1 > Retouradres Postbus 16478 2500 BL Den Haag
Mr. J.A. van den Bos Inspecteur-Generaal Ministerie van Sociale Zaken en Werkgelegenheid Postbus 90801 2509 LV DEN HAAG
Koninginnegracht 25 Den Haag Postbus 16478 2500 BL Den Haag www.erfgoedinspectie.nl Contactpersoon P.J.M. Velthuijs-Bechthold T +31-70-412 4081
[email protected] IPC 3500 Onze referentie 389114 Bijlagen 3
Datum Betreft
16 maart 2012 Inspectie digitale informatiehuishouding
Geachte heer Van den Bos,
Hierbij bied ik u de rapportage aan van de inspectie die op 6 oktober, 10 november en 15 december 2011 is uitgevoerd naar de digitale informatiehuishouding bij uw organisatie. Doel van de inspectie is om antwoord te krijgen op de vraag in hoeverre digitale informatie binnen de afgesproken bewaartermijnen beschikbaar, raadpleegbaar en vindbaar is. Voorts of de Sociale Inlichtingen- en Opsporingsdienst (SIOD) risico’s loopt op het gebied van deze ‘duurzame toegankelijkheid’ van digitale informatie en welke risico’s dat zijn. Informatie is een basisingrediënt voor het goed presteren en functioneren van een organisatie. Een belangrijk aspect is het geheugen van de organisatie, zoals dit is vastgelegd in de verschillende informatiesystemen die samen het archief van de SIOD vormen. Het spreekt voor zich dat de informatie in dit geheugen toegankelijk moet blijven, in ieder geval voor de periode dat deze informatie voor uw organisatie en andere belanghebbenden van belang is. In een digitale omgeving is deze ‘duurzame’ toegankelijkheid niet vanzelfsprekend geregeld en geborgd. Voor de Erfgoedinspectie1 is het bovenstaande aanleiding om in 2011 en 2012 een inspectieprogramma2 uit te voeren dat zich richt op afspraken over de digitale
1
Zie bijlage 3 voor een korte beschrijving van de Erfgoedinspectie
2
Zie bijlage 2 voor een context-omschrijving van deze inspectie
a
informatiehuishouding en op toegankelijkheid, selectie, bewaring en vernietiging van informatie. De inspectie bij de SIOD maakt onderdeel uit van dit programma.
Datum 16 maart 2012 Onze referentie 389114
Te beginnen met een algemeen beeld en de voornaamste conclusies en aanbevelingen, biedt deze rapportage inzicht in de belangrijkste risico’s en de mogelijkheden tot verbetering op het gebied van de duurzame toegankelijkheid. Het primaire kader voor deze inspectie vormt de Archiefwet 1995. Algemeen beeld De SIOD is de bijzondere opsporingsdienst van het ministerie van Sociale Zaken en Werkgelegenheid (SZW). De dienst spoort strafbare feiten op in het domein werk en inkomen. Hiertoe behoren onder andere gevallen van arbeidsmarktfraude en sociale zekerheidsfraude. De minister van SZW heeft de politieke verantwoordelijkheid voor het functioneren van de SIOD, de feitelijke opsporingsonderzoeken vinden plaats onder gezag van het Functioneel Parket van het Openbaar Ministerie. De dienst is in 2002 opgericht. Per 1 januari 2012 is de SIOD met de Arbeidsinspectie en de Inspectie Werk en Inkomen opgegaan in de Inspectie SZW. Tijdens de inspectie werd gemeld dat de informatiehuishouding van de SIOD mogelijk geïntegreerd gaat worden met die van de Inspectie SZW. In dit rapport gaan we uit van een zelfstandige informatiehuishouding van de SIOD voor wat betreft de primaire processen van de dienst. De SIOD onderscheidt twee informatiestromen, de staatsgeheime stroom en de departementaal vertrouwelijke stroom. De SIOD is zelf verantwoordelijk voor het beheer van de gegevens in de staatsgeheime stroom. Deze betreft de opsporingsonderzoeken ondergebracht in de digitale politieregisters en analysetools. De departementaal vertrouwelijke stroom wordt beheerd door het ministerie van SZW. In deze inspectie hebben we alleen gekeken naar dat gedeelte van de informatiehuishouding waar de SIOD zelf verantwoordelijk voor is. De Erfgoedinspectie heeft op basis van deze inspectie een positieve indruk gekregen van de professionele wijze waarop SIOD haar informatiebeheer heeft georganiseerd. De deskundigheid van een ieder die omgaat met informatie is een punt van grote aandacht. Dit hoge niveau is ook zichtbaar in de vormgeving en kwaliteit van de beleidsvoornemens. Voor wat betreft de archiefbescheiden in relatie tot de Wet Politiegegevens is het beeld complexer. De werkzaamheden van de SIOD worden voor een belangrijk deel gereguleerd door deze wet. De organisatie meent dat de staatsgeheime informatiestroom die resulteert uit deze werkzaamheden niet onder de werking
