9 april 2016

Recordsmanagement in de cloud

image for Recordsmanagement in de cloud image

De cloud

De cloud
Het begrip ‘cloud’ is een aantal decennia geleden ontstaan vanuit het perspectief dat de routering van gegevenspakketjes niet meer over een vastgelegd traject naar hun afleverpunt gaan. In eerste aanzet is het ook niet interessant om te weten via welke weg die aankomen, maar dát ze aankomen. Het enige dat bekend hoeft te zijn, is het adres van de geadresseerde en van de afzender. Vergelijkbaar met hoe internet werkt, waarbinnen berichten of informatie pakketjes zo slim mogelijk en volledig geautomatiseerd hun weg zoeken naar hun bestemmingsadres. Bijkomend voordeel van een communicatie-infrastructuur, gebaseerd op internettechnologie, is de onafhankelijkheid van locatie- en device, als je maar toegang hebt tot het internet.

Als gevolg hiervan zijn de laatste jaren meer mogelijkheden ontstaan om anders (flexibeler, effectiever en goedkoper) met rekencapaciteit, dataopslag, (bedrijfs)informatie en toepassingen om te gaan. Vanuit dit concept is cloud computing ontstaan. Dat wil zeggen: het op aanvraag via een netwerk (vaak het internet) beschikbaar stellen van schaalbare online diensten voor technische infrastructuur, platforms, software en gegevensopslag. Deze zijn als volgt te typeren:

  • Software as a Service (SaaS)
    Het gaat hier om applicaties die volledig onder controle zijn van de dienstverlener. Je huurt als het ware een applicatie, inclusief hardware, software en support. De afnemer kan er gebruik van maken, maar niets veranderen aan de applicaties zelf.
  • Platform as a Service (PaaS)
    Binnen dit systeem wordt een ontwikkelmodel met bouwstenen aangeboden, zodat gebruikers eigen applicaties kunnen bouwen. Het framework en de infrastructuur worden beheerd door de dienstverlener, maar de ontworpen applicaties kunnen vervolgens weer worden aangeboden op de markt als SaaS-applicaties;
  • Infrastructure as a Service (IaaS)
    Via deze weg wordt een infrastructuur aangeboden via een virtualisatie of een hardware-integratie. Het gaat hier om servers, netwerken en opslagcapaciteit. De gebruiker heeft volledige vrijheid over de hardware. Een groot voordeel van IaaS is dat deze service capaciteit heeft om pieken in een infrastructuur op te kunnen vangen.

De afnemer hoeft op deze manier geen eigenaar meer te zijn van de gebruikte hard- en software en is in die zin ook niet verantwoordelijk voor het onderhoud. Voorbeelden van toepassingen in de cloud zijn e-mailservices zoals gmail of hotmail, kantoorautomatisering van Microsoft Office 365 of Google Apps en data-opslag bij internetproviders. Dit hele palet aan ICT-mogelijkheden van cloud computing is een sterk opkomend fenomeen omdat het flexibiliteit, schaalbaarheid en variabiliteit biedt voor sourcingsvraagstukken in organisaties waar steeds meer IT-middelen (moeten) worden gedeeld.

Cloud computing voor de overheid
Cloud computing is de nieuwe manier voor het beschikbaar stellen of leveren van bestaande ICT-technologieën. Een enabler die kan bijdragen aan het realiseren van de doelstellingen van de overheid: compact, federatief en digitaal. Met de online schaalbaarheid, flexibiliteit en virtualisatie van ICT-diensten ontstaan meer mogelijkheden om:

  • ICT-middelen slimmer en sneller in te zetten ten behoeve van de dienstverlening aan burgers en bedrijven;
  • de toegankelijkheid te verhogen en daarmee bij te dragen aan optimalisering van de bedrijfsvoering: mede werkers kunnen werken waar en wanneer ze maar willen; je bent minder gebonden aan de standaard kantooruren; via een internetverbinding kun je altijd en overal bij je informatie(systemen);
  • bij te dragen aan reducering van overall ICT-kosten: de leverancier onderhoudt de software en systemen, en maakt zelf door schaalvoordelen lagere kosten;
  • de complexiteit van het IT-beheer en interne IT-support te verminderen voor de eigen organisatie: door het gebruik van clouddiensten is minder technische kennis nodig en kan men zich meer bezighouden met het leveren van toegevoegde waarde van de dienst voor de organisatie;
  • meer transparantie in de kosten te krijgen, omdat je betaalt op basis van het gebruik;
  • bij te dragen aan duurzaam gebruik van ICT door hogere schaalbaarheid, waardoor minder overhead aan resources nodig is.

