Haarlem deelt ervaringen e-depot

Magazine

Editie zomer 2015

Het vakblad voor Informatiemanagers • Uitgave van DocumentWereld

Haarlem deelt ervaringen e-Depot Privacywetgeving aangehaald Sturen op resultaat de norm

En verder: Goed informatiebeheer betekent over de muur durven kijken

Doxis Magazine • zomer 2015

INHOUD e-Depot Noord-Hollands Archief:

4

Pilot uitplaatsing digitaal archief

gemeente Haarlem pakt goed uit

Column Dick de Vries

9

Concept selectielijst gemeenten: lust of last?

Sylvia Bakker-Kempen, een bevlogen archivist:

10

4

Bewustzijn van het belang van archivering langzaam proces

Geen organisatie ontkomt er aan: Veranderende EU-privacywetgeving stelt

14

veel organisaties voor dilemma

Diensten met resultaat in plaats van uren:

20

Agenda

23

9

14

10

20

Resultaten koppelen aan meetbare KPI’s

Colofon Adresgegevens Doxis Loire 126 2491 AJ DEN HAAG 070-3177172 www.doxis.nl [email protected]

Redactie John de Waard, Tekstschrijven als passie

Twitter @DoxisInformatie Volg Doxis ook op LinkedIn en Facebook

Opmaak en beeldredactie Kaijer Vormgeving, Schermerhorn

Eindredactie Max Beekhuis (Doxis) Geraldine Scholten (Doxis)

Realisatie Vakwereld Postbus 101 1260 AC Blaricum 087 -8742062

Productie Deze uitgave is geproduceerd op papier, digitaal gepubliceerd voor e-readers en de artikelen zijn te vinden op www.documentwereld.nl en www.doxis.nl. Auteursrechten Vakwereld

De Praktijk Pilot ‘uitplaatsing digitaal archief gemeente Haarlem’ wijst uit:

e-Depot Noord-Hollands Archief voorziet in behoefte Er zijn best nog wel wat hindernissen te nemen, maar de eerste ervaringen uit de pilot van de gemeente Haarlem met het uitplaatsen van haar digitaal archief naar het e-Depot van het Noord-Hollands Archief, zijn zeker positief. Eind vorig jaar

werd de afsluitende bijeenkomst georganiseerd en uit het grote aantal nieuwsgierigen dat daarop afkwam blijkt dat ook elders grote belangstelling voor deze ontwikkeling is.

In 2014 hebben de gemeente Haarlem en het Noord-Hol-

ness case is uitgewerkt die inzicht verschaft in de kosten

gitaal archief gemeente Haarlem’. Uitplaatsen betekent in

directeur Noord-Hollands Archief: ‘Het e-Depot is een

lands Archief samen gewerkt aan de pilot ‘uitplaatsing didit verband het door een derde partij laten uitvoeren van het archiefbeheer. Tijdens de pilot is een deel van het digitale archief van de gemeente Haarlem opgenomen in het e-

Depot van het Noord-Hollands Archief, waarna een busi-

4


en baten van een dergelijke uitplaatsing. Lieuwe Zoodsma, digitale ruimte die we beschikbaar stellen aan aangesloten overheidsorganisaties om hun digitaal archiefmateriaal in

op te slaan. Het gaat daarbij niet alleen om de pure opslag, maar ook om de technieken, de processen en de procedu-

heidsorganisaties afzonderlijk van elkaar een complex en kostbaar e-Depot ontwikkelen. Wij werken daarom nauw

samen met andere Regionale Historische Centra en het Nationaal Archief. Zo maken we bijvoorbeeld gebruik van de technische e-Depotvoorziening van het Nationaal Ar-

chief. Dat wil zeggen: zij beschikken over een digitale bewaarplaats die wij gebruiken. Het Nationaal Archief levert

de hard- en softwareservices, de technology watch (m.a.w. ziet er op toe dat op langere termijn aan de technische eisen wordt voldaan), de preservering van digitale bestanden en

de technische helpdesk. De processen en procedures bin-

nen ons e-Depot, zoals bijvoorbeeld een helder en duidelijk omschreven overdrachtsprotocol, regelen wij als NoordHollands Archief zelf in.’

Pilot gemeente Haarlem Zoals gezegd is de gemeente Haarlem een eerste pilot aangegaan, samen met het Noord-Hollands Archief, met als eerste doel om te kunnen leren van de ervaringen en

ten tweede om meer inzicht te krijgen over nut, noodzaak, kosten en baten. Klaartje Pompe, implementatiemanager eDepot bij het Noord-Hollands Archief: ‘Deze pilot heeft

enorm bijgedragen aan de opbouw van kennis over het eDepot en de rol van het Noord-Hollands Archief. Omdat we alles stap voor stap hebben doorlopen en steeds in nauw contact stonden met Haarlem, hebben we intern veel ken-

‘Deze pilot heeft enorm bijgedragen aan de opbouw over kennis.’ (Klaartje Pompe)

res die ervoor zorgen dat de kwaliteit en authenticiteit van

nis opgebouwd. De ondersteuning van Archief 2020 heeft

blijven.’

met anderen via website, workshops, presentaties en andere

digitaal archiefmateriaal voor een lange periode behouden

Samenwerken ‘Het ontwikkelen van dit e–Depot doen we niet alleen’, gaat

Zoodsma verder. ‘Het is ondoenlijk en onwenselijk als over-

ons in staat gesteld gedurende de pilot, informatie te delen

bijeenkomsten. Alle reacties die we hebben gekregen heb-

ben we geprobeerd zoveel mogelijk te verwerken, zodat we kunnen stellen dat deze pilot uiteindelijk een breed gedragen project is geworden.’

zomer 2015 • Doxis Magazine

5

2. Deze manier van uitplaatsen moet als nieuwe dienst van het Noord-Hollands Archief worden uitgewerkt.

3. De opgestelde criteria (ED3 2.0) zijn nuttig als kwali-

teits- of acceptatiecriteria maar dienen nog te worden aangevuld ten aanzien van uitplaatsing. Deze criteria

gaan vooralsnog alleen over het e-Depot, maar niet -

of veel minder - over de diensten eromheen, zoals uitplaatsing.

