Substitutie
Doxis Informatiemanagers ¾ Grootste adviesburo op het gebied van informatiemanagement in Nederland ¾ Zelfstandig bedrijfsonderdeel van Ernst & Young ¾ Jarenlange ervaring bij NL Overheid ¾ Gedegen kennis wet- en regelgeving ¾ Full-service dienstverlening: – Consultancy – Interim Management, Interim Functievervulling – Operations 2
Onderwerpen • • • • •
Wat is substitutie? Waarom een machtiging substitutie? Wat is er nodig voor een machtiging? Welke maatregelen zijn nodig Doxis methode voor duurzaam digitaal werken en archiveren • Informatiebeveiliging, continuïteit en change-management 3
Wat is substitutie? • Het vervangen van archiefbescheiden door reproducties • De reproducties nemen volledig de plaats in van de oorspronkelijke bescheiden en worden daarmee archiefbescheiden in de zin van de Archiefwet • De originele bescheiden worden vervolgens vernietigd • Er kan alleen besloten worden tot substitutie als dit geschiedt met juiste en volledige weergave van de in de te vervangen archiefbescheiden voorkomende gegevens. 4
Machtiging substitutie • De zorgdrager heeft zelf de bevoegdheid om archiefbescheiden te vervangen. Voor blijvend te bewaren bescheiden dient een machtiging te worden verkregen van de Minister van Onderwijs, Cultuur en Wetenschappen of Gedeputeerde Staten • De machtiging geldt tevens als machtiging tot vernietiging van de oorspronkelijke bescheiden.
5
Wat is er nodig voor een machtiging substitutie • Een behoorlijke geregelde en geprotocolleerde procedure tot scanning/reproductie volgens de richtlijnen van Nationaal Archief en LOPAI • Vastgelegd in een Handboek Digitalisering • Concept Besluit • Brief (verzoek) gericht aan de Staatssecretaris voor Cultuur, p/a de Algemene Rijksarchivaris of de provinciale archiefinspectie 6
Waarom nog papier na digitalisering? • De zorg van veel organisaties is dat als het omzettings- of substitieproces niet goed verloopt of het gedigitaliseerde verwerkingsproces anderszins niet naar behoren functioneert, de betrouwbaarheid, authenticiteit, integriteit en bruikbaarheid van archiefstukken mogelijk in het gevaar komt.
7
Zorgen en plichten • De plicht om het culturele erfgoed te bewaren (Archiefwet); • De verantwoordingsplicht waar men volgens de Algemene Wet Bestuursrecht aan moet voldoen; • Duurzame digitale opslag; de zorg dat informatiedragers met bedrijfskritische informatie en/of verantwoordingsinformatie na een gerede periode niet meer leesbaar zijn; • Het op de juiste wijze omgaan met nieuwe digitale werkwijzen en technieken en de vele (beveiligings)voorzieningen die men daarvoor moet treffen; 8
Visie Doxis op substitutie • Substitutie is méér dan vervanging papier voor digitaal met goedkeuring Nationaal Archief: • Gegarandeerde beschikbaarheid informatie t.b.v. bedrijfsvoering • Duurzaamheid • Voldoen aan wet- en regelgeving • Compliance • Risicomanagement
9
Actualiteit • 15-01-2009: Rechtbank Haarlem Amsterdam versus Archiefinspectie over vervanging adreskaarten
• Mag de Provinciale Archiefinspectie het toekomstig beheer van vervangen (gesubstitueerde) archiefbescheiden meenemen in een oordeel over een vervangingsverzoek 10
Duurzaam digitaal werken w Het op zodanige wijze vastleggen, bewaren, beheren en beschikbaar stellen van digitale documenten (in de brede zin van het woord), dat deze ook na verloop van tijd raadpleegbaar, toegankelijk en authentiek zijn.
