ThemaTiendaagse Online - Terugblik week 1
Maandag 13 januari was de aftrap van de KIA ThemaTiendaagse Vernietiging. Als onderdeel hiervan start...
Vernietigen = ontoegankelijk maken
- jan 2020
- Erik Saaman
- ·
- Aangepast 27 jun
- 13
- 44
In de rode kast bij mij thuis staat een doos met het label “Oude harde schijven, te vernietigen”. Al jarenlang verzamel ik hierin alle harde schijven van onze afgedankte computers. Want ik wil niet dat die bij de kringloop in de verkeerde handen vallen. Dan kunnen ze misschien al mijn passwords vinden. Of mijn geheime briefwisseling met W.A. (wat die soms zegt over M.R.!). Ik moet er niet aan denken. Maar wat moet ik nu doen met die schijven? In de magnetron lijkt me niet zo’n goed idee. Dan maar in een emmer water. Maar voor hoe lang? Oh nee, die schijven zijn waarschijnlijk waterdicht.
Dit probleem kennen de beheerders van digitale archieven ook. Volgens de Archiefwet moet informatie na afloop van haar bewaartermijn vernietigd worden. Maar hoe dan? Voor papier was het gemakkelijk: door de versnipperaar. Dat voldoet aan een bekende activistische definitie voor vernietigen: “zodanig bewerken van de gegevensdrager dat daarvan of daaruit op geen enkele wijze de gegevens die erop zijn vastgelegd kunnen worden gereconstrueerd.” Maar hoe werkt de digitale versnipperaar. Hoe bewerk je digitale informatie zodat deze op geen enkele wijze te reconstrueren is?
Als ik bijvoorbeeld in Windows een bestand ‘verwijder’, dan is hij niet echt weg. Je ziet het bestand weliswaar niet meer in de lijst staan. Maar de informatie staat nog wel steeds op de harde schijf. Totdat de ruimte nodig is voor andere bestanden. En dan is er ook nog een back-up. En kopietjes die ik aan iemand heb gemaild. Is dat erg? Tja, dat ligt aan de reden waarom je het bestand wilt vernietigen. Als ik ruimte wilt maken, dan is het voldoende. Als ik mijn geheime briefwisseling wilt verbergen voor de pers, dan is het niet voldoende. Dan moet ik alle informatie op de schijf meerdere keren overschrijven. En de back-up ook.
Digitaal vernietigen is dus geen handeling met een eenduidig resultaat. En al helemaal niet met een eenduidige methode zoals de papierversnipperaar. Wat vernietigen is ligt er maar net aan waarom de informatie vernietigd wordt. In het concept voor de nieuwe Archiefwet staat het heel mooi: tref passende maatregelen. Waar het om gaat is dat informatie na vernietiging niet meer ingezien kan worden. Daarom stel ik voor het vernietigen van informatie te definiëren als het ontoegankelijk maken van die informatie. En net zo goed als toegankelijk een relatief begrip is, is vernietigen dat ook.
Maar nu weet ik nog steeds niet wat ik met die harde schijven in de rode kast moet doen.
Verken
#daaromarchiveren: GGD-directeur laat naam Tata Steel uit longkankerrapport schrappen
Weer een sprekend voorbeeld in het nieuws. Dus ook conceptversies archiveren: "In eerdere versies ston...
‘Ketensamenwerking’: plus ça change, of yes we can?
Dit is een blog in de reeks van KIA over actuele onderwerpen in ons vakgebied, zoals de nieuwe Archief...
Reacties
In principe eens, maar volgens mij moeten we gewoon stoppen met het vernietigen (of ontoegankelijk maken;) van gegevens als er niet sprake is van privacygevoelige informatie.
Het principe van vernietigen van archiefbescheiden is waarschijnlijk ooit vanuit praktische overwegingen, zoals ruimte gebrek in archiefruimtes of een gebrek aan overzicht door een overvloed aan materiaal, geïntroduceerd. In onze moderne tijd met slimme zoekmachines en goedkope opslag zou dat geen overweging meer hoeven zijn.
Zou een mooie wijziging zijn om mee te nemen in de nieuwe archiefwet...
