IT-Auditing in het archiefwezen

IT-Auditing in het archiefwezen

Referaat postdoctorale EDP-auditing aan de Erasmus Universiteit Rotterdam drs. R.T.C.van der Steen Nijmegen, oktober 2001

IT auditing in het archiefwezen

ii


iii

Voorwoord Deze scriptie is de afsluiting van de postdoctorale EDP-auditing opleiding van de Erasmus Universiteit te Rotterdam. Met enige scepsis ben ik in 1997, na een omscholing van historicus tot informatieanalist, met deze opleiding begonnen. In de bibliotheek van de Universiteit Delft las ik een jaar eerder een brochure over deze opleiding. Meteen was mijn belangstelling gewekt. Een EDP-auditor stelt zich ten doel om een kwalitatieve bijdrage te leveren aan de organisatie van de informatievoorziening, stond er met grote letters. Dat klonk mij als muziek in mijn oren. Al jarenlang kritiseerde ik de wijze waarop veel organisaties met automatisering omgaan en zich laten ringeloren door IT-adviseurs. Nu kon ik dit wellicht beroepsmatig gaan onderbouwen. Sinds dit voorjaar ben ik betrokken als IT-auditor (in wording) bij een overheidsorganisatie met het grootste automatiseringscentrum van Nederland, de Belastingdienst. Toch heb ik mijn oude vakgebied Geschiedenis nooit kunnen loslaten. Zo volg ik met grote belangstelling de ontwikkelingen van het archiefwezen. Wat heeft de moderne informatietechnologie nou met het stoffige imago van een archief te maken? De afbeelding op de voorkant van dit referaat bevestigt het vooroordeel dat de meeste mensen van een archief hebben: stoffig, meterslange rijen papier en het is monnikenwerk daar iets in terug te vinden. Alleen een oude vergrijsde archivaris vindt daar zijn weg. Toch is het archiefwezen veel dynamischer dan menigeen denkt. Veel vragen over digitale duurzaamheid worden daar gesteld én wetenschappelijk beantwoord. Hoe gaan we om met een steeds digitaler wordende wereld? De paradox van het digitaal bewaren van gegevens is dat met de komst van IT-systemen er nauwelijks beperkingen meer zijn voor het verzamelen en vastleggen van informatie, terwijl de duurzaamheid ervan soms beperkt wordt. Met dit referaat IT-auditing in het archiefwezen ga ik de uitdaging aan het archiefwezen in contact te brengen met de IT-auditingwereld. Beide kunnen veel van elkaar leren. Ronald van der Steen Nijmegen, oktober 2001


iv

INHOUDSOPGAVE

INLEIDING ............................................................................................................................................ vii

SAMENVATTING EN CONCLUSIE ...................................................................................................... viii

HOOFDSTUK I ORGANISATIE VAN HET ARCHIEFWEZEN .......................................................... 1

1.1 Wat is het archiefwezen ............................................................................................................. 1

1.2 Organisatie binnen de overheid ................................................................................................. 1

1.3 Functies van archieven .............................................................................................................. 1

1.4 Particuliere archieven ................................................................................................................. 2

1.5 Archiefbewaarplaatsen ............................................................................................................... 2

1.6 Beperkte toegankelijkheid van archieven ................................................................................... 2

1.7 Verantwoordelijkheden van de archieffunctie ............................................................................. 4

1.8 Digitale duurzaamheid ................................................................................................................ 4

1.9 IT-auditors en digitale duurzaamheid ......................................................................................... 6

HOOFDSTUK II WAT IS ARCHIEF ..................................................................................................... 7

2.1 HET ARCHIEF: DE THEORIE ................................................................................................... 7

2.1.2 Wat is archiefvorming ............................................................................................................ 7 2.1.3 Wat is archivering .............................................................................................................. 8 2.1.4 De archiefvormer ............................................................................................................... 8 2.1.5 Archiefgegevens ................................................................................................................ 8 2.1.6 Het bewaren van archiefgegevens .................................................................................... 8 2.1.7 Toezicht op archieven ....................................................................................................... 9 2.1.8 Niet actuele gegevens ....................................................................................................... 9 2.1.9 Openbaarheid van archieven ............................................................................................ 9

2.2 HET ARCHIEF ALS GEHEUGEN VAN DE ORGANISATIE: DE PRAKTIJK ........................... 10 2.2.1 Archiefbeheer .................................................................................................................. 10 2.2.2 Huidige Wet- en Regelgeving rond het archief ................................................................ 10 2.2.3 De archieffunctie in het bedrijfsproces ............................................................................ 11

2.3 HET ARCHIEF ALS PROCES ................................................................................................. 12 2.3.1 De document cyclus ........................................................................................................ 12 2.3.2 Het Records Continuum Model ....................................................................................... 12


v

HOOFDSTUK III WAT IS EEN DIGITAAL ARCHIEF ......................................................................... 15

3.1 Definitie van een digitaal archief .............................................................................................. 15

3.2 Algemene huidige status .......................................................................................................... 15

3.3 Enquête naar de aanwezigheid van grootboekadministraties .................................................. 16

3.4 Digitale archiefbescheiden ....................................................................................................... 16

3.5 Van papier naar digitaal ........................................................................................................... 17

3.6 Overheidsbeleid ten aanzien van ICT ...................................................................................... 18 3.6.1 Wet en regelgeving Digitale Duurzaamheid .................................................................... 18

3.7 Digitaal als uitgangspunt .......................................................................................................... 18

3.8 Beheer van een digitaal archief ................................................................................................ 19

3.9 E-mail en het digitaal archief .................................................................................................... 20

HOOFDSTUK IV KWALITEITSASPECTEN BINNEN HET ARCHIEFWEZEN ................................... 21

4.1 Begripsbepaling ........................................................................................................................ 21

4.2 Algemene kwaliteitseisen voor het archiefwezen ..................................................................... 21 4.2.1 Bewijsvoering .................................................................................................................. 22

4.3 De kwaliteitsaspecten van E-mail ............................................................................................. 23 4.3.1 Exclusiviteit en integriteit ................................................................................................. 23

4.4 Kwaliteitsaspecten voor het digitale archief ............................................................................. 24 4.5 Juridische status .................................................................................................................. 25 4.5.1 Betrouwbaarheid ............................................................................................................. 25 4.5.2 Oorspronkelijkheid ........................................................................................................... 26 4.5.3 Integriteit en Authenticiteit ............................................................................................... 26

HOOFDSTUK V DE KWALITEIT VAN DE IT IN HET ARCHIEFWEZEN ......................................... 27

5.1 Huidige IT stand van zaken ...................................................................................................... 27

5.2 Migratie of emulatie .................................................................................................................. 27

5.3 Toekomstige IT ontwikkelingen ................................................................................................ 28 5.3.1 De standaard DOD 5015.2-STD ...................................................................................... 28 5.3.2 Record Management Applicatie (RMA) ........................................................................... 29 5.3.3 Internet ............................................................................................................................ 29


vi

HOOFDSTUK VI DE ROL VAN IT-AUDITING IN HET ARCHIEFWEZEN ......................................... 31

6.1 Wat is EDP-auditing ................................................................................................................. 31

6.2 Motieven voor het uitvoeren van een IT-audit .......................................................................... 31

6.3 De IT-audit functie .................................................................................................................... 32

6.4 IT-auditing in het archiefwezen ................................................................................................ 32

6.5 IT–auditors in het archiefwezen ............................................................................................... 33

6.7 De archiefwetenschap en IT-auditing ....................................................................................... 36

LITERATUUROPGAVE ........................................................................................................................ 38

BIJLAGE I DE STANDAARD DOD 5015.2-STD ............................................................................... 41

BIJLAGE II KWALITEITSASPECTEN ROND DIGITALE BESCHEIDEN PER WET ......................... 43 De archiefwet ........................................................................................................................................ 43 Fiscaal recht .......................................................................................................................................... 43 Wet Bescherming Persoonsgegevens (Wbp) ....................................................................................... 43 Wet op de privacy ................................................................................................................................. 44 Burgerlijk Wetboek ................................................................................................................................ 44 Auteurswet ............................................................................................................................................ 44 Databankenrecht ................................................................................................................................... 44 Wet op het hoger onderwijs .................................................................................................................. 44 Private sector ........................................................................................................................................ 44

BIJLAGE III CHECKLIST VOOR DIGITALE ARCHIVERING ......................................................... 47

BIJLAGE IV ISAD(G) ....................................................................................................................... 49

BIJLAGE V CDROM MET DIVERSE BRONNEN OVER DIGITALE DUURZAAMHEID ................ 53


vii

INLEIDING Belangrijke IT-ontwikkelingen die ik zie binnen het archiefwezen van de rijksoverheid en de archiefwetenschap zijn de aanleiding geweest om over IT-auditing in het archiefwezen een referaat te schrijven. Vooral ontwikkelingen die te maken hebben met digitale duurzaamheid hebben namelijk tot nu toe te weinig aandacht binnen het IT-auditing vakgebied gekregen. Dat is vreemd omdat door de steeds verdergaande digitalisering van bedrijfsprocessen het bewaren en terugvinden van informatie almaar belangrijker wordt voor het goed functioneren van organisaties. De onderzoeksvraag van dit referaat is: welke ontwikkelingen vinden er plaats binnen het archiefwezen en de archiefwetenschap door de toenemende digitalisering van de informatiestromen van de overheid. Tegen welke knelpunten loopt men aan en welke rol kan IT-auditing hierbij spelen in het archiefwezen. Doel van dit referaat is duidelijk te maken dat de zorg die er in het archiefwezen en de archiefwetenschap leeft ten aanzien van duurzame bewaring van digitale data ook de aandacht moet krijgen van IT-auditors. Er zit een vervaldatum aan digitale data en dit heeft grote consequenties voor de informatievoorziening van organisaties. In dit referaat wordt een handreiking gegeven hoe de integriteit van digitale data voor de lange termijn gewaarborgd kan blijven. De basis van het referaat is een literatuurstudie geweest naar het aspect digitale duurzaamheid in relatie tot het archiefwezen en de archiefwetenschap. Daarnaast hebben er gesprekken plaatsgevonden met archivarissen, wetenschappers en collega IT-auditors. Het onderzoek behandelt alleen de archiefaspecten van de overheid en niet van het bedrijfsleven. In het eerste hoofdstuk Organisatie van het archiefwezen wordt beschreven hoe het archiefwezen in Nederland is opgezet en welke ministeries verantwoordelijk zijn voor de archiveringsactiviteiten binnen de overheid. Tevens wordt aangeven dat het archiefwezen wordt gereorganiseerd tot grote historische centra waardoor er meer aandacht voor ontsluiting en dienstverlening komt. In het hoofdstuk Wat is archief worden de belangrijkste theoretische begrippen uit de archiefwereld beschreven. Bij het archief als proces worden twee invalshoeken beschreven waarbij enerzijds het document centraal staat en anderzijds het bedrijfsproces. De oude papieren documentencyclus past niet bij het digitale archief. Dit wordt met een model geschetst. In het hoofdstuk Wat is een digitaal archief worden diverse aspecten belicht over het inrichten van een digitaal archief. Naast de definitie wordt er een standaard beschreven op basis waarmee een digitaal archief kan worden opgezet. In het hoofdstuk Kwaliteitsaspecten binnen het archiefwezen worden de belangrijkste kwaliteitseisen weergegeven die gelden voor een (digitaal) archief. Het blijkt dat met name de juridische aspecten van digitale duurzaamheid de belangrijkste onderwerpen horen te zijn voor het openbaar bestuur. In het hoofdstuk De kwaliteit van de IT in het archiefwezen wordt de huidige status weergegeven die de informatietechnologie speelt bij digitaliseringprojecten. Er komen applicaties op de markt waarmee een digitaal archief ingericht en beheerd kan worden. In het laatste hoofdstuk Wat is de rol van IT-auditing in het archiefwezen wordt aangegeven wat IT-auditing is en welke objecten mogelijk beoordeeld kunnen worden. Risicoanalyse worden ook binnen het archiefwezen veelvuldig toegepast als techniek om het digitaliseringproces in gekwantificeerde stappen onder te verdelen. Bijlage I bevat een beschrijving van de DOD 5015.2-STD, een standaard voor digitaal documentbeheer. Bijlage II beschrijft de belangrijkste wetten die met digitale duurzaamheid te maken hebben. Bijlage III bevat een checklist voor digitale archivering waarmee een IT-auditor een normenkader kan opstellen. Bijlage IV beschrijft de standaard ISAD als goed uitgangspunt om een informatiesysteem te ontwerpen dat archieven toegankelijk maakt via Internet. Bijlage V bevat in digitale vorm de belangrijkste bronnen die voor dit referaat gebruikt zijn plus additionele bronnen.


viii

SAMENVATTING EN CONCLUSIE Het archiefwezen is het geheel van organisaties en regelgeving belast met of betrekking hebbend op archiefbeheer binnen de overheid. In Nederland bestaat het archiefwezen uit het Rijksarchief, het Provinciaal Archief en het Gemeentearchief. In deze archieven zijn voor een groot deel het handelen van een persoon of een overheidsinstelling terug te vinden. Hierdoor zijn het zeer directe en authentieke historische bronnen. De Archiefwet vormt het wettelijk kader waarin het archiefwezen moet opereren. De overheid produceert sinds de opkomst van de automatisering steeds meer informatie in digitale vorm. Het archiefwezen moet zich zo snel mogelijk meer richten op het digitale document zodat het overheidshandelen van na 1975 blijvend getoetst kan worden. Het is daarom belangrijk dat er bewaarstrategieën voor digitale documenten worden uitgewerkt. Het archiefwezen moet een digitaal archief gaan inrichten om de vele digitale bescheiden die op haar afkomen te kunnen archiveren. Er wordt momenteel gewerkt aan het formuleren van eisen aan digitale documenten en bestanden gezien vanuit het oogpunt van verantwoording en continuïteitseisen. Binnen het archiefwezen wordt op dit moment bij de ontwikkeling van bewaarbeleid in de digitale context veel gesproken over Record Keeping Systems (RKS) en de standaard US DoD 5015-2 STD van het Amerikaanse Ministerie van Defensie. Deze standaard voor duurzaam archiefbeheer beschrijft de verplichte en optionele eisen waaraan software moet voldoen voor het geautomatiseerde beheer van archiefbescheiden. Onder invloed van de verdergaande digitalisering en door toepassing van het digitale archief verschuift de rol van het archief van uitvoerend naar kaderstellend en regievoerend. Voor zowel papieren als elektronische/digitale archiefbescheiden dienen er eisen te worden vastgelegd over vastlegging en registratie, authenticiteit, contextgegevens, selectie en vernietiging, toegankelijkheid en duurzame bewaring. De functionaliteit voor digitale archivering wordt mede bepaald door registratie en metagegevens voor documenten naast procedures in vastleggen en bewaren, in selectie en opschoning, en indien van toepassing in overdracht aan een archiefdienst van archiefbescheiden. Indien een informatiesysteem archiefbescheiden bewaart, moeten de eisen voor digitale archivering gespecificeerd en meegenomen worden in het ontwerp, de implementatie en procedures. Procedures in de organisatie moeten bepalen welke typen digitale archiefbescheiden moeten worden afgedrukt op papier en welke moeten worden vastgelegd in een digitaal archiveringssysteem. Juist vanwege de kosten is digitaal archiveren niet altijd vanzelfsprekend. Deze procedures moeten ondersteund worden door een kwaliteitssysteem dat waarborgt dat de vastgestelde procedures worden nageleefd. Tot op heden zijn digitalisering van de bedrijfsprocessen en de archieffunctie bij de overheid nog niet geïntegreerd tot een harmonieus, goed geolied geheel. Ondanks weten regelgeving omtrent (digitale) archivering dreigen ze uit elkaar te drijven omdat het inhoudelijk beheer van digitale documenten nog niet goed geregeld is. Het is niet duidelijk waar de verantwoordelijkheden van dit beheer liggen. In alle lagen van de overheid zijn momenteel deze problemen zichtbaar. Digitale informatie is anders dan papieren informatie omdat er een hulpmiddel nodig is om deze informatie te lezen. De paradox van het digitaal bewaren van gegevens is dat met de komst van IT-systemen er nauwelijks nog beperkingen lijken te zijn voor het verzamelen en vervolgens vastleggen van informatie, terwijl er wel belangrijke beperkingen lijken op te treden bij de duurzaamheid van deze informatie. Soms blijkt digitale informatie na enkele jaren al niet meer leesbaar te zijn. De archiefwet schrijft een bewaartermijn van minstens 100 jaar voor. Om als geheugenbron of als verantwoordingseis te kunnen fungeren, moeten archiefbescheiden dusdanig worden beheerd dat ze voldoen aan de algemene kwaliteitseisen; volledigheid (geen delen van informatie gaan verloren), authenticiteit (het document is echt), betrouwbaarheid (juistheid van de informatie), toegankelijkheid (documenten zijn vindbaar), raadpleegbaarheid (documenten kunnen ook daadwerkelijk gelezen worden), beschikbaarheid (gevonden en leesbare documenten kunnen tijdig worden geraadpleegd). Wanneer de functie van het archiefbescheiden bewijsvoering is, dan is authenticiteit de belangrijkste kwaliteitseis. In de levenscyclus van (digitale) documenten en registraties bij de overheid spelen wet en regelgeving een grote rol. Het bevat voor digitale documenten de kwaliteitseisen betrouwbaarheid, exclusiviteit, integriteit en verifieerbaarheid. Voor het openbaar bestuur behoren de juridische aspecten tot de


ix

belangrijkste onderwerpen die in gedachten moeten worden gehouden. Het digitaal bewaren van informatie is niet alleen een kwestie van techniek, maar vraagt tevens om een zorgvuldig overdacht organisatorisch beleid met juridische voorwaarden. Toch kan ook besloten worden bepaalde documenten juist buiten het digitale archief te houden of om een separaat archief van de oorspronkelijke documenten aan te houden omdat er nog geen harde jurisprudentie bestaat over de bewijswaarde van digitale documenten in strafzaken. De juridische aspecten zijn één van de belangrijkste onderwerpen die in gedachte moeten worden gehouden bij elke digitale informatiestrategie. Naast het digitale archief komt de bedrijfsvoering van de archieffunctie zelf ook in aanmerking voor automatisering. Momenteel is het niveau van automatisering binnen het archiefwezen nog niet dusdanig hoog dat er een noodzaak is audits uit te laten voeren. Dit zal veranderen, want het Ministerie van OC&W en ook de Raad voor de Kunst leggen steeds meer nadruk op de inzet van IT binnen het archiefwezen. Door schaalvergroting en de inzet van Internet wil het archiefwezen haar diensten ook op Internet gaan aanbieden. Diverse projecten staan hiervoor op stapel. Het management kan voor vraagstukken komen staan waar een IT-auditor op basis van zijn kennis en expertise vanuit een adviesfunctie een antwoord op kan geven. Om de betekenis van een archiefstuk voor het bedrijfsproces te bepalen is het nodig om ook over gegevens óver het document te beschikken. Momenteel komen er applicaties op de markt om organisaties hierin te ondersteunen bij hun record keeping functie. Met de standaard US DoD 5015-2 kan de IT-auditor vanuit zijn toetsfunctie normen opstellen van wat een elektronisch archiefbeheersysteem functioneel moet kunnen om aan de eisen die voortvloeien uit de archiefregelgeving, te voldoen. De archiefwetenschap weet de computerrisico's van digitale archivering goed in te schatten. Er is veel theorievorming rond kwaliteitsaspecten authenticiteit en integriteit over een digitaal archief. Het huidige archiefwezen kan echter de complexiteit van de beheersing van de informatisering nog niet geheel overzien. Het kan gebeuren dat vraagstukken die niet binnen de organisatie kunnen worden opgelost, door een onpartijdige auditor wel kunnen worden beantwoord. Deze IT-auditor moet dan wel eerst zich de weten regelgeving die geldt binnen het archiefwezen eigen maken voordat hij een audit kan uitvoeren. De archieffunctie zal in plaats van achter aan de keten in het bedrijfsproces verschuiven naar de voorkant. Het archiefwezen staat op een belangrijk omslagpunt, van papier naar digitaal. Er moet op korte termijn een digitaal archief geïntroduceerd worden, anders wordt het een digitale chaos. Momenteel wordt er bij de ontwikkeling van informatiesystemen nog zelden rekening gehouden met het incorporeren en /of ondersteunen van de archieffunctie. Dit is opmerkelijk want de archieffunctie is in een digitale omgeving een dynamische spil in het kennismanagement van een organisatie. Mede daarom is het belangrijk dat het archiefwezen en de IT-auditingwereld zo snel mogelijk intensiever met elkaar gaan samenwerken.


x


1

HOOFDSTUK I ORGANISATIE VAN HET ARCHIEFWEZEN Het archiefwezen moet zich zo snel mogelijk meer richten op het digitale document zodat het overheidshandelen van na 1975 blijvend getoetst kan worden. Hoewel slechts vijf procent van het totale rijksoverheidsarchief voor permanente bewaring in aanmerking komt, is het belangrijk dat er bewaarstrategieën voor digitale documenten worden uitgewerkt. Wat het archiefwezen is en hoe het archiefwezen in Nederland is georganiseerd en hoe het wil omgaan met het digitale archief wordt in dit hoofdstuk behandeld. 1.1 Wat is het archiefwezen Archiefwezen is het geheel van organisaties en regelgeving belast met of betrekking hebbend op archiefbeheer, opleiding van daartoe bevoegde personen en bevordering van goed archiefbeheer. In engere zin verstaat men onder het archiefwezen ook wel het geheel van organisaties belast met het archiefbeheer betreffende overgebrachte archiefbescheiden, de inspectie archiefbescheiden, de opleiding van daartoe bevoegde personen en de bevordering van goed archiefbeheer, in het bijzonder de openbaarheid. 1.2 Organisatie binnen de overheid De Rijksarchiefdienst in Nederland bestaat uit het Algemeen Rijksarchief te Den Haag en elf archieven, gevestigd in de elf provinciehoofdsteden. Het zijn de archieven van overheidsinstellingen van het rijk en de provincie die in de loop der eeuwen op het grondgebied van de provincie werkzaam zijn geweest. Samen vormen die het netwerk van Rijksarchieven. De Rijksarchiefdienst zorgt ervoor dat de archieven van de rijks- en provinciale overheid in goede en geordende staat bewaard blijven. Daarom ondersteunt de dienst de archiefvorming van de overheid1. Archieven van de rijksoverheid worden na 20 jaar naar de Rijksarchiefdienst overgebracht. Vanaf dat moment zijn ze voor iedereen openbaar. Overigens bestaat deze openbaarheid sinds 1918. Daarvoor heeft vrijwel niemand toegang tot de archieven. Pas in 1800 wordt er tijdens de Bataafse Republiek een pleidooi gehouden voor het bijeenbrengen van alle archieven van de overheid. Twee jaar later stelt men de eerste landsarchivaris aan die de overheidsarchieven gaat beheren. De ontwikkeling van het openbaar archief heeft zich daarna in een traag tempo voltrokken en duurde het geruime tijd voordat er enige orde in de archiefchaos ontstond. Naast overheidsarchieven zijn ook archieven van andere organisaties ondergebracht bij de Rijksarchieven. Als historische bron vormen ze een belangrijke aanvulling op de archieven van overheidsinstellingen. Bovendien zijn er archieven van families en verenigingen te vinden die in een provincie een belangrijke rol speelden. Zo zijn er veel kerkelijke archieven ondergebracht bij een rijksarchief. Daarnaast worden de archieven waar nodig gerestaureerd om ervoor te zorgen dat de archieven ook in de toekomst toegankelijk blijven. Soms kunnen archiefstukken daardoor alleen nog als kopie (microfilm) geraadpleegd worden. Momenteel beheert de Rijksarchiefdienst ongeveer 170 strekkende kilometer archieven, ofwel de afstand van Utrecht naar Maastricht. Verder liggen er zo'n 88.000 charters (gezegelde akten op perkament) en 525.000 kaarten en tekeningen opgeslagen. De oudste stukken zijn circa 1000 jaar oud. Er komen jaarlijks gemiddeld 1500 kaarten en tekeningen en 2,5 kilometer archieven bij. Verder zijn er zo'n 820.000 microfiches en microfilmrollen. Dit zijn reproducties van oude waardevolle documenten die in slechte staat verkeren. Digitale archiefstukken uit eind jaren 70 en begin jaren 80 beginnen steeds vaker voor te komen. 1.3 Functies van archieven Archieven worden in eerste instantie door instellingen of personen gevormd als een instrument bij hun taakuitoefening of functioneren, met name om te dienen als geheugen. In archieven zijn voor een groot deel het handelen van een persoon of een overheidsinstelling terug te vinden. Hierdoor zijn het zeer directe en authentieke historische bronnen. Nederland kent sinds 1918 een Archiefwet die moet garanderen dat overheidsarchieven bewaard blijven en openbaar zijn, voor zover dat uit juridisch, administratief of historisch oogpunt wenselijk is. Onlangs is de 'Regeling geordende en toegankelijk staatsarchiefbescheiden 2000' uitgekomen.

