, 27 september 2012

Bussum heeft de zaken goed op orde!

image for Bussum heeft de zaken goed op orde! image Case

Waarom een NEN 2082-toets als afnemersorganisatie?

Waarom een NEN 2082-toets als afnemersorganisatie?
In aanbestedingen voor zaaksystemen of documentmanagementsystemen wordt tegenwoordig vaak de eis opgenomen dat het systeem gecertificeerd dient te zijn volgens NEN 2082. De meeste grote leveranciers zoals Decos, Verseon en SharePoint voldoen inmiddels aan de norm. Maar een leverancier kan niet alle eisen voor zijn rekening nemen, veel is afhankelijk van de vragen en keuzes van de afnemersorganisatie. Hoe wil deze het ingericht zien? Daardoor kan het zo zijn dat het systeem na implementatie niet langer voldoet aan de NEN 2082. Het is daarom belangrijk om na de implementatie te toetsen of er nu binnen de organisatie op de juiste wijze gewerkt wordt en men compliant is aan de NEN 2082.2
Ook kan een NEN 2082-toets bijdragen aan het draagvlak voor digitaal werken. Gebruikers kunnen sceptisch zijn over weer een nieuw systeem in de organisatie. Regelmatig wordt de vraag gesteld of er wel op de juiste wijze gewerkt wordt. Dit was in zekere mate ook in Bussum het geval, maar door de geslaagde audit kan deze vraag nu met ‘ja’ beantwoord worden en voldoet Bussum aan de eisen gesteld in NEN 2082. Want de implementatie van een nieuw informatiesysteem is één ding, maar door de NEN 2082-toets krijgt de organisatie meer zekerheid dat de inrichting op orde is en dat het beheer, na vertrek van de leverancier, ook nog op orde is.

Hoe verloopt een NEN 2082-audit?
De gemeente Bussum besloot om gebruik te maken van de diensten van Geert-Jan van Bussel voor het afnemen van de NEN 2082-toets. Ook het European Certification Bureau Nederland BV (ECB) mag een NEN 2082-audit in Nederland uitvoeren.
In Bussum werd gestart met een vierdaagse pre-audit. In deze vier dagen zijn alle 155 eisen en opties doorgelopen. Vertegenwoordigers van de gemeente en van de leverancier van het zaaksysteem waren hierbij aanwezig. Punt voor punt is gekeken hoe aan elke eis of optie invulling is gegeven en hoe dat gedocumenteerd is. De auditor gaf hierop zijn visie en bekeek of een eis al dan niet voldoende was. Als er zaken nog niet op orde waren, werden er tips gegeven om die op orde te krijgen. Er was veel ruimte voor discussie over bijvoorbeeld de vraag wanneer iets vernietigd is in een digitaal systeem. Of waarom bepaalde handelingen in het systeem vastgelegd moeten worden in een logfile. Afhankelijk van hoe ver een organisatie is met de implementatie en in hoeverre de inrichting al op orde is, kan deze pre-audit ook meer dan vier dagen beslaan.
Na deze pre-audit heeft Bussum een aantal maanden de tijd gekregen om de laatste punten op de i te zetten. Dit hield voornamelijk in dat er veel aan de documentatie gewerkt moest worden en dat er enkele functionaliteiten uitgebreid moesten worden. Zowel voor de gemeente als de leverancier, zaaksysteem.nl, was er dus werk aan de winkel. Dit is ook terecht, want het is een gezamenlijke audit, de gemeente is op een aantal punten van de leverancier afhankelijk. Maar de leverancier is ook afhankelijk van de gemeente, want als er bij de gemeente een keuze wordt gemaakt in de bedrijfsvoering die niet overeenkomt met een eis, is de toets niet geslaagd.

Op het moment dat de gemeente en leverancier er klaar voor waren, is een afspraak gemaakt voor de daadwerkelijke audit. Deze heeft in juli plaatsgevonden. De audit besloeg twee dagen, waarbij er minder ruimte voor discussie was en het er vooral om ging kruisjes te zetten achter de 155 eisen. Eerst werden alle open punten van de pre-audit nagelopen om te kijken of deze nu voldeden aan de eis. Er waren nog een aantal kleine zaken, die eigenlijk ter plekke konden worden opgelost en goedgekeurd. Door kleine toevoegingen in de documentatie werden een aantal eisen alsnog akkoord bevonden. Doordat dit in een wiki gebeurde, was dit snel en on the spot te realiseren.
Na de openstaande punten werd bovenaan begonnen en werden alle eisen en opties die in de pre-audit al akkoord waren, nagelopen. De eis werd voorgelezen, het eerdere antwoord erop gegeven en aansluitend werd er gevraagd om dit aan te tonen. In de pre-audit was het uiteraard ook al getoond, maar doordat er gewerkt was aan het zaaksysteem, kan het zo zijn dat eerdere resultaten niet meer hetzelfde werkten.

