BREED - over de grenzen van informatie

NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER

Risicoanalyses

In 2013 is de Gemeente s-Hertogenbosch begonnen met het uitvoeren van risicoanalyses op het gebied van informatiebeheer. De risicoanalyses worden jaarlijks uitgevoerd. Al doende leert men, dus op basis van de ervaringen van vorig jaar hebben wij onze manier van werken proberen te verbeteren. In deze blog wil ik graag de ervaringen van het project van de afgelopen twee jaar delen.

Project 2013-2014

Van medio 2013 tot en met april 2014 hebben de afdelingen Stadsarchief, Documentaire en Facilitaire Zaken (DFZ) en het Programmabureau Zaakgericht Werken (ZGW) voor het eerst in goede samenwerking met de afdelingen gemeente breed risicoanalyses op informatiebeheer uitgevoerd. Doel van de risicoanalyses was om voor afdelingen inzichtelijk te maken binnen welke processen ze bij informatiebeheer op politiek, juridisch, financieel en cultuurhistorisch vlak risico liepen.

Aanpak

Per afdeling is een risicoanalyse gemaakt. Het afdelingshoofd DFZ heeft samen met de projectleider alle afdelingshoofden aangeschreven. De afdelingshoofden hebben vervolgens materiedeskundigen aangewezen: proceseigenaren en andere sleutelpersonen binnen de afdeling. Met deze mensen zijn interviews gehouden. Daarin zijn de primaire processen in kaart gebracht. Vervolgens is per proces bekeken welke informatie eruit voortvloeit, waar die informatie is opgeslagen en op welke wijze deze informatie beheerd wordt. Op basis daarvan is per proces een inschatting gemaakt van het risico dat de afdeling loopt. Vervolgens zijn de analyses voor hoor en wederhoor voorgelegd aan de geïnterviewden en daarna gepresenteerd aan het afdelingshoofd. Tijdens deze presentatie wordt de analyse besproken en worden concrete acties afgesproken. Na de presentatie wordt de analyse eventueel aangepast en vastgesteld.

Resultaten en leerpunten

Tijdens het uitvoeren van de analyses hebben wij van bijna alle afdelingen alle medewerking gekregen. Men stond in het algemeen positief tegenover het uitvoeren van de analyse. Men was zich bewust van de verantwoordelijkheid voor het informatiebeheer, maar men had weinig beeld bij wat dat inhoudt. Veel afdelingshoofden voelden zich geholpen met de analyse. Ten eerste kreeg men meer inzicht in wat archivering inhoudt. Ten tweede omdat in de analyses heel duidelijk naar voren kwam op welke punten het informatiebeheer goed georganiseerd is en waar actie nodig is. Dit maakt dat afdelingen gericht en efficiënt acties kunnen ondernemen en risico’s kunnen indammen. Het uitvoeren van de risicoanalyses heeft ook bijgedragen aan een verbetering van de positie en imago van het Stadsarchief en DFZ binnen de organisatie. Het biedt het Stadsarchief aanknopingspunten voor de archiefinspectie. Het biedt DFZ een tool om de afdelingen gericht te ondersteunen bij hun informatiebeheer. De analyse werd door DFZ/SA uitgevoerd voor een afdeling. Het eigenaarschap van de analyse en het initiatief voor het oppakken van de actiepunten ligt bij de afdeling. Een punt aandacht blijft wel het vertalen van de bevindingen naar concrete acties en het daadwerkelijk uitvoeren van de acties.

Project 2014-2015

Op basis van onze ervaringen hebben we de aanpak van het project doorontwikkeld. We hebben een aantal belangrijke wijzigingen aangebracht in de werkinstructie en het sjabloon dat we gebruiken. Deze aanpassingen zorgen ervoor dat onze bevindingen duidelijker onderbouwd worden. De kwaliteit van de analyse wordt daardoor beter en dat draagt bij aan een groter draagvlak voor onze bevindingen en acties. Dit zijn de belangrijkste wijzigingen:

We maken nu expliciet twee doorsnedes: per proces en per opslagmedium. Deze doorsnedes zijn aan elkaar gerelateerd.

