Vorig jaar schreef ik op mijn blog over DIV en digitale archivering: ‘In een hoekje van de organisatie zaten DIV’ers en archivarissen als in een soort Gallisch dorpje nog angstvallig te redden wat er te redden viel aan te archiveren stukken. Moedig namen ze het archiveren van e-mailberichten ook nog als taak op zich met hun uitgedunde, wegbezuinigde gelederen. Godzijdank was dat geen succes in de organisatie, ze zouden immers dag en nacht kunnen doorwerken en nog steeds niet alle relevante mailtjes van de ruim bemeten metadata kunnen voorzien.
Vorig jaar schreef ik op mijn blog over DIV en digitale archivering: ‘In een hoekje van de organisatie zaten DIV’ers en archivarissen als in een soort Gallisch dorpje nog angstvallig te redden wat er te redden viel aan te archiveren stukken. Moedig namen ze het archiveren van e-mailberichten ook nog als taak op zich met hun uitgedunde, wegbezuinigde gelederen. Godzijdank was dat geen succes in de organisatie, ze zouden immers dag en nacht kunnen doorwerken en nog steeds niet alle relevante mailtjes van de ruim bemeten metadata kunnen voorzien. Ondertussen draaide men een deur verder of verdieping hoger projecten in de cloud. Op gratis tooling waarvan men nooit de kleine lettertjes las, omdat die lettertjes ieder minimaal compliance-voorschrift zouden overtreden.’
Archiveren by design: wat houdt ons tegen?
Uit de artikelen in Od #7 (okt-nov 2018) over archiveren by design maak ik op dat dit concept door de verschillende auteurs afwisselend wordt beschouwd als een denkrichting in architectuur (zorg dat archivering onderdeel is van je digitale inrichting van werkprocessen) en als een set van functionaliteiten in je digitale systemen. Waarbij het eerste (denkrichting) niet uitsluit dat een digitaal archief ook functioneel en technisch een afzonderlijk systeem kan zijn.
Mijn eigen focus ligt meer op het tweede: hoe kunnen we in de brij van ongestructureerde informatie toch nog dat behouden wat minimaal noodzakelijk is voor bedrijfsvoering, verantwoording en later onderzoek? En hoe kunnen we tijdig vernietigen wat omwille van compliance-voorschriften ook echt tijdig weg moet?
Recordsmanagers en DIV’ers hebben vanaf de introductie van bedrijfsnetwerken en e-mail geworsteld met het verkrijgen van grip op al die ongestructureerde informatie in documenten en e-mailberichten die door de gebruiker niet aan het DMS/RMA werd aangeboden. Die worsteling is er nog elke dag, in veel organisaties en bedrijven.
De mate waarin uitvoering wordt gegeven aan de compliance-voorschriften van de Archiefwet en de AVG is daarmee nog steeds als een druppel op de gloeiende plaat. Ik moet dan ook altijd een beetje lachen als me gevraagd wordt over certificering van systemen, zeker waar het SharePoint of Office 365 aangaat. Ik ondersteun dat graag als het een doel dient in het kwaliteitsmanagement. Maar het issue zou toch meer moeten zijn hoe we überhaupt iets in dat archief krijgen, zonder of met minimaal verlies.
Dan kijken we daarna wel of er nog een schroefje ontbreekt in dat archief. Office 365 is nog niet perfect, laat staan gecertificeerd, maar de visie van Microsoft spreekt me buitengewoon aan: zorg dat je je ongestructureerde informatie onder het regime van Office 365 brengt, weg van de fileshares. Want dan kan Office 365 zorg dragen voor toepassing van eenduidige regels. Niet alleen in documentopslag in SharePoint, maar ook in Exchange, in de persoonlijke Onedrives, in chat en communicatie in Teams, et cetera.
