26 oktober 2018

Kwaliteit in de praktijk

image for Kwaliteit in de praktijk image

Opvallend is dat er altijd veel onduidelijkheid bestaat over kwaliteitssystemen en dat dit bijna altijd gepaard gaat met de nodige weerstand. Wat verbazingwekkend is, omdat een kwaliteitssysteem naar mijn idee niets anders is dan alles waar je als organisatie zorg voor draagt dit vast te leggen, te monitoren en waar mogelijk continu te verbeteren.

Opvallend is dat er altijd veel onduidelijkheid bestaat over kwaliteitssystemen en dat dit bijna altijd gepaard gaat met de nodige weerstand. Wat verbazingwekkend is, omdat een kwaliteitssysteem naar mijn idee niets anders is dan alles waar je als organisatie zorg voor draagt dit vast te leggen, te monitoren en waar mogelijk continu te verbeteren.

Kwaliteitssysteem
Een kwaliteitssysteem informatiebeheer heeft als hoofddoel de kwaliteit van het beheer van informatie op het gewenste niveau te brengen en te houden.
Het betreft dan alle informatie die een overheidsorganisatie creëert of ontvangt bij het uitvoeren van haar taken ongeacht:

  • de applicatie(s) waarin de informatie wordt opgemaakt, opgenomen en beheerd;
  • het werkproces waar de informatie uit voorkomt.

Het kwaliteitssysteem steunt op vier pijlers: strategisch beleid, organisatorische inbedding, operationele inrichting en operationele verrichting.

  1. In het strategische beleid zijn de archiefverordening, het informatiebeleidsplan, het besluit Informatiebeheer of mandaatbesluit en het informatiebeveiligingsplan opgenomen. Zijn er in dit strategische beleid afgeleide doelstellingen voor het informatiebeheer opgenomen? Zo ja, met welke maatregelen zijn deze doelstellingen dan te toetsen? Op deze manier bepalen we het volwassenheids niveau (opzet, bestaan en werking, zie vorig artikel) en kunnen we eventuele verbeteringsacties uitzetten en managen.
  2. Met de organisatorische inbedding wordt verwezen naar de tactische inrichting van het informatiebeheer van de organisatie. Zijn de taken, verantwoordelijkheden en bevoegdheden rondom het informatiebeheer beschreven? Zijn er duidelijke procesen procedurebeschrijvingen? Daarnaast staat beschreven hoe de controle en toezicht op het informatiebeheer op organisatorisch niveau (en dus niet op productniveau) is geborgd. Ook de organisatorische inbedding dient te worden getoetst op het volwassenheidsniveau om een continue proces van verbeteringen te krijgen.
  3. De operationele inrichting ofwel de beheerinstrumentaria, is het volledige normenkader voor duurzame en toegankelijke overheidsinformatie. Digitale overheidsinformatie is toegankelijk als deze vindbaar, beschikbaar, interpreteerbaar, authentiek en volledig is (uit: de 13 DUTOeisen).
  4. Bij de operationele verrichting kent het informatiebeheer de kernfuncties opname van gegevens, (meta) gegevensbeheer en beschikbaar stellen. Getoetst worden de productie, het gebruik en het beschikbaar stellen van informatie binnen de processen van een afdeling. De operationele verrichting heeft een eenopeenrelatie met de kwaliteit van de beheerinstrumentaria.

Het strategisch beleid, de tactische inrichting van het informatie beheer en de beheerinstrumentaria zijn ten opzichte van elkaar communicerende vaten. Hoe kun je daar effectief mee omgaan? Hoe kan er synergisme ontstaan tussen deze normen en hun afgeleide doelstellingen? Met andere woorden: hoe zorg je ervoor dat het effect groter is dan de som van de effecten van de afzonderlijke middelen?

Kwaliteitszorg
Bij de gemeente Haarlem werkt het team Informatiebeheer conform het besluit Informatiebeheer. In dit besluit staat dat het team verantwoordelijk is voor het strategisch beleid, de tactische inrichting van de organisatie en de tactisch operationele inrichting van het informatiebeheer. Tevens controleert en stuurt het team op de operationele verrichting van informatie binnen de processen. Dit doet het team volgens de eisen en kernfuncties zoals benoemd in het kwaliteits systeem van informatiebeheer.
Door dit alles op deze manier vast te stellen heb je de norm op strategisch gebied aangaande het mandateringsbesluit al geregeld.

Zoals ik in het vorige artikel schetste, zijn er twee toepassingsgebieden waarop een zelfevaluatie wordt gedaan: een proces en/of een applicatie. Wij nemen altijd het proces als uitgangspunt. Een applicatie komt voor in het proces en kan daar alleen los van worden bezien als de norm gaat over het beheer van de applicatie. Maar feitelijk is dit ook een proces. Al wil je natuurlijk wel het toepassingsgebied applicatie expliciet benoemen voor het managen van de kwaliteit vanuit de beheeromgeving. Vandaar beide elementen.

