe de informatie effectief verzameld kan worden. Ter voorbereiding en ter verkleining van de risico’s kan een e-discovery readiness checklist gebruikt worden. De forensic readiness checklist Er bestaan meerdere soorten checklists. In sommige gevallen wordt een checklist gebruikt voor het proces van een audit of onderzoek. In dat geval zijn er in de checklist de verschillende fases van het onderzoek opgenomen en de stappen die in elke fase uitgevoerd moeten worden. In andere gevallen wordt een checklist meer als inhoudelijke vragenlijst gebruikt. Hierin zijn dan vragen opgenomen die beantwoord moeten worden door middel van je onderzoek. Deze laatste beschrijving is ook van toepassing op de forensic readiness checklists die ik in het kader van dit onderzoek gezocht en gevonden heb. Hieronder beschrijf ik er een aantal: - Checklist e-discovery readiness (Kuyper, 2012) Deze Nederlandstalige checklist is ontwikkeld door het lectoraat E-Discovery op basis van literatuur en interviews met studenten, docenten en professionals. De checklist bevat 75 vragen in 9 categorieën: Algemene vragen betreft de organisatie, informatie audits –beleid en –systemen, historiciteit van documenten (de integriteit, de authenticiteit, de controleerbaarheid), vindbaarheid van documenten, compliance, bewaren en vernietigen, formaat, back-up en archivering. De vragen zijn gesloten vragen, met voor het grootste deel vier antwoordmogelijkheden (ja / nee / weet niet / n.v.t.) (Kuyper, 2012). -E-discovery readiness checklist (voor bedrijven) (Kuyper, z.j.) Deze Nederlandstalige checklist is ontwikkeld door het lectoraat E-Discovery op basis van een eigen checklist van het lectoraat, een checklist van het EDRM en een checklist informatiebeveiliging. De checklist bevat vragen grotendeels gesloten vragen verdeeld over zeven categorieën: Algemeen, algemene bedrijfsvragen, informatie management, e-mail en servers, archivering en wet- en regelgeving (Kuyper, z.j.). - Checklist E-Discovery Readiness (Reducing risks before discovery) (Deloitte, 2010) Deze Engelstalige checklist is ontwikkeld door Deloitte. Het is een checklist die organisaties zelf kunnen gebruiken om een eerste indruk te krijgen van hoe ze ervoor staan. Er zijn een aantal items opgenomen die horen bij de eerste fases van het EDRM-model. In de checklist richten ze zich op de fase van Information Management, Identification en Preservation en Collection, waarbij bij elke fase ongeveer zes items genoemd worden die afgevinkt kunnen worden als die aanwezig / op orde zijn (Deloitte, 2010).
17
- Checklist van het EDRM (EDRM, 2011) Op de site van het EDRM-model is ook een Engelstalige vragenlijst te vinden. Dit is een checklist die voornamelijk vragen heeft om fraude te kunnen opsporen. De checklist bestaat grotendeels uit open vragen voor interviews op drie gebieden: Recordsmanagement, informatiebeheerders (hier zitten ook wat juridische vragen bij) en IT (EDRM, 2011). -eDiscovery Readiness Assessment (Zurich Healthcare eDiscovery Resource Center, z.j.) Deze Engelstalige checklist is ontwikkeld door het Zurich Healthcare eDiscovery Resource Center. De vragenlijst is ontwikkeld voor organisaties in de gezondheidszorg om hen te helpen een beter beeld te krijgen van de mate waarin ze voorbereid zijn op een eDiscovery proces. Maar de vragenlijst zou ook in andere vakgebieden gebruikt kunnen worden, want hij bevat geen specifieke vragen over het vakgebied van de gezondheidszorg. Het is een vragenlijst die gebaseerd is op het EDRM model en bestaat uit ongeveer 150 ja / nee vragen, verdeeld over de verschillende fases van het EDRM-model en een deel met algemene vragen aan het begin (Zurich Healthcare eDiscovery Resource Center, z.j.). Veel bedrijven bieden forensic readiness onderzoeken aan en maken daarbij ook gebruik van eigen checklisten. Deze zijn echter niet openbaar. Wanneer je de situatie in Nederland vergelijkt met die in de Verenigde Staten dan zie je dat e-discovery in Nederland nog tamelijk onbekend is. Natuurlijk vinden er wel incidenten plaats en worden naar aanleiding daarvan ook e-disocvery onderzoeken gedaan, maar (mede doordat de juridische procedures in Nederland heel erg verschillen van die in de VS) men is veel minder gericht om preventieve voorbereiding op eventuele incidenten. In Nederland wordt de nadruk binnen e-discovery veel meer gelegd op de technische kenmerken i.p.v. de juridische kenmerken. Voorbereiding in Nederland zit voor op zaken als het preventief inrichten van informatie- en recordsmanagement, wat je ook terugvind in de checklists. In de VS worden de procedures uitgevoerd op basis van (gedwongen) juridische stappen tot het verschaffen van informatie en documenten. In de VS wordt het EDRM algemeen erkend als de ‘standaard’ waarmee e-discovery activiteiten worden gestructureerd en Engelstalige checklists zijn dan ook vaak daarop geënt (Kuyper, z.j.). Het grootste verschil tussen de checklist van het EDRM en de Nederlandse checklists is dat het EDRM voornamelijk vragen heeft om fraude te kunnen opsporen, terwijl de Nederlande checklists vooral gericht zijn op de organisatie van het informatiemanagement en hoe men de documenten het beste kan organiseren zodat men voorbereid is voor als er ooit eens een fraudezaak zou plaatsvinden (Kuyper, z.j. a). Verantwoording keuze forensic readiness checklist Als forensic readiness checklist, heb ik gekozen voor de Checklist e-discovery readiness die ontwikkeld is door het lectoraat e-discovery. Gezien de beperkte tijd die beschikbaar is voor dit onderzoek en het risico op fouten als ik een Engelstalige vragenlijst zou vertalen, heb ik 18
gekozen voor een Nederlandse vragenlijst. Om zo volledig mogelijk te zijn, wilde ik gebruik maken van een volledige (en geen verkorte) vragenlijst. Dan stonden mij twee vragenlijsten ter beschikking: de checklist e-discovery readiness en de E-discovery readiness checklist beiden ontwikkeld door het lecotraat E-discovery. Deze laatste is meer gericht op (Nederlandse) bedrijven. Bovendien is hier veel meer in verwerkt van de (Amerikaanse) EDRM checklist, die meer gericht is op het opsporen van fraude. De checklist e-discovery readiness is meer gericht op de organisatie van het informatie-management en dus beter vergelijkbaar qua onderwerp met een informatie audit vragenlijst.
2.6 De verschillen tussen beide instrumenten Eerst heb ik een paar algemene verschillen op een rijtje gezet: Rodin
Forensic readiness checklist
Bevat 30 stellingen, (waarvan 1 met 4
Bevat 75 vragen in 9 subcategorieën
subvragen en 1 met 7 subvragen) verdeeld over 3 subcategorieën Stellingen hebben (vrijwel) allemaal
Vragen hebben slechts ten dele betrekking
betrekking op eisen vanuit wet- en
op eisen vanuit wet- en regelgeving en/of
regelgeving en/of NEN/ISO normering
NEN/ISO normering
Bevat een korte inleiding met o.a.
Bevat geen toegevoegde informatie over de
vermelding van doel, toepassingsgebied,
vragenlijst
opzet, verantwoording, definities, bronnen en totstandkoming De context waarin deze vragenlijst
De context waarin deze checklist toegepast
toegepast kan worden en hoe deze
kan worden en hoe deze toegepast kan
toegepast kan worden, wordt kort uitgelegd.
worden, wordt niet uitgelegd.
Stellingen t.a.v. het informatiebeheer zijn
Vragen gaan zowel over
gericht op archiefbeheer ((systeem voor
archiefdocumenten, als over
digitale) archiefstukken,
informatie/gegevens en bijbehorende
archiefbestanddelen).
systemen.
Resultaten van de vergelijking op vraagniveau: Voor de vergelijking op vraagniveau (en ook voor de interviews voor het praktijkonderzoek) heb ik de stellingen van de Rodin vragenlijst omgezet in vraagvorm. Voor de leesbaarheid heb ik hieronder alleen (per vragenlijst) de vragen opgenomen en van commentaar voorzien die géén duidelijke overeenkomst hebben met een van de vragen in de andere vragenlijst. Er zijn ook een aantal vragen die ten dele overeenkomen met de andere lijst. Sommige daarvan heb ik ook opgenomen, namelijk wanneer zich daarbij 19
opmerkelijke verschillen voordoen. Voor een gedetailleerd overzicht van de beoordeling en de verschillen, verwijs ik naar bijlage 1 Rodin: 1.6 Is de digitale beheeromgeving opgenomen in de meerjarenbegroting van de organisatie, waarbij voldoende middelen beschikbaar worden gesteld om de continuïteit ervan te waarborgen? 1.7 Beschikt de organisatie over voldoende medewerkers, met voldoende kennis en competenties, om al haar taken en verantwoordelijkheden op het gebied van de digitale beheeromgeving te kunnen uitvoeren? Dit is op zich vrij logisch dat deze 2 vragen wel voorkomen in de Rodin vragenlijst en niet in de checklist e-discovery readiness. Vanuit het vakgebied van informatie auditering wordt naar informatie gekeken als productiefactor en naar hoe d.m.v. informatie de bedrijfsprocessen efficiënter kunnen verlopen. Het is logisch dat er naast de ‘baten’ die een efficiënte en effectieve informatiehuishouding oplevert, ook gekeken wordt naar de ‘kosten’ daarvan. Bovendien is de Rodin vragenlijst gebaseerd op wet- en regelgeving voldoende middelen en mensen zijn nodig om het informatiebeheer volgens de eisen van wet- en regelgeving uit te voeren. 2.3 Kan het systeem in het classificatieschema veranderingen aanbrengen en bij deze wijzigingen de consistentie binnen het schema alsmede tussen het schema en de archiefbestanddelen waarborgden? In de checklist e-discovery readiness worden geen vragen gesteld over de wijze van ordening (classificatieschema/ordeningstructuur) en ook niet over der consistentie binnen deze ordening. Op zich maakt de wijze van ordening niet heel veel uit voor e-discovery readiness, als maar duidelijk is hoe deze ordening eruit ziet. 2.5 Worden metadata op gestandaardiseerde wijze toegekend,bijvoorbeeld met behulp van standaard woordenlijsten? 2.8 Kan de koppeling tussen een digitaal archiefbestanddeel (op elk aggregatieniveau) en de daarbij behorende metadata tot het moment van verwijdering worden gereconstrueerd? Dit lijkt me ook voor e-discovery readiness van belang, omdat metadata relevante informatie over een document kunnen geven en deels ook in een context kunnen plaatsen, maar dan moet je wel duidelijkheid en zekerheid hebben dat de metadata aan dat document of archiefbestanddeel gekoppeld is. 2.11 Kunnen door middel van een zoekopdracht alle digitale archiefstukken en hun metadata op elk aggregatieniveau worden getoond, met inachtneming van autorisaties? Dit is voor de betekenis van het gebruik van informatie in je organisatie heel relevant. Als je informatie niet kunt zoeken en vinden, is deze niet meer makkelijk toegankelijk en beschikbaar voor je bedrijfsprocessen. Of het voor e-discovery readiness van belang is, 20
hangt erg af van of ze het systeem van het digitale archief nodig hebben / gebruiken om informatie te vinden. 2.13 Wordt ter waarborging van de samenhang en volledigheid een waarschuwing gegeven wanneer er een link of verwijzing bestaat tussen verschillende digitale archiefbestanddelen op alle aggregatieniveaus, waarvan een onderdeel op het punt staat te worden vernietigd, overgedragen of geëxporteerd en het andere niet? Informatie krijgt pas waarde binnen een context. Die context kan liggen in de samenhang met andere documenten. Deze context is zowel van belang voor de informatie die nodig is binnen je bedrijfsprocessen, maar zeker ook bij informatie die gebruikt wordt als bewijsmateriaal of voor het afleggen van verantwoording. 3.1 Doet de organisatie aan een systematische risicoanalyse voor factoren als data, systemen, personeel, fysieke locatie en beveiligingseisen? Onderzoek naar e-discovery readiness zou heel goed een onderdeel kunnen zijn van risicoanalyse. Opvallend is dat deze vraag in de Rodin vragenlijst onder het kopje ICT staat. De vraag is dan hoe risicoanalyse voor de factor ‘personeel’ gezien wordt: alleen als in hoe personeel met ICT omgaat of dient ook breder te worden gekeken (bijv. in de context van bedrijfscultuur)? 3.2 Hanteert de organisatie een beveiligingsplan m.b.t. informatiebeveiliging gebaseerd op de Code voor Informatiebeveiliging of vergelijkbare richtlijn? Deze vraag komt alleen heel indirect terug in de checklist e-discovery readiness, omdat daar wel gevraagd wordt naar of de organisatie volgens de wet geldende richtlijnen werkt en of ISO-normen bekend zijn binnen de organisatie (vraag 5.2 en 5.3) en de Code voor Informatiebeveiliging is een ISO-norm. Daarnaast word er gevraagd of er regelmatig een beveiligingsaudit uitgevoerd wordt. Het hebben van een beveiligingsplan is een onderdeel wat daarin terugkomt. 3.6 Worden back-ups en herstelplannen periodiek gecontroleerd op juiste werking? In de checklist e-discovery wordt wel gevraagd of er een back-up aanwezig is. Maar een back-up is alleen maar zinvol als je ook weet dat die werkt. Een werkende back-up is het meest relevant voor je bedrijfsvoering. Als er een incident plaatsvindt, moet je een werkende back-up hebben om weer aan de slag te kunnen. Voor e-discovery kan een back-up van belang zijn om relevante informatie te vinden of te onderzoeken waardoor het incident plaats heeft kunnen vinden. Ook dat heeft alleen maar zin als je back-up werkt. 3.7 Heeft de organisatie de taken en verantwoordelijkheden voor functioneel beheer, applicatiebeheer en technisch beheer belegd en ingericht voor de digitale beheeromgeving op basis van gangbare beheerstandaarden?
21
3.8 Stelt de organisatie in een Service Level Agreement (SLA) eisen aan de interne of externe ICT dienstverlener ten aanzien van beveiliging en beheerprestaties? Dit kan voor e-discovery readiness van belang zijn als het gaat om de identificatie van mogelijke bronnen met informatie en verantwoording bij incidenten. 3.9 De organisatie heeft een adequate serverruimte met onder meer klimaatbeheersing, alarm en brandmeldvoorziening, toegangscontrole, ordelijke bekabeling en noodstroomvoorziening (UPS). Dit moet op orde zijn voor de dagelijkse bedrijfsvoering en bij een overheidsorganisatie als een gemeente met zoveel unieke en privacygevoelige informatie is dat nog extra van belang. Het is niet direct van invloed op de e-discovery readiness. Checklist E-discovery readiness 1.1 Wat is de naam van uw organisatie? 1.2 Hoeveel medewerkers telt uw organisatie? 1.3 Wat is uw organisatietype? 1.4 Heeft de organisatie een duidelijk beschreven missie vastgelegd? 1.5 Heeft de organisatie een duidelijk beschreven visie vastgelegd? 1.6 Heeft de organisatie een duidelijk beschreven strategie vastgelegd? Dit zijn organisatiekenmerken die bij een gemeente al tamelijk vastliggen. Het is duidelijk wat de functie en doel van een gemeente is. Omdat de Rodin vragenlijst in eerste instantie voor gemeentes ontwikkeld is, is het logisch dat deze vragen daar niet meer in terugkomen. De checklist e-discovery readiness is een algemenere vragenlijst, niet specifiek gericht op gemeentes / overheid, waardoor het wel logisch is dat gevraagd wordt naar de missie, visie en strategie. 2.7 Is/ zijn er managementinformatie systemen binnen de organisatie? Onduidelijk is waarom juist naar dit systeem gevraagd wordt in de checklist e-discovery. Als het van belang is, dan eerder voor het sturen van bedrijfsprocessen dan e-discovery readiness. 2.8 Wordt er gebruik gemaakt van een Storage Area Network (SAN)? Dit heeft te maken met de wijze van beheer van de data-opslag. Dit is een hele praktische oplossing 2.9 Is er binnen uw organisatie een alles omvattend ERP systeem/ programma? (Enterprise resource planning). 3.3.3
Wordt er binnen uw bedrijf onderscheid gemaakt tussen ‘informatie’ (gegevens) en
‘records’ (archiefdocumenten)? *in hoeverre is het van belang te weten of er onderscheid wordt gemaakt tussen informatie (gegevens) en records (archiefdocumenten) (3.3.3)? 22
4.2 Zijn de gegevens (fysiek) toegankelijk en aan te spreken? 4.3 Zijn de gegevens (fysiek) benaderbaar en aan te spreken? 6.17Is alle data opgeslagen op 1 centraal punt? (bijvoorbeeld: datawarehouse) 9.1 Is er een centraal en gecontroleerd archief of archiefafdeling? 9.2 Wordt er gebruik gemaakt van papieren archivering? 9.3 Wordt er gebruikt gemaakt van digitale archivering? Dit heeft allemaal betrekking op waar de gegevens zich bevinden. Omdat de Rodin vragenlijst alleen betrekking heeft op het digitale informatiebeheer, is het logisch dat er verder geen vragen inzitten over papieren archivering. Kanttekeningen bij de vragen die deels verschillen In beide vragenlijsten zitten vragen over metadata. In de Rodin vragenlijst worden twee aspecten benoemd die in de metadata vastgelegd moeten worden, die in de checklist ediscovery niet direct terugkomen. Het gaat om het vastleggen van de actuele en oorspronkelijke technische aard (hard- en softwareomgeving) (Rodin 2.4e) en het van de wijze van versleuteling en de decryptiesleutel (Rodin 24g). Dit komt in de checklist ediscovery niet terug t.a.v. de metadata, alleen heel indirect of informatie (over 10 jaar) nog leesbaar is en gebruikt kan worden. Weten wat de technische aard is (dus welke hard/software nodig is om het te lezen) en hoe je de versleutelde informatie moet ontsleutelen is daarbij wel voorwaardelijk. -6.4 Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat bewaartermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten? 6.5 Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving voor vernietigingstermijnen? 6.6 Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat vernietigingstermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten? Deze vragen zitten in de checklist e-discovery en zijn voor veel organisaties waarschijnlijk heel relevant. Voor een gemeentelijke organisatie zijn bewaar- en vernietigingstermijnen en procedures wettelijk vastgelegd. Deze vragen zijn op zo’n basaal niveau dat het ontzettend vreemd zou zijn als een gemeente hier niet bekend mee is. Onduidelijk is of de selectielijsten voor vernietiging als voldoende bewijs / verantwoording dienen in de zin van vraag 6.6 en wat als bewijs kan dienen voor het juist hanteren van de bewaartermijnen conform vraag 6.4. 3.4 Beschikt de organisatie over een passende back-upstrategie, calamiteiten- en herstelplan? In de checklist forensic readiness worden wel vragen gesteld over back-ups, maar calamiteiten- en herstelplannen komen niet aan de orde. Toch kan het heel relevant zijn hoe 23
deze plannen vormgegeven zijn, voor de mogelijkheden die je hebt om op zoek te gaan naar digitale sporen / informatie, in het geval van een incident.
24
3
Praktijkonderzoek
Voordat ik het praktijkonderzoek bij beide gemeentes kon uitvoeren, heb ik eerst onderzocht wat voor soort organisatie een gemeente is.
3.1 De gemeente als organisatie Een gemeente is de kleinste zelfstandige bestuurseenheid in het Nederlands staatsbestel (van groot naar klein: Rijksoverheid, provincie, gemeente). Sinds 1 januari 2013 bestaat Nederland uit 408 gemeenten. Wettelijk ligt vast dat in alle Nederlandse gemeenten een aantal landelijke regels op dezelfde manier wordt toegepast. Ambtenaren, gemeenteraadsleden, wethouders en burgemeester dragen samen de verantwoordelijkheid voor het goed laten verlopen van de zaken binnen de gemeente op het gebied van stadsontwikkeling, verkeer en vervoer, milieu, onderwijs, welzijn en sociale zaken en belastingheffing en in toenemende mate gezondheidszorg, cultuur, sport en recreatie. De (rijks)overheid hevelt steeds meer taken over naar de gemeente (decentralisatie). Organisatie van een gemeente. De bestuurlijke organisatie van de gemeente en haar taken en bevoegdheden zijn vastgelegd in de gemeentewet. Hieronder een afbeelding waarin te zien is, uit welke onderdelen een gemeente bestaat en hoe die verschillende onderdelen zich tot elkaar verhouden (Figuur Gemeentebestuur, 2006).
25
Binnen een gemeente wordt er onderscheid gemaakt tussen ambtenaren en bestuurders. Het is de taak van ambtenaren om besluiten voor te bereiden en uit te voeren. Het bestuur van een gemeente bestaat uit de gemeenteraad en het college van burgemeester en wethouders. In de Grondwet staat vastgelegd dat de gemeenteraad het hoogste orgaan binnen een gemeente is. De gemeenteraad bestaat uit gemeenteraadsleden die eens in de vier jaar gekozen worden bij gemeenteraadsverkiezingen. De hoofdtaken van een gemeenteraad zijn het vaststellen van de hoofdlijnen van het beleid en het toezien op de uitvoering daarvan. Beslissingen worden genomen bij meerderheid van stemmen. Het college van burgemeester en wethouders (B&W) vormt het dagelijks bestuur van de gemeente. De burgemeester wordt benoemd door de Kroon (bij Koninklijk Besluit op voordracht van de minister van Binnenlandse Zaken en Koninkrijksrelaties) en de wethouders worden door de gemeenteraad benoemd. Het college zorgt voor het uitvoeren 26
van landelijke regelingen (bijvoorbeeld de Wet maatschappelijke ondersteuning en de Wet werk en bijstand) en is daarnaast de eerst verantwoordelijke instantie voor de financiën van de gemeente en het personeelsbeleid van de gemeentelijke organisatie. Het college moet over het gevoerde beleid verantwoording afleggen aan de gemeenteraad en kan ook ter verantwoording worden geroepen worden door de gemeenteraad. De gemeenteraad kan er bij het college op aandringen een ander besluit te nemen als ze het er niet mee eens is, maar kan een eenmaal genomen collegebesluit niet herroepen. De burgemeester is voorzitter van de gemeenteraad en voorzitter van het college van B&W. De burgemeester heeft een wettelijke verantwoordelijkheid voor de handhaving van de openbare orde en veiligheid in de gemeente en houdt zich vaak bezig met de communicatie van de gemeente (Overheid.nl, z.j.).