4. Het aansluiten op het e-Depot is nog niet zo eenvou-

dig en vergt veel inspanning van zowel de archiefvor-

mer als van de archiefdienst. Een nauwgezet voorbereidingstraject is daarom een eerste vereiste.

5. Het e-Depot onderscheidt zich door preserverings-

functionaliteit, waaronder formaatherkenning en daarmee ook de technology watch.

Aanvulling op de leerpunten:

Informatie in een e-Depot opslaan en beheren is één ding, zorgen dat alle stakeholders die informatie kunnen inzien

waar ze rechtens toe gemachtigd zijn, is weer een heel ander ding. Zoodsma: ‘De archiefvormer bepaalt zelf de toegan-

kelijkheid van de archiefinformatie. In het overdrachtsprotocol is opgenomen dat de archiefvormer de openbaarheid met onze adviseurs bespreekt en eventueel aanpast voor-

Lieuwe Zoodsma Foto: Paul Maessen

Leerpunten

dat het wordt opgenomen in het e-Depot. De mate van openbaarheid wordt in de metadata vastgelegd. De tech-

niek van het e-Depot zorgt, aan de hand van de metadata, automatisch voor de naleving van de (beperkte) mate van openbaarheid.’

Natuurlijk valt er veel te leren uit een dergelijke proef.

Ook de waarborging van de kwaliteit van het e-Depot zal

ma. ‘Het gaat er eerst en vooral om naar de achterban dui-

maakt gebruik van het ED3 toetsingskader om die kwa-

‘Dat is ook een belangrijk doel van deze pilot’, aldus Zoods-

delijk te maken wat een e-Depot is en wat het kan betekenen nu en in de toekomst voor het duurzaam digitaal (laten) archiveren. En ten slotte, hoe je dat het beste kunt

aanvliegen. Want zoals al in de inleiding gemeld: er zijn best wat hobbels te nemen.’

Belangrijke leerpunten zijn volgens de initiatiefnemers:

1. De toegang tot het e-Depot regelen voor zowel ambtenaren als burgers.

6


blijvende aandacht vragen. Het Noord-Hollands Archief

liteit te borgen. Periodiek worden audits uitgevoerd om te zien of nog steeds aan die criteria wordt voldaan, maar dan nog zeggen deze criteria weinig over de dienstverlening er omheen.

Er moeten nog afspraken worden gemaakt en waar nodig bestaande afspraken worden aangepast om de bij het

Noord-Hollands Archief aangesloten overheidsinstanties en Gemeenschappelijke Regelingen in de gelegenheid te

stellen aan te sluiten op het e-Depot. Pompe: ‘De bedoeling

pier en digitaal, maar het Noord-Hollands Archief maakt

in stand te houden. Afspraken over digitale opslag in het

kosten van het Nationaal Archief en de kosten voor beheer,

is om bestaande Dienstverleningsovereenkomsten (DVO’s)

e-Depot, worden straks in een aparte DVO opgenomen, als

geen winst op de dienst uitplaatsing en overbrenging. De

helpdesk en onderhoud door het Noord-Hollands Archief,

‘Ook al zitten er mitsen en maren aan de berekening, de verhouding blijft gelijk.’ (Lieuwe Zoodsma) aanvulling op de bestaande DVO. Ook daar gaat nog wel

worden direct doorbelast aan de afnemende organisatie.

nog met een hybride situatie zitten: zowel papier als digi-

orde van grootte liggen van ca. 1600 euro per terabyte per

even wat tijd in zitten. Vooral omdat de nodige instanties

taal. Die adviseren wij om zo snel mogelijk naar een situatie

Prijzen voor deze opzet zijn indicatief, maar zullen in de

te gaan waarbij digitaal leidend is. Eén vorm van archiefmateriaal is namelijk een stuk eenvoudiger om bij elkaar te houden, te beheren en toegankelijk te maken.’

Is alles eenmaal digitaal en is het materiaal rijp om te worden overgedragen aan het Noord-Hollands Archief, dan kan volgens het overdrachtsprotocol stap voor stap worden

toegewerkt naar een zorgvuldige en duurzame overdracht. Mirjam Bakker, adviseur digitale informatie bij het Noord-

Hollands Archief: ‘Zo is het duidelijk welke acties een archiefvormer moet ondernemen en welke inspanningen hij

kan verwachten van het Noord-Hollands Archief. Onder die procedurele stappen bevinden zich voor de hand lig-

gende zaken, zoals inzicht in archiefmateriaal. Maar hoe staat het met de digitale ondertekening, vervanging, het

opstellen van een metadataschema, digitaal werken en het aansturen van (digitale) processen? Allemaal belangrijke aspecten die van belang zijn voor en invloed hebben op het

geordend afleveren van overdraagbare archieven aan het eDepot. Een goed eindresultaat staat of valt met een goed voortraject.’

Kosten en baten Niet geheel onbelangrijk in de pilot, was het verkrijgen van

inzicht in de kosten en baten van het (gebruik van het) eDepot. Zoodsma: ‘In principe gaan we qua opzet uit van hetzelfde model voor het beheer en beschikbaarstelling van

een papieren archief. Natuurlijk is er wel een verschil in pa-


7

jaar voor uitplaatsing. Daar kan nog verandering in komen

Dit komende jaar gaat het Noord-Hollands Archief verder

mende periode nog zullen opdoen.’

dat zijn de provincie Noord-Holland en de Milieudienst

uiteraard, gebaseerd op de praktijkervaring die we de ko-

Er zijn drie modellen bekeken door de gemeente Haarlem,

om te achterhalen welke optie het best en het voordeligst is. Kort samengevat: model 1 gaat uit van het zo snel mogelijk

in een e-Depot plaatsen van informatie, direct bij ontvangst

van de informatie. Model 2 gaat uit van het eerst tijdelijk plaatsen van informatie in het DMS, zolang deze nog actief

wordt gebruikt en uitplaatsing naar het e-Depot gebeurt

pas als de zaak is afgedaan. De ambtenaar die ermee werkt,

op de ingeslagen weg en is gestart met twee nieuwe pilots; IJmond. De ambitie is om in 2016 30% van de bij ons aan-

gesloten partners aan te hebben gesloten op het e-Depot. In 2017 moet dat 60% zijn en in 2018 ten slotte zou ie-

dereen moeten zijn aangesloten. Zoodsma: ‘We maken met elke aangesloten partner heldere afspraken over het voor-

bereidingstraject op het e-Depot. Op basis hiervan kan ook een inschatting worden gemaakt van het beste moment van aansluiting.’