11
Welke maatregelen zijn nodig • Een behoorlijk geregelde en geprotocolleerde procedure tot scanning/reproductie als onderdeel van de normale bedrijfsvoering • Conformiteit met normen en standaarden • Risicobeheersing • Organisatorische / beheersmaatregelen • Informatiebeveiliging Onder • Maatregelen tegen informatieverlies (backup) delen EDP• Change-management procedure Audit 12
Behoorlijk geregelde en geprotocolleerde procedure • • • •
Vaststellen van eisen en randvoorwaarden Eenduidige toewijzing van verantwoordelijkheden Vaststellen en bevorderen van procedures en richtlijnen Het voorzien in een reeks diensten met betrekking tot het gebruik en beheer van archiefbescheiden • Het ontwerpen, implementeren en beheren van gespecialiseerde systemen voor het beheer van archiefbescheiden • Het integreren van informatie- en archiefmanagement in bedrijfsprocessen en systemen 13
Recordsmanagement in het procesontwerp Intake FO
Intake BO
Registraties en validaties
Toetsing
inhoudelijke toetsing
Levering BO
Advies
Advies
Levering FO
Dossieropbouw in digitaal archief Input management
Throughput management
Output management 14
Maatschappelijkeomgeving Bepaalt
Bepaalt verantwoordelijkheden van
Vormen gezaghebbende bronnen voor
Bedrijfsfuncties Bedrijfsactiviteiten
Leggen Zijn verant- verantwoor- woordeding af lijk voor aan en voeren uit
Is geïntegreerd in
Informatie- en archiefmanagement
Zijn verantwoordelijk voor en voeren uit
Functionarissen
Worden Vormen gedo- getrouwe cumen- afspiegeteerd in ling van
Legt vast, beheert en faciliteert gebruik van
Creëren Informeren
Archiefbescheiden 15
Rolverdeling Functionarisssen
Algemeen Medewerkers
management
primair proces
Lijnmanagement
Archief
ICT- specialisten
• Verantwoordelijkheid
-
specialisten
Procedures
• Goede
bewaken
archief -
• Geld beschikbaar stellen • Commitment en steun •
bescheiden produceren
• Systemen inrichten en onderhouden • De processen en controles van informatie - en archiefmanagement vormgeven , uitvoeren en verbeteren • De processen en controles van informatie - en
16
Nodig: processen ontleden Bedrijfsfuncties
Mandaat / taak Bedrijfsactiviteiten
Transactie
Transactie
Transactie
Transactie
Transactie
Transactie
Transactie
Activiteit Activiteit
Transactie
Activiteit Activiteit
Transactie
Activiteit Activiteit Transactie
Proces 3
Transactie
Proces 2
Transactie
Proces 1
17
Risico’s identificeren Risico’s identificeren
18
Controls inbouwen Risico’s identificeren
Controls inbouwen
19
Verslaglegging organiseren Risico’s identificeren
Controls inbouwen
Verslaglegging organiseren
20
Rolverdeling
Functionarissen
Algemeen management Lijnmanagement
Archief specialisten
ICT- specialisten
• Verantwoordelijkheid • Geld beschikbaar stellen • Commitment en steun • Systemen inrichten en
Medewerkers primair proces
Procedures bewaken •
• Goede archief-
bescheiden produceren
onderhouden
• De processen en controles van informatie- en archief-
management vormgeven, uitvoeren en verbeteren.
• De processen en controles van informatie - en
21
Wat is EDP Audit (IT audit) • Electronic Data Processing Audit is de onafhankelijke en onpartijdige beoordeling van de betrouwbaarheid, beveiliging, effectiviteit en efficiency van geautomatiseerde informatiesystemen, de organisatie van de automatiseringsafdeling en de technisch/organisatorische infrastructuur van de geautomatiseerde gegevensverwerking.
22
Deskundigheidsgebieden • Informatica (zowel de bestuurlijke informatiekunde als de automatiseringstechniek) • Controleleer (auditing, accountancy, controletechnieken) • Organisatiekunde • Wet- en rechtkennis
23
Informatiebeveiliging • Logische toegangsbeveiliging: Stelsel van instellingen, maatregelen en procedures gericht op bescherming van toegang door ongeautoriseerde personen • Maatregelen tegen informatieverlies: Stelsel van instellingen, maatregelen en procedures gericht op bescherming van integriteit, authenticiteit, betrouwbaarheid en beschikbaarheid
24
Informatiebeveiliging (voorbeelden) • Richtlijnen en procedures voor autorisatie • Toezicht op eventuele overtredingen van beveiligingen. • Het toekennen en opheffen van toegangsbevoegdheden • Bevoegdheden eindgebruikers op ‘need-to-know’basis
25
Continuïteit • Stelsel van maatregelen dat, in geval van calamiteiten, voorziet in voldoende zekerheid dat in geval van vernietiging of beschadiging van gegevens en programmatuur en/of apparatuur het substitutieproces op aanvaardbare wijze kan worden voortgezet.
26
Continuïteit (voorbeelden) • • • • •
Back-ups Beveiligde locatie Back-up media op meerdere locaties Recovery procedures Vervangende configuratie
27
Change management • Aanwezigheid van een gecoördineerde “Change management” functie t.b.v.: – Noodzakelijke veranderingen in de applicaties (inbedding infrastructuur, updates, upgrades, koppelingen met andere systemen, enz.) – Wijzigingen in de processen, procedures en software: impactanalyse, autorisatie, bouw, documentatie, testen en implementatie – Borging van gelden wet- en regelgeving
28
Change management (voorbeelden) • Wijzigingen in de productieomgeving • Wijzigingen geïnitieerd en gecontroleerd door eindgebruikers/ applicatiebeheerders. • Ontwikkeling van nieuwe informatie systemen c.q. aanpassing van bestaande informatiesystemen. • Testen en accepteren nieuwe (versies van) applicaties (OTAP-procedures) • Overzetten nieuwe software naar productieomgeving
29
Substitutie: een risico, probleem, uitdaging? • Niet met een behoorlijk geregelde en geprotocolleerde procedure • Niet met informatie- en archiefmanagement geïntegreerd in de bedrijfsprocessen en systemen • Niet met de juiste maatregelen voor beveiliging, backup en recovery • Maar als onderdeel van het continue (operationele) proces wordt het • Business as usual!
30
Vragen?
