4. Vernietigingsrequirements

Bijsluiter
Toepassing: Dit zijn functionele eisen die als input kunnen dienen voor een programma van eisen voor de inkoop of ontwikkeling van een nieuw informatiesysteem. Deze eisen zijn bedoeld als template die door organisaties vertaald kunnen worden naar hun eigen situatie, toegespitst op het type applicatie dat wordt aangeschaft.
Waar mogelijk, worden er meerdere oplossingsopties aangedragen waarin organisaties binnen een project zelf een keuze kunnen maken.

Scope: Het vernietigingsproces binnen of behorende bij een informatiesysteem.

Doelgroep: Medewerkers die zich bezighouden met archiving by design en betrokken zijn bij de aanschaf van een nieuw informatiesysteem.

Hoe is dit tot stand gekomen: Tijdens de werkgroepbijeenkomst van 14 januari 2020 is een start gemaakt met het uitwerken van requirements voor vernietigen. Het vernietigingsproces is uitgetekend. De volgende stappen onderscheiden we:
1. Opstellen vernietigingslijst
2. Aanbieden vernietigingslijst ter accordering; afhankelijk van de situatie kunnen dit 1 of meerdere accorderingsslagen zijn
3. Uitzonderen van vernietiging
4. Uitvoeren van de vernietiging
5. Verantwoorden van vernietiging

Dit document kent de volgende uitgangspunten:
· Een minimale set aan metagegevens ( beschreven in eis 2) , waaronder de bewaartermijnen is toegekend aan de informatieobjecten.
· In onze definitie onderscheiden we het informatieobject en de bijbehorende metagegevens. Dit maakt de eisen duidelijker en daarmee ook beter uitvoerbaar.


De requirements

1. Overzichten
Van informatieobjecten die voor vernietiging in aanmerking komen moet een overzicht kunnen worden gecreëerd.

Subeis 1: opbouw overzicht
Optie 1: Definieer welke metagegevens tenminste in het overzicht moeten staan. Denk hierbij minimaal aan: unieke identifier, begin- en einddatum, betrokkene, het onderwerp, bewaartermijn en grondslag voor bewaring.
Optie 2: Stel de eis dat op basis van in het systeem aanwezige metagegevens, de beheerder zelf een overzicht kan samenstellen.

Toelichting: Bovengenoemde metagegevens zijn generiek. Afhankelijk van het gebruikte informatiesysteem kun je proces- en zaaktypen toevoegen.

Subeis 2: export en vastlegging
Optie 1: Het overzicht wordt binnen het systeem vastgelegd en gefixeerd. Wel is het mogelijk hier een export van te maken.
Optie 2: Het overzicht wordt als document buiten het systeem gecreëerd. Het is mogelijk om gewenste aanpassingen naar aanleiding van de lijst in het systeem door te voeren.

Rationale : Deze overzichten zijn nodig ten behoeve van het interne goedkeuringsproces voor de uitvoering van de feitelijke vernietiging en voor het opstellen van de wettelijke verplichte verklaring van vernietiging.

2. Berekenen vernietigingsjaar
De applicatie is in staat om op basis van eenmalig ingevoerde metagegevens zelf het vernietigjaar te berekenen.

Rationale: Deze wens is met name van belang voor applicaties waarin informatie wordt vastgelegd waarop verschillende bewaartermijnen van toepassing zijn.

3. Uitzonderingen op vernietiging
Uitzonderingen op geselecteerde voor vernietiging in aanmerking komende informatieobjecten met bijbehorende metagegevens moeten zowel handmatig als geautomatiseerd aangepast kunnen worden.

Rationale: Op basis van diverse grondslagen kan bepaald worden om af te wijken van bewaartermijnen, de termijn op te schorten dan wel te verlengen. Om die reden moet het mogelijk zijn de bewaartermijnen handmatig of geautomatiseerd aan te passen.

4. Importeren gewijzigde vernietigingslijst
Het systeem moet gewijzigde vernietigingslijsten kunnen importeren. Tussen het moment van opmaak en de daadwerkelijke vernietiging kunnen er geen informatieobjecten aan de vernietigingslijst toegevoegd worden.

Rationale: De geactualiseerde vernietigingslijst dient ter verantwoording en uitvoer van vernietiging.

5. Feitelijke vernietiging
Informatieobjecten en (ten dele) bijbehorende metagegevens (op verschillende aggregatieniveaus: dossier en onderliggende documenten, bestanden, elementen in een database) moeten onherstelbaar kunnen worden vernietigd op basis van de geactualiseerde vernietigingslijst.

Wanneer voor zoeken en vinden gebruik wordt gemaakt van indexering, dient de index na vernietiging te worden geactualiseerd zodat vernietigde informatie niet meer gevonden kan worden.

Rationale: Feitelijke vernietiging is als plicht vastgelegd in artikel 3 van de Archiefwet. Daarnaast wordt hiermee invulling gegeven aan AVG-conforme databewaring en is beperking van dataopslag een duurzaamheidsmaatregel.
Feitelijke vernietiging is afhankelijk van de risicoklasse, classificering en rubricering van de informatie.

6. Verklaring
Van informatieobjecten met bijbehorende metagegevens die daadwerkelijk vernietigd zijn, moet een overzicht gecreëerd kunnen worden. Denk hierbij minimaak aan het vastleggen van de verantwoordelijke voor vernietiging en wie de vernietiging heeft uitgevoerd, de wijze van vernietiging en vernietigingsdatum.

Optie 1: Het systeem genereert een overzicht van daadwerkelijke vernietigde informatieobjecten met bijbehorende metagegevens. Binnen het systeem zijn deze informatieobjecten en bijbehorende metagegevens niet meer aanwezig.
Optie 2: Binnen het systeem blijven enkele metagegevens beschikbaar, bij wijze van verklaring dat de bijbehorende informatieobjecten daadwerkelijk vernietigd zijn. Deze metagegevens moeten geëxporteerd kunnen worden.

Toelichting: Op basis van de definitieve vernietigingslijst mag de inhoud van het oorspronkelijke informatieobject niet herleidbaar zijn.

Rationale : De metagegevens die opgenomen zijn in de verklaring van vernietiging dienen ter verantwoording van de vernietiging.

7. Back-up-protocol
In het back-up-recovery proces is gegarandeerd dat informatieobjecten en bijbehorende metagegevens niet terug gezet kunnen worden die formeel vernietigd zijn.

Toelichting: Toezicht hierop is geborgd binnen (reguliere) audit- en controlprocessen.

Rationale: Deze requirement is van toepassing indien sprake is van SAAS. Bij on-premise is dit een eis aan de interne beheerorganisatie.