merkt dus helemaal geen verschil. En model 3 ten slotte,

Het worden spannende en drukke tijden voor het Noord-

van Haarlem uit naar voren, dat het model met het oor-

Zoodsma is er van overtuigd dat deze nieuwe weg, nieuwe

gaat uit van een eigen e-Depot. Daar kwam voor de situatie spronkelijke idee van uitplaatsing (model 2) verreweg het

voordeligst is. Zoodsma: ‘Ook al zitten er mitsen en maren

Hollands Archief en er moet nog veel gebeuren, maar kansen biedt. Voor alle partijen.

aan de berekening, die gelden voor alle drie de opties, dus de verhouding tussen de verschillende modellen blijft wel

gelijk. De afnemer van de diensten, in dit geval Haarlem, heeft dus het meeste belang bij de optie die het NoordHollands Archief biedt. En hoe eerder, hoe beter…’

8


Foto’s Noord-Hollands Archief: de beeldmarketeers / Hans Peter Föllmi

Column

Concept selectielijst gemeenten: lust of last? Door: Dick de Vries, professional bij Doxis

Onlangs zijn wij verhuisd. Mijn vrouw vond dat een mooi moment om waardering en selectie toe te passen op de inhoud van onze boekendozen. Ik niet. Mijn vrouw had haar risicoanalyse gemaakt en

geconcludeerd dat het risico van alles bewaren teveel geld kostte: ‘zeker zes nieuwe boekenkasten.’ Ik kwam tot een heel andere risico-

analyse: ‘Je weet nooit of je het nog eens gebruiken kunt.’ Bovendien pasten de boekenkasten prima in mijn kamer… We zijn er uiteindelijk samen uitgekomen zonder selectielijst. Maar had een selectielijst geholpen?

Op 28 januari is de concept-ontwerpselectielijst 2016 voor gemeenten en intergemeentelijke organen gepresenteerd door de VNG.

Twee zaken springen er wat mij betreft uit:

• 20 jaar na PIVOT gaan gemeenten nu ook procesgericht waarderen en selecteren

• Iedere gemeente en intergemeentelijk orgaan wordt geadviseerd een systeem-, trend- en/of

risicoanalyse te maken, in aansluiting bij de landelijke analyses.

In het veld hoor ik veel geluiden dat dit weer extra werkt betekent voor de DIV-afdeling en de archivaris. Ik vind die klacht niet terecht. De nieuwe selectiemethodiek biedt juist een mogelijkheid om het gesprek over selectie en waardering van informatie opnieuw te voeren in uw organisatie. Want wat zijn nu eigenlijk de risico’s van te kort (of

te lang) informatie bewaren volgens de proceseigenaren van uw organisatie? Heeft uw bestuur zicht op informatieknooppunten en ketenarchivering? En weet elke archivaris hoe hij/zij de lokale/ regionale samenleving het beste

kan documenteren?

Over de concept-ontwerpselectielijst zoals die er nu ligt is al veel gezegd. De grote hoeveelheid vragen zal vermoedelijk leiden tot een flink aantal wijzigingen. Maar welk eindproduct er ook uit de bus komt, wij staan voor de taak

om in onze eigen organisatie(s) opnieuw het gesprek te voeren over selectie en waardering met alle relevante partijen. We waarderen en selecteren immers niet voor onszelf, maar voor overheidsorganen, de rechten bewijszoekende burger en voor historisch onderzoek.

Het is bijna een open deur om daarbij te benadrukken dat het gesprek vooral moet gaan over digitale informatie en

de systemen waarin deze informatie beheerd wordt. Persoonlijk heb ik dat gesprek met mijn vrouw vermeden. Onze

laptop loopt bijna vast door de grote hoeveelheid data, maar neemt in ons huis niet zo veel ruimte in beslag. En om mijn boekenkasten te kunnen financieren moet de laptop nog een tijdje meegaan…

De zes boekenkasten zijn er uiteindelijk gekomen. De neerslag van haar en mijn vroege (studie)processen is daarin

opgenomen, de neerslag van ons gezamenlijk (huwelijk)proces is elders in huis opgeborgen. Het was een risicoafweging die ik gemakkelijk kon maken, er is nog ruimte voor zeker 20 boeken. Digitaal ligt er nog heel veel werk te wachten, ik heb met haar afgesproken dat we dit gezamenlijk gaan oppakken.


9

Politiek & Archief Sylvia Bakker-Kempen: bevlogen archivist

‘Bewustzijn van het belang van archivering is een langzaam proces’ Hoe intrigerend kan het zijn om

als archivaris voor een fractie in de

Tweede Kamer der Staten-Generaal te werken? Een archivist kan daar een toegevoegde waarde heb-

ben. Sylvia Bakker werd altijd al geintrigeerd door de interactie tussen

openbaar bestuur en de uitvoering op het gebied van vastlegging van informatie in de juiste context en

met de juiste ontsluiting via daarvoor geschikte systemen.

Sylvia Bakker-Kempen in de hal van de Tweede Kamer der Staten Generaal

Bakker: ‘Bestuurders hebben belang bij het vastleggen van

de juiste informatie. Het is een kwestie van belangen in balans (zie kader), zoals onlangs is gepresenteerd in een

impact van de juiste informatie op de juiste plaats bij de juiste mensen, nu en in de toekomst.

nieuwe handreiking van het Nationaal Archief.’ Bakker

‘De rol van de archivaris, of hoe we die functie straks ook

digital archiving en fungeert daarbij een enkele keer als ses-

bracht. Dat zijn mensen die met de juiste kennis en erva-

bezoekt congressen en symposia betreffende het vakgebied sievoorzitter. Ze is duidelijk bevlogen en geboeid door de

10


willen noemen, kan wat prominenter in beeld worden ge-

ring beschikken over de helicopterview die nodig is om het

kaf van het koren te scheiden. Om relevante informatie van

matie kunnen zien, lezen, gebruiken en ‘meenemen’ op hun

ten leiden door de waan van de dag.’ Die ‘drive’ probeert ze

belang van de gebruiker ligt niet zo zeer bij het feit dat

de minder relevante te onderscheiden, zonder zich te la-

voor het voetlicht te brengen. ‘Omdat het van belang is voor onze toekomstige informatievoorziening.’

