1 september 2011

RODIN of: hoe beheer ik digitaal?

image for RODIN of: hoe beheer ik digitaal? image

Gemeenten, provincies, waterschappen en andere overheden die hun bedrijfskritische digitale informatie zodanig willen opslaan dat deze informatie terugvindbaar, overzichtelijk, betrouwbaar en volledig is, moeten zich door een veelheid aan wet- en regelgeving, complexe normen en standaarden van diverse aard heen worstelen. Veel wetgeving en normen zijn zo specialistisch, dat ze voor algemene managers niet begrijpelijk en niet hanteerbaar zijn.

Gemeenten, provincies, waterschappen en andere overheden die hun bedrijfskritische digitale informatie zodanig willen opslaan dat deze informatie terugvindbaar, overzichtelijk, betrouwbaar en volledig is, moeten zich door een veelheid aan wet- en regelgeving, complexe normen en standaarden van diverse aard heen worstelen. Veel wetgeving en normen zijn zo specialistisch, dat ze voor algemene managers niet begrijpelijk en niet hanteerbaar zijn.

Waarom RODIN?
De nieuwe Archiefregeling en de NEN-normenfamilie 15489, 2082 en ISO 23081 houden geen rekening met eisen voor informatiebeveiliging. Anderzijds houden normen als de NEN-ISO/IEC 27002 voor informatiebeveiliging weer geen rekening met archiveringseisen zoals ordeningsstructuur, classificatie, metadataschema’s en bestandsformaten.
Veel eisen zijn erg uitgebreid. De NEN 2082, voor informatie- en archiefmanagement bijvoorbeeld, telt 155 eisen die vaak ingewikkeld zijn geformuleerd. De Archiefregeling stelt wel dat er een kwaliteitssysteem moet zijn voor het beheer van (digitale) archieven, maar werkt dit niet uit. De NEN-norm 15489 maakt wel veel werk van kwaliteitszorg en -borging, maar is voor starters die dit in de praktijk willen toepassen te algemeen en te uitgebreid. De NEN 2082 is ook omvangrijk en bevat geen eisen voor langdurige(r) bewaring. De aan de internationale ISO-norm OAIS ontleende checklists TRAC en ED3 zijn bedoeld voor E-depots voor permanente bewaring en te zwaar voor het ‘dagelijks gebruik’ bij overheden.1

Totaalplaatje toekomstFiguur 1

Kortom: Het is van doorslaggevend belang dat het algemene management inzicht krijgt in en een sturende rol kan spelen bij de inrichting van betrouwbaar digitaal informatiebeheer. Maar voor het slagen daarvan moet de hele organisatie zich hiervan bewust zijn, niet alleen de informatiebeherende afdelingen. Informatiebeheer moet, om de organisatie succesvol te kunnen ondersteunen, een vast onderdeel kunnen worden van de werkprocessen en de reguliere planning- en controlcyclus.
De provinciale en gemeentelijke archiefinspecteurs constateerden in het voorjaar van 2010 dat om deze redenen een rode draad nodig was door het woud van alle wettelijke regelingen, normen en eisen. Het nieuwe instrument moest alle lagen binnen een organisatie aanspreken, de belangrijkste wetgeving en normen samenvatten en het geheel inpasbaar maken in algemeen kwaliteitsmanagement binnen organisaties.

De kern
Om dit te bereiken werd eerst in Noord-Holland, en in een later stadium landelijk, een werkgroep gevormd, waaraan behalve archiefinspecteurs ook een ICT-auditor en operational auditor van Het Expertise Centrum deelnamen. Deze samenwerking tussen disciplines was essentieel om tot een goed resultaat te komen. Het gaat immers niet alleen om archiefeisen en ook niet alleen om ICT-eisen, terwijl het geheel wel in de reguliere processen moet passen.
Na het doornemen van stapels wet- en regelgeving, normen en eisen, en een gezamenlijk proces van samenvatten en schrappen, bleven dertig eisen over die naar onze mening de kern van het hele digitale informatiemanagement en -beheer beslaan. Zeven eisen betreffen beleid en organisatie, veertien het informatiebeheer en negen het ICT-beheer en de ICT-beveiliging. Het eindresultaat noemden we Referentiekader Opbouw Digitaal Informatiebeheer, RODIN.

Definitie digitale beheeromgeving
De digitale beheeromgeving is het geheel van organisatie, beleid, processen en procedures, financieel beheer, personeel, databeheer, databeveiliging en aanwezige hard- en software, dat het duurzaam beheer van digitale archiefbescheiden mogelijk maakt (uit: Open Archival Information System, ISO 14721: 2002).

RODIN werd op 14 juni 2010 tijdens de KVAN-dagen gepresenteerd aan het veld van informatieprofessionals.

Voor wat en wie is RODIN?
De definitie van ‘digitale beheeromgeving’ in RODIN is ontleend aan het referentiemodel voor elektronische depots OAIS (ISO-14721: 2002). Het gaat om de omgeving waarin digitale documenten terechtkomen direct ná het scannen of direct ná het digitale ontstaan. RODIN geldt dus voor alle scans, origineel opgemaakte documenten, zoals Word- en Excelbestanden, digitale tekeningen, emails, databases, blogs en andere bestanden, of die nu in het Document Management Systeem zitten, in afdelingsgebonden systemen zoals die voor de Wabo, ruimtelijke plannen of de uitkeringen, of in een architectuur met midoffice of andere systemen.2 Kortom, RODIN gaat het digitale informatiebeheer van de hele organisatie aan, hoe dat ook is ingericht.
Het eerste hoofdstuk van RODIN is bedoeld voor het management. Deze eisen zijn vooral gericht op het vaststellen van informatiebeleid dat aansluit bij de doelen van een organisatie. De organisatie moet in staat zijn verantwoording af te leggen over de digitale beheeromgeving, processen, procedures en taken daarin beschrijven en verantwoordelijkheden en bevoegdheden vastleggen. Ook moet de organisatie voldoende budget en menskracht hebben om de continuïteit van het digitale beheer te waarborgen. Ten slotte moeten regelmatige interne dan wel externe audits of toetsing zijn geregeld.
Het tweede hoofdstuk is gericht op informatiebeheerders en geeft eisen voor ordening van informatie volgens een systeem, zoals bijvoorbeeld een zaaktypencatalogus of documentair structuurplan, voor metadataschema’s, koppelingen tussen de niveaus en andere eisen die het zoeken in systemen trefzeker maken. Ook zijn er eisen opgenomen voor autorisatieschema’s, selectie en vernietiging, bestandsformaten, conversie en migratie en de onverbreekbaarheid van de koppeling tussen data en metadata.
Het laatste hoofdstuk richt zich op de ICT-beheerders en -beveiligers en bevat eisen voor risicoanalyse, het beveiligingsplan en de daaruit voorkomende maatregelen, de taken en verantwoordelijkheden voor het beheer en eisen aan een serverruimte.
Dit geheel moet ook op managementniveau inzichtelijk en controleerbaar zijn.

Handzame toepassing
RODIN is géén nieuwe regeling, maar een handzame samenvatting van bestaande regelingen en normen. RODIN kan als zelfevaluatietoets gebruikt worden door informatiemanagers, -adviseurs, projectleiders, archiefafdelingen en kwaliteitsmanagers binnen organisaties. Essentieel is daarbij de samenwerking tussen de diverse lagen en disciplines: management, archief, informatiebeheer, ICT en procesbeschrijving en -inrichting. Wanneer op die manier de drie hoofdstukken van de eisenlijst zijn ingevuld, komt de organisatie er al snel achter of men in control is wat betreft het digitaal informatiebeheer als geheel, of wat betreft het onderzochte organisatieonderdeel of systeem, afhankelijk van de reikwijdte van het onderzoek. Nog belangrijker is welke knelpunten eventueel verder opgelost moeten worden. Het is dus essentieel tevoren te weten wát men wil onderzoeken en door wie. Als men als archiefafdeling RODIN toepast op het Document Management Systeem, moet men zich realiseren dat daaruit geen oordeel kan komen over het hele informatiebeheer; er zijn immers ook nog (vele) andere systemen. Ook blijft dan andere kennis binnen de organisatie onbenut, dus is de uitkomst van beperkte betekenis.
RODIN kan niet alleen door de organisatie zelf, maar ook door ICT-auditors, archiefinspecteurs en andere interne en externe toezichthouders en auditors als checklist worden gebruikt. Ook daarbij is het natuurlijk aan te bevelen dat verschillende vakgebieden samenwerken.
RODIN is niet geschikt om e-depots voor permanente digitale bewaring mee te toetsen. Daarvoor zijn checklists als TRAC, DRAMBORA en in het Nederlandse taalgebied ED3 ontwikkeld.3 RODIN bevat ook geen regels voor vervanging van papier naar digitaal; die zijn te vinden in de rijks- en provinciale beleidsregels. Het gaat juist om de beheeromgeving direct ná het vervangen.4