Bij cloud computing is er onderscheid tussen de volgende typen cloud-omgevingen:

  • Public cloud
    De software en data staan dan volledig op de servers van de externe dienstverlener en er wordt een generieke (voor alle afnemers gelijke) functionaliteit geleverd.
  • Private cloud
    Met private cloud werkt men op een (virtueel) private ICT-infrastructuur. De gebruiker heeft volledige controle over data, beveiliging en kwaliteit van de diensten. De applicaties die via deze infrastructuur beschikbaar worden gesteld, maken gebruik van gedeelde infrastructuurcomponenten die worden ingezet voor meerdere afnemers (bijvoorbeeld onderdelen van de organisatie), maar worden niet gedeeld met andere klanten.
  • Gemeenschappelijke cloud
    In een gemeenschappelijke cloud werken afnemers uit meerdere organisaties op dezelfde infrastructuur, als zij elkaar voldoende vertrouwen en vergelijkbare eisen stellen op het gebied van informatiebeveiliging en privacybescherming. Het meermaals optuigen van een eigen private omgeving zou tot meervoudige kosten zou leiden. Dit combineert een deel van de schaalvoordelen van een cloud en heeft tegelijkertijd de vertrouwelijkheid van een private cloud.
  • Hybride cloud
    Als meerdere interne en/of externe wolken samen worden gebruikt.

Het aanbod van clouddiensten neemt steeds meer toe. Besparing op kosten en het ontzorgen van de overheidsorganisaties op het gebied van complexe ICT-taken (is geen kerntaak) zijn belangrijke argumenten om hier stappen in te zetten. De public cloud biedt hier in essentie de meeste mogelijkheden voor.
Maar: de huidige toepassingen in de public cloud komen momenteel nog onvoldoende tegemoet aan de specifieke wensen en verantwoordelijkheden die overheidsorganisaties hebben rond privacybescherming en informatiebeveiliging. Er kleven dus nog diverse bezwaren aan het ‘zomaar’ uitbesteden van diensten die vertrouwelijke bedrijfs- en persoonsinformatie kunnen bevatten. Het gaat hier om zowel de toepassing van Europese privacywetgeving als van Amerikaanse wetgeving zoals de ‘Patriot Act’ en de Sarbanes-Oxley-wetgeving. Onder meer de risico’s rond opslag van gegevens buiten Nederland, en breder nog het ontbreken van transparantie over waar gegevens überhaupt worden opgeslagen, is voor de overheid een zorgpunt.
In de strekking van deze bezwaren en risico’s is ook recordsmanagement in de cloud een zorgpunt te noemen.

Recordsmanagement, waar staat dit voor?
Bij het handelen van een overheidsorgaan is altijd sprake van het gebruiken, uitwisselen, vastleggen en bewaren van informatie. Overheidsinformatie is echter meer dan een product van en voor de overheid: het is er ook voor de burger, de samenleving en de rechtsstaat. Voor de overheid is informatie zowel grondstof als eindproduct en halffabricaat.

In onze werkprocessen wordt informatie – o.a. in de vorm van informatieobjecten – geproduceerd, gegevens vastgelegd, uitgewisseld en bewerkt. Informatie wordt gebruikt om te kunnen verantwoorden wat er gedaan is, door wie, op welk moment, met inzet van welke middelen, en wie waarover en op basis waarvan beslist heeft. Dat gebeurt in het kader van controles door auditors en toezichthouders, maar ook bij de verantwoording richting burger/instelling of Tweede Kamer. Overheidsinformatie zit in het hart van de rechtsstaat en is cruciaal voor de democratische verantwoording en daarmee voor het geven van uitvoering van ieders grondrecht op informatie.

