auditen van archieffunctionaliteit in bedrijfsapplicaties

Zijn er organisaties die vakapplicaties/procesapplicaties/bedrijfsapplicaties auditen op archieffunctionaliteit? Ik ben geinteresseerd in welke methoden gebruikt worden om te bepalen of documenten etc op een verantwoorde wijze worden opgeslagen en beheerd in dergelijke applicaties. Er is regelgeving, normering (bv 23081, 2082 of 16175) en handreikingen die opsommen waar applicaties aan moeten voldoen, maar ik ben vooral benieuwd hoe organisaties dat praktisch hebben ingericht?

In mijn werk probeer ik de verschillende werkprocessen zo veel mogelijk te ondersteunen met functionele ICT oplossingen. na een analyse van het proces en een inventarisatie van de wensen en eisen start ik meestal met een onderzoek hoe dit het beste ondersteund kan worden met ICT. Dit is grotendeels gebaseerd op proces ondersteunende functionaliteit maar ook op beheersbaarheid en kosten. Uiteraard komt ook het stuk document management aan de orde en dat is best lastig en tijdrovend.

Ik ben geen voorstander van een centraal systeem waar alle documenten uit verschillende systemen worden opgeslagen dus probeer zoveel mogelijk te regelen dat de procesapplicaties ook zorgen voor de archieffunctie. Mijn vraag is of DIV/Informatiemanagement betrokken is bij advies of auditen voor zowel nieuwe als bestaande applicaties en zo ja hoe ze dat doen?

Weergaven: 1758

Hierop reageren

Berichten in deze discussie

Permalink Antwoord van Marco Klerks op 1 Oktober 2018 op 12.02

Nee, GIBIT is een achtervang voor als je "vergeten" bent om bepaalde zaken in het gunningscontract op te nemen. GIBIT moet je dus zien als het absoluut minimale dat er geregeld moet zijn bij de aanschaf van software. Vind je informatiebeheer belangrijk, dan neem je hierover eisen op in het contract (vaak is het PvE onderdeel van het contract).

Stel, je gaat een applicatie kopen, waarin weinig tot geen informatie wordt opgeslagen of het gaat om informatie die niet echt boeiend is (geen persoonsgebonden informatie, bewaartermijn van een jaar, nauwelijks enig risico). Je kunt dan met elkaar afspreken dat de GIBIT-voorwaarden goed zat zijn. Hier wil je immers niet te veel tijd in steken, want er zijn belangrijke vraagstukken die je aandacht vragen.

Is het echter wel belangrijk dat informatiebeheer in die applicatie goed geregeld wordt, dan zijn de GIBIT-voorwaarden wel heel erg minimaal. Dan is het belangrijk om tijd te investeren in het formuleren van een goede set eisen en wensen en die op te nemen in het PvE / contract.

Wanneer in een informatiebeheerplan (IBP) risico-classificaties zijn opgenomen, dan zou je op beleidsniveau kunnen afspreken vanaf welke classificatie informatiebeheer expliciet opgenomen moet worden in het opstellen van een PvE / gunningscontract.

Permalink Antwoord van johan de visser op 1 Oktober 2018 op 14.08

wederom dank voor jullie reacties en input!

Er zijn verschillende documenten opgesteld met daarin eisen waaraan software moet kunnen voldoen, zoals wetgeving, de nen normen, allerlei richtlijnen en daarvan weer uitwerkingen in best practices. Soms aanvullend maar ook  dubbel of zelfs tegenstrijdig. Zelf vind ik de Gibit wel heel minimalistisch en tekort schieten als algemeen
instrument, al heb ik er nog geen gedetailleerde studie van gemaakt. Duto komt dan een stuk degelijker over
en meer in de richting waar ik aan denk, er zijn echter meer kwaliteitseisen dan duurzaamheid die minder terug
komen in Duto naar mijn mening.

Om op de opmerking van Marco terug te komen: ik bedoel inderdaad alle digitale informatie die in een systeem
kan worden opgeslagen en bewerkt, dus niet alleen documenten. Verder geef je precies aan wat ik zoek:
Een lijstje waarmee ik (vooraf bij nieuwe applicaties, maar achteraf bij bestaande applicaties) kan bepalen aan welke eisen deze moeten voldoen om een goedkeuringsstempeltje te krijgen.