Op zich een interessante gedachte Eric. Echter, of dit voorstel praktisch en juridisch houdbaar en wenselijk is, is een ander verhaal. Vanuit jurispredentie (uitspraken diverse rechtbanken/Raad van State) is nu de praktijk dat als een een document zich onder een bestuursorgaan bevindt - ook al moet je daarvoor heel veel moeite doen, en al had het document volgens de selectielijst al vernietigd moeten worden - je dit ook moet vrijgeven onder de WOB, als het tenminste niet onder een van de uitzonderingsgronden valt. Als je jouw interpretatie van vernietigen zou volgen, zou in elk geval klip en klaar duidelijk (jurisch dichtgetimmerd) moeten worden of na jouw manier vernietigen documenten nog onder de WOB vallen. Daarnaast, volgens mij zijn er toch al tools en bedrijven op de markt die digitaal 100% veilig vernietigen.
Ik ben het wel met Erik eens dat vernietigen in een digitale wereld niets anders is dan het (permanent) ontoegankelijk maken van informatie. Zeker binnen het gegevenslandschap, waarbij bepaalde brongegevens technisch gezien onderdeel uitmaken van verschillende informatieobjecten in verschillende processen. Daadwerkelijke vernietiging van dergelijke gegevens is simpelweg niet mogelijk als je a la Common Ground met bronregisters werkt. Je kunt wel lijntjes doorknippen.
Wat betreft de nieuwe Archiefwet ben ik, in relatie tot vernietigen, dan weer minder enthousiast. Dat zit vooral in het gebruik van de term 'documenten' en de daarbij gehanteerde definitie, die er vanuit gaat dat gegevens altijd in een bepaalde samenhang bestaan. Dat is volgens mij namelijk niet zo. Je hebt ook nog zoiets als ruwe data en dan is die samenhang er nog niet of niet meer. En door het ontbreken van samenhang, vallen deze gegevens niet binnen de scope van de Archiefwet. Terwijl ze praktisch gezien wel bestaan en dus ook beheerd moeten worden. En binnen een modern gegevenslandschap zou je een los gegeven misschien pas kunnen vernietigen als er geen enkele potentiële relatie met andere gegevens (meer) is.
In de oude wet staat tenminste nog de constructie 'ongeacht de vorm', waardoor je kon uitleggen dat ruwe data ook archiefbescheiden waren. Dat kan nu niet meer. Ik snap wel de overweging om de term 'document' te omarmen, omdat de wet zo beter op andere wetten aansluit, maar het onbedoelde effect is dat een (toenemend) deel van de overheidsinformatie ineens buiten scope van de wet valt. Hopelijk wordt dit nog aangescherpt. Zou het bijvoorbeeld een optie zijn om 'documenten' en 'gegevens' gewoon allebei te benoemen in plaats van net te doen of gegevens ook documenten zijn? Zit ook nog een strategisch dingetje aan: ik hoor leveranciers van informatiesystemen nu soms al zeggen dat de Archiefwet alleen over documenten gaat en niet over data. Die misvatting vesterk je op die manier en dat los je m.i. alleen op door de datakant veel explicieter in de wettekst te benoemen.
@ Gerard: mooi idee alles bewaren, dan heb je alles altijd toegankelijk. Maar volgens mij is het vernietigen niet ingesteld vanuit ruimte gebrek. Er is juist altijd gekeken naar wat moet er bewaard worden. En om 2 redenen:
1. het administratieve belang: dus hoe lang heb ik deze informatie nog nodig om er op terug te kunnen kijken.
2. het culturele belang
Het eerste punt maak ik me geen zorgen over, vaak is het administratieve belang van korte duur en je vindt de informatie die je nodig hebt wel terug. Zeker als je alles bewaard. Het culturele belang is lastiger. Het lijkt mooi om alles te bewaren. Zo kunnen bijvoorbeeld historici alle informatie onderzoeken. Maar wat je graag wilt als onderzoeker is kijken welke rol de overheid heeft gehad in processen binnen de samenleving. Door zaken te vernietigen komen structuren beter naar voren en kan er gerichter onderzoek gedaan worden dan bij een grote massa aan informatie.
Hoe zie jij het praktisch voor je als alle data wordt bewaard? Krijgt iedere gemeente of provincie een grote database voor alle informatie, blijft het in de huidige systemen staan, zetten we het in de cloud of moet dit landelijke georganiseerd worden?