In toenemende mate, en terecht, eist de burger dat de overheid open is over wat zij doet. Transparantie staat dan ook hoog in het vaandel. Voor het vertrouwen van de burger in de overheid is het essentieel dat de informatie van de overheid beschikbaar, goed toegankelijk, volledig en uiterst betrouwbaar is.
Vanuit de optiek van verantwoording, transparantie en het gegeven dat een deel van de overheidsinformatie als bron van onderzoek van blijvende waarde is, worden er steeds hogere eisen gesteld. Evident dat het werken met de juiste informatie van belang is en dat die duurzaam toegankelijk en betrouwbaar is, voor zolang als dat nodig is. Hiervoor zijn de relevante kaders van wet- en regelgeving en internationale standaarden bijeengebracht in de Baseline Informatiehuishouding. Elke norm en iedere maatregel die deze baseline bevat, staat in dienst van een of meer kwaliteitscriteria zoals toegankelijkheid, vindbaarheid, uitwisselbaarheid, betrouwbaarheid, authenticiteit en volledigheid.

Recordsmanagement is dat deel van het management dat verantwoordelijk is voor de efficiënte en systematische controle over het aanmaken, ontvangen, onderhoud, gebruik en beschikbaarheid van records, met inbegrip van het proces van het bemachtigen en in stand houden van bewijs en informatie over bedrijfsactiviteiten en transacties in de vorm van records. Het staat nadrukkelijk in dienst van de taken of functies die een organisatie uitvoert en van het minimaliseren van risico’s die zij loopt als niet of onvoldoende wordt voldaan aan de in de voorgaande paragraaf genoemde kwaliteitscriteria.

Recordsmanagement en de cloud
De kracht en toegevoegde waarde van clouddiensten liggen vooral op het gebied van schaalbaarheid en flexibiliteit en reductie van IT-kosten door standaardisatie. Bij recordsmanagement gaat het niet zozeer om pieken in de verwerking of de tijdelijke opslag. De omvang van de digitale archieven (records in zuivere zin) groeien langzaam maar gestaag en deze records moeten voor langere tijd of zelfs permanent in samenhang bewaard en duurzaam toegankelijk blijven en goed te lezen zijn. En dit beperkt zich niet tot alleen de ongestructureerde informatieobjecten.
Er zijn nog vele afhankelijkheden in het gebruik van cloud computing, waardoor kwaliteitsaspecten als toegankelijkheid, vindbaarheid, uitwisselbaarheid, authenticiteit, informatiebeveiliging, privacybescherming en betrouwbaarheid van de records in het geding kunnen komen. Juiste risicoafwegingen en proportionele maatregelen zijn dan ook sleutelbegrippen voor een adequate inrichting van de informatiehuishouding als institutioneel geheugen van de organisatie.

Conclusie
Sec genomen sluit de nationale archiefwet en regelgeving het gebruik van cloudoplossingen niet uit. Maar de zorg voor het beheer van het archief blijft de eindverantwoordelijkheid van de zorgdrager en kan in die zin nooit een verantwoordelijkheid zijn van een leverancier van clouddiensten. Om die reden zal voor beide partijen (aanbieder en afnemer) volstrekt helder moeten zijn, waar welke verantwoordelijkheid ligt en hoe bepaalde zekerheden worden geborgd. Dat betekent dat voor elk kwaliteitsaspect van records helder moet zijn hoe de leveranciers dit invullen en welke garanties we daarbij hebben.

Het gebruik van clouddiensten zal in de tijd onomkeerbaar gaan toenemen, maar vraagt op het gebied van de informatie huishouding, recordmanagement, informatiebeveiliging en privacybescherming nog het nodige denkwerk. Want hoe om te gaan met dienstverleners die failliet gaan, beëindiging van overeenkomsten, garanties rond continuïteit, beveiliging/geheimhouding van bedrijfsgegevens en privacybescherming, versleutelen van alle informatie onderweg, et cetera. Hoe richten we de controle en toezichtfunctie hierop in? Nog veel vragen en weinig concrete antwoorden; we hebben nog een lange weg te gaan.

Het is zaak dat we met kennis van zaken aan tafel zitten om gezamenlijk binnen het i-domein de genoemde vraagstukken te adresseren, risico’s te duiden en af te wegen én passende maatregelen te nemen om te voorkomen dat we over een aantal jaren met de gebakken peren zitten.

Aan te bevelen is de Handreiking Cloudcomputing uit 2014, waarin handvatten worden geboden om de kennisen gedachtenvorming aangaande het gebruik van clouddiensten in het licht van informatieveiligheid verder aan te scherpen. Het is een praktische ‘wegwijzer’ met verwijzingen naar de relevante beleidskaders, normenkaders en huidige richtlijnen waar we als overheden mee te maken hebben.

warom@ziggo.nl, Wil Rombout is redacteur van Od.


Bronnen