Misschien kijk ik er faliekant aan voorbij en staat het al ergens op dit forum...

Ik zit met twee vragen:

1) Op welke wijze worden geZivverde emails gearchiveerd? Ik heb begrepen dat men ze in een edepot enkel niet versleuteld opneemt. Daar kan ik me iets bij voorstellen. Tegelijkertijd staat mij bij dat je wel extra metadata moet opnemen over versleuteling/encryptie. Dat is ook als eis in de NEN 2082 opgenomen. 

Wie heeft hier ervaring mee en welke extra metadata worden toegevoegd?

2) Hoe en om welke redenen sla je emails met bijlagen op? 

Mij is verteld dat je de bijlagen in een email, doorgaans een msg bestand, altijd apart moet opslaan omdat a) de bijlagen anders na verloop van tijd niet meer te openen zijn vanuit de email zelf en b) deze met een eigen omschrijving makkelijker terug te vinden zijn.

Klopt dit idd en zijn het nog steeds twee valide gronden om het zo te doen?

Deze informatie heb ik o.a. ontleend aan de volgende bronnen:

E-mails archiveren: hoe en waarom? - Project TRACKS

https://regionaalarchiefnijmegen.nl/images/praktische-informatie/ar...

Weergaven: 892

Hierop reageren

Berichten in deze discussie

Goede vraag, volgens mij komt de eis van encryptie voort uit de Archiefregeling art. 26:

Artikel 26. Algemene eisen aan opslagformaten voor digitale archiefbescheiden

  1. Digitale archiefbescheiden worden, uiterlijk op het tijdstip van overbrenging, opgeslagen in een valideerbaar en volledig gedocumenteerd bestandsformaat dat voldoet aan een open standaard, tenzij dit redelijkerwijs niet van de zorgdrager kan worden verlangd. Alsdan vindt met de beheerder van de voor overbrenging aangewezen archiefbewaarplaats overleg plaats over een alternatief bestandsformaat.
  2. Voor zover op het tijdstip van overbrenging gebruik wordt gemaakt van encryptietechniek, wordt aan de beheerder van de archiefbewaarplaats de bijbehorende decryptiesleutel verstrekt.
  3. Gebruikmaking van compressietechniek is slechts toegestaan, voor zover daarbij niet zodanig verlies van informatie optreedt, dat niet langer aan de bij deze regeling gestelde eisen ten aanzien van de toegankelijke en geordende staat van digitale archiefbescheiden kan worden voldaan.https://archiefwiki.pleio.nl/wiki/Artikel_26_Archiefregeling_2009

Yvonne, bedankt voor je reactie.

Ja dat is idd geregeld in artikel 26 Ar. en de crux zit in het 2de lid.

Enerzijds wil men vanuit het edepot dat het, als het openbaar is (geworden) ook als zodanig kan worden geraadpleegd. Kortom men wil het onversleuteld beschikbaar stellen.  Anderzijds is er wel de plicht om de decryptiesleutel mee te leveren. 

Als ik de NEN 2082 eisen 121/123 erop na sla dan beschikt een RMA (ook als onderdeel van een zaaksysteem) over de mogelijkheid om metadata over de versleutelde doorzending, het type algoritme en het gebruikte encryptieniveau vast te leggen.

Hoe dit er in de praktijk uitziet, weet ik niet. Dus ik hoop dat iemand hier ervaring mee heeft en weet waar je dergelijke metadata in een systeem kan vastleggen en vinden. 

In relatie tot encryptie heb ik ook geen direct antwoord, maar je zou verwachten dat de leverancier van jullie e-Depot dat wel zou moeten weten. Zie ook bijlage. 

Eindrapport%20Proeftuin%20E-mailbewaring%20gemeenten.26-09-2018.pdf

Hier zie je ook weer de noodzaak dat archivering, informatiebeveiliging en privacy vanuit de invalshoek opereren. 

@Yvonne,

Dank voor de 2 reacties. 

Van het document in bijgevoegde link had ik al kennis genomen. Persoonlijk vind ik het een ietwat teleurstellend document en het geeft niet voldoende antwoord op mijn vragen.

https://vng.nl/sites/default/files/publicaties/2018/eindrapport-pro...

Wat dat betreft ben ik meer geholpen met een 'oudje' uit 2005 van G.J. van Bussel:

Encryptie en archief: hoe staat het met de toegankelijkheid ? | Van...

en het al eerder genoemde document van Project TRACKS

E-mails archiveren: hoe en waarom? - Project TRACKS

Ten slotte vond ik nog een document waarin uit de doeken wordt gedaan hoe te handelen in het geval dat een document met encryptie moet worden gearchiveerd en het meeleveren van een decryptiesleutel noodzakelijk is (zie art.26-2 Archiefregeling).