We hebben de belangen (politiek, financieel, juridisch en cultuurhistorisch) expliciet gemaakt in het sjabloon. Aan ieder belang wordt apart een waarde gehecht. Het belang van het proces wordt daardoor veel duidelijker.
De criteria volgens welke we opslagmedia beoordelen hebben we expliciet benoemd in het sjabloon. Deze worden voor elk opslagmedium ingevuld.
Betrokkenheid van de sectorcontroller. Dit jaar gaan we voor het eerst per sector de analyses bespreken met de sectorcontroller. Daarmee worden de uitkomsten van de risicoanalyses minder vrijblijvend voor de afdelingshoofden.

Sinds 1 oktober is de actualisatie van start gegaan. Op dit moment zijn we druk met het plannen van interviews, het voeren van gesprekken en de eerste terugkoppelingen. Leuk, spannend en vooral: heel leerzaam!

Wat vinden jullie?

Wij proberen, met vallen en opstaan, risicoanalyses op een steeds betere manier te doen. Daarom willen we graag feedback. Wat vinden jullie van het sjabloon en de werkinstructie? Hoe zouden we het beter kunnen doen? Waar lopen jullie binnen je organisatie tegenaan? We horen het graag, want samen weten we meer!

Bijlagen

Werkinstructie risiscoanalyse: Werkinstructie%20risicoanalyse.docx

Sjabloon risicoanalyse: Sjabloon%20voor%20risicoanalyses%20leeg.xlsx

Vind ik leuk

5 leden vinden dit leuk

Opmerking

Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!

Wordt lid van BREED - over de grenzen van informatie

Reactie van Marieke Klomp op 12 Februari 2015 op 11.13: Dag André,

Dank je wel voor de waardering van het blog. Publicatie hier van het memo over risico-analyse bij het Nationaal Archief draagt ook weer bij aan het delen van kennis en vaardigheden.

Aan het einde van dit project gaan wij ook weer nadenken over de manier waarop wij deze tool willen doorontwikkelen. Daar kunnen we de inzichten van Gert van der Kolk en co. meenemen. Overigens ook weer een mooi onderwerp voor een blog.

Reactie van André Plat op 11 Februari 2015 op 15.13: Beste marieke, mooie blog en reacties hierop.

Er is een risico-analyse memo die circuleert binnen het Nationaal Archief. Ik vraag betrokken collega om deze te publiceren.

Ik was vorige week bij een keukentafel collega van Gert van der Kolk in Rotterdam (bij een oud collega). Hij publiceerde een boek, zijn vak is procesmanagement 'draagvlak'.

Wat mij is bijgebleven is de harde en zachte controles rondom risico management (zou zijn methode risicobewustzijn zomaar ook kunnen werken op informatiebewustzijn.

Enfin: over zijn boek, zie over zijn boek

Ik had enkele rijtjes overgehouden aan die middag:

a. risico bewustzijn is het vermogen te zien, verkrachtig te beheersen en verinnerlijkt te handelen

b. 3x3 model: reflectie/bewustzijn, constructie/risicobewust handelen en interactie/risk readiness

c. nulmeting: management, aanpassingsvermogen, stressbestendig, transfer, emphatie, reflectie (MASTER)

d. Constructie (ALERT)

e. pre mortum analyse (in ons geval: er is geen informatievoorziening/archief: wat gaat er dan mis?)

Aanwezigen bij de bijeenkomst (veel directieleden uit de zorg en top overheid) werden uitgenodigd het boek te kopen en in actie te komen. Dat zou kunnen op de website door het doen van een testje.

Natuurlijk stel ik het op prijs als collega's de test doen en of het boek lezen en ervaringen hier 'delen'. Het is al verheugend dat veel wordt gedeeld nav je blog: toppie!