Zoals ik het nu voor me zie zal dat een interactief lijstje worden waar op basis van bepaalde onderwerpen zoals risicoanalyse, procesanalyse en beheersaspecten een systeemclassificatie gemaakt kan worden die bepalend is voor welke eisen er aan gesteld zullen worden. Uit de verschillende normen etc kan dan een eisenset op maat gemaakt worden voor de eigen organisatie. Ik denk niet dat ik met maar 1 regeling het hele pallet aan applicaties kan beoordelen voor alle processen. Het uiteindelijke doel is om een gefundeerde inschatting te kunnen geven of de informatie die in een systeem terecht komt op een goede, geordende en toegankelijke manier beheerd kan worden.   Maar dit vergt nog denkwerk en moet ik rustig verder uitwerken...

Als er al organisaties die dit bv in het kader van kwaliteitsmanagement of als uitwerking van een aanbesteding
doen dan ben ik daar heel nieuwsgierig naar!

Permalink Antwoord van Rens op 1 Oktober 2018 op 14.09

Er zijn hier al veel goede dingen gezegd, dus met het risico om in herhaling te vallen doe ik ook nog een duit in het zakje.

Wij onderscheiden drie categorieën met elk een eigen aanpak:

1. Nieuwe applicaties

Bij nieuwe applicaties richten we het informatiebeheer 'by design' in. We verwijzen in onze algemene inkoopvoorwaarden natuurlijk naar de GIBIT, maar zoals Marco al zei ben je er dan nog lang niet. Daarom hebben we een matrix opgesteld met standaard-eisen waaruit we telkens op maat de relevante punten overnemen in een programma van eisen. Deze matrix is een dynamisch document dat na elke aanbesteding weer wordt aangescherpt met nieuwe inzichten en die ons goed helpt om niet telkens het wiel opnieuw uit te vinden.

2. Uitzetten applicaties

Op dit moment draait een groot project ("de appruimstraat") dat zich bezighoudt met het uitzetten van vele honderden applicaties. Bijna allemaal legacy-systemen waarin het informatiebeheer niet of nauwelijks is ingericht en nu dus achteraf beoordeeld moet worden wat te doen met de data in die systemen. Het instrument dat we daarvoor gebruiken is een analyseformat en een set aan generieke oplossingen voor het veiligstellen van data die in de loop der jaren als best practices zijn ontstaan. Gaandeweg het project komen daar meer en betere oplossingen bij.

3. Legacy-systemen die in gebruik blijven

Binnenkort starten we met een aantal DuTo-scans van legacy-applicaties waarin het informatiebeheer nog niet (goed) is ingericht, maar voorlopig nog in gebruik zullen blijven. Eerste stap daarin is het bepalen welke applicaties daarvoor het meest in aanmerking komen, dat doen we op basis van een risico-afweging.

Permalink Antwoord van Yvonne Welings op 1 Oktober 2018 op 14.27

Al weer een tijd geleden in 2014 hebben wij onderzoek gedaan of veel gebruikte applicaties beschikten over archieffunctionaliteit verwijderen. Grof gezegd, zou je kunnen stellen dat behalve een DMS/zaaksysteem die er nog steeds niet zijn en daarmee zijn ze ook niet AVG proof. Ik wil hiermee zeggen, we moeten zorgen dat een en ander digitaal duurzaam beheerd kan worden, maar vooral ook verwijderd kan worden, ook op servers.

Het is niet zo dat gemeenten vooraf geen eisen stellen, ik ken vele aanbestedingen waar dat wel is gebeurd, maar vaak als het puntje bij paaltje komt er toch andere keuzes worden gemaakt omdat de leverancier niet aan alle archiveringseisen kan voldoen.

Permalink Antwoord van Marco Klerks op 1 Oktober 2018 op 15.03

Helaas Johan, ik heb geen lijstje dat ik kan delen. Dat staat nog op het te-doen-lijstje.

Permalink Antwoord van Rens op 1 Oktober 2018 op 15.15

Bijgaand het lijstje dat wij nu hanteren bij de aanschaf van nieuwe systemen, misschien heeft iemand er iets aan? Voor verbetersuggesties houd ik me ook aanbevolen.