1 www.archief.nl


2

Ieder overheidsorgaan moet zijn archieven in goede, geordende en toegankelijke staat houden. Dat houdt ook in dat stukken die voor blijvende bewaring in aanmerking komen na verloop van tijd naar een archiefbewaarplaats worden overgebracht. Stukken die hier niet voor aanmerking komen, worden vernietigd. Archiefstukken in archiefbewaarplaatsen zijn in principe openbaar en kosteloos te raadplegen. Om te zorgen dat deze regelgeving door de verschillende overheden ook werkelijk wordt uitgevoerd, kent de Archiefwet een uitgebreid stelsel van toezicht. Dit stelsel van toezicht wordt hieronder beschreven. 1.4 Particuliere archieven De archiefwet schrijft voor dat niet-vernietigbare archieven van de overheid na 20 jaar worden opgeslagen. De wet is gericht op het overheidshandelen. Die gelden alleen voor overheidsinstellingen, en particulieren die een overheidstaak uitoefenen. Voor bedrijfsarchieven van andere particulieren bestaat geen plicht tot blijvende bewaring en openbaarheid, anders dan bijvoorbeeld het fiscaal recht voorschrijft. Dan geldt een wettelijke bewaartermijn van zeven jaar. Er is dus geen enkele wettelijke garantie dat archiefmateriaal van bedrijven en particulieren bewaard blijft, hoe belangrijk het als historische bron ook is. Gelukkig wordt er op dit terrein veel bewaard, omdat in brede kring het belang ervan wordt ingezien2. 1.5 Archiefbewaarplaatsen Er bestaat in Nederland een dicht net van archiefbewaarplaatsen. De Archiefwet bepaalt meestal de structuur van dit net, maar ook gemeentelijk en provinciaal beleid en particulier initiatief zijn van invloed. De archieven die door rijksoverheden en provinciale overheden zijn gevormd, zijn krachtens de Archiefwet verspreid over de rijksarchieven in de provinciehoofdsteden. Deze rijksarchieven vallen onder bestuurlijke verantwoordelijkheid van de minister van OC&W. Gemeenten en waterschappen zijn zelf verantwoordelijk voor hun eigen archiefbewaarplaatsen. Daarbij zijn er twee mogelijkheden. Bij de eerste mogelijkheid richt men een archiefdienst op met een gemeente- of waterschapsarchivaris aan het hoofd of richt men samen met meer gemeenten zo’n dienst op. Bij de tweede mogelijkheid worden de archieven in de archiefbewaarplaats niet door een professionele archivaris beheerd maar wordt deze eens in de zoveel tijd bezocht door een inspecteur van de provincie waar de gemeente onder ressorteert. De rijksarchieven en veel gemeentelijke en regionale archiefdiensten nemen ook archieven van particuliere instellingen en personen op die voor de geschiedenis van hun werkgebied van belang zijn. Er zijn ook andersoortige instellingen die archieven voor het publiek onderhouden. Niet alleen bibliotheken en musea doen dit, maar vooral ook documentatiecentra op een bepaald historisch terrein, zoals bijvoorbeeld het Nederlands Instituut voor Oorlogsdocumentatie, het Internationaal Instituut voor Sociale Geschiedenis en het Nederlands Architectuur Instituut. Een groot aantal instellingen zoals Philips, De Nederlandsche Bank en het Koninklijk Huis beheren een eigen archief en geven dit, zij het in beperkte mate, aan onderzoekers ter inzage. 1.6 Beperkte toegankelijkheid van archieven De historische overheidsarchieven zijn op grond van herkomst over een groot aantal archiefbewaarplaatsen verspreid. Het beheer en de inzage van de archieven verlopen volgens de ordening van de oorspronkelijke archiefvormer die nodig was voor zijn taakuitoefening3. Hierdoor gaat weinig historisch archiefmateriaal verloren en behouden de archieven hun authentieke waarde. Ook maakt deze bewaarvorm en ordening het mogelijk het overheidshandelen te reconstrueren. Een audittrail over een specifieke overheidsbeslissing is met dit papierenarchief vaak terug in de tijd te volgen en dit maakt het archief een interessant werkterrein voor historici. Het huidige archiefwezen is door zijn indeling kleinschalig te noemen en kent weinig samenhang. Vaak hebben archiefinstellingen te weinig middelen om hun materiaal op eigentijdse wijze aan het publiek te presenteren. Alleen grote gemeenten, zoals Amsterdam, zijn in staat een eigen tentoonstellingsdienst met conservator bij hun archiefdienst te plaatsen. Weinig samenhang tussen archieven leidt ertoe dat archieven moeilijk toegankelijk zijn. Bij een toenemende belangstelling voor de historische aspecten van de samenleving worden archieven te weinig gebruikt als informatiebron.

2 Archieven in de Etalage, pag. 15 3 idem, pag. 16


3

Een relatief groot deel van de middelen van de rijks- en streekarchieven, de regionale archieven en de archiefdiensten van gemeenten met meer dan 100.000 inwoners moeten worden ingezet voor bedrijfsvoering en beheer. Bij de meeste archiefdiensten bestaat het grootste deel van publieke dienstverlening uit het beschikbaar stellen van de collectie in de studiezaal. Dit gebeurt op een wijze die overeenkomt met het beheer van de collectie. Men kan archiefstukken aanvragen en raadplegen aan de hand van de inventarislijsten die in de studiezaal ter inzage liggen. Soms is dit opvraagdeel geautomatiseerd maar veelal worden nog gewoon kleine tabbladen gebruikt. De huidige vorm van dienstverlening richt zich momenteel vooral op een klein publiek dat bereid is zelf intensief onderzoek te verrichten en daarvoor veel moeite willen doen. Dit zijn vaak beroepswetenschappers of amateur-genealogen. Momenteel is er een toename van de vraag naar historische informatie te onderkennen. Het archiefwezen wil hierop inspelen door hun collectie zoveel mogelijk te ontsluiten en via Internet aan te bieden4. Inmiddels zijn diverse initiatieven opgezet om tot digitale archieven en depots te komen5. Men speelt in op het feit dat potentiële gebruikers ervaring hebben met nieuwe media en niets liever willen dan te onderzoeken met themagerichte zoeksystemen en digitale toegangen6. Toch is er vanuit wetenschappelijk oogpunt nog nooit onderzoek gedaan hoe gebruikers op internet zoeken en wat het verschil is tussen gebruik en gebruikers op afstand en in de studiezaal7. De collectie die archiefinstellingen beheren is over het algemeen beperkt. Daardoor komt het door hun beheerde materiaal betrekkelijk weinig onder de aandacht van het publiek. Archieven willen met een nieuwe vorm van dienstverlening gaan inspelen op de nieuwe media en daarnaast ook op educatieve wijze aandacht vragen. Archiefinstellingen beschikken echter niet over de juiste middelen. Daardoor zijn archiefinstellingen vaak onaantrekkelijke samenwerkingspartners bij projecten: hun inzet van personeel en materiaal is erg klein. Toch kunnen zij door hun praktijkervaring en kennis van archiveringsmethodes een aanzienlijke bijdrage leveren aan beleidsplannen, procedures, standaarden bij het creëren en vastleggen van betrouwbare, authentieke en bewaarbare archiefstukken. Schaalvergroting archiefdiensten Op veel plaatsen vindt op dit moment al jarenlang schaalvergroting plaats. Al rond 1970 zijn enige gemeentes en waterschappen begonnen de kleinschaligheid van het archiefbeheer te doorbreken door de oprichting van streekarchieven, streekarchivariaten en regionale archiefdiensten. Daardoor staan nu in provincies als Gelderland, Noord- en Zuid-Holland en Noord-Brabant de meeste gemeentelijke archiefdiensten onder professioneel beheer. Deze archiefdiensten zijn ook meer betrokken bij de bedrijfsprocessen van hun organisatie. In 1995 startte een nieuwe fase toen de gemeente Utrecht het initiatief nam tot integratie van het gemeentearchief met het rijksarchief. Dit leidde tot het openbaar lichaam Het Utrechts Archief, dat sinds 1998 bestaat. Er zijn hierdoor meer middelen beschikbaar gekomen voor publieksdiensten om een vergroting en een verbreding van het publiek te bewerkstellen. Dit is mogelijk geworden doordat de overhead- en beheerskosten nu lager zijn dan toen beide instellingen nog apart functioneerden. In de toekomst moeten er meer mensen in staat zijn actief te zoeken naar archiefgegevens. Producten van archiefdiensten moeten worden afgestemd op de wensen van uiteenlopende publieksgroepen. Publieksgroepen die wel in historische informatie geïnteresseerd zijn, maar daar anders dan door onderzoek kennis van willen nemen, bijvoorbeeld via Internet. Het voordeel van de fusie is ook dat twee samenhangende collecties zijn samengevoegd tot één archief. Hierdoor is ook gemakkelijker informatie meer vraag- en themagericht aan een groter en breder publiek aan te bieden. Het rijk heeft naar het voorbeeld van Utrecht een beleid ingezet om alle rijksarchieven met een of meer partners te laten fuseren tot grootschaliger regionale historische centra. Het idee is dat grotere archiefinstellingen beter in staat zijn een groot en breed publiek aan te trekken en te bedienen8. De reden hiervoor is dat samenwerking van de rijksarchieven binnen een centraal aangestuurde rijksarchiefdienst de positie van de afzonderlijke rijksarchieven niet optimaal versterkt.

4 Op www.archief.net is te zien welke diensten archieven digitaal aanbieden. Er zijn grote verschillen. 5 Zoals het Depot van Nederlandse Elektronische Publicaties (DNEP) van de Koninklijke Bibliotheek 6 Archieven in de Etalage, pag. 16 7 F.C.J. Ketelaar, Archievenblad, augustus 2000, pag. 29 8 A. Knotter, Archievenblad, augustus 2000, pag. 19


4

Willen deze in hun regio effectief kunnen werken, dan zullen zij onderdeel moeten worden van grotere instellingen is het idee van de minister van OC&W. Het zwaartepunt in de grootschaliger historische centra ligt op het beantwoorden van de diverse vragen naar historische informatie in de desbetreffende regio en/of provincie. Om het beheer van de publieksdiensten te optimaliseren zijn omvangrijke investeringen nodig met name op automatiseringsgebied. De overheid wil het archiefwezen interessanter als partner maken in educatieve projecten voor musea, bibliotheken, erfgoedhuizen en steunpunten voor monumentenzorg. De aandacht van de Rijksarchiefdienst als zodanig zal zich dan vooral richten op cultuur en het beschikbaar stellen van het archiefbescheiden en minder op de organisatorische aspecten9. De archiefdiensten willen dus een breder publiek proberen te bereiken in een samenleving die steeds hogere eisen aan hen stelt, vooral op digitaal gebied. Er is een nieuwe generatie van gebruikers die niet de moeite neemt archieven te onderzoeken met oude methoden10. De vraag is of veel gebruikers door de omgang met ICT niet op een andere wijze informatie willen zoeken. Pas nu wordt er onderzoek gedaan tussen het verschil in gebruik in de studiezaal of gebruikers op afstand via Internet. 1.7 Verantwoordelijkheden van de archieffunctie Voor de archieven van de overheid zijn twee ministeries verantwoordelijk11:

Het Ministerie van Onderwijs Cultuur en Wetenschappen (OC&W) voor de selectie en beheer van de archieven die permanent bewaard worden vanuit cultureel en historisch oogpunt;

Het Ministerie van Binnenlandse Zaken (BIZA) dat moet zorgen voor een zodanige inrichting

dat deze nuttig gebruikt kunnen worden voor bedrijfsvoering en verantwoording. De minister biedt een visie aan op het archiveren en brengt afgeleide regelgeving uit.

De verantwoordelijkheid over digitale archiefbescheiden ligt in het verlengde van beide ministeries; OCW gaat over de culturele functie en BIZA over de bestuurlijke administratieve. Elk ander ministerie en elk ander politiek bestuur kent een eigen verantwoordelijkheid voor de inrichting van de eigen informatievoorziening want “elke archiefvormer is verplicht zijn digitale informatie te beheren in een goede en geordende staat”12. 1.8 Digitale duurzaamheid De overheid wordt steeds digitaler in haar functioneren. Steeds meer digitale gegevensbestanden komen voor archivering in aanmerking. Binnen alle lagen van (archief) bestuur bestaan er problemen ten aanzien van het beheer en behoud van digitale gegevensbestanden. Binnen de overheid zijn de bedrijfsvoeringfunctie en de archieffunctie als gevolg van de digitalisering verder uit elkaar gedreven13. De twee bovengenoemde ministeries hebben nu een regisserende rol op zich genomen na aanbevelingen van o.a. de Algemene Rekenkamer en op aandrang van de Tweede Kamer die een concreet en systematisch beleid wenst dat anticipeert op de te voorziene ontwikkelingen rond digitale gegevensbestanden. Het programma Digitale duurzaamheid is hier een voorbeeld van14. Er moet meer voorlichting gegeven worden en meer samenwerking plaatsvinden tussen de verschillende groepen mensen die bij digitale gegevensbestanden betrokken zijn. De huidige archivarissen spreken een andere (digi)taal dan hogere beleidsmedewerkers en professionele automatiseerders15. Het programma 'Digitale duurzaamheid' geeft een opsomming van bewaarstrategieën voor digitale documenten, variërend van het eenvoudigweg uitprinten van materiaal tot emulatie waarbij de oorspronkelijke soft- en hardware bij het document bewaard blijft. Er wordt momenteel gewerkt aan het formuleren van eisen aan digitale documenten en bestanden gezien vanuit het oogpunt van verantwoording en continuïteitseisen. Dit is nodig want er zijn schrijnende gevallen van CAD systemen op vijf-en-een kwart floppen die niet meer bruikbaar waren. Stel dat deze de CAD/CAM files de tekeningen van de Deltawerken zou hebben bevat en niemand zich ooit zorgen zou hebben gemaakt over de mogelijke leesbaarheid met de huidige

9 Doxis Infomanagement, nr 2 juni 2000, pag 9 10 Archievenblad, augustus 2000, pag 24. 11 Ellen Kuller, Verantwoording verzekerd, Boek van bewaring, pag. 84 12 idem 13 Doxis Info Management, Nr.2, juni 2000, pag 16 14 Voorheen bestond er bij BIZA een Bureau Digitale Duurzaamheid, dit is inmiddels opgeheven. 15 Gerard Mentjox, Doxis Info management, nr. 2, juni 2000, pag. 17


5

computerapparatuur. Typerend is een recent geval van digitale onachtzaamheid van een kostbaar archeologisch onderzoek naar de Bronstijd waarbij men gegevens van 180 opgravingen uit de periode 1991 - 1998 op 220 diskettes had opgeslagen. Al na enkele jaren blijkt nog maar 5% van de gegevens leesbaar te zijn en back-ups zijn niet voorhanden. Van alle andere floppies is de emulsielaag dusdanig aangetast dat ze onleesbaar geworden zijn. Klaarblijkelijk verouderen soms gegevens die in een digitaal formaat worden bewaard veel sneller dan de oorspronkelijke informatie in de bodem of daarna op papier. In hoofdstuk VI worden de belangrijkste kwaliteitsaspecten rondom digitale archivering beschreven. Kwaliteitsaspecten als authenticiteit, integriteit, betrouwbaarheid en toegankelijk komen hier aan bod. Küller noemt het een uitdaging deze oude begrippen (sic) te vertalen en te operationaliseren naar de nieuwe digitale periode in het archiefwezen16. Belangrijk aandachtspunt is dat in een digitale omgeving het verschil tussen kopie en origineel moeilijk is aan te geven. In een papieren omgeving is dit wat makkelijker want een kopie ziet er fysiek anders uit dan het origineel. Met Internet tot ieders beschikking is het niet meer zo belangrijk waar de informatie staat, maar waar je het kunt vinden en interpreteren. Belangrijk hierbij is waar geselecteerde gegevens kunnen worden teruggevonden en hoe deze kunnen worden ontsloten. Archiefbeheerders hoeven in de toekomst hun gegevens niet zelf meer in depots te bewaren maar daar waar het het beste uitkomt. Dit klinkt allemaal fantastisch maar het stelt natuurlijk hoge eisen aan beheersvraagstukken rond beveiliging en continuïteit. Ook wettelijke aspecten spelen bij het digitale archiveringsvraagstuk een grote rol. Wanneer aanmaak, opslag en ter beschikking stellen van archiefbescheiden volledig is gedigitaliseerd, verdwijnen ook de logistieke handelingen en beperkingen die nu aan archivering vastzitten zoals de ouderwetse controlehandelingen. Als het goed is, zijn deze dan verwerkt in het gedigitaliseerde systeem. Op basis van een zogenaamd Record Keeping System17 (RKS) zal de logistiek van een document te vangen zijn. Overheidsbestanden komen hiermee vlak na het aanmaken al in het bezit van de archiefdienst. Juridisch gezien gaat het van het regime van de Wet Openbaarheid van Bestuur direct naar het regime van de Archiefwet 1995. Het archief sluit daardoor beter aan bij de procesgang van de overheid. In bijlage IV zal een korte opsomming gegeven worden welke juridische aspecten bij digitale archivering een rol spelen. De toenemende digitalisering van het werkproces en de invoering van workflowmanagement zijn momenteel geen onbekende begrippen meer in het archiefwezen. De archieffunctie in een digitale omgeving is een dynamische spil in het kennismanagement van een organisatie18. Belangrijk daarbij is voor (overheids) organisaties en hun archiefvormers dat zij in dialoog de archieffunctie en het primaire bedrijfsproces samenbrengen. Hierbij moet men een handzame indeling ontwerpen voor de digitale gegevens19 en de contextgegevens waarbij men per soort de aanpak, de mogelijkheden en onmogelijkheden in beeld brengt. Daarbij is het belangrijk dat in samenwerking met archiefvormers een convenant en een nieuw begrippenkader ontstaat. Momenteel wordt er bij de ontwikkeling van informatiesystemen nog zelden rekening gehouden met het incorporeren en/of ondersteunen van de archieffunctie. Dit is opmerkelijk want juist bij het zoeken van oplossingen voor de archiefproblematieken of ontsluiting via Internet wordt veel van de automatisering verwacht20. Sturen op geld, is in organisaties nog steeds het belangrijkste sturingsinstrument binnen een organisatie, daarna volgt personeel als goed tweede 21. Het archief wordt zelden als stuurinstrument gebruikt. Helaas ontdekt men pas bij grote calamiteiten het nut en de functie van een goed archief22. Het archief faciliteert enerzijds de werkprocessen in een organisatie, anderzijds speelt het een wezenlijk rol voor verantwoording op middellange en lange termijn. Toch blijven het toegankelijk maken van informatie en beschikbaar stellen van documentaire informatie kerntaken van de organisatieonderdelen die met de documentaire informatievoorziening

16 Ellen Küller, Verantwoording verzekerd, in Het Boek van bewaring, pag. 87 17 Ook wel Record Management Application (RMA) genoemd. 18 M. Bakker, e.a., Het digitale erfgoed, in Het Boek van bewaring, pag. 108 19 Binnen het archiefwezen wordt vaak de term machine leesbare gegevens (MLG) gebruikt 20 Gerard van de Weg, Archiveren als basis voor verantwoording, in Boek van bewaring, pag. 60 21 idem, pag. 57 22 Met name het archief van een milieudienst is dan de start van een grootscheeps onderzoek naar de oorzaak


6

zijn belast. Bewaren heeft alleen zin als er een selectie gemaakt wordt van het bestaande materiaal en dit systematisch gerubriceerd wordt. Overigens wordt juist dankzij de informatietechnologie het informatieaanbod zo groot dat zelden iets terug te vinden is omdat meestal voorbij gegaan wordt aan de voorwaarde van systematische opslag. Alleen strenge selectie uit het beschikbare materiaal is een alternatief. Archiefdiensten zijn hierin gespecialiseerd en kunnen dus hierin hun nut bewijzen. Voor de verdere vormgeving van verantwoordelijk en integraal management in het kader van de archieffunctie voor het afleggen van verantwoording zou Audit en Monitoring de archieffunctie ten dienste staan om tot stapsgewijze verbeteringen te komen. Met behulp van een audit kunnen referentiepunten worden vastgesteld die voor de monitoring als uitgangspunt dienen. Archief- doelstellingen moeten dusdanig worden geformuleerd dat vooraf meetpunten worden gedefinieerd. Periodiek moet worden gemeten en gerapporteerd. 1.9 IT-auditors en digitale duurzaamheid Net als een IT-auditor, inspecteert en beoordeelt een archivaris objecten en bedrijfsprocessen aan de hand van normen en richtlijnen. Naast wettelijke kaders werkt de archivaris vrij strikt met regelingen zoals bijvoorbeeld de regeling Geordende en toegankelijke staat archiefbescheiden 200023. Hierin staan de eisen waaraan een (digitaal) archief moet voldoen. Uit navraag bij studenten van enkele EDP-auditingopleidingen blijkt dat tijdens de studie weinig aandacht wordt geschonken aan digitale duurzaamheid. Natuurlijk komt het begrip wel ter sprake bij onderwerpen die met continuïteit te maken hebben. Hoewel er een verschuiving te zien is waarbij IT-auditors door het management van een organisatie gevraagd te wordt adviesopdrachten uit voeren, is de jaarrekening EDP-audit, in mijn omgeving, nog steeds het grootste werkterrein van een IT-auditor. IT-Auditors moeten het belang inzien om het laatste stukje van een bedrijfsproces, de archiveringaspecten van bedrijfsprocessen, volgens geldende regels in te corporeren bij het ontwerp van een informatiesysteem. Digitale archivering en duurzame opslag zullen in organisaties in de toekomst een steeds belangrijke rol gaan vervullen. De archieffunctie in een digitale omgeving is bijvoorbeeld een dynamische spil in het kennismanagement. Veel gemeenten passen momenteel hun kerntaken aan. Oude gemeentelijke instellingen zoals archiefdiensten zullen worden omgebouwd tot informatieleveranciers aan de burgers die gelijktijdig een verantwoording van genomen beslissingen krijgen. Hierbij kan zeker een IT auditor zijn nut bewijzen. IT-Auditors kunnen hun kennis van IT-modellen en IT-objecten en de kwaliteitseisen en risico's daaromtrent uitdragen die niet bekend zijn. Juist het vakgebied IT-auditing levert dikwijls vaktechnisch een aanvullende bijdrage aan het formuleren van kwaliteitseisen (aspecten) en normen binnen de automatisering in het algemeen. Omgekeerd kunnen IT-auditors kennis nemen van de theorievorming omtrent digitale archiveringsaspecten en de hierbinnen geldende modellen. Hoe een archief eruit ziet, wordt in hoofdstuk 2 behandeld.

23 zie Bijlage V


7

HOOFDSTUK II WAT IS ARCHIEF In dit hoofdstuk worden de belangrijkste theoretische begrippen uit de archiefwereld beschreven. Bij het archief als proces worden twee invalshoeken beschreven waarbij enerzijds het document centraal staat en anderzijds het bedrijfsproces. De oude papieren documentencyclus past niet bij het digitale archief. Dit wordt met een model geschetst. Dit hoofstuk gaat wat meer theoretisch in op de functie van een archief 2.1 HET ARCHIEF: DE THEORIE Archief is het geheel van archiefbescheiden, ontvangen of opgemaakt door een persoon, groep personen of organisatie. De plaats van bewaring is voor het begrip niet relevant: een onderdeel van hetzelfde archief kan bij de archiefvormende organisatie berusten en een ander deel bij een archiefdienst. Zodra een archief gevormd wordt door een groep personen of een organisatie, kan in principe ieder natuurlijk persoon of organisatieonderdeel met een zekere zelfstandige handelingsbevoegdheid binnen die groep of organisatie ook als archiefvormer zelfstandig werken, zoals ministeries. Ook kleine, weinig gereglementeerde organisaties hebben veelvuldig zelfstandige organisatorische onderdelen, die zelfstandige archiefvormers zijn. De administratieve zelfstandigheid wordt bepaald door zaken als het notuleren van de vergaderingen zonder dat daarover verantwoording wordt afgelegd, het voeren van een briefwisseling op eigen gezag of een eigen financiële administratie. Archieven worden tijdens de werkprocessen van een organisatie gevormd om na te kunnen gaan hoe taken zijn verricht. Zij worden, of ze nu op papier, microfilm of digitaal zijn vastgelegd, gebruikt om verantwoording te kunnen afleggen aan de samenleving. 2.1.1 De archiefwet24 De Archiefwet 1995 is een instrument om de openbaarheid en het behoud van archieven te garanderen. Het democratisch functioneren van de samenleving is onder meer af te meten aan de openbaarheid van haar archieven. De overheid moet aan de samenleving verantwoording af kunnen leggen. De wet geeft het kader voor het beheer van binnen de organisatie gevormde gegevens25. De wet stelt regels ten aanzien van het archiefbeheer door overheidsorganen. Dat betekent dat overheidsorganen aan een aantal wettelijke verplichtingen moeten voldoen met betrekking tot het beheer van archiefbescheiden. Ook digitale archiefbescheiden vallen volledig onder de werking van de Archiefwet. De Wet Openbaarheid van Bestuur, de Wet Persoonsregistraties (nu de Wet Bescherming Persoonsgegevens) en de Archiefwet regelen hoe de overheid moet omgaan met door haar opgemaakte en ontvangen gegevens en archieven26. 2.1.2 Wat is archiefvorming Het is het geheel van procedures en handelingen waarbij archiefbescheiden in een archief wordt opgenomen. Het bestaat uit de volgende fasen:

De dynamische fase verloopt gelijktijdig met de uitvoering van activiteiten en taken; er worden veelvuldig archiefstukken in het archief opgenomen;

Tijdens de semi-statische fase worden de archiefstukken nog regelmatig door de persoon, groep personen of organisatie die het archief vormen geraadpleegd en incidenteel aangevuld in verband met afwerking en controle van in principe voltooide activiteiten; de verwijdering van voor vernietiging in aanmerking komende archiefstukken heeft in het algemeen nog niet plaatsgevonden. Van te bewaren en op enige termijn te vernietigen archiefstukken kan al in de dynamische fase een selectie hebben plaatsgevonden;

In de statische fase wordt het archief nog slechts incidenteel geraadpleegd door de persoon, groep personen of organisatie die het archief vormen en zijn de voor vernietiging in aanmerking komende archiefstukken verwijderd en al dan niet vernietigd. Soms is er sprake van een archief waarin geen nieuwe archiefstukken worden opgeborgen omdat de archiefvormer is opgehouden (zelfstandig) te functioneren.