3.2 Beschrijving en verantwoording gekozen onderzoeksmethode Methode van onderzoek Voor het eerste deel van het praktijkonderzoek heb ik gekozen om de vragenlijsten af te nemen bij twee gemeentes en de resultaten daarvan met elkaar te vergelijken. Ik heb gekozen voor twee gemeentelijke organisaties, omdat ik zelf bij meerdere gemeentes heb gewerkt en zodoende bekend ben met de structuur van een gemeentelijke organisatie en haar informatiehuishouding. Bij de gemeente X en de gemeente Y had ik een ingang, omdat ik iemand ken die daar werkt. Bovendien bleken beide gemeentes geïnteresseerd te zijn in een onderzoek naar de staat van hun informatievoorziening en wilden ze meewerken aan mijn afstudeeronderzoek. Interviews Ik heb de gekozen instrumenten toegepast bij beide gemeenten door middel van kwalitatief onderzoek in de vorm van interviews. Aan beide vragenlijsten zitten verschillende aspecten: primaire informatieaspecten, ICTaspecten, juridische aspecten, controletechnische aspecten. Daarnaast kun je onderscheid maken tussen onderdelen die vooral op uitvoerend niveau van toepassing zijn en onderdelen die meer op beleidsmatig/management niveau spelen. Daarom heb ik ervoor gekozen om mensen met verschillende functies binnen de gemeente te interviewen, zodat de vragen op de verschillende gebieden zo goed mogelijk beantwoord konden worden. Een aantal vragen heb ik aan meerdere personen gesteld, omdat verschillende mensen daar (gezien hun functie) een antwoord op zouden kunnen weten, maar ook omdat de antwoorden mogelijk niet eenduidig zijn (wat ook informatie oplevert). Hiertoe heb ik vooraf een protocol opgesteld (waarin de vragen van de beide instrumenten opgenomen zijn). Zie bijlage 2. 27
Voor ik inga op de uitvoering en de resultaten, wil ik nog opmerken dat door de wijze van onderzoek (het afnemen van de vragenlijst in een interview), de resultaten gebaseerd worden op de informatie die ik ontvangen heb van de geïnterviewde personen. Ik heb niet zelf onderzocht in hoeverre in overeenstemming is met het beleid en de regelgeving gehandeld wordt. Evenmin heb ik binnen het kader van mijn onderzoek kunnen toetsen in hoeverre de ontvangen van informatie van de geïnterviewden ook daadwerkelijk overeenkomt met het handelen binnen de gemeentelijke organisatie.
3.3 Onderzoek gemeente X Uitvoering van het onderzoek Van de gemeente X heb ik een aantal documenten ontvangen en ik heb informatie die op de website beschikbaar was bestudeerd. Daarnaast heb ik de volgende personen gesproken: -
adjunct directeur (verantwoordelijk voor bedrijfsvoering) en op dit moment vervanger directeur/gemeentesecretaris, samen met:
-
senior projectadviseur (verantwoordelijk voor dienstverlening en informatiebeleid
-
1e medewerker I&A
-
informatieconsulent
-
medewerkers planning en control (doelmatigheid en doeltreffendheidonderzoeken, rechtmatigheidscontroles)
-
juridisch beleidsmedewerker
Onderzoeksresultaten De scores van de gemeente X op beide vragenlijsten heb ik hieronder in schema weergegeven. Voor de scores ben ik uitgegaan van wat de geïnterviewde personen mij vertelden (en ik heb alle opmerkingen, vraagtekens enz. voor onderstaande tabel weggelaten). Rodin
Ja
nee
deels
n.v.t.
Weet niet
Beleid en organisatie
4
1
2
4
0
Informatiebeheer
12
0
2
1
5
ICT-beheer en
6
0
2
0
0
Totaal Rodin
22
1
6
5
5
In % van het totaal
56 %
3%
15 %
13 %
13 %
beveiliging
aantal vragen*
28
CER**
Ja
nee
Weet niet
n.v.t.
Overige antwoorden
1.Algemene vragen
8
0
0
1
3
9
4
0
0
0
11
1
2
0
0
2
1
0
0
0
5. Compliance
4
1
1
0
0
6. Bewaren en
15
2
0
0
0
7. Formaat
1
1
0
0
0
8. Back-up
2
0
0
0
0
9. Archivering
6
0
0
0
0
Totaal CER**
58
10
3
1
3
In % van het totaal
76 %
13 %
4%
1%
4%
betreft de organisatie 2.Informatie audits – beleid en -systemen 3. Historiciteit van documenten (integriteit, authenticiteit, controleerbaarheid) 4. Vindbaarheid van documenten
vernietigen
aantal vragen* * ivm afronding kan het zijn dat het totaal van de percentages iets afwijkt van 100 % ** CER staat voor Checklist e-discovery readiness Voor uitgebreidere resultaten op beide vragenlijsten verwijs ik naar bijlage 3.
3.4 Onderzoek gemeente Y Uitvoering van het onderzoek Van de gemeente Y heb ik een aantal documenten ontvangen en ik heb informatie die op de website beschikbaar was bestudeerd. Daarnaast heb ik de volgende personen gesproken: -
MT lid informatiemanagement
-
Informatieadviseur / ICT
-
Senior DIV
-
Intern controller
-
Juridisch controller
29
Resultaten van het onderzoek De scores van de gemeente Y op beide vragenlijsten heb ik hieronder in schema weergegeven. Voor de scores ben ik uitgegaan van wat de geïnterviewde personen mij vertelden (en ik heb alle opmerkingen, vraagtekens enz. voor onderstaande tabel weggelaten).
Rodin
Ja
nee
deels
n.v.t.
Weet niet
Beleid en organisatie
3
1
3
4
0
Informatiebeheer
16
0
2
2
0
ICT-beheer en
6
0
2
0
0
Totaal Rodin
25
1
7
6
0
In % van het totaal
64 %
3%
18 %
15 %
0%
Ja
nee
Weet niet
n.v.t.
Overige
beveiliging
aantal vragen*
CER**
antwoorden 1.Algemene vragen
6
2
0
1
3
9
4
0
0
0
8
2
4
0
0
3
0
0
0
0
5. Compliance
4
1
1
0
0
6. Bewaren en
16
1
0
0
0
7. Formaat
2
0
0
0
0
8. Back-up
2
0
0
0
0
9. Archivering
6
0
0
0
0
Totaal CER**
56
10
5
1
3
In % van het totaal
75 %
13 %
7%
1%
4%
betreft de organisatie 2.Informatie audits – beleid en -systemen 3. Historiciteit van documenten (integriteit, authenticiteit, controleerbaarheid) 4. Vindbaarheid van documenten
vernietigen
aantal vragen* * ivm afronding kan het zijn dat het totaal van de percentages iets afwijkt van 100 % ** CER staat voor Checklist e-discovery readiness
30
Voor uitgebreidere resultaten op beide vragenlijsten verwijs ik naar bijlage 3.
3.5 Analyse van de resultaten van de onderzoeken in de gemeente X en gemeente Y Ten aanzien van de resultaten op de beide vragenlijsten valt het volgende op te merken: -
beide gemeentes scoren op beide vragenlijsten aardig vergelijkbaar, maar de resultaten van de checklist e-discovery readiness komen meer met elkaar overeen dan de resultaten van de Rodin vragenlijst;
-
bij de gemeente Y zijn alle antwoorden bekend op de vragen van de Rodin vragenlijst, en een aantal (7%) op de checklist e-discovery readiness niet. Bij de gemeente X is dit juist andersom, daar is het aantal antwoorden op vragen van de Rodin vragenlijst die niet beantwoord kunnen worden juist groter dan het aantal niet te beantwoorden vragen van de checklist e-discovery readiness (13 % Rodin, t.o.v. 4 % CER)
-
op de checklist e-discovery readiness wordt (procentueel gezien) door beide gemeentes beter gescoord (X 76 % ja, Y 75 % ja) dan op de Rodin vragenlijst (X 56 % ja, Y 64 % ja).
Daarnaast ben ik door de uitvoering van het onderzoek zelf een aantal elementen tegengekomen, waaronder een aantal verschillen en overeenkomsten zoals in onderstaande tabel vermeld: Rodin
Checklist e-dsicovery readiness
1a.De vragenlijst is duidelijk gericht op
1b.De checklist is een algemene vragenlijst,
overheidsorganisaties (die onder de
zowel toepasbaar binnen
Archiefwet vallen), ook al is hij wel bruikbaar
overheidsorganisaties als niet-overheids-
voor niet-overheidsorganisaties die hun
organisaties. Bij toepassing bij een
digitale informatie duurzaam toegankelijk
gemeente zitten er een aantal vragen in die
willen beheren.
minder relevant zijn (maar wellicht bij een bedrijf juist wel bijvoorbeeld).
2.Beide vragenlijsten geven niet aan wat (potentiële) bronnen voor de antwoorden op de vragen zijn, oftewel welke stukken moet / kan je opvragen en welke personen moet / kan je interviewen. Rodin geeft daar iets meer aanwijzingen in door met 3 koppen boven de vragen (beleid en organisatie, informatiebeheer en ICT-beheer en –beveiliging) 3 verschillende vakgebieden aan te duiden die te onderscheiden zijn in een organisatie. 3.Beiden vragen een behoorlijke achtergrondkennis van het vakgebied en wet- en regelgeving. Er worden vakspecifieke termen gebruikt en de stellingen uit de Rodin vragenlijst vragen vaak om meer subvragen om onderscheid te maken tussen allerlei aspecten / voorwaardelijkheden om de (hoofd) stelling te kunnen beantwoorden. De vragen uit de checklist e-discovery readiness vragen juist vaak om toelichting wat precies bedoeld wordt met een term of met de vraag. In beide gevallen moet je hier als onderzoeker zelf 31
invulling aan geven. 4.Beiden zijn meer een checklist voor auditor om zelf af te checken of alle onderwerpen aan de orde geweest zijn 5a.Stellingen zijn in zeer formele taal
5b.Vragen zijn in eenvoudiger taalgebruik
opgesteld dat ze als zodanig niet geschikt
opgesteld en zijn als zodanig zeer geschikt
zijn om letterlijk als vragen te stellen.
om te stellen in een interview
6a.Stellingen omvatten zoveel aspecten
6b.De vragen zijn grotendeels gericht op
binnen één stelling dat het moeilijk is om
één of enkele aspecten, waar vaak een
eenduidig antwoord te geven. Het antwoord
eenduidig antwoord op mogelijk is.
ligt vaak genuanceerder. 7a.Stellingen zijn zodanig geformuleerd dat,
7b. zijn zodanig geformuleerd, en/of het
mits rustig bekeken eenduidig te begrijpen
woord/begripgebruik is zodanig dat een
valt wat de vraag is/waar naar gevraagd
aantal vragen ofwel voor meerdere uitleg
wordt.
vatbaar is, ofwel onduidelijk is wat de vraag precies is/waar precies naar gevraagd word
8.Doordat de antwoordmogelijkheden in de vragenlijst beperkt zijn (Rodin: ja / nee / deels en Checklist e-discovery readiness: ja / nee / weet niet / nvt (voor de meeste vragen)) zegt een antwoord nog niet zoveel. Je hebt een toelichting nodig om de waarde van het antwoord te kunnen interpreteren. Bij het exact formuleren van de vragen uit de vragenlijsten tijdens het interview, krijg je wel eerder een enkel antwoord als ‘ ja’ of ‘ nee’ . 9.Wanneer de vragen wel naar de onderwerpen van de vragenlijsten geformuleerd worden, maar minder formeel en meer open, komt de toelichting automatisch. 10a.Door de complexe en meervoudige
10b.Doordat de vragen enkelvoudig
formulering van stellingen, lijkt het een
geformuleerd zijn, maar toch veel aspecten
relatief korte vragenlijst, maar kost het veel
aan de orde moeten komen, is de
tijd om alle vragen (met bijbehorende
vragenlijst tamelijk lang.
aspecten) als ze ook nog van enige toelichting voorzien worden te bespreken 11a.Er wordt geen onderscheid gemaakt
11b.Er wordt in de checklist aangegeven
tussen het belang / zwaarte van een stelling
wat de mate van belang is (onduidelijk is
in verhouding tot de andere stellingen.
waar dat op gebaseerd is).
12.Beide vragenlijsten missen een interpretatiekader. Betekent het dat hoe meer “ja” geantwoord wordt des te beter gescoord wordt? Beide vragenlijsten impliceren dat bij het beter scoren (meer positieve antwoorden) er sprake is van betere kwaliteit. Maar het is (vanuit de vragenlijst) onduidelijk wat het zegt als een bepaalde vraag met ja of nee beantwoord wordt en wat je daaruit kan concluderen en adviseren (logisch zou zijn om de situatie zo te veranderen dat alsnog de vraag met ja beantwoord kan worden, maar dat staat niet beschreven).
Daarnaast kwamen er vanuit de geïnterviewde personen bij een aantal vragen een reactie over de vraag. Hieronder een aantal daarvan:
32
Vraag 1.12 CER vraagt naar een overzicht van richtlijnen waaraan het bedrijf moet voldoen dit is te vaag, richtlijnen ten aanzien van welk aspect van het bedrijf? De volgende vragen werden niet echt begrepen: Vraag 3.1.7 en 3.1.8 CER: Krijgen de gegevens betekenis of zijn ze begrijpbaar door de gebruikte semantiek en gebruikte syntaxis plaats? Bij alle vragen van onderdeel 3.1 CER kwam naar voren dat onduidelijk was wat met gegevens bedoeld werd. En voor de medewerker DIV van de gemeente Y was het moeilijk om te duiden wat precies het verschil was tussen de begrippen van onderdeel 3.1. Het leek hem allemaal om ongeveer hetzelfde te gaan. Vraag 3.3.3 CER over of onderscheid wordt gemaakt tussen informatie (gegevens) en records (archiefdocumenten) werd als een tamelijk onzinnige vraag gezien. Voor gemeentes zijn het verschil in definitie (met alle gevolgen voor de wijze van omgang ermee) wettelijk vastgelegd. Het is de basis die bepaald wat met de bedoelde content moet gebeuren. Vraag 6.13 CER over de toegangscontroles voor data werd op meerdere manieren geïnterpreteerd. Valt het feit dat een pasje nodig is om het gebouw binnen te komen en je moet inloggen op de pc om toegang te krijgen tot data ook onder toegangscontrole, of wordt bedoeld dat je voor een specifiek document of dossier nog apart bijv. een code in moet toetsten om daar toegang toe te krijgen? De vragen over wet- en regelgeving en ISO-normen (Vraag 5.1 – 5.4 CER) worden als heel algemeen beschouwd en nogal dubbelop: eerst een vraag of de organisatie bekend is met wet- en regelgeving en wordt het toegepast en daarna een vraag of de archiefwet en archiefbesluit zijn geïmplementeerd. Idem voor de ISO normen en ISO 15489-1. Het is moeilijk in één vraag te beantwoorden of aan alle wet- en regelgeving voldaan wordt. Immers, stel dat geïnterviewden niet bekend zouden zijn met alle van toepassing zijnde weten regelgeving, hoe kunnen ze dan weten dat ze aan bepaalde wet- en regelgeving niet voldoen?
33
3.6 Interviews met experts Methode van onderzoek. Naast de interviews in de gemeentelijke organisaties heb ik een aantal interviews afgenomen bij experts. Omdat informatie auditing en forensic readiness onderzoek aparte vakgebieden zijn, heb ik op beide gebieden drie experts geïnterviewd. Door experts te interviewen heb ik onderzoek gedaan naar hoe zinvol het is om een keuze te maken voor de ene of de andere vragenlijst en hoe belangrijk het is dat bepaalde aspecten in de vragenlijsten zijn opgenomen. Op deze wijze wilde ik er achter komen of het zinvol is om de vragenlijsten aan te vullen. Op basis van de resultaten van de inhoudsanalyse en mijn bevindingen n.a.v. de praktijkonderzoeken bij de twee gemeenten heb ik voor de interviews met experts een protocol opgesteld met vragen (zie bijlage 4). Ik heb de volgende experts gesproken vanuit de achtergrond van informatie auditering en digital archiving: -
L. F. (provinciaal archiefinspecteur)
-
E. B. (document management specialist, eigenaar Document Management bedrijf, lid geassocieerde kenniskring lectoraat Digital Archiving & Compliance )
-
M. B. (directeur / eigenaar Archief Service bedrijf)
Ik heb de volgende experts gesproken vanuit de achtergrond van e-discovery: -
C. B. (docent en onderzoeker bij lectoraat E-Discovery)
-
A. van der V. (senior business consultant bij Balance Juridisch Management)
-
C. P. ((o.a.) Manager Forensic Services bij Fox-IT)
Hierbij wil ik opmerken dat ik in de beschikbare tijd niet alle vragen aan iedereen heb kunnen stellen. De resultaten zijn dus een indicatie van hoe erover gedacht wordt, maar er kan geen stellige conclusie uit getrokken worden. Daarvoor zijn sowieso het aantal vertegenwoordigers van beide vakgebieden te weinig. Resultaten van de interviews De interviews hebben het volgende bevindingen opgeleverd. Het is erg verschillend of er wel of niet gewerkt wordt met vragenlijsten / checklists. Vaak is het gebruik van een vragenlijst / checklist een onderdeel van een uitgebreider onderzoek. Als situaties waarin een vragenlijst / checklist op dit gebied gebruikt zou kunnen worden, werden vanuit het vakgebied van digital archiving genoemd: bij een inspectie, audit, nulmeting of in een offertefase. En vanuit het vakgebied van e-discovery werden genoemd: naar aanleiding van. een incident dat heeft plaatsgevonden en een organisatie een
34
verbeterslag wil maken, als proactief onderdeel van je risicoanalyse en in een (jaarlijkse) monitoring in het kader van kwaliteitsverbetering. Een voordeel dat genoemd wordt voor het gebruik van een vragenlijst / checklist is dat het helpt bij een methodische aanpak en dat je het als afvinklijst kan gebruiken, zodat je niet makkelijk dingen overslaat of vergeet. - welke definities van checklist/vragenlijst hanteert u: een checklist van het auditproces zelf of een overzicht van inhoudelijke vragen/onderwerpen die aan bod moeten komen? Een vragenlijst / checklist wordt wel geïnterpreteerd als een inhoudelijke vragenlijst, niet als een lijst met te nemen stappen in het proces. - als u onderzoek uitvoert, kijkt u dan naar het verschil tussen beleid/visie/regels die er zijn en de daadwerkelijke uitvoering? Alle experts vinden het van belang om in een onderzoek te kijken naar zowel beleid / regels van de organisatie als de daadwerkelijke uitvoering. De experts vanuit de hoek van digital archiving verwezen daarbij ook nog naar wet- en regelgeving of ISO-normen, waartegen de uitvoering afgezet kan worden en zien uitvoering vaak als verlengstuk van beleid of regelgeving. Vanuit de e-discovery kant werd juist benadrukt dat het onderzoek naar de daadwerkelijke praktijk haast nog wel belangrijker is dan naar wat op papier staat. Zij hebben over het algemeen de ervaring, vaak naar aanleiding van incidentonderzoek, dat er, ondanks beleid, richtlijnen, uitgangspunten, procedures en plannen die op papier staan, in de praktijk toch niet iedereen daarvan op de hoogte is. Evenzo is de uitvoering niet altijd conform datgene wat op papier staat of zijn data toch niet aanwezig waar je dat wel zou verwachten etc. -in hoeverre is het van belang te weten of back-ups worden gecheckt op hun werking? (Rodin 3.6) Een belangrijk voorbeeld hiervan is controle van de back-ups op hun werking. Je moet niet alleen een plan hebben hoe vaak en van wat je een back-up maakt, maar je moet ook zeker (periodiek) controleren of deze ook werkt en de gegevens daadwerkelijk terug te zetten zijn, anders heb je niets meer als er iets gebeurt. -in hoeverre zijn de volgende organisatiekenmerken/aspecten van belang om te weten? (-naam) (CER 1.1) -hoeveelheid medewerkers (CER 1.2) -organisatietype (CER 1.3) -missie (CER 1.4) -visie (CER 1.5) -strategie (CER 1.6) Vragen ten aanzien van organisatiekenmerken/aspecten worden op zich van belang geacht, maar bij archiefwetplichtige organisaties, zoals gemeentes niet echt relevant, want daar zijn deze organisatiekenmerken, de missie e.d. wel duidelijk.
