Vernietigen met het DUTO-raamwerk

Het DUTO raamwerk is een concreet hulpmiddel om archiveren by design in de praktijk te brengen. Twee modules zijn inmiddels gepubliceerd. Daarin worden de kenmerken van duurzame toegankelijkheid uitgewerkt. En er wordt beschreven waarom duurzaam toegankelijke overheidsinformatie zo waardevol is.

De overige modules bieden overheidsinstellingen een stelsel voor het maken van ontwerpkeuzes waarmee ze de duurzame toegankelijkheid van de informatie in hun systemen kunnen borgen. Voor deze normerende modules wordt van 2 tot en met 29 oktober een openbare review georganiseerd.

Lees de vorige blogpost voor meer informatie over de openbare review

In het ontwerpstelsel staan de modeleisen en randvoorwaarden waaraan informatiesystemen moeten voldoen om duurzaam toegankelijk te zijn. De basis hiervoor bestaat uit de vijf DUTO-processen (registreren, vernietigen, migreren, bewaren en ter beschikking stellen) en de DUTO-functies die deze processen ondersteunen. Daarnaast wordt beschreven wat je zoal in de afweging meeneemt om maatregelen te treffen die passend zijn binnen de bestaande context van een overheidsorganisatie. Denk bijvoorbeeld aan implementatiepatronen of de keuze voor een lichter of zwaarder niveau van maatregelen.

Maar hoe ziet het er nu in de praktijk uit om met het DUTO-raamwerk aan het werk te gaan? Stel dat je het DUTO-raamwerk inzet om het vernietigingsproces binnen je organisatie in te richten. Wat kun je daar dan van verwachten? Dit wordt in deze blog toegelicht aan de hand van het DUTO-proces ‘Vernietigen’.

Een goed begin is het halve werk

Een goede inrichting van het vernietigingsproces is noodzakelijk om overheidsinformatie duurzaam toegankelijk te maken. Het draagt op verschillende manieren bij aan de waarden van duurzame toegankelijkheid. Organisaties die tijdig vernietigen, voldoen daarmee aan wet- en regelgeving. En ze kunnen hun taken efficiënter en effectiever uitvoeren als het makkelijker is om snel de informatie die wél behouden is, te vinden.

De informatie die je nodig hebt, staat op twee plekken. Ten eerste in de generieke module, die algemene handvatten en aanwijzingen biedt voor het duurzaam toegankelijk maken van overheidsinformatie. En daarnaast in één van de vijf specifieke modules voor de DUTO-processen. Ook voor Vernietigen is een specifieke module beschikbaar. Deze generieke module en de specifieke modules gaan hand in hand met elkaar. Je kunt nu met de conceptmodules aan de slag.

Generiek deel van het ontwerpstelsel (Conceptmodule)

DUTO-proces ‘Vernietigen’ (Conceptmodule)

DUTO-processen en DUTO-functies zijn het skelet van het ontwerpstelsel. Vernietigen is een van de vijf DUTO-processen. Dit proces bevat ‘de activiteiten die nodig zijn om overheidsinformatie aan het einde van de vastgestelde bewaartermijn te vernietigen op de plek waar deze zich bevinden zodat deze voor niemand meer kenbaar, vindbaar, en reconstrueerbaar zijn’.

Ieder DUTO-proces wordt ondersteund door een aantal functies. Bij vernietigen zijn dat er vijf: toegangsbeheer, validatie, verwijdering, metagegevensbeheer en verantwoording. Het generieke deel van het ontwerpstelsel definieert de processen en de functies in algemene zin (veel functies komen bij meerdere processen terug). En de specifieke procesmodule werkt deze functies verder uit in de context van het vernietigingsproces. Over de functie toegangsbeheer staat bijvoorbeeld:

De personen die binnen de organisatie verantwoordelijk zijn voor het vernietigen van informatieobjecten, moeten ook de daarvoor benodigde rechten hebben. En andersom moeten diegenen die binnen het vernietigingsproces geen verantwoordelijkheden hebben, ook geen toegang hebben tot het proces. Bevoegdheden moeten op organisatorisch niveau (in een autorisatiematrix) en binnen applicaties (op basis van permissies) goed geregeld zijn.

