Tweede VNG-leveranciersbijeenkomst vernietigingsfunctionaliteit – naar centrale vernietiging
Op 9 december vond de tweede VNG-leveranciersbijeenkomst plaats over het onderwerp vernietiging, zie o...
Detailniveau op verklaring leverancier na datavernietiging uit SaaS-applicatie
- aug 2022
- Dick de Heer
- ·
- Aangepast 27 jun
- 3
- 67
Samenvatting
Een overheid heeft van een SaaS-leverancier een verklaring van datavernietiging ontvangen. Oké? Neem geen genoegen met zo’n globaal overzicht. Met een gedetailleerder verklaring kan ‘bij gedoe achteraf’ een overheid de adequate verwijdering van de data zelf aantonen. Welke gegevens met welk detailniveau zijn gewenst?
Actie | Wie | Datum uitgevoerd |
Verwijderen data informatiesysteem + fysieke bestanden | Leverancier | datum 1 |
Verwijderen backups van software | Leverancier | datum 1 |
Verwijderen uit monitoring software | Leverancier | datum 1 |
Verwijderen tenant | Leverancier | datum 2 |
Verwijderen testdatabase en productiedatabase | Dienstverlener | datum 3 |
Uitschakelen periodieke datadumps en backups | Dienstverlener | datum 3 |
Verwijderen backups databases | Dienstverlener | datum 3 |
Dit praktijkvoorbeeld vind ik wel een erg globaal overzicht. Nu heeft het Zeeuws Archief als toezichthouder wel voldoende aan zo’n globale verklaring van vernietiging. Tegelijk vind ik dat een overheid het opdrachtgeverschap voldoende body moet geven en mbt het informatiebeheer in control moet zijn. Daarom zou - in mijn ogen - een overheid met zo’n globaal overzicht geen genoegen mogen nemen en bij de leverancier een gedetailleerder verklaring van vernietiging moeten opvragen. Daarmee kan zo’n overheid ‘bij gedoe achteraf’ zelf de adequate verwijdering van de data aantonen.
=> Hoe gaan andere archiefdiensten met dit issue om?
Een andere optie is: Een overheid vindt een globale verklaring van vernietiging voldoende, want ‘bij gedoe achteraf’ kan deze terugvallen op de verwerkersovereenkomst met de leverancier (die op zijn beurt met een dienstverlener of toeleverancier ook zo’n OVK heeft).
=> Is het wenselijk dat een overheid ‘bij gedoe achteraf’ afhankelijk is van een bedrijf waar het geen cliënt meer is?
Als we dan een gedetailleerder verklaring van vernietiging nodig vinden, is de vervolgvraag welke gelogde gegevens daar op zouden moeten staan. Want desgevraagd geeft de leverancier aan dat er snel discussies ontstaan over het detailniveau van logging of rapportages. De leverancier daarom ziet graag een voorbeeld van het Zeeuws Archief en geeft aan dat het waarschijnlijk meerwerk zal worden.
Dat laatste vind ik merkwaardig en wekt bij mij geen vertrouwen, terwijl daarin natuurlijk de crux zit. Nog niet vermeld is dat dit balletje ging rollen toen op de verklaring een verkeerde gemeentenaam stond. Blijkbaar bevatten de administratieve processen bij de SaaS-leverancier onvoldoende controles.
Zonder vertrouwen heeft geen enkele verklaring zin, hoe gedetailleerd deze ook is. Het geheel moet vertrouwenwekkend overkomen.
Ik mag aannemen dat in een SaaS-applicatie de beheerprocessen accuraat gelogd worden. Daarom lijkt het mij niet te veel gevraagd dat een leverancier een verklaring van datavernietiging aanlevert met een redelijke mate van detail, waarvan zichtbaar is dat deze (deels) geautomatiseerd zijn vastgelegd.
=> Graag zie ik reactie welke gegevens met welk detailniveau bij andere archiefdiensten gebruikelijk zijn.
Binnen het Zeeuws Archief willen we hiervoor beleid maken. Zo mogelijk stellen we een lijst met vereisten op, maar de toegevoegde waarde en het waarom ervan moeten duidelijk zijn. Daarna willen we onze overheden informeren zodat deze over dit aspect vooraf met hun leveranciers afspraken kunnen maken.
Dank alvast!
Verken
iBestuur magazine 'Actieve Openbaarmaking'
Gisteren is het digitale magazine 'Actieve Openbaarmaking' in samenwerking met Rijksprogramma Duurzam...
Reacties
Dick, ik heb wat moeite om te begrijpen welk probleem je precies probeert aan te kaarten.
Enerzijds zeg je: vanuit mijn rol is dit overzicht voldoende. Tegelijkertijd zeg je: ik vind het wat karig. Maar wat voor informatie mis je dan precies? En je verwijst naar "gedoe achteraf". Aan wat voor gedoe moet ik dan denken?
Inhoudelijk: ik denk persoonlijk dat de waarde die informatie vertegenwoordigt zou moeten bepalen welke eisen je aan een vernietigingsverklaring stelt. Bij informatie met hoge waarde en allerlei risico's en belangen, stel je hogere eisen dan bij flutdata die nauwelijks waarde hebben. Dus als je hier beleid voor gaat maken, dan zou ik adviseren om een aantal scenario's te beschrijven en die te koppelen aan informatiewaarde. Zodat je op maat het meest passende scenario kunt implementeren.