Reactie van Marieke Klomp op 2 Februari 2015 op 12.50: Dag Marco,

Dit is een punt waarop ons sjabloon verder doorontwikkeld en verfijnd kan worden en ik kan me voorstellen dat we deze opzet daarin mee zullen nemen. Op een aantal punten lijkt dit op elkaar. Ik noteer het in ieder geval voor de evaluatie.

Reactie van Marco Klerks op 30 Januari 2015 op 14.02

Hallo Marieke,

Deze week is de concept-selectielijst 2016 gepubliceerd. In de inleiding wordt op blz. 12/13 verwezen naar het Rapport Methodiek Risicoanalyse. Hierin worden de volgende risicocategorieën onderscheiden:

Risicocategorie	Definitie
Bestuurlijk-politiek risico	Het potentiële nadeel dat de organisatie ondervindt in de kwaliteit van sturing van de organisatie en de publieke verantwoording over de hierover genomen beslissingen.
Operationeel risico	Het potentiële nadeel dat de organisatie ondervindt in de kwaliteit en mogelijkheden van de uitvoering van de door de organisatie gestelde doelen.
Juridisch risico	Het potentiële nadeel dat de organisatie ondervindt doordat de belangen van de organisatie niet behartigd kunnen worden in geschillen met derde partijen.
Financieel risico	Het potentiële nadeel dat de organisatie ondervindt in de vorm van extra uitgaven, kosten of de vermindering van inkomsten.
Afbreukrisico	Het potentiële nadeel dat de organisatie ondervindt op haar uitstraling, gezag en imago.

Dit lijkt sterk op de “belangen” per proces uit onze risico-analyse:

Politiek belang
Financieel belang
Juridisch belang
Cultuur-historisch belang

Denkertje: is het wenselijk/mogelijk om de risicocategorieën en de belangen beter op elkaar aan te laten sluiten?

Reactie van Marieke Klomp op 8 Januari 2015 op 15.54: @Mike: je vraagt ons wat de vervolgstappen kunnen zijn na het doen van een risicoanalyse.

Belangrijk om daarbij in de gaten te houden is dat de gemeente 's-Hertogenbosch een decentrale managementfilosofie heeft. Dit betekent dat afdelingshoofden verantwoordelijk zijn en dat Documentaire en Facilitaire Zaken hen daarbij ondersteunt. Voor ons is dus het 'eigenaarschap' van de afdeling belangrijk. De analyse moet voor hen herkenbaar zijn en moeten de acties dragen. Vorig jaar en dit jaar zijn er de volgende soorten vervolgstappen ondernomen:

- Verdiepingsslag door middel van een audit;

- Extra overdracht archieven aan DZ;

- Beheer van netwerkschijven wordt ter hand genomen;

- Extra trainingen, soms voor specifieke doelgroepen bij gebruik van bepaalde systemen;

- Extra afspraken met DZ over omgang met bepaalde informatie of archief;

En soms...soms gebeurde er naar aanleiding van de analyse niets.

DZ heeft in mijn ogen overigens zeker een rol in de vervolgacties, omdat DZ expertise heeft op het gebied van informatiemanagement. Dit gebeurt wel binnen het kader van decentraal management. DZ voert de audits uit en DZ verzorgt ondersteuning bij acties (bijv. verzorgen van opleidingen). Uiteindelijk blijft de afdeling verantwoordelijk.

Reactie van Marieke Klomp op 8 Januari 2015 op 13.48: @Mike:

Je vraagt wat wij beschouwen als opslagmedium. Alle plaatsen (fysiek of digitaal) waar medewerkers informatie opslaan. Inderdaad fysieke locaties en netwerkschijven, maar applicaties beschouwen wij zeker als opslagmedium.

Hoe bepalen we wanneer een criterium goed is? Wanneer redelijk? Is hier ruimte voor subjectiviteit? Er is zeker ruimte voor subjectiviteit. Het doen van de risicoanalyse is voor ons geen exacte wetenschap. We schatten dit samen in met de afdelingen. Of iets goed of redelijk is, is ook afhankelijk van de situatie en de belangenafweging die je maakt (zaken kunnen delen vs. privacy bijvoorbeeld). Op dit moment hebben we in het sjabloon niet expliciet gemaakt naar welke aspecten we kijken. Ik weet ook niet of je dit op de vierkante milimeter moet dichttimmeren. Waar we in het algemeen naar kijken is het volgende:

- Is informatie te delen/werk over te nemen bij afwezigheid van personeel?

- Audittrail?

- Aantal gebruikte opslagmedia?

- Staat informatie in-house of extern? Is er in het laatste geval een contract? Wat is daarin geregeld?

- Back-up?

- Versiebeheer?

Het hangt ook af van het werkproces en het opslagmedium dat we bespreken.

Reactie van Marieke Klomp op 8 Januari 2015 op 12.50: @Mike, daar heb je gelijk in. Het is inderdaad geen substitutie in de wettelijke betekenis.

Reactie van MGroels op 8 Januari 2015 op 12.04: @Marieke: Bedankt voor je bericht, ik ben benieuwd naar je antwoord(en).

Ter nuancering: het hoeft niet per se een substitutievraagstuk te zijn. In grotere mate zijn het opslagmedia (of backofficeapplicaties) waarin zich enkel digitaal geboren informatie bevindt.

Reactie van Marieke Klomp op 7 Januari 2015 op 17.01: @Anje, in antwoord op jouw capaciteitsvraag:

De eerste keer hebben DFZ/SA per afdeling 30 uur gespendeerd (gemiddeld) voor het opstellen van de risicoanalyse. We hebben niet gemeten hoeveel tijd de afdelingen erin gestoken hebben. Zij hebben voornamelijk deelgenomen aan gesprekken (interviews en terugkoppeling) en resultaat gereviewd. Ik schat dit op 8-10 uur per afdeling.

Voor de actualisatie hebben we als tijdsinvestering vanuit DFZ 10 uur per afdeling uitgetrokken (gemiddeld).

Belangrijk is je te realiseren dat deze risicoanalyses een quick-scan zijn. Het beeld dat je krijgt is op grote lijnen, niet op de vierkante centimeter. Dat is wel wat afdelingshoofden belangrijk vinden: vaar ik in grote lijnen goed of niet?

Hoeveel processen hebben wij geïdentificeerd: een paar honderd. Ik weet niet precies hoeveel en we hebben ze ook niet geteld.

Je vraagt of dit haalbaar is: voor een archiefinspectie alleen niet. DFZ en SA hebben het in de eerste ronde samen gedaan, waarbij DZ de meeste mankracht 'leverde'. Als je dit als 'externe' archiefdienst wil gaan doen: zet dit dan (per gemeente?)samen op met de afdeling DIV/ICT/Informatiemanagement.

Reactie van Marieke Klomp op 7 Januari 2015 op 16.51: @Mike: bedankt voor je reactie. Erg leuk. Het gaat me niet lukken om op al je vragen in één keer te reageren. In de loop van de week zal ik proberen om op alle punten een zinnige reactie te geven : )

Hier in ieder geval alvast een reactie op je vraag wanneer informatie dermate geborgd is dat je opslag op een andere plaats achterwege kunt laten en je opmerking dat dit sjabloon daar niet waarschijnlijk niet geschikt voor is. Daar is dit sjabloon niet voor bedoeld en inderdaad niet geschikt voor. Deze risicoanalyse heeft meer de aard van een quick-scan en gaat niet diep genoeg om daar een substitutievraag (want dat is het volgens mij) op te baseren. Daarvoor moet je een opslagmedium diepgaander onderzoeken. Qua suggestie om dit aan te pakken sluit ik me aan bij de suggesties van Anje.