‘In de praktijk is er een kloof tussen het gebruik van informatie en het gestructureerd vastleggen ervan.’

iPad, in e-mail, op social media, via internetsites etc. Het de relevantie van bepaalde informatie wordt vastgelegd. En dat van alle relevante informatie ook op een goede manier

de metadata worden vastgelegd samen met het hoe, wat en waarom – de context - van de informatie. Dat is echter wel

noodzakelijk om er op langere termijn te kunnen vertrouwen dat die informatie authentiek, bereikbaar en volgens

een bepaalde logica beschikbaar is. Dáár ligt dus de rol van de archivaris. En zelfs dan kun je nog discussies hebben of iets werkelijk relevant zal blijken te zijn in de toekomst.’ Archiveren is niet hetzelfde als opslaan ‘ICT’ers hebben verstand van infrastructuren en de opslag-

Snelle ontwikkelingen Er is in de afgelopen decennia ontzettend veel veranderd

in de manier waarop – ook in de politiek – wordt gecom-

municeerd. Zowel intern als naar buiten. Bakker: ‘Dat heeft direct zijn weerslag op de manier en mogelijkheden om die informatie en de daaraan gerelateerde processen vast te leggen. En om die informatie te gebruiken. In de praktijk is

er een kloof tussen het gebruik van de informatie en het

vastleggen ervan volgens een bepaalde structuur. Voor de

gebruikers geldt heel pragmatisch: zolang het er maar is. Het gaat ze er in de praktijk vooral om, dat ze de infor-

systemen. Archiefvormers en Informatiebeheerders selecteren en vernietigen de juiste data om in de toekomst een

goed beeld te kunnen hebben van deze tijd. Voor het beheer

en behoud van de gegevens worden deze op termijn overgedragen naar een archiefbewaarplaats. In de Archiefwet is de termijn voor overbrenging vastgesteld op 20 jaar. De

informatie is dan in principe openbaar. Voordat er sprake is

van de overdracht naar een archiefbewaarplaats (e-depot), kan de informatie al veelvuldig zijn gebruikt of juist niet. Wat ik al eerder aangaf, in 20 jaar is er zoveel veranderd in

de manier waarop we informatie creëren, hoe we die delen en hoe we daarmee omgaan.


11

De digitale opslag vraagt er soms ook om andere keuzes te

lijke ontwikkelingen. Daarvoor heb je specifieke kennis en

den. We zitten in een belangrijke overgangsperiode en dat

de dag is iemand die kan inspireren en motiveren; iemand

maken voor het gebruik en vastleggen van de bronbestanmaakt mijn werk zo interessant.

Koppelingen en samenhang Bakker ziet overigens het belang van goede ICT in. ICT’ers zijn in staat de technische koppelingen tussen diverse in

gebruik zijnde systemen en de samenhang tussen zowel systemen als daarin voorkomende informatie te realiseren.

Het draait volgens Bakker vooral om een proces van be-

wustwording. ‘Je moet je bewust zijn van het belang van een goed gedocumenteerd archief rondom voorbereiding

en besluitvorming in het openbaar bestuur. Dat soort processen gaan vaak langzaam. Duidelijkheid scheppen over

wie, wat, waar, waarom en hoe is cruciaal. Vooraf moeten de

verwachtingen naar alle betrokkenen duidelijk zijn, voor nu

en voor later. Het uiteindelijke doel van doordacht informatiebeheer is een weerslag te geven van de maatschappe-

12


vaardigheden nodig. De rol van de archivaris van vandaag

die over de muur durft te kijken, durft van de gebaande paden af te gaan en over overtuigingskracht heeft om andere belanghebbenden te laten inzien dat goed informatiebeheer al begint bij het ontstaan van informatie.’

‘Je moet je bewust zijn van het belang van een goed gedocumenteerd archief rondom voorbereiding en besluitvorming in het openbaar bestuur.’

‘Belangen in Balans’ In het kader van de belangenafweging die ook Sylvia

Bij deze gelegenheid maakten de aanwezigen tijdens een

king waardering en selectie archiefbescheiden in de digi-

uit de handreiking: de hotspotmonitor. Dit instrument is

Bakker steeds weer tegenkomt, werd onlangs de handreitale tijd gepresenteerd. Hoe bepaalt een (overheids)orga-

nisatie welke informatie bewaard moet blijven en welke

vernietigd moet worden? En hoe houd je daarbij rekening met de verschillende belangen bij overheidsinformatie?

Onlangs kreeg Marjan Hammersma – directeur-generaal Cultuur en Media van het ministerie van OCW – de primeur met het antwoord. Zij ontving uit handen van de

live-demo nader kennis met een van de drie instrumenten bedoeld om langdurig te bewaren informatie aan te wijzen; informatie die te maken heeft met een gebeurtenis of

kwestie die tot maatschappelijke beroering leidt of heeft geleid. Daarmee wordt invulling gegeven aan de uitzon-

deringsgrond in het Archiefbesluit (art. 5E) die ruimte

biedt om meer te bewaren dan in de selectielijst is bepaald.

algemene rijksarchivaris Marens Engelhard digitaal het

Als voorbeeld werd een aantal praktijkgevallen aangedra-

waardering en selectie van archiefbescheiden in de di-

oorzaakt, waren de meningen vrijwel eensgezind. Dit is

eerste exemplaar van Belangen in balans; handreiking gitale tijd.

