BREED - over de grenzen van informatie

NETWERK VOOR DE INNOVATIEVE INFORMATIEWERKER

Risicoanalyses

In 2013 is de Gemeente s-Hertogenbosch begonnen met het uitvoeren van risicoanalyses op het gebied van informatiebeheer. De risicoanalyses worden jaarlijks uitgevoerd. Al doende leert men, dus op basis van de ervaringen van vorig jaar hebben wij onze manier van werken proberen te verbeteren. In deze blog wil ik graag de ervaringen van het project van de afgelopen twee jaar delen.

Project 2013-2014

Van medio 2013 tot en met april 2014 hebben de afdelingen Stadsarchief, Documentaire en Facilitaire Zaken (DFZ) en het Programmabureau Zaakgericht Werken (ZGW) voor het eerst in goede samenwerking met de afdelingen gemeente breed risicoanalyses op informatiebeheer uitgevoerd. Doel van de risicoanalyses was om voor afdelingen inzichtelijk te maken binnen welke processen ze bij informatiebeheer op politiek, juridisch, financieel en cultuurhistorisch vlak risico liepen.

Aanpak

Per afdeling is een risicoanalyse gemaakt. Het afdelingshoofd DFZ heeft samen met de projectleider alle afdelingshoofden aangeschreven. De afdelingshoofden hebben vervolgens materiedeskundigen aangewezen: proceseigenaren en andere sleutelpersonen binnen de afdeling. Met deze mensen zijn interviews gehouden. Daarin zijn de primaire processen in kaart gebracht. Vervolgens is per proces bekeken welke informatie eruit voortvloeit, waar die informatie is opgeslagen en op welke wijze deze informatie beheerd wordt. Op basis daarvan is per proces een inschatting gemaakt van het risico dat de afdeling loopt. Vervolgens zijn de analyses voor hoor en wederhoor voorgelegd aan de geïnterviewden en daarna gepresenteerd aan het afdelingshoofd. Tijdens deze presentatie wordt de analyse besproken en worden concrete acties afgesproken. Na de presentatie wordt de analyse eventueel aangepast en vastgesteld.

Resultaten en leerpunten

Tijdens het uitvoeren van de analyses hebben wij van bijna alle afdelingen alle medewerking gekregen. Men stond in het algemeen positief tegenover het uitvoeren van de analyse. Men was zich bewust van de verantwoordelijkheid voor het informatiebeheer, maar men had weinig beeld bij wat dat inhoudt. Veel afdelingshoofden voelden zich geholpen met de analyse. Ten eerste kreeg men meer inzicht in wat archivering inhoudt. Ten tweede omdat in de analyses heel duidelijk naar voren kwam op welke punten het informatiebeheer goed georganiseerd is en waar actie nodig is. Dit maakt dat afdelingen gericht en efficiënt acties kunnen ondernemen en risico’s kunnen indammen. Het uitvoeren van de risicoanalyses heeft ook bijgedragen aan een verbetering van de positie en imago van het Stadsarchief en DFZ binnen de organisatie. Het biedt het Stadsarchief aanknopingspunten voor de archiefinspectie. Het biedt DFZ een tool om de afdelingen gericht te ondersteunen bij hun informatiebeheer. De analyse werd door DFZ/SA uitgevoerd voor een afdeling. Het eigenaarschap van de analyse en het initiatief voor het oppakken van de actiepunten ligt bij de afdeling. Een punt aandacht blijft wel het vertalen van de bevindingen naar concrete acties en het daadwerkelijk uitvoeren van de acties.

Project 2014-2015

Op basis van onze ervaringen hebben we de aanpak van het project doorontwikkeld. We hebben een aantal belangrijke wijzigingen aangebracht in de werkinstructie en het sjabloon dat we gebruiken. Deze aanpassingen zorgen ervoor dat onze bevindingen duidelijker onderbouwd worden. De kwaliteit van de analyse wordt daardoor beter en dat draagt bij aan een groter draagvlak voor onze bevindingen en acties. Dit zijn de belangrijkste wijzigingen:

We maken nu expliciet twee doorsnedes: per proces en per opslagmedium. Deze doorsnedes zijn aan elkaar gerelateerd.

We hebben de belangen (politiek, financieel, juridisch en cultuurhistorisch) expliciet gemaakt in het sjabloon. Aan ieder belang wordt apart een waarde gehecht. Het belang van het proces wordt daardoor veel duidelijker.
De criteria volgens welke we opslagmedia beoordelen hebben we expliciet benoemd in het sjabloon. Deze worden voor elk opslagmedium ingevuld.
Betrokkenheid van de sectorcontroller. Dit jaar gaan we voor het eerst per sector de analyses bespreken met de sectorcontroller. Daarmee worden de uitkomsten van de risicoanalyses minder vrijblijvend voor de afdelingshoofden.

Sinds 1 oktober is de actualisatie van start gegaan. Op dit moment zijn we druk met het plannen van interviews, het voeren van gesprekken en de eerste terugkoppelingen. Leuk, spannend en vooral: heel leerzaam!