Het gaat hier om uitzonderingsgevallen waarbij bijvoorbeeld de staatsveiligheid in het geding is.

Het gaat onder andere in op sleutelarchivering en sleutelvernieuwing in situaties waarbij een decryptiesleutel zoek of corrupt raakt door uitval van het besturingssysteem.

5 Encryptie bij opslag - PDF Gratis download (docplayer.nl)

Dat de NEN 2082 wordt vervangen door de ISO 16175 is mij bekend. Anderhalf jaar terug heb ik samen met het IV team daarin een cursus gevolgd omdat ik het belangrijk vind dat een vakspecialist IV een systeem niet enkel vanuit de gebruikerskant test. Een vakspecialist IV is ook degene die kan testen op eisen welke, vanuit de archief wet- en regelgeving en daaruit voortvloeiende standaarden en richtlijnen, aan informatiesystemen worden gesteld.

Ik schets hier een ideaalbeeld want het wemelt van de IV medewerkers die van de NEN 2082 of ISO 16175 geen chocola kunnen maken. Het is dan ook niet het meest appetijtelijke stukje proza.

De techniek holt de kennis van een doorsnee IV vakspecialist (ver) vooruit. Dat baart mij zorgen. Issues welke bijna 20 jaar geleden al speelden, worden ook nu nog moeizaam opgepakt.

Roos, ik kan je bevinding alleen maar beamen. Wat ik persoonlijk ook zorgelijk vind, zijn de recente uitspraken binnen ons rechtssysteem, die de werking van de Archiefwet vermindert. Binnen rechtbanken heeft Zivver overigens alleen de fax vervangen, pakken papier worden nog rond gestuurd.

Wat ik ook jammer vind, is dat wij als gemeenten steeds maar met pilots iets uit moeten vinden in plaats van dat VNG Realisatie concreet aangeeft hoe het moet, maar de laatste club is ook heel erg ICT gericht. Positieve uitzondering afgelopen jaar heb ik de inbreng van Kees Groeneveld ervaren, die is helaas vertrokken. Vertel maar concreet hoe in plaats van de zoveelste handreiking. Daar moet toch efficiëntie in te bereiken zijn? Kennisdelen kan eenvoudig via een gremium als BREED, maar de ontwikkeling van kennis zou veel meer aandacht moeten krijgen. 

Ik volg het allemaal nog steeds, soms met enige vertraging. En ik denk ook wel eens: veel communicatie en proces, prima, maar wat meer kennis en inhoud zou kunnen zorgen voor meer balans én concrete handvatten.

Eens, er is te weinig samenhang tussen al die producten (VNG, VNG Realisatie, Common Ground). En soms herhalen zaken zich ook. Gemeenten zijn druk bezig met Open Zaak en welke zaak wordt dan als eerste opgepakt, juist meldingen openbare ruimte. Het is alsof je tien jaar terug in de tijd gaat. 

En soms lukt het ook gewoon niet om een standaard vast te stellen zoals een metadataset. Hoe hebben wij rond 2011 niet ons best gedaan om een standaard te verkrijgen en we zijn nu in 2021 en die is er in feite nu nog niet. Wat ik hoor uit andere sectoren zoals GEO is dat het vaststellen van dergelijke standaarden gewoon gebeurt zonder verder gedoe. 

Dit nieuwsbericht kwam voorbij:

NTA voor veilig ad hoc berichtenverkeer buiten de gezondheidszorg.

NTA 7516 ‘Eisen voor veilige e-mail en chatapplicaties’ blijkt ook buiten de gezondheidszorg een bruikbare norm en wordt onder andere bij de Rijksoverheid gebruikt.

De Rechtspraak maakt voor veilig ad hoc berichtenverkeer gebruik van de fax. Vanaf oktober 2021 is dit voor hen niet meer mogelijk, waardoor er behoefte is aan een nieuwe norm voor veilig mailen in de Rechtspraak. De Rechtspraak gaat het gebruik van de fax in 2021 uitfaseren. Na het uitfaseren van de fax, zal deze behoefte blijven bestaan. Voor die behoefte wil de Rechtspraak gebruik gaan maken van een nieuwe norm voor veilig mailen.

https://nta-veilige-email-inde-rechtspraak.nen-evenementen.nl/

Antwoorden op discussie

RSS

© 2024   Gemaakt door Marco Klerks.   Verzorgd door

Banners  |  Een probleem rapporteren?  |  Algemene voorwaarden