De handreiking beschrijft hoe een departement, dienst of agentschap in het digitale tijdperk op een verantwoorde

manier invulling kan geven aan waardering en selectie van archiefbescheiden. Bij digitale informatie is de crux dat

informatie geselecteerd wordt op het moment van creatie. Marjan Hammersma merkte daarbij terecht op dat waardering en selectie een permanent proces zijn geworden.

gen. Over de schade die gaswinning in Groningen ver-

een ware hotspot. Deze maatschappelijke discussie verdient het bewaard te blijven, volgens het aanwezige pu-

bliek. Bij de tweede hotspot waren de meningen verdeeld. Nu speelde de vraag of de discussie rond het gebruik van de onderdoorgang van het Rijksmuseum wel of geen hotspot was. Daarmee bewees de hotspotmonitor direct zijn

nut. Het loont om geregeld aan de hand van de hotspotmonitor met elkaar te bespreken welke archiefbescheiden blijvend bewaard moeten worden.


13

EU-privacyverordening

Privacygevoelige informatie voortaan verplicht strak onder controle:

Veranderende EU privacywetgeving stelt veel organisaties voor dilemma Het lijkt allemaal abracadabra, die nieuwe EU privacyverordening: de EU General Data Protection Regulation (GDPR), maar in gewoon Nederlands komt het erop neer dat het verzamelen, het gebruik en de opslag van persoonlijke en/of ge-

voelige informatie nog scherper ‘in de gaten wordt gehouden’. Een van de meest ingrijpende wijzigingen is de verplichting om privacygevoelige data te verwijderen op verzoek, wanneer deze niet meer nodig is voor bedrijfstaken. Dat verzoek kan

komen van de betrokkene (geregistreerde persoon) dan wel van de toezichthouder, het College Bescherming Persoonsgegevens (CBP) die beide een deel van het toezicht hebben toebedeeld gekregen.

Nu is ‘niet meer nodig voor bedrijfstaken’ ook een rekbaar

den, was er een bommelding. ‘Safety first’ zullen we maar

dan maar te bewaren, want je weet nooit’. De komst van

wil om te komen was blijkbaar zo groot, dat uiteindelijk

begrip. Voor veel bedrijven en organisaties reden om ‘het de GDPR moet ertoe leiden dat wanneer een bezoekje - al

dan niet virtueel - wordt gebracht, een organisatie heel goed moet kunnen uitleggen waarom (met) bepaalde gegevens

worden verwerkt (wordt gewerkt). Aangezien de boetes per

overtreding kunnen oplopen van 250.000 euro als ‘starter’

zeggen. Daardoor was een aantal mensen wat laat, maar de

toch een grote groep geïnteresseerden uit diverse vakgebieden aanwezig was. Allemaal waren ze getriggerd door het

aanstaande fenomeen: de nieuwe privacyverordening van de EU, die op handen is.

tot 100 miljoen euro, zijnde 2% van de bruto (wereldwijde)

Uitdaging

duiken. En dat was de aanleiding voor Somio en Xillio om

maal duidelijk wanneer dan wel, maar volgens de deskundi-

jaaromzet van het bedrijf. Reden genoeg om er eens in te

Het is namelijk nog niet zo ver en het is ook nog niet hele-

een seminar te organiseren met juist die veranderingen als

gen, Bas Kruiswijk (Twynstra Gudde) en Maurice Koetsier

thema.

Noem het toeval of niet, maar de dag dat het seminar over

de veranderende privacywetgeving in Utrecht werd gehou-

14


(KPMG) en privacyjuriste Chloë Baartmans (SURFnet), zal de nieuwe verordening per 1 januari 2016 van kracht worden. ‘Maar, sommigen zeggen januari 2016, anderen

2017 of 2018. Omdat het een Verordening is, is de wetge-

ving direct van kracht zonder dat deze dan nog moet wor-

den geïmplementeerd in de Nederlandse wetgeving. Daarmee is de Nederlandse wetgeving die niet overeenstemt

met de GDPR ook ongeldig vanaf moment van inwerkingtreding’, aldus Baartmans. Wel resteert er na de aanstaande

inwerkingtreding van deze Europese verordening een overgangsperiode van twee jaar, maar zo’n periode hebben de meeste bedrijven ook hard nodig.

Op dit moment ligt het GDPR voorstel bij de Europese

Raad van Ministers en die hopen voor het zomerreces een aangepaste conceptversie te produceren. Dan zal na het zo-

Chloë Baartmans: ‘Zelfs voor deskundigen moeilijke materie.’

merreces een ‘trilogue’ plaatsvinden tussen de Raad van Mi-

op alle ongestructureerde informatie, laat staan als het gaat

van de GDPR vast te stellen. Baartmans: ‘De verwachting

kers, klanten etc. Kortom, het is een heel lastig onderwerp.’

nisters, het EP en de Commissie om de uiteindelijke tekst is dat deze discussie (mede vanwege uiteenlopende con-

om privacygevoelige informatie van individuele medewer-

ceptteksten van alle drie de EU-organen) nog veel tijd in

Meer stakeholders, meer risico’s

1 januari 2018 in heel Europa de verordening zijn geïm-

tiebeveiliging, Datamanagement en Privacy bij KPMG,

beslag zal nemen. Uiteindelijk, zo is de verwachting, zal per

Maurice Koetsier, specialist op het gebied van Informa-

plementeerd. Toezichthouders kunnen echter direct vanaf

constateert hetzelfde: ‘Bedrijven werken tegenwoordig veel

de datum van inwerkingtreding boetes opleggen. ‘Dat be-

tekent een enorme uitdaging voor alle betrokken CIO’s, privacy officers en informatiemanagers’, aldus Koen van Hoogstraten, principal consultant bij seminar-organisator

samen in een keten, de zg. ‘supply chain’. Dat betekent nog

meer stakeholders en nog minder grip op de totale informatiestroom tussen al die partijen. De risico’s op het ge-

bied van missers nemen daarbij bijna exponentieel toe. Ik

‘Dat betekent een enorme uitdaging voor alle betrokken CIO’s, privacy officers en informatiemanagers.’ (Koen van Hoogstraten) Somio. ‘Want hoe ga je dat organiseren? Hoe zorg je ervoor