@Gerard: Ik ben het met je eens dat vernietigen heel vaak niet nodig zal zijn. Maar daar hoeft de Archiefwet niet voor aangepast te worden. Dat kan nu ook al. Maar wel even in een selectielijst opnemen. Dan weet iedereen waar hij aan toe is.
@Emiel: Inderdaad, als een vernietigd informatieobject toch nog (met enige moeite) te herstellen is, dan kan het met de WOB opgevraagd worden. Nou en? Als er een heel goede reden voor vernietigen was, dan zal er meestal ook wel een goede reden zijn om inzage via de WOB te weigeren. En anders geef het toch gewoon. Je vernietigd toch niet alleen om onder de WOB uit te komen?
@Rens: Weg met 'document'!!! (is dat ook vernietigen :-)). Informatieobject is een veel betere term die goed aangeeft waar het om gaat (vastleggen van informatie) en die overduidelijk 'ongeacht vorm' is.
Alice, volgens mij klopt het niet dat je door vernietigen beter onderzoek kunt doen in grote hoeveelheden informatie. Dat is een papieren gedachte. Bij papier moet je de hele berg doorwerken om te vinden wat je nodig hebt. Dan helpt het inderdaad als minder belangrijke stukken verwijderd zijn.
Maar bij digitale informatie kun je zoektechnieken toepassen om die minder belangrijke informatie weg te filteren. Want als je regels hebt om onderscheid te maken tussen 'belangrijk' (blijvend bewaren) en 'onbelangrijk' (te vernietigen), dan kun je diezelfde regels ook gebruiken om bij jouw onderzoek de onbelangrijke informatie weg te filteren.
Daar komt nog eens bij dat die onbelangrijke informatie bijvoorbeeld voor statistisch onderzoek wel belangrijk kan zijn.
Herkenbaar dilemma Erik. Waar ik nieuwsgierig naar ben, je noemt email al, maar vind jij de 'netwerkschijven' of 'fileshares' ook onder het digitale archief vallen? Of alleen de gevormde collectie onder beheer?
De overheid heeft inmiddels nogal een aardige berg verzameld die op een gegeven moment onbeschikbaar moet worden gemaakt. In ieder geval werk gegarandeerd om dat enig sinds netjes op te ruimen ;-)
Vernietigen in het digitale tijdperk is technisch goed mogelijk, kijk maar naar bijvoorbeeld de functie van DBAN. Qua kosten (slijtage, stroom, workload) was dit vaak niet heel levensvatbaar voor grote schaal en wordt inderdaad meestal afdoende gedaan met het "doorknippen van lijntjes". Zeker als je informatie in een cloud-omgeving, dus buiten je eigen beheer, hebt geplaatst, is vernietigen niets meer dan dat doorknippen van lijntjes en data aanmerken als overschrijfbaar.
De wet is duidelijk. Loshalen van de link tussen metadata en bestanden is geen afdoende vernietiging. Volgens Rodin is dit dan wel weer toegestaan juist om vernietigingslijsten op te kunnen stellen. Ook back-ups zijn een bijzondere spil in het onderdeel van vernietiging: technische retentie van data zal altijd na vernietiging doorlopen (zeg een paar maanden)... Is er dan wel echt vernietigd, zelfs als het afdoende is om enkel de lijntjes door te knippen? De informatie kan tenslotte gereconstrueerd worden.
Misschien dat cryptografie een wat meer elegantere oplossing biedt voor het vernietigen van informatie, zie bijvoorbeeld https://en.wikipedia.org/wiki/Crypto-shredding
ps: Over je harde-schijven collectie: gooi ze in je kofferbak en ga een uurtje over een bolderpad rijden en je hebt ze al zo onleesbaar als wat. Is in het verleden ook wel eens gebeurd met migratie van servers naar een nabijgelegen pand bij een organisatie in Nederland.
Mooie discussie.
Nu met allerlei IT-methoden zelfs geshredded papier weer reconstrueerbaar is (Zylab deed dat jaren geleden al met de geshredde Stasi-archieven) blijft het voor alle dragers een interessant probleem.
Feitelijk is de enige gegarandeerde oplossing: de hens er in. Los van allerlei duurzaamheids- en milieu-overwegingen, is het ook niet haalbaar. Al was het maar omdat je niet de fik kunt steken in een vernietigbaar deel van een database, zonder de rest mee te nemen.
Zolang we ook vernietigen vanuit het argument 'de kast is vol' (officieel: 'we hebben het niet meer nodig voor de bedrijfsvoering') en niet alleen uit principiële redenen zoals privacy, zou je wellicht onderscheid kunnen maken op basis van risicoanalyse: als iets weg kan vanwege 'bedrijfsvoering', dan zouden we kunnen volstaan met de delete-knop. Want hoe erg is het dat de financiële gegevens van 8 jaar geleden toch weer reconstrueerbaar zijn (daarom ben ik het ook eens met je antwoord op Emiels - overigens terechte - vraag)? Als het op privacy oid gaat, zouden we mogelijk een strenger regime moeten hanteren. Wellicht maakt dit de afwegingen beter hanteerbaar?
Overigens ben ik blij met je tegenwerpingen bij het argument dat vernietiging nodig zou zijn voor het toegankelijk houden van informatie. Ik roep al sinds 2006 dat het een onzin-argument is en ik word er best wel een beetje gelukkig van dat dat idee ook binnen het NA voet aan de grond heeft gekregen ;-)
En je eigen schijven? Zou een goede magneet niet voldoende zijn? De AIVD, overigens, kent een set eisen voor het fysiek shredden van harde schijven. Maar je zou ze ook kapot kunnen slaan, zoals in de openingsscène van de film Argo: https://youtu.be/jFrmYruBofY?t=1m1s
Johannes, Zeker vallen netwerkschijven en fileshares onder het digitale archief van een overheidsorganisatie. Alle (vastgelegde) informatie die een organisatie ontvangt of maakt bij het uitvoeren van haar taken valt daar onder. Waar die informatie bewaard wordt of welke vorm het heeft doet niet te zake. Wat natuurlijk niet wil zeggen dat al die informatie even belangrijk is en op hetzelfde niveau beheerd moet worden. Ook hier geldt: de organisatie moet passende maatregelen nemen om de informatie duurzaam toegankelijk te maken en houden.
ontoegankelijk maken = NIET vernietigen.
dit is alleen omdat er geen of weinig controle meer is over de information overload die een organisatie of persoon heeft.
voor al intends and purposes is het wel vernietigd voor een niet geaotoriseerd persoon. maar zolang een iemand nog toegang heeft tot de data/informatie (ICT/manager/archiefguru) kan er geen sprake zijn van vernietiging.
dit zou ook inhouden dat er nog een hoop ongeclassificeerde data in je rode kast aanwezig is waarbij al dan niet de context hiervan aanwezig is (ook een vorm van ontoegankelijk maken).
het opnieuw formatteren en of overschrijven van informatie (versiebeheer) is een mogelijkheid digitaal.
eigenlijk moet je met vernietigen ook denken aan verbranden,vermorzelen,compressen (niet digitaal) of demonteren.
met het eventuele risico dat er ook altijd weer wat in elkaar gezet kan worden.
eigenlijk is het digitaal tegenwoordig zo dat je de tekening op de doos en de doos weggooit maar doordat je publieke informatie/data dusdanig is gekopieerd kan je met genoeg puzzelstukjes een hele redelijke reconstructie maken van de tekening en de puzzel die het zou moeten zijn.
Opvallend. In de reactie op de concept Archiefwet 2021 van de Hogeschool van Amsterdam (ook namens Universiteit van Amsterdam en Reinwardt Academie) is de suggestie opgenomen om vernietigen als volgt te definiëren:
Vernietigen: het ontoegankelijk voor gebruik maken van documenten door deze fysiek teniet te doen of logisch ontoegankelijk te maken onder toevoeging van het predicaat (metagegeven) ‘vernietigd’;
Dat komt al heel erg in de buurt van mijn voorstel. Zie https://www.internetconsultatie.nl/archiefwet/reactie/945a9d2c-20d1-492c-bd8b-18320100c8cb voor de hele reactie.
als ik nu de volgende stelling doe:
ontoegankelijk maken = een stap in het proces vernietiging.
en mijn vraag is; op welke plek staat deze stap?