24 op de Cdrom, bijgevoegd bij dit referaat, is de integrale tekst van de archiefwet en het archiefbesluit te vinden 25 zie: www.archief.nl 26 zie verder bijlage IV


8

2.1.3 Wat is archivering Archivering is het opbergen van stukken in daarvoor bestemde kasten, het voor bewaring opslaan van (digitale) documenten, het verplaatsen van semi-statische en statische archiefbescheiden naar een voor bewaring bestemde ruimte. Openbaarheid wordt gewaarborgd door archieven. De archieven moeten niet alleen in goede en geordende, maar ook in toegankelijke staat te beheren en te bewaren zijn. Dit om de openbaarheid te waarborgen. Vooral bij digitale archieven vergt dit een extra inspanning. Papier 'op de plank' blijft toegankelijk, maar om digitale gegevens in hun oorspronkelijke betekenis en context als archief te kunnen blijven behouden, is een geheel andere aanpak nodig. Een aanpak waarbij onderandere standaardisatie en procedures een grote rol spelen. 2.1.4 De archiefvormer Dit is een persoon, groep personen of organisatie, die zelfstandige archiefvorming als een van zijn of haar activiteiten heeft. De context van een archiefstuk, archiefbestanddeel of archiefafdeling is het geheel van administratief-organisatorische, bestuurlijk-juridische en technische gegevens waarbinnen de functie van het archiefstuk, archiefbestanddeel of archiefafdeling in relatie tot de activiteiten en taken van de archiefvormer moet worden geïnterpreteerd. De context van een archief is het geheel van administratief-organisatorische, bestuurlijk-juridische, maatschappelijke en technische omstandigheden waarbinnen de activiteiten en de wijze van taakuitvoering van een archiefvormer moeten worden geïnterpreteerd. 2.1.5 Archiefgegevens Dit zijn de gegevens over de context, de geschiedenis en de inhoud van een archief, archiefafdeling, archiefbestanddeel en archiefstuk. De gegevens kunnen op hun globaalste of meest gedetailleerde niveau worden vastgelegd, respectievelijk betreffende:

Een archief: de naam van de archiefvormer, een opgave van zijn taken, competentie in relatie tot andere archiefvormers en geschiedenis, de periode waarover archiefbescheiden aanwezig zijn, de mate waarin het in goede, geordende en toegankelijke staat verkeert, de plaats waar het berust en zo mogelijk de omvang in strekkende meters planklengte;

Een archiefafdeling: een zo nauwkeurig mogelijke opgave van de taken en onderwerpen van

bemoeienis die binnen de archiefafdeling voorkomen, in relatie tot die van andere archiefafdelingen en indien de afzonderlijke archiefbestanddelen niet beschreven zijn, de periode waarover zich archiefbescheiden binnen de archiefafdeling bevinden en hun omvang in een voor de raadpleging relevante afmeting.;

Een archiefbestanddeel: een opgave van de gemeenschappelijke kenmerken van de

archiefbescheiden binnen het archiefbestanddeel, en indien de afzonderlijke archiefbescheiden niet beschreven zijn, de periode waarover zich deze zich binnen de archiefafdeling bevinden en hun omvang in een voor de raadpleging relevante afmeting;

Een archiefstuk tenzij zulks uit de context blijkt de persoon, groep personen of organisatie die

het archiefstuk heeft opgemaakt, de geadresseerde, de afzender, het ontwikkelingsstadium, de datering, de uiterlijke vorm, de redactionele vorm, de inhoudsomschrijving, en een codering voor de vindplaats.

Soms worden andere gegevens omtrent een van de vier niveaus met een voetnoot aan de beschrijvingselementen toegevoegd, bijvoorbeeld gegevens omtrent de openbaarheid en beperkingen daarop, verwijzingen naar toegangen en nadere toegangen, de materiële staat. 2.1.6 Het bewaren van archiefgegevens De Archiefwet 1995 stelt eisen aan de ruimten waarin de archieven worden bewaard. Met het oog op het behoud van de archiefbescheiden moet er immers naar worden gestreefd om ze in een zo vroeg mogelijk stadium in een "beschermde" omgeving op te bergen. Dat stadium vangt feitelijk al aan nadat zaken administratief zijn afgehandeld. Het zegt dat nieuwe en vernieuwde archiefruimten zodanig gebouwd moeten worden dat archieven bij calamiteit zo min mogelijk gevaar lopen. Ook moeten zij beveiligd zijn tegen brand, inbraak en wateroverlast. Tot slot dient daar klimaat- en luchtbeheersing het natuurlijk verval en milieu-invloeden beperkt te houden.


9

2.1.7 Toezicht op archieven De archiefinspectie van het Rijk, de provincie of de gemeente dient volgens de Archiefwet 1995 toezicht te houden op de archieven. De provinciale archiefinspectie ziet daarbij toe op de archiefzorg bij provinciale overheid, gemeentelijke overheid en waterschappen. Daarnaast wordt in gemeenten en waterschappen met een openbare archiefdienst door de desbetreffende archivaris het toezicht op het beheer uitgeoefend. De rijksarchiefinspectie strekt zich in principe over de resterende overheidsorganen uit. 2.1.8 Niet actuele gegevens Na verloop van tijd zijn gegevens niet meer nodig voor bedrijfsvoering of verantwoording. Er resten dan de volgende twee wegen:

Selectie en vernietiging De Archiefwet 1995 zegt daarover dat alleen maar vernietigd mag worden als er een officiële selectielijst is. Dergelijke selectielijsten moeten door de desbetreffende overheden worden opgesteld en actueel gehouden. Ze omvatten alle categorieën van gegevens die verwacht kunnen worden binnen de organisatie of het beleidsterrein waarbinnen wordt geopereerd. Daarbij wordt per categorie aangegeven of deze wordt overgebracht naar een openbare archiefbewaarplaats of dat zij vernietigd wordt. Dat vernietigen mag natuurlijk pas nadat de gegevens voor de organisatie of bijvoorbeeld de rechten bewijszoekende burger niet meer van belang zijn. Dit is iets wat tot uitdrukking moet komen in de bijbehorende vernietigings-termijn. In de Archiefwet 1995 en het Archiefbesluit 1995 wordt aangegeven hoe men tot het vaststellen van een selectielijst komt;

Overbrenging naar een openbare archiefbewaarplaats

Eén van de belangrijkste aspecten van de Archiefwet 1995 is de verkorting van de overbrengingstermijn van vijftig naar twintig jaar. Hiermee worden de archieven veel eerder voor onderzoek ter beschikking gesteld aan de samenleving. Daarmee is de openbaarheid van bestuur gediend. Ook het onderzoek naar recente geschiedenis krijgt hiermee een impuls. De overheid acht het van groot belang dat dàt deel van haar archieven dat van historisch-cultureel belang is, bewaard blijft en benut kan worden. Openbare archiefbewaarplaatsen van Rijk, gemeenten en waterschappen zijn belast met die taak. Voor rijk, provincie en 'overige overheidsorganen' vervult het agentschap Rijksarchiefdienst deze functie; deze archieven worden naar een rijksarchiefbewaarplaats overgebracht. Gemeenten en waterschappen beschikken over eigen archiefbewaarplaatsen.

De wet biedt de mogelijkheid archieven eerder of later dan de genoemde termijn over te brengen. Voor het opschorten van de termijn van overbrenging van archieven is altijd een machtiging van de Minister van OC&W vereist. De machtiging bij de archieven die niet naar een rijksarchiefbewaarplaats worden overgebracht moet door Gedeputeerde Staten worden verstrekt. Overbrengen betekent voor archieven dat zij voor 'eeuwig' bewaard blijven. Voor te bewaren archieven is voorgeschreven dat de organisatie voor de opgemaakte archieven voorzieningen moet treffen opdat bij het raadplegen na minstens 100 jaar geen noemenswaardige achteruitgang zal zijn te constateren. Zowel voor papier, microfilm als digitale gegevensdragers zijn nadere eisen geformuleerd. 2.1.9 Openbaarheid van archieven Belangrijk kenmerk van de Archiefwet 1995 is de openbaarheid. Openbaarheid van overheidshandelen is immers een belangrijke voorwaarde voor een rechtsstaat, waarin de overheid openstaat voor kritiek en controle door burgers. Alle overheidsarchieven die na overbrenging in een openbare archiefbewaarplaats liggen, zijn op werkdagen voor raadpleging toegankelijk. Hierop kan een uitzondering gemaakt worden voor die delen die privacygevoelig zijn, onevenredige bevoordeling of benadeling kunnen veroorzaken of die het belang van de Nederlandse Staat of zijn bondgenoten raken.


10

2.2 HET ARCHIEF ALS GEHEUGEN VAN DE ORGANISATIE: DE PRAKTIJK Archieven worden tijdens de werkprocessen van een organisatie gevormd om na te kunnen gaan hoe taken zijn verricht. Zij worden op dragers van papier, microfilm of digitaal vastgelegd en worden gebruikt om verantwoording te kunnen afleggen aan de samenleving. 2.2.1 Archiefbeheer Papieren archiefbeheer is al jarenlang ingeburgerd27. Er bestaat voor papieren informatie een bewaarbeleid met lijsten van onderwerpen waarin is aangegeven hoe lang informatie bewaard moet blijven. De redenen zijn:

voor de eigen administratie (geheugen); rechten en plichten; controleerbaarheid handelen openbaar bestuur (democratie); cultuurhistorisch aspect.

2.2.2 Huidige Wet- en Regelgeving rond het archief De archiefdienst van de gemeente Amsterdam laat op zijn website goed zien welke regelgeving momenteel geldt binnen het archiefwezen van een gemeente28. Die geeft aan dat archief al direct gevormd wordt bij het ontstaan van een document, zowel in een papieren als digitale omgeving.

De taak van een archief Een archief levert informatie over het handelen van een organisatie of persoon. De functies van een archief maken het beheer ervan tot een niet te verwaarlozen zaak: archieven leggen niet alleen rechten en plichten van overheid en burgers vast en maken mede daardoor een goede democratische controle op het bestuur mogelijk, ook zijn zij, gelet op een juiste en volledige informatievoorziening, van bedrijfseconomisch belang. Voorts vormen zij op termijn een deel van ons cultureel erfgoed.

Rijk Om het archiefbeheer van overheidsorganen in goede banen te leiden is weten regelgeving vastgesteld. De Archiefwet 1995 regelt archiefzorg en –beheer van de overheidsorganen op hoofdlijnen. Hierop is het Archiefbesluit gebaseerd dat een aantal specifieke onderwerpen regelt. De Minister van OC&W heeft onlangs een Regeling bouw en inrichting archiefruimten en archiefbewaarplaatsen uitgebracht om de gemeentelijk en provinciale regels te uniformeren. Andere regels die nadrukkelijk de digitale archiefbescheiden en –bestanden noemen zijn de Regeling duurzaamheid archiefbescheiden en Regeling geordende en toegankelijk staat. Hierin zijn de eisen die gesteld worden aan de over te brengen digitale archiefbestanden terug te vinden zoals regels die voor schoning en tijdige vernietiging van archiefbescheiden gelden met als doel bestanden qua omvang beheersbaar én toegankelijk te houden.

Provincie De normen die voor een gemeentelijke archiefruimten gelden zijn vastgelegd in de Beleidsregels GS van Noord-Holland. d.d. 27 april 1999 met aandachtsgebieden als brandgevaar, wateroverlast, ongedierte, inbraakbeveiliging.

Gemeente In een Archiefverordening 1997 wordt de algemene bestuurlijke verantwoordelijkheid binnen de gemeente uitgewerkt. Het beheer van archiefbescheiden is een verantwoordelijkheid van de hoofden van de gemeentelijke diensten. Dit is uitgewerkt in een Besluit Informatiebeheer 1997. De hoofden van de betreffende diensten moeten op basis van een Mandaatbesluit Gemeentearchief aspecten van de archiefzorg uitvoeren: vervanging, stellen van openbaarheids beperkingen, opmaken van een verklaring van overbrenging, van vernietiging, van vervanging of van vervreemding. De gemeentearchivaris is belast met het toezicht op het beheer van de gemeentelijke archiefbescheiden die nog niet naar het Gemeentearchief zijn overgebracht. Die beoordeelt of het archief van een beheerseenheid materieel goed verzorgd,

27 Wergroep Digitaal archiefbeheer Middelburg, pagina 6 28 http://www.gemeentearchief.amsterdam.nl/concerndiensten/regelgeving/introductie/index.nl.html


11

geordend en toegankelijk is. Een sectie Verwerving & Inspectie van de Archiefdienst voert het toezicht op goed archiefbeheer uit en beoordeelt de kwaliteit van de Archiefruimten. Dit zijn ruimten bestemd voor de bewaring van nog niet overgebrachte archiefbescheiden. In deze fase van het archiveren bevinden zich de archiefbescheiden nog niet in het gemeentearchief. Wanneer de archiefbescheiden overgedragen zijn naar het gemeentearchief wordt het archiefbewaarplaatsen genoemd. Lijsten Stukken die op termijn binnen de gemeente vernietigd moeten worden staan per categorie vermeld op de Lijst van voor vernietiging in aanmerking komende stukken in gemeentearchieven 1983. Stukken moeten permanent bewaard worden als ze niet op deze lijst staan. Vernietigen is niet zondermeer toegestaan. Vooraf moet, via Inspectie, machtiging van de Gemeentearchivaris worden verkregen. Hiermee wordt voorkomen dat stukken van cultuurhistorisch, bedrijfseconomisch en/of juridisch belang (te vroeg) vernietigd worden. Er zijn procedures voor selectie en vernietiging en permanent te bewaren archiefbescheiden opgesteld die naar het Gemeentearchief moeten worden overgebracht. De norm is dat de bescheiden in goede, geordende en toegankelijke staat dienen te verkeren voordat ze na 20 jaar worden overgebracht. De eisen voor het over te brengen niet-digitaal archief staan in de Normen goede en geordende staat en Criteria bewerking codearchieven29. De sectie Inspectie van het gemeentearchief heeft op basis hiervan een controlelijst samengesteld. Ook bij het samenvoegen van beheerseenheden als gevolg van reorganisatie dient men zich aan strikte procedures te houden.

De archiefwet is een soort rompwet, dit betekent dat de artikelen nog verder uitgewerkt moeten worden binnen de organisaties waarvoor hij geldt. Veel overheidsorganisaties werken momenteel de aspecten van deze wet uit met betrekking tot digitale duurzaamheid. Dit is lastig want regels mogen niet tegen de archiefwet zelf in gaan. Deze wet maakt bijvoorbeeld geen onderscheid meer in wat voor vorm en waar het archiefstuk is opgeslagen. Bij een informatiesysteem is er sprake van registraties en van outputdocumenten. Het maakt veel uit of een informatiesysteem nog over 20 jaar toegankelijk moet zijn of dat er alleen leesbare bestanden mogen worden opgeslagen. In de papieren omgeving zaak bestaat er alleen het begrip registratie volgens de archiefwet. Andere problemen waar overheidsorganisaties mee te maken krijgen, zijn de juridische aspecten rond digitale duurzaamheid. Er is een lappendeken aan wet en regelgeving hieromtrent. In hoofdstuk IV Kwaliteitsaspecten binnen het archiefwezen, wordt dit verder uitgewerkt. In veel steden speelt overigens het gemeentearchief vaak een kleine rol op het gebied van de documentaire informatievoorziening in haar organisatie. Andere archiefdiensten steunen alleen op een afdeling Documentaire Informatie Voorziening (DIV) voor de beoordeling van het archiveringsproces binnen hun organisatie. 2.2.3 De archieffunctie in het bedrijfsproces Tot op heden zijn digitalisering van de bedrijfsprocessen en de archieffunctie bij de overheid nog niet geïntegreerd tot een harmonieus, goed geolied geheel. Ondanks bovengenoemde wet en regelgeving omtrent archivering dreigen ze uit elkaar te drijven omdat het inhoudelijk beheer van digitale documenten nog niet goed geregeld is30. Welke beschrijvende gegevens van een digitale document moet men bijvoorbeeld wel vastleggen en welke niet? Moet men e-mail archiveren? Moet men digitale documenten juist niet archiveren omdat de kosten te hoog worden? Voor het beantwoorden van deze vragen wordt momenteel vooral internationaal onderzoek gedaan31. Een historicus in het jaar 2100 zou bijvoorbeeld willen weten hoe de besluitvorming tot uitvoering tot stand gekomen is rond de Betuwelijn. De voorbereiding van dit soort grote infrastructurele overheidsprojecten is in de vorige eeuw gestart op een tekstverwerker. Ook de besluitvorming en verdere uitvoering zullen digitaal ondersteund zijn. In een slecht ontsloten digitaal systeem is deze cultuurhistorische informatie niet meer terug te vinden. Overigens staat vaak de interessantste informatie in de kantlijn van aantekeningen van een ambtenaar of in e-mailtjes waarvan hij dacht dat ze, omdat ze informeel zijn, niet gearchiveerd zouden worden. 29 ook wel de zogenaamde LOPAI (Landelijk Overleg Provinciale Archief Inspecteurs) normen genoemd 30 Wergroep Digitaal archiefbeheer Middelburg, pag. 12 31 Met name de Australische archieven zijn ver met het ontwikkelen van oplossingen voor digitale archiveringsproblematieken


12

2.3 HET ARCHIEF ALS PROCES Archiefstukken ontlenen hun betekenis en samenhang aan de functies en bedrijfsprocessen van de archiefvormer32. Voor de samenstelling van een papieren archief is lange tijd het model van de document levenscyclus als uitgangspunt genomen: 2.3.1 De document cyclus Deze oude documentcyclus van creëren, verwerven tot bewaren en overbrengen blijkt niet zondermeer van toepassing op het digitale archiefstuk. In de archiefwetenschap loopt momenteel de discussie waarbij enerzijds het document tot uitgangspunt wordt genomen en anderzijds de bedrijfsactiviteit die het document genereert.

Het document centraal Authenticiteit en betrouwbaarheid zijn hier de belangrijke kwaliteitsaspecten: archiefbescheiden moeten zijn wat ze beweren te zijn en wat ze beweren moet waar zijn. Ze zijn als onderdeel van het bedrijfsproces ontstaan vanuit een verantwoordingsbelang, bedrijfsvoeringsbelang en cultureel historisch belang33.

De bedrijfsactiviteit centraal Het bedrijfsproces wordt nu tot uitgangspunt genomen worden, met name de bedrijfsactiviteit zelf. Deze genereren documenten die de bedrijfsactiviteit zelf beschrijven en nadien kunnen fungeren als bewijs wat er in dat proces gebeurd is. Bewijs is dus het kwaliteitscriterium. Ook het verband tussen een (digitaal) document en zijn context met het bedrijfsproces moet worden vastgelegd. Het archief moet een getrouwe afspiegeling zijn van deze context zijn. Pas dan kan men het handelen reconstrueren.

Deze afweging lijkt op een product of procesgerichte aanpak die een IT-auditor kan hanteren bij het uitvoeren van een audit. Kijkt hij meer productgericht naar het object of kiest hij voor een procesbeoordeling om tot een uitspraak over de kwaliteit van een object te komen. 2.3.2 Het Records Continuum Model Nadeel van bovenstaand model is, dat het vooral geënt is op de periode waar alleen met papier, dus niet digitaal, werd gewerkt. Een beter model wat minder gebonden is aan het niet-digitale tijdperk is het Records Continuum Model34 :

32 Horsman, P., Digitaal archiveren, Den Haag 1998, pag 8 33 idem 34 Koenen, K., Baak, P., Het geheugen als actieve kracht, Den Haag, 22 juli 1999

Document Lifecycle

a) creëren b) verwerven c) identificeren d) registreren e) afhandelen f) ordenen g) raadplegen h) bewaren i) vervangen j) vernietigen k) bewerken l) beschrijven m) overbrengen


13

1bron: Records Continuum Research Group, Monash university, Australia

Dimensie 4Verbreden

Dimensie 3Organiseren

Dimensie 2Verwerven

Dimensie 1Creëren

Identiteits-as

Trans-actie-as

Waarde-as

Archiveringsas

Document

Dossier

Archief

Archieven

Maatschappelijk geheugen

Bedrijfsgeheugen

Verantwoording

Bewijsmiddel

ActorOrganisatieAfdelingMaatschappij

Activiteit DoelStap Functie

Het creëren (dimensie 1) is het tot stand brengen van een document plus de neerslag uit het primaire proces. Het creëren zelf is een onderdeel van het primaire proces en is ingebed in maatregelen en voorzieningen ten dienste van verantwoord archiefvorming en –beheer. Deze maatregelen en voorzieningen worden beschreven bij het verwerven (dimensie 2). Alles wat moet worden gedaan om archiefvorming en -beheer uit te voeren en in te richten betreft het verwerven (dimensie 2) en het organiseren (dimensie 3). Het verbreden (dimensie 4) brengt de archiefbescheiden onder archiefregimes die organisatieoverstijgend zijn35. Het uitgangspunt van dit model is om de archieffunctie vorm te geven, denkend vanuit het bedrijfsproces. Het sluit aan bij de manier waarop organisaties in modellen en processen gegoten kunnen worden om ze te kunnen beschrijven. Bedrijfs- en informatiekundige modellen zijn vooral gericht op de uitvoering van processen in een organisatie. Minzberg geeft een nogal mechanisch bedrijfskundig model van een organisatie36. Op het gebied van de informatiekunde geeft het Nolan Norton model een weergave van ontwikkeling van de stand van de informatietechnologie en tracht het de toepassing ervan binnen organisaties te visualiseren. Kenmerk van dit model is dat de verandering van de technologie verdeeld is in verschillende fases. Er zijn nog een groot aantal andere modellen in de IT wereld die worden gekenmerkt door het gebruik van fasen van verandering in een organisatie. CobiT bijvoorbeeld geeft met een algemeen ‘best practice’ model aan hoe de beheersing van de ICT omgeving in een ideaal stadium moet zijn. Deze modellen kunnen goed worden ingezet bij het ontwerpen en implementeren van bedrijfsprocessen en de daarbij behorende informatievoorziening en organisatie. Ze zijn echter veel minder inhoudelijk gericht dan het Records Continuüm Model. Dit model beziet de organisatie vanuit vier dimensies met elk een eigen horizon, context en waarde. Wanneer we dit model relateren aan de bedrijfs- en informatiekundige modellen, zien we de elementen uit de bedrijfsprocessen terug in de transactie-as en de organisatie en omgeving zelf in de identiteitsas. De bedrijfs- en informatiekundige modellen enerzijds en de archivistische modellen anderzijds beschouwen dezelfde werkelijkheid –namelijk het bedrijfsproces, ingericht in en uitgevoerd door een organisatie, met in dat bedrijfsproces geïntegreerd de archieffunctie- vanuit verschillende denkkaders.

35 bijvoorbeeld wanneer de verantwoordelijkheid voor bepaalde archiefbescheiden van een departement naar het Rijksarchief wordt overgedragen 36 H. Minzberg, Minzberg on management, NY, 1989, pag 132


14

Men kan het ‘Records Continuum Model’ hanteren als een geschikt denkkader bij het benoemen van de procedures en functionaliteiten die nodig zijn om de digitale archieffunctie vorm te geven. Het concept voor archivering in een digitale omgeving binnen de overheid is overigens op dit model gebaseerd. Om archivering in een digitale omgeving in een organisatie vorm te geven, dienen verantwoordelijkheden en taken bij mensen in die organisatie te worden belegd en dienen geautomatiseerde hulpmiddelen te worden gekozen en ingericht. Hiervoor zijn nodig:

het omgevingsmodel : aan de omgeving dient verantwoording te worden afgelegd, partijen treden op als aanbieders van documenten die een rol spelen in het bedrijfsproces;

het organisatiemodel : geeft de behoeften aan voor hergebruik van informatie, verantwoordelijkheden en taken voor archivering in een digitale omgeving die bij specialistische functionarissen worden belegd;

het procesmodel : geeft de type proces(sen) aan en de overdrachtsmomenten en ‘aftappunten’ die (voor documenten en metagegevens) van belang zijn voor archivering in een digitale omgeving;

het gegevensmodel : geeft meta-informatie die nodig is voor het gebruik en de vorming van een digitaal archief. Vragen als welke van deze gegevens zijn al benoemd zijn en spelen al een rol in het bedrijfsproces en welke moeten worden toegevoegd worden gesteld;

het systeemmodel : geeft de geautomatiseerde en niet-geautomatiseerde systemen37 weer die van belang zijn voor de archivering in een digitale omgeving en de samenhang tussen deze systemen;

het model van het beheer van de gehele bedrijfsinrichting: Dit geeft aan hoe het beheer van de archieffunctie in een digitale omgeving moet worden ingebed;

het technische model : de nieuwe en bestaande programmatuur die van belang is voor de archieffunctie in een digitale omgeving en de interfaces die werken met de verschillende programmatuur-modulen.