raad iedereen aan om eens te kijken op http://www.infor-

dat je grip krijgt op alle privacygevoelige informatie die

mationisbeautiful.net/visualizations/worlds-biggest-data-

waar een ‘vernietigingstermijn’ aan hangt? Natuurlijk heb je

schandalen op dit gebied beschreven. En geloof me, ieder-

wat gebeurt ermee als de vacature is voorzien? In hoeveel

hoog op de prioriteitenlijst bij organisaties in Nederland,

zich ergens in de systemen van uw organisatie bevindt en

sollicitaties digitaal beschikbaar, tijdens de procedure. Maar bestanden en mapjes bevindt zich niet ergens een kopietje

van zo’n bestand? En dat is nog maar een eenvoudig voor-

beeld. Zo zijn er legio voorbeelden te bedenken van persoonlijke en gevoelige informatie die je niet zomaar overal

mag hebben en bewaren. In de praktijk is dat nog veel meer

dan verwacht. Het lukt ons nu al amper om grip te krijgen

breaches-hacks/.com. Daar zie je de grootste datalekken en

een heeft er mee te maken. Niet voor niets staat privacy

zo blijkt uit de Nationale IT-security Monitor voor 2015. Het probleem daarbij is, dat de definitie van persoonlijke

informatie een wel erg groot gebied beslaat. Er is altijd al een bepaalde controversie geweest tussen rechten (individu)

en plichten (organisatie) in hoe om te gaan met persoonlijke informatie. In de kern draait het echter om het recht


15

beschermd te worden tegen inbreuk op je persoonlijke gegevens.

van toepassing is, als de wijziging van de Wet bescherming

gegevens verzameld? Is er recht van inzage/wijziging voor

ziging is eind mei door de Eerste Kamer heen gekomen.

Daarbij geldt een aantal principes: Met welk doel worden de betrokkene? Is er sprake van voldoende transparantie?

En is er sprake van voldoende maatregelen ter beveiliging?

persoonsgegevens (Wbp) zijn beslag krijgt. Deze wetswijDaarmee loopt Nederland dus vooruit op de GDPR.

Die principes komen op verschillende wijze in heel veel

Koetsier: ‘Bedrijven in Europa zijn met ingang van de EU-

ondoorzichtiger.’

melden, wanneer sprake is van een datalek.’ Maar wie gaat

weten regelgeving voor en dat maakt het juist alleen maar

verordening verplicht om direct aan de toezichthouder te dat nu doen als je weet dat je een enorme boete boven het

Moeilijke materie, weinig grip Voor veel bedrijven is het moeilijke materie. Niet elke organisatie heeft een privacy officer of functionaris gegevensbescherming benoemd, ofschoon er wel steeds meer

komen. ‘Maar zelfs als je ter zake kundig bent, is het nog

hoofd hangt, was direct de reactie uit de zaal. Wie maakt de

beerput open? Baartmans wist daar wel antwoord op: ‘Het

is niet zo dat als je een datalek meldt, je ook direct bestraft

wordt met een boete. Althans, in Nederland, zoals de situ-

atie nu is met de per 1 januarie 2016 veranderende Wet

‘Dat betekent nog meer stakeholders en nog minder grip op de totale informatiestroom tussen die stakeholders.’ (Maurice Koetsier) steeds moeilijk’, aldus Chloë Baartmans, privacyjuriste bij

bescherming persoonsgegevens. Eerst krijg je een bindend

al complex en nu deze EU-verordening erbij komt - die

les om herhaling te voorkomen. Pas bij het niet opvolgen

SURFnet en aanwezig tijdens het seminar. ‘Wetgeving is bovendien geldt boven de Nederlandse wetgeving! - vraag

ik me af in hoeverre bedrijven en organisaties voldoende op de hoogte zijn.’

Nieuw in de EU-verordening is ook de meldplicht voor

datalekken. Een meldplicht die straks na - naar verwachting - 1 januari 2016 voor de Nederlandse wetgeving al

advies over de te nemen maatregelen, aanpassingen en alvan het bindend advies of herhaalde nalatigheid krijg je een

boete.’ Die boete was eerst enkele duizenden euro, volgend jaar stijgt die naar maximaal 810.000 of zelfs naar 10% van de omzet.

Goede omgangsvormen vereist Bewustwording is een cruciale factor in het met succes bestrijden van de risico’s op fouten met gevoelige data, con-

stateert Van Hoogstraten. ‘Het feit dat steeds meer organisaties een specifieke functionaris aanstellen zegt al iets over de bereidheid om er iets aan te doen. Na de grote schanda-

len met WikiLeaks, Edward Snowden en ga zo maar door, wil geen bedrijf worden geassocieerd met ‘onzorgvuldige omgang met persoonlijke informatie’. Het is net als in zo-

veel gevallen als het gaat om beveiliging: de medewerkers

staan aan het begin van het proces. Als die zich er niet van

Maurice Koetsier

16


bewust zijn over hoe om te gaan met privacygevoelige informatie, dan houdt alles op. Het is echter aan de onderne-

ming zelf om ervoor te zorgen dat die bewustwording er is.

Dat medewerkers weten hoe ze moeten handelen met bijvoorbeeld die sollicitatiebrief, die creditcard gegevens, die

ID-gegevens. Daar moeten procedures voor worden opgesteld, om iedereen te doordringen van het belang van goede omgangsvormen met persoonlijke data. Gewoon standaard vanaf het ontstaan van data rekening houden met alle aspecten van die gegevens, dus ook de privacyaspecten.’ Probleem speelt overal Het probleem speelt overal. Bas Kruiswijk, senior adviseur

Twynstra Gudde heeft zich veel bezig gehouden met de

onderwijssector: ‘Onlangs was er een serieus schandaal in

Bas Kruiswijk

de onderwijswereld waar leerlingengegevens en resultaten

natuurlijk niet! Maar er spelen meer zaken rondom deze

van leermiddelen. Die kon daardoor beter de leermethode

echt weg? Verwijderen met de deleteknop is niet genoeg,

van de leerlingen werden doorgegeven aan een leverancier

per leerling optimaliseren. Een nobel doel, maar dat mag

nieuwe wetgeving. Wanneer is bijvoorbeeld een bestand want weet je ten eerste wel zeker dat het alleen daar was

‘Ik heb het in de praktijk gezien dat daadwerkelijk vensterbanken vol lagen met allerlei examendossiers.’ (Bas Kruiswijk)


17

opgeslagen? En ten tweede, voor een techneut is het niet

vatbaar is voor dergelijke risico’s’, aldus Maurice Koetsier.

even los van alle papieren documenten die her en der lig-

om te zien waar de risico’s en knelpunten liggen binnen

zo moeilijk het bestand alsnog naar boven te halen. Nog gen. Ik heb het in de praktijk gezien dat daadwerkelijk

vensterbanken vol lagen met allerlei examendossiers. Om iets te kunnen doen met die privacywetgeving is het dus

‘Dat kan bijvoorbeeld een Privacy Impact Assessment zijn, jouw organisatie. Maar begin eens met een simpele test op je data.’

eveneens nodig dat er wat wordt gedaan aan serieus en goed

Sjoerd Alkema, product manager bij Xillio, specialist in da-

van documentsoorten, werkprocessen etc. Inclusief de pro-

derstreept het nut van een snelle analyse van (delen van)

doordacht documentmanagement, met duidelijke definities cedures over bewaartermijnen, vernietiging en autorisaties. Het is niet alleen een kwestie van iemand aanstellen met

als verantwoordelijkheid te zorgen voor een goed privacybeleid. Dat is wel belangrijk, maar het fundament moet op orde zijn, anders is het dweilen met de kraan open. Privacy is sterk verbonden met de information lifecycle, dus bij alle

levensfases van data en documenten structureel rekening houden met de privacyaspecten.’

Privacy Impact Assessment ‘Er zijn allerlei middelen om te testen of jouw organisatie

18


tamanagement en mede-organisator van het seminar, onje corporate data. ‘Een simpele scan en analyse op een deel

van de beschikbare data binnen je organisatie, zal aantonen dat het probleem echt veel groter is dan je al dacht.’ Om de daad bij het woord te voegen, liet Alkema een paar direc-

tories van zijn eigen laptop scannen. ‘Met een beetje geluk had een crimineel hier heel snel identiteitsfraude mee kunnen plegen. Mijn creditcard gegevens, mijn BSN-nummer

wat zomaar nog ergens in een document genoemd wordt, zoek nog even verder op LinkedIn en Facebook en je kunt

de identiteit van iemand moeiteloos overnemen. Zo eenvoudig gaat dat….’

DocumentWereld

Document Wereld - Nieuws

- Achtergronden - Agenda

- Bedrijvengids - Video

- Magazines zomer 2015 • Doxis Magazine

19

Diensten in de Markt Richten op kernactiviteiten en sturen op resultaat:

Sturen op resultaat wordt steeds meer de norm De tijd van uurtje-factuurtje is voorbij. Geen eindeloze trajecten meer waarbij maar capaciteit wordt ingekocht zonder dat er duidelijke afspraken zijn over wat er nu eigenlijk moet worden opgeleverd. Wat nu als er een optie is om een ‘resultaat’ in te kopen? Toch gebruik maken van experts die je met raad en daad bijstaan, met als garantie een afgesproken

resultaat tegen een afgesproken prijs. i-Beez, een nieuw label onder de vleugels van Doxis Informatiemanagers, speelt in op deze veranderende behoefte in de markt.

Titia Beuker en Onno de Moor zwaaien de scepter binnen

i-Beez en zien dat de markt wel degelijk behoefte heeft aan het inkopen van expertise. ‘Maar dan niet op de wat meer

traditionele manier van, kort door de bocht, uurtje-fac-

tuurtje voor geleverde handenarbeid’, aldus Beuker. ‘Daar zijn – zeker in overheidsland – niet veel partijen meer in

‘Dat resultaat kun je vervolgens koppelen aan specifieke werkzaamheden en meetbare KPI’s.’ (Titia Beuker)

geïnteresseerd. Hooguit voor wat achterstallig scanwerk en dergelijke. Daar richten wij ons echter niet op. Met i-Beez

proberen we meer strategisch mee te denken met de opdrachtgever en samen te bepalen waar de grote voordelen

liggen. Hoe kun je een bepaald resultaat realiseren? Dat resultaat kun je vervolgens koppelen aan specifieke werkzaamheden en meetbare KPI’s.’ Het sturen op resultaat is overigens in andere delen van de informatiemarkt bepaald

niet ongewoon, schetst Beuker de markt. ‘In de consultancy zie je eveneens dat medeverantwoordelijkheid wordt gedragen door de aanbieder; net als bij het beschikbaar stellen

van ICT-componenten en ICT-infrastructuur. Steeds meer geldt de beschikbaarheid of het resultaat en dat is onafhan-

Titia Beuker

20


kelijk van het aantal uren wat de dienstverlener erin steekt.

Althans, daarover maken de partners duidelijke afspraken. Daarna geldt alleen nog het resultaat.’

Inzicht verkrijgen ‘Wanneer we als i-Beez in gesprek raken met partijen over

de nieuwe aanpak en mogelijkheden, zie je hun ogen groter worden’, aldus De Moor. ‘Bij veel organisaties ontbreekt het

inzicht in de omvang van het probleem, de stakeholders en de te nemen stappen om wat orde in de (relatieve) infor-

matiechaos te scheppen. De wil om te veranderen is er wel, maar de expertise en ervaring ontbreekt veelal om er zelf

wat aan te veranderen. Wij zijn dan in staat om de vinger op de zere plek te leggen en ze te laten zien waar de knel-

punten zitten. Wat de status is van de positie waar de organisatie zich nu bevindt en wat er moet gebeuren om naar

een hoger ‘level’ te komen. Die knelpunten kunnen we met

concrete oplossingen verhelpen, zodanig dat de organisatie

(weer) op de rit staat voor de volgende stap in optimalisering van hun bedrijfsprocessen en informatiebeheer.’ Kerntaak of niet? Op die manier heeft i-Beez met succes bij Rijkswaterstaat gewerkt. Beuker: ‘Ook daar worstelde men met de scheiding