Toepassing en ervaringen in Heemstede
De gemeente Heemstede werd benaderd om in een pilot te testen of RODIN in de praktijk voldoet en stemde toe.
Twee onderzoeksvragen stonden daarbij centraal:

  • Voldoet RODIN als instrument?
  • Voldoet de gemeente aan de eisen uit RODIN?

Het auditteam bestond uit twee archiefinspecteurs en een ICT-auditor, aan de kant van de gemeente waren het hoofd Informatiebeheer en het hoofd afdeling Informatiebeleid betrokken.
De gemeente scant sinds 2001 alle relevante inkomende post en slaat deze op in het DMS. Sinds begin 2008, toen de gemeente een nieuw flexkantoor in gebruik nam, is het digitale archief leidend geworden ten opzichte van het papieren archief. Digital born documenten werden niet meer aan het papieren archief toegevoegd, waardoor het digitale archief completer werd dan het papieren archief. Er is echter nog geen vervanging aangevraagd; papieren documenten worden numeriek opgeslagen.
In het eerste stadium van de pilot heeft de gemeente documentatie aan het auditteam toegestuurd. Denk daarbij aan informatiebeleidsplannen, formatieplaatjes, begrotingen, informatiebeveiligingsplannen, procesbeschrijvingen en beschrijvingen van procedures zoals voor back-ups.
De volgende stap was het houden van interviews met management, gebruikers, I&A en DIV. Ook werd de werking van het Document Management Systeem zoals dat in Heemstede was ingericht gedemonstreerd. Tenslotte vulde het auditteam naar aanleiding van alles wat gehoord, gezien en gelezen was de dertig punten van RODIN in met een ‘Ja’, ‘Nee’ of ‘Deels’ en plaatste daar eventueel opmerkingen bij.
Hoewel de doorlooptijd van de audit vrij lang was, heeft de gemeente eigenlijk met betrekkelijk weinig inspanning inzicht gekregen in de sterke en minder sterke punten met betrekking tot de inrichting van de digitale beheeromgeving van de informatievoorziening.

RODIN en Het Nieuwe Werken in Heemstede
In de pilot is RODIN bij de gemeente Heemstede vooral toegepast op de digitale beheeromgeving rond het Document Management Systeem (DMS). Sinds een jaar wordt echter actief Het Nieuwe Werken gepromoot en daarbij ook het gebruik van een onbeperkt aantal decentrale web 2.0-tools. Het wordt steeds minder vanzelfsprekend dat het DMS de centrale opslagplaats is voor alle informatie. De digitale beheeromgeving van de informatievoorziening wordt dus in snel tempo nog onoverzichtelijker dan deze al is. Toch is dit geen reden om deze ontwikkelingen tegen te houden. Er is een richtlijn opgesteld voor medewerkers waarin staat hoe zij op een verantwoorde manier kunnen omgaan met al deze nieuwe mogelijkheden.
RODIN kan ook helpen om in kaart te brengen waar informatie zich bevindt en hoe geborgd is dat deze op een gecontroleerde manier ontsloten en gearchiveerd kan worden. Het toepassen van het RODIN moet zich dus niet meer beperken tot het DMS, maar de totale informatievoorziening onder de loep nemen.