35
-is het van belang dat organisatie taken/verantwoordelijkheden voor functioneel beheer, applicatiebeheer en technisch beheer heeft geregeld op basis van gangbare standaarden? (Rodin 3.7) Bij deze vraag werd opgemerkt dat het in zoverre van belang is, dat als er gewerkt wordt volgens open standaarden het makkelijker is om te constateren of daar in de uitvoering ook daadwerkelijk aan voldaan wordt, dan wanneer je je nog moet verdiepen in de eigen methodes van een organisatie. -in hoeverre is het van belang om aan een systematische risicoanalyse te doen (data, systemen, personeel, fysieke locatie, beveiligingseisen)? (Rodin 3.1) De antwoorden op de vraag of het van belang wordt geacht om een systematische risicoanalyse te doen lopen enigszins uiteen. Allen vinden risicoanalyse in meer of mindere mate van belang, maar vanuit de kant van digital archiving wordt daarbij opgemerkt dat dat voor organisaties waar archiefwettelijke normen gelden minder van belang is (de wet geeft bepaalde kaders waar risicobeheersing in meegenomen is), risico’s worden snel gezien op het vlak van infrastructuur. Aan de andere kant, vanuit e-discovery wordt juist een toenemend belang gezien van risicoanalyse. Risico’s nemen enerzijds toe, omdat de dreiging groter wordt en heeft een steeds grotere impact (als het misgaat, zijn de gevolgen steeds omvangrijker). -in hoeverre is het van belang dat de organisatie een beveiligingsplan heeft m.b.t. informatiebeveiliging bijv. gebaseerd op Code informatiebeveiliging of vergelijkbare richtlijn) en een overzicht van gehanteerde beveiligingsmaatregelen? (Rodin 3.2 / 3.3 CER bevat wel algemeen vragen naar NEN-ISO normen (=o.a. Code voor Informatiebeveiliging) (CER 5.3) en vraag naar beveiligingsaudit (CER 2.4)) Een beveiligingsplan met betrekking tot. informatiebeveiliging wordt op zich als belangrijk gezien, met opnieuw de aantekening dat het uiteindelijk gaat om wat daar in de praktijk van terecht komt. Er zijn wettelijk al een aantal verplichtingen ten aanzien van informatiebeveiliging en de opmerking wordt ook nog geplaatst dat de mate van informatiebeveiliging wel afhankelijk is van de hoeveelheid privacygevoelige gegevens en bedrijfsgevoelige gegevens een organisatie bezit. -in hoeverre is het van belang dat de organisatie beschikt over een calamiteiten- en herstelplan? (Rodin 3.4, in CER zitten wel vragen over back-up (CER 8.1 / 8.2)) Een calamiteiten- en herstelplan wordt van belang geacht, maar ook hier weer de opmerking dat het op zich hebben van zulke plannen nog niet zoveel zegt. Hoe die er inhoudelijk uitzien maakt nogal verschil. Vanuit e-discovery kant wordt de opmerking gemaakt dat de plannen vaak ingesteld zijn op de eerste prioriteit: het terugbrengen van de toestandvoor de calamiteit optrad, zodat bedrijfsprocessen weer in gang gezet kunnen worden. Waar vaak weinig aandacht voor is, is dat, wanneer je naderhand nog onderzoek wilt kunnen doen naar hoe het incident heeft kunnen plaatsvinden (e-discovery onderzoek), je moet zorgen dat de data van voorafgaand en tijdens het incident apart bewaard worden. Want als je alleen alles 36
terugzet naar de oude toestand, dan overschrijf of wis je een aantal zaken die voor dit ediscovery onderzoek van belang zijn. -in hoeverre is het van belang te weten waar de gegevens zich bevinden? -zijn de gegevens toegankelijk (CER 4.2) -zijn de gegevens benaderbaar (CER 4.3) - is alle data opgeslagen op 1 centraal punt (bijv. datawarehouse) (CER 6.17) -is er een centraal en gecontroleerd archief/archiefafdeling (CER 9.1) -wordt er gebruik gemaakt van papieren archivering (CER 9.2) -wordt er gebruik gemaakt van digitale archivering (CER 9.3) Het wordt als belangrijk gezien dat (binnen de organisatie) bekend is waar de informatie zich bevindt (welke informatie in wat voor systemen) en in welke staat (papier, digitaal). Vanuit de digital archiving is het van belang omdat informatie van belang is voor je bedrijfsprocessen en wil je daar efficiënt en effectief gebruik van maken dan moet je weten waar zich wat bevindt. Ook om te weten wat bewaard, gearchiveerd, vernietigd moet worden en op welke wijze is deze kennis van belang. Voor e-discovery onderzoek betekent het dat als je weet welke informatie waar staat en in welke vorm beschikbaar is, het makkelijker is om in de fases van identification, preservation en collection de potentieel relevante informatie aan te wijzen en te verzamelen. - in hoeverre is wijze van ordening (classificatieschema/ordeningsstructuur) van belang? (Rodin 2.2 / 2.3) en waarborging van de consistentie binnen deze structuur? Ditzelfde geldt ook voor de wijze van ordening. Des te beter je informatie geordend hebt, des te beter kun je aanwijzen waar gegevens zich bevinden. Dat is cruciaal voor je bedrijfsvoering, en voor het identificeren waar potentieel relevante informatie zich bevindt in het kader van een onderzoek. Voor e-discovery onderzoek zou het ook nog zinvol zijn als door de wijze van ordening direct duidelijk wordt of het gaat om gestructureerde, ongestructureerde of semigestructureerde data, in verband met het soort onderzoek dat daarvoor gedaan moet worden. Wel wordt aangegeven dat de ordening mede afhankelijk is van het gebruik dat wordt gemaakt van de gegevens. Bij een bepaald type gebruik, hoort een bepaald type ordening. Maar dat er sprake is van ordening en welke ordeningstructuur is toegepast is altijd relevant. -in hoeverre is het van belang de samenhang te waarborgen tussen verschillende digitale archiefbestanddelen? (Rodin 2.13) Samenhang tussen digitale bestanddelen wordt als belangrijk gezien voor de kwaliteit van de informatie en de context. Wanneer je nauwelijks of geen context hebt, heb je aan de data ook weinig of niets.
37
-in hoeverre is het van belang te weten of er ook gezocht kan worden naar archiefstukken (heeft (archief)systeem een zoekfunctie) en het resultaat hiervan? (Rodin 2.11, in de CER wordt wel gevraagd of informatie benaderbaar en toegankelijk is (CER 4.2 / 4.3) en of het voor medewerkers duidelijk is waar informatie staat opgeslagen (CER 4.1)) Vanuit e-discovery wordt hier verschillend over gedacht. Enerzijds wordt het voor ediscovery onderzoek en e-discovery readiness als niet heel belangrijk gezien dat je in het systeem kunt zoeken (naar archiefstukken). Als je maar weet hoe je toegang moet krijgen tot het systeem om bij die data te komen. Tegenwoordig zijn voldoende hulpmiddelen beschikbaar om buiten een applicatie die je standaard gebruikt voor het bedrijfsproces met de data te kunnen werken of naar data te kunnen zoeken. Waar mogelijk zal dit zoveel mogelijk gebeuren. Anderzijds wordt wel opgemerkt dat niet voor alles zoekhulpmiddelen beschikbaar zijn en je dus soms wel aangewezen bent op de zoekmogelijkheden van het systeem zelf. Moeilijk daarbij is wel om inzicht te krijgen hoe zo een zoekfunctie in een systeem tot zijn resultaat is gekomen en of je dan ook echt alles hebt. -in hoeverre is het van belang te weten of er onderscheid wordt gemaakt tussen informatie (gegevens) en records (archiefdocumenten) (CER 3.3.3)? Het is opvallend dat de vraag naar het maken van onderscheid tussen informatie (gegevens) en records (archiefdocumenten) voorkomt in de checklist e-discovery. De terminologie is afkomstig uit het vakgebied van (digital) archiving en wordt door die experts ook als heel belangrijk ervaren (het bepaalt grotendeels wat er met de betreffende stuk moet gebeuren volgens de wet- en regelgeving. Juist vanuit een e-discovery expert wordt toegelicht dat het een heel verwarrend onderscheid is. Het hangt namelijk erg af van met wie je praat. In het vakgebied van e-discovery spelen IT-ers vaak een grote rol. Die verstaan onder record iets heel anders dan een archiefrecord. Een element in een database is namelijk ook een record. Een derde partij die bij het e-discoveryproces een rol spelen zijn juristen, die verstaan onder record weer iets anders. Dit is dus niet zo’n goede, zinvolle vraag. -in hoeverre is het belang te weten dat oorspronkelijke technische aard (hard- en softwareomgeving) vastgelegd wordt (Rodin 2.4e) Het vastleggen van de oorspronkelijke hard- en software wordt wel als belangrijk beschouwd. Dit geeft bijv. een indicatie van de metadata die eraan toegevoegd kan zijn (dit kan verschillen tussen verschillende versies van bepaalde software). Wanneer je bij een ediscovery onderzoek je conclusie grotendeels baseert op metadata, moet je dit zeker meenemen. -in hoeverre is het van belang te weten of de wijze van versleuteling en decryptiesleutel vastgelegd wordt? (Rodin 2.4g) Het vastleggen van de wijze van versleuteling en ontsleuteling informatie wordt als belangrijk ervaren. Het is wel risicovol (je moet de decryptiesleutel ook weer beveiligen), maar wel nuttig. Je moet wel bij je eigen ge-encrypte zaken kunnen, ook in het kader van 38
een onderzoek. Zeker bij een extern onderzoek is het niet voldoende als je als excuus hebt dat je de decryptiesleutel kwijt bent, nog afgezien van het risico dat je loopt voor je bedrijfsprocessen als er geen toegang meer mogelijk is tot versleutelde (en daarmee waarschijnlijk in enige vorm belangwekkende) informatie. -in hoeverre is de wijze waarop metadata wordt toegekend van belang? (Rodin 2.5) De wijze waarop metadata worden toegekend wordt door de meesten als belangrijk bestempeld. Metadata leveren een heel stuk van de context die je nodig hebt om de data die je tegenkomt om te zetten in informatie en des te meer automatisch dit gebeurd, des te consistenter zijn de metadata. Deze metadata zijn intrinsiek wat meer betrouwbaar, je kan bij onderzoek beter achterhalen hoe die tot stand is gekomen. -is het van belang te weten of eisen aan ICT dienstverleners worden gesteld tav beveiliging en beheerprestaties? (Rodin 3.8) Hiervan wordt het wel als belangrijk gezien dat in ieder geval goed vastgelegd welke afspraken gemaakt zijn, zodat duidelijk is welke taken en verantwoordelijkheden bij wie liggen. -in hoeverre is het van belang te weten dat serverruimte aan gestelde eisen voldoet (Rodin 3.9)? Dit wordt vanuit het oogpunt van e-discovery readiness niet als heel belangrijk ervaren voor de impact op het forensic ready zijn voor een onderzoek naar een incident. Wel wordt opgemerkt dat beveiliging van deze ruimte wel heel belangrijk is, want dat zegt iets over wie toegang heeft tot de daar opgeslagen data. - in hoeverre is het van belang in je audit mee te nemen of er voldoende gekwalificeerde mensen en voldoende middelen beschikbaar zijn voor informatiebeheer? (Rodin 1.6 / 1.7) De vraag over de inzet van voldoende gekwalificeerde mensen en voldoende middelen wordt door de experts van digital archiving over het algemeen belangrijker gevonden dan door de experts op e-discovery gebied. Wel wordt er aangegeven dat het moeilijk is om in de praktijk te beoordelen. Er worden door sommige wel wat referentiecijfers gebruikt, maar bij anderen zijn die niet bekend. Er wordt ook verwezen naar benchmark cijfers, zodat je als organisatie kunt kijken hoe je inzet is in vergelijking met andere, vergelijkbare organisaties. Keuze of samenvoegen? Voorafgaand aan het onderzoek was een van de vragen of een keuze nodig is voor toepassing van één van beide instrumenten of dat het mogelijk is dat beide instrumenten elkaar aanvullen. De vragenlijsten overlappen elkaar, zeker qua onderwerpen, voor een groot deel. Ondanks dat ze grotendeels dezelfde onderwerpen behandelen, zijn de vragen zo verschillend geformuleerd dat ze vaak net andere aspecten belichten of net andere nuances aanbrengen 39
in de vraag. De vragen werden geformuleerd met een ander doel. Interpretatie van de vragen en met name de antwoorden en de mate van belang van bepaalde vragen verschillen nogal voor het doel waarvoor je het gebruikt. Een aantal vragen zijn voor het ene doel wat meer relevant dan voor het andere en andersom. Om meer organisaties e-discovery ready te maken en hier preventief aandacht voor te hebben voordat een incident plaatsgevonden heeft (zoals nu vaak gebeurd) zou heel nuttig kunnen zijn als de vragenlijsten samengevoegd konden worden tot één vragenlijst. Informatie-audits komen, in ieder geval bij gemeenten (mede ivm inspectie en nu intern in het kader van de verplichte horizontale verantwoording) met een regelmatige frequentie voor. Als je door enkele vragen toe te voegen aan de vragenlijst voor de informatie audit meteen het aspect van e-discovery readiness mee zou kunnen nemen, zou dat efficiënt zijn en het onderwerp e-discovery readiness meer onder de aandacht brengen. Nadeel is dat je de antwoorden op de vragenlijsten wel vanuit twee verschillende interpretatiekaders zou moeten beoordelen, om een antwoord te kunnen geven op de vraag: is de kwaliteit van de informatiehuishouding voldoende vanuit het perspectief van digital archiving en vanuit het perspectief van e-discovery readiness. Als je deze twee vragenlijsten samen zou willen voegen tot een vragenlijst, zou ik als basis de Rodin vragenlijst kiezen. Deze behoeft de minste aanvulling uit de andere vragenlijst (als je kijkt naar welke vragen niet overeenkomen op vraagniveau). Bovendien als je kijkt naar de resultaten van het onderzoek bij de beide gemeenten, dan zie je ook dat in de Rodin vragenlijst kennelijk meer aspecten aan de orde komen, want daar wordt, op basis van dezelfde informatiehuishouding, procentueel lager gescoord dan op de Checklist ediscovery readiness. De Rodin vragenlijst zou op basis van dit onderzoek dan aangevuld moeten worden met:
vragen over de gebruikte informatiesystemen (de Rodin vragenlijst richt zich voornamelijk op archiefsystemen);
vragen over waar de gegevens zich bevinden (en of ze in papieren vorm of digitaal zijn en liefst ook of het (semi-)gestructureerde data of ongestructureerde data betreft);
en (indien de vragenlijst ook bij andere organisaties dan gemeenten toegepast gaat worden): vragen over de organisatiekenmerken / aspecten, zoals missie, visie en strategie.
Het is hierbij uitermate lastig om voor deze vragen een formulering te vinden die enigszins passend is bij de stijl van de rest van de vragen van de Rodin vragenlijst. Omdat de vragenlijsten in vorm en formulering zo van elkaar verschillen, levert dat wel problemen op om de vragenlijsten samen te voegen tot één geheel. Wellicht zou het beter zijn om van beide vragen onderwerpen te definiëren en daarmee een nieuwe vragenlijst op te stellen. 40
De vraag is echter of dit echt zoveel meerwaarde oplevert. De vragenlijst wordt langer, het is meer werk om de resultaten vanuit twee perspectieven te interpreteren en zit een organisatie daarop te wachten als gevraagd wordt om onderzoek te doen met een bepaald specifiek doel. Aanleiding voor een onderzoek naar e-discovery readiness is vaak een incident en dat ze dan willen kijken hoe ze dat voor de toekomst kunnen voorkomen of het onderzoek beter kunnen doorlopen. De meeste organisaties willen dan graag een redelijk snelle gerichte check en zitten wellicht niet te wachten op een uitgebreid onderzoek naar in welke mate de hele informatiehuishouding ook nog bijdraagt aan de bedrijfsvoering. In het algemeen zou ik ten aanzien van beide vragenlijsten zou ik nog de volgende aanbevelingen willen doen: Voeg bij beiden een (uitgebreidere) toelichting toe, waarin opgenomen:
hoe de vragenlijst gehanteerd dient te worden (schriftelijk, mondeling, als gestructureerde vragenlijst of als eigen checklist voor de onderzoeker), dit ook in relatie tot de informatie die de antwoorden opleveren (ja, nee enz. of toelichting waarom)
onder welke voorwaarden de vragenlijst gebruikt dient te worden (bijv. welke type functies dienen bevraagd te worden)
welke kennis en vaardigheden van de onderzoeker gevraagd worden (zeker als de Rodin vragenlijst in niet-archiefwetgebonden organisaties toegepast zou worden, waar de medewerker die verantwoordelijk is voor het informatiebeheer wellicht niet heel vertrouwd is met de terminologie in deze vragenlijst.
een interpretatiekader voor de antwoorden (hoewel dit natuurlijk ook organisatie- en contextgebonden kan zijn).
41
4
Conclusie:
Met de resultaten zoals beschreven in mijn scriptie heb ik antwoord gegeven op de hoofdvraag: Wat zijn de verschillen in resultaat tussen toepassing van de informatie audit vragenlijst en de forensic readiness checklist bij de gemeente X en de gemeente Y en maken deze verschillen een keuze nodig voor toepassing van één van beide instrumenten of is het mogelijk dat beide instrumenten elkaar aanvullen? De vragenlijsten komen grotendeels qua onderwerpen overeen. Op vraagniveau verschillen veel vragen in nuance of in specifieke aspecten en komen een aantal vragen van de Rodin vragenlijst (informatie audit vragenlijst) niet voor in de checklist e-discovery readiness en andersom. Op de beide vragenlijsten wordt met dezelfde informatiehuishouding positiever gescoord op de e-discovery checklist dan op de Rodin vragenlijst. Dit geldt zowel voor de gemeente X als de gemeente Y. Keuze voor toepassing van een van beide instrumenten is zinvol, omdat ze beiden met een ander doel toegepast worden. Het is moeilijk praktisch te realiseren dat de ene vragenlijst de andere op een zinvolle en stijlvolle manier aanvult. Wanneer het zeer wenselijk wordt geacht om toch één vragenlijst te gebruiken voor beide onderzoeken, zou het beter zijn om vanuit onderwerpsniveau een nieuwe vragenlijst samen te stellen. Daarnaast heb ik nog een aantal aanbevelingen gedaan voor mogelijke verbeteringen van beide vragenlijsten.
42
5
Literatuurlijst
Abcouwer, T., Gels, H. & Truijens, J. (2006). Informatiemanagement en informatiebeleid. Den Haag: Sdu Uitgevers. Archiefwet 1995. (1995). Geraadpleegd op: 2 januari 2013, van: http://wetten.overheid.nl/BWBR0007376/geldigheidsdatum_02-01-2013 Archiefregeling. (2009). Geraadpleegd op: 2 januari 2013, van: http://wetten.overheid.nl/BWBR0027041/geldigheidsdatum_02-01-2013 Audit. (2011). In: Woorden Nederlandse Taal. Geraadpleegd op: 24 februari 2013, van: http://www.woorden.org/woord/audit Audit. (2012). In Encyclo online enceclopedie. Geraadpleegd op: 1 maart 2013, van: http://www.encyclo.nl/begrip/audit Bijlage 16 Dienstverleningsconcept BEL; Goed, beter, BEL, BEST. Geraadpleegd op: 1 mei 2013, van: http://www.sharedservicesbijdeoverheid.nl/resources/uploads/files/BEL_gemeenten_Bijlage 16.pdf B.C. [telefonisch interview]. 24 mei 2013. e
Bots, R.T.M. & Jansen, W. (2005). Organisatie en informatie (6 dr.). Groningen: WoltersNoordhoff. B.E. [telefonisch interview]. 22 mei 2013. B.M. [telefonisch interview]. 23 mei 2013. Bussel, G.J. van. & Ector, F. (2009). Op zoek naar de herinnering…verantwoordingssystemen, content-intensieve organisaties en performance. Helmond: Van Bussel Document Services. Deira, S. (26 mei 2013). Plasterk:300 miljoen besparen met digitale overheid. Elsevier. Politiek. Geraadpleegd op: 3 juni 2013, van: http://www.elsevier.nl/Politiek/nieuws/2013/5/Plasterk-300-miljoen-besparen-met-digitaleoverheid-1265081W/
43
Deloitte. (2010). E-Discovey Readiness; reducing risks before discovery. Geraadpleegd op: 9 maart 2013, van: http://www.deloitte.com/assets/DcomUnitedStates/Local%20Assets/Documents/FAS_ForensicCenter_us_fasus_dfc/us_fas_discovery/us_fas_ediscovery_readiness_122110.pdf E-Overheid.nl (2013). Digitale overheid levert gemak en besparingen op. Geraadpleegd op: 3 juni 2013, van: http://e-overheid.nl/actueel/nieuwsberichten/intItem/digitale-overheid-levertgemak-en-besparingen-op/1973 Eck-Poppe, M. van (red.). (2003). Informatie in bedrijf; Werkboek voor succesvol informatiebeheer. Amsterdam: Otto Cramwinckel Uitgever. EDRM (z.j.). EDRM Stages. Geraadpleegd op: 2 februari 2013, van: http://www.edrm.net/resources/edrm-stages-explained EDRM. (2011). EDRM identification standards. Geraadpleegd op: 14 maart, van: http://www.edrm.net/resources/standards/identification Figuur gemeentebestuur. (2006, 16 oktober). [online jpg-image]. Geraadpleegd op: 12 mei 2013, van: http://commons.wikimedia.org/wiki/File:Figuur_gemeentebestuur.JPG F.L. [telefonisch interview]. 30 mei 2013. G.R. [persoonlijk interview]. 19 april 2013. Gemeentearchief gemeente Rotterdam. (z.j.). Zelfevaluatie Informatiehuishouding. Geraadpleegd op: 2 maart 2013, van: http://appl.gemeentearchief.rotterdam.nl/vzi/index.cfm?itm_id=27 Governance. (z.j.). In Encyclo online enceclopedie. Geraadpleegd op: 2 maart 2013, van: http://www.encyclo.nl/begrip/governance Hagoort, M. & Eck-Poppe, M. van. (2010). Informatiebeleid en informatieplanning; module DA33; studiehandleiding voor ID2 / ID3. [studiehandleiding]. Heine, J.J. (2008). D834 / I710 Informatie-auditering; college 1. [sheets] Heitink, B. (2012). In 4 stappen. Geraadpleegd op: 1 mei 2013, van: http://www.iso27001.nl/in-4-stappen/ Henczel, S. (2001). The information audit. A practical guide. München: Saur.