Het organisatiemodel, procesmodel, gegevensmodel, systeemmodel en het model van het beheer en zijn nodig om de verantwoordelijkheden en taken voor de archivering in een digitale omgeving bij de functionarissen in de organisatie te kunnen beleggen. Alle aspectmodellen zijn nodig om de geautomatiseerde hulpmiddelen te kunnen kiezen en inrichten. Op deze wijze kan een consistente inrichting van de archivering in een digitale omgeving worden verkregen, waarbij mensen en machines op een doelmatige manier samenwerken met als doel hergebruik van informatie en het kunnen afleggen van verantwoording.

Figuur De samenhang tussen de modellen, de inrichting van archivering en het doel van (digitale) archivering

37 Het begrip ‘systeem’ is het geheel van mensen, middelen en procedures.


15

HOOFDSTUK III WAT IS EEN DIGITAAL ARCHIEF De paradox van het digitaal bewaren van gegevens is dat met de komst van IT-systemen er nauwelijks meer beperkingen lijken te zijn voor het verzamelen en vervolgens vastleggen van informatie, terwijl er wel belangrijke beperkingen lijken op te treden ten aanzien van de duurzaamheid van deze informatie38. In dit hoofdstuk worden diverse aspecten belicht over het inrichten van een digitaal archief. Naast de definitie wordt er een standaard beschreven op basis waarmee een digitaal archief kan worden opgezet. 3.1 Definitie van een digitaal archief Een digitaal archief is een faciliteit waarin zorg gedragen wordt voor de ontsluiting, beschikbaarstelling en duurzame bewaring van digitale bronnen39. Een digitaal archief bewaart primair de eigen productie van de organisatie met als doel de toegang daartoe en het gebruik daarvan beschikbaar te stellen ten behoeven van haar beleidsdoelstellingen. Het duurzaam bewaren daarvan moet zo betrouwbaar mogelijk gebeuren zodat de authenticiteit van de documenten gewaarborgd is. 3.2 Algemene huidige status Over de laatste 20 jaar zijn er momenteel nog maar weinig digitale archieven binnen de overheid beschikbaar. In de begin jaren 80 kwamen pas de eerste Pc's beschikbaar. Veel administraties bij gemeenten bijvoorbeeld werkten toen nog met boekhoudmachines die gebruik maakten van kartonnen steekkaarten met magneetstrips. Toen vanaf 1 januari 1983 nieuwe boekhoud- en rekeningvoorschriften bij gemeenten werden ingevoerd, werden deze machines gaandeweg vervangen door Pc's. De overheid produceert sinds de opkomst van de automatisering steeds meer informatie in digitale vorm. Er bestaan inmiddels vele tienduizenden administratieve gegevensbestanden en statistische bestanden. Binnen de overheid varieert de mate van digitalisering van volledig geautomatiseerd tot slechts uitgerust met kantoorautomatisering. Ook het bewaarbeleid van digitale bescheiden is zeer divers. De Algemene Rekenkamer velde in 1998 een zeer kritisch oordeel hierover bij verschillende departementen. Tevens was er onvoldoende inzicht in relevante weten regelgeving40. De concrete uitwerking van de archieffunctie, verschilt per bedrijfsproces per overheidsorganisatie. De Rijksarchiefdienst is op basis van de Archiefwet 1995 en het Archiefbesluit 1995 verantwoordelijk voor de het bewaren van archiefbescheiden van de rijksoverheid. Desondanks zijn er hier nog steeds geen goede voorzieningen om aangeboden digitale archiefbescheiden adequaat te bewaren41. Na uiterlijk 20 jaar dragen overheidsorganisaties archiefbescheiden die op basis van een selectieproces voor blijvende bewaring in aanmerking komen over. De eerste digitale bescheiden druppelen nu dus het Rijksarchief binnen. Het besef dat digitale gegevens kwetsbaar zijn, regelmatig kwetsbaarder dan papier, is niet wijdverbreid. Alleen bij het archiefwezen en in wetenschappelijke kringen is men echt bezorgd over de toenemende mate van niet vastgelegde elektronische informatie zoals e-mails, memoranda en discussies op Internet. Deze worden routinematig verwijderd door zowel de ontvangers als de verzenders. Verhalen, artikelen en rapporten worden met tekstverwerkers gemaakt, eerdere ontwerpen, zoals kladjes verdwijnen. Wanneer het bronmateriaal verdwijnt, verdwijnt ook inzage en kennis over de institutionele beleidsvorming en persoonlijke creativiteit. De kwetsbaarheid heeft veel met de snel verouderde technologie te maken. Hard- en software verouderen snel en gegevensdragers hebben maar een beperkte levensduur. Naast het onleesbaar raken van gegevens speelt ook de veranderde werkwijze in organisaties een rol. Veel eenheden binnen en buiten de overheid missen het overzicht over alle aanwezige digitale bestanden binnen hun organisatieonderdeel.

38 J.E.J., Prins, Wet en regelgeving Digitale Duurzaamheid 39 Projectvoorstel E-archiving , Werkgroep Fysische Informatica Universiteit Utrecht Universiteitsbibliotheek Utrecht, April 2000, pag 3 40 J.E.J.Prins, archievenblad, april 2001 41 Site Digitaal Depot (zie www.kb.nl)


16

3.3 Enquête naar de aanwezigheid van grootboekadministraties Een enquête, uitgevoerd door de provincie Drenthe in het kader van een gemeentelijke herindeling, naar de aanwezigheid van grootboekadministraties over de periode 1983-1997 laat zien dat er momenteel nog maar weinig digitale grootboeken bewaard zijn42. De financiële controles door de financiële afdeling en accountants vonden nog geruime tijd plaats aan de hand van cumulatieve uitdraaien op kettingformulieren en originele boekingstukken. Deze lijsten zijn aan te merken als archiefstukken43. Er waren ook gemeenten die de controles uitsluitend digitaal uitvoerden. Hiervan werden dan papieren lijsten gegenereerd waarna de digitale gegevens gewist werden. Sommige gemeenten uit de enquête konden zelfs geen of alleen maar onvolledige gegevens tonen. Andere gemeentelijke financiële afdelingen werkten zowel digitaal als op papier waarbij de accountantscontrole aan de hand van papier en de opmaak digitaal geschiedde. Soms zijn er cd-rom's van aangemaakt. Vanuit de zijde van de archiefinspectie is er altijd gewezen op de mogelijkheid microfilmfiches te laten maken van de digitale grootboeken. Zo bespaart men ruimte en ondervangt men de dubieuze kwaliteit van kettingrolpapier. Van de 510 (34 gemeenten over een periode van 15 jaar) verwachte grootboeken blijken er slechts 32 uitsluitend digitaal bewaard te zijn. Sommige zijn illegaal vernietigd. Vier zijn in een gemeente door een misverstand verloren gegaan (men dacht van elkaar dat ze geconverteerd waren). Een ging verloren omdat een ambtenaar vond dat zijn harde schijf te vol werd. Alle andere grootboekadministraties staan nog op papieren kettingformulieren. Omdat de digitale gegevens gewist zijn, kan er geen audittrail meer gemaakt worden en hebben ze daardoor weinig historische waarde. Een ander voorbeeld van menselijk falen binnen de overheid vindt plaats in de gemeente Nijmegen. In de jaren 80 ging men hier over van analoge kaartvervaardiging naar digitale kaartvervaardiging. Er wordt van de stad een bepaalde kaart gemaakt met verwijzingen naar allerlei objecten in de grond (riolering, gas, water, elektra, telefonie, archeologische aspecten ed.). Helaas is er bij de ontwikkeling van het nieuwe informatiesysteem niet goed over de archivering nagedacht. Gegevens bleken met elk gebied of grondobjectwijziging gewoon overschreven te kunnen worden. De archiefdienst, die niet betrokken was geweest bij de ontwikkeling van dit systeem, kwam hier pas laat achter. Pas toen de gemeentelijke archiefdienst de gebruikersorganisatie wees op haar wettelijk taak van archiveren, zijn er specifieke momentopnames van de stadskaart gemaakt voor archiveringsdoeleinden. Deze voorbeelden geven aan dat bij de ontwikkeling van informatiesystemen nog te weinig rekening wordt gehouden met archiveringsaspecten. Er zijn gegevens uit het oude systeem geconverteerd maar het is niet meer te achterhalen welke gegevens dit zijn en in welke mate de conversie geslaagd is. Het blijkt dat binnen de gemeentelijk politiek het onderwerp archiveren niet hoog op de agenda staat, er valt immers weinig politieke eer aan te behalen. Waarschijnlijk dat door de huidige aandacht op het gemeentelijk functioneren, door ernstige calamiteiten bij de gemeenten Enschede en Volendam, hier verandering in komt omdat het archief dan nodig is voor een reconstructie. Veel gemeentes wachten overigens nog op een digitaliseringinhaalslag. De inventarisatie van bijvoorbeeld bestemmingsplannen, welke stukken hiervan gedigitaliseerd dienen te worden en waar ze te vinden zijn, moet nog plaatsvinden44. 3.4 Digitale archiefbescheiden Papier als gegevensdrager wordt in toenemende mate vervangen door andere opslagmedia. In een aantal gevallen wordt een deel van een administratief proces geautomatiseerd en komt er geen papier meer aan te pas. Daarnaast wordt er in toenemende mate verfilmd/gescand. Hierbij wordt papier vervangen door onder meer microfilm/beeldplaat/ CD-ROM. In deze gevallen spreekt de Archiefwet over substitutie (vervanging). Overigens, ook het vervangen van een fax door een kopie is substitutie In de oude Archiefwet 1962 was substitutie uitsluitend mogelijk bij een archief dat vernietigbaar was. De Archiefwet 1995 maakt het mogelijk dat alle archieven worden vervangen door reproducties. Als het om archief gaat dat naar een openbare archiefbewaarplaats moet worden overgebracht, is een machtiging van de minister van OC&W, dan wel Gedeputeerde Staten vereist.

42 Archievenblad, maart 2001,pag 28 43 Grootboekadministraties komt evenals de Geautomatiseerde bevolkingsadministratie (GBA) in aanmerking voor blijvende bewaring. In tegenstelling tot postregistraties overigens. 44 Rik Sanders, Computable 29-06-2001


17

Een archiefdienst binnen de overheid moet goed inzicht hebben op de bedrijfsprocessen en welke producten het oplevert, wil de organisatie aan haar archiveringsplicht kunnen voldoen. De werkwijze die men hanteert, is het nagaan van alle aanwezige applicaties om te inventariseren welke informatieproducten daar uit voortkomen. Vervolgens wordt bekeken aan welke processen deze opgehangen zijn. Op basis hiervan wordt er een afweging gemaakt wat wel en wat niet moet worden bewaard. Wanneer informatieproducten wat korter bewaard moeten worden, hoeft er weinig tijd ingestoken te worden. Momenteel wordt voornamelijk papier fysiek overdragen. Bij digitale gegevens is dit wat lastiger. Het archiefwezen vraagt zich momenteel af hoe de overdracht moet plaatsvinden van de digitale archiefbestanden. Een mogelijkheid is dat de archivaris zelf vanaf dat moment de nieuwe functioneel beheerder wordt van het betreffende informatiesysteem. De applicatie zelf en de bijbehorende hardware blijft dan gewoon in het rekencentrum van de organisatie zelf staan. Goede procedures over beheer(licenties!) en onderhoud zijn hierbij noodzakelijk. Want tot hoe lang hou je de machines in de lucht en wanneer ga je converteren. Volgens de archiefwet dienen alle archiefbescheiden 100 jaar raadpleegbaar te zijn. Dit betekent nogal wat voor de werkzaamheden en de benodigde automatiseringskennis van een archiefdienst. Soms is het daarom zelfs beter digitale bescheiden niet te archiveren. Wanneer nieuwe systemen worden aangeschaft moet daar, onder voorwaarde, de verplichting in zitten om het oude systeem mee te converteren of raadpleegbaar te houden. De informatie uit deze bedrijfsapplicaties zijn in principe alleen raadpleegbaar voor de gebruikersorganisatie van een overheidsorganisatie. Pas op een termijn van 20 jaar zijn de gegevens uit deze applicaties voor alle bezoekers van het gemeentelijk archief benaderbaar. Uiteraard moet dan van al deze systemen de mutatiefunctie uitstaan. Wanneer alleen het originele bestandsformaat blijft staan en niet het informatiesysteem zelf, moeten er viewers beschikbaar komen. Tevens moet men er zorg voor dragen dat, wanneer het systeem geconverteerd moet worden, alle elementen behouden blijven. Pas dan worden het digitale archief bescheiden die voor blijvende bewaring in aanmerking komen. Het is de vraag of archivarissen deze specifieke automatiseringskennis moeten hebben. Het traject kan ook ondersteund worden door een IT-auditor die bijvoorbeeld de kwaliteit en de volledigheid van het conversieproces beoordeelt. 3.5 Van papier naar digitaal Digitale informatie is anders dan papieren informatie omdat er een hulpmiddel nodig is om deze informatie te lezen. Van alle archiefbescheiden die nu alleen op papier staan is het de vraag in hoeverre er behoefte is dit allemaal te digitaliseren. De behoefte kan ontstaan uit oogpunt van raadpleging of conservering. Soms kan digitaliseren wel eens goedkoper zijn dan ontzuren. Toch zullen veel documenten zoals Middeleeuwse Charters met zegels, ondanks het feit dat ze gedigitaliseerd zijn, niet weggegooid worden. Veel archiefbescheiden hebben ook niet een zelfde formaat of gewicht. Er bestaat in de papieren wereld een veelheid aan formaten. Er moet een onderscheid gemaakt worden wat verwerkbaar is met bepaalde apparatuur. Archiefbescheiden bestaan er in een veelvoud van vormen. Soms zitten er tekeningen bij, sommige archiefbescheiden hebben reliëfs of soms zijn het herinneringstegels. Veel archiefdocumenten werden in het verleden op doorslagpapier gemaakt. Dit maakt ze kwetsbaar tijdens een digitaliseringproject. Om de kwaliteit van digitaliseringprojecten in het archiefwezen te bewaken wordt veel gebruikt gemaakt van het informatiesysteem EDDA45. Dit systeem ondersteunt het digitaliseringproces, van een inventarisatie van te archiveren digitale objecten, risicoanalyses tot en met een volledige inventarisatie van werkstromen. De Archiefwet 1995 vereist dat een organisatie overzicht heeft van alle applicaties en/of digitale gegevensbestanden en de daarin opgeslagen gegevens (archiefbescheiden) vanwege de verplichting alle archiefbescheiden in goede, geordende en toegankelijke staat te brengen en te bewaren. Inzicht in de informatiestromen en de werkprocessen van een organisatie is dus noodzakelijk. Om dit te ondersteunen is het programma EDDA door de archiefdienst Amsterdam ontwikkeld voor het in kaart brengen van applicaties, waarin archiefbescheiden van gemeentelijke organisaties worden opgeslagen. Met dit programma worden de kenmerken van deze digitale gegevensbestanden of applicaties geregistreerd. Per bestand of applicatie kan informatie over het gebruikte platform, de programmatuur, drager(s) en de opgeslagen gegevens vastgelegd worden. Daarnaast kan informatie over het waarborgen van de authenticiteit, de beveiliging van een applicatie, conversie en migratie van

45 EDDA (Effectieve Digitale Duurzaamheid Amsterdam)


18

gegevens, het gebruik van een applicatie, de informatiestromen, het beleid van een organisatie op het terrein van digitale duurzaamheid en de kosten en baten van applicaties worden opgeslagen. Het lijkt een interessant programma voor een IT-auditor die onderzoek doet naar de kwaliteit van de duurzaamheid van informatiesystemen46. De output uit dit systeem voldoet aan eerdergenoemde wettelijke eisen. 3.6 Overheidsbeleid ten aanzien van ICT Door gebruik te maken van informatie- en communicatie technologie (ICT), zijn overheden in staat, in veel grotere mate dan voorheen, informatie op te slaan, te ordenen, te koppelen, te aggregeren, te analyseren en te verspreiden. De beleidsstukken die van 1994 tot en met 1999 verschenen zijn over ontsluiting van overheidsinformatie, zijn niet eensluidend. Enerzijds ziet men in de ICT-beleidsonderwerpen een soort adoptiecyclus47. In 1994 kwam er eerst een Nationaal Actieprogramma Elektronische Snelwegen uit. Het is een verkennend beleidsonderwerp waarin voorzichtig een traditionele optiek (telecommunicatie, technologie en zorgtaak van overheid voor informatievoorziening) beschreven wordt. In de nota ‘Terug naar de toekomst’ die hierna verschijnt, ligt de nadruk op de vermeende welhaast onbegrensde mogelijkheden die ICT biedt. Allerlei nieuwe projecten en nieuwe organisatievormen (zoals Overheidsloket 2000) ontstaan. Anderzijds ontstaat het besef dat het niet alleen rozengeur en maneschijn is. Het voorschrift Informatiebeveiliging Rijksoverheid 1994 en het programma Digitale duurzaamheid zijn hier voorbeelden van. Toch hebben deze kritische geluiden nog niet het gewenste resultaat gehad. Ook de Algemene Rekenkamer heeft geconstateerd dat de informatiebeveiliging bij veel overheidsorganisaties te wensen overlaat. In een rapport over digitale archivering48 constateerde de Rekenkamer dat er geen overzicht bestaat van de voor digitale duurzaamheid relevante weten regelgeving. Men deed de aanbeveling om deze met voortvarendheid in kaart te brengen, "zodat op basis van een volledig beeld kan worden gewerkt aan het formuleren en implementeren van het digitaal bewaarbeleid". 3.6.1 Wet en regelgeving Digitale Duurzaamheid Digitaal bewaren van informatie is niet alleen een kwestie van techniek maar vraagt tevens om een zorgvuldig overdacht organisatorisch beleid waarbij juridische voorwaarden nauwlettend in het oog moeten worden gehouden49. Zolang de organisatorische randvoorwaarden niet gegarandeerd zijn, is het ontsluiten van schriftelijke registers in lang niet alle gevallen wenselijk. Er zal ook kritisch bekeken dienen te worden welke personele en financiële investeringen het up-to-date houden van het digitale archief vergen. Voor archivering bij de overheid zouden de te maken afwegingen er zelfs in kunnen resulteren dat besloten moet worden om bepaalde documenten buiten het digitale archief te houden of om een separaat archief van de oorspronkelijke documenten aan te houden. De lusten van het digitaal bewaren zullen hier op de lange termijn worden overschaduwd door de lasten50. 3.7 Digitaal als uitgangspunt Om de ontwikkelingen binnen de overheid rond thema's als thuiswerken en internet te kunnen organiseren is on-line beschikbaarheid van dossiers, nota’s, agenda’s en complete archiefbestanden nodig. Het is niet ondenkbaar dat over enige jaren zelfs beleidsprocessen langs digitale weg verlopen, inclusief digitale paraaf en handtekening. Maar hiervoor moet de opgeslagen informatie leesbaar blijven. Er moet een bewaarbeleid ontwikkeld worden want een overheid die zich niet meer kan verantwoorden omdat de informatie zoek is, verliest haar legitimatie. Het is de taak van het archiefwezen relevante gegevens blijvend voor het nageslacht te bewaren. Binnen het archiefwezen wordt op dit moment bij de ontwikkeling van dit bewaarbeleid in de digitale context veel gesproken over Record Keeping Systems (RKS)51. Het Nederlandse Archiefwezen, in de vorm van de algemene rijksarchivaris, is gevraagd of de standaard US DoD 5015-2 STD die het Amerikaanse Ministerie van Defensie voor duurzaam archiefbeheer hanteert, zoals het beheer van records, ook voor Nederlandse overheidsinstellingen van toepassing is. Deze standaard beschrijft de verplichte en optionele eisen waaraan software moet voldoen voor het geautomatiseerde beheer van archiefbescheiden. Ook door andere disciplines dan het archiefwezen wordt het nut van RKS concept erkend en is het toepasbaar op het gebied van procesverbetering van de documentenstroom in een 46 (nog) niet onderzocht is of het programma als Audit-tool kan fungeren 47 Mr. Marc de Vries, Met Elektronische overheidsinformatie het nieuwe millennium in: hoe het was, hoe het is en hoe het worden moet. Den Haag: Rathenau Instituut, 2001, Studie 42, pag 9 48 Beheer en archivering van digitale bestanden, april 1998 49 J.E.J. Prins, Digitale duurzaamheid: een verloren geschiedenis, pag 1 50 idem, pag 9 51 Minimum Functionele eisen voor Record Management Applicatiesoftware, pag 3


19

organisatie 52. Ook kennismanagement gerelateerde projecten, die gericht zijn op het in kaart brengen en leren delen van de informatie en kennis die in de organisatie aanwezig is, moeten worden ondersteund door goede archiveringsoplossingen willen ze succesvol kunnen verlopen53. Elektronisch archiefbeheer is dan essentieel. In hoofdstuk V zal de standaard US DoD 5015-2 STD verder worden beschreven. 3.8 Beheer van een digitaal archief Onder invloed van de verdergaande digitalisering en door toepassing van het digitale archief verschuift de rol van het archief van uitvoerend naar kaderstellend en regievoerend. Archivarissen hebben waardevolle vaardigheden in het waarderen en selecteren van papieren documenten en kunnen een bruikbare inbreng leveren vanaf het prille begin van de levenscyclus van digitale gegevens. De archivaris zou verantwoordelijk moeten zijn voor het beheer van de digitale gegevens in een organisatie Hij heeft ook bekwaamheden om de waarde van een record te bepalen. Zijn rol verandert van de passieve ontvangst van de bestanden die het einde van hun actieve levensstadium hebben bereikt, naar een actieve betrokkenheid vanaf de start van de levenscyclus. Dat is een verandering in denkwijze, in werkwijze en in contacten. In veel gevallen kan vanuit geautomatiseerde systemen in meerdere of mindere mate ondersteuning van de archieffunctie worden aangeboden, bijvoorbeeld door gerichte suggesties voor metagegevens en relaties tussen documenten via onder andere default waarden of standaardinstellingen. Naarmate er meer digitale hulpmiddelen ten dienste staan aan de vorming van het digitale archief, zal de archiefvorming minder aandacht vragen van de lijnorganisatie en zal het archief meer de regie in de vorm van onder meer de inrichting en het beheer van deze hulpmiddelen moeten krijgen. Voordat men in staat is vast te stellen welke archiveringseisen nodig zijn bij welke typen documenten, moet er beleid en procedures ontwikkeld worden voor toegang en opslag, aanpak en planning van evaluaties en van overdracht van digitale archiefbescheiden van een archiefdienst e.d. Dit kan als volgt worden ingevuld54:

Beleid en procedures voor een digitaal archief Binnen de overheidsinstelling moet er structuur zijn die gebaseerd is op de uit te voeren taken/functies waarmee archiefbescheiden kunnen worden vastgelegd en geordend. Hierbij moet rekening gehouden worden met het afsluiten van series dossiers, indien een bepaalde taak niet langer wordt uitgeoefend. Voor zowel papieren als elektronische/digitale archiefbescheiden moeten eisen worden vastgelegd over vastlegging en registratie, authenticiteit, contextgegevens, selectie en vernietiging, toegankelijkheid en duurzame bewaring. De functionaliteit voor digitale archivering moet duidelijk zijn gespecificeerd, inclusief registratie en metagegevens voor documenten. Ook procedures in vastleggen en bewaren, in selectie en schoning, en indien van toepassing in overdracht aan een archiefdienst van archiefbescheiden moeten worden bepaald.

Technologie

Indien een informatiesysteem archiefbescheiden moet bewaren, dienen de eisen voor digitale archivering gespecificeerd en meegenomen worden in het ontwerp, de implementatie en procedures. Er behoren voorzieningen te zijn waarmee de verschillende stadia in de levensloop van archiefbescheiden kunnen worden ondersteund, zodat de archiefbescheiden kunnen worden bewaard en beheerd, hetzij in een operationeel systeem hetzij, tezamen met de benodigde contextgegevens (metadata) en informatie over de datastructuur in een specifiek archiefsysteem. Archiefbescheiden, die permanent bewaard moeten worden, dan wel die op termijn vernietigd moeten worden, wil men kunnen identificeren. Indien er een nieuw informatiesysteem wordt geïntroduceerd en migratie noodzakelijk is van de archiefbescheiden uit het bestaande systeem, moet het migratieplan hier dusdanig rekening mee houden dat er voorzieningen getroffen worden om de bewaring van de archiefbescheiden inclusief hun contextgegevens en inclusief informatie over de datastructuur en de functionaliteit van het bestaande systeem te garanderen.