Een bijkomstigheid was dat zaaksysteem.nl nog niet eerder NEN 2082-gecertificeerd was, maar dit was een bewuste stap. Zij wilde samen met een afnemersorganisatie een certificering halen om aan te tonen dat het zaaksysteem ook na inrichting compliant is aan de NEN 2082. Bussum kan als model gelden voor andere gemeenten die dit systeem gaan implementeren.
Direct na het doorlopen werd er door Geert-Jan van Bussel teruggekoppeld dat de gemeente Bussum met een aantal dagen de verklaring van compliance kon ontvangen, inclusief de doorlopen procedure, een toetsingsrapport en een samenvattend auditrapport. Met die mededeling was het traject voor de gemeente Bussum afgelopen en werd het tijd om terug te kijken en leerpunten te benoemen.

Ervaringen van de gemeente Bussum3 en zaaksysteem. nl
Van tevoren waren de verwachtingen over het doorlopen van een NEN 2082-toets niet al te positief. De verwachting was dat het taai en saai zou worden, waarbij de auditor kwam vertellen hoe het eigenlijk had gemoeten. Maar na de pre-audit bleek dat deze verwachting onterecht was. Het bleek dat er een open discussie gevoerd kan worden over de invulling van de functionaliteiten en dat sommige eisen en opties op verschillende manieren vorm konden krijgen. Doordat dit mogelijk bleek, kon men vasthouden aan de visie en de uitgangspunten waarmee ooit gestart was met de bouw van het zaaksysteem.
Marjolein Bryant van de gemeente Bussum raadt andere afnemersorganisaties dan ook aan om een dergelijk traject te doorlopen, want: “Wanneer je informatiesysteem op orde is en je als organisatie goed vastlegt wat je hebt afgesproken en doet, dan is de NEN verder niet ingewikkeld meer… Een NEN-certificering draagt bij aan het verkrijgen van draagvlak in de organisatie voor digitaal werken.” Ook Peter Moen, van zaaksysteem.nl, raadt zijn andere klanten aan om na implementatie een 2082-traject te doorlopen, want: “Door compliant te willen zijn aan NEN 2082 wordt geïnvesteerd in de beheerorganisatie, waarbij verder wordt gekeken dan enkel het project ‘invoeren digitaal werken’. De NEN 2082 gaat er ook over wat een afnemersorganisatie moet blijven doen en op welke manier, als alle processen digitaal zijn.”

Leermomenten
Voor mij persoonlijk was het zeer leerzaam om bij een gedeelte van de toetsing aanwezig te mogen zijn. Een aantal onderwerpen waar ik mij dagelijks mee bezighoudt, passeerden ook de revue. Mijn persoonlijke top drie van onderwerpen die belangrijk zijn bij een NEN 2082-audit, wil ik graag met u delen:

  1. Richt een audittrail of logfile in, waarin per zaak/dossier/ document te zien is wie wanneer wat heeft gewijzigd. Maar leg in de audittrail ook vast welke wijzigingen er in het systeem zelf gedaan worden (bijvoorbeeld het aanpassen van een zaaktype). Hierop aansluitend de volgende twee punten:
    • Zorg ervoor dat je in de logfile kan zoeken en sorteren. Zodat in één oogopslag alle wijzigingen in een zaak zichtbaar worden, zonder dat hierbij door lange logboeken hoeft te worden gescrolld.
    • Bij vernietiging van een zaak of dossier dienen ook de bijbehorende logfiles vernietigd te worden.
  2. Geef niet iedereen leesrechten. Richt de autorisatie zo in, dat ook de metadata van een dossier afgeschermd zijn en als een medewerker die zaaktypen niet mag zien, hij daar ook geen kenmerken van kan zien. Dit is belangrijk voor de privacy, maar daarnaast voorkomt het ook een information overload van de medewerker. Deze ziet, als dit geregeld is, alleen maar die zaken waar hij/zij mee belast is. Voor KCC-medewerkers zijn hier uitzonderingen voor te bedenken.
  3. Regel de vernietiging ook in de beheersovereenkomst met de leverancier. Neem hierin een paragraaf op dat als er opdracht voor de vernietiging van archiefbescheiden is gegeven, er nooit de opdracht gegeven mag worden om de vernietigde bescheiden te reconstrueren. Ook mag de leverancier nooit eigenhandig vernietigen of vernietigde bescheiden reconstrueren.
    De reden hiervoor is om duidelijk de taken vast te stellen. Maar ook omdat digitale archiefbescheiden nooit echt vernietigd zijn. Met heel veel inspanning kan het namelijk altijd mogelijk zijn om de documenten te reconstrueren en dit moet voorkomen worden. Door dit vast te leggen, weten beide partijen waar ze aan toe zijn.

De gemeente Bussum heeft nu bewezen dat het mogelijk is om compliant aan NEN 2082 te zijn. Door met bovenstaande punten te beginnen en daarna de rest van NEN 2082 erbij te pakken, zult u zelf zien dat het compliant zijn aan NEN 2082 voor elke organisatie haalbaar kan zijn. En het kan u helpen bij de inrichting en implementatie van een nieuw systeem. 

a.adema@gmail.com, Annemieke Adema is redactielid van Od.


1 Met dank aan de gemeente Bussum voor de gastvrijheid en de methode om op een open manier kennis te delen.
2 Geert-Jan van Bussel, NEN 2082, ‘bespiegelingen over een norm‘, in Od maart 2012.
3 Voor meer informatie over de inrichting en manier van werken in Bussum, verwijs ik u graag naar: Marjolein Bryant en Nicolette Koedam, ‘Proces- en zaakgericht werken in Bussum’, in: Od juni 2012.