Pagina 2 van 12
van de Archiefwet 1995 valt. De Archiefwet biedt echter geen mogelijkheid tot het uitzonderen van bepaalde categorieën van (digitale) archiefbescheiden, ook niet voor staatsgeheime archiefbescheiden3. Het risico van de opvatting van de SIOD
Datum 16 maart 2012 Onze referentie 389114
is dat bepaalde archiefwettelijke aspecten van het beheer, zoals toegankelijkheid, duurzaamheid en selectie, die niet door de Wet Politiegegevens worden geregeld buiten beeld blijven. Aanbevelingen Om bovenstaand risico te ondervangen doe ik de volgende aanbevelingen: •
Neem in het beleid ten aanzien van de informatiehuishouding op dat de volledige neerslag van de uitvoering van de primaire werkprocessen van de SIOD onder de werking van de Archiefwet 1995 valt.
•
Breng in beeld in welke applicaties zich digitale archiefbescheiden bevinden en leg dit vast in een overzicht dat actueel wordt gehouden.
In bijlage 1 gaat de rapportage dieper in op zes thema’s, waar indien relevant, op detailniveau eveneens aanbevelingen zijn gedaan. De inspectie is met deze rapportagebrief afgesloten. Indien u daar prijs op stelt ben ik graag bereid deze rapportage toe te lichten. Zoals in de aankondigingsbrief is vermeld wordt deze rapportage openbaar gemaakt en op de website van de Erfgoedinspectie gepubliceerd. Een kopie van deze brief is gestuurd naar mr H.J.I.M. de Rooij, plaatsvervangend Secretaris-Generaal en CIO van het ministerie van SZW. Met vriendelijke groet,
Mevr. drs. G.P.M. Scholte hoofdinspecteur collecties en archieven
3
Archiefwet 1995, art. 1.c.1.
Pagina 3 van 12
Bijlage 1
Datum 16 maart 2012 Onze referentie 389114
De duurzame toegankelijkheid van de informatiehuishouding en het digitale archief van de SIOD aan de hand van zes thema’s
Digitale informatie en digitaal archief Informatie die binnen de werkprocessen gegenereerd en uitgewisseld wordt, vormt het archief van de organisatie. Deze informatie bevindt zich voor een belangrijk deel in de verschillende applicaties en systemen die binnen de organisatie worden gebruikt. Eén van de voorwaarden voor een goed en duurzaam toegankelijk digitaal archief is een heldere en binnen de organisatie gedragen definitie van wat onder digitale archiefbescheiden en digitaal archief moet worden verstaan. Bevinding De SIOD onderscheidt twee informatiestromen, de staatsgeheime stroom en de departementaal vertrouwelijke stroom. De SIOD is zelf verantwoordelijk voor het beheer van de gegevens in de staatsgeheime stroom. Deze betreft de opsporingsonderzoeken ondergebracht in de digitale politieregisters. De departementaal vertrouwelijke stroom wordt beheerd door het ministerie van SZW. Voor de vorming en het beheer van de staatsgeheime informatie is de SIOD gehouden aan het Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere Informatie (VIRBI) maar vooral aan de Wet Politiegegevens (WPG). Voor de SIOD is het niet vanzelfsprekend dat deze informatie ook onder de Archiefwet valt. De Erfgoedinspectie stelt vast dat de Archiefwet wel degelijk van toepassing is op de informatie in de politieregisters. Deze informatie is opgemaakt of ontvangen door een overheidsorgaan en naar zijn aard bestemd daaronder te berusten en voldoet daarmee volledig aan de archiefwettelijke definitie van het begrip archiefbescheiden4. Dat de informatie in de politieregisters ook persoonsgegevens zijn die onder de werking van de Wet Politiegegevens valt, doet daar niet aan af.
4
Archiefwet 1995, art. 1.c.1.
Pagina 4 van 12
De WPG beschermt de privacy van de in de registers genoemde personen en voorziet in tijdige vernietiging van de gegevens. Dat is niet strijdig met de Archiefwet. Op de relatie tussen de Archiefwet en de Wet Politiegegevens op het
Datum 16 maart 2012 Onze referentie 389114
gebied van selectie en vernietiging wordt verder ingegaan in de desbetreffende paragraaf. Aanbeveling Ik beveel u aan in het beleid ten aanzien van de informatiehuishouding en in de uitwerking daarvan op te nemen dat de volledige neerslag van de uitvoering van de primaire en ondersteunende werkprocessen van de SIOD onder de werking van de Archiefwet 1995 valt. Visie en beleid De ontwikkelingen op het gebied van de digitale informatiehuishouding en de digitale archivering volgen elkaar in snel tempo op. Het is onontbeerlijk voor een organisatie om een visie op en beleid voor de informatiehuishouding en het digitale archief te hebben. Visie en beleidsplan stellen het management in staat te beslissen over de te volgen strategie en te nemen stappen. Deze strategie heeft als doel om tot een zo doelmatig mogelijke informatiehuishouding te komen, met inbegrip van de duurzame toegankelijkheid van digitale informatie. Bevinding Het informatiebeheer van SIOD-opsporingsonderzoeken is in de periode 20082009 losgemaakt uit dat van het ministerie van SZW. De visie van de organisatie op de positie en functie van de informatiehuishouding is beschreven in het Organisatie- en formatierapport op grond waarvan deze reorganisatie plaatsvond en dat werd vastgesteld in 2010. Deze visie is geconcretiseerd in diverse beleidsvoornemens die in de komende vier jaar gestalte moeten krijgen. Een belangrijk factor in de beleidsvoornemens is de voorgenomen ingebruikname van een gemeenschappelijke infrastructuur voor informatie-uitwisseling door de bijzondere opsporingsdiensten (BOD’s). Na ingebruikname hiervan worden de BOD’s ook aangesloten op de infrastructuur en de gegevensverzamelingen van de politie. Daarnaast is de mogelijke integratie van de informatiehuishouding van de SIOD met die van de te vormen Inspectie SZW van invloed op de beleidsvoornemens. De SIOD werkt niet onder architectuur. Het is de bedoeling dat de dienst gaat werken onder MARTA, een architectuur die door ICTU wordt ontwikkeld voor staatsgeheime informatie. Noch in de visie, noch in de beleidsvoornemens wordt aandacht besteed aan de archiefwettelijke eisen.
Pagina 5 van 12
Geconcludeerd mag worden dat de SIOD beschikt over een visie op de informatiehuishouding op grond waarvan het management een strategie kan uitzetten maar dat de archiefwettelijke eisen en uitgangspunten daarin ten
Datum 16 maart 2012 Onze referentie 389114
onrechte ontbreken. Aanbeveling Ik beveel u aan de eisen die de Archiefwet stelt aan de informatiehuishouding bij de formulering van uw beleid te betrekken.
Organisatie en personeel Bij een organisatie moet voldoende kennis aanwezig zijn over de digitale informatiehuishouding en in het bijzonder de eisen die gesteld worden aan de digitale archivering. Voorts moet er voldoende personeel zijn om alle taken met betrekking tot de digitale informatiehuishouding uit te voeren Concrete afspraken over het omgaan met digitale informatie, vastgelegd in een (on-line) handleiding of werkinstructies zijn noodzakelijk. Bevinding De eindverantwoordelijkheid voor de informatiehuishouding van de SIOD is belegd bij de directeur. Het team Informatie Management (IM) van de afdeling PCIB (Planning, Control en Informatiebeheer) is verantwoordelijk voor de veiligheid, continuïteit, effectiviteit en efficiëntie van de applicaties die de organisatie gebruikt. SIOD beschikt daarnaast nog over een privacyfunctionaris. Deze heeft een toezichthoudende en adviserende taak bij processen die onder de Wet Politiegegevens vallen. Eventuele handhaving bij geconstateerde overtredingen is belegd bij de veiligheidsofficier. Deze medewerkers zijn allen specialisten op hun gebied. De conclusie is dat de SIOD het informatiebeheer goed heeft georganiseerd en beschikt over voldoende deskundig personeel op dit gebied.