52 Bussel, G.J. van, Ector, F., Pijl, G.J. van der, Ribbers, P.M.T., Building the record keeping system. Process improvement triggered by management of archival documents , HICSS conference, Hawai, january 2001 53 Baak P., Koenen K. , Het geheugen als actieve kracht. De archieffunctie binnen de digitale overheid Den Haag, 1999, pag 10 54 Zie Bijlage III Checklist voor digitale archivering.


20

Procedures Procedures in organisatie moeten bepalen welke typen digitale archiefbescheiden er dienen te worden afgedrukt op papier en welke er worden vastgelegd in een digitaal archiveringssysteem. Juist vanwege de kosten is digitaal archiveren niet altijd vanzelf sprekend. Bijgehouden moet worden in hoeverre de registratie van archiefbescheiden volledig is en wie de verantwoordelijkheid is voor digitale archiefbescheiden. Deze procedures zouden ondersteund moeten worden door een kwaliteitssysteem die waarborgt dat de vastgestelde procedures worden nageleefd.

3.9 E-mail en het digitaal archief Binnen de overheid groeit het besef dat het elektronisch berichtenverkeer zodanig afwijkt van het traditionele dat meer aandacht geschonken moet voor de juridische kant. Het juridisch instrumentarium voor elektronisch berichtenverkeer in het algemeen blijkt nog onvoldoende te zijn ontwikkeld55. Het bewaren van elektronische berichten binnen de overheid geschiedt in de praktijk op de volgende manieren:

Er is een juridisch archief: zijnde een bestand waarin de berichten worden bewaard in de vorm waarin ze verzonden dan wel binnengekomen zijn. Dit betekent dat versleutelde delen van berichten aanwezig kunnen zijn, alsmede verzendgegevens zoals adressen, tijdstempels etc. Met behulp van een juridisch archief kan achteraf de geldigheid van ontvangen en/of verzonden berichten worden aangetoond;

In een notarisarchief: zijnde een bestand waarin uitsluitend de ontcijferde berichtinhouden liggen opgeslagen. Omdat op deze berichten een bewerking heeft plaatsgevonden, moet de geldigheid van de opgeslagen berichten hier mede verzekerd worden door een sluitend stelsel van administratief-organisatorische maatregelen. Het notarisarchief is vaak dan ook van belang voor het interne verwerkingsproces van de overheidsorganisatie;

In een werkarchief: zijnde een bestand waarin de lopende (levende) berichten van specifieke bedrijfsprocessen liggen opgeslagen.

Voor bewijsdoeleinden is het juridisch archief van vitaal belang. Een aantal zaken zijn daarbij essentieel en moeten voorhanden zijn: de gehanteerde ontsleutelingsprogramma’s, de gebruikte sleutels en de gehanteerde berichtspecificaties. En dan niet alleen de actuele stand maar ook alle versies over de volle periode van de voorgeschreven bewaartermijn. Een belangrijke taak van een auditor kan zijn of in de huidige praktijk overheidsorganisaties aan deze vereisten voldoen. Bovendien kan in dit onderzoek worden meegenomen of men aan alle noodzakelijke elementen vasthoudt zodat over de volle periode van de voorgeschreven bewaartermijn een leesbaarheidsgarantie kan worden afgegeven. De lakzegel zoals deze in Middeleeuwen bij oorkonden en akten gebruikelijk was, is wat dit betreft wat handiger om te kunnen voldoen aan authenticiteit en betrouwbaarheid56. De lakzegel waarborgde de authenticiteit doordat alleen de drager van de ring een stempel met eigen karakteristieken kon plaatsen. Slot Digitaal archiveren wordt een belangrijk aandachtsgebied binnen de overheid. De kosten voor opslaan en ontsluiten van kilometers papier beloopt in de miljoenen. Bovendien zijn er mensen nodig om al deze stukken te lichten en terug te stoppen. Er is (schaarse) ruimte nodig. Toch blijft een papieren archief nodig omdat er nog geen harde jurisprudentie bestaat over de bewijswaarde van digitale documenten in strafzaken. Nodig is een uitspraak van de Hoge Raad dat de digitale documenten voldoende rechtszekerheid bezitten en het papier kunnen vervangen. Veel historische archieven zijn al vervangen door film waarbij de originele bescheiden zijn vernietigd. Dit mag alleen wanneer er voldoende waarborgen zijn dat deze film niet gaat verbrokkelen.

55 Ik put hier uit mijn werkervaring bij De Belastingdienst 56 Zie ook het Inter Pares project van Luciana Duranti


21

HOOFDSTUK IV KWALITEITSASPECTEN BINNEN HET ARCHIEFWEZEN In dit hoofdstuk worden de belangrijkste kwaliteitseisen weergegeven die gelden voor een (digitaal) archief. Het blijkt dat met name de juridische aspecten van digitale duurzaamheid de belangrijkste onderwerpen horen te zijn voor het openbaar bestuur. Kwaliteitsaspecten zijn voor een IT auditor het kader waarmee vastgesteld wordt of er sprake is van een voldoende kwaliteitsniveau. Er worden vier kwaliteitsaspecten onderscheiden: effectiviteit, efficiency, betrouwbaarheid en continuïteit. Door kwaliteitsattributen wordt er nadere detaillering gegeven aan het IT object of proces wat beoordeeld moet worden. 4.1 Begripsbepaling Bij IT-auditing is het goed en eenduidig definiëren van kwaliteitsaspecten en attributen bij een uit te voeren audit een lastig karwei57. Ook binnen de archiefwetenschap zijn momenteel de geldende kwaliteitsaspecten qua omschrijving en betekenis nog lang niet uitgekristalliseerd. Binnen de archiefwetenschap worden met name de begrippen Integriteit, Authenticiteit en Bewijsbaarheid gehanteerd.

Authenticiteit uitspraak over een archiefstuk dat het stuk is wat het beweert te zijn58. eigenschap van een archiefstuk dat de integriteit vaststaat als gevolg van een controleerbare

wijze van archiefvorming, overlevering, bewaring en raadpleging59. De term 'authentiek' heeft dus binnen de archiefwetenschap een specifieke betekenis en wordt soms gedefinieerd als gebleken integriteit.

Integriteit eigenschap van een archiefstuk dat zijn vorm, inhoud en structuur bij raadpleging gelijk zijn

aan de vorm, inhoud en structuur op het tijdstip dat het werd opgemaakt. kwaliteit van een archiefstuk van zowel de gegevens als van de relaties tussen die gegevens.

Integriteit wordt hier gebruikt als een deel interpretatie van de raadpleger van het archiefstuk die door het gebruik betekenis aan het archiefstuk toevoegt.

De eerste definitie gaat niet op voor digitale archiefstukken. Hierbij verandert immers vorm en structuur. Conversie, migratie en/of emulatie zorgen voor informatieverlies (hoe minimaal deze verandering ook zal zijn). Bovendien kan van een archiefvormer niet worden verwacht dat hij een ontvangen digitaal archiefstuk in dezelfde vorm en structuur houdt zoals dat archiefstuk (door een derde) is opgemaakt. Indien dit een eis zou zijn dient iedere ontvanger van digitale archiefstukken te beschikken over alle beschikbare software (lettertypen, formaten enzovoorts) hetgeen dus onmogelijk is.

Controleerbaarheid De aanwezigheid en de status van documenten die de context, de toegepaste apparatuur en

programmatuur en de metagegevens van het archiefstuk waarborgen. Bij klassieke archiefstukken zijn de context- en metagegevens vaak in het stuk besloten. Dit geldt bij uitstek als het om authentieke akten of andere gewaarmerkte archiefstukken gaat.

Bij digitale documenten is deze controleerbaarheid veel lastiger te bepalen wanneer men niet beschikt over een geautomatiseerd documenten opslagsysteem. 4.2 Algemene kwaliteitseisen voor het archiefwezen Om de functie van geheugenbron en verantwoording te kunnen vervullen moeten archiefbescheiden dusdanig worden beheerd dat ze voldoen aan de volgende algemene kwaliteitseisen:

volledigheid: geen delen van informatie gaan verloren; authenticiteit: het document is echt; betrouwbaarheid: juistheid van de informatie;

57 T.O. Mos, IT-audit Risk, pag. 215 58 Duranti 59 A.J.M. den Teuling Archieflexicon, pag. 8


22

toegankelijkheid: documenten zijn vindbaar; raadpleegbaarheid: documenten kunnen ook daadwerkelijk gelezen worden (voor een digitale

omgeving is dit niet zo vanzelfsprekend); beschikbaarheid: gevonden en leesbare documenten kunnen tijdig worden geraadpleegd door

diegenen die ze nodig hebben en daartoe bevoegd zijn; verantwoording: het vermogen om verantwoording af te leggen aan opdrachtgevers, de

politiek en de maatschappij. 4.2.1 Bewijsvoering Wanneer de functie van het archiefbescheiden bewijsvoering is, dan is authenticiteit de belangrijkste kwaliteitseis. Het opmaken en bewaren zijn twee activiteiten die de beschikbaarheid bepalen van betrouwbare en authentieke documenten als bewijsstuk. Het opmaken van documenten zal afhankelijk zijn van de eisen die het bedrijfsproces eraan stelt. Niet alle documenten worden opgesteld om als bewijs te dienen. De motieven voor het maken van een authentiek en betrouwbaar document is een zaak van het betreffende bedrijfsproces en kan zelfs losstaan van die van archivering. Er zijn categorieën documenten met een vaste vorm die juist speciaal voor bewijsvoering worden uitgebracht (akten e.d. ) met ondertekening of opmaak door een bevoegd persoon ter bekrachtiging van authenticiteit en bewijsvoering. De vorm van digitale uitwisseling van informatie (ook in de vorm van documenten) is in opmars binnen de overheid. Hoewel veel documenten (ook e-mail berichten die op dit moment gekwalificeerd kunnen worden als ‘niet-archiefdocumenten’ zoals bijvoorbeeld bij persoonlijke e-mail), zal steeds vaker ook de ‘neerslag van het handelen’ verpakt zijn als een digitaal document60 . Bij digitale documenten ontstaat soms juridische onduidelijkheid:

Het ontbreken van een handtekening. Digitale documenten zijn bijvoorbeeld formeel als regel niet erkend61;

Het niet voldoen aan de vormvereisten bij formele documenten. Voor formele documenten van de overheid aan haar inwoners gelden vormvereisten welke digitaal (bijv. met e-mail) niet zonder meer te honoreren zijn, zoals schriftelijkheidsvereiste en de ondertekening. Indien de mogelijkheid van formeel berichtenverkeer met e-mail wordt gewenst rijst de vraag op in welke wettelijk kader dit geregeld moet zijn;

Het onvoldoende garanderen van de geheimhoudingsplicht Op formele documenten van de overheid aan haar inwoners kan een geheimhoudingsplicht zitten. Verzending van dergelijke berichten vereist een goede end-to-end beveiliging;

Het ongewenst verzenden en daarmee onweerlegbaar maken van de documenten. De juridische status van digitale documenten zoals e-mail berichten is nog onduidelijk. Om problemen te voorkomen nemen sommige organisatie disclaimers op in hun digitale documenten die de organisatie verlaten. De vraag is echter welke juridische waarde deze disclaimers hebben;

De onzekere aankomst van digitale post Bij traditionele post is er een zekere mate van bestendigheid gegroeid over de aankomstzekerheid en het aankomstmoment. Bij e-mail kan dit variëren van een hoge snelheid en hoge aankomstzekerheid tot het volledig verdwijnen van bericht.

60 Digitaal Archief, pag. 21 61 Hoewel ze wel vaak opduiken in de bewijsvoering bij rechtzaken in met name de USA.


23

4.3 De kwaliteitsaspecten van E-mail In feite vormt de ongebreidelde toename van digitale documenten een bron van digitale chaos en is het is een ramp voor het vormen van een goed digitaal archief. Voor een deel valt het buiten het gezichtsveld van een archiveringsorganisatie, zeker wat de informele communicatie betreft, door nieuwe informatiestructuren zoals e-mails met attachments. De overheid wil binnen haar organisatie beveiligde digitale documenten gaan gebruiken. Van beveiligde e-mail is sprake wanneer de afzender van een bericht zeker weet dat alleen de ontvanger van een bericht in staat is het bericht te lezen (exclusiviteit) en wel in ongeschonden staat. Tevens weet de ontvanger van een bericht zeker dat het bericht wat hij leest afkomstig is van degene die beweert het gestuurd te hebben en dat het ongeschonden is (integriteit). Communicatie via e-mail kunnen de volgende beveiligingsitems raken:

Bericht wordt gelezen door iemand voor wie het niet bedoeld is; Berichtinhoud kan gewijzigd worden; Bericht kan verloren gaan tijdens het transport; Bericht wordt gestuurd in naam van iemand anders (spoofing); Verzender kan ten onrechte ontkennen het bericht gestuurd te hebben (nonrepudation); Ontvanger kan ten onrechte ontkennen het bericht ontvangen te hebben (nonrepudation); Ontvanger kan ten onrechte claimen het bericht ontvangen te hebben (nonrepudation); Verzender kan ten onrechte ontkennen het bericht verzonden te hebben (nonrepudation); Bericht kan verkeerd afgeleverd of doorgestuurd worden; Transport kan (tijdelijk) uitvallen.

Men moet e-mail dus dusdanig beveiligen dat ondubbelzinnig vaststaat wie het bericht verstuurd heeft. Bovenstaande problemen mogen niet of in geringe mate voorkomen wanneer men e-mail wil inzetten voor een betrouwbare informatievoorziening. Een groot risico voor de beschikbaarheidseisen zijn virussen. E-mails worden vaak misbruikt om virussen over te brengen. Archiveren van besmette digitale documenten is natuurlijk uit den boze. Dit hangt nauw samen met het algemeen beveiligingsbeleid. Regelmatig blijkt namelijk dat oude opgeslagen digitale documenten op diskettes of harde schijven nog steeds virussen bevatten. 4.3.1 Exclusiviteit en integriteit Beveiligde digitale documenten voldoen aan twee kwaliteitseiseneisen: exclusiviteit en integriteit (incl. non-repudiation). De afzender van een document weet zeker dat alleen de ontvanger van het document in staat is het te lezen (exclusiviteit) en wel in ongeschonden staat (integriteit). De ontvanger weet zeker dat het bericht dat hij leest afkomstige is van diegene die beweert het verstuurt te hebben en in ongeschonden staat is aangekomen (integriteit). E-mail kan door encryptie of een elektronische handtekening beveiligd worden. Encryptie is het omzetten van tekst met behulp van een sleutel. De tekst wordt in een reeks onleesbare tekens omgezet en is alleen met behulp van een sleutel weer te lezen door diegene aan wie het gericht is Aan een bericht hangt een elektronische handtekening, een waarmerk van echtheid of een tijdsstempel. De ontvanger heeft de mogelijkheid om het waarmerk te controleren en kan nagaan of de afzender diegene is die zegt het bericht gestuurd te hebben. Tevens kan worden nagegaan of het bericht nog integer is en onderweg niet verminkt is geraakt . E-mail wordt vaak nog gezien als een informeel communicatiemiddel. Binnen de overheid wordt dit middel echter ook ingezet voor formele communicatie. Dan zijn er procedures nodig. Van formele communicatie is sprake wanneer er regels aantoonbaar gevolgd moeten worden; dus wanneer er rechtsgevolgen aan verbonden zijn. Om van formele e-mail te kunnen spreken moeten er een aantal zaken worden opgelost zoals de beschikbaarheid van systemen en informatie, autorisatie, authenticiteit, identificatie, non-repudiation, behoud van integriteit en exclusiviteit. In feite raakt dit dus de vier kwaliteitsaspecten effectiviteit, efficiency, betrouwbaarheid en continuïteit die bij IT-auditing gehanteerd worden.


24

De Archiefwet 1995 laat over de formaliteit van e-mail geen misverstand bestaan62. Elk document dat een functie vervult bij de taakuitoefening is in beginsel een archiefstuk. De opvatting die sommige organisaties er dus op na houden, dat e-mail informeel is, en dus geen archief, mist in elk geval archiefwettelijke grond. Het Actieprogramma Elektronische Overheid noemt het als volgt: “Bij elektronisch berichtenverkeer en dienstverlening is het van belang dat de betrouwbaarheid van de informatie gewaarborgd is. De geautomatiseerde uitwisseling van gegevens biedt naast nieuwe kansen immers nieuwe risico’s zoals het waarborgen van beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van gegevens, berichten en transacties (informatiebeveiliging) maar ook op de mogelijkheid van het blijvend bewaren en het afleggen van verantwoording (digitale duurzaamheid)". Om dit te kunnen uitvoeren moeten organisaties beschikken over betrouwbare voorzieningen. Dit zou zelfs intern zo betrouwbaar moeten zijn, dat de digitale documenten er onversleuteld kunnen worden opgeslagen. Versleuteld opslaan is welbeschouwd een suboptimale oplossing en teken van onvoldoende vertrouwen in de archieffunctie. Het concept van het archief als locus credibilis, een te vertrouwen plaats, dateert uit de oudheid. In de Romeinse republiek bijvoorbeeld, werden staatsstukken gedeponeerd in het Tabellarium, om ze te behoeden voor vernietiging of verandering. De rechten van staat en burger werden zo beschermd63. 4.4 Kwaliteitsaspecten voor het digitale archief Aan de informatievoorziening binnen de overheid worden eisen gesteld via het in 1994 uitgebrachte Voorschrift Informatievoorziening Rijksdienst. De kwaliteitseisen die hierin genoemd zijn richten zich op:

beschikbaarheid : de mate waarin een informatiesysteem in bedrijf is en de informatie beschikbaar is op het moment dat de organisatie deze informatie nodig heeft;

exclusiviteit: de mate waarin toegang tot een informatiesysteem en kennisname van informatie is beperkt tot een groep van gerechtigden;

integriteit: de mate waarin de informatie zonder fouten is. In de levenscyclus van (digitale) documenten en registraties bij de overheid spelen wet en regelgeving een grote rol64. Het bevat voor digitale documenten met name volgende de kwaliteitseisen:

Betrouwbaarheid; Exclusiviteit; Integriteit; Verifieerbaarheid (authenticiteit).

Betrouwbaarheid: Er moet nadrukkelijk aandacht zijn voor de exclusiviteit van de gegevens en documenten, de integriteit ervan en de controleerbaarheid. Bij het vergroten van zowel de betrouwbaarheid als de verifieerbaarheid van informatie en documenten welke worden gegenereerd met behulp van computersystemen gaat het vooral om kwaliteits-, controle-, registratie- en beveiligingsprocedures. Omdat programmatuur een noodzakelijk instrument voor het opslaan, verwerken en raadplegen van documenten is, zullen de kwaliteitseisen ook voor programmatuur gelden. Programmatuur zal daarom eveneens bewaard moeten worden. In het in hoofdstuk II genoemde Proefreglement worden nadere randvoorwaarden voor de digitale duurzaamheid van niet alleen de gegevens en documenten, maar ook de programmatuur en gegevensdragers gesteld. Een adequate beveiliging garandeert dat onbevoegden geen toegang tot de gegevens en systemen kunnen krijgen. Zo stelt bijvoorbeeld de Wet Bescherming Persoonsgegevens (Wbp) dat sprake dient te zijn van een passend beveiligingsniveau. Bij de invulling van het niveau moet rekening worden gehouden met enerzijds de risico's rondom de gegevensverwerking en de aard van de te beschermen gegevens en anderzijds de stand van de techniek en de kosten van de maatregelen.

62 Archiveren van elektronische post, pag. 24 63 idem, pag. 38 64 Kwaliteitseisen volgens de Zwolse groep


25

Exclusiviteit elektronische identificatie en authenticiteit Papieren documenten kunnen ondertekend of geparafeerd worden. Bij digitale documenten kunnen voor een digitale ondertekening verschillende technieken worden gebruikt zoals symmetrische encryptie of digitale handtekeningen. Een elektronische handtekening65 is een handtekening in digitale vorm die uit gegevens bestaat of uit die gegevens is vastgehecht of logisch daarmee is geassocieerd. Deze wordt door een ondertekenaar gebruikt om van diens goedkeuring van die gegevens blijk te geven, en beantwoordt aan de volgende eisen: op unieke wijze met de ondertekenaar verbonden zijn; identificatie van de ondertekenaar mogelijk maken; totstandkomen met gebruikmaking van middelen die de ondertekenaar onder zijn

uitsluitende controle kan houden; verbonden zijn met de gegevens waarop zij betrekking heeft, zodanig dat elke wijziging

van die gegevens tot uiting komt. Een elektronische handtekening kan gebruikt worden om de digitale documenten en communicatie met klanten van de Rijksoverheid te beveiligen. Encryptie kan worden ingezet om de authenticiteit van partijen en de vertrouwelijkheid, de integriteit en de onweerlegbaarheid van gegevens te waarborgen. Bij het toepassen van encryptie is het nodig dat beide partijen over een encryptiesleutel beschikken. Een PKI dienst faciliteit het beheer van deze sleutels (vanaf de generatie, distributie tot het intrekken, als ook het herstel en bewaken van de geldigheid van sleutels. De naam Public Key Infrastructure (PKI) is ontleend aan de techniek waarbij gebruik gemaakt wordt van sleutelparen. Hierbij wordt het openbare deel van het sleutelpaar – de public key- gepubliceerd in de vorm van een certificaat. Wanneer een derde onafhankelijke partij voor de geldigheid van een certificaat instaat, wordt gesproken van een Trusted Third Partij. Vanuit de rijksoverheid wordt er momenteel een overheidsbrede PKI oplossing ontwikkeld door een ingestelde PKI taskforce. De wet schrijft de schriftelijke handtekening bij een notariële akte nadrukkelijk voor als vormvereiste. Er bestaan verder geen wettelijke belemmering voor het gebruik van een digitale ondertekening van een document. Er dienen wel nadrukkelijk maatregelen getroffen te worden om een zo optimaal mogelijke zekerheid te hebben dat het daadwerkelijk de persoon was die het document van de digitale handtekening voorzag. Diverse versleutelingstechnieken kunnen hierbij in overweging worden genomen. Momenteel is er veel aandacht voor de techniek van biometrie waar het gaat om het digitaliseren van de functies van een handtekening. 4.5 Juridische status Een probleem blijft de juridische status van een digitale handtekening. Welke status hieraan dient te worden gegeven, is vooralsnog niet echt duidelijk. Er zijn hieromtrent nationaal en in Europees verband veel weten regelgevingsinitiatieven ontwikkeld. In 1999 heeft de Europese commissie een voorstel gedaan om tot een gemeenschappelijk juridisch kader te komen voor digitale handtekeningen. Men wil een gemeenschappelijke methode vinden om elektronische handtekening juridisch te erkennen Voor organisaties die overgaan op het digitaal ondertekenen van documenten is het daarom van belang dat heldere afspraken worden gemaakt over zowel de status van deze ondertekening als de te hanteren procedures. Als voorbeeld kan de betreffende regeling in de zogenaamde EDI-modelovereenkomst dienen66 . In diverse wetten worden nadere voorwaarden gesteld aan de wijze waarop de documenten en gegevens bewaard moeten worden. Veelal mogen ze ook in een gereproduceerde vorm worden bewaard. In enkele gevallen moet echter het originele document worden bewaard. Voor de verplichting tot het bewaren van het originele document houden de mogelijkheden voor digitale opslag direct verband met de mogelijkheden tot het opstellen van een dergelijk document in digitale vorm. Zo kleven aan een digitale variant van de notariële akte nog belangrijke knelpunten. Elektronische opslag hiervan zal daarom ook niet snel te verwachten zijn. 4.5.1 Betrouwbaarheid De wijze waarop de digitale documenten worden bewaard is van belang. Bijvoorbeeld om ook in de toekomst te kunnen beschikken over betrouwbaar bewijsmateriaal. Het eerdergenoemde Proefreglement bevat in dit verband diverse eisen. Digitaal opgeslagen gegevens dienen snel en

65 Definitie uit EU-richtlijn (docnr 9708/98) d.d. 29 juni 1998 66 J.E.J. Prins, Digitale duurzaamheid: een verloren geschiedenis, pag 10


26

volledig terug te vinden zijn. Er moeten procedures worden ontwikkeld voor een adequaat inzicht in de aanwezige digitale gegevensbestanden. Indien dergelijke procedures ontbreken, zal het onmogelijk zijn, relaties tussen de opgeslagen gegevens te leggen waardoor deze niet of niet volledig te traceren zijn. Indien bepaalde gegevens digitaal en op papier bewaard worden (bijvoorbeeld omdat wettelijke voorschriften eisen dat het originele papieren document bewaard blijft of omdat bepaalde schriftelijke bijlagen bij een document in papieren vorm worden bewaard), zullen er tevens afstemmingsprocedures tussen beide registraties moeten komen. 4.5.2 Oorspronkelijkheid Om de digitaal opgeslagen gegevens in hun (oorspronkelijke) context en ordening te kunnen plaatsen en op hun waarde te kunnen schatten, dient meta-informatie aanwezig te zijn. De Wet op het Notarisambt vereist bijvoorbeeld dat notarissen de minuten, registers en repertoria onder meer zorgvuldig in een regelmatige orde bewaren. `Kale' digitale gegevens zijn daarom op den duur niet alleen waarde- en betekenisloos, de opslag van `kale' digitale gegevens is tevens niet in overeenstemming met de wettelijke bewaarplichten. Evenals dat bij papieren documenten gebeurt, moeten ook bij digitaal bewaarde gegevens bepaalde contextkenmerken worden toegevoegd die aangeven in welk stadium van een proces een bepaald document zich bevindt, wie de afzender is, over welke zaak het document gaat en welke afdeling voor het document verantwoordelijk is. 4.5.3 Integriteit en Authenticiteit De integriteit en authenticiteit van digitaal opgeslagen informatie moeten zijn gegarandeerd. Dit betekent dat de systemen waarin de gegevens zijn opgeslagen adequaat beveiligd moeten zijn en het historisch perspectief van de documentenstroom is gewaarborgd. Ook niet-(meer)-actuele gegevens worden digitaal opgeslagen. In een elektronische omgeving worden gegevens vaak met een eenvoudige druk op een toets gemuteerd, wat automatisch leidt tot de vernietiging van de oorspronkelijke gegevens. Belangrijk is echter dat voor documenten aan de wettelijke bepalingen inzake bewaring van gegevens wordt voldaan. Het digitale spoor moet te volgen zijn. Van groot belang in het kader van authenticiteit en verantwoording is de mogelijkheid de geschiedenis van een document en documentstroom te kunnen achterhalen, zowel de metagegevens (context) als feitelijke gegevens (inhoud en presentatiestructuur)67.

De noodzaak voor het digitaal bewaren van documenten is het gevolg van de digitalisering van het documentenverkeer. Van groot belang is te weten of de benodigde toestemming is verkregen voor het (in de toekomst) kunnen reproduceren van deze documenten indien deze binnen het bereik van de Auteurswet en het toekomstige databankenrecht vallen. Worden de reproducties van zowel schriftelijke als oorspronkelijk digitale documenten op een digitale wijze bewaard, dan kan dit bij de overheid in de loop der jaren veel aandacht, zorg maar ook werklast met zich meebrengen. De overheid wil blijven voldoen aan de wettelijke eis dat de archieven in een toegankelijke staat voorhanden dienen te zijn. Het gevolg is dat dit een regelmatige conversie vereisen, waartoe iedere keer opnieuw de vereiste toestemming verkregen dient te worden. Bij de afweging om tot digitale documentverwerking over te gaan dient dit nadrukkelijk in het achterhoofd gehouden te worden. Aldus zou wel eens besloten kunnen worden dat het wenselijk is een afzonderlijk archief aan te houden van de schriftelijke originelen. Slot De kwaliteitsaspecten van het digitaal bewaren van informatie hebben niet alleen met techniek te maken, maar vraagt tevens om een zorgvuldig overdacht organisatorisch beleid met juridische voorwaarden. Toch kan ook besloten worden bepaalde documenten juist buiten het digitale archief te houden of om een separaat archief van de oorspronkelijke documenten aan te houden.

67 Ook wel de audittrail genoemd


27

HOOFDSTUK V DE KWALITEIT VAN DE IT IN HET ARCHIEFWEZEN In dit hoofdstuk wordt de huidige status weergegeven die de informatietechnologie speelt bij digitaliseringprojecten. Er komen applicaties op de markt waarmee een digitaal archief ingericht en beheerd kan worden. 5.1 Huidige IT stand van zaken Naast de gewone archiefkasten, verschijnen er in de archiefzalen PC's met daarop informatiesystemen met gegevens van inventarissen, regesten, indexen en andere toepassingen. Het vormt echter maar ten dele de sleutel tot de archiefbescheiden. Veel kan ook niet worden teruggevonden. Elk jaar produceert de overheid dusdanig veel papier waardoor de achterstand op het maken van alle toegangen in het archief alleen maar groter wordt68. Soms brengt een archiefinstelling een geautomatiseerd archievenoverzicht uit. Een van de eerste in Nederland was het provinciale archief van de provincie Noord-Brabant. Het bleek te beschikken over een vrijwel dekkend net van gemeente- en streekarchieven. Daardoor was men in staat in 1995 een gezamenlijk geautomatiseerd archievenoverzicht Brabant uit te brengen69. Deze gids bestond uit een losbladig boek van nog geen 70 bladzijden en twee high density diskettes met beknopte beschrijvingen. De meegeleverde software kwam uit het public domain. De Rijksarchiefdienst is tot op heden er niet in geslaagd om met iets vergelijkbaars voor de gezamenlijke rijksarchieven te komen. Afgezien van geautomatiseerde zoeksystemen en uitgebrachte Cd-rom's waarop een specifieke collectie te raadplegen is het nog droevig gesteld met het IT niveau in het archiefwezen. Naast het digitaliseren van de bedrijfsprocessen binnen een overheidsorganisatie in het algemeen komt ook de bedrijfsvoering van de archieffunctie zelf ook in aanmerking voor automatisering. Het Ministerie van OC&W en ook de Raad voor de Kunst leggen steeds meer nadruk op de inzet van IT binnen het archiefwezen70. Het gebrek aan geld voor IT zaken hoort hiermee wellicht tot het verleden. 5.2 Migratie of emulatie Tot nog toe zijn internationaal leidende organisaties binnen het bibliotheek en archiefwezen zoals het NARA71 voorzichtig in het omarmen van standaards voor documentformaten anders dan ASCII. De Cornell University Library (CUL) heeft een grote collectie digitale informatie verzameld met een veelheid aan standaards en leverancierspecifieke formaten, inclusief ASCII, beeldformaten, tekstverwerkers, spreadsheets en databaseformaten. Elk van deze formaten veranderen voortdurend en worden complexer door nieuwe functionaliteiten of toepassingen. Het is niet ongewoon dat nieuwere versies van softwarepakketten niet compatible zijn met de vorige versies. Op basis van zijn grote ervaring heeft de CUL een methode van risicoanalyse ontwikkeld om het behoud van digitale informatie in de toekomst te verzekeren. Uitgangspunt is de digitale levenscyclus van informatie: van het ontstaan en de stadia van het gebruiken van informatie tot een bestand dat ongewijzigd blijft of een transformatie ondergaat naar een ander formaat voor hergebruik. De keuze hoe en wanneer risicoanalyse toe te passen hangt van de omstandigheden af. Er zijn twee totaal verschillende manieren om de latere stadia van de digitale levenscyclus de beheren: migratie en emulatie.

Migratie Migratie is de transformatie van digitaal materiaal van de ene hardware/software configuratie naar een andere, of van de ene generatie naar de andere. Migratie verandert de structuur van de originele datafile en is dus foutgevoelig. Een set van structurele elementen van de bron kan niet volledig meer overeenkomen. Spreadsheets bestanden zijn hier nogal gevoelig voor. Knip en plak maar eens gegevens van het ene werkblad naar een ander. De migratie van een spreadsheetwaarde naar een ASCII waarde laat wel de juiste waarde zien maar de gekoppelde informatie in de vorm van formules gaat verloren. Een ander voorbeeld voor migratie is vector georiënteerde berekeningen in geografische informatie systemen. Ook hier is het mogelijk dat een migratie wel goed gaat ten aanzien van de inhoud van een bestand maar niet ten aanzien van interne relaties of de context van de informatie.

68 Van Horik, R., Historia&Informatica, nr 2, jaargang 6, juni 1999, pag 1 69 DIVA, http://www.divakoepel.nl/pro/ida/ida_nwa.html#n1 70 Hoving, F.,Historia &Informatica, pag 5 , december 2000 71 National Archives and Records Administration


28

Emulatie Emulatie als alternatief. Hierbij blijft de originele software omgeving behouden. Een voorbeeld is de Dosemulatie in Windows NT. Emulatie heeft ook zijn beperkingen. Het gaat uit van de idee dat ook in de toekomst de data behouden blijft net zoals de applicatie software, het operating systeem en de hardware omgeving. Valt een van deze delen weg dan mislukt het. Nieuwe besturingsystemen kunnen emulatie uit marketingoogpunt of kostenreductie eenvoudig laten vervallen. Zo emuleert Windows2000 geen DOSomgeving meer. Emulatie is afhankelijk van de inspanningen van een leverancier. Wanneer hij zijn ondersteuning laat vallen, bestaat de mogelijkheid tot emulatie eenvoudigweg niet meer72. De vraag is welke keuze nu de beste is. CUL kiest altijd voor migratie.

5.3 Toekomstige IT ontwikkelingen Om later nog te kunnen weten wat de betekenis van een archiefstuk is, zijn metagegevens nodig Om verantwoording voor het handelen van een organisatie te kunnen afleggen dient het handelen van die organisatie te kunnen worden gereconstrueerd. Dit kan niet op basis van ontvangen, intern gebruikte en verzonden documenten sec: om de betekenis van een archiefstuk voor het bedrijfsproces te kunnen bepalen is het nodig om ook over gegevens óver het document (zogenaamde ‘metagegevens’) te beschikken. Er is door verscheidene wetenschappers over de hele wereld onderzoek gedaan naar de toe te passen metagegevens. Een methode die het archiveren als bedrijfsproces tot uitgangspunt neemt is het record keeping system (RKS). Het is een raamwerk voor het formuleren van functionele en technische eisen waaraan het beheer van digitale bescheiden moet voldoen. Als definitie van het RKS zou kunnen worden gegeven "het geheel van procedures, methoden, kennis, middelen en documenten waarmee een organisatie haar recordkeeping functie vorm geeft". Dit concept van recordkeeping kan op vele wijze worden bekeken zoals vanuit het perspectief van de de beheersaspecten van de bestanden zelf of vanuit het perspectief van het bewaarproces als zodanig. Het is deels te vertalen als archiveringsfunctie, maar het omvat meer dan alleen het bewaren73. Vragen die momenteel door het archiefwezen gesteld worden is of recordkeeping metadata gelijk is met formele archivistische beschrijvingen en of het een bepaalde vorm van zekerheid geeft ten aanzien van wet en regelgeving, IT standaards, auditing normen en best practices. Metadata is nodig voor de records die in gebruik zijn als ook voor die records die gearchiveerd zijn. Elektronische records komen voor in verschillende systemen, ze ontstaan in het ene systeem en worden bewerkt in een ander systeem. Metadata is ook noodzakelijk voor een lange termijn beheer en authenticiteit. Wanneer hier geen aandacht aan geschonken wordt dan is het gevaar van verlies van authenticiteit aanwezig zoals bijvoorbeeld wanneer een record nodig is als bewijs voor een bepaalde transactie 5.3.1 De standaard DOD 5015.2-STD Het verantwoord beheer van digitale informatie stelt de nodige eisen, zeker als het digitale archiefstukken betreft. Wat een “veilige” omgeving voor digitale archiefbescheiden is, hoe deze omgeving eruit ziet en welke functionaliteit hiervoor nodig is, zijn onderzoeksvragen die in de Verenigde Staten door het Department of Defence (DoD) zijn uitgewerkt. In 1997 heeft zij eisen geformuleerd waaraan software moet voldoen die gebruikt wordt voor het beheren van archiefbescheiden en vastgelegd in de standaard DoD 5015.2-STD. Het beschrijft de verplichte en optionele eisen waaraan software dient te voldoen, die binnen de DoD voor het beheer van records wordt gebruikt. Daarnaast heeft het ministerie een certificatieprogramma opgezet. Momenteel (2001) zijn er 28 (vnl. Amerikaanse) softwarepakketten gecertificeerd74 die voldoen aan de DoD standaard. Ook het Amerikaanse Algemeen Rijksarchief (NARA) is bij de standaard betrokken. In Nederland wordt de standaard door het Rijksarchief omarmd. De kans zeer groot dat de DoD standaard de basis wordt voor een algemene standaard. In Nederland zullen softwarefabrikanten DoD conforme producten op de markt

72 Op het Internet verschijnen wel emulatieprogramma’s voor hardwareplatforms, spelletjes ed. Vaak zijn het initiatieven van specifieke gebruikersgroepen en worden ze niet professioneel vanuit een leverancier ondersteund. 73 Prins, pag 10 74 De certificatie wordt uitgevoerd door de Joint Interoperability Test Command (JITC) van de Defense Information Systems Agency (DISA), zie http://jitc.fhu.disa.mil/recmgt


29

willen aanbieden. Vele van deze pakketten zijn overigens niet ingericht op waarborging van de authenticiteit van archiefbescheiden wanneer deze niet meer dagelijks wordt gebruikt. Het draagvlak voor de standaard binnen de internationale overheidsorganisaties wordt steeds groter, ook in Nederland. Het ministerie van Verkeer en Waterstaat heeft in mei 1998 van de algemene rijksarchivaris te horen gekregen dat het de standaard voorlopig als uitgangspunt mag nemen voor het archiveren van digitale bescheiden75. In feite beschrijft de standaard de toepassingsnormen van wat een elektronisch archiefbeheersysteem feitelijk functioneel zou moeten kunnen om aan de eisen, die voortvloeien uit de archiefregelgeving, te voldoen. 5.3.2 Record Management Applicatie (RMA) Momenteel komen er applicaties op de markt om organisaties te ondersteunen bij hun record keeping functie. Deze systemen zijn gebaseerd op het eerder genoemde DoD concept en worden Record Management Applicatie (RMA) genoemd. Het is een softwarepakket dat een organisatie is staat stelt om de archiefbescheiden (records), ongeacht hun vorm, te beheren en tevens de digitale archiefbestanden op te slaan en duurzaam te beheren. Het is een applicatie (softwarepakket) dat een organisatie in staat stelt om archiefbestanden in een "veilige omgeving" te beheren. Met name digitale archiefbescheiden worden in zo'n systeem opgeslagen en duurzaam beheerd. Concreet kan men zich een RMA voorstellen als een aantal voorzieningen binnen een kantoorautomatiseringomgeving. Met behulp van een RMA kunnen alle archiefbescheiden eenduidig geordend en beheerd worden en kunnen de digitale archiefstukken in een niet muteerbare vorm worden opgeslagen en ter beschikking gesteld. De records die in een RMA worden opgeslagen worden direct aan de van toepassing zijnde context- en metagegevens gekoppeld. In een RMA kunnen de benodigde gegevens voor het beheer van archiefbescheiden, ongeacht de drager, worden opgeslagen. De dossiers in een RMA bevatten gegevens over de stukken, direct raadpleegbare digitale archiefbescheiden en een verwijzing naar de verblijfplaats(en) van de niet-digitale stukken. Alle functies van een RMA (o.a. raadplegen, toevoegen en verwijderen van records) kunnen door autorisaties worden gereguleerd. Pas na een autorisatie kan een gebruiker een handeling uitvoeren. De controle over het digitale document en het beheer daarvan gaat volledig over van de omgeving van de gebruiker naar een RMA, zodra het archiefstuk is geïdentificeerd als zijnde een archiefstuk. In de RMA dient ook de van toepassing zijnde weten regelgeving geïmplementeerd te zijn. Daarnaast wordt de archiefordening en de verwijdering van stukken geregeld en de leesbaarheid van de bescheiden onderhouden 5.3.3 Internet Anno 2001 laten archiefdiensten zich ook op internet zien, maar de aangeboden dienstverlening is van het niveau van eenvoudige lijstjes in HTML tot complexe databases waarin alleen gezocht kan worden door het invullen van speciaal daarvoor ontworpen formulieren of het kunnen raadplegen van een digitaal fotoarchief76. Een toenemend aantal archiefdiensten biedt ook archieflijsten en inventarissen digitaal aan. DIVA, het overkoepelend orgaan van archiefinstellingen77 en documentaire informatievoorzieninginstellingen heeft een overzicht gemaakt per provincie van alle rijks-, waterschaps-, gemeente- en streekarchieven die een archievenoverzicht op het Web aanbieden78. Momenteel wordt er ook nagedacht over de inrichting van een nationaal digitaal archief. DIVA wil een digitaal landelijk archievenoverzicht aanbieden, dat op afstand raadpleegbaar is. Het uitgangspunt is dat alle lokale systemen bij de archiefinstellingen gewoon moeten blijven functioneren. Het archievenoverzicht zal vooral virtueel bestaan. Er wordt een client-server architectuur model aanbevolen: een landelijke centrale server met een database van beschrijvingen op archiefniveau. De gegevens worden via Internet aangeleverd vanuit de aangesloten lokale clients die gegevens van de aangesloten archieven en archiefvormers bevatten. Regelmatig kopiëren deelnemende instellingen delen uit hun lokale databases naar de centrale server. De centrale server omvat een formulier, een soort filter dat de aangeleverde gegevens toetst. Er zijn geen specifieke eisen gesteld want DIVA wil geen “noodzakelijk absolute standaardisatie” afdwingen. De reden hiervan is dat sommige archieven

75 Zie Bijlage V waar de Ned. DoD te raadplegen is. 76 Zie www.archief.net 77 De Rijksarchiefdienst maakt geen deel uit van DIVA, maar samenwerking met de RAD is statutair vastgelegd. 78 zie http://www.divakoepel.nl/pro/ida/ida_index.html


30

hun ontsluiting van archief dusdanig hebben geautomatiseerd waardoor zij zich op bepaalde wegen hebben vastgelegd79. De benodigde hardware en netwerkvoorzieningen wil men kunnen huren. De deelnemende archief instellingen leveren samen met DIVA de inhoud, een derde partij de infrastructuur. Door de scheiding van gegevens (aan te leveren door deelnemers) van het zoekprogramma en de interface denkt men een goede onderhoudbaarheid mogelijk te maken. De systeemontwikkeling wil men in eigen hand nemen. Vanwege het feit dat elke archiefinstelling zijn eigen interpretatie erop nahoudt, beveelt DIVA een standaardisatie aan volgens het ISAD(G) model (zie Bijlage II). In het volgende hoofdstuk VI wordt nog even ingegaan in welke mate een IT-auditor kwaliteitseisen aan het DIVA project kan stellen. Slot De kwaliteit van de IT in het archiefwezen is in positieve zin aan het veranderen. Het archiveringsproces wordt steeds meer geautomatiseerd ondersteund. Dit biedt voldoende basis om kennismanagement vorm te geven. De overheid heeft steeds meer aandacht voor een veilige omgeving van digitale archiefbescheiden door de omarming van de Dod 5015.2-STD.

79 J. Kloosterman, Divasite


31

HOOFDSTUK VI DE ROL VAN IT-AUDITING IN HET ARCHIEFWEZEN In dit laatste hoofdstuk wordt aangegeven wat IT-auditing is en welke objecten mogelijk beoordeeld kunnen worden. Risicoanalyse worden ook binnen het archiefwezen veelvuldig toegepast als techniek om het digitaliseringproces in gekwantificeerde stappen onder te verdelen. 6.1 Wat is EDP-auditing Een brede definitie van het begrip EDP80 auditing is "het vakgebied dat zich bezighoudt met de beoordeling en de advisering van objecten in de informatievoorziening in een omgeving waar gebruik wordt gemaakt van automatisering. Het doel hiervan is kwalitatief of kwantitatief een bijdrage te leveren aan een adequate organisatie van de informatievoorziening, waarbij de doelstellingen van de opdrachtgever gerealiseerd worden”81. Het uitvoeren van audits is de kern van de werkzaamheden van de EDP-auditor. Er vindt een beoordeling plaats aan de hand van bepaalde normen. Aanvankelijk werden EDP-auditors ingeschakeld door de accountant ter ondersteuning bij de beoordeling van de betrouwbaarheid van de geautomatiseerde gegevensverwerking. Dit wordt 'EDP-auditing' genoemd. De trend op dit moment is dat niet de accountant maar het management van organisaties steeds vaker een beroep doet op de EDP-auditor ter ondersteuning bij het inrichtingsvraagstuk ten aanzien van een adequate organisatie van de informatievoorziening82. In 1997 is de term EDP-auditing vervangen door IT-auditing omdat de term verouderd overkwam bij de beroepsvereniging Norea. Norea is een vereniging waar EDP-auditors lid van moeten zijn willen zij, na een aantal ervaringsjaren, de titel RE dragen. Dan zijn ze geschoold in het uitvoeren van IT-audits en is de IT-auditor officieel gekwalificeerd om een audit te mogen uitvoeren aan de hand van normen. Met het dragen van de RE titel geeft hij aan in staat te zijn deskundig, onpartijdig en onafhankelijk te kunnen oordelen over diverse IT objecten of IT processen De trend is dus dat het management van organisaties steeds vaker een beroep doet op de IT-auditor. In dit hoofdstuk wordt met deze ondersteuning van het management de term IT-auditing gehanteerd. IT-auditing heeft steeds meer een zelfstandige plaats gekregen en is niet alleen meer gerelateerd aan het vakgebied accountancy. Steeds meer mensen met een achtergrond als bedrijfskundige, informatieanalist of zelfs historici laten zich in het vakgebied IT-auditing scholen via de postdoctorale opleidingen. 6.2 Motieven voor het uitvoeren van een IT-audit Vier motieven voor het management om een IT- audit te laten uitvoeren zijn83:

men heeft onvoldoende kennis om te beoordelen of de investeringen in de automatisering wel of niet effectief zijn. Het is een intern afstemmingsprobleem waarbij het gaat om de wijze waarop middelen zijn aangewend in de organisatie;

men heeft behoefte aan een deskundig oordeel van een instantie die onpartijdig staat ten opzichte van de interne instanties die verantwoordelijk zijn voor het verrichten van investeringen. Hier gaat het dus om een structureringsprobleem en of een intern afstemmingsprobleem;

men heeft een onpartijdige en deskundige instantie nodig die aan het management de verzekering kan geven dat het bedrijf wetgeving op het gebied van de informatisering naleeft. Het gaat dan om een extern afstemmingsprobleem. Dit motief kan ook worden doorgetrokken naar andere, van buiten de organisatie opgelegde eisen ten aanzien van de geautomatiseerde gegevensverwerking;

men constateert dat een activiteit niet heeft plaatsgevonden of niet geheel conform de wens plaatsvindt en wenst oorzaken hiervan te achterhalen dan wel herhaling te voorkomen. Dit kan gerelateerd zijn met een intern of extern afstemmingsprobleem;

Het management kan deze motieven afzetten tegen de rollen die de auditfunctie in organisaties kan vervullen. Auditing kan worden toegepast in de vorm van periodiek uitgevoerde audits (zogenaamde procesaudits) of in de vorm van een eenmalig onderzoek naar de oorzaak van een IT probleem of om te bepalen in welke mate bepaalde gevaren zijn afgedekt. De eerste drie bovenstaande motieven geven aanleiding tot periodieke audits en zijn te zien als een verbijzonderde vorm van actieve controle door de leiding, de laatste is meer een ad hoc onderzoek voor het verschaffen van extra zekerheid.