44
Henseler, J. (2010). E-Discovery; op zoek naar de digitale waarheid. Amsterdam: HvA Publicaties. Geraadpleegd op: 10 maart 2013, van: http://kennisbank.hva.nl/document/458858 H.,B. van der. [persoonlijk interview]. 8 mei 2013. H.F. [persoonlijk interview]. 1 mei 2013. J.G. [persoonlijk interview]. 2 mei 2013. Kerkhof, J. & Witjes, H. (2006). De Staat en het Kwaliteitsmodel voor Overheidsorganisaties. Gemeente Nunspeet, Bestuursadademie Nederland. Geraadpleegd op: 1 mei 2013, van: http://waarstaatjegemeente.hetpon.nl/cms_file.php?fromDB=36&forceDownload Keur, P. (26 mei 2013). Plasterk begrijpt digitale dienstverlening nog niet. Geraadpleegd op: 3 juni 2013 van: http://www.peterkeur.nl/blog/plasterk-begrijpt-digitale-dienstverlening-nogniet/ Koenis, C. (28 mei 2013). Digitalisering overheid voor 2017 vergt grote inhaalslag. Geraadpleegd op: 3 juni 2013, van: http://webwereld.nl/beveiliging/77896-digitaliseringoverheid-voor-2017-vergt-grote-inhaalslag K.A. [telefonisch interview]. 25 april 2013. Kuyper, A. (z.j.) E-Discovery readiness in Nederland nog onbekend. Kuyper, A. (z.j. a). Verschillen tussen: A checklist ediscovery readiness, B checklist EDRM. Kuyper, A. (2012). Afstudeer onderzoek E-Discovery “readiness”. [bachelorscriptie] Kwaliteitsinstituut Nederlandse Gemeenten (KING). (2011). KING ABC. Geraadpleegd op: 27 april 2013, van: http://www.kinggemeenten.nl/king-kwaliteitsinstituut-nederlandsegemeenten/over-king/king-abc Landelijk overleg van provinciale archiefinspecteurs (Lopai), Werkverband gemeentelijke archiefinspectie (Wga). (2010). Referentiekader Opbouw Digitaal Informatiebeheer RODIN . Uitgebracht onder Creative Commons Licensie. Geraadpleegd op: 15 december 2012, van: http://www.lopai.nl/pdf/Brochure_RODIN_dubbelzijdig.pdf L., D.J. de. [persoonlijk interview]. 12 april 2013.
45
Litigation. (z.j.). In WordNet Search. Geraadpleegd op: 9 maart 2013, van: http://wordnetweb.princeton.edu/perl/webwn?s=litigation NEN. (2008). NEN 2082 Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur. NEN. (2001). NEN-ISO 15489-1 Informatie- en archiefmanagement - Deel 1. NEN. (2007). NEN-ISO/IEC 27002 Informatietechnologie -Beveiligingstechnieken - Code voor informatiebeveiliging. Overheid.nl (z.j.). Wat is de gemeente. Geraadpleegd op: 9 maart 2013, van: http://www.overheid.nl/zowerktdeoverheid/wievormendeoverheid/degemeente Passionned Group. (2013). Plan do check act. Geraadpleegd op: 1 mei 2013, van: http://www.pdcacyclus.nl/verbetermethoden/plan-do-check-act/ Plasterk: ‘Volledig digitale overheid in 2017’. (26 mei 2013). AD. Nederland Politiek. Geraadpleegd op: 3 juni 2013, van: http://www.ad.nl/ad/nl/1012/Nederland/article/detail/3447369/2013/05/26/Plasterk-Volledigdigitale-overheid-in-2017.dhtml P.C. [telefonisch interview]. 29 mei 2013. Riepma, J. (2011). Naar een kwaliteitsverbetering van functioneel beheer; een onderzoek naar de kwaliteit van het functioneel beheer van de Gemeente Oldenzaal. [masteropdracht]. Gemeente Oldenzaal, Universiteit Twente. Geraadpleegd op: 30 maart 2013, van: http://essay.utwente.nl/62258/1/Jolijn_Riepma_openbare_versie.pdf R.F. [persoonlijk interview]. 19 april 2013. R.M. [persoonlijk interview]. 2 mei 2013. RODIN. (24 juli 2012). In ArchiefWiki. Geraadpleegd op: 15 december 2012, van: http://archiefwiki.org/wiki/RODIN S.A. [persoonlijk interview]. 3 mei 2013. S.R. [persoonlijk interview]. 1 mei 2013.
46
Taylor, C, Endicott-Popovsky, B. & Frincke, D.A. (2007). Specifying digital forensics: a forensics policy approach. Digital Investigation, S4, p. S101-S104. Vaassen, E., Bollen, L., Meuwissen, R. et. al. (2012). Basisboek Informatie & control. Groningen/Houten: Noordhoff Uitgevers. Van Bussel Document Services. (2007). Procedure Informatie Audit. [vragenlijst]. V., A. van der. [telefonisch interview]. 28 mei 2013. Verhoeven, N. (2011). Wat is onderzoek? Praktijkboek methoden en technieken voor het hoger onderwijs (4e dr.). Den Haag: Boom Lemma uitgevers. VNG. (2012). Horizontale verantwoording Archiefwet 1995 via Kritische Prestatie Indicatoren (KPI’s). [handreiking]. Geraadpleegd op: 22 maart 2013, van: http://www.vng.nl/files/vng/publicaties/2012/20121112_verantwoording_archief_kpi_0.pdf VNG. (2012a). Grip en sturing door de Baseline Informatiehuishouding Gemeenten. Geraadpleegd op 2 maart 2013, van: http://www.vng.nl/onderwerpenindex/cultuur-ensport/nieuws/grip-en-sturing-door-de-baseline-informatiehuishouding-gemeenten Vrouwenvelder, J. (2009). Voorbereid op fraude?! Het belang van forensic readiness. Security Management, nummer 12, december 2009, p. 24-27. Geraadpleegd op: 9 maart 2013, van: http://integis.nl/images/IntegisDocs/forensic_readiness_jethro_vrouwenfelder.pdf Werff, P. van der. (2010). Training interne audit. Geraadpleegd op: 1 maart 2013, van: http://prezi.com/ry6mimrvrd3p/training-interne-audit Zurich Healthcare eDiscovery Resource Center. (z.j.). eDiscovery Readiness Assessment. Geraadpleegd op: 10 maart 2013, van: http://actlit.com/zurichhealthcare/files/eDiscoveryReadinessAssessment_v8.xls
47
6
Bijlagen
Bijlage 1: tabel vergelijking op vraagniveau Bijlage 2: Protocol interviews gemeenten Bijlage 3: resultaten vragenlijst Rodin en CER bij gemeente X en gemeente Y Bijlage 4: Protocol interviews experts Bijlage 5: Plan van Aanpak Bijlage 6: CER vragenlijst Bijlage 7: Rodin vragenlijst
48
Bijlage 1: Analyse vragenlijsten op vraagniveau
Rodin
Checklist E-discovery readiness (CER)
1.1 Heeft de organisatie een door het bestuur
2.6 Is er een recent (afgelopen jaar)
en/of management vastgesteld informatiebeleid
informatiebeleidsplan in de organisatie
dat aansluit bij de geformuleerde
aanwezig?
organisatiedoelstellingen? Onderdelen van informatiebeleid zijn tenminste: a het voldoen aan de wettelijke eisen voor het bewaren van informatie;
5.1 Is de organisatie bekend met de weten regelgeving en wordt het toegepast? 5.2 Wordt binnen de organisatie informatie volgens de wet geldende richtlijnen verwerkt? 5.3 Zijn de ESI en ISO-normen bekend binnen de organisatie? 5.4 Is in uw bedrijf ISO 15489-1 geïmplementeerd? 5.5 Is de archiefwet en archiefbesluit 1995 geïmplementeerd? 6.2 Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving betreft het bewaren van informatie? 6.3 Worden de wettelijke regels met met betrekking tot bewaren van informatie nageleefd?
b een beschrijving van de relatie tussen de
2.13
bedrijfsprocessen en de opgenomen informatie;
geïntegreerd in bedrijfsprocessen? 2.10
Worden informatieprocessen
Bestaat er binnen de organisatie
een informatiearchitectuur ofwel digitale
49
architectuur ofwel een architectuur van de informatievoorziening? c een beschrijving van of verwijzing naar de bewaarstrategie van de organisatie die rekening houdt met conversie, migratie of emulatie in geval van veranderende (technische) omstandigheden; d een beschrijving van het beveiligingsbeleid waarin taken en verantwoordelijkheden voor informatiebeveiliging zijn belegd. 2.5 Is er binnen uw organisatie een EDPbeleid? (Electronic Data Processing) 2.11
Heeft de organisatie een ‘lifecycle’
beleid of iets wat hierop lijkt? 2.12
Is er een content value chain
strategie in de bedrijfsprocessen geïmplementeerd? CER vraag Of wet/regelgeving/normen bekend zijn (CER 5.1 / 5.3 / 6.2 ) Of er een informatiebeleidsplan is (CER 2.6 = hetzelfde als Rodin 1.1, maar in Rodin 1.1. worden nog een aantal inhoudelijke eisen gesteld.) Of regelgeving etc. wordt toegepast (CER 5.1 / 5.2 / 5.4 / 5.5 / 6.3) Of ander beleid aanwezig is: lifecycle beleid (CER 2.11) / EDP-beleid (CER 2.5) / content value chain strategie (2.12) Naar relatie/ integratie in bedrijfsprocessen (of het beschreven is in infobeleidsplan = Rodin 1.1.b / of het ook toegepast wordt is CER 2.13) Hoe informatievoorziening aan de doelstellingen van de organisatie bijdraagt (CER 2.10) 1.2 Is de organisatie in staat verantwoording af
1.11 Werkt de organisatie volgens een
te leggen over alle activiteiten ten behoeve van
kwaliteitsmodel? Zo ja, welke
de werking en het beheer van de digitale beheeromgeving op basis van toetsbare eisen van een door haar toe te passen kwaliteitssysteem? Komt overeen. Rodin gaat ook over of verantwoording mogelijk is aan de hand van kwaliteitsmodel, CER gaat alleen over werken met kwaliteitsmodel 1.3 Heeft de organisatie de processen en
1.12 Is er een document aanwezig
procedures voor de digitale beheeromgeving
waarin een overzicht staat van de
beschreven?
richtlijnen waaraan het bedrijf moet voldoen en welke processen en
50
procedures daarbij horen?
Komt overeen. CER heeft het ook nog over richtlijnen waaraan het bedrijf moet voldoen.
1.4 Ondergaat de organisatie periodiek
2.1 Zijn er in de afgelopen 2 jaar één of
(externe) audits en/of certificering op het gebied
meer audits geweest die het beheer van
van de digitale beheeromgeving?
informatie binnen de organisatie beoordeeld hebben? 2.2 Is er binnen uw organisatie recent een IT gerelateerde audit geweest? 2.3 Worden er binnen de organisatie controles uitgevoerd op de juistheid van de verwerking van informatie? 2.4 Wordt er regelmatig een beveiligingsaudit uitgevoerd? (dubbel Rodin 3.3)
Komt overeen, maar is in CER verder uitgewerkt naar audits op verschillende items (beheer informatie / IT / juistheid verwerking informatie / beveiliging (deze laatste wordt ook bij Rodin 3.3 naar gevraagd) 1.5 Zijn de taken, verantwoordelijkheden en
1.7 Is de taakverdeling/ functiebeschrijving
bevoegdheden voor de digitale
bij medewerkers binnen het bedrijf
beheeromgeving waaronder: digitalisering,
duidelijk?
duurzame toegankelijkheid, archiefbeheer en betrouwbaarheid van informatie vastgelegd en
1.8 Zijn er verantwoordelijke personen
belegd? En is tevens op basis hiervan de
aangewezen voor het beheren van
continuïteit gewaarborgd in het geval van
informatie?
organisatiewijziging? 1.9 is er in het bedrijf een informatiemanager werkzaam? (Iemand die de stroom van documenten bewaakt) 1.10 Is of zijn er aparte functie(’s) voor DIVér of record manager of protocollist in de organisatie aanwezig?
Beiden vragen naar taken en verantwoordelijkheden, maar Rodin vraagt ook naar continuïteit in geval van een organisatiewijziging en CER vraagt naar aanwezigheid diverse functies
51
(CER 1.8 / 1.9 / 1.10) en naar het resultaat in de organisatie: is de taakverdeling duidelijk bij medewerkers (CER 1.7)?
1.6 Is de digitale beheeromgeving opgenomen in de meerjarenbegroting van de organisatie, waarbij voldoende middelen beschikbaar worden gesteld om de continuïteit ervan te waarborgen? CER vraagt niets over begroting of financiële kant of continuïteit 1.7 Beschikt de organisatie over voldoende
1.9 is er in het bedrijf een
medewerkers, met voldoende kennis en
informatiemanager werkzaam? (Iemand
competenties, om al haar taken en
die de stroom van documenten bewaakt)
verantwoordelijkheden op het gebied van de
(dubbel, staat ook bij Rodin 1.5)
digitale beheeromgeving te kunnen uitvoeren? 1.10 Is of zijn er aparte functie(’s) voor DIVér of record manager of protocollist in de organisatie aanwezig? (dubbel, staat ook bij Rodin 1.5) CER vraagt niets over voldoende medewerkers met voldoende competenties, wel of bepaalde functies aanwezig zijn (CER 1.8 / 1.9 / 1.10) 2.1 Worden alle digitale archiefstukken
4.1 Is het duidelijk voor alle medewerkers
geklasseerd op basis van een
waar alle gegevens en informatie staan
classificatieschema/ordeningsstructuur?
opgeslagen?
CER vraagt ook weer naar het resultaat (CER 4.1: is duidelijk voor alle medewerkers waar gegevens staan) terwijl Rodin een methode beschrijft om het makkelijker terug te vinden (Rodin 2.1 classificatieschema/ordeningsstructuur). 2.2 Kent het systeem automatisch een uniek
3.3.1
Worden er binnen de organisatie
identificatiekenmerk toe aan alle onderdelen die
eisen gesteld aan archiefdocumenten als
op basis van het classificatieschema/de
samenstel van afzonderlijke elementen?
ordeningsstructuur worden vastgelegd, bijvoorbeeld aan zaaktypen/processen, zaken
3.3.2
Worden er binnen de organisatie
en digitale archiefstukken?
eisen gesteld aan de afzonderlijke elementen binnen het archiefdocument?
Rodin: kent uniek identificatiekenmerk toe aan alle onderdelen. Eis: op basis van class.schema/ordeningsstructuur. CER vraagt of er eisen worden gesteld (wat voor eisen?) 2.3 Kan het systeem in het classificatieschema veranderingen aanbrengen en bij deze wijzigingen de consistentie binnen het schema alsmede tussen het schema en de archiefbestanddelen waarborgen?
52
In CER niets over veranderingen in class.schema en of consistentie 2.4 Wordt van alle archiefstukken tenminste de
9.4 Wordt er gebruik gemaakt van
volgende informatie in de metadata vastgelegd:
metadata?
a Inhoud, structuur, verschijningsvorm en gedrag; b Wanneer, door wie en waarom de
6.14
archiefstukken zijn opgemaakt en werden
bekend?
Is aanmaak datum van data
ontvangen;
6.16
Is de actor/gebruiker bekent als
de data aangemaakt of gewijzigd wordt? c Samenhang met andere beheerde archiefstukken; d Uitgevoerde beheeractiviteiten;
6.1 Is er sprake van versiebeheer bij deze documenten? 6.15
Is de laatste wijziging van de data
bekent? e Actuele en oorspronkelijke technische aard, ook van de hard- en softwareomgeving; f Aard van de digitale handtekening (indien
3.2.1
Wordt er gebruik gemaakt van
aanwezig);
digitale handtekeningen? 5.6 Wordt er bij de digitale handtekening voldaan aan de voorwaarden beschreven in art. 3:15a lid 2 BW.
g Wijze van versleuteling (algoritme) en decryptiesleutel (indien van toepassing)? Rodin 2.4 komt overeen met ECR 9.4 (algemeen) Rodin 2.4b komt overeen met ECR 6.14 / 6.16 (behalve dat ECR ook over wijzigingregistratie gaat Vraag: valt onder uitgevoerde beheeractiviteiten (Rodin 2.4d) ook: Versiebeheer (6.1 CER) Laatste wijziging (6.15 CER) Rodin 2.4f vraagt naar de aard van de digitale handtekening, CER vraagt of er gebruik van gemaakt (CER 3.2.1) en of deze voldoet aan wettelijke voorwaarden (CER 5.6) In CER niets over inhoud, structuur, verschijningsvorm, gedrag (Rodin 2.4a) waarom archiefstukken zijn opgemaakt en ontvangen (Rodin 2.4b) samenhang met andere beheerde archiefstukken (Rodin 2.4c) actuele en oorspronkelijke technische aard, ook van hard- en softwareomgeving (Rodin 2.4e) en wijze van versleuteling (Rodin 2.4g) 2.5 Worden metadata op gestandaardiseerde wijze toegekend,bijvoorbeeld met behulp van standaard woordenlijsten? In CER niets over wijze van toekenning metadata.
53
2.6 Gebruikt het systeem een door het bestuur
6.13
en/of management vastgesteld
data?
Zijn er toegangscontroles voor
autorisatieschema waarmee alle gebruikerstaken en beheeractiviteiten als rollen
9.6 Is er autorisatie nodig voor
aan medewerkers worden toegekend?
archivering?
CER 6.13 toegangscontroles heeft te maken met gebruikerstaken en beheeractiviteiten en CER 9.6 heeft te maken met beheeractiviteiten, maar Rodin 2.6 omvat veel bredere aspecten en voegt eraan toe dat dit door het bestuur/management moet zijn toegekend. 2.7 Worden digitale archiefstukken opgeslagen
7.2 Wordt er binnen de organisatie
in door het bestuur aangewezen, valideerbare
gewerkt met open-standaarden?
en volledig gedocumenteerde bestandsformaten, die voldoen aan een open standaard, tenzij dit redelijkerwijs niet kan worden verlangd? CER 7.2 vraagt alleen naar of er gewerkt wordt met open standaarden en Rodin 2.7 voegt daar nog aan toe dat het “door het bestuur aangewezen, valideerbare en volledig gedocumenteerde” bestandsformaten moeten zijn. 2.8 Kan de koppeling tussen een digitaal archiefbestanddeel (op elk aggregatieniveau) en de daarbij behorende metadata tot het moment van verwijdering worden gereconstrueerd? CER bevat geen vragen over koppelingen tussen archiefbestanddeel en bijbehorende metadata. 2.9 Importeert, converteert, migreert en
3.1.6
Bevatten de weergaven van de
exporteert het systeem digitale archiefstukken
gegevens de juiste oorspronkelijke vorm
en de bijbehorende metadata uitsluitend met
en inhoud van het afgebeelde deel van de
behoud van de authenticiteit, betrouwbaarheid,
realiteit? (authenticiteit)
integriteit en bruikbaarheid op elk aggregatieniveau?
3.1.1
Zijn de gegevens getrouw, exact
en gedetailleerd? (accuratesse) 3.1.2
Geven de gegevens de
werkelijkheid weer zoals die is op het moment dat het archiefdocument wordt geproduceerd? (actualiteit) 3.1.3
Zijn de gegevens integer?
(controleerbaarheid) 3.1.4
Geven de gegevens een
54
waarheidsgetrouw beeld van de werkelijkheid? (juistheid) 3.1.5
Vormen de gegevens een
volledige afbeelding van de werkelijkheid? (volledigheid) 3.1.7
Krijgen de gegevens betekenis of
zijn ze begrijpbaar door de gebruikte semantiek? (juistheid in semantische zin) 3.1.8
Krijgen de gegevens betekenis of
zijn ze begrijpbaar door de gebruikte syntaxis plaats? (juistheid in syntactische zin) 3.1.9
Wordt de actualiteit van de
gegevens vastgehouden in de tijd? (historiciteit) 3.2.2
Is de authenticiteit van digitale
documenten aantoonbaar middels een digitale handtekening. 6.11
Is de kwaliteit van informatie
gedurende de totale levensfase gegarandeerd? CER gaat vooral over of gegevens integer, authentiek etc. zijn (niets over betrouwbaar? (bruikbaar wordt wel genoemd in CER 7.1)) en Rodin vooral over of dit blijft bij wijzigingen. Dit laatste komt (maar niet nader gespecificeerd dan als ‘kwaliteit’) terug in CER 6.11. 2.10 Kan de integriteit en leesbaarheid van
9.5 Is alles in het archief nog leesbaar
digitale archiefstukken worden vastgesteld,
en/of te reconstrueren?
gecontroleerd, gedocumenteerd en geborgd tegen ongeautoriseerde wijzigingen en
7.1 Is er binnen uw organisatie de
beschadigingen?
zekerheid dat de door jullie opgeslagen informatie over 10 jaar nog voor handen is en dat de data dan ook nog gelezen en gebruikt kan worden?
