Quickscan risicobeoordeling duurzame toegankelijkheid: meer dan een checklist

Als beleidsdepartement van het ministerie van Financiën hebben we meegewerkt aan de pilot van het Nationaal Archief met de handreiking risicobeoordeling voor duurzame toegankelijkheid. De aanleiding om met dit instrument te werken was in eerste instantie heel pragmatisch: een collegiale acceptatie van de uitnodiging van het NA. Toch bleek al snel dat de handreiking meerwaarde bood, juist als middel om duurzame toegankelijkheid structureel te borgen in processen als het inkooptraject van applicaties en het lifecyclemanagement hand in hand met privacy en informatiebeveiliging.

Bij onze pilot is de quickscan uit de handreiking toegepast op een applicatie voor het mandaatregister. Het viel mij op dat de generieke vragen uit de quickscan vaak vooraf al ingevuld kunnen worden en dat die voor alle applicaties gelden. Als je een goed informatiebeheerplan (IBP) helpt om deze vragen snel te beantwoorden. Het IBP bleek in onze ervaring ondersteunend bij het beantwoorden van vragen en bood extra duidelijkheid over de randvoorwaarden die je moet stellen aan de processen waarbinnen de informatie gecreëerd en gebruikt wordt.

Toch levert zo’n quickscan ook leerpunten op. Zo merkten wij dat je bij het beantwoorden van de ja/nee-vragen uit de quickscan regelmatig moet teruggrijpen naar de uitgebreidere vragenlijst met verdiepingsvragen.

Een van mijn belangrijkste inzichten was het belang van timing: het instrument werkt het best bij de realisatie van een nieuwe applicatie of bij grote aanpassingen van een bestaande applicatie. Daarnaast bleek dat het werken met de quickscan een bepaald volwassenheidsniveau van de organisatie vereist, zowel in processen als in samenwerking met andere vakdisciplines. Wanneer dit volwassenheidsniveau (nog) niet aanwezig is, bleek de toepassing niet opportuun. Met een proceseigenaar die onvoldoende bekend is met het concept van duurzame toegankelijkheid moet je eerst de tijd nemen om te verbinden en te werken aan awareness. Betrek de juiste mensen en kies een natuurlijk moment in de lifecycle van een informatiesysteem om dit gesprek aan te gaan.

Daarnaast was het uitdagend om voldoende samenwerking en betrokkenheid van sleutelfiguren te krijgen, zoals de informatie-eigenaar en het hogere management aan de businesskant. Zij moeten tenslotte bepalen wat er uiteindelijk geaccepteerd wordt aan risico's en vereisten. Ook de verschillende rollen, verantwoordelijkheden en het commitment moesten goed worden georganiseerd; dit vraagt een duidelijke spelverdeling.

Wat heeft het opgeleverd? Allereerst constateerden we meer risico’s en aandachtspunten dan verwacht, al zijn die nog niet allemaal gekwantificeerd. Wat belangrijker is: we kregen een concreet instrument in handen dat echt van waarde is voor borgen van duurzame toegankelijkheidsaspecten in het lifecycle-management van informatiesystemen. Het bevestigde de ingeslagen koers en draagt bij aan een gezamenlijke taal en begrip tussen disciplines.