Zoals gezegd controleren en sturen wij op operationele verrichting van informatie binnen de processen. Een zelfevaluatie begint dus op een afdeling door in gesprek te gaan over de producten en diensten die zij leveren en te kijken naar de processen die hieraan ten grondslag liggen. In het kort: alle informatie die de betreffende afdeling creëert of ontvangt bij het uitvoeren van haar taken.
Dit begint feitelijk met kijken naar wat we aan beleid hebben vastgelegd ten aanzien van de verantwoordelijkheden (tactisch inrichten organisatie). Zijn de taken, verantwoordelijkheden en bevoegdheden beschreven? Is dit niet geval, dan zou je kunnen zeggen: dan kan ik niet leveren wat je vraagt, want ik weet niet wie ik aan mag spreken.
Om hier praktisch mee om te gaan zet je dan een verbeter plan uit bij die norm en de afgeleide doelstelling van de organisatorische inbedding die gaat over rollen en verantwoordelijkheden. Als aan deze norm niet is voldaan, is het een taak van de beleidsmedewerkers van informatiebeheer om hier beleid op te maken. Dit is dan een eerste verbeteractie naar aanleiding van een assessment.

Ondertussen ga je gewoon aan de slag met de manager van de afdeling. Je laat de manager inzien wat het belang van de zelfevaluatie is voor het verbeteren van zijn of haar producten. Gezamenlijk stel je een team samen bestaande uit medewerkers van de betreffende afdeling en informatiespecialisten. Dit team brengt met elkaar in kaart hoe het staat met het informatiebeheer binnen hun processen. Een assessment op de kernfunctionaliteiten binnen een proces, dus. Feitelijk is dat een DUTOscan. Gezamenlijk bepaal je hierdoor welke maatregelen er genomen moeten worden om de digitale informatie die de afdeling creëert of ontvangt, duurzaam toegankelijk te maken.

Uitgangspunt daarbij is dat medewerkers hun processen zo inrichten en gebruik maken van de daarvoor bedoelde applicaties dat zij zelf hun informatie makkelijk kunnen terugvinden, hun producten en diensten betrouwbaar zijn en dat zij zich kunnen verantwoorden voor de taken die zij uitvoeren.
Bij de (her)inrichting van de processen wil je ook dat de betrokken medewerkers meegenomen worden in de werkwijze en het waarom hiervan. De organisatorische inbedding van awareness op informatiebeheer en de benodigde op maat gemaakte instructie/opleiding doelstelling maak je hierdoor concreet.

Om kwaliteitszorg toe te passen wordt per aspect vastgelegd:

  • wie verantwoordelijk is;
  • welke eisen worden gesteld;
  • welke acties worden ondernomen om awareness te creëren, welke opleiding nodig is voor de behandelend ambtenaar;
  • welke normen de eisen moeten voldoen;
  • in hoeverre aan deze eisen wordt voldaan/of in hoeverre dit is ingericht (IST);
  • of er verbeteracties zijn gepland om beter aan de eis te kunnen voldoen (PLAN);
  • wanneer en door wie de verbeteracties worden uitgevoerd (DO);
  • wanneer en door wie weer wordt gemeten welk resultaat de verbeteractie heeft opgeleverd (CHECK);
  • wanneer en door wie eventuele vervolgactie wordt bepaald (ACT).

Als je deze acties hebt doorlopen weet je wat je moet doen om een verbeterslag te maken op de kwaliteit van de beheerinstrumentaria. Doordat je op een afdeling al de informatie die zij creëert of ontvangt vanuit een proces hebt bezien, krijg je een totaalbeeld van alle informatieobjecten in de organisatie en zijn deze in risicoklasse in te delen. Je kunt dan bepalen onder wat voor beheerregime deze gebracht zouden moeten worden.
Zonder op operationele verrichting te kijken naar alle informatie die op een afdeling wordt gecreëerd of ontvangen kun je feitelijk geen goede beheerinstrumentaria inrichten voor de organisatie.
Deze communicerende vaten – de verbeterplannen ten aanzien van de kernfunctionaliteiten binnen de processen van de afdeling en de verbeterplannen in de beheerinstrumentaria – naar een hoger kwaliteitsniveau brengen zorgt in ultimo ook voor de (her)inrichting van de processen van informatiebeheer: het opslaan, bewaren, vernietigen en beschikbaar stellen van overheidsinformatie in alle processen en informatiesystemen.

Kwaliteitsmanagement
Als de constateringen en de verbeterplannen geordend en gestructureerd zijn vastgelegd spreken we van kwaliteitsmanagement. In het kwaliteitssysteem plan je wanneer het resultaat van de verbeteractie wordt gemeten. Hierdoor werk je cyclisch naar een continue proces van kwaliteitsborging. In de P&Cgesprekken kunnen het overall beeld en de status van de verbeteracties die zijn uitgezet, besproken worden.
Vanuit organisatieperspectief hebben zowel de interne auditor als de externe toezichthouder een nauwgezet beeld hoe de gemeente ervoor staat en kunnen zij aanwijzingen geven vanuit risico overwegingen, maar ook vanuit doelstellingen die voortkomen uit bredere informatievoorzieningsvraagstukken.

Doordat alles gestructureerd is vastgelegd, kun je de wettelijke verplichtingen toetsen en een reconstructie en onderzoek mogelijk maken. Met andere woorden: dan kan de organisatie bewijzen dat zij compliant is.

masimons@haarlem.nl, Michiel Simons is senior adviseur informatiebeheer bij de gemeente Haarlem


Noot

1 Zie Od (2018)4, mei 2018, p. 7 e.v.