Goed beslagen ten ijs komen

Nu je weet wat er bij het DUTO-proces vernietigen komt kijken, is het tijd om na te gaan waar je organisatie precies behoefte aan heeft. Waar liggen de kansen? En de risico’s? En hoe ziet het applicatielandschap binnen je organisatie er uit? Het DUTO-ontwerpstelsel biedt hier handvatten voor op twee gebieden: niveau van maatregelen en implementatiepatronen.

Het generieke deel van het DUTO-ontwerpstelsel beschrijft hoe je op basis van de waarde van de informatie die binnen informatiesystemen in beheer zijn, kunt kiezen voor een zwaarder of juist een lichter niveau van maatregelen. Ook het vernietigingsproces kan lichter of juist zwaarder ingericht worden. Bij unieke of bedrijfskritische informatie is een zwaardere inrichting en een grondiger proces van belang. Een lichter niveau kan passend zijn bij het vernietigen van informatieobjecten die nooit gedeeld worden in een keten en waar de bewaartermijn al voor de start van het proces bekend is. In dit geval kan het passend zijn om te kiezen voor een hogere mate van automatisering.

DUTO-processen en functies kunnen integraal met het werkproces in één applicatie ingericht worden, maar ook in een generieke of gemeenschappelijke voorziening ondergebracht worden. In dat laatste geval zijn bepaalde functies ingericht binnen een afzonderlijke applicatie die deze functies voor een hele organisatie uitvoert, of die zelfs door meerdere organisaties gedeeld wordt. Het maken van goede ontwerpkeuzes is gebaat bij het in kaart brengen van al deze componenten van het DUTO-proces. Het generieke deel van het DUTO-ontwerpstelsel beschrijft deze implementatiepatronen, en de procesmodule werkt dit verder uit voor het vernietigingsproces.

Informatieobjecten kunnen namelijk bestaan uit meerdere componenten die op verschillende locaties geregistreerd staan. En de functies die bij het vernietigingsproces horen, hoeven niet steeds opnieuw voor iedere applicatie ingericht worden, als ze ook in een generieke of gemeenschappelijke voorziening ondergebracht kunnen worden. Een voorbeeld hiervan is vernietigen volgens het Common Ground principe.

Passende maatregelen treffen

Op basis van stappen 3 en 4 (risicoanalyse en een verkenning van het applicatielandschap) kun je maatregelen vaststellen, die passen bij jouw organisatie. Het treffen van maatregelen binnen het DUTO-ontwerpstelsel doe je aan de hand van randvoorwaarden en modeleisen. Hieraan moeten informatiesystemen voldoen om duurzaam toegankelijk te zijn.

Het DUTO-raamwerk hanteert een brede definitie van het begrip ‘informatiesysteem’. Het gaat niet alleen om hardware en software, maar ook om de mensen die hier mee werken. En de organisatorische context waarbinnen ze hun werk uitvoeren. Om binnen een informatiesysteem te streven naar duurzame toegankelijkheid, vereist dan ook maatregelen op organisatorisch niveau (randvoorwaarden) én op het niveau van applicaties (modeleisen).

Het generieke deel van het DUTO-ontwerpstelsel bevat een lijst randvoorwaarden die voor de inrichting van alle DUTO-processen gelden. Om duurzaam toegankelijke overheidsinformatie te waarborgen, moeten overheidsorganisaties beleid opstellen, opleiding en training aan medewerkers aanbieden, en een goed overzicht hebben over de eigen informatiehuishouding. Bij het beheren van informatie maken ze gebruik van een classificatieschema, een metagegevensschema, en een selectielijst.

Deze generieke randvoorwaarden zijn van toepassing op meerdere DUTO-processen, maar kunnen ook voor het DUTO-proces Vernietigen van belang zijn. Zo is een selectielijst een essentieel onderdeel van het vernietigingsproces. Ook beleid dat toegang tot processen regelt en dat zorg draagt voor het vaststellen en bijhouden van metagegevens zijn voor een goede inrichting van het vernietigingsproces van groot belang. Daarnaast zijn er specifieke randvoorwaarden die in het bijzonder voor het DUTO-proces Vernietigen van toepassing zijn. Denk bijvoorbeeld aan protocollen omtrent de wijze van vernietigen en rondom de verantwoording over dat proces. Deze staan in de procesmodule.

Om het vernietigingsproces DUTO-“proof” te maken, neem je deze randvoorwaarden mee. Zijn de benodigde verantwoordelijkheden belegd? Is er al beleid ingericht? Wordt dit regelmatig bijgehouden? En waar nodig aangepast? Is het nodig om veranderingen door te voeren binnen de organisatie om een bepaald DUTO-proces goed in te richten, op een manier die aansluit bij de concrete behoeften van je organisatie (die je onder stappen 3 en 4 hebt vastgesteld)? De randvoorwaarden maken het mogelijk om deze vragen te beantwoorden.

In het DUTO-ontwerpstelsel is voor iedere functie binnen ieder proces ten minste een modeleis. De randvoorwaarden en de modeleisen zijn complementair, ze versterken elkaar. Het toepassen van modeleisen in het applicatielandschap van je organisatie is vooral effectief als de juiste randvoorwaarden al aanwezig zijn.

Voor het DUTO-proces vernietigen zijn 27 modeleisen opgesteld. Het gaat bijvoorbeeld om modeleisen die betrekking hebben op:

• rapportage en verslaglegging (handelingen moeten traceerbaar zijn)

• procesinrichting (het systeem moet vragen om een dubbele bevestiging)

• toezicht en controle (het systeem moet naar te vernietigen informatieobjecten kunnen linken, zodat die getoond kunnen worden)

• automatisering (vernietiging moet in bulk mogelijk zijn)

• beheren van back-ups (na back-up recovery worden geen informatie-objecten blijvend teruggebracht, die eerder al vernietigd waren).

De modeleisen zijn ontleend aan bestaande normen en kaders, zoals NEN-ISO 16175-1 of de handreiking digitaal vernietigen. Per modeleis is op basis van de MoSCoW-methodiek een prioritering meegegeven op basis van de MoSCoW-methodiek. MoSCoW staat voor Must have, Should have, Could have, Won't have. Dus: noodzakelijk, raadzaam, mogelijk, en niet aan de orde. Deze indicatie, in combinatie met het gekozen niveau van maatregelen, vormt een leidraad bij het implementeren van de modeleisen.

Conclusie

Duurzaam toegankelijke overheidsinformatie draagt bij aan een open, betrouwbare en presterende overheid. Hier moet je al bij het inrichten van informatiesystemen (archiveren by design) rekening mee te houden. Het DUTO-ontwerpstelsel is hierbij een praktische handreiking. Deze tekst heeft met het DUTO-proces ‘vernietigen’ als voorbeeld weergegeven hoe je een proces kunt inrichten op een manier die overheidsinformatie duurzaam toegankelijk maakt. En welke stappen je doorloopt om uiteindelijk aan de hand van modeleisen je applicaties goed in te richten.

De modeleisen vormen de meest concrete en gedetailleerde uitdrukking van wat er nodig is om overheidsinformatie duurzaam toegankelijk te maken. Maar ze zijn het meest effectief als er binnen een organisatie ook aan de randvoorwaarden voldaan wordt, en als ze dankzij geducht voorwerk goed bij de organisatorische context aansluiten.

Het DUTO-raamwerk neemt je niet al het werk uit handen. Wat passend is, wisselt van organisatie tot organisatie, en de modeleisen kunnen niet zonder toelichting bij een leverancier neergelegd worden. Maar het dringt overheidsinstellingen ook niet in een strak keurslijf. Het geeft de ruimte om hun eigen ontwerpkeuzes voor duurzame toegankelijkheid te maken. En daarbij biedt het handvatten. Zodat overheidsinformatie vindbaar, beschikbaar, leesbaar, interpreteerbaar, betrouwbaar, en toekomstbestendig is. Voor iedereen die daar recht op heeft en voor zolang als noodzakelijk.