De scope is beperkt tot informatiebeheer: eisen ten aanzien van beveiliging, privacy en architectuur hebben vaak een overlap met ons vak, maar zijn ons organisatorisch bij aparte deskundigen belegd en daarom niet in dit overzicht meegenomen. Spreekt voor zich dat e.e.a. in de projecten wel samenkomt en wordt afgestemd.

En zoals eerder aangegeven: niet alles is altijd relevant, het is altijd maatwerk.

Bijlagen:
Permalink Antwoord van johan de visser op 2 Oktober 2018 op 8.44

Dank voor het delen van de lijst Rens!

Het is redelijk op hoofdlijnen waardoor het praktisch en overzichtelijk is. Zelf denk ik aan een iets gedetailleerdere lijst maar jouw opzet is wel handig! Zo zou ik de insteek van 'voldoet aan 2082' wel willen vertalen naar losse elementen.

Ik ben nieuwsgierig naar het onderscheid in Saas en On Premise, maakt dat uit voor de archieffunctionaliteit van een applicatie?

Permalink Antwoord van Rens op 2 Oktober 2018 op 11.24

johan de visser zei:

Ik ben nieuwsgierig naar het onderscheid in Saas en On Premise, maakt dat uit voor de archieffunctionaliteit van een applicatie?

Het verschil tussen SAAS en On Premise is dat je bij SAAS een dienst afneemt en bij On Premise een applicatie. Voor SAAS formuleer je vooral de kwaliteitseisen waaraan de oplossing moet voldoen en laat je het aan de leverancier over hoe die dat onder de motorkap wil inrichten. Bij On Premise kijk je meer naar de technische werking: enerzijds omdat de applicatie moet kunnen communiceren met aanpalende systemen op je infrastructuur, anderzijds omdat archivistische handelingen in eigen beheer worden uitgevoerd die bij SAAS onderdeel van de tweede S zijn.

Bijvoorbeeld: je wil een vernietigingslijst kunnen maken. Bij SAAS geef je aan wat er op die lijst moet staan, wie opdracht tot het maken van de lijst mag geven etc. De leverancier maakt de lijst dan misschien door steeds op maat een script te schrijven en daarmee rechtstreeks de database te bevragen. Dat is prima, als wij de lijst maar krijgen volgens opgegeven specificaties. Bij On Premise moet de informatiebeheerder de lijst zelf kunnen genereren. De informatiebeheerder heeft waarschijnlijk niet de kennis om een script te schrijven, dus dan ga je heel gericht om functionaliteit binnen de applicatie vragen waarmee je zelf zo'n lijst kunt maken.

Permalink Antwoord van Marjolein van der Boom op 3 Oktober 2018 op 15.42

hoi Johan,

Hierbij wat antwoorden op jouw vragen vanuit mijn kant:

Bij de TU/e hebben we ervoor gekozen om opslag van archiefwaardige informatie toe te staan in andere applicaties dan het RMA. (Permanent te bewaren gaat wel altijd naar het RMA) Wil een dienst of faculteit dit dan wordt er eerst een check uitgevoerd op de applicatie of dit mogelijk is. Die check die we uitvoeren baseert zich onder andere op DUTO.

Daarnaast hebben we een bewaarstrategie opgesteld met daarbij een lijst van wensen en eisen op het gebied van aanschaf van nieuwe applicaties in combinatie met opslag van archiefwaardige informatie. Dit is zeer uitgebreid en we zullen per geval moeten kijken wat uit die lijst van toepassing gaat zijn.  Dit is vrij recent, en we hebben dit nog niet in praktijk kunnen brengen. De opstelling daarvan is overigens in samenwerking met CIO office gebeurd, waarbij informatiearchitecten en managers ook een belangrijke input hebben.

Landelijk gezien hebben we met universiteiten en universitair medische centra een handreiking opgesteld waarmee kwaliteitszorgsysteem opgezet kan worden in de organisatie. Ook daarbinnen is aandacht voor het uitvoeren van een audit op archieffunctionaliteit. Maar dit is een handreiking, elke organisatie zal dit zelf zich eigen moeten maken.

Antwoorden op discussie

RSS

Partner(s)

Sponsor(s)

http://www.elveo.nl

Direct naar...

Vind BREED!

- Twitter

- LinkedIn

- RSS: alle activiteiten

- RSS: nieuwe discussies

- RSS: nieuwe blogs

- E-mail

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden