Reflectie op risicobeoordeling DUTO
- 22 mei
- Wap Caron
- 3
- 525
- 2
Beste collega's,
Met veel interesse en plezier heb ik de conceptdocumenten gelezen. Graag wil ik hierop reflecteren.
Wat me opvalt is dat risicobeoordeling tot nu toe vooral gefocust is op een applicatie of een werkproces en niet is gefocust op de informatie zelf of de (kwaliteiten van) medewerkers, die de DUTO - processen vormgeven of een (DUTO-)applicatie beheren, bijvoorbeeld.
Er zijn meerdere kwaliteitskaders voor informatie beschikbaar, zoals de 6 DUTO - kenmerken en de NEN - ISO 15489 (4 kenmerken van gezaghebbende archiefstukken) om in een risicobeoordeling te gebruiken.
En de Handreiking Archiving by Design van het Nationaal Archief biedt concrete aanknopingspunten om de kwaliteiten van medewerkers te kunnen meten (module Wat moet je weten en kunnen?).
Gezien het enorme belang van informatie, als 'brandstof' voor onze organisaties, en het belang van medewerkers als 'ambassadeurs' van onze organisaties (in tegenstelling tot de mens als zwakste schakel), is mijn vraag: Is het een goed idee om informatie en medewerkers op te nemen in een handreiking voor risicobeoordeling?
Het zou een handreiking wel meer volledig maken, denk ik, omdat dan applicatie en informatie, werkproces en medewerker integraal worden onderzocht.
Graag hoor ik jullie reactie op mijn idee. Bij voorbaat dank.
Verken
Wat zijn de raakvlakken van BIM-informatie en duurzame toegankelijkheid?
sep 2024Verkenning Het adviesrapport 'Raakvlakken tussen BIM-informatie en duurzame toegankelijkheid' is het r...
Uniek identificatiekenmerk aan informatieobjecten
apr 2024Samenvatting: Ik heb een vraag over unieke identificatiekenmerken aan informatieobjecten.
DUTO-update: eerste stappen
apr 2022Zoals eerder werd aangekondigd in een blog op KIA, zijn we bij het Nationaal Archief bezig met de actu...
Reacties
Hoi Wap, bedankt voor je reflectie, fijn dat je de stukken (hier te vinden, inclusief een nieuwe module 'Quickscan') met plezier hebt gelezen. Over je suggestie rondom de focus op informatie en medewerkers gaan we eens even goed nadenken!
hallo Wap,
ik ben enorm fan van de mens. Van welke mens wil je de kwaliteiten meten? Als ik de Handreiking archivering by design opensla zie ik dat de competenties en kennis vooral gericht lijken te zijn op 'ons soort mensen'?
Zoals beloofd hebben we nog eens goed nagedacht over je reflecties rondom onze handreiking. Slotsom is dat we het eens zijn met je reflectie over wat er bij een risicobeoordeling meegenomen moet worden, en dat we denken dat deze behoeften op een goede manier geborgd zijn in de methodiek die we voorstellen. Hieronder geef ik aan hoe we dat precies voor ons zien. Ben benieuwd naar je reactie!
Medewerkers en hun kwaliteiten
Je geeft aan dat je de (kwaliteiten van) medewerkers niet terug ziet komen. Deze handreiking bouwt voort op het DUTO-raamwerk en daarin werken we met een brede definitie van informatiesysteem: niet alleen hardware en software maar ook processen en de mensen die die processen uitvoeren. Vanuit die optiek moeten medewerkers dus ook in beeld zijn, dat zijn we met je eens.
In het stappenplan DUTO-risicobeoordeling beschrijven we verschillende benaderingen die verschillende inzichten verschaffen over informatiesystemen (inclusief medewerkers). Een van die mogelijke benaderingen is een thematische. Dan kijk je over meerdere bedrijfsprocessen heen of een specifiek deel van het DUTO-raamwerk (zoals een DUTO-proces of een organisatorische randvoorwaarde) goed is ingevuld. Een van de randvoorwaarden in het DUTO-raamwerk is dat er voldoende en deskundig personeel is, een andere is dat er voor dat personeel ook opleiding en training beschikbaar zijn.
Ik kan me dus prima voorstellen dat je het stappenplan risicobeoordeling gebruikt om specifiek de risico’s in kaart te brengen die ontstaan wanneer een organisatie aan die randvoorwaarden niet voldoet. Dat lijkt me een volkomen legitieme invulling van het idee DUTO-risicobeoordeling, naast andere mogelijkheden die meer naar technische functionaliteiten kijken. De handreiking die je noemt (Archiveren by design, module wat moet je weten en kunnen) kan daarbij een startpunt zijn. We kunnen dit voorbeeld misschien meenemen in het kennisproduct als mogelijke invulling van het stappenplan.
Kwaliteit van informatie
Je geeft ook aan dat de kwaliteit van informatie niet bekeken wordt. We weten niet 100 procent zeker wat je daar precies mee bedoelt.
Dat eerste lijkt ons buiten scope. Maar dat tweede brengen we wel degelijk in kaart door te kijken naar die informatiesystemen waar die informatie zich in bevindt. Dat doen we aan de hand van het DUTO-raamwerk waar ook de DUTO-kenmerken in terugkomen en dat daarnaast gebruik maakt van de 15489 die je noemt. De DUTO-processen in het DUTO-raamwerk die nodig zijn om de duurzame toegankelijkheid van informatie-objecten te waarborgen, zijn van die 15489 afgeleid. Wij denken dus dat kwaliteit van informatie goed geborgd is in de methodiek voor risicobeoordeling die we voorstellen.
Het klopt op zich dat we niet per informatie-object gaan kijken of het vindbaar beschikbaar leesbaar betrouwbaar interpreteerbaar en toekomstbestendig is. Maar die informatie-objecten kunnen alleen aan die kenmerken voldoen als er passende maatregelen zijn genomen voor duurzame toegankelijkheid in de systemen waar ze zich in bevinden. Dat wil zeggen: passende functionaliteit in applicaties om DUTO-processen te ondersteunen en een passende invulling van organisatorische randvoorwaarden. De handreiking DUTO-risicobeoordeling helpt om in kaart te brengen of die zaken op orde zijn (en zo niet, wat daarvan de implicaties zijn) en zegt dus wel degelijk iets over de kwaliteit (in de zin van: de duurzame toegankelijkheid) van overheidsinformatie.