Toegankelijkheid Om informatie te kunnen raadplegen, moet deze toegankelijk zijn. In de eerste plaats moet duidelijk zijn welke archiefbescheiden worden beheerd en in welke applicaties deze archiefbescheiden zich bevinden. Informatie moet geordend, beschreven en beheerd worden om op termijn toegankelijk te blijven. Het toekennen van metadata aan digitale informatie is een belangrijke voorwaarde voor de toegankelijkheid van digitale informatie. Bevinding
Pagina 6 van 12
Het belangrijkste digitale systeem van de SIOD is ISIS, de applicatie die de opsporingsonderzoeken ondersteunt. Hierin worden gegevens en documenten met betrekking tot deze onderzoeken opgeslagen. De metadata worden toegekend op
Datum 16 maart 2012 Onze referentie 389114
grond van een schema dat de SIOD zelf heeft ontwikkeld. Uit dit systeem wordt een procesdossier voor het Openbaar Ministerie gedistilleerd. Op dit moment is dat nog een papieren dossier. Het digitale SIOD-dossier blijft, tot zijn vernietiging, achter in de applicatie. De toegang tot de gegevens betreffende een bepaald onderzoek, is beperkt tot die medewerkers die met dat onderzoek bezig zijn. Eén jaar na de laatste verwerking worden de gegevens conform de Wet Politiegegevens ‘achter een schot’ geplaatst. Dat wil zeggen dat nog slechts enkele medewerkers er toegang toe hebben. Deze afgeschermde gegevens mogen alleen in door de Wet Politiegegevens bepaalde gevallen weer beschikbaar worden gesteld. Voor de bewaring respectievelijk vernietiging van deze gegevens verwijs ik u naar de paragraaf over selectie en vernietiging. De SIOD heeft op dit moment in totaal ongeveer 30 applicaties in gebruik. De meeste daarvan zijn bedoeld om informatie te analyseren. De SIOD weet niet of zich in deze applicaties mogelijk archiefbescheiden bevinden. Het is de bedoeling het aantal te reduceren. Geconcludeerd mag worden dat de archiefbescheiden die zich in de politieregisters bevinden goed geordend en toegankelijk zijn. De SIOD kan echter niet garanderen dat hij greep heeft op al zijn archiefbescheiden. Dit geldt met name voor de bescheiden die zich mogelijk bevinden in de analysetools. Aanbeveling Ik beveel u aan in beeld te brengen in welke applicaties zich archiefbescheiden bevinden en dit vast te leggen in een overzicht dat actueel wordt gehouden. Ik beveel u aan om de eisen voor duurzame toegankelijkheid conform de Archiefwet op deze applicaties toe te passen. Selectie en vernietiging In een digitale omgeving moet vooraf, al bij het inrichten van een applicatie, rekening gehouden worden met het verwijderen en vernietigen van gegevens. Selectie en vernietiging van digitale archiefbescheiden mag uitsluitend plaatsvinden op grond van een vastgestelde selectielijst. Enerzijds is voortijdige vernietiging van digitale archiefbescheiden verboden en houdt dit het risico in dat belangrijke informatie verdwijnt, waardoor problemen met de bedrijfsvoering kunnen ontstaan en geen of onvoldoende verantwoording kan worden afgelegd. Anderzijds is het in verband met de privacywetgeving van belang dat archiefbescheiden niet langer bewaard worden dan de bewaartermijn voorschrijft.