Office 365: ontwikkelingen
Microsoft bracht zijn cloudproduct Offi ce 365 in 2011 op de markt. In de haast om Google bij te houden was het toen nog niet veel meer dan een samenraapsel van de bekende Offi ce-kantoorapplicaties plus een uitgeklede versie van SharePoint 2010. Verschillende geavanceerde functionaliteiten van de servergebaseerde release van SP 2010 (on premise) waren gemakshalve uit de cloudvariant verwijderd, waaronder het recordcenter (!) en business intelligence. Van integratie van die producten was ook nog geen sprake. Bovendien vond de release plaats in een periode dat de cloud scare er, zeker bij de overheid, sterk in zat. Gaandeweg kwamen die integraties, zoals tussen Exchange en SharePoint, wel tot stand; eerst met Groups, later met Teams. De ‘cloud fi rst’-strategie van Microsoft hielp geruchten de wereld in als zou Offi ce 365 het definitieve einde van SharePoint on premise betekenen, maar de releases van 2013, 2016 en onlangs 2019 hebben dat ontkracht. Wat wel veranderd is: Offi ce 365 is geen aftreksel van server gebaseerde producten meer. Het is nu andersom: de ontwikkeling van Offi ce 365 is de basis voor de nieuwe on premise-producten. Dat betekent dat Offi ce 365, met daarin SharePoint Online, geavanceerder is dan de lokale variant, zelfs de nieuwste.
Naast samenwerking en communicatie is veiligheid en compliance een belangrijke pijler in het ontwikkelbeleid voor Offi ce 365. Zoals met alle nieuwe functionaliteiten is het ook hier alleen met de grootste moeite bij te houden wat er zoals verandert. Het cloudconcept geeft Microsoft de kans om wijzigingen niet slechts eens in de drie jaar aan te bieden – zoals bij SharePoint on premise – maar voortdurend. Dat betekent dat we ook het archiveren by design zich gaandeweg zien ontwikkelen. En dat wat ik vandaag schrijf morgen reeds achterhaald is.
Zo’n werkwijze en product beoordelen op zijn huidige kwaliteit is daardoor een heikele zaak. Het is nieuw, weinig beproefd in de praktijk en er is ook nog de belofte dat in de nabije toekomst meer mogelijk zal zijn. Waarom is het toch aantrekkelijk voor recordsmanagers? Je kunt als recordsmanager maatregelen nemen en ingrijpen in de dagelijkse werkzaamheden van gebruikers en hun ongestructureerde informatie. Dat maakt je minder – veel minder! – afhankelijk van het handmatig informatie aanbieden aan een archief. Een ander voordeel is dat niet meer uitsluitend afhankelijk bent van vooraf ingestelde of achteraf aangebrachte bewaartermijnen. Offi ce 365 maakt het mogelijk om kunstmatige intelligentie in te zetten die zoekt naar woorden, codes en gegevens om daar een actie (bewaring, vernietiging, beveiliging) op te baseren.
Labelfunctionaliteit in Office 365
De functionaliteiten waarmee je dit mogelijk maakt (‘Labels’ en ‘Data Loss Prevention’ of ‘Preventie van Gegevensverlies’, zoals Microsoft alles graag moeizaam vertaalt), zijn tamelijk nieuw. Ook wordt er nog voortdurend aan gesleuteld: zo is er een importtool voor bewaartermijnen aangekondigd. Maar het gebruik ervan kan volgens mij wel een nieuw denken over archiveren stimuleren. Natuurlijk zullen gestructureerde bedrijfsprocessen – voorlopig – gebaat blijven bij dossiervorming. Maar zou het geen uitkomst zijn om van bepaalde documenten, die niet aan een voorgeschreven format, voorgeschreven metadata of een voorgeschreven locatie of dossier in het systeem voldoen toch zekerheid te hebben dat ze bewaard blijven?
Zo kan het in een omgeving waar veel met vastgoed wordt gewerkt aantrekkelijk zijn om elk document met het woord ‘asbest’ in titel of content zorgvuldig te bewaren. We hebben het bij asbest immers over bewaartermijnen van 40 jaar! Natuurlijk kunnen we de medewerkers op het hart drukken om goed op te letten dat als er iets voorbijkomt wat over asbest gaat en het in een specifiek daarvoor bestemd dossier te stoppen. Maar ten eerste is dat een storende handeling in een werkproces dat gericht is op een andere taak, ten tweede is het wellicht niet dienstbaar aan de bedrijfsvoering om juist dat document ergens anders op te slaan. Dan maar dubbel opslaan? En dan hebben we het nog niet over e-mailarchivering … Waarom dan niet die documenten en e-mails automatisch laten herkennen en tot ‘record’ maken? Natuurlijk komt de recordsmanager dan onmiddellijk met een ‘ja maar …’ en een Verpletterende Uitzondering. Ik weet het. De uitzondering is de ultieme kritiek op automatisering.
Want inderdaad, het mailtje van de vastgoedmanager (‘Nee, stel die sanering maar even uit, er is nu geen budget.’) zal misschien niet worden gevangen door de regel. Regels die we overigens kunnen uitbreiden met woorden, woordgroepen, strings, al dan niet gescheiden door AND/OR. Maar ik weet wel dat mijn automatisch toegepaste regel voor dit type ‘losse’ documenten meer e-mails en documenten zal afvangen dan welke handmatige dossieroplossing ook.
Langs deze geautomatiseerde weg zal ook grip op privacygevoelige informatie in documenten verkregen moeten worden. Office 365 beschikt daartoe over pre-sets voor de grotere markten (VS, Canada, enzovoort). Die kunnen als voorbeeld dienen, zodat het systeem ook naar typisch Nederlandse codes (burgerservicenummers en dergelijke) zal kunnen zoeken. De ‘label’-functionaliteit staat daarbij toe zelf te bepalen welke maatregel er moet worden getroffen: archiveren, vernietigen met of zonder review, beveiligen bij verzending naar buiten, alleen vinden en markeren. De labels kunnen handmatig en geautomatiseerd toegepast. Een aan het label toegekend beleid bepaalt waar in Office 365 het label wordt toegekend. Naast deze nieuwe labelfunctionaliteit blijven ook de ‘klassieke’ SharePoint recordsmanagement-oplossingen functioneren: bewaartermijnen op basis van inhoudstypen, of op basis van recordbibliotheken in het recordcenter, of als ‘in-place-record’.
Overigens, dezelfde labelfunctionaliteiten kunnen ook regelen dat de mailbox van die vastgoedmanager integraal bewaard blijft. En het bewaren van mailboxen van vooraf bepaalde hiërarchische niveaus past ook weer mooi in de nieuwe gedachten over selectie van het Nationaal Archief.
Wat betekent het voor de recordsmanager?
De rol van recordsmanagers verandert daarmee ook ingrijpend. Meer dan het implementeren van de zo moeizaam toepasbare standaard selectielijsten zullen ze moeten meedenken hoe systemen intelligentie toepassen om informatie te vinden waar dat handmatig niet langer kan. De tijd van ‘e-mailregistratie’ is voorbij. Het was sowieso een illusie dat recordsmanagement daar in een handmatig proces grip op zou kunnen krijgen. Bij inzetten van recordsmanagement in Office 365 zal de recordsmanager zich een plek moeten verwerven naast de administrator en functioneel beheerder. Eén van de beheercentra in Office 365 is voor ‘Beveiliging en compliance’. Dat wordt het dashboard van de recordsmanager voor ongestructureerde informatie. De recordsmanager moet dan wel aan de bak en meedenken. Het ‘AVG-dashboard’ in dit beheercentrum suggereert namelijk meer dan er is, want de tools zijn er wel, ze moeten alleen nog even worden ingericht …
Conclusies
Ik zie kansen voor het concept archiveren by design met Office 365 en ben daar enthousiast over. Ik zie ook de hobbels en belemmeringen. Microsoft werkt hard en met een aantrekkelijke visie in de goede richting, maar het product Office 365 is niet perfect, noch af. Als het ooit af zal zijn. Daarbij komen de vernieuwingen in een tempo dat slecht is bij te benen, zelfs voor de professional. Dat is bij het tempo van beslissen, ontwerpen en implementeren in een gemiddelde organisatie lastig. Ook zijn de meeste selectielijsten en het detailniveau daarvan belemmerend voor implementatie.
Ik zie te vaak dat een strikte toepassing volstrekt onmogelijk is zonder extra (handmatige) handelingen van een recordsmanager. Een andere belemmering is het denken in ons vakgebied over archivering. Het lijkt er vaak op dat we liever een heel klein hapje perfect archiveren, dan zoveel mogelijk informatie op basis van risico in bescherming nemen tegen verwijdering of mutatie. We zullen dat laatste alleen nog beheersbaar kunnen maken met méér automatisering. En onze kennis van het belang van bewaring of juist tijdige vernietiging zal daarbij relevant blijven. Als we zelf een beetje met de tijd meegaan natuurlijk.
Eric Burger
Compliance- en informatiegovernance specialist. Hij blogt regelmatig over recordsmanagement, SharePoint en Office 365.