80 Electronic Data Processing 81 J. Van Praat ea., Inleiding EDP auditing, pag 145 82 L.J.H. van Dijke, Volwassenheidsmodellen en EDP auditing, pag 12 83 Van Biene-Hershey, 1989


32

Uiteraard moet de toepassing van IT auditing bedrijfseconomisch verantwoord zijn. Dit is lastig te bepalen omdat de baten van een IT-audit niet direct in geld kan worden uitgedrukt. Tenzij men met de resultaten van de periodiek audit richting interne of externe klanten een signaal afgeeft over de kwaliteit van de informatievoorziening. Dan wordt er gesproken over een Third Party Mededeling. De auditor is de derde partij die een onafhankelijk oordeel kan vellen. Een audit te laten uitvoeren is afhankelijk van het belang van de informatisering voor de organisatie en de kwaliteit van de beheersing van de organisatie zoals deze door het management ervaren wordt84. Wanneer de mate van automatisering niet meer omvat dan een klein netwerk bedoeld voor eenvoudige administratieve handelingen, zal er weinig aanleiding zijn om een IT-audit te laten uitvoeren. Maar wanneer de afhankelijk van automatisering voor het primaire proces steeds groter wordt zal men preventieve maatregelen moeten nemen om de beveiliging hiervan te organiseren. Functies en beleidsprocessen rondom de automatisering moeten dan worden ingericht. Zo lang het management het gevoel heeft in controle te zijn en vertrouwen heeft in haar IT personeel is er weinig grond voor een audit. Er zal ook eerder behoefte zijn aan advisering wanneer specifieke tekortkomingen in de organisatie bekend zijn. Daardoor groeien audit en advies steeds meer naar elkaar toe. Steeds meer interne en externe auditors zijn betrokken bij het geven van advies over IT aangelegenheden85. Voordelen zijn duidelijk maar het nadeel is het gevaar van een collisie wanneer er over het geadviseerde IT object een audit zou volgen of omgekeerd. 6.3 De IT-audit functie De IT-auditor functie is aan verandering onderhevig86. De IT-auditor is veel minder een externe functie die vanuit de directieraad opdrachten krijgt maar wordt steeds meer door het ondersteunende management ingeschakeld. Niet alleen betrouwbaarheid en beveiliging maar ook effectiviteit en efficiency worden steeds belangrijker als kwaliteitsaspecten in IT-audits. De IT-auditor worden niet alleen aan het einde van een beheersproces erbij gehaald maar steeds vaker ingeschakeld bij een eerdere fase van de management cyclus. Steeds meer heeft de IT-auditor een adviserende rol. Steeds vaker zijn IT-auditors betrokken bij veranderinsgprocessen in een organisatie. Steeds meer worden objecten in hun onderlinge verhouding beoordeeld dus niet alleenstaand. Het management behoort zelf vast te stellen welke normen het wenst te stellen aan de processen van zijn organisatie. Voor toetsende audits kan de auditor zelf een normenstelsel opstellen zonder daarvoor uit zijn bevoegdheid te treden. Hij laat dan alvorens een audit uit te voeren deze bekrachtigen door het management. De normen die een IT-auditors hanteert, verschuiven van algemeen naar steeds specifieker gericht op continuïteit of normen, speciaal gericht op individuele wensen. De vraag is of deze ontwikkeling aansluit bij de ontwikkeling van het archiefwezen. 6.4 IT-auditing in het archiefwezen Momenteel is het niveau van automatisering binnen het archiefwezen nog niet dusdanig hoog dat er een noodzaak is audits uit te laten voeren. In hoofdstuk I is geschetst dat de archiefdiensten een breder publiek proberen te bereiken in een samenleving die steeds hogere eisen aan hen stelt, vooral op digitaal gebied. Steeds meer archieven willen dan ook hun dienstverlening via Internet gaan aanbieden. Men ontwikkelt deze dienstverlening zelf door gebruik te maken van interne expertise in de organisatie. Steeds vaker maakt men gebruikt van externe expertise om applicaties te laten ontwikkelen. Wie op het archiefnet kijkt naar de Nederlandse internetapplicaties van archiefinstellingen (www.archief.net) ziet grote kwaliteitsverschillen. Veel collectie verzamelingsystemen hebben een internetfunctie. Toch halen deze applicaties niet het hoge kwaliteitsniveau van het archief van bijvoorbeeld de stad Antwerpen. Er moet een omslag plaatsvinden binnen het archiefwezen ten aanzien van de kennis over de IT technologie en de plaats die de digitale archivering in de organisatie in de toekomst inneemt ter vervanging van het papieren archief. Op de archiefopleidingen krijgt momenteel digitale duurzaamheid veel aandacht. De nieuwe generatie archivarissen zal dus veel bekender met de problematiek zijn. Door de toenemende digitalisering van werkprocessen en de invoering van workflowmanagement zal de archieffunctie in een digitale omgeving een dynamische spil gaan vormen in het kennismanagement van een organisatie. Wanneer het management een IT auditor inschakelt om een oordeel te kunnen vormen van de aangetroffen IT staat van het archief, zal een auditor impliciet of expliciet bepaalde normen moeten

84 F,J, Pop, EDP-auditing als beheerinstrument. 85 G.J. van der Pijl, Inaugural lecture 86 idem


33

hanteren87. Twee auditors die hetzelfde normenstelsel hanteren zouden tot een gelijk oordeel moeten komen. Bronnen die door een auditor gebruikt kunnen worden zijn door de auditor zelf, in overleg, opgesteld of worden door het archiefwezen aangedragen. Van belang zijn de normen die van buiten het archiefwezen worden aangedragen zoals wettelijke vereisten. De archiefwet is hierbij de belangrijkste. Wanneer de auditor zelf de normen gaat opstellen gaat hij in feite op de stoel zitten van het management. De archivaris of het management van een organisatie behoort vast te stellen welke normen hij wenst te stellen aan de processen binnen zijn organisatie. Het vaststellen van een dergelijk normenkader kan in de praktijk voor problemen zorgen88. In dit referaat is aangegeven dat het archiefwezen zich steeds meer concentreert op het inrichten van een digitaal archief naast het papieren archief. De complexiteit van de informatisering neemt hierbij steeds verder toe. De vraag is hoe het gesteld is met de kwaliteit van het IT personeel en inbedding hiervan in de archieforganisatie. De tendens is outsourcing en een te beperkt budget om te voldoen aan de wettelijke bewaarverplichtingen. De archiefinspecteur is in feite zelf ook auditor, zij het geen onpartijdige. Het object dat hij aan een audit moet onderwerpen is de staat van het archief in de organisatie. Zijn normenkader om tot een positieve uitspraak te komen (het archief bevindt zich in een goede en geordende staat), haalt hij uit wet en regelgeving en interne regelingen op het terrein van informatiebeheer. De inspectie is in het algemeen gericht op de kwaliteit van het archief.89 De archivaris als auditor inspecteert het te ontvangen archief. Omstandigheden bij de leverancier van het archief (de archiefhouder, bijv. milieudienst) zullen een rol spelen, zo ook bij de overheidsorganisatie. De invulling en kwaliteit van de interne controle is voor hem een gegeven. Het is hem bekend van welk onderdeel van zijn organisatie het archief vandaan komt. Ontvangt hij een archief van buiten dan is het vrijwel onmogelijk op voorhand een uitspraak te doen over de kwaliteit van het te ontvangen archief. Sommige gemeentelijke organisatie kennen specifieke DIV controlemedewerkers. De archivaris kan dus de interne controle bij de archiefhouder gebruiken bij de bepaling van zijn aanpak. Hoewel de archivaris vanuit zijn functie gewoon onderdeel is van de uitvoerende functie is het archief de laatste keten in de documentaire informatievoorziening. Een procesgerichte aanpak voor de archivaris is mogelijk. Hij bemoeit zich dan (of wil zich bemoeien) met het voortraject van automatiseringsprojecten en gedurende de werking van informatiesystemen. Hij signaleert wanneer een informatiesysteem uit oogpunt van de archiefwet niet voldoet aan toekomstige archiveringsaspecten. Soms neemt de archivaris een steekproef uit de massa om zijn oordeelsvorming te onderbouwen. De kennis en het vakmanschap van de archivaris bepalen in belangrijke mate zijn oordeelsvorming, waarbij hij op basis van zijn professional judgement vast zal stellen in hoeverre hij voldoende aanleiding meent te hebben om een aangeboden archief goed of af te keuren. 6.5 IT–auditors in het archiefwezen Er zijn weinig IT-auditors betrokken bij archiefinstellingen. Een keer per jaar wordt de jaarrekening van de archiefdienst opgemaakt en gecontroleerd door de accountant. Waarschijnlijk stelt de accountant geen vragen omtrent de kwaliteit van de IT bij de archiefdienst. Veel politieke eer valt er aan het archief ook niet te behalen zodat men vaak met een zeer beperkt budget het archiefwerk moet doen. De enige zorg van het management is of het archief aan de wettelijke verplichting voldoet. Is dat het geval, dan blijkt de aandacht weer snel verdwenen te zijn. Men de aankomende schaalvergroting van het archiefwezen en toenemende digitalisering zal deze aandacht groter moeten worden, ook voor de accountant. Archivistische argumenten tellen alleen voor het management wanneer ze gebaseerd zijn op juridische of bedrijfseconomische fundamenten. Toch zal het management worden gedwongen de archieffunctie in hun organisatie serieus te nemen. Doen ze dit niet dan wordt de digitale chaos nog groter. Op een vraag aan de interne IT auditor van de Gemeente Nijmegen waarom hij niet betrokken is bij automatiseringsaangelegenheden van archivistische aard was zijn antwoord dat de archiefinstelling goed in staat is zelf de IT kwaliteit te bewaken. Zeker ook omdat zij van oudsher meer gericht dan zijn

87 F.J. Pop, pag. 62 88 idem 89 Naar analogie van de vleesinspecteur, Mos, T.O., IT-AUDIT-RISK, pag.196


34

dan specifieke IT afdelingen op het volgen van wet en regelgeving zoals deze in de archiefwet of in andere rijksvoorschriften zijn geformuleerd. Deze vraag bracht hem overigens op het idee wel meer contact te zoeken met zijn archiefdienst want "inderdaad, daar gebeuren interessante dingen”. Er is een wereld van verschil maar er zijn ook veel overeenkomsten tussen de archivaris en de IT-auditor. Net als een IT-auditor, inspecteert en beoordeelt een archivaris objecten en bedrijfsprocessen aan de hand van normen en richtlijnen. Naast wettelijke kaders werkt de archivaris vrij strikt met regelingen zoals bijvoorbeeld de regeling Geordende en toegankelijke staat archiefbescheiden 2000. Hierin staan de eisen waaraan een (digitaal) archief moet voldoen. Voor de archivaris zijn dit normen waar hij zich beroepsmatig aan te houden heeft. Wanneer een IT-auditor in het archiefwezen ingeschakeld zou worden, zou hij/zij aan de hand hiervan tot een gelijke kwaliteitsbeoordeling moeten komen. Wanneer de archivaris een archief als onvoldoende beoordeelt, dan is het meestal ook niet meer geschikt als bedrijfsmiddel. Een ontoegankelijk archief is het product van een niet goed functionerend bedrijfsproces. Bedrijfsprocessen en het functioneren hiervan zijn eigenlijk interessanter voor de auditor dan voor de archivaris. De laatste kijkt meer naar toekomstige processen: is de informatie die nu ontstaat over 20 jaar interessant om te archiveren. Een slecht functionerend bedrijfsproces levert geen archief op en betekent voor de archivaris geen werk. Hij heeft weliswaar een signalerende functie maar zal zelf geen bijdrage leveren het bedrijfsproces te verbeteren. De archivaris komt pas terug wanneer het bedrijfsproces op orde is. Voor de archivaris zou het nuttig kunnen zijn wanneer een archiefdienst gebruik zou kunnen maken van de producten van een IT-auditor. Men zou een IT-auditor kunnen vragen de kwaliteit van het archiefproces in de organisatie als geheel te beoordelen. Aan de hand van de uitkomsten zou de archivaris nieuwe richtlijnen kunnen opstellen. De archivaris is dan de opdrachtgever voor het uitvoeren van een onafhankelijke IT-audit. Veel gemeenten zijn momenteel bezig met een proces redesign van hun oude kerntaken. Oude gemeentelijke instellingen ombouwen tot informatieleveranciers aan de burgers die gelijktijdig een verantwoording van genomen beslissingen krijgen, is een activiteit waar zeker een IT-auditor zijn nut kan bewijzen. Ook kan hij betrokken worden voor het monitoren van grote IT projecten waarbij hij naast de wettelijke normen ook ITIL normen zou kunnen toepassen. Dit natuurlijk in overleg met de opdrachtgever namens wie hij de audit uitvoert. Ook zou een IT-auditor gevraagd kunnen worden de kwaliteit van het digitale archief te beoordelen aan de hand van de DoD 5015.2-STD vereisten. Ook kan een IT-auditor ingeschakeld worden om te kijken of de archiefdienst niet efficiënter kan worden ingericht90. Een IT-auditor zou dan bijvoorbeeld de kwaliteit van het digitale archief kunnen beoordelen aan de hand van de wet en regelgeving zoals deze in hoofdstuk IV zijn opgesomd. Een niet goed functionerend archief valt pas laat op. Documentaire Informatievoorziening is geen auto van de zaak waarmee men goede sier kan maken. Gemeente archieven worden pas interessant bij een calamiteit, wanneer stukken op een vuilnisbelt gevonden worden of wanneer het archief van de milieudienst niet blijkt te kloppen. De archivaris kan zeggen zijn zaken goed op orde te hebben maar het is niet direct zichtbaar. Hij kan straffeloos de zaak een tijdje laten verwaarlozen. Pas wanneer het publiek een beroep doet op het archief, worden eventuele wantoestanden openbaar. Vaak is het dan al te laat en kunnen archiefbescheiden geen rol meer spelen in bijvoorbeeld strafzaken omdat ze eenvoudigweg niet gevonden kunnen worden of helemaal niet meer bestaan. Sommige gemeenten kennen een interne IT-auditor of een DIVcontroller die aan de kant van de documentaire informatievoorziening de kwaliteit van de archieven controleert. Dit is een goede medestander van de archivaris. Op basis van de uitkomsten van hun onderzoeken zou de IT-auditor een uitspraak kunnen over de kwaliteit van het digitale archief. Om een digitale archief goed op te zetten moet de archieffunctie zoveel mogelijk worden geïntegreerd in het bedrijfsproces en moet er een sterke archivistische regiefunctie zijn die ‘het (archivistische) vak’ inbrengt in het bedrijfsproces. Het digitale archief moet een sterke geautomatiseerde ondersteuning 90 Het Rijksarchief heeft zelf geen bemoeienis met een gemeentelijke archiefdienst. Vanuit de provincie vinden er efficiency onderzoeken plaats die beoordelen of Burgmeester en Wethouders de zorgtaken wel goed uitvoeren. De archiefdienst blijkt in de praktijk hier vaak maar zijdelings bij betrokken te worden


35

van de archieffunctie hebben. Adviseren ten aanzien van de beheersaspecten van een digitaal archief kan een taak van de IT-auditor zijn. Aandachtgebieden die het archiefmanagement voor een digitaal archief heeft geformuleerd zijn functionaliteiten, gebruikersvriendelijkheid, functioneel-technische aspecten en leverancierscriteria91. Het aanwezig zijn van een dergelijke basisset functionaliteiten biedt overigens nog geen garantie is voor een robuuste, betrouwbare digitale informatiehuishouding. De juiste keuzes dienen te worden gemaakt, de juiste invulling dient te worden gegeven aan de archiefoplossing in brede bestuurlijke, organisatorische, procedurele en technische zin. Een IT-auditor kan goed ingezet worden om samen met het management normen op te stellen rond de kwaliteitsaspecten van deze aandachtsgebieden. Hierbij kan de IT-auditor zeker zijn diensten bewijzen in een adviesrol. Hij is in staat het gehele IT veld te bekijken volgens diverse modellen maar moet daarbij wel het archiefbeeld direct in deze modellen meenemen. 6.6 Internet Het archiefwezen wil zich op het Internet profileren. Een IT-auditor kan gevraagd worden een risicoanalyse van E-dienstverlening uit te voeren. Het traditioneel het meest voor de hand liggende risico met software gebruik binnen het archiefwezen, is dat het niet (correct) werkt. Daarnaast spelen rond e-dienstverlening allerlei andere risico's ook een rol zoals:

Onbereikbare of te trage website. De toeloop van gebruikers is van tevoren moeilijk in te schatten. Responstijden kunnen zo snel toenemen totdat sprake is van een onbereikbare website. Veel archiefbezoekers zullen afhaken wanneer de responstijd hoger is dan 8 seconden92;

Onhandig en onaantrekkelijk voor gebruikers. Er is nog weinig bekend over hoe gebruikers zoeken. Vergemakkelijkt de toepassing het archiefzoekproces van een onbekende gebruiker?

Onvindbare site. Een laag bezoekersaantal kan liggen aan het feit dat gebruikers de site niet kunnen vinden omdat er geen zoekmachines naar verwijzen;

Binnendringen of bericht onderschepping. De verbinding met Internet maakt de organisatie kwetsbaar voor ongewenste indringers van buiten. Stel dat men archiefkopieën via Internet kan aanvragen en met een creditcard kan betalen. Hoeveel zekerheid heeft een klant dat zijn creditcard betaling niet wordt onderschept en misbruikt;

Ongewenste beperkingen aan de infrastructuur van gebruikers. Werkt de versie op verschillende browsers? De doelgroep kan een verouderde internetbrowser hebben;

Onvoldoende organisatorische inbedding. Voor de meeste archieveninstellingen is Internet nog nieuw. Ineens krijgt men een nieuw communicatiekanaal met haar klanten. Nu staat niet meer het archiefstuk maar de klant centraal. Vindt er ook een goede organisatorische afhandeling plaats van klantaanvragen?

Met een toenemend aantal en belang dat de overheid stelt aan e-dienstverlening, groeien ook de hierboven genoemde risico's. De IT-auditor zou de risico's die men wil betrekken in het e-dienstverleningsproces kunnen vertalen naar kwaliteitsaspecten zoals juistheid (doen wat het moet doen), tijdgedrag (is het snel genoeg), beschikbaarheid (is het stabiel) beveiligbaarheid (is het veilig), bruikbaarheid (is het voldoende bruikbaar en gebruikersvriendelijk voor de gebruiker, aanpasbaarheid (draait het onder verschillende browsers, op verschillende platforms, compleetheid (is de organisatie eromheen ingericht). Met uitbestedingstrajecten spelen zaken als; welke afspraken zijn gemaakt, welke eisen moet het archiefwezen stellen aan de organisatie waar specifieke e-diensten aan uitbesteed zijn. E-dienstverlening brengt nieuwe risico's met zich mee die aangepast kwaliteitsmaatregelen vereisen. Een daarvan is het gestructureerd (laten) testen van de e-applicaties volgens een specifieke gestructureerde testaanpak en bovengenoemde kwaliteitsaspecten. In het eerdergenoemde DIVA project waarbij voorgestaan wordt een deel van de automatiseringszaken uit te besteden, zou een IT -auditor in het Sevice Level Management traject kunnen worden ingeschakeld. In het uitbestedingst raject wordt er een onderscheid gemaakt in de contractfase en de fase waarin afspraken over serviceniveaus worden gemaakt93 . Er moet een goed sluitend contract worden opgesteld met daarin wederzijdse verplichtingen en aanspraken, aansprakelijkheid en tarifering. Afspraken omtrent het gewenste serviceniveaus worden

91 Zie Bijlage V Basisset functionele eisen 92 Automatiseringsgids, nr 20-2000 93 Outsourcing, Praktijkreeks Informatiebeveiliging, Ten Hage en Stam, 2001, pag. 12


36

vastgelegd in een Service overeenkomst. De eindverantwoordelijkheid voor IT en beveiligingsaspecten kunnen niet overgedragen worden. Men wil in eerste instantie een deductie van IT processen bewerkstelligen vanwege de daaraan verbonden werkzaamheden. Toch moet er wel een beheerorganisatie zijn om de contacten met de leverancier te onderhouden. Bovendien mag het uitbesteden de bestaande beveiligingsniveaus in de organisatie niet aantasten. Men besteedt uit om bedrijfsprocessen goedkoper te maken. Beveiligingsaspecten spelen in deze beslissing nauwelijks een rol94. Natuurlijk is het geen probleem wanneer uitbesteding leidt tot een meer efficiënter uitvoering van beveiliging. Veel serviceproviders hebben hun beheersprocessen conform ITIL ingericht. Daarom is het goed wanneer de uitbestedingsorganisatie ook de ITIL methodiek kent, want dat praat wat gemakkelijker. Aan de uit te besteden IT processen moet de organisatie beveiligingsnormen koppelen aan maatregelen om de bedreigingen (menselijk, systeemtechnisch, infrastructurele en organisatorisch) te kunnen ondervangen. Met de leverancier moeten afspraken gemaakt worden tegen welke kosten bedreigingen kunnen worden voorkomen. De leverancier zal zich vooral concentreren op de continuïteit en de kwaliteit van de operationele processen. Voor het archiefwezen zal beschikbaarheid, integriteit en vertrouwelijkheid van meer belang zijn dan voor de leverancier van de dienst. Daarom is het belangrijk dat de klant ook periodiek controles laat uitvoeren door een IT-auditor om te beoordelen of de leverancier zijn overeengekomen verplichting nakomt. Bij de keuze voor een record keeping management systeem zou een IT auditor kunnen worden ingeschakeld ter ondersteuning van het management in haar keuze. Hij zou dan de DoD 5015.2-STD als norm kunnen hanteren Tot slot is er nog een rol die een IT-auditor in het archiefwezen kan vervullen, namelijk die van certificeerder. Hij kan specifieke archiveringssoftware certificeren volgens de door de DoD 5015.2-STD gestelde eisen. Momenteel wordt deze software intern door het Amerikaanse Depart of Defence gecertificeerd. 6.7 De archiefwetenschap en IT-auditing Het belang dat de archiefwetenschap aan het begrip 'metadata' onderkend is terug te vinden in het grote aantal publicaties. Dit concept van recordkeeping kan op vele wijze worden bekeken, zoals vanuit het perspectief van de beheersaspecten van de bestanden zelf of vanuit het perspectief van het bewaarproces als zodanig. Vragen die momenteel door het archiefwezen gesteld worden:

zijn recordkeeping metadata gelijk met formele archivistische beschrijvingen? geeft het een bepaalde vorm van zekerheid ten aanzien van wet en regelgeving, IT

standaards, normen en best practices? Metadata is nodig voor de records die in gebruik zijn, voor die records die gearchiveerd en in ruste zijn, bij het ontwerp van Informatiesystemen, voor de entiteiten van bestanden, voor beheers en bewaringsaspecten. Digitale gegevens komen voor in verschillende systemen, ze ontstaan in het ene systeem en worden bewerkt in een ander systeem. Ook hierbij is Metadata noodzakelijk, zeker voor een lange termijn beheer en om authenticiteit te kunnen waarborgen. Metadata is ook zeer wezenlijk voor e-commerce. Wanneer geen gevolg gegeven wordt aan het begrip authenticiteit, ontstaan er problemen wanneer specifieke gegevens nodig zijn als bewijs voor een bepaalde transactie. Transacties moeten eenduidig zijn. De archiefwetenschap kent veel theorievorming wat betreft de kwaliteitseisen rond digitale archivering en duurzame opslag. IT-auditors kunnen hiervan gebruik maken wanneer zij audits uitvoeren die met digitale duurzaamheid te maken hebben en zich moeten verdiepen in het onderwerp. Een ander aspect is dat IT-auditors in het algemeen het belang moeten inzien om het laatste stukje van een bedrijfsproces, de archiveringaspecten van bedrijfsprocessen, volgens geldende regels in te bedden bij het ontwerp van een informatiesysteem. Aan het archiefwezen kunnen IT-auditors hun kennis van IT modellen en IT objecten en de kwaliteitseisen en risico's uitdragen die in de archiefwetenschap niet bekend zijn. Juist het vakgebied IT-auditing levert dikwijls vaktechnisch een aanvullende bijdrage aan het formuleren van kwaliteitseisen (aspecten) en normen binnen de automatisering in het algemeen. Omgekeerd kunnen IT-auditors kennis nemen van de theorievorming uit de archiefwetenschap omtrent digitale archiveringaspecten en de hierbinnen geldende modellen.

94 idem,pag. 14


37

6.8 Risicoanalyse Risicoanalyse is een techniek die door de meeste IT-auditors gehanteerd wordt95. Ook binnen het archiefwezen wordt dit veelvuldig toegepast als techniek het migratieproces in gekwantificeerde stappen onder te verdelen96. Indien goed toegepast kunnen verschillende individuen die voorzien worden van dezelfde eenduidige informatie over een digitaal bestand, dezelfde risico-inschattingen maken. Drie risicocategorieën zijn te onderscheiden:

risico’s voor de algehele collectie; risico’s voor het bestandsformaat; risico’s voor bestandsformaat conversie proces.

Van het gehele proces van collectieverwerving, de ondersteuning van de hard en software en het personeel om het archief te onderhouden worden de risico's in kaart gebracht. Juridische en politieke aspecten kunnen in de toekomst extra risico’s introduceren. In het ideale geval zal de risicoanalyse worden uitgevoerd door een team van experts waarvan elk lid een specialist op een specifiek terrein en met kennis op gebied van digitale bewaring. Toch zullen vanwege de hoge kosten die een dergelijke analyse met zich mee brengt, weinig archieven in staat zijn deze experts in te schakelen. Daarom worden er handboeken uitgebracht waarin een systematische analyses van risico’s en problemen worden vermeld. Het kan gebruikt worden om potentiële risico’s te identificeren maar ook als meetinstrument om de gevolgen te bepalen. Calamiteitbeheersing werkt anders in een digitale archiefomgeving. De waarde van een archief voor de continuïteit van een organisatie wordt vaak onderschat en niet altijd meegenomen in een IT contingency plan. Wanneer kennismanagement georganiseerd is met een digitaal archief wat goed ontsloten kan worden, zal dit archief in het plan moeten voorkomen. Factoren zoals onbeveiligde toegangen en menselijke fouten als onvoorzichtigheid, diefstal, vandalisme zijn belangrijke risico's. Specifiek voor een (digitaal) archief heeft het Brooklyn College Library (1.000.000 archiefstukken, 60 personeelsleden) een Disaster Plan opgesteld97. De tapes en schijven waaruit een digitaal archief bestaat zijn nogal kwetsbaar. Er is een fysieke vergankelijkheid van de dragers door bijvoorbeeld schommelingen in temperatuur en luchtvochtigheid. Bovendien wordt de databehuizing bedreigd door transport en door het aantal keren dat ze beschreven worden. IT-toepassingen verouderen snel. Er is een vervaldatum van digitale data. Toch zullen digitale data de tijdsspanne van eeuwen wellicht niet overleven. Het blijft vreemd te bedenken dat we misschien niets zullen achterlaten voor de archeologen en historici van de toekomst. Het enige wat we kunnen doen ter preventie is de digitale data op gezette tijden te converteren naar nieuwe applicatieversies of naar nieuwe media. Slot Het toekomstbeeld geschetst door de Minister voor Grote Steden en Integratiebeleid98, spreekt over een nieuwe digitale wereld die nieuwe kennis, nieuwe vaardigheden en een nieuwe werkwijze vraagt. “Van papier naar digitaal: het vraagt een totale cultuuromslag. Functies, overlegvormen, taken en bevoegdheden zullen kantelen. De opmars, bij wijze van spreken vanuit de kelder, naar het centrum van de organisatie is begonnen. Het is een enorme uitdaging met een potentiële meerwaarde: een perfect cumulatief kenniscentrum, transparant, actueel, open. Optimaal zinvol en dienstbaar, voor nu en later. Het is voor alle betrokkenen een werkend perspectief”. Om dit perspectief werkelijk werkend te maken moet er nog heel wat gebeuren. Het management moet ervan uit kunnen gaan dat het beleidsmatig, procedureel en technisch ook allemaal mogelijk is. Hier ligt dus een taak voor de IT-auditor. Ik hoop dat hij met mij het belang van een goede organisatie van digitale archivering onderschrijft want het verleden heeft de toekomst.