Onno de Moor

van functies en taken. Wat is nu écht de taak van Rijkswa-

gelijkheden om expertise af te nemen; van uitvoering van

is de daadwerkelijke uitvoering van het informatiebeheer

klant tot volledige uitbesteding aan i-Beez. En alles wat

terstaat? En wie doet wat? Zoals voor zoveel organisaties, geen kerntaak. Wat wij zien is dat partijen behoefte hebben om meer met marktpartijen samen op te trekken en

de werkzaamheden onder volledige verantwoording van de hier tussenin zit.’

deze aan te sturen, in plaats van zelf steeds het voortouw te

Wel de lusten, niet de lasten

satie ook ‘lean & mean’ kunt opereren. Je stuurt en bent niet

gens Beuker ook een welkome dienstverlening kunnen be-

nemen in de uitvoering. Dat betekent dat je zelf als organi-

Voor veel andere infrastructurele organisaties zou dat vol-

(meer) met de uitvoering bezig. Daar ligt voor i-Beez een

tekenen. Net als voor Regionale uitvoeringsdiensten, Om-

heel terrein braak. Wij zijn in staat die uitvoering - dankzij

onze kennis en ervaring - met zorg en volgens de wensen en afspraken te realiseren. Volgens een vast, meetbaar, raamwerk van prijs en prestatie. Hierbij zijn er verschillende mo-

gevingsdiensten, Veiligheidsregio’s, samenwerkingsvormen

als Jeugdzorg etc. Overal waar sprake is van veel samenwerken, veel (en complexe) informatiestromen en stagne-

rende eigen expertise op dit gebied. Met de ‘diensteninkoop’

‘Bij veel organisaties ontbreekt het inzicht in de omvang van het probleem, de stakeholders en de te nemen stappen om wat orde in de (relatieve) informatiechaos te scheppen.’ (Onno de Moor)

21

verzeker je je zelf van het gewenste resultaat, zonder uit de hand lopende projectkosten. ‘Wel de lusten, niet die (te grote) lasten. Althans, je plukt direct de vruchten van ex-

expertise die we in huis hebben om dat resultaat te bereiken, durven wij dat soort afspraken wel aan.’

pertise in de markt, die gepaard gaat met duidelijke lasten

Geen ‘handjes’ inhuren, wel de dienst

bent aan een uurtje-factuurtje-overeenkomst. Je huurt geen

Beuker: ‘Dat is dus wezenlijk anders dan het uitbesteden

resultaat af. Samen zet je de stip op de horizon, bijvoorbeeld

moet worden bezuinigd in het algemeen. Als die uren na-

zonder voetangels en klemmen. En zonder dat je gebonden

met resultaat

personeel in, je neemt alleen een dienst met een bepaald

van een taak in de vorm van uren arbeid leveren. Daarop

het volledig digitaal kunnen samenwerken, om vervolgens

heel gestructureerd daar naar toe te werken. Stap voor stap.’ Voortgang en knelpunten De Moor: ‘De klant heeft er op die manier geen omkijken

naar. Periodiek overleg zorgt ervoor dat hij op de hoogte wordt gehouden van de voortgang, van de eventueel op-

tredende knelpunten, van de maatregelen om die knelpun-

ten te verhelpen en ziet dus alleen dat het project verloopt, zoals hij had gehoopt. Voor dat resultaat betaalt hij. Niets

meer en niets minder. Daarover kunnen we zelfs afspraken maken in de vorm van gedeelde winst bij te behalen re-

sultaat. Om een voorbeeld te noemen: zo kunnen we een

organisatie helpen om het postproces van papier naar volledig digitaal om te zetten. Dat geeft een van te voren te berekenen resultaat in de vorm van efficiency, maar ook ge-

woon in keiharde besparingen. Dan bestaat de optie samen

een project op te zetten op basis van gedeelde opbrengsten. Zodat alle betrokkenen er belang bij hebben om het project

zo goed mogelijk te laten verlopen. Dat betekent dat we allemaal binnen de kortst mogelijke tijd het beste resultaat willen behalen. Omdat wij overtuigd zijn van de kennis en

22


melijk niet genoeg blijken te zijn om voor een bedrijf het

gewenste resultaat te bereiken, worden traditioneel meer

uren ingezet. Het hele project wordt duurder en duurder, zonder garanties op resultaat aan het eind. Door de inkoop

van diensten op basis van een te halen resultaat, deel je die verantwoordelijkheid voor het resultaat. Als targets niet ge-

haald dreigen te worden, worden inhoudelijk deskundigen geraadpleegd om eventueel de zaak vlot te trekken. Alles

staat in het teken van het behalen van het afgesproken resultaat. Digitaal, want papier is geen optie. Rendement in

plaats van inspanning is het motto. Een andere belangrijke trend, is dat steeds meer moet worden samengewerkt in de keten. Dan komen er echter direct allerlei andere zaken

naar boven: privacy, veiligheid, autorisatiebeleid. Dat maakt

het vaak complex en zorgt ervoor dat je niet altijd evenveel

grip hebt als organisatie. Als je echter expertise inhuurt met als doel een bepaald resultaat is dat gevaar veel kleiner. De gedeelde verantwoordelijkheid om dat resultaat te halen is

wat je aan elkaar bindt. De onderlinge verhouding is meer die van partners dan opdrachtnemer-opdrachtgever. En daar ligt juist de kracht van het concept.’

Agenda In gesprek met de regio:

de ABR-Kennisbijeenkomsten In het najaar bent u weer van harte welkom bij de regionale ABR-Kennisbijeenkomsten. Deze gaan van start in

oktober. Gedurende deze Kennisbijeenkomsten worden ac-

tuele thema’s vertaald naar uw dagelijkse praktijk! Op het programma staan thema’s als de decentralisaties en het e-

depot. U gaat in gesprek met vakgenoten uit uw regio die te maken hebben met dezelfde problematiek. Deze sessies worden begeleid door professionals van Doxis én vakgenoten!

Deze bijeenkomsten zijn exclusief voor ABR-leden.

Aanmelden? Ga naar www.doxis.nl/ regiobijeenkomst.

TAPAS Tekstschrijven als Passie

Voor als u zelf de juiste woorden niet kunt vinden!

M 06 54 343 156

www.tekstschrijvenalspassie.nl 23

23

Haarlem deelt ervaringen e-depot

Recommend Documents