Resultaten pilot
Het antwoord op de eerste vraag: ‘Is RODIN bruikbaar?’ luidde ‘ja’, met de volgende kanttekeningen:

  • Het tweede deel van onze pilot, het informatiebeheer, was beperkt tot het DMS, zodat over de overige systemen en de daarin opgeslagen informatie nog geen oordeel kon worden gevormd.
  • De totale doorlooptijd van de pilot was (te) lang.
  • Interviewen is een vak dat je moet leren!
  • In de volgende versie van RODIN zullen enkele aanpassingen verwerkt moeten worden, waaronder de eis ‘gebruiksvriendelijkheid van systemen’.

De vraag, of Heemstede voldeed aan RODIN, kon met ‘ja’ worden beantwoord. Kanttekeningen daarbij waren, dat de praktijk van het archiveren in het DMS in orde was, maar nog te weinig verankerd in beleid, processen en procedures. Het systeem zal nog verder worden uitgebouwd en kan dus in een latere fase opnieuw worden beoordeeld. RODIN heeft zich wat de gemeente betreft bewezen als een laagdrempelig en dus makkelijk toepasbaar toetsinstrument.

Snel beeld
Deze pilot bij de gemeente Heemstede is beide partijen goed bevallen. Zowel aan de kant van de gemeente als bij het auditteam was er veel enthousiasme. Door openheid aan beide kanten hebben we veel geleerd over het proces van toetsing én over het inrichten van digitaal informatiebeheer. De eenvoud van RODIN maakt het mogelijk om vrij snel een beeld te krijgen van de situatie en van de zaken die al wel en nog niet goed gingen. Voor de managers werd het inzichtelijk waar de organisatie stond, zodat zij hun verantwoordelijkheid konden nemen.
In vele andere gemeenten zijn pilots met RODIN gaande of al afgerond. We houden ons aanbevolen voor meer reacties over het gebruik van RODIN op lopai.nl, zodat deze eventueel meegenomen kunnen worden in RODIN 2.0.

 

LOEFM@Noord-Holland.nl, Marianne Loef is provinciaal archiefinspecteur in Noord-Holland.

BvanOerle@heemstede.nl, Bart van Oerle is hoofd informatiebeheer van de gemeente Heemstede.


1 OAIS, Open Archival Information System, ISO 14721:2002. TRAC: Trustworthy Repository Audit & Certification: Criteria and Checklist Version 1.0 February 2007. Checklist ontwikkeld door de bibliotheeken archieforganisaties in de VS, OCLC en CRL. ED3, Eisen duurzaam digitaal depot. Toetsingskader voor de beheersomgeving van blijvend te bewaren digitale informatie, LOPAI 2008, zie www.lopai.nl. Van deze site is ook RODIN te downloaden.

2 Voor het archiveren van blogs en andere web 2.0-toepassingen zie Steve Bailey, Managing the crowd, rethinking records management for the web 2.0 world, 2008. Recensie in Od van december 2008. Zie ook http://ingmarbladertenschrijft.blogspot.com en zoek op archiveren 2.0.

3 DRAMBORA: Digital Repository Audit Method Based on Risk Assessment, 2008 (zie: www.repositoryaudit.eu).

4 Rijksregels voor vervanging, toepasbaar voor rijks- en provinciale organen (zie nationaalarchief.nl). Provinciale regels voor vervanging, toepasbaar voor gemeenten, waterschappen, regiopolitie en Wgr-regelingen: zie lopai.nl onder Thema’s. Gewerkt wordt aan landelijke regelgeving voor vervanging.

*De auteurs bedanken: Stinie Francke, archiefinspecteur van het Noord-Hollands Archief. Kees Schabbing, adjunct provinciaal archiefinspecteur in Noord-Holland. Wineke de Porto, afdelingshoofd I&A gemeente Heemstede. Maarten de Roos, operational auditor bij Het Expertise Centrum. Chris Wauters, Sectormanager Sociaal-Economische Sector en ICTauditor bij Het Expertise Centrum. De leden van de landelijke werkgroep RODIN: Jan Beens, Dick Bunskoeke, Lolke Folkertsma, Chido Houbraken, Ingmar Koch, Bernard Mantel, Jeroen van Oss, Hajo de Roo en Arjan de Vries.