95 Van der Pijl, Inaugural lecture 96 Lawrence, pag 401 97 idem, specifieke kennis over bijvoorbeeld boekbinding, hoe materiaal op te bergen ed. zouden ook in een handboek vastgelegd moeten worden 98 Mr. R.H.L.M. van Boxtel, Het geheugen als actieve kracht, pag. 7


38

LITERATUUROPGAVE Aalst, W. van der, Hee, K. van, Workflowmanagement, modellen, methoden en systemen, Schoonhoven, Academic Service, 1997 Barnhoorn, W, e.a., Outsourcing, Praktijkreeks Informatiebeveiliging, Ten Hagen en Stam, 2001 Boekhoorn, S., e.a., Manager grijp uw kansen, Infomanagement, Doxis, Jaargang 15, Nr 2, juni 2000 Bussel, G.J. van, Ector, F., Pijl, G.J. van, Ribbers, P., Building the Record Keeping System (RKS), Tilburg. Diepen-Oost, F. van, Archieven in de Etalage, Ministerie van Onderwijs, Cultuur en Wetenschappen, maart 2000 Dijke, L.J.H. van, Volwassenheidsmodellen en EDP auditing, referaat Erasmus opleiding EDP- auditing, december 2000 Dijkstra, J., De ontwikkeling van het gemeentelijk archiefbeheer in de provincie Groningen, Archievenblad, april 2001 Gogh, van, I.J.M. , e.a., Beveiliging en Service Level Agreements, Praktijkreeks Informatiebeveiliging, Ten Hagen en Stam, 2001 Groote, de, Kl., De vervaldatum van digitale data, Corporate.Net, 26 april 2001 Hooff van der , B., Meijer, A., Naar een verantwoorde archivering van e-mail, Verslag van het symposium over de invoering, het gebruik en de archivering van e-mail in (overheids)organisaties, Den Haag, Rijksarchiefdienst, 1998 Horik, van, R., Het digitale stadsarchief van Antwerpen, Historia&Informatica, jaargang 6, nummer 2, juni 1999 Hoving, F.,DIVA en IDA, Historia &Informatica, pag 5 , december 2000 Horsman P., Digitaal Archiveren, Het record keeping System als kader voor het beheer van digitale archiefbescheiden, Den Haag, Rijksarchiefdienst, 1998 Horsman P., Archivering van Elektronische Post, Methoden, meningen en alternatieven, Amsterdam Archiefschool, 1999 Inhaalslag in archiefbeheer, Belastingwerk, Bedrijfsblad Belastingdienst, 19e jaargang, nr 171, september 2001 Ketelaar, F.C.J., Een goed manager stelt de juiste vragen op het juiste moment, Archievenblad, augustus 2000 Koenen, K., Baak, P., Het geheugen als actieve kracht, Den Haag, 22 juli 1999 Knotter, A., Archieven als regionale historische centra, Archievenblad, augustus 2000 Lawrence, G.W., e.a., Risk Management of Digital Information: A File Format Investigation, Washington DC, Counsil on Library and Information Resources, juni 2000 Ministerie van Onderwijs, Cultuur en Wetenschappen, Archieven in de Etalage, Maart 2000 Minzberg, H., Minzberg on management, New York, 1989 Mos, T.O., IT-Audit-risk, Het (Accountants) Audit-risk voor IT-Auditing beschouwd, TBM Audit, september 2000


39

Nederlands Normalisatieinstituut, Bewaren en bewijzen , mei 1998 Pieter W., e.a. Het boek van bewaring, Selectieve duurzaamheid in de Informatiemaatschappij, Alpen aan de Rijn, Samson, 1997 Pijl, G.J van der, IT-Auditing in a changing world, Inaugural lecture at the Erasmus University of Rotterdam, August 31, 2000 Pop, F.J., EDP-auditing als management-instrument, Afstudeerscriptie Bestuurlijke Informatiekunde Erasmus Universiteit, Rotterdam, 1995 Praat van, J., EDP-auditing in de praktijk, Deventer, Kluwer, 1993 Praat, van, J., Suerink, H., Inleiding EDP-auditing, Deventer, Kluwer, 1996 Prins, J.E.J., Overheidsinformatisering en recht, Archievenblad, april 2001 Prins, J.E.J., Digitale duurzaamheid: een verloren geschiedenis? Paper Katholieke Universiteit Brabant, 1999 Rothenberg, J. An Experiment in Using Emulation to Preseverve Digital Publictions, Den Haag, Koninklijke Bibliotheek, 2000 Schepers, P., Informatievoorziening in gemeenten, Afstudeerscriptie Geodesie Technische Universiteit Delft, Amersfoort, januari 2001 Schie,van, H., ISAD(G), De standaard voor archivistiche beschrijving, Archievenblad, maart 2001 Teuling, A.J.M. den, Duurzaamheid van grootboeken, Archievenblad, maart 2001 Teuling, A.J.M. den, Concepttekst Archieflexicon , januari 2001 Uijlenbroek, J.J.M., Digitaal documentenbeheer, orde in de digitale chaos, Den Haag, Stichting Het Expertice Centrum, 1998 Voorschrift Informatiebeveiliging Rijksdienst, Ministerie van Binnenlandse Zaken, 1994 Vries, M. de, Met Elektronische overheidsinformatie het nieuwe millennium in: hoe het was, hoe het is en hoe het worden moet. Den Haag: Rathenau Instituut, 2001, Studie 42 Waard, de, J., Van elektronisch archief naar e-business, VIP Vakblad voor documentmanagement, nummer 3, maart 2001 Werkgroep Digitaal Archiefbeheer, Digitaal archiefbeheer, duurzaam bewaren op basis van structureel beheer, Middelburg, juni 1999 Werkgroep Fysische Informatica Universiteit Utrecht, Projectvoorstel E-archiving, Universiteitsbibliotheek Utrecht, April 2000 Zwolse Groep, Een "veilige"omgeving voor digitale archiefbescheiden, Zwolle, juni 1999 Zwolse Groep, Handleiding archivering van elektronische post, Zwolle, augustus 2000 Internetsites

www.gemeentearchief.amsterdam.nl/concerndiensten/regelgeving www.archief.nl www.archief.net www.archiefschool.nl www.digitaleduurzaamheid.nl www.divakoepel.nl jitc.fhu.disa.mil/recmgt (Dod 5015-2)


40


41

BIJLAGE I DE STANDAARD DOD 5015.2-STD De standaard DOD 5015.2-STD geeft een aantal verplicht en niet-verplichte functionele eisen voor een Record Management Applicatie (RMA) software. Ook worden de minimum eisen voor een duurzaam beheer van digitale archiefbescheiden gespecificeerd om aan de archiefregelgeving te kunnen voldoen. De verplichte functionele eisen zijn onderverdeeld in algemene en gedetailleerde eisen. In de Algemene eisen wordt vermeld dat een RMA het geheel van de archiefbescheiden van een organisatie dient te beheren, zowel papier als digitaal en alle andere verschijningsvormen. Algemene eisen zijn:

Van het beheer van records moet de authenticiteit, duurzaamheid en toegankelijkheid zijn gewaarborgd;

Millennium en 21e eeuw gegevens dienen juist te worden weergegeven; Implementatie van gestandaardiseerde dataformaten moet mogelijk en onderhoudbaar zijn.

De gedetailleerde eisen zijn:

Implementatie ordeningsplannen (records, dossiers, codes) mogen alleen door geautoriseerde individuen worden uitgevoerd;

Identificeren en archiveren van records aan de hand van minimale context en metagegevens moet mogelijk zijn;

Archiveren van elektronische postberichten alleen volgens de geldende recordregels toegestaan. Bijlage van een e-mail is altijd gekoppeld aan het record;

Opslag van records middels een voorziening met directe toegang tot deze records (repositry); Het plannen van de verwijdering van records moet automatisch bijgehouden kunnen worden; Het selecteren van de records moet mogelijk zijn; Ontsluiting van de records moet mogelijk zijn volgens een voorgedefinieerde context en

metagegevens; Alleen verplaatsing van de goedgekeurde (geautoriseerde) records is mogelijk; Toegangscontrole aan meerdere geautoriseerde gebruikers door logging; Systeem audits zoals vastleggings-, ontsluitings- en bewaaractiviteiten zodat betrouwbaarheid

en authenticiteit van een record gewaarborgd is; Systeembeheer eisen: Back-up en recovery procedures, monitoring, opslagruimte en

beveiligingeisen worden gesteld; Additionele minimum functionele eisen (niet noodzakelijk in de RMA): elektronische kalenders

en taaklijsten, externe e-mail; De niet-verplichte functionele eisen zullen door de organisatie zelf gespecificeerd moeten worden. Niet-verplichte eisen van en rondom de RMA kunnen zijn:

Een koppeling met de in de organisatie gebruikte DBMS of moet, wanneer deze extern verworven;

Een standaard SQL en ODBC.mogelijkheid wanneer een externe DBMS gekozen wordt; Een standaard grafische gebruikers interface, bv Windows; Omvang van de opslagruimte; Type en formaat documentatie van gebruikershandleidingen, de technische handleiding en de

installatieprocedure; De gewenste systeemperformance volgens de geldende bedrijfseisen die door de GO gesteld

wordt; De hardware omgeving waarin de RMA wordt uitgevoerd; Het besturingssysteem waarop de RMA wordt uitgevoerd; De netwerkomgeving moet bepaald worden; De protocollen die ondersteunt moeten worden; Specificatie van de e-mail koppeling; De internetinterface; Zoekmethode ter ondersteuning van de gebruiker; Opleidingseisen;


42

Als andere nuttige kenmerken wordt genoemd de mogelijkheden van:

Het kunnen maken van globale veranderingen aan geautoriseerde personen tav. record categorieën, verwijderinstructies;

Bulklaadvoorzieningen waarmee bulkgegevens geladen kunnen worden; Recordversiebeheer en het terugzoeken van de laatste versie; Interfaces naar andere toepassingen zoals tekstverwerkers, spreadsheets, databases ed.; Rapportagemogelijkheden; Helpschermen; Fax intergratie hulpmiddelen; Bar code systemen; Thesaurus; Terugzoek ondersteuning; Workflowkenmerken ter ondersteuning van werk en conceptversies van documenten; Recordbeheerformulieren voor het kunnen afgeven van standaardverklaringen; Geprinte labels; Logica checks om consistentie te waarborgen en te ondersteunen bij foutencontrole voor de

vereiste context en metaggevenselementen; Viewer, om de opgeslagen bestandsformaten te raadplegen; Toegangs logging, auditinformatie dient verzameld te worden van iedere toegang van de

Record identificatiecode, de dossiercode en de gebruikersaccount identificatie;


43

BIJLAGE II KWALITEITSASPECTEN ROND DIGITALE BESCHEIDEN PER WET Er zijn wettelijke verplichtingen tot registratie en bewaring, de voorwaarden inzake de wijze van bewaring, de bewaartermijnen alsmede de maatregelen inzake `digitale duurzaamheid ' rond digitale bescheiden . Gegevens en documenten moeten om diverse redenen worden bewaard:

om als bewijsmateriaal te fungeren; om verantwoording te kunnen afleggen voor het overheidshandelen; in het belang van cultuurbeheer.

Het Nederlands recht kent daarom vele wetten waarin een verplichting tot het bewaren van gegevens is neergelegd. De archiefwet De Archiefwet 1995 stelt dat gegevensbestanden in een goede, geordende en toegankelijke staat moeten worden gehouden. Er moeten voldoende garanties zijn om te waarborgen dat de digitale informatie vindbaar, geordend, raadpleegbaar en betrouwbaar is en blijft. Naast de archiefwet kent het Nederlandse recht vele bewaarverplichtingen zoals bijvoorbeeld civielrechtelijke en fiscaalrechtelijke boekhoud- en bewaarverplichtingen voor ondernemingen en rechtspersonen. De wetgever wil waarborgen van de betrouwbaarheid van bewijs in communicatie. Bovendien stelt de wetgever eisen ten aanzien van toegankelijkheid en authenticiteit. Er dienen dus maatregelen genomen te worden om digitale en elektronische gegevens gedurende de daarvoor geldende bewaartermijn toegankelijk en ongewijzigd te houden. Dit betekent dat bij wijziging van informatiesysteem ook de bewaarde gegevens geconverteerd zullen moeten worden. Het gebruik van IT-systemen voor de opslag van gegevens is toegestaan. De Archiefwet zelf bevat geen specifieke bepalingen voor originele digitale documenten. Het op het Archiefbesluit gebaseerde proefreglement kent daarentegen wel specifieke regelingen99. Reproductiehandelingen zijn welhaast inherent aan het werken met digitale documenten. De wet staat toe dat archiefbescheiden mogen worden vervangen door reproducties en dit kunnen ook digitale reproducties zijn100. De wet stelt dat deze regelmatig geconverteerd moeten worden naar nieuw geïntroduceerde systemen omdat bepaalde digitale archiefbescheiden minstens honderd jaar zonder noemenswaardige achteruitgang raadpleegbaar moeten zijn. Dit is natuurlijk een nadeel voor de keuze voor digitaal bewaren. Iedere routinematige conversie van de bescheiden wordt namelijk aangemerkt als een vervanging . Omdat voor een vervanging van archiefbescheiden een uitdrukkelijk besluit (in de zin van de Algemene wet bestuursrecht) van de zorgdrager van het archief is vereist, betekent een en ander dat voor iedere conversie naar nieuwe apparatuur, programmatuur of drager een dergelijk besluit is vereist. Voor de documenten die uiteindelijk in een rijksarchief terecht komen, geldt dat wanneer men tot vervanging wil (moet) overgaan, daartoe een machtiging van de Minister vereist is, dan wel van Gedeputeerde Staten waar het bescheiden betreft die niet in een rijksarchief zullen worden bewaard. Welke documenten dit betreffen, zijn terug te vinden in een zogenaamde selectielijst101. Omdat, zoals hiervoor reeds is gesteld, reproductiehandelingen welhaast inherent aan het werken met digitale documenten zijn, is het van belang de hiervoor relevante bepalingen nader te bezien. Fiscaal recht Het fiscale recht stelt zwaardere eisen aan toegankelijkheid van digitale bescheiden dan het civielrecht. De verplichtingen bepaald in de Algemene Wet Rijksbelastingen inzake het bewaren van gegevens, gaan over de eis dat de rechten en plichten uit de bewaarde gegevens duidelijk moet blijken. De bewaarplicht is van 10 jaar naar zeven jaar gegaan. Men is verplicht de toegankelijkheid tot de digitale bescheiden minstens tot deze periode te waarborgen. Wet Bescherming Persoonsgegevens (Wbp) Soms zullen documenten gegevens over personen bevatten. Bij het opslaan en bewaren van deze documenten dienen in dat geval de wettelijke regelingen over de omgang met persoonsgegevens in ogenschouw genomen te worden. De wettelijke regelingen zijn niet alleen van belang voor de vraag of men documenten met persoonsgebonden informatie mogen bewaren en gedurende welke termijn.

99 zie bijlage V 100 bijvoorbeeld via `document imaging' technieken 101 zie bijlage V


44

Ook heeft dit implicaties voor van de wettelijke vereisten voor de autorisatieprocedures en de functionaliteit van het elektronische documentenverkeer. Met het oog op de Wbp moeten de wettelijke vereisten bij digitalisering van documentenverkeer en noodzakelijke daaruit voortvloeiende jarenlange opslag van de relevante documenten, meer nadrukkelijk in ogenschouw worden genomen. De wettelijke verplichting tot archivering is gelegen in de Archiefwet 1995. De opslag van digitale documenten is dus rechtmatig omdat ze noodzakelijk is om een wettelijke verplichting na te komen. De hierbij noodzakelijke opslag van persoonsgegevens kan dan dus ook als rechtmatig kan worden gekwalificeerd. Persoonsgegevens die deel uitmaken van archiefbescheiden en ingevolge de Archiefwet 1995 zijn overgebracht naar een archiefbewaarplaats vallen dus onder de wet Wbp. Voor die gegevens die zich in archiefbewaarplaatsen bevinden is een uitzondering gemaakt op de mededelingsplicht. Wet op de privacy In privacywetgeving wordt de verwijdering van niet-actuele persoonsgegevens in een aantal gevallen voorgeschreven; dat impliceert dat de gegevens uit het dynamische deel van het archief worden verplaatst naar het statische deel of onmiddellijk worden vernietigd. Burgerlijk Wetboek Voor de private sector bevat het Burgerlijk Wetboek diverse verplichtingen tot het bewaren van documenten. Auteurswet De Auteurswet stelt nadere voorwaarde aan de reproductie van documenten indien deze vanwege hun karakter onder het regime van deze wet vallen. Op deze wijze worden werken van letterkunde, wetenschap of kunst beschermd voorzover deze de vereiste oorspronkelijkheid bezitten. De wet verbiedt het derden om reproducties van publicaties te maken zonder toestemming van de rechthebbende. Ook digitale werken vallen onder het bereik van het auteursrecht. Dit betekent dat voor zover documenten in aanmerking komen voor auteursrechtelijke bescherming, de digitale neerslag daarvan ook beschermd is. Reproductiehandelingen zijn welhaast inherent aan het werken met digitale documenten maar hiervoor is de toestemming van de rechthebbende vereist. Dus voor digitale reproductie ten behoeve van archiefdoeleinden is toestemming van de auteur nodig. Bij bepaalde (toekomstige) bewaartechnieken is conversie noodzakelijk en is dit een aanpassing van het oorspronkelijke document. Het is dus van groot belang dat met rechthebbenden tot afspraken over het gebruik gekomen wordt met name wat de geldigheidsduur en de omvang van de gebruiksrechten. Het bewaren en ter raadpleging beschikbaar stellen van elektronische publicaties levert veel auteursrechtelijke implicaties op. Het Nationaal Depot van Elektronische Publicaties (NDEP) concludeerde dat het huidige auteursrecht onvoldoende mogelijkheden biedt voor het veiligstellen van ons digitale culturele erfgoed102. Databankenrecht Bij archivering van digitale documenten geldt ook het zogenaamde databankenrecht dat een soort speciale rechtsbescherming voor feitelijke gegevens in databanken geeft. Voor het maken van archiefkopieën van of uit databanken onder het databankrecht zullen in de toekomst nauwelijks mogelijkheden bestaan. Toestemming van de rechthebbende zal in vele gevallen noodzakelijk zijn voor te maken reproducties. In 1996 is op Europees niveau de richtlijn rechtsbescherming van databanken tot stand gekomen maar tot op heden is deze nog niet in de Nederlandse wetgeving geïmplementeerd. Wet op het hoger onderwijs Deze Wet op het hoger onderwijs en wetenschappelijk onderzoek verplicht instanties tot het bewaren en raadpleegbaar houden van publicaties. Is dus in conflict met auteurswet Private sector Ook de private sector is onderworpen aan wettelijke verplichtingen tot het bewaren van bepaalde documenten. Gegevens welke worden gehouden in het kader van de administratie en correspondentie vallen onder de civielrechtelijke en fiscaalrechtelijke bewaringsverplichtingen. Het verplicht de vrije

102 "Auteurswet vormt hinderpaal voor bibliotheekarchief", NRC Handelsblad, 3 maart 1998. Zie over het NDEP: T. Noordermeer, "Depot van Nederlandse Elektronische Publicaties, Informatie Professional, 1998 [2], pp. 22-24.


45

beroepsbeoefenaren tot het bewaren van alle correspondentie gevoerd in het kader van de uitoefening van het bedrijf. Een gelijke plicht geldt voor ondernemingen en rechtspersonen. Doel van de bewaarplicht is onder meer het voorkomen van gerechtelijke procedures. Immers, komt het tot een conflict tussen partijen dan kan allereerst duidelijkheid worden gezocht in de gevoerde correspondentie. Enige tijd geleden is bij wetswijziging de mogelijkheid geïntroduceerd tot het digitaal bewaren van de bescheiden die de boekhouding van een organisatie of onderneming staven. De oorspronkelijke termen `boeken en bescheiden' uit het Wetboek van Koophandel werden vervangen door `boeken, bescheiden en andere gegevensdragers', waarbij de regeling tevens werd overgebracht naar het Burgerlijk Wetboek. Met uitzondering van de balans en de staat van baten en lasten, is de overbrenging van gegevens op andere informatiedragers toegestaan binnen de wettelijke bewaartermijn. Voorwaarden hierbij zijn wel dat de overname integraal geschiedt en een adequate raadpleging mogelijk blijft. Ook de bewaarplicht op grond van de Algemene Wet Rijksbelastingen is aangepast. De Kamers van Koophandel hebben de mogelijkheid gekregen om de gedeponeerde jaarstukken ook in digitale vorm te bewaren. Met name vanwege het feit dat de bewaartermijnen voor de private sector veel korter zijn dan die welke gelden voor bepaalde overheidsarchieven, zal de overgang naar digitale opslag voor de private sector (financieel) minder ingrijpend zijn dan voor de overheid. De in bovengenoemde weten regelgeving gestelde bewaartermijnen voor digitale gegevens wisselen sterk:

10 jaar voor bescheiden die worden gehouden in het kader van de wettelijke boekhoud- en bewaarplicht voor ondernemers;

5 jaar voor bescheiden die voor Wet Identificatie bij financiële dienstverlening; 5 jaar voor bescheiden in het kader van de Wet bevordering evenredige arbeidsdeelname

allochtonen; 100 jaar voor gegevens die onder het regime van de Archiefwet en het Archiefbesluit vallen; Door de overheid opgemaakte, permanent te bewaren bescheiden moeten ruim honderd jaar

zonder noemenswaardige achteruitgang zijn te raadplegen. Deze termijn geldt niet voor door de overheid ontvangen archiefbescheiden;

Reproducties van bescheiden zullen echter veel langer bewaard moeten worden.

Overigens zijn de in de wettelijke regelingen neergelegde termijnen voor het bewaren van gegevens minimumtermijnen. Organisaties kunnen vervolgens zelf bepalen - afhankelijk van enerzijds het belang dat aan de bewaring wordt gehecht en anderzijds de kosten die daarmee zijn gemoeid - of de gegevens nog langer opgeslagen blijven. Deze overwegingen zullen met name een rol spelen bij de korte bewaartermijnen voor de private sector. Wel moet, zoals in de voorgaande paragraaf is aangegeven, rekening worden gehouden met het feit dat indien de gegevens op personen betrekking hebben, de Wpr en in de nabije toekomst de Wbp de mogelijkheden tot het langer bewaren van deze gegevens kan inperken. Het op digitale wijze uitwisselen van documenten of verrichten van transacties levert op de korte termijn menig belangrijk voordeel op maar er kunnen complicaties optreden waar het de kwaliteitsaspecten authenticiteit, autorisatie, openbaarheid, vertrouwelijkheid/geheimhouding en archivering betreft. Alleen als deze kwaliteitsaspecten in overweging worden genomen kan digitale archivering optimaal vorm krijgen. De maatregelen inzake digitale duurzaamheid moeten niet alleen moeten zijn gericht op het digitaal opslaan en bewaren van documenten die oorspronkelijk op schrift waren gesteld, maar ook op de duurzaamheid van de direct digitaal aangeleverde documenten.


46


47

BIJLAGE III CHECKLIST VOOR DIGITALE ARCHIVERING103

103 Deze checklist is gebaseerd op een Engelse versie, zoals gebruikt in het zgn. EROS-project

Deze checklist is bedoeld om de toepassing van de ministeriële regeling bij digitale archivering te vergemakkelijken. Elke vraag zou bevestigend moeten worden beantwoord. Indien niet dan zou er idealiter een risico-analyse moeten worden uitgevoerd en moeten worden vastgesteld op welke wijze herstelmaatregelen kunnen worden genomen. Het hangt van de specifieke omgeving (d.w.z. taken of functies die worden uitgevoerd) af hoe de volgende vragen moeten worden geïnterpreteerd. Beleid en procedures

1. Is er binnen de overheidsinstelling een structuur gebaseerd op de uit te voeren taken/functies waarmee archiefbescheiden kunnen worden vastgelegd en geordend ? Wordt daarbij rekening gehouden met het afsluiten van series dossiers, indien een bepaalde taak niet langer wordt uitgeoefend ?

2. Is er een beleid m.b.t. archiefbescheiden, waarbij als uitgangspunt geldt dