Beperken opslagcapaciteit mailboxen / e-mail / Outlook

Hoi Barbara, los van wat praktisch de technische implicaties zijn, zou ik in eerste instantie vooral nog eens goed de vraag stellen: Welk "probleem" ziet Tilburg University als het gaat om archivering van e-mails? En in hoeverre is een sleutelfunctionarissen methodiek daar een oplossing voor? Bij DNB hebben we ervoor gekozen om juist níet te werken met sleutelfunctionarissen. Capstone draagt naar onze smaak niet bij aan duurzame toegankelijkheid, juist eerder tot afname ervan.

Terug naar jouw scenario's, ik kan me voorstellen dat het beperken van de opslagcapaciteit een impuls kan vormen voor medewerkers om relevante e-mails in dossiers te zetten. Wij hebben hier niet voor gekozen. Wel voor retentie van tien jaar (mogelijk in de toekomst omlaag), wat ook een incentive kan vormen voor medewerkers om e-mails duurzaam in het dossier op te slaan.

Hoi Sjoerd,

Dankjewel voor je reactie. Ik ben bekend met de keuze van DNB en het heeft mij erg geholpen om te kunnen beargumenteren waarom we dat niet moeten gaan doen :) Ik wilde hier niet te diep ingaan op de scenario's (die ik beter fases kan noemen), hoewel ik die dus zeker wil delen met mijn vakgenoten en feedback op onze keuzes zeer welkom zijn.
Ik stel voor de capstone iets aan te passen, met een bewaartermijn van 10 jaar voor e-mail van sleutelfunctionarissen. In eerste instantie is dat vooral een retentietermijn (fase 2): er wordt dan nog niets gearchiveerd buiten procesarchivering om (vanaf fase 1), maar na 10 jaar wordt de e-mail wel automatisch verwijderd. Precies dus hoe jullie het ook hebben geregeld! Hoe zijn jullie gekomen tot een termijn van 10 jaar, en met welke overwegingen gaat die misschien omlaag? Hebben jullie dat ergens beschreven en kun je dat met mij delen?

Ha, mooi om dat te horen! Mijn beeld is dat de meeste organisaties toch nog altijd op de capstone trein zitten.

Over de 10 jaar: We sluiten hierbij aan op wat de ECB doet. De 10 jaar is voor ons een startpunt, in de loop van de komende jaren willen we evalueren wat het effect is en waar we eventueel willen aanpassen. Ook hierin nemen we de ervaringen van de ECB mee, waar ze mogelijk ook omlaag gaan met de retentietermijn op e-mail.

Hoi Barbara, op dit moment ben ik bezig met het opstellen van een beleidsstuk voor de bewaartermijn van functionele en geautomatiseerde e-mailboxen. Ik stel een termijn van 1 jaar voor. Voorwaarde is wel dat e-mailberichten die bij een proces horen ook bij het proces opgeslagen moeten worden. Ik ben wel benieuwd of en hoe dit uiteindelijk in zijn werk gaat bij gedeelte e-mailboxen van bijvoorbeeld een afdeling.

Gegroet Jan-Jaap

Hoi Barbara,

Dank voor het delen van je overwegingen. Je raakt hier een fundamenteel spanningsveld tussen informatiebeheer, organisatiecultuur en risicomanagement.

Het beperken van opslagcapaciteit is in essentie geen technische maatregel, maar een governance-instrument. Het beïnvloedt gedrag. Daarmee verschuift de discussie van “hoeveel GB?” naar “welk informatiegedrag willen wij institutioneel afdwingen?”. Dat is primair een bestuurlijke keuze, geen ICT-keuze.

Een harde opslaglimiet kan effectief zijn als gedragsprikkel, maar introduceert ook reële risico’s. Wanneer retentie automatisch wordt toegepast bij overschrijding, verschuif je van gecontroleerde archivering naar potentieel ongecontroleerd informatieverlies. Dat kan haaks staan op zorgplichten, bewijswaarde en reputatierisico’s – zeker binnen een academische context waar reconstructie van besluitvorming en onderzoekscorrespondentie essentieel kan zijn.

Daarnaast speelt proportionaliteit. Als je (nog) niet werkt met de sleutelfunctionarissenmethodiek, ontbreekt inhoudelijke differentiatie in bewaartermijnen. Een generieke opslagbeperking zonder selectiekader kan dan een grofmazig instrument zijn dat meer frictie dan structuur oplevert.

Ten aanzien van je vragen:

• De maximale opslagcapaciteit is geen objectieve norm, maar een afgeleide van beleid, risicobereidheid en infrastructuur. Veel organisaties hanteren ‘soft caps’: waarschuwingen en interventies, maar geen automatische verwijdering.

• Terugwerkende kracht toepassen vergroot frictie én risico’s. Een overgangsregime met opschoningsperiode ligt meer voor de hand.

• Het risico op informatieverlies is reëel wanneer automatische verwijdering plaatsvindt zonder inhoudelijke selectie. Dat vraagt om duidelijke waarborgen, logging en escalatiemechanismen.

Voor de bestuurlijke discussie kunnen de volgende – bewust scherpe – vragen helpend zijn:

1. Welk concreet risico willen we mitigeren: opslagkosten, AVG-risico’s, e-discovery exposure, bestuurlijke transparantie?

2. Wat is de risicobereidheid als cruciale correspondentie verloren gaat door automatische retentie?

3. Hoe verhoudt een generieke opslaglimiet zich tot academische vrijheid en onderzoekscultuur?

4. Is technische dwang proportioneel zolang er geen vastgesteld inhoudelijk selectiekader is?

5. Wat is uiteindelijk kostbaarder: extra opslagcapaciteit of reputatieschade door ontbrekende bewijsstukken?

6. Wie draagt verantwoordelijkheid bij informatieverlies door overschrijding van quota?

7. Welke precedentwerking creëert dit voor andere informatiesystemen zoals Teams, SharePoint en onderzoeksdata?

8. Beschouwen we e-mail als archiefwaardig informatieobject of als vluchtig communicatiemiddel – en wat betekent dat voor de informatiehuishouding?

9. Is het probleem werkelijk volumegerelateerd, of ontbreekt het aan duidelijke retentie-instructies en training?

10. Wat zijn de gevolgen in juridische procedures als automatische retentie heeft geleid tot vernietiging van potentieel relevante stukken?

Strategisch kan een gefaseerde aanpak sterker zijn: eerst helder retentiebeleid, vervolgens ondersteuning bij archivering, daarna monitoring van volumes, en pas in laatste instantie technische beperkingen als ultimum remedium.

De kernvraag is daarmee niet hoeveel opslag je toestaat, maar welk volwassenheidsniveau je als organisatie nastreeft in informatiebeheer en risicobeheersing. Heb je hier wat aan?

Hartelijke groet,

Layla

Een paar aanvullende gedachten. Een (te) grote mailbox is vaak een symptoom van andere knelpunten.

• Het criterium "omvang" is eigenlijk een heel technocratisch criterium. Je zou ook kunnen kijken naar de vraag hoe lang een medewerker een mailtje zou moeten mogen bewaren.
• Wat ik bij meerdere organisaties gezien heb, is dat de medewerkers die veel bijlagen ontvangen veel zwaarder geraakt worden dan andere. We weten allemaal dat we dat niet zouden moeten doen, maar we doen het bijna allemaal omdat er geen goede voorzieningen zijn de efficiënt delen mogelijk maken (met de nadruk op efficiënt).
  
  
• Een paar zaken die we te weinig adresseren hierbij zijn:
  
  1) archiveren. Stel dat 1 jaar na afloop van een gearchiveerd project er een vraag over komt. Hoe gemakkelijk is het om dan de toegang te krijgen? Of kies je als medewerker liever voor het in je mailboxen bewaren van jouw projectgebonden e-mails onder het mom van "voor het geval dat"?
  
  2) delegeren. Stel dat je voor een overleg van vanmiddag even een collega wil vragen om mee te kijken. Het overleg heeft een strikt "alleen deelnemers hebben toegang tot de stukken beleid". Hoe snel kun je de tijdelijke toegangsrechten voor deze collega binnen het document management systeem geregeld hebben?

Aangepast op 24 februari

@laylahassan Dankjewel voor je waardevolle bijdrage.

Als ik een gooi doe naar de antwoorden op jouw vragen denk ik niet dat het beperken van de opslagcapaciteit in dit stadium een geschikte oplossing (voor ons) zou zijn. Je zegt: 'in laatste instantie'. Inderdaad zou het een sluitstuk kunnen zijn in het stappenplan, zo had ik het nog niet bekeken. Ik kan nu wel goed onderbouwen waarom we dit (nog) niet moeten doen en dat zal ik meenemen in mijn aanbeveling.

De volgorde die jij voorstelt: retentiebeleid, dan ondersteuning bij archivering... Bedoel je dan e-mail archivering, al dan niet op basis van de Capstone methodiek? De volgorde zoals ik het nu heb is eerst ondersteuning bij procesgerichte archivering, dan retentie, dan automatische e-mailarchivering losjes gebaseerd op Capstone.

@beroozen Ik zit hierbij niet aan de capstone methodiek te denken omdat deze geen soelaas biedt aan de behoeftes van de individuele medewerkers om e-mails te bewaren. Vanuit een 80/20 optiek: de bulk van de opslag wordt gebruikt voor medewerkers die niet onder de capstone methodiek vallen. Dus voor een kostenbesparing kun je dus daar gemakkelijker meer winst boeken.

@harrokremer Goed punt m.b.t. vragen die snel kunnen worden beantwoord op basis van e-mail in je eigen mailbox vs informatie die je moet opzoeken in een DMS of ander archiveringssysteem. We hebben soms te weinig aandacht voor het gemak van de medewerker vs compliant te zijn met alle wetgeving :)

Graag gedaan :-) en daar is de KIA-community ook voor, dus maak daar vooral gebruik van. Zo worden we samen slimmer ;-).

Je redenering is scherp: als je al kunt onderbouwen waarom opslagbeperking nú niet proportioneel is, dan heb je inhoudelijk eigenlijk al gewonnen. Dan wordt het geen “nee”, maar een gefaseerde “nog niet”.

Met “laatste instantie” bedoel ik inderdaad een sluitstuk in volwassenheidsontwikkeling. Een opslagbeperking is pas logisch wanneer drie voorwaarden zijn ingevuld:

1. een helder normatief kader (retentiebeleid),

2. een gedragen uitvoeringspraktijk (medewerkers weten wat, wanneer en hoe te archiveren),

3. aantoonbare monitoring (je weet wat er gebeurt en waar risico’s zitten).

Zonder die drie wordt een opslaglimiet een gedragsinterventie zonder fundament – en dat creëert schijnbeheersing.

Wat betreft je vraag over de volgorde: ik doel primair op e-mail als informatieobject binnen het bredere informatiebeheer, niet per se direct op Capstone. Capstone (of een variant daarop) is een selectiemechanisme; ondersteuning bij archivering gaat over competentie, tooling en procesinrichting. Dat zijn verschillende lagen.

Jouw volgorde; eerst procesgerichte archivering, dan retentie, dan automatische e-mailarchivering losjes gebaseerd op Capstone is inhoudelijk goed verdedigbaar. Je bouwt dan vanuit de kernprocessen naar communicatiekanalen toe. Dat is conceptueel zuiver: eerst het primaire informatieobject (zaak/proces), daarna het kanaal (e-mail).

De strategische vragen die daaronder liggen en die bestuurlijk relevant zijn:

• Is e-mail bij jullie primair een afgeleide van processen, of is het in de praktijk vaak het procesdossier zelf?

• Als e-mail feitelijk dossierdrager is, kun je je dan permitteren om procesgerichte archivering volledig los te zien van e-mailarchivering in de eerste fase?

• Wil je met Capstone een selectie-instrument introduceren voordat er duidelijkheid is over wat procesmatig archiefwaardig is?

• Wat gebeurt er als automatische e-mailarchivering wordt ingevoerd terwijl medewerkers nog onvoldoende procesgericht archiveren? Verplaats je het probleem dan niet simpelweg naar een andere omgeving?

• Welke mate van bewijswaarde verwacht je over 7–10 jaar te moeten kunnen reconstrueren, en sluit je gekozen volgorde daar logisch op aan?

Hier zit een fundamentele governancekeuze onder: begin je bij structuur (proces), bij norm (retentie) of bij techniek (automatisering)? Volwassen organisaties starten meestal bij norm en proces, en pas daarna bij automatisering. Automatisering zonder norm is versnelling van onduidelijkheid.

Je huidige volgorde kan sterk zijn, mits je expliciet maakt dat Capstone geen vervanging is van procesgerichte archivering, maar een vangnetmechanisme. Anders wordt het al snel een comfortoplossing: “het systeem regelt het wel.” Dat is zelden het geval.

Wat je ontwerpt is in feite geen e-mailbeleid, maar een volwassenheidsmodel voor informatiebeheer. En in zo’n model hoort technische dwang pas thuis wanneer cultuur, normering en procesinrichting stabiel zijn.

Hopelijk is het duidelijk zo anders hoor ik van je :-).

Hartelijke groet,

Layla

Goede discussie hier.

Zoals denk ik bekend, zijn wij als Utrecht een capstone-gemeente. Echter, wij hebben capstone expliciet als vangnetoplossing gepositioneerd. Een extra dus maatregel bovenop de primaire richtlijn van procesgerichte archivering. Beleidsmatig vergelijkbaar met de volgorde zoals @beroozen die voorstelt. Volgens mij is dat inderdaad de juiste aanpak. Ook helemaal eens met de analyse van @laylahassan. Heel eerlijk: ik ben persoonlijk absoluut geen fan van capstone, maar vind deze oplossing, in combinatie met andere maatregelen, wel de minst slechte die we nu praktisch ter beschikking hebben.

Als toevoeging in deze discussie: de nadruk bij discussie over capstone ligt vaak op dat kleine beetje dat relatief lang bewaard wordt. Daar staat tegenover dat het gros van de medewerkers voorheen überhaupt nooit mails verwijderden en mailboxen ook niet per se werden weggegooid als medewerkers uit dienst gingen. Door invoering van automatische retentieperiodes wordt er in ieder geval actief opgeruimd.

Het effect op lange termijn weten we natuurlijk nog niet, maar bij de implementatie hebben we op korte termijn alvast de storage omlaag kunnen brengen. Bijvoorbeeld doordat we nu de prullenbakken automatisch legen (leverde direct al 10 TB op) en er ook actiever gestuurd wordt op gebruik van functionele mailboxen. Daarnaast voegt de maatregel voor individuele medewerkers een extra stok achter de deur toe om belangrijke mails toch echt op de juiste manier veilig te stellen. Hiervoor zetten we in op maatregelen als minder mailen, linkjes sturen in plaats van bijlagen etc. We investeren in gedragsverandering via bewustwordingsactiviteiten, zoals onboarding. verplichte e-learning voor alle medewerkers en dat soort zaken.

Ook hebben we het doorzoeken van mailboxen met behulp van e-discovery t.b.v. Woo-verzoeken (onder voorwaarden) mogelijk gemaakt. Zodat we niet alleen waardering en selectie doen, maar ook toegankelijkheid verbeteren.

Als geïsoleerde aanpak is capstone een waardeloze methode (vind ik). In dat opzicht kan ik me absoluut ook vinden in de opvattingen van @sjoerdkorsuize. Maar als onderdeel van een breder pakket aan maatregelen kan het wel degelijk een functie hebben.

Inderdaad een hele waardevolle discussie. Bedankt voor al jullie bijdragen.
Ik herken een heleboel keuzes die ik wil voorleggen hier terug, en dat geeft me veel vertrouwen in dat het goede keuzes zijn :)

De primaire lijn moet volgens mij ook altijd procesarchivering zijn. Helaas is zelfs dat binnen de universiteit nog helemaal niet van de grond gekomen. Feitelijk wordt er nog niet gearchiveerd omdat we ook nog niet beschikken over een DMS/zaaksysteem (gelukkig vanaf komende september wel). Alle informatie en data die niet in procesapplicaties zit wordt opgeslagen in Teams/SharePoint en Outlook. Dus natuurlijk wordt dat de eerste fase: met de komst van het DMS: aansturen op procesgerichte archivering.

@rensouwerkerk Precies: Capstone geeft ons vooral ook een retentietermijn! Dat wordt de insteek van fase 2 waarin het voorstel is retentietermijnen te hanteren van 7 en 10 jaar. De onderbouwing hiervoor komt vooral van onze CISO Office om ongestructureerde persoonsgegevens minder massaal en veel te lang te bewaren. Voor mij als archiefbeheerder is dit inderdaad een goede maatregel omdat medewerkers enigszins zullen worden aangespoord belangrijke mail veilig te stellen. Opslagcapaciteit vind ik altijd een interessant argument, maar ik weet niet hoe ik kan achterhalen wat dat ons kost, en betwijfel ook dat daar een flink prijskaartje aan hangt. Als jullie dat in Utrecht hebben berekend ben ik erg benieuwd welke besparing je denkt te kunnen bereiken.

Omdat we een stichting zijn hebben we ook geen 'last' van Woo-verzoeken. In fase 3 stel ik voor om met behulp van e-Discovery het doorzoeken mogelijk te maken, maar eerlijk gezegd twijfel ik er aan of het ambitieniveau van ons bestuur zo ver zal reiken. Ik ben al blij met minimaal fase 1 en 2 en dan hebben we al veel bereikt vergeleken met de situatie waar we nu in zitten.