Wat vinden jullie?

Wij proberen, met vallen en opstaan, risicoanalyses op een steeds betere manier te doen. Daarom willen we graag feedback. Wat vinden jullie van het sjabloon en de werkinstructie? Hoe zouden we het beter kunnen doen? Waar lopen jullie binnen je organisatie tegenaan? We horen het graag, want samen weten we meer!

Bijlagen

Werkinstructie risiscoanalyse: Werkinstructie%20risicoanalyse.docx

Sjabloon risicoanalyse: Sjabloon%20voor%20risicoanalyses%20leeg.xlsx

Vind ik leuk

5 leden vinden dit leuk

Opmerking

Je moet lid zijn van BREED - over de grenzen van informatie om reacties te kunnen toevoegen!

Wordt lid van BREED - over de grenzen van informatie

Reactie van MGroels op 7 Januari 2015 op 16.42: @Anje: Ja dat klopt, vandaar ook mijn derde vraag. Ik noemde het omdat Marieke vroeg naar waar we tegenaan lopen in de organisatie. Je kunt wel een risicoanalyse uitvoeren en daarna een RODIN toets, maar wat als een applicatie de toets niet met 100% maar slechts voor 65% slaagt (of 70 of 80). Vandaar de nadruk op wanneer. Moet een backofficeapplicatie aan alle eisen (van welke toets dan ook) voldoen om goed informatiebeheer te kunnen garanderen? Welke risico's kun je nemen?

Dit hangt natuurlijk af van welke processen je in de bepaalde app. afhandelt. Daarnaast ben ik erg benieuwd naar de uitkomsten van een van de toetsen die je noemt op een applicatie als TopDesk. Toevallig wel eens uitgevoerd?

Reactie van Anje van der Lek op 6 Januari 2015 op 15.21: 2082... oeps

Reactie van Anje van der Lek op 6 Januari 2015 op 15.03: @ mike, in reactie op je vraag "Een vraag die daarbij bij ons speelt is wanneer een app. de digitale informatie die het gevat voldoende waarborgt (om beheer op andere - digitale of fysieke - plekken los te laten)": zou je hier geen NEN8082, ED3 of RODIN toets op los kunnen laten?

Reactie van Anje van der Lek op 6 Januari 2015 op 14.58: Hallo Marieke,

Bedankt voor deze bijdrage. Ik denk dat je met deze analyse een goed inzicht krijgt in de informatiehuishouding van de gemeente. Kun je iets zeggen over de capaciteit die deze manier van inventariseren vraagt? Hoeveel tijd ben je er aan kwijt geweest, en hoeveel tijd de betrokkenen in de organisatie? Je hebt het over per proces analyseren, een wens die bij mij ook wel speelt, maar ik vraag me af of dat haalbaar is. Hoeveel processen hebben jullie geïdentificeerd?

Reactie van MGroels op 6 Januari 2015 op 10.07: Hoi Marieke,

Bedankt voor het delen van jullie risicoanalyse-sjabloon. Op zoek naar een tool om het informatiebeheer in grote gemeentelijke (backoffice)applicaties te inventariseren belandde jouw bericht meerdere malen op mijn bureau. Een vraag die daarbij bij ons speelt is wanneer een app. de digitale informatie die het gevat voldoende waarborgt (om beheer op andere - digitale of fysieke - plekken los te laten). Ik ben er niet zeker van dat jouw gedeelde sjabloon daar ook bruikbaar voor is, omdat de risico's in principe geanalyseerd zijn, maar ik ben wel erg benieuwd. Enkele vragen die bij mij opkwamen bij het met natte vingers invullen van het sjabloon n.a.v. de hier gedane inventarisatie:

- Wat wordt precies bedoeld met opslagmedium? Ik kan me zo voorstellen dat hier bijvoorbeeld netwerkschijven of fysieke locaties worden bedoeld. Ik vraag me dan af of jullie (backoffice)applicaties (en/of hun digitale map als opslagplek) als apart opslagmedium beschouwen en dus een risicoanalyse per applicatie maken?

- Hoe bepaal je wanneer een criterium goed is? Wanneer voldoet een opslagmedium aan de eisen om het redelijke te ontstijgen? Is hier ruimte voor subjectiviteit? In de werkinstructie zie ik enkel dezelfde vragen terugkomen als bij de Toelichting in het sjabloon.

- Je schrijft dat "concrete acties" nog een aandachtspunt blijven. Ik ben daarom ook erg benieuwd wat het vervolg is na de risicoanalyses? Gebruiken jullie bijvoorbeeld nog een RODIN toets (o.i.d.) om een verdere verdieping aan te gaan (per proces óf opslagmedium)? Adviseren jullie als DFZ ook in de aanpak voor het verkleinen van de risico's? Ligt daar volgens jullie een rol voor DFZ om het beheer van de informatie mee vorm te geven?