Pagina 7 van 12
Bevinding Voor de gegevens in de politieregisters hanteert de SIOD de bewaartermijnen uit de Wet Politiegegevens. De bewaartermijnen uit deze wet zijn tot stand gekomen
Datum 16 maart 2012 Onze referentie 389114
met het oog op de bescherming van de persoonlijke levenssfeer van de in de registers opgenomen personen. In principe worden al deze gegevens vernietigd maar in de Wet Politiegegevens is wel een hardheidsclausule opgenomen die het mogelijk maakt bepaalde gegevens die van waarde zijn als cultureel erfgoed of voor historisch onderzoek van vernietiging uit te zonderen en over te brengen naar een openbare archiefbewaarplaats. Het aanwijzen van gegevens voor bewaring gebeurt door de zorgdrager in overleg met de beheerder van de archiefbewaarplaats. De SIOD heeft nog geen invulling gegeven aan deze wettelijke bepaling. De gegevens uit de politieregisters worden 5 jaar nadat zij ‘achter het schot’ zijn geplaatst (zie ‘Toegankelijkheid’) definitief vernietigd. In de praktijk blijkt het tijdstip waarop deze gegevens afgeschermd moeten worden lastig te bepalen. De termijn gaat lopen vanaf het moment van de laatste verwerking. Van een duidelijke, als zodanig herkenbare afsluiting is dus geen sprake. Mede als gevolg hiervan kampt de SIOD met een achterstand in het verwijderen en vernietigen van deze gegevens. Andere gegevens die de SIOD beheert, zoals processen-verbaal en formulieren, vallen niet onder de Wet Politiegegevens maar uitsluitend onder de Archiefwet. De SIOD beschikt niet over een selectielijst voor deze gegevens. Aanbeveling Ik beveel u aan om in overleg met het ministerie van SZW een selectielijst op te stellen voor alle archiefbescheiden van de SIOD en daarin ook de bepalingen uit de Wet Politiegegevens ten aanzien van de politiegegevens op te nemen. Ik beveel u verder aan om criteria op te stellen voor de selectie van permanent te bewaren gegevens uit de politieregisters en hierover in overleg te treden met het Nationaal Archief. Duurzame digitale toegankelijkheid Digitale bestanden moeten actief onderhouden worden om gedurende hun bewaartermijn leesbaar en interpreteerbaar te blijven. Het is daarom van belang om bij aanschaf en inrichting van applicaties rekening te houden met de eisen voor duurzame toegankelijkheid. Afspraken hierover kunnen worden vastgelegd in een bewaarstrategie. Daarin moeten ook elementen als het gebruik van open standaarden, een voorziening voor tijdige conversie en migratie en bewaking van authenticiteit van de informatie opgenomen zijn.
Pagina 8 van 12
Bevinding De SIOD heeft bij de inrichting van ISIS, de applicatie die de recherche onderzoeken ondersteunt, rekening gehouden met de Wet Politiegegevens. Deze
Datum 16 maart 2012 Onze referentie 389114
applicatie zal binnenkort worden afgesloten en vervangen door summIT. ISIS zal dan nog enige tijd in de lucht blijven maar de gegevens zullen niet worden geconverteerd naar summIT. Wegens de betrekkelijk korte bewaartermijnen, is tot nu toe niet nagedacht over het bewaren van gegevens voor de lange termijn. Dit geldt ook voor de eventuele overbrenging van gegevens naar het Nationaal Archief. De Wordbestanden die horen bij een bepaald dossier kunnen wel uit de database worden verwijderd maar de andere gegevens die zich in verschillende tabellen bevinden die onderling met elkaar zijn verbonden, kunnen niet voor overbrenging worden verwijderd zonder de onderliggende relationele databasestructuur. Geconcludeerd kan worden dat de SIOD bij de aanschaf en inrichting van zijn applicaties geen rekening heeft gehouden met de eisen van de Archiefwet en dat daarom voor de duurzame toegankelijkheid van de gegevens in de applicaties geen bewaarstrategie bestaat. Aanbeveling Ik beveel u aan om een bewaarstrategie op te stellen die ervoor zorgt dat de gegevens in de politieregisters ook als zij voor een langere termijn bewaard moeten worden raadpleegbaar blijven.
Pagina 9 van 12
Datum 16 maart 2012 Onze referentie 389114
Deelnemers aan het inspectiegesprek op 6 oktober 2011 SIOD Mevr. M.C. Struyvé, SIOD IT manager Erfgoedinspectie Mevr. M. Koomen, inspecteur Mevr. P.J.M. Velthuys-Bechthold, inspecteur
Deelnemers aan het inspectiegesprek op 10 november 2011 SIOD Dhr. E. van Vuuren, privacyfunctionaris Erfgoedinspectie Mevr. M. Koomen, inspecteur Mevr. P.J.M. Velthuys-Bechthold, inspecteur
Deelnemers aan het inspectiegesprek op 15 december 2011 SIOD Dhr. B.P. Verbeek, functioneel beheerder Erfgoedinspectie Mevr. A.D. Overbeeke, inspecteur Mevr. P.J.M. Velthuys-Bechthold, inspecteur
Verantwoording en bronnen De grondslag voor de conclusies en aanbevelingen vormt de nota van bevindingen, die de Erfgoedinspectie met de Sociale Inlichtingen en Opsporingsdienst heeft afgestemd, aangevuld met het navolgende bronmateriaal: •
Organisatie- en formatierapport Directie SIOD PCIB team IM, september 2010
Pagina 10 van 12
Bijlage 2
Datum 16 maart 2012 Onze referentie 389114
Duurzame digitale toegankelijkheid; een onderzoek van de Erfgoedinspectie In 2011 en 2012 voert de Erfgoedinspectie een onderzoek uit naar de duurzame toegankelijkheid van archiefbescheiden in een digitale omgeving. Aanleiding voor dit onderzoek is de ervaring van de Erfgoedinspectie, uit onder andere inspecties en de periodieke monitor, dat overheidsorganisaties geen duidelijk beeld hebben wat archiveren in een digitale omgeving precies inhoudt. Vaak wordt daaronder verstaan het archiveren in een document management systeem en worden gegevens in bedrijfssystemen over het hoofd gezien. Doel van het onderzoek is om inzicht te verkrijgen in de staat van de duurzame toegankelijkheid van digitale informatie bij de centrale overheid. Hierbij zal een vergelijking worden gemaakt met de situatie in 2005, zoals door de Erfgoedinspectie beschreven in het rapport Een dementerende overheid? In dit rapport werd gewezen op het risico dat er bij ondeugdelijk beheer van digitale informatie ernstige gaten in het bedrijfsgeheugen ontstaan. Belangrijk onderdeel van het onderzoek wordt gevormd door inspecties bij 24 organisaties die een doorsnee beeld van de centrale overheid vertegenwoordigen. Andere onderdelen van het onderzoek bestaan uit de uitkomsten van de monitor 2011-2012 van de Erfgoedinspectie en drie themagerichte onderzoeken naar digitaal archiefbeheer in 2012. De Erfgoedinspectie zal eind 2011, begin 2012 een overkoepelend rapport over de staat van de duurzame toegankelijkheid van digitale archiefbescheiden publiceren. Daarnaast zal elke van de 24 geïnspecteerde organisaties een samenvattend rapport met aanbevelingen ontvangen. Uiteindelijke doelstelling van het onderzoek is een op termijn verbeterde praktijk, waarin de duurzame toegankelijkheid in een digitale omgeving kan worden gewaarborgd.
Pagina 11 van 12
Bijlage 3
Datum 16 maart 2012 Onze referentie 389114
De Erfgoedinspectie en het toezicht op de informatiehuishouding van de centrale overheid De Erfgoedinspectie houdt toezicht op een belangrijk deel van het Nederlandse erfgoed. De Erfgoedinspectie ziet in opdracht van de minister van OCW toe op de informatiehuishouding van de centrale overheid, op het behoud en beheer van de rijkscollectie, de nationaal beschermde cultuurvoorwerpen en -verzamelingen, de archeologische en gebouwde monumenten, de archeologische opgravingen en vondsten en de beschermde stads- en dorpsgezichten. Voor wat betreft het toezicht op de informatiehuishouding ligt de focus van de Erfgoedinspectie op de archivering en de duurzame toegankelijkheid van archiefbescheiden, zowel in de vorm van gegevens als documenten, zowel digitaal als niet-digitaal. Object van toezicht zijn de departementen en daaronder vallende diensten, de Hoge Colleges van Staat, de rechterlijke macht, publiekrechtelijke bestuursorganen, privaatrechtelijke bestuurorganen voor wat betreft de openbaar gezag taak en de organen van de publiekrechtelijke bedrijfsorganisatie.
Pagina 12 van 12