Om het even heel erg te chargeren met twee extreme voorbeelden: bij het vernietigen van zaakdossiers over Europese subsidies, zou ik een uitgebreide verklaring verwachten met metagegevens op zaakniveau. En wellicht bij het afsluiten van het contract ook wat certificaten vragen waaruit blijkt dat ze aan bepaalde ISO-normen voldoen. Het voorbeeld in jouw blog volstaat dan waarschijnlijk niet.
Daarentegen, als je een SAAS-tooltje gebruikt om verkeer op je website te monitoren en in dat tooltje worden delen van IP-adressen van websitebezoekers gelogd, dan zou ik voor het vernietigen van die IP-adressen alleen maar een procesbeschrijving willen hebben waaruit blijkt dat e.e.a. doorlopend, geautomatiseerd wordt vernietigd. En hoef ik daar echt niet dagelijks een verklaring van te hebben met een overzicht van om welke IP-adressen het dan precies gaat en dat de vernietiging weer precies op dezelfde manier is uitgevoerd als gisteren. Het voorbeeld in jouw blog is dan alweer veel te uitgebreid.
Dit alles gezegd hebbende, ik vind het een goede ontwikkeling dat overheidsorganisaties steeds vaker afspraken met leveranciers over dit soort onderwerpen maken. Dat is in het nog niet zo verre verleden ook wel eens anders geweest.
@rensouwerkerk
Dag Rens,
Dank voor je reactie met vragen en voorbeelden.
De kernvraag is of overheden het IT-opdrachtgeverschap voldoende 'stevig' inhoud geven.
Bij de uitfasering van een DMS of zaaksysteem genoegen nemen met zo'n globaal overzicht als waarmee ik de blog begon, vind ik geen sterk ingevuld opdrachtgeverschap. Het gaat over een decennium aan gemeentelijke informatie. Da's geen klein bier.
Zoals in de blog aangegeven mag ik aannemen dat in een SaaS-applicatie de beheerprocessen accuraat gelogd worden. Dus de leverancier kent alle details. Dan lijkt het me niet te veel gevraagd om de desbetreffende overheid een verklaring van datavernietiging te leveren met een redelijke mate van detail, waarvan zichtbaar is dat deze (deels) geautomatiseerd zijn vastgelegd.
Daarbij huldig ik de visie dat een overheid voor de eigen informatiehuishouding verantwoordelijk is en het opdrachtgeverschap sterk invult. Daarbij hoort dat de uitfasering van een DSM of zaaksysteem adequaat wordt gedocumenteerd: Het plan vooraf, de afspraken, de afwijkingen daarvan in de uitvoering, eventuele herstelacties en een passende afrondende verklaring.
Wij - de toezicht houdende gemeentearchivaris - controleren niet alleen de ontvangen verklaring. Gaande in het traject adviseren wij erover en dringen wij aan op het documenteren ervan, zodat de afrondende verklaring met de nodige bijlagen ook echt waarde heeft.
Met het begrip 'gedoe achteraf' doel ik op gevoelige informatie - zakelijke belangen, privacy van inwoners, ed - die vernietigd is, maar toch weer ergens boven water komt. Bij digitale info is die kans groter dan bij papier. Deze plek vind ik minder geschikt om daarvan voorbeelden te noemen.
Mijn punt is dat overheden er goed aan doen op de situatie voorbereid te zijn dat zo'n globale verklaring van vernietiging van een leverancier niet meer als vrijwaring functioneert onder druk van de publieke opinie en/of de impact van (social) media. Voor die momenten moeten overheden gedetailleerder verklaringen van vernietiging hebben, waarmee de adequate verwijdering van de originele data aangetoond - of tenminste aannemelijk gemaakt - kan worden.
Vandaar mijn vragen:
=> Hoe gaan andere archiefdiensten met dit issue om?
=> Is het wenselijk dat een overheid ‘bij gedoe achteraf’ afhankelijk is van een bedrijf waar het geen cliënt meer is?
=> Graag zie ik reactie welke gegevens met welk detailniveau bij andere archiefdiensten gebruikelijk zijn.
Dank alvast 🍦 🎶
@rensouwerkerk
Interessante vraag en ik vind het eerlijk gezegd - net als Dick - ook wat mager, als ik kijk naar de eisen die wij bij ons stellen voor vernietigingslijsten. Daarbij heeft Rens wel een punt als hij zegt dat risicomanagement een factor is die je mee moet wegen, om het beheersbaar te houden.
Ik vraag me af of IT-leveranciers ons beter zouden begrijpen als we zeggen dat we voor deze processen/procedures een specifieke audit trail willen, op basis waarvan je redelijkerwijs kan aantonen dat en wanneer iets vernietigd is (of niet). En die 'redelijkerwijs' is dan bepaald door risicoafwegingen.
We ontkomen er dan niet aan om de elementen van de audit trail te benoemen, overigens. Daarvoor moeten we samenwerking gaan zoeken met een IT-auditor, denk ik.