Rodin iets uitgebreider (‘vastgesteld, gecontroleerd, gedocumenteerd en geborgd’), terwijl het wel te maken heeft met of archiefstukken (in de toekomst nog) leesbaar zijn (CER 9.5, 7.1) etc. Integriteit heeft ook betrekking op CER 3.1.1 t/m 3.1.9 (allemaal betrekking op integriteit
55
volgens de CER). CER vragen hebben wel meer betrekking op vaststellen en evt. borgen, niet op controleren en documenteren. 2.11 Kunnen door middel van een zoekopdracht alle digitale archiefstukken en hun metadata op elk aggregatieniveau worden getoond, met inachtneming van autorisaties? In CER niets over zoeken/vinden van archiefstukken/metadata 2.12 Wordt de bewaartermijn van digitale
6.4 Kan er een bewijs en/of
archiefbescheiden automatisch op elk
verantwoordingsrapport overhandigd
aggregatieniveau vastgelegd? Worden de
worden dat bewaartermijnen juist of onjuist
bewaartermijnen nageleefd met inachtneming
zijn gehanteerd conform de wet en
van de wettelijke selectietermijnen, -procedures
regelgeving over bewaartermijnen van
en vervolgacties (vernietigen, overdragen of
diverse documenten?
exporteren)? 6.5 Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving voor vernietigingstermijnen? 6.6 Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat vernietigingstermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten? 6.7 Wordt de informatie die mag/ moet worden vernietigd ook daadwerkelijk vernietigd? (dubbel Rodin 2.14) 6.8 Heeft de organisatie een bewaar/ vernietigingsbeleid? 6.9 Is er binnen de organisatie een retention schedule (vernietigingslijst)? 8.2 Is er beleid binnen uw organisatie welke de retentieperiode van backups vastlegt? (dubbel, staat ook bij Rodin 3.4) CER vraagt: Of richtlijnen/wet-en regelgeving bekend zijn (CER 6.5) Of het vastgelegd is in beleid (CER 6.8), Rodin vereist vastgelegging op
56
aggregatieniveau (is niet beleidsniveau) Of er vernietigingslijst is (CER 6.9), dit staat niet letterlijk in Rodin (wordt daar al vanuit gegaan, gezien toepassing bij gemeentes?) Of daadwerkelijk vernietigd wordt (CER 6.7) is vergelijkbaar met Rodin (nageleefd met inachtneming van vervolgacties) Of bewaar-/vernietigingstermijnen juist worden toegepast (CER 6.4 / 6.6) komt overeen met Rodin, behalve dat bij CER ook om bewijs hiervan gevraagd wordt Of het ook voor back-ups geldt (CER 8.2) komt niet overeen met Rodin, zou wel mogelijk opgenomen kunnen zijn in back-up strategie (Rodin 3.4) 2.13 Wordt ter waarborging van de samenhang en volledigheid een waarschuwing gegeven wanneer er een link of verwijzing bestaat tussen verschillende digitale archiefbestanddelen op alle aggregatieniveaus, waarvan een onderdeel op het punt staat te worden vernietigd, overgedragen of geëxporteerd en het andere niet? Geen overeenkomst gevonden in CER 2.14 Gebeurt het vernietigen van
6.7 Wordt de informatie die mag/ moet
archiefstukken zo dat deze op geen enkele
worden vernietigd ook daadwerkelijk
wijze kunnen worden gereproduceerd?
vernietigd? (dubbel, staat ook bij Rodin 2.12)
Rodin lijkt meer over technische kant te gaan, terwijl CER meer gaat over de uitvoering: is het daadwerkelijk gebeurd? 3.1 Doet de organisatie aan een systematische risicoanalyse voor factoren als data, systemen, personeel, fysieke locatie en beveiligingseisen? Geen overeenkomst met CER 3.2 Hanteert de organisatie een beveiligingsplan m.b.t. informatiebeveiliging gebaseerd op de Code voor Informatiebeveiliging of vergelijkbare richtlijn? Geen overeenkomst met CER. 3.3 Heeft de organisatie een overzicht van de
2.4 Wordt er regelmatig een
gehanteerde beveiligingsmaatregelen en laat
beveiligingsaudit uitgevoerd? (dubbel,
periodiek (extern) toetsen of de mate van
staat ook bij Rodin 1.4)
beveiliging nog passend is? CER vraagt niets over overzicht gehanteerde beveiligingsmaatregelen, wel over externe toetsing
57
3.4 Beschikt de organisatie over een passende
8.1 Is er een back-up aanwezig van de
back-upstrategie, calamiteiten- en herstelplan?
informatie die gereproduceerd moet kunnen worden? 8.2 Is er beleid binnen uw organisatie welke de retentieperiode van backups vastlegt? (dubbel, staat ook bij Rodin 2.12)
CER vraagt of back-up aanwezig is, dit is onderdeel van Rodin 3.4 back-up strategie. Wellicht in back-up strategie ook opgenomen wat retentieperiode van back-up is? In CER niets over calamiteiten- en herstelplan. 3.5 Maakt de organisatie periodiek back-ups
6.10
Zijn oudere data
van alle opgeslagen informatie en bewaart deze
reconstrueerbaar?
informatie in een kluis op een andere locatie? 6.12
Kan een aangepast digitaal
document naar de oorspronkelijke versie worden teruggedraaid? CER 6.10 en 6.12 hebben meer te maken met versiebeheer (dat komt niet echt terug in Rodin) Soms kan een back-up nodig zijn om oudere data/documenten terug te halen en in dat geval is het van belang dat back-up aanwezig is. Dit is echter geen gebruikelijke (en efficiënte?) procedure. Rodin benadrukt ook nog de wijze van bewaren van de back-ups (wat niet terugkomt in de CER) 3.6 Worden back-ups en herstelplannen periodiek gecontroleerd op juiste werking? Geen overeenkomst met CER over controle van back-up. 3.7 Heeft de organisatie de taken en verantwoordelijkheden voor functioneel beheer, applicatiebeheer en technisch beheer belegd en ingericht voor de digitale beheeromgeving op basis van gangbare beheerstandaarden? Geen overeenkomst met CER 3.8 Stelt de organisatie in een Service Level Agreement (SLA) eisen aan de interne of externe ICT dienstverlener ten aanzien van beveiliging en beheerprestaties? Geen overeenkomst met CER 3.9 De organisatie heeft een adequate serverruimte met onder meer klimaatbeheersing, alarm en brandmeldvoorziening, toegangscontrole, ordelijke bekabeling en noodstroomvoorziening
58
(UPS). Geen overeenkomst met CER over adequate serverruimte 2.7 Is/ zijn er managementinformatie systemen binnen de organisatie? 2.8 Wordt er gebruik gemaakt van een Storage Area Network (SAN)? 2.9 Is er binnen uw organisatie een alles omvattend ERP systeem/ programma? (Enterprise resource planning) Geen overeenkomst met Rodin over of gebruikt gemaakt wordt van deze specifieke systemen. 4.2 Zijn de gegevens (fysiek) toegankelijk en aan te spreken? 4.3 Zijn de gegevens (fysiek) benaderbaar en aan te spreken? 6.17
Is alle data opgeslagen op 1
centraal punt? (bijvoorbeeld: datawarehouse) 9.1 Is er een centraal en gecontroleerd archief of archiefafdeling? 9.2 Wordt er gebruik gemaakt van papieren archivering? 9.3 Wordt er gebruikt gemaakt van digitale archivering? Geen overeenkomst met Rodin over waar gegevens zich bevinden. 1.1 Wat is de naam van uw organisatie? 1.2 Hoeveel medewerkers telt uw organisatie? 1.3 Wat is uw organisatietype? 1.4 Heeft de organisatie een duidelijk beschreven missie vastgelegd?
59
1.5 Heeft de organisatie een duidelijk beschreven visie vastgelegd? 1.6 Heeft de organisatie een duidelijk beschreven strategie vastgelegd? Geen overeenkomst met Rodin over deze organisatiekenmerken / aspecten 3.3.3
Wordt er binnen uw bedrijf
onderscheid gemaakt tussen ‘informatie’ (gegevens) en ‘records’ (archiefdocumenten)? Geen overeenkomst met Rodin
60
Bijlage 2: Protocol interviews gemeenten Gebruikte vragenlijsten: Rodin en de Checklist E-discovery readiness Interviews: Algemene structuur van interview: 1.
Introductie -voorstellen -gespreksdoel -opbouw -geschatte duur -waardering deelname -belang van informatie -wat gebeurt er met de informatie (vertrouwelijkheid) -toestemming vragen voor opname interview
2.
Vragen uit de vragenlijsten
3.
Afsluiting
Vragen uit de vragenlijsten die ik aan de verschillende medewerkers wil stellen:
Rodin
Checklist E-discovery readiness
Directie/management/verantwoordelijk Directeur informatievoorziening 1.1 Heeft de organisatie een door het bestuur en/of
2.6 Is er een recent (afgelopen jaar)
management vastgesteld informatiebeleid dat
informatiebeleidsplan in de organisatie
aansluit bij de geformuleerde
aanwezig?
organisatiedoelstellingen? Onderdelen van informatiebeleid zijn tenminste:
2.13 Worden informatieprocessen
a het voldoen aan de wettelijke eisen voor het
geïntegreerd in bedrijfsprocessen?
bewaren van informatie; b een beschrijving van de relatie tussen de
2.12 Is er een content value chain strategie in
bedrijfsprocessen en de opgenomen informatie;
de bedrijfsprocessen geïmplementeerd?
c een beschrijving van of verwijzing naar de
61
bewaarstrategie van de organisatie die rekening
6.8 Heeft de organisatie een bewaar/
houdt met conversie, migratie of emulatie in geval
vernietigingsbeleid?
van veranderende (technische) omstandigheden; d een beschrijving van het beveiligingsbeleid waarin taken en verantwoordelijkheden voor informatiebeveiliging zijn belegd.
1.3 Heeft de organisatie de processen en
1.12 Is er een document aanwezig waarin
procedures voor de digitale beheeromgeving
een overzicht staat van de richtlijnen
beschreven?
waaraan het bedrijf moet voldoen en welke processen en procedures daarbij horen?
2.5 Is er binnen uw organisatie een EDPbeleid? (Electronic Data Processing)
2.11 Heeft de organisatie een ‘lifecycle’ beleid of iets wat hierop lijkt?
8.2 Is er beleid binnen uw organisatie welke de retentieperiode van backups vastlegt?
1.2 Is de organisatie in staat verantwoording af te
1.11 Werkt de organisatie volgens een
leggen over alle activiteiten ten behoeve van de
kwaliteitsmodel? Zo ja, welke
werking en het beheer van de digitale beheeromgeving op basis van toetsbare eisen van een door haar toe te passen kwaliteitssysteem?
1.4 Ondergaat de organisatie periodiek (externe)
2.1 Zijn er in de afgelopen 2 jaar één of meer
audits en/of certificering op het gebied van de
audits geweest die het beheer van informatie
digitale beheeromgeving?
binnen de organisatie beoordeeld hebben?
2.4 Wordt er regelmatig een beveiligingsaudit uitgevoerd?
1.5 Zijn de taken, verantwoordelijkheden en
1.7 Is de taakverdeling/ functiebeschrijving
bevoegdheden voor de digitale beheeromgeving
bij medewerkers binnen het bedrijf duidelijk?
waaronder: digitalisering, duurzame toegankelijkheid, archiefbeheer en
1.8 Zijn er verantwoordelijke personen
betrouwbaarheid van informatie vastgelegd en
aangewezen voor het beheren van 62
belegd? En is tevens op basis hiervan de
informatie?
continuïteit gewaarborgd in het geval van organisatiewijziging?
1.9 is er in het bedrijf een informatiemanager werkzaam? (Iemand die de stroom van documenten bewaakt)
1.10 Is of zijn er aparte functie(’s) voor DIVér of record manager of protocollist in de organisatie aanwezig?
2.7 Is/ zijn er managementinformatie systemen binnen de organisatie?
1.6 Is de digitale beheeromgeving opgenomen in de meerjarenbegroting van de organisatie, waarbij voldoende middelen beschikbaar worden gesteld om de continuïteit ervan te waarborgen?
2.9 Is er binnen uw organisatie een alles omvattend ERP systeem/ programma? (Enterprise resource planning)
1.7 Beschikt de organisatie over voldoende medewerkers, met voldoende kennis en competenties, om al haar taken en verantwoordelijkheden op het gebied van de digitale beheeromgeving te kunnen uitvoeren?
ICT 3.1 Doet de organisatie aan een systematische risicoanalyse voor factoren als data, systemen, personeel, fysieke locatie en beveiligingseisen?
63
3.2 Hanteert de organisatie een beveiligingsplan m.b.t. informatiebeveiliging gebaseerd op de Code voor Informatiebeveiliging of vergelijkbare richtlijn?
3.3 Heeft de organisatie een overzicht van de
2.4 Wordt er regelmatig een
gehanteerde beveiligingsmaatregelen en laat
beveiligingsaudit uitgevoerd?
periodiek (extern) toetsen of de mate van beveiliging nog passend is?
2.2 Is er binnen uw organisatie recent een IT gerelateerde audit geweest? 2.5 Is er binnen uw organisatie een EDPbeleid? (Electronic Data Processing)
3.4 Beschikt de organisatie over een passende back-
7.1 Is er binnen uw organisatie de zekerheid
upstrategie, calamiteiten- en herstelplan?
dat de door jullie opgeslagen informatie over 10 jaar nog voor handen is en dat de data dan ook nog gelezen en gebruikt kan worden?
3.5 Maakt de organisatie periodiek back-ups van
8.2 Is er beleid binnen uw organisatie welke
alle opgeslagen informatie en bewaart deze
de retentieperiode van backups vastlegt?
informatie in een kluis op een andere locatie?
3.6 Worden back-ups en herstelplannen periodiek
8.1 Is er een back-up aanwezig van de
gecontroleerd op juiste werking?
informatie die gereproduceerd moet kunnen worden?
6.10 Zijn oudere data reconstrueerbaar?
6.12 Kan een aangepast digitaal document naar de oorspronkelijke versie worden teruggedraaid?
3.7 Heeft de organisatie de taken en verantwoordelijkheden voor functioneel beheer, applicatiebeheer en technisch beheer belegd en ingericht voor de digitale beheeromgeving op basis van gangbare beheerstandaarden? 64
3.8 Stelt de organisatie in een Service Level Agreement (SLA) eisen aan de interne of externe ICT dienstverlener ten aanzien van beveiliging en beheerprestaties? 2.7 Is/ zijn er managementinformatie systemen binnen de organisatie?
2.9 Is er binnen uw organisatie een alles omvattend ERP systeem/ programma? (Enterprise resource planning)
2.8 Wordt er gebruik gemaakt van een Storage Area Network (SAN)?
6.17 Is alle data opgeslagen op 1 centraal punt? (bijvoorbeeld: datawarehouse)
7.2 Wordt er binnen de organisatie gewerkt met open-standaarden? 6.13 Zijn er toegangscontroles voor data?
6.14 Is aanmaak datum van data bekend?
6.15 Is de laatste wijziging van de data bekent?
6.16 Is de actor/gebruiker bekend als de data aangemaakt of gewijzigd wordt?
DIV/Informatiebeheer 2.1 Worden alle digitale archiefstukken geklasseerd
2.10 Bestaat er binnen de organisatie een
op basis van een
informatiearchitectuur ofwel digitale
65
classificatieschema/ordeningsstructuur?
architectuur ofwel een architectuur van de informatievoorziening?
3.3.3
Wordt er binnen uw bedrijf
onderscheid gemaakt tussen ‘informatie’ (gegevens) en ‘records’ (archiefdocumenten)?
4.1 Is het duidelijk voor alle medewerkers waar alle gegevens en informatie staan opgeslagen?
2.2 Kent het systeem automatisch een uniek identificatiekenmerk toe aan alle onderdelen die op basis van het classificatieschema/de ordeningsstructuur worden vastgelegd, bijvoorbeeld aan zaaktypen/processen, zaken en digitale archiefstukken?
2.3 Kan het systeem in het classificatieschema veranderingen aanbrengen en bij deze wijzigingen moet de consistentie binnen het schema alsmede tussen het schema en de archiefbestanddelen gewaarborgd blijven.
2.4 Wordt van alle archiefstukken tenminste de
9.4 Wordt er gebruik gemaakt van
volgende informatie in de metadata vastgelegd:
metadata?
a Inhoud, structuur, verschijningsvorm en gedrag; b Wanneer, door wie en waarom de archiefstukken
3.3.2
Worden er binnen de organisatie
zijn opgemaakt en werden ontvangen;
eisen gesteld aan de afzonderlijke elementen
c Samenhang met andere beheerde archiefstukken;
binnen het archiefdocument?
d Uitgevoerde beheeractiviteiten; e Actuele en oorspronkelijke technische aard, ook
6.14 Is aanmaak datum van data bekend?
van de hard- en softwareomgeving; f Aard van de digitale handtekening (indien
6.15 Is de laatste wijziging van de data
aanwezig);
bekent?
g Wijze van versleuteling (algoritme) en decryptiesleutel (indien van toepassing)?
6.16 Is de actor/gebruiker bekent als de data aangemaakt of gewijzigd wordt? 66
2.5 Worden metadata op gestandaardiseerde wijze toegekend,bijvoorbeeld met behulp van standaard woordenlijsten?
2.6 Gebruikt het systeem een door het bestuur
6.13 Zijn er toegangscontroles voor data?
en/of management vastgesteld autorisatieschema waarmee alle gebruikerstaken en
9.6 Is er autorisatie nodig voor archivering?
beheeractiviteiten als rollen aan medewerkers worden toegekend?
1.7 Is de taakverdeling/ functiebeschrijving bij medewerkers binnen het bedrijf duidelijk?
2.7 Worden digitale archiefstukken opgeslagen in
7.2 Wordt er binnen de organisatie gewerkt
door het bestuur aangewezen, valideerbare en
met open-standaarden?
volledig gedocumenteerde bestandsformaten, die voldoen aan een open standaard, tenzij dit redelijkerwijs niet kan worden verlangd?
2.8 Kan de koppeling tussen een digitaal archiefbestanddeel (op elk aggregatieniveau) en de
6.1 Is er sprake van versiebeheer bij deze
daarbij behorende metadata tot het moment van
documenten?
verwijdering worden gereconstrueerd? 6.11 Is de kwaliteit van informatie gedurende de totale levensfase gegarandeerd?
6.12 Kan een aangepast digitaal document naar de oorspronkelijke versie worden teruggedraaid?
7.1 Is er binnen uw organisatie de zekerheid dat de door jullie opgeslagen informatie over 10 jaar nog voor handen is en dat de data dan ook nog gelezen en gebruikt kan worden?
2.9 Importeert, converteert, migreert en exporteert
3.3.1
Worden er binnen de organisatie 67
het systeem digitale archiefstukken en de
eisen gesteld aan archiefdocumenten als
bijbehorende metadata uitsluitend met behoud van
samenstel van afzonderlijke elementen?
de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid op elk aggregatieniveau?
3.1.6
Bevatten de weergaven van de
gegevens de juiste oorspronkelijke vorm en inhoud van het afgebeelde deel van de realiteit? (authenticiteit)
3.1.7
Krijgen de gegevens betekenis of
zijn ze begrijpbaar door de gebruikte semantiek? (juistheid in semantische zin)
3.1.8
Krijgen de gegevens betekenis of
zijn ze begrijpbaar door de gebruikte syntaxis plaats? (juistheid in syntactische zin)
3.1.9
Wordt de actualiteit van de
gegevens vastgehouden in de tijd? (historiciteit)
2.10 Kan de integriteit en leesbaarheid van digitale
2.3 Worden er binnen de organisatie
archiefstukken worden vastgesteld, gecontroleerd,
controles uitgevoerd op de juistheid van de
gedocumenteerd en geborgd tegen
verwerking van informatie?
ongeautoriseerde wijzigingen en beschadigingen? 3.1.1
Zijn de gegevens getrouw, exact en
gedetailleerd? (accuratesse)
3.1.2
Geven de gegevens de werkelijkheid
weer zoals die is op het moment dat het archiefdocument wordt geproduceerd? (actualiteit)
3.1.3
Zijn de gegevens integer?
(controleerbaarheid)
3.1.4
Geven de gegevens een
waarheidsgetrouw beeld van de werkelijkheid? (juistheid)
68
3.1.5
Vormen de gegevens een volledige
afbeelding van de werkelijkheid? (volledigheid)
9.5 Is alles in het archief nog leesbaar en/of te reconstrueren?
2.11 Kunnen door middel van een zoekopdracht alle digitale archiefstukken en hun metadata op elk aggregatieniveau worden getoond, met inachtneming van autorisaties?
2.12 Wordt de bewaartermijn van digitale
6.2 Is de organisatie bekend betreft de
archiefbescheiden automatisch op elk
richtlijnen en wet- en regelgeving betreft het
aggregatieniveau vastgelegd? Worden de
bewaren van informatie?
bewaartermijnen nageleefd met inachtneming van de wettelijke selectietermijnen, -procedures en
6.3 Worden de wettelijke regels met met
vervolgacties (vernietigen, overdragen of
betrekking tot bewaren van informatie
exporteren)?
nageleefd?
6.4 Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat bewaartermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten?
6.5 Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving voor vernietigingstermijnen?
6.6 Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat vernietigingstermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten?
69
6.7 Wordt de informatie die mag/ moet worden vernietigd ook daadwerkelijk vernietigd?
6.8 Heeft de organisatie een bewaar/ vernietigingsbeleid?
6.9 Is er binnen de organisatie een retention schedule (vernietigingslijst)?
2.13 Wordt ter waarborging van de samenhang en volledigheid een waarschuwing gegeven wanneer er een link of verwijzing bestaat tussen verschillende digitale archiefbestanddelen op alle aggregatieniveaus, waarvan een onderdeel op het punt staat te worden vernietigd, overgedragen of geëxporteerd en het andere niet?
2.14 Gebeurt het vernietigen van archiefstukken zo
6.10 Zijn oudere data reconstrueerbaar?
dat deze op geen enkele wijze kunnen worden gereproduceerd? 2.1 Zijn er in de afgelopen 2 jaar één of meer audits geweest die het beheer van informatie binnen de organisatie beoordeeld hebben? 2.5 Is er binnen uw organisatie een EDPbeleid? (Electronic Data Processing) 2.11 Heeft de organisatie een ‘lifecycle’ beleid of iets wat hierop lijkt? 2.12 Is er een content value chain strategie in de bedrijfsprocessen geïmplementeerd?
2.13 Worden informatieprocessen geïntegreerd in bedrijfsprocessen?
3.2.1
Wordt er gebruik gemaakt van
digitale handtekeningen?
3.2.2
Is de authenticiteit van digitale
documenten aantoonbaar middels een 70
digitale handtekening. 4.2 Zijn de gegevens (fysiek) toegankelijk en aan te spreken?
4.3 Zijn de gegevens (fysiek) benaderbaar en aan te spreken?
5.1 Is de organisatie bekend met de wet- en regelgeving en wordt het toegepast?
5.2 Wordt binnen de organisatie informatie volgens de wet geldende richtlijnen verwerkt?
5.3 Zijn de ESI en ISO-normen bekend binnen de organisatie?
5.4 Is in uw bedrijf ISO 15489-1 geïmplementeerd?
5.5 Is de archiefwet en archiefbesluit 1995 geïmplementeerd?
5.6 Wordt er bij de digitale handtekening voldaan aan de voorwaarden beschreven in art. 3:15a lid 2 BW.
6.17 Is alle data opgeslagen op 1 centraal punt? (bijvoorbeeld: datawarehouse) 9.1 Is er een centraal en gecontroleerd archief of archiefafdeling?
9.2 Wordt er gebruik gemaakt van papieren archivering?
9.3 Wordt er gebruikt gemaakt van digitale archivering?
71
Control 1.3 Heeft de organisatie de processen en procedures voor de digitale beheeromgeving beschreven?
1.5 Zijn de taken, verantwoordelijkheden en bevoegdheden voor de digitale beheeromgeving waaronder: digitalisering, duurzame toegankelijkheid, archiefbeheer en betrouwbaarheid van informatie vastgelegd en belegd? En is tevens op basis hiervan de continuïteit gewaarborgd in het geval van organisatiewijziging?
1.4 Ondergaat de organisatie periodiek (externe)
2.3 Worden er binnen de organisatie
audits en/of certificering op het gebied van de
controles uitgevoerd op de juistheid van de
digitale beheeromgeving?
verwerking van informatie?
2.9 Is er binnen uw organisatie een alles omvattend ERP systeem/ programma? (Enterprise resource planning)
2.11 Heeft de organisatie een ‘lifecycle’ beleid of iets wat hierop lijkt?
2.12 Is er een content value chain strategie in de bedrijfsprocessen geïmplementeerd?
2.13 Worden informatieprocessen geïntegreerd in bedrijfsprocessen?
6.4 Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat bewaartermijnen juist of onjuist zijn gehanteerd conform de wet en
72
regelgeving over bewaartermijnen van diverse documenten?
6.6 Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat vernietigingstermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten?
Juridische dienst
3.8 Stelt de organisatie in een Service Level Agreement (SLA) eisen aan de interne of externe ICT dienstverlener ten aanzien van beveiliging en beheerprestaties? 2.9 Importeert, converteert, migreert en exporteert
3.1.6
Bevatten de weergaven van de
het systeem digitale archiefstukken en de
gegevens de juiste oorspronkelijke vorm en
bijbehorende metadata uitsluitend met behoud van
inhoud van het afgebeelde deel van de
de authenticiteit,
realiteit? (authenticiteit)
(betrouwbaarheid, integriteit en bruikbaarheid) op elk aggregatieniveau? 1.1 Heeft de organisatie door het bestuur en/of
5.1 Is de organisatie bekend met de wet- en
management vastgesteld informatiebeleid dat
regelgeving en wordt het toegepast?
aansluit bij de geformuleerde organisatiedoelstellingen. Onderdelen van
5.2 Wordt binnen de organisatie informatie
informatiebeleid zijn tenminste:
volgens de wet geldende richtlijnen
a het voldoen aan de wettelijke eisen voor het
verwerkt?
bewaren van informatie; 5.3 Zijn de ESI en ISO-normen bekend binnen de organisatie?
5.4 Is in uw bedrijf ISO 15489-1 geïmplementeerd?
73
5.5 Is de archiefwet en archiefbesluit 1995 geïmplementeerd?
5.6 Wordt er bij de digitale handtekening voldaan aan de voorwaarden beschreven in art. 3:15a lid 2 BW.
6.2 Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving betreft het bewaren van informatie? 3.2.1
Wordt er gebruik gemaakt van
digitale handtekeningen?
3.2.2
Is de authenticiteit van digitale
documenten aantoonbaar middels een digitale handtekening?
6.5 Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving voor vernietigingstermijnen?
74
Bijlage 3: Resultaten vragenlijst Rodin en CER bij de gemeenten X en Y RODIN 1 Beleid en organisatie
X
Y
Nee
nee
Nvt
nvt
Nvt
nvt
Nvt
nvt
Nvt
nvt
Ja
Deels
deels
Deels
Ja
ja
deels
deels
ja (?)
ja (?)
1.1 De organisatie heeft een door het bestuur en/of management vastgesteld informatiebeleid dat aansluit bij de geformuleerde organisatiedoelstellingen. Onderdelen van informatiebeleid zijn tenminste: a het voldoen aan de wettelijke eisen voor het bewaren van informatie; b een beschrijving van de relatie tussen de bedrijfsprocessen en de opgenomen informatie; c een beschrijving van of verwijzing naar de bewaarstrategie van de organisatie die rekening houdt met conversie, migratie of emulatie in geval van veranderende (technische) omstandigheden; d een beschrijving van het beveiligingsbeleid waarin taken en verantwoordelijkheden voor informatiebeveiliging zijn belegd.
1.2 De organisatie is in staat verantwoording af te leggen over alle activiteiten ten behoeve van de werking en het beheer van de digitale beheeromgeving op basis van toetsbare eisen van een door haar toe te passen kwaliteitssysteem.
1.3 De organisatie heeft de processen en procedures voor de digitale beheeromgeving beschreven.
1.4 De organisatie ondergaat periodiek (externe) audits en/of certificering op het gebied van de digitale beheeromgeving.
1.5 De taken, verantwoordelijkheden en bevoegdheden voor de digitale beheeromgeving waaronder: digitalisering, duurzame toegankelijkheid, archiefbeheer en betrouwbaarheid van informatie zijn vastgelegd en belegd. Tevens is op basis hiervan de continuïteit gewaarborgd in het geval van organisatiewijziging.
1.6 De digitale beheeromgeving is opgenomen in de meerjarenbegroting van de organisatie, waarbij voldoende middelen beschikbaar worden gesteld om de continuïteit ervan te waarborgen.
75
1.7 De organisatie beschikt over voldoende medewerkers, met voldoende kennis en competenties, om al haar taken en verantwoordelijkheden op het
ja (?)
ja (?)
ja
ja
ja
Ja
niet zeker
Ja
ja
Ja
ja
Ja
c Samenhang met andere beheerde archiefstukken;
ja
Ja
d Uitgevoerde beheeractiviteiten;
ja
Ja
niet zeker
Ja
niet zeker
Nvt
nvt
Nvt
deels
deels
gebied van de digitale beheeromgeving te kunnen uitvoeren.
2 Informatiebeheer
2.1 Alle digitale archiefstukken worden geklasseerd op basis van een classificatieschema/ordeningsstructuur.
2.2 Het systeem kent automatisch een uniek identificatiekenmerk toe aan alle onderdelen die op basis van het classificatieschema/de ordeningsstructuur worden vastgelegd, bijvoorbeeld aan zaaktypen/processen, zaken en digitale archiefstukken.
2.3 Het systeem kan in het classificatieschema veranderingen aanbrengen en bij deze wijzigingen moet de consistentie binnen het schema alsmede tussen het schema en de archiefbestanddelen gewaarborgd blijven.
2.4 Van alle archiefstukken wordt tenminste de volgende informatie in de metadata vastgelegd: a Inhoud, structuur, verschijningsvorm en gedrag; b Wanneer, door wie en waarom de archiefstukken zijn opgemaakt en werden ontvangen;
e Actuele en oorspronkelijke technische aard, ook van de hard- en softwareomgeving; f Aard van de digitale handtekening (indien aanwezig); g Wijze van versleuteling (algoritme) en decryptiesleutel (indien van toepassing).
2.5 Metadata worden op gestandaardiseerde wijze toegekend,bijvoorbeeld met behulp van standaard woordenlijsten.
2.6 Het systeem gebruikt een door het bestuur en/of management vastgesteld autorisatieschema waarmee alle gebruikerstaken en beheeractiviteiten als rollen ja
Ja
aan medewerkers worden toegekend.
76
2.7 Digitale archiefstukken worden opgeslagen in door het bestuur aangewezen, valideerbare en volledig gedocumenteerde bestandsformaten, die voldoen aan een open standaard, tenzij dit redelijkerwijs niet kan worden
deels
Deels
Ja
Ja
ja (?)
ja
Ja
ja
Ja
ja
Ja
ja
niet zeker
ja
verlangd.
2.8 De koppeling tussen een digitaal archiefbestanddeel (op elk aggregatieniveau) en de daarbij behorende metadata moet tot het moment van verwijdering kunnen worden gereconstrueerd.
2.9 Het systeem importeert, converteert, migreert en exporteert digitale archiefstukken en de bijbehorende metadata uitsluitend met behoud van de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid op elk aggregatieniveau.
2.10 De integriteit en leesbaarheid van digitale archiefstukken kan worden vastgesteld, gecontroleerd, gedocumenteerd en geborgd tegen ongeautoriseerde wijzigingen en beschadigingen.
2.11 Door middel van een zoekopdracht kunnen alle digitale archiefstukken en hun metadata op elk aggregatieniveau worden getoond, met inachtneming van autorisaties.
2.12 De bewaartermijn van digitale archiefbescheiden wordt automatisch op elk aggregatieniveau vastgelegd. De bewaartermijnen worden nageleefd met inachtneming van de wettelijke selectietermijnen, -procedures en vervolgacties (vernietigen, overdragen of exporteren).
2.13 Ter waarborging van de samenhang en volledigheid wordt een waarschuwing gegeven wanneer er een link of verwijzing bestaat tussen verschillende digitale archiefbestanddelen op alle aggregatieniveaus, waarvan een onderdeel op het punt staat te worden vernietigd, overgedragen of geëxporteerd en het andere niet.
2.14 Vernietigen van archiefstukken moet zo gebeuren dat deze op geen enkele wijze kunnen worden gereproduceerd.
niet zeker (nog niet toegepast)
3 ICT-beheer en –beveiliging
77
ja
3.1 De organisatie doet aan een systematische risicoanalyse voor factoren als data, systemen, personeel, fysieke locatie en beveiligingseisen.
3.2 De organisatie hanteert een beveiligingsplan m.b.t. informatiebeveiliging gebaseerd op de Code voor Informatiebeveiliging of vergelijkbare richtlijn.
deels
deels
ja
ja
ja
ja
ja
Deels
ja
ja
ja
ja
deels
ja
ja
ja
3.3 De organisatie heeft een overzicht van de gehanteerde beveiligingsmaatregelen en laat periodiek (extern) toetsen of de mate van beveiliging nog passend is.
3.4 De organisatie beschikt over een passende back-upstrategie, calamiteitenen herstelplan.
3.5 De organisatie maakt periodiek back-ups van alle opgeslagen informatie en bewaart deze informatie in een kluis op een andere locatie.
3.6 Back-ups en herstelplannen worden periodiek gecontroleerd op juiste werking.
3.7 De organisatie heeft de taken en verantwoordelijkheden voor functioneel beheer, applicatiebeheer en technisch beheer belegd en ingericht voor de digitale beheeromgeving op basis van gangbare beheerstandaarden.
3.8 De organisatie stelt in een Service Level Agreement (SLA) eisen aan de interne of externe ICT dienstverlener ten aanzien van beveiliging en beheerprestaties.
78
Checklist e-discovery readiness Nr.
VRAAG
X
Y
Opmerkingen
1: Algemene vragen betreft de organisatie 1.1
Wat is de naam van uw
Gemeente X Gemeente Y
Algemene vraag
100>-<500
Belangrijk ivm met wet-
organisatie? 1.2
Hoeveel medewerkers telt
100>-<500
uw organisatie?
1.3
en regelgeving.
Wat is uw organisatietype?
Overheid
Overheid
Belangrijk ivm met weten regelgeving.
1.4
Heeft de organisatie een
Nvt
nvt
ja
ja
ja
ja
ja (deels)
Ja
ja
ja
ja
ja
duidelijk beschreven missie vastgelegd? 1.5
heeft de organisatie een duidelijk beschreven visie vastgelegd?
1.6
heeft de organisatie een duidelijk
beschreven
strategie vastgelegd? 1.7
Is de taakverdeling/ functiebeschrijving bij medewerkers binnen het bedrijf duidelijk?
1.8
Zijn er verantwoordelijke personen aangewezen voor het beheren van informatie?
1.9
is er in het bedrijf een informatiemanager werkzaam? (Iemand die de stroom van documenten bewaakt)
79
1.10
Is of zijn er aparte
ja
ja
functie(’s) voor DIVér of record manager of protocollist in de organisatie aanwezig? 1.11
1.12
Werkt de organisatie
ja, namelijk nee
volgens een
INK
kwaliteitsmodel? Zo ja,
overheidsm
welke
odel
Is er een document
Ja (deels)
nee (?)
aanwezig waarin een overzicht staat van de richtlijnen waaraan het bedrijf moet voldoen en welke processen en procedures daarbij horen? 2: informatie audits -beleid en –systemen 2.1
Zijn er in de afgelopen 2
Ja
nee (2010) (?)
ja (deels)
ja (?)
Ja
ja
ja
ja
nee
nee (niet
Een EDP is een
zeker)
onafhankelijke en
jaar één of meer audits geweest die het beheer van informatie binnen de organisatie beoordeeld hebben? 2.2
Is er binnen uw organisatie recent een IT gerelateerde audit geweest?
2.3
Worden er binnen de organisatie controles uitgevoerd op de juistheid van de verwerking van informatie?
2.4
Wordt er regelmatig een beveiligingsaudit uitgevoerd?
2.5
Is er binnen uw organisatie een EDP-beleid? (Electronic Data
onpartijdige
Processing)
beoordeling van de betrouwbaarheid, beveiliging, effectiviteit 80
en efficiency van geautomatiseerde informatiesystemen, de organisatie van de automatiseringsafdeling en de technisch/ organisatorische infrastructuur van de geautomatiseerde gegevensverwerking. 2.6
Is er een recent (afgelopen
nee
nee
jaar) informatiebeleidsplan in de organisatie aanwezig? 2.7
Is/ zijn er
ja, meer dan ja, meer dan
managementinformatie
1 systeem
1 systeem
ja
ja
systemen binnen de organisatie? 2.8
Wordt er gebruik gemaakt
Een SAN is een
van een Storage Area
architectuur die dient
Network (SAN)?
als koppeling tussen servers (initiator) en opslagapparaten (target)
2.9
Is er binnen uw organisatie nee
nee
ERP-systeem/
een alles omvattend ERP
programma wordt
systeem/ programma?
voornamelijk binnen
(Enterprise resource
organisaties gebruikt
planning)
ter ondersteuning van alle processen binnen het bedrijf.
2.10
Bestaat er binnen de
nee (sluit
organisatie een
aan bij KING
ja (deels) (?)
Informatiearchitectuur beschrijft de
informatiearchitectuur ofwel standaarden
inhoudelijke relaties en
digitale architectuur ofwel
samenhang tussen
)
een architectuur van de
toepassingen en
informatievoorziening?
gegevensverzameling onderling. Hiermee worden de relaties met informatie en
81
communicatie als bedrijfsmiddel/ productiefactor van een organisatie inzichtelijk. 2.11
Heeft de organisatie een
ja
ja
‘Lifecycle’ is het hele
‘lifecycle’ beleid of iets wat
proces van ontstaan
hierop lijkt?
van informatie, toegang en beheer, het gebruiken en beveiligen, archiveren of vernietigen van informatie.
2.12
Is er een content value
ja (deels)
ja (deels)
ja
ja
chain strategie in de bedrijfsprocessen geïmplementeerd? 2.13
Worden informatieprocessen geïntegreerd in bedrijfsprocessen?
3: Historiciteit van documenten (de integriteit, de authenticiteit, de controleerbaarheid) 3.1 De integriteit 3.1.1
Zijn de gegevens getrouw,
ja
ja
ja
ja
ja
ja
ja (deels)
ja (deels)
ja (deels)
ja
exact en gedetailleerd? (accuratesse) 3.1.2
Geven de gegevens de werkelijkheid weer zoals die is op het moment dat het archiefdocument wordt geproduceerd? (actualiteit)
3.1.3
Zijn de gegevens integer? (controleerbaarheid)
3.1.4
Geven de gegevens een waarheidsgetrouw beeld van de werkelijkheid? (juistheid)
3.1.5
Vormen de gegevens een volledige afbeelding van de werkelijkheid? (volledigheid)
82
3.1.6
Bevatten de weergaven
ja (deels)
ja (deels)
Aanvullende vragen
van de gegevens de juiste
betreffende
oorspronkelijke vorm en
procesgebonden
inhoud van het afgebeelde
archiefdocumenten
deel van de realiteit? (authenticiteit) 3.1.7
Krijgen de gegevens
weet niet
weet niet
Aanvullende vragen
betekenis of zijn ze
betreffende
begrijpbaar door de
procesgebonden
gebruikte semantiek?
archiefdocumenten
(juistheid in semantische zin) 3.1.8
Krijgen de gegevens
weet niet
weet niet
Aanvullende vragen
betekenis of zijn ze
betreffende
begrijpbaar door de
procesgebonden
gebruikte syntaxis plaats?
archiefdocumenten
(juistheid in syntactische zin) 3.1.9
Wordt de actualiteit van de
ja
ja
Aanvullende vragen
gegevens vastgehouden in
betreffende
de tijd? (historiciteit)
procesgebonden archiefdocumenten
3.2 De authenticiteit 3.2.1
Wordt er gebruik gemaakt
ja (deels)
van digitale
nee
(deels, Door gebruik van een
niet officieel)
handtekeningen?
digitale handtekening kan zakelijk documentenverkeer met een formeel of juridisch karakter geheel digitaal plaatsvinden. De elektronische handtekening is rechtsgeldig wanneer er is voldaan aan de voorwaarden beschreven in art. 3:15a lid 2 BW.
3.2.2
Is de authenticiteit van
nee (?)
nee
83
digitale documenten aantoonbaar middels een digitale handtekening. 3.3 De controleerbaarheid 3.3.1
Worden er binnen de
ja?
weet niet
ja?
weet niet
organisatie eisen gesteld aan archiefdocumenten als samenstel van afzonderlijke elementen? 3.3.2
Worden er binnen de
Ieder element is
organisatie eisen gesteld
essentieel voor de
aan de afzonderlijke
kwaliteit van het
elementen binnen het
document als geheel.
archiefdocument? Wordt er binnen uw bedrijf
ja
ja
nee (deels)
ja (deels)
ja
ja
onderscheid gemaakt tussen ‘informatie’ (gegevens) en ‘records’ (archiefdocumenten)? 4: Vindbaarheid van documenten 4.1
Is het duidelijk voor alle medewerkers waar alle gegevens en informatie staan opgeslagen?
4.2
Zijn de gegevens (fysiek)
Gegevens moeten als
toegankelijk en aan te
object gevonden
spreken?
kunnen worden. (toegankelijkheid)
4.3
Zijn de gegevens (fysiek)
ja
ja
Gegevens moeten
benaderbaar en aan te
‘gelezen’ en begrepen
spreken?
kunnen worden.
5: Compliance 5.1
Is de organisatie bekend
ja
ja
Ja
ja
met de wet- en regelgeving en wordt het toegepast?
5.2
Wordt binnen de organisatie informatie volgens de wet geldende
84
richtlijnen verwerkt?
5.3
Zijn de ESI en ISO-normen
ja
(min
of ja (min of
bekend binnen de
meer)
meer)
weet niet
weet niet
organisatie? 5.4
Is in uw bedrijf ISO 154891 geïmplementeerd?
5.5
Is de archiefwet en
(deels)
ja
ja
nee (?)
nee
archiefbesluit 1995 [geimplementeerd ?(AJ)] 5.6
Wordt er bij de digitale
De handtekening is op
handtekening voldaan aan
unieke wijze aan de
de voorwaarden
ondertekenaar
beschreven in art. 3:15a lid
verbonden (sub a). De
2 BW.
handtekening maakt het mogelijk de ondertekenaar te identificeren (sub b). De handtekening is tot stand gekomen met middelen die onder de uitsluitende controle van de ondertekenaar staan (sub c): het moet met zijn computer zijn gebeurd. De handtekening moet zodanig aan het meegestuurde document zijn verbonden, dat elke wijziging achteraf kan worden opgespoord (sub d). (Wikipedia, 2011)
6: Bewaren en vernietigen
85
6.1
Is er sprake van
ja
ja
ja
ja
ja
ja
ja
ja
ja
ja
ja
ja
ja
ja
versiebeheer bij deze documenten? 6.2
Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving betreft het bewaren van informatie?
6.3
Worden de wettelijke regels met met betrekking tot bewaren van informatie nageleefd?
6.4
Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat bewaartermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten?
6.5
Is de organisatie bekend betreft de richtlijnen en wet- en regelgeving voor vernietigingstermijnen?
6.6
Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat vernietigingstermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten?
6.7
Wordt de informatie die mag/ moet worden vernietigd ook daadwerkelijk vernietigd?
86
6.8
Heeft de organisatie een
ja
ja
ja
ja
bewaar/ vernietigingsbeleid?
6.9
Is er binnen de organisatie
Wanneer de
een retention schedule
organisatie geen
(vernietigingslijst)?
retention schedule heeft en er een juridische procedure waarbij je informatie moet opleveren, dan kan alles wat boven tafel komt als bewijs dienen. Ook de informatie die al vernietigd had mogen of moeten worden.
6.10
Zijn oudere data
ja (deels)
ja (deels)
ja
ja
reconstrueerbaar? 6.11
Is de kwaliteit van informatie gedurende de totale levensfase gegarandeerd?
6.12
Kan een aangepast digitaal ja
ja (?)
document naar de oorspronkelijke versie worden teruggedraaid 6.13
Zijn er toegangscontroles
nee (?)
ja
ja
ja
ja
ja
voor data? 6.14
Is aanmaak datum van data bekend?
6.15
Is de laatste wijziging van de data bekent?
6.16
Is de actor/gebruiker bekent als de data
ja ja
aangemaakt of gewijzigd wordt? 87
6.17
Is alle data opgeslagen op
nee
nee (?)
nee (deels)
ja
ja
ja (?)
1 centraal punt? (bijvoorbeeld: datawarehouse) 7: Formaat 7.1
Is er binnen uw organisatie de zekerheid dat de door jullie opgeslagen informatie over 10 jaar nog voor handen is en dat de data dan ook nog gelezen en gebruikt kan worden?
7.2
Wordt er binnen de organisatie gewerkt met open-standaarden?
8: Back-up 8.1
Is er een back-up aanwezig ja
ja
van de informatie die gereproduceerd moet kunnen worden?
8.2
Is er beleid binnen uw
ja
ja (?)
ja
ja
ja (deels)
ja
ja
ja
ja
ja
ja
ja
organisatie welke de retentieperiode van backups vastlegt? 9: Archivering 9.1
Is er een centraal en gecontroleerd archief of archiefafdeling?
9.2
Wordt er gebruik gemaakt van papieren archivering?
9.3
Wordt er gebruikt gemaakt van digitale archivering?
9.4
Wordt er gebruik gemaakt van metadata?
9.5
Is alles in het archief nog
88
leesbaar en/of te reconstrueren? 9.6
Is er autorisatie nodig voor
ja
ja
archivering?
Bijlage 4: Protocol interview experts Gebruikte vragenlijsten: (verschillen tussen) Rodin en de Checklist E-discovery readiness Interviews: Algemene structuur van interview: 1.
Introductie -voorstellen -gespreksdoel -opbouw -geschatte duur -waardering deelname -belang van informatie -wat gebeurt er met de informatie (vertrouwelijkheid) -toestemming vragen voor opname interview
2.
Vragen over de gevonden verschillen tussen de beide vragenlijsten
3.
Afsluiting
Waar hebben we het over? -Heeft u wel eens onderzoek gedaan naar de kwaliteit van de informatiehuishouding van een organisatie? -heeft u daar wel eens een vragenlijst of checklist bij gebruikt? - welke definities van checklist/vragenlijst hanteert u: een chekclist van het auditproces zelf of een overzicht van inhoudelijke vragen/onderwerpen die aan bod moeten komen? -In wat voor soort situaties wordt een forensic readiness checklist/informatie audit vragenlijst gebruikt? - als u onderzoek uitvoert, kijkt u dan naar het verschil tussen beleid-visie-regels die er zijn en de daadwerkelijke uitvoering? 89
Organisatie -in hoeverre zijn de volgende organisatie-kenmerken/aspecten van belang om te weten? (-naam) (CER 1.1) -hoeveelheid medewerkers (CER 1.2) -organisatieype (CER 1.3) -missie (CER 1.4) -visie (CER 1.5) -strategie (CER 1.6) -in hoeverre is het van belang te vragen of continuïteit van taken verantwoordelijkheden en bevoegdheden binnen de organisatie gewaarborgd is? (Rodin 1.5; CER 1.7 / 1.8 / 1.9 / 1.10) -is het van belang dat organisatie taken/verantwoordelijkheden voor functioneel beheer, applicatiebeheer en technisch beheer heeft geregeld op basis van gangbare standaarden? (Rodin 3.7) -in hoeverre is het van belang om aan een systematische risicoanalyse te doen (data, systemen, personeel, fysieke locatie, beveiligingseisen)? (Rodin 3.1) -in hoeverre is het van belang dat de organisatie een beveiligingsplan heeft mbt informatiebeveiliging bijv. gebaseerd op Code informatiebeveiliging of vergelijkbare richtlijn) en een overzicht van gehanteerde beveiligingsmaatregelen? (Rodin 3.2 / 3.3 CER bevat wel algemeen vragen naar NEN-ISO normen (=o.a. Code voor Informatiebeveiliging) (CER 5.3) en vraag naar beveiligingsaudit (CER 2.4)) -in hoeverre is het van belang dat de organisatie beschikt over een calamiteiten- en herstelplan? (Rodin 3.4, in CER zitten wel vragen over back-up (CER 8.1 / 8.2)) Systemen / vindplaats, ordening en samenhang van informatie -in hoeverre is het van belang te weten of gebruik gemaakt wordt van bepaalde systemen? -Management informatie systeem (CER 2.7) -Storage Area Network (CER 2.8) -Enterprise Resource Planning (CER 2.9) -in hoeverre is het van belang te weten waar de gegevens zich bevinden? -zijn de gegevens toegankelijk (CER 4.2) -zijn de gegevens benaderbaar (CER 4.3) - is alle data opgeslagen op 1 centraal punt (bijv. datawarehouse) (CER 6.17) -is er een centraal en gecontroleerd archief/archiefadeling (CER 9.1) -wordt er gebruik gemaakt van papieren archivering (CER 9.2) -wordt er gebruik gemaakt van digitale archivering (CER 9.3) 90
- in hoeverre is wijze van ordening (classificatieschema/ordeningsstructuur) van belang? (Rodin 2.2 / 2.3) en waarborging van de consistentie binnen deze structuur? -in hoeverre is het van belang de samenhang te waarborgen tussen verschillende digitale archiefbestanddelen? (Rodin 2.13) -in hoeverre is het van belang te weten of er ook gezocht kan worden naar archiefstukken (heeft (archief)systeem een zoekfunctie) en het resultaat hiervan? (Rodin 2.11, in de CER wordt wel gevraagd of informatie benaderbaar en toegankelijk is (CER 4.2 / 4.3) en of het voor medewerkers duidelijk is waar informatie staat opgeslagen (CER 4.1)) -in hoeverre is het van belang te weten of er onderscheid wordt gemaakt tussen informatie (gegevens) en records (archiefdocumenten) (CER 3.3.3)? Metadata -in hoeverre is het belang te weten dat oorspronkelijke technische aard (hard- en softwareomgeving) vastgelegd wordt (Rodin 2.4e) -in hoeverre is het van belang te weten of de wijze van versleuteling en decryptiesleutel vastgelegd wordt? (Rodin 2.4g) -in hoeverre is de wijze waarop metadata wordt toegekend van belang? (Rodin 2.5) -in hoeverre is het van belang te weten of de koppeling tussen een digitaal bestanddeel en bijbehorende metadata op elk moment (tot verwijdering) kan worden gereconstrueerd? (Rodin 2.8) “technisch”/ICT -in hoeverre is het van belang te weten of back-ups worden gecheckt op hun werking? (Rodin 3.6) -is het van belang te weten of eisen aan ICT dienstverleners worden gesteld tav beveiliging en beheerprestaties? (Rodin 3.8) -in hoeverre is het van belang te weten dat serverruimte aan gestelde eisen voldoet (Rodin 3.9) Kosten-baten afweging: - in hoeverre is het van belang in je audit mee te nemen of er voldoende gekwalificeerde mensen en voldoende middelen beschikbaar zijn voor informatiebeheer? (Rodin 1.6 / 1.7)
91
Bijlage 5: Plan van Aanpak Inhoud plan van aanpak afstudeeropdracht Media, Informatie en Communicatie
Student Naam student: Annemarie Jol
Profiel: Informatie en Media deeltijd
Studentnummer: 500119377
Groep: D09 | D5all
E-mailadres:
[email protected] Telefoonnummer:
Paraaf voor akkoord student: Datum:
Paraaf voor akkoord docent-begeleider en tweede docent: Datum:
Paraaf voor akkoord afstudeercommissie: Datum:
Probleemsituatie: Aanleiding is een gesprek met G.J. van Bussel, lector van het lectoraat Digital Archiving and Compliance, welke tevens opdrachtgever is. Vanuit het vak van informatiemanagement wordt er gebruik gemaakt van een instrument voor een informatie audit, om te kunnen onderzoeken of en hoe goed een organisatie zijn informatievoorziening op orde heeft. Recentelijk is vanuit het lectoraat E-Discovery een checklist voor ‘forensic readiness’ ontwikkeld, die (vanuit een ander oogpunt) ook onderzoekt of en hoe een organisatie zijn informatievoorziening op orde heeft. Omdat beide instrumenten gebruikt worden voor onderzoek naar hetzelfde, zou je kunnen verwachten dat de resultaten bij het gebruik van beide instrumenten hetzelfde zijn. Omdat ze echter vanuit een hele andere achtergrond ontwikkeld zijn, en wellicht een heel ander doel dienen zou het heel goed kunnen dat de resultaten van elkaar verschillen. Het op orde hebben van de informatiehuishouding is om vanuit meerdere oogpunten en om meerdere redenen van belang. Informatie is de vijfde productiefactor en wanneer een organisatie daar optimaal gebruik van wil maken om de effectiviteit en efficiency van de bedrijfsprocessen te optimaliseren, moet de informatievoorziening goed op orde zijn. Daarnaast vindt in vrijwel alle organisaties een enorme toename van informatie plaats en is er tevens een toename van het aantal regels, die organisaties opdragen verantwoording af te leggen over hun handelen. Wanneer er een incident of een onderzoek plaatsvindt en/of er verantwoording afgelegd moet worden, is het van belang deze informatie zo volledig mogelijk op effectieve en efficiënte wijze te kunnen 92
achterhalen. Ook hierbij is het van belang dat de informatievoorziening op orde is, want dit bespaart de organisatie kosten en tijd bij een onderzoek. Wanneer je onderzoek wilt doen naar de gesteldheid van de informatievoorziening van een organisatie, wil je dat deze zo volledig mogelijk is voor het doel waarvoor je het inzet. Nu nog niet helder is op welke punten deze instrumenten verschillen, is het niet mogelijk om een doelbewuste keuze maken voor het ene of het andere instrument, dan wel items uit beide instrumenten te gebruiken om een zo volledig mogelijk onderzoek te doen. Via een indirect contact heb ik gehoord dat zowel de gemeente Y als de gemeente X geïnteresseerd zijn in een onderzoek naar de staat van hun informatievoorziening. Wanneer ik het onderzoek in twee gemeenten uitvoer, kan ik de gevonden resultaten ook met elkaar kan vergelijken. Daarom heb ik voorgesteld om het onderzoek in beide gemeenten uit te voeren.
Probleemstelling Wat zijn de verschillen in resultaat tussen toepassing van de informatie audit vragenlijst en de forensic readiness checklist bij de gemeente X en de gemeente Y en maken deze verschillen een keuze nodig voor toepassing van één van beide instrumenten of is het mogelijk dat beide instrumenten elkaar aanvullen?
Doelstelling Inzicht krijgen in het verschil in resultaten bij toepassing van de informatie audit vragenlijst en de forensic readiness checklist in (twee) gemeentelijke organisaties om advies te kunnen geven wanneer het best gekozen kan worden voor welk instrument en waarin ze elkaar kunnen aanvullen.
Deelvragen Deelvraag 1 Wat is de theoretische achtergrond (essentie, context, doelen) van een informatie audit vragenlijst en in welke aspecten verschilt deze van een forensic readiness checklist? Deelvraag 2 Wat is de theoretische achtergrond (essentie, context, doelen) van een forensic readiness checklist en in welke aspecten verschilt deze van een informatie audit
93
vragenlijst? Deelvraag 3 Wat zijn de verschillen in resultaten tussen de informatie audit vragenlijst en de forensic readiness checklist bij toepassing in de gemeente X en de gemeente Y? Deelvraag 4 Is een keuze voor toepassing van één van beide instrumenten nodig en waarom? Deelvraag 5 Is het mogelijk en zinvol dat beide instrumenten elkaar aanvullen en zo ja, hoe?
Matrix deelvragen/methode van onderzoek Deskresearch
Fieldresearch
Internationale component
Kwantitafief
Kwalitatief
onderzoek
onderzoek
Deelvraag 1
X
X
Deelvraag 2
X
X
Deelvraag 3
X
X
Deelvraag 4
X
X
Deelvraag 5
X
X
Verantwoording methode van onderzoek Deelvraag 1 Wat is de theoretische achtergrond (essentie, context, doelen) van een informatie audit vragenlijst en in welke aspecten verschilt deze van een forensic readiness checklist? Om deze vraag te beantwoorden gebruik ik de methode van deskresearch. Ik verwacht in de literatuur informatie te vinden over de theoretische achtergrond van de informatie audit vragenlijst. Daarbij wil ik o.a. antwoord krijgen op de vragen wat een informatie audit is, in welke context een informatie audit uitgevoerd wordt, wat het doel is van een informatie audit, wat informatie audit vragenlijsten zijn, verschillende informatie audit vragenlijsten die er bestaan, waarvoor deze gebruikt worden, hoe ze zijn ontwikkeld en vanuit welke visie/model ze ontwikkeld zijn. Op deze wijze kan ik op basis van diverse bronnen een gefundeerd antwoord geven op deze deelvraag. Tevens kan ik hierbij gebruik maken van internationale literatuur en onderzoek dat gedaan is betreffende dit onderwerp. 94
Met de informatie die nodig is om deze vraag te beantwoorden kan ik (een deel van) het theoretisch kader schetsen waarbinnen dit onderzoek plaatsvindt en het geeft een basis voor de analyse en interpretatie van de resultaten van het praktijkdeel van dit onderzoek. Tevens zal ik op basis van de informatie die ik vind over verschillende informatie audit vragenlijsten een gemotiveerde keuze kunnen maken voor een specifieke vragenlijst die ik in mijn onderzoek ga gebruiken. Daarna voer ik een inhoudsanalyse van de vragenlijsten uit. Hierbij vergelijk ik de vragenlijsten met elkaar en kijk welke vragen overeenkomen, ongeveer overeenkomen en welke niet in het andere instrument voorkomen. Op deze manier kan ik achterhalen op welke aspecten de vragenlijsten van elkaar verschillen. Mogelijk heb ik hierbij nog wat achtergrondinformatie nodig (deskresearch) over de gebruikte terminologie.
Deelvraag 2 Wat is de theoretische achtergrond (essentie, context, doelen) van een forensic readiness checklist en in welke aspecten verschilt deze van een informatie audit vragenlijst? Om deze vraag te beantwoorden gebruik ik de methode van deskresearch. Ik verwacht in de literatuur informatie te vinden over de theoretische achtergrond van de forensic readiness checklist. Daarbij wil ik o.a. antwoord krijgen op de vragen wat forensic readiness is, in welke context en met welk doel een onderzoek naar forensic readiness uitgevoerd wordt, wat een forensic readiness checklist is, of er verschillende forensic readiness checklists bestaan, waarvoor deze gebruikt worden hoe ze zijn ontwikkeld en vanuit welke visie/model ze zijn ontwikkeld. Op deze wijze kan ik op basis van diverse bronnen een gefundeerd antwoord geven op deze deelvraag. Tevens kan ik hierbij gebruik maken van internationale literatuur en onderzoek dat gedaan is betreffende dit onderwerp (veel van de literatuur over forensic readiness is internationaal). Met de informatie die nodig is om deze vraag te beantwoorden kan ik (een deel van) het theoretisch kader schetsen waarbinnen dit onderzoek plaatsvindt en het geeft een basis voor de analyse en interpretatie van de resultaten van het praktijkdeel van dit onderzoek. Tevens zal ik op basis van de informatie die ik vind over verschillende forensic readiness checklists een gemotiveerde keuze kunnen maken voor een specifieke checklist die ik in mijn onderzoek ga gebruiken. Daarna voer ik een inhoudsanalyse van de vragenlijsten uit. Hierbij vergelijk ik de vragenlijsten met elkaar en kijk welke vragen overeenkomen, ongeveer overeenkomen en welke niet in het andere instrument voorkomen. Op deze manier kan ik achterhalen op welke aspecten de vragenlijsten van elkaar verschillen. Mogelijk heb ik hierbij nog wat achtergrondinformatie nodig (deskresearch) over de gebruikte terminologie.
Deelvraag 3 Wat zijn de verschillen in resultaten tussen de informatie audit vragenlijst en de forensic readiness checklist bij toepassing in de gemeente X en de gemeente Y? 95
Om deze vraag te beantwoorden ga ik de beide instrumenten toepassen. Dit ga ik doen door kwalitatief onderzoek in de vorm van interviews. Aan beide vragenlijsten zitten verschillende aspecten: primaire informatieaspecten, ICTaspecten, juridische aspecten, controletechnische aspecten en daarnaast kun je onderscheid maken tussen onderdelen die vooral op uitvoerend niveau gelden en onderdelen die meer op beleidsmatig/management niveau spelen. Daarom zou ik interviews af willen nemen met: - manager/beleidsverantwoordelijke informatievoorziening - medewerker afdeling DIV/informatiebeheer - medewerker afdeling ICT (die zich oa bezighoudt met de systemen en beveiliging van informatie) - medewerker juridische afdeling - controller De interviews wil ik afnemen volgens een vooraf opgesteld protocol (waarin de vragen van de beide instrumenten opgenomen zijn). Dit verhoogt de betrouwbaarheid van het onderzoek en de resultaten. Door de vragen van beide instrumenten (letterlijk) op te nemen worden daadwerkelijk de instrumenten onderzocht (de instrumenten zijn in dit onderzoek zowel het middel als het te onderzoeken object). Hierdoor en door meerdere mensen binnen de organisatie te interviewen wordt het onderzoek meer valide. Tevens zal ik een aantal documenten die door de gemeentes aangeleverd worden bestuderen (bijv. informatiebeleidsplan, overzicht van gebruikte systemen, evt. auditrapporten etc. (voor beide gemeentes dezelfde documenten, indien aanwezig)). Dit vormt een stukje deskresearch. Deze documenten zal ik op een aantal vooraf vastgestelde (in de instrumenten vastgelegde) criteria toetsen. De informatie verkregen uit de interviews en deskresearch zal ik volgens de methode van kwalitatieve analyse verwerken. Door de verwerking van de verkregen informatie stap voor stap vast te leggen, wordt het onderzoek ook betrouwbaarder.
Deelvraag 4 Is een keuze voor toepassing van één van beide instrumenten nodig en waarom? Om deze vraag te beantwoorden ga ik meerdere onderzoeksmethodes inzetten. Allereerst zal ik via (kwalitatieve) analyse van de resultaten op de eerste vier deelvragen een aantal argumenten voor bevestigend en voor ontkennend antwoord op deze vraag formuleren. Daarna wil ik aan de hand van deze analyse interviews afnemen bij experts. Omdat informatie auditering en forensic readiness onderzoek aparte vakgebieden zijn, wil ik op beide gebieden 3 experts interviewen. Door experts op beide vakgebieden te interviewen en door de interviews te baseren op de resultaten van het onderzoek naar beide instrumenten zou de validiteit gewaarborgd moeten worden. Voor de betrouwbaarheid van het onderzoek wil ik de 3 experts interviewen volgens een vooraf opgesteld protocol (standaardisering van de methode). Experts op het gebied van informatie auditering verwacht ik te vinden bij en via het lectoraat Digital Archiving & Compliance. Experts op het gebied van forensic 96
readiness onderzoek verwacht ik te vinden bij en via het lectoraat E-discovery. De resultaten verkregen uit de interviews wil ik volgens de methode van kwalitatieve analyse verwerken. Door de verwerking stap voor stap vast te leggen neemt de betrouwbaarheid (herhaalbaarheid en inzichtelijkheid) toe.
Deelvraag 5 Is het mogelijk en zinvol dat beide instrumenten elkaar aanvullen en zo ja, hoe? Voor de beantwoording van deze vraag heb ik ook meerdere methodes nodig. Via (kwalitatieve) analyse van de resultaten op de eerste vier deelvragen zal ik een aantal argumenten voor bevestigend en voor ontkennend antwoord op deze vraag formuleren en indien mogelijk een of meerdere suggesties hoe/waarin deze instrumenten elkaar kunnen aanvullen. Aan de hand van deze analyse wil ik interviews afnemen bij experts. Omdat informatie auditering en forensic readiness onderzoek aparte vakgebieden zijn, wil ik op beide gebieden 3 experts interviewen. Door experts op beide vakgebieden te interviewen en door de interviews te baseren op de resultaten van het onderzoek naar beide instrumenten zou de validiteit gewaarborgd moeten worden. Voor de betrouwbaarheid van het onderzoek wil ik de 3 experts interviewen volgens een vooraf opgesteld protocol (standaardisering van de methode). Experts op het gebied van informatie auditering verwacht ik te vinden bij en via het lectoraat Digital Archiving & Compliance. Experts op het gebied van forensic readiness onderzoek verwacht ik te vinden bij en via het lectoraat E-discovery. De resultaten verkregen uit de interviews wil ik volgens de methode van kwalitatieve analyse verwerken. Door de verwerking stap voor stap vast te leggen neemt de betrouwbaarheid (herhaalbaarheid en inzichtelijkheid) toe.
Concept hoofdstukindeling 1)
Inleiding
2)
Theoretische achtergrond
3)
a)
Informatie audit vragenlijst
b)
Forensic readiness checklist
c)
Verschillen tussen beide instrumenten
Praktijkonderzoek a)
Beschrijving en verantwoording gekozen onderzoeksmethode
b)
Onderzoek gemeente X - Uitvoering van het onderzoek
97
- Resultaten van het onderzoek c)
Onderzoek gemeente Y - Uitvoering van het onderzoek - Resultaten van het onderzoek
d)
Analyse van de resultaten van de onderzoeken in de gemeente X en gemeente Y
e)
Interviews met experts - Uitvoering van de interviews -Resultaten van de interviews
4)
Totaalanalyse van de resultaten en beantwoording van de hoofdvraag
5)
Conclusie
6)
Literatuurlijst
7)
Bijlages
Vorm beroepsproduct - Een advies aan het lectoraat Digital Archiving & Compliance over wanneer het beste gekozen kan worden voor welk van de twee instrumenten, waarin ze elkaar aanvullen en indien mogelijk en zinvol een vragenlijst waarin beide instrumenten gecombineerd zijn. Dit advies zal uit een rapport van enkele pagina’s bestaan met daarin beschreven het advies en de motivatie van het advies en mogelijk een volledige vragenlijst. - Een compact advies aan de gemeente X over de kwaliteit van hun informatievoorziening en in welke mate ze ‘forensic ready’ zijn op basis van het in deze gemeente uitgevoerde onderzoek. Dit advies zal bestaan uit een rapport van enkele pagina’s met daarin de gevonden resultaten, een korte analyse en een conclusie over aspecten die op orde waren en een advies over een aantal aspecten die verbeterd kunnen worden. - Een compact advies aan de gemeente Y over de kwaliteit van hun informatievoorziening en in welke mate ze ‘forensic ready’ zijn op basis van het in deze gemeente uitgevoerde onderzoek. Dit advies zal bestaan uit een rapport van enkele pagina’s met daarin de gevonden resultaten, een korte analyse en een conclusie over aspecten die op orde waren en een advies over een aantal aspecten die verbeterd kunnen worden.
98
Tijdsplanning Zie tabel volgende pagina. De volgende onderdelen zal ik in ieder geval voorleggen aan de docent, volgens de planning op: Protocol interviews gemeentes: 18 maart Hoofdstuk 2a en 2b : 25 maart Hoofdstuk 2c: 8 april Protocol interviews experts: 22 april
schrijven onderzoeksvoorstel
schrijven plan van aanpak
Goedkeuring plan van aanpak
Voorbereiding Goedkeuring onderzoeksvoorstel
Fasering
Onderzoeksfase Theoretisch onderzoek deskresearch deskresearch vergelijking informatie forensic instrumenten audit readiness vragenlijst checklist
Analyse en verwerking Praktijkonderzoek interviews interviews analyse expertanalyse analyse schrijven gemeente gemeente interviews interviews expert- totaal en advies Voorst Lochem , opstellen inteviews conclusie gemeente protocol Lochem
Afronding schrijven schrijven Inleveren Examenge advies advies scriptie sprekken gemeente lectoraat Voorst
schrijven scriptieonderdeel weeknrs 1 2 3 4 5 6 7 8 9 10 hfst 1 11 hfst 2a en 12 2b 13 hfst 2c 14 15 hfst 3a 16 hfst 3b en 17 3c 18 hfst 3d 19 hfst 3e 20 21 hfst 4, 5 en 22 6 23 24 25
4-feb
5-mrt
4-jun
Afspraken over de begeleiding Bij het schrijven van het Plan van Aanpak zal er intensiever contact zijn in de begeleiding. Dit kan in de vorm van e-mailcontact, afspraken bij de HvA en evt. waar nodig telefonisch contact. Wanneer de eerste een of twee hoofdstukken (theoretisch gedeelte) klaar zijn, zal ik die per mail voorleggen aan de docent, Martien Hagoort. Hij zal aan de hand daarvan bepalen of ik op de goede weg ben en waar nodig bijsturen/van commentaar voorzien. Tevens zal ik het protocol en de vragen voor de interviews voorleggen aan Martien Hagoort. 99
Wanneer er tussentijds vragen of problemen zijn, zal in eerste instantie het contact via email verlopen en waar nodig kan telefonisch contact gezocht worden of een afspraak gemaakt worden.
Bronnen (literatuurlijst) (o.a.) Ahaus, C.T.B. & F.J. Diepman. (2005). Balanced Scorecard & INKmanagementmodel (derde, geheel herziene druk). Alphen aan den Rijn: Kluwer. Bussel, G.J. van. (2010). E-Discovery readiness, digitale archieven en compliance. Lezing op het I-Symposium E-Discovery - 2 op: 14 april 2010. Geraadpleegd op: 18 januari 2013, van: http://hva.mediamission.nl/Mediasite/Play/254d9fe40e46459ab7e933e57f2858eb1 d?playFrom=2000&autoStart=false&popout=true Bussel, G.J. van. (2012). ‘Archiving should be just like an Apple’, en acht andere (nuttige ?) stellingen. [lectorale rede]. Amsterdam: HvA Publicaties. Dirks, B. (2013). Het gemeenteloket is bij u thuis. Reportage: Molenwaard heeft geen gemeentehuis nodig. De Volkskrant. p.3. Eck Poppe, M. van (red.). (2003). Informatie in bedrijf; Werkboek voor succesvol informatiebeheer. Amsterdam: Otto Cramwinckel Uitgever. ECP.NL. (2007). Bewaren en Bewijzen. Geraadpleegd op: 6 januari 2013, van: http://www.ecp.nl/sites/default/files/BewarenBewijzen.pdf EDRM. (2010). Introduction to IMRM Information Governance Survey & Scenarios. Geraadpleegd op: 2 februari 2013, van: http://www.edrm.net/wpcontent/plugins/download-monitor/download.php?id=199 EDRM. (2011). EDRM identification standards. Geraadpleegd op: 2 februari 2013, van: http://www.edrm.net/resources/standards/identification EDRM. (2011 ). How the Information Governance Reference Model (IGRM) Complements ARMA International’s Generally Accepted Recordkeeping Principles (GARP ®). Geraadpleegd op: 2 februari 2013, van: http://www.edrm.net/wpcontent/plugins/download-monitor/download.php?id=262 EDRM. (z.j.). Information Governance Reference Model (IGRM) Guide. Geraadpleegd op: 2 februari 2013, van: http://www.edrm.net/resources/guides/igrm Henczel, S. (2001). The information audit. A practical guide. München: Saur. KennisLAB. (2010). Baseline Informatiehuishouding Rijksoverheid Werkboek Zelfevaluatie Vragenlijst versie 1.5. Geraadpleegd op: 27 december 2012, van: http://kennislab.files.wordpress.com/2010/12/baseline-vragenlijst1.pdf Kuyper, A. (2012). Afstudeer onderzoek E-Discovery “readiness”. [bachelorscriptie] Landelijk Overleg Provinciale Archief Inspecteurs. (2008). ED3 Eisen duurzaam digitaal depot; toetsingskader voor de beheersomgeving van blijvend te bewaren digitale informatie. Geraadpleegd op 2 januari 2013, van: http://www.lopai.nl/pdf/ED3_v1.pdf Landelijk overleg van provinciale archiefinspecteurs, Werkverband gemeentelijke archiefinspectie. (2010). Referentiekader Opbouw Digitaal Informatiebeheer RODIN . Uitgebracht onder Creative Commons Licensie. Geraadpleegd op: 15 100
december 2012, van: http://www.lopai.nl/pdf/Brochure_RODIN_dubbelzijdig.pdf Loef, M. & B. van Oerle. (2011). RODIN of: hoe beheer ik digitaal?; nieuwe instrument vat de belangrijkste wetgeving en normen samen. Od, september 2011, nr. 9, p. 4-7. Geraadpleegd op: 27 december 2012 ,van: http://www.verenigingsod.nl/uploads/documents/filemanager/27625-od9.roding.pdf Van Bussel Document Services V.O.F. (2007). Procedure Content Informatie Audit. [vragenlijst]. Verhoeven, N. (2011). Wat is onderzoek? Praktijkboek methoden en technieken e voor het hoger onderwijs (4 dr.). Den Haag: Boom Lemma uitgevers.
101
Bijlage 6: Checklist e-discovery readiness CHECKLIST E- DISCOVERY READINESS Nr.
VRAAG
Keuze antwoord
1: Algemene vragen betreft de organisatie 1.1 Wat is de naam van uw Vrije antwoordkeuze organisatie? 1.2 Hoeveel medewerkers telt - Tussen 1> – <10 uw organisatie? - Tussen 10> - <50 - Tussen 50> - <100 - Tussen 100> - <500 - 500> Medewerkers 1.3 Wat is uw organisatietype? - Commercieel - Overheid - Non-profit - NV of BV Vereniging - Stichting 1.4 Heeft de organisatie een ja/ nee/ weet niet/ n.v.t. duidelijk beschreven missie vastgelegd? 1.5 heeft de organisatie een ja/ nee/ weet niet/ n.v.t. duidelijk beschreven visie vastgelegd? 1.6 heeft de organisatie een ja/ nee/ weet niet/ n.v.t. duidelijk beschreven strategie vastgelegd? 1.7 Is de taakverdeling/ ja/ nee/ weet niet/ n.v.t. functiebeschrijving bij medewerkers binnen het bedrijf duidelijk? 1.8 Zijn er verantwoordelijke ja/ nee/ weet niet/ n.v.t. personen aangewezen voor het beheren van informatie? 1.9 is er in het bedrijf een ja/ nee/ weet niet/ n.v.t. informatiemanager werkzaam? (Iemand die de stroom van documenten bewaakt) 1.10 Is of zijn er aparte ja/ nee/ weet niet/ n.v.t. functie(’s) voor DIVér of record manager of protocollist in de organisatie aanwezig? 1.11 Werkt de organisatie Ja, namelijk: ….. volgens een nee/ weet niet/ n.v.t. kwaliteitsmodel? Zo ja, welke 1.12
Is er een document aanwezig waarin een overzicht staat van de richtlijnen waaraan het bedrijf moet voldoen en welke processen en procedures daarbij horen?
ja/ nee/ weet niet/ n.v.t.
Mate van belang
Verwijzing onderzoek
geen
Algemene vraag Belangrijk ivm met wet- en regelgeving.
geen
geen
4
4
4
3
Opmerkingen
Belangrijk ivm met wet- en regelgeving.
- Literatuur Studenten - Literatuur Studenten - Literatuur Studenten Studenten
3
Studenten
3
Studenten
3
Studenten
3
Studenten
4
- Literatuur Studenten
102
2: informatie audits -beleid en -systemen 2.1 Zijn er in de afgelopen 2 ja/ nee/ weet niet/ n.v.t. jaar één of meer audits geweest die het beheer van informatie binnen de organisatie beoordeeld hebben? 2.2 Is er binnen uw organisatie ja/ nee/ weet niet/ n.v.t. recent een IT gerelateerde audit geweest? 2.3 Worden er binnen de ja/ nee/ weet niet/ n.v.t. organisatie controles uitgevoerd op de juistheid van de verwerking van informatie? 2.4
2.5
2.6
2.7
2.8
3
3
3
- Literatuur Studenten Profession als - Literatuur Studenten - Literatuur Studenten Profession als - Literatuur Studenten - Literatuur Studenten
Wordt er regelmatig een beveiligingsaudit uitgevoerd? Is er binnen uw organisatie een EDP-beleid? (Electronic Data Processing)
ja/ nee/ weet niet/ n.v.t.
2
ja/ nee/ weet niet/ n.v.t.
2
Is er een recent (afgelopen jaar) informatiebeleidsplan in de organisatie aanwezig? Is/ zijn er managementinformatie systemen binnen de organisatie? Wordt er gebruik gemaakt van een Storage Area Network (SAN)?
ja/ nee/ weet niet/ n.v.t.
4
- Literatuur Studenten
Ja ,namelijk 1systeem Ja, meer dan 1systeem nee/ weet niet/ n.v.t.
geen
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
Een EDP is een onafhankelijke en onpartijdige beoordeling van de betrouwbaarhe id, beveiliging, effectiviteit en efficiency van geautomatisee rde informatiesyst emen, de organisatie van de automatisering safdeling en de technisch/ organisatorisc he infrastructuur van de geautomatisee rde gegevensverw erking.
Een SAN is een architectuur die dient als koppeling tussen servers (initiator) en opslagapparat 103
2.9
Is er binnen uw organisatie een alles omvattend ERP systeem/ programma? (Enterprise resource planning)
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
2.10
Bestaat er binnen de organisatie een informatiearchitectuur ofwel digitale architectuur ofwel een architectuur van de informatievoorziening?
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
2.11
Heeft de organisatie een ‘lifecycle’ beleid of iets wat hierop lijkt?
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
en (target) ERP-systeem/ programma wordt voornamelijk binnen organisaties gebruikt ter ondersteuning van alle processen binnen het bedrijf. Informatiearchi tectuur beschrijft de inhoudelijke relaties en samenhang tussen toepassingen en gegevensverz ameling onderling. Hiermee worden de relaties met informatie en communicatie als bedrijfsmiddel/ productiefactor van een organisatie inzichtelijk. ‘Lifecycle’ is het hele proces van ontstaan van informatie, toegang en beheer, het gebruiken en beveiligen, archiveren of vernietigen van informatie.
2.12
Is er een content value ja/ nee/ weet niet/ n.v.t. 3 chain strategie in de Studenten bedrijfsprocessen geïmplementeerd? 2.13 Worden ja/ nee/ weet niet/ n.v.t. 3 informatieprocessen Studenten geïntegreerd in bedrijfsprocessen? 3: Historiciteit van documenten (de integriteit, de authenticiteit, de controleerbaarheid) 3.1 De integriteit 3.1.1 Zijn de gegevens getrouw, exact en gedetailleerd? (accuratesse)
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten 104
3.1.2
Geven de gegevens de werkelijkheid weer zoals die is op het moment dat het archiefdocument wordt geproduceerd? (actualiteit) Zijn de gegevens integer? (controleerbaarheid)
ja/ nee/ weet niet/ n.v.t.
5
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
5
Geven de gegevens een waarheidsgetrouw beeld van de werkelijkheid? (juistheid) Vormen de gegevens een volledige afbeelding van de werkelijkheid? (volledigheid) Bevatten de weergaven van de gegevens de juiste oorspronkelijke vorm en inhoud van het afgebeelde deel van de realiteit? (authenticiteit)
ja/ nee/ weet niet/ n.v.t.
4
- Literatuur Studenten - Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
3.1.7
Krijgen de gegevens betekenis of zijn ze begrijpbaar door de gebruikte semantiek? (juistheid in semantische zin)
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
3.1.8
Krijgen de gegevens betekenis of zijn ze begrijpbaar door de gebruikte syntaxis plaats? (juistheid in syntactische zin)
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
3.1.9
Wordt de actualiteit van de gegevens vastgehouden in de tijd? (historiciteit)
ja/ nee/ weet niet/ n.v.t.
5
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten - Bedrijven
3.1.3
3.1.4
3.1.5
3.1.6
3.2 De authenticiteit 3.2.1 Wordt er gebruik gemaakt van digitale handtekeningen?
Aanvullende vragen betreffende procesgebond en archiefdocume nten Aanvullende vragen betreffende procesgebond en archiefdocume nten Aanvullende vragen betreffende procesgebond en archiefdocume nten Aanvullende vragen betreffende procesgebond en archiefdocume nten Door gebruik van een digitale handtekening kan zakelijk documentenve rkeer met een formeel of juridisch karakter geheel digitaal plaatsvinden. De elektronische handtekening is rechtsgeldig wanneer er is 105
voldaan aan de voorwaarden beschreven in art. 3:15a lid 2 BW. 3.2.2
Is de authenticiteit van digitale documenten aantoonbaar middels een digitale handtekening. 3.3 De controleerbaarheid 3.3.1 Worden er binnen de organisatie eisen gesteld aan archiefdocumenten als samenstel van afzonderlijke elementen? 3.3.2 Worden er binnen de organisatie eisen gesteld aan de afzonderlijke elementen binnen het archiefdocument?
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
Wordt er binnen uw bedrijf onderscheid gemaakt tussen ‘informatie’ (gegevens) en ‘records’ (archiefdocumenten)? 4: Vindbaarheid van documenten 4.1 Is het duidelijk voor alle medewerkers waar alle gegevens en informatie staan opgeslagen? 4.2 Zijn de gegevens (fysiek) toegankelijk en aan te spreken?
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
4
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
4
- Literatuur Studenten
4.3
ja/ nee/ weet niet/ n.v.t.
4
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
5
- Literatuur Studenten Profession als - Literatuur Studenten Profession als - Literatuur Studenten
Zijn de gegevens (fysiek) benaderbaar en aan te spreken?
5: Compliance 5.1 Is de organisatie bekend met de wet- en regelgeving en wordt het toegepast?
5.2
Wordt binnen de organisatie informatie volgens de wet geldende richtlijnen verwerkt?
ja/ nee/ weet niet/ n.v.t.
4
5.3
Zijn de ESI en ISO-normen bekend binnen de organisatie?
ja/ nee/ weet niet/ n.v.t.
3
Ieder element is essentieel voor de kwaliteit van het document als geheel.
Gegevens moeten als object gevonden kunnen worden. (toegankelijkh eid) Gegevens moeten ‘gelezen’ en begrepen kunnen worden.
106
5.4
Is in uw bedrijf ISO 15489-1 geïmplementeerd?
ja/ nee/ weet niet/ n.v.t.
3
5.5
Is de archiefwet en archiefbesluit 1995
ja/ nee/ weet niet/ n.v.t.
3
5.6
Wordt er bij de digitale handtekening voldaan aan de voorwaarden beschreven in art. 3:15a lid 2 BW.
ja/ nee/ weet niet/ n.v.t.
5
ja/ nee/ weet niet/ n.v.t.
3
ja/ nee/ weet niet/ n.v.t.
4
ja/ nee/ weet niet/ n.v.t.
5
6: Bewaren en vernietigen 6.1 Is er sprake van versiebeheer bij deze documenten? 6.2
6.3
Is de organisatie bekend betreft de richtlijnen en weten regelgeving betreft het bewaren van informatie? Worden de wettelijke regels met met betrekking tot bewaren van informatie nageleefd?
- Literatuur Studenten - Literatuur Studenten - Literatuur Studenten Profession als
De handtekening is op unieke wijze aan de ondertekenaar verbonden (sub a). De handtekening maakt het mogelijk de ondertekenaar te identificeren (sub b). De handtekening is tot stand gekomen met middelen die onder de uitsluitende controle van de ondertekenaar staan (sub c): het moet met zijn computer zijn gebeurd. De handtekening moet zodanig aan het meegestuurde document zijn verbonden, dat elke wijziging achteraf kan worden opgespoord (sub d). (Wikipedia, 2011)
- Literatuur Studenten - Literatuur Studenten Profession als - Literatuur Studenten Profession als 107
6.4
Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat bewaartermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten? Is de organisatie bekend betreft de richtlijnen en weten regelgeving voor vernietigingstermijnen? Kan er een bewijs en/of verantwoordingsrapport overhandigd worden dat vernietigingstermijnen juist of onjuist zijn gehanteerd conform de wet en regelgeving over bewaartermijnen van diverse documenten? Wordt de informatie die mag/ moet worden vernietigd ook daadwerkelijk vernietigd?
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten Profession als
ja/ nee/ weet niet/ n.v.t.
5
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten Profession als
ja/ nee/ weet niet/ n.v.t.
5
6.8
Heeft de organisatie een bewaar/ vernietigingsbeleid?
ja/ nee/ weet niet/ n.v.t.
3
6.9
Is er binnen de organisatie een retention schedule (vernietigingslijst)?
ja/ nee/ weet niet/ n.v.t.
4
- Literatuur Studenten Profession als - Literatuur Studenten Profession als - Literatuur Studenten - Bedrijven
ja/ nee/ weet niet/ n.v.t.
3
ja/ nee/ weet niet/ n.v.t.
5
6.5
6.6
6.7
6.10
6.11
Zijn oudere data reconstrueerbaar? Is de kwaliteit van informatie gedurende de totale levensfase gegarandeerd?
Wanneer de organisatie geen retention schedule heeft en er een juridische procedure waarbij je informatie moet opleveren, dan kan alles wat boven tafel komt als bewijs dienen. Ook de informatie die al vernietigd had mogen of moeten worden.
- Literatuur Studenten - Literatuur Studenten
108
6.12
Kan een aangepast digitaal document naar de oorspronkelijke versie worden teruggedraaid
6.13
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
ja/ nee/ weet niet/ n.v.t.
5
ja/ nee/ weet niet/ n.v.t.
5
ja/ nee/ weet niet/ n.v.t.
4
- Literatuur Studenten - Literatuur Studenten - Literatuur Studenten - Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
5
ja/ nee/ weet niet/ n.v.t.
3
- Literatuur Studenten Profession als - Literatuur Studenten
ja/ nee/ weet niet/ n.v.t.
3
ja/ nee/ weet niet/ n.v.t.
3
ja/ nee/ weet niet/ n.v.t.
3
ja/ nee/ weet niet/ n.v.t.
3
ja/ nee/ weet niet/ n.v.t.
5
Zijn er toegangscontroles voor data? 6.14 Is aanmaak datum van data bekend? 6.15 Is de laatste wijziging van de data bekent? 6.16 Is de actor/gebruiker bekent als de data aangemaakt of gewijzigd wordt? 6.17 Is alle data opgeslagen op 1 centraal punt? (bijvoorbeeld: datawarehouse) 7: Formaat 7.1 Is er binnen uw organisatie de zekerheid dat de door jullie opgeslagen informatie over 10 jaar nog voor handen is en dat de data dan ook nog gelezen en gebruikt kan worden? 7.2 Wordt er binnen de organisatie gewerkt met open-standaarden? 8: Back-up 8.1 Is er een back-up aanwezig van de informatie die gereproduceerd moet kunnen worden? 8.2 Is er beleid binnen uw organisatie welke de retentieperiode van backups vastlegt? 9: Archivering 9.1 Is er een centraal en gecontroleerd archief of archiefafdeling? 9.2 Wordt er gebruik gemaakt van papieren archivering? 9.3 Wordt er gebruikt gemaakt van digitale archivering? 9.4
9.5
Wordt er gebruik gemaakt van metadata? Is alles in het archief nog leesbaar en/of te reconstrueren?
- Literatuur Studenten Profession als - Literatuur Studenten - Literatuur Studenten - Literatuur Studenten - Literatuur Studenten 109
9.6
ja/ nee/ weet niet/ n.v.t. Is er autorisatie nodig voor archivering?
3
- Literatuur Studenten
110
Bijlage 7: RODIN vragenlijst Deze bijlage wordt als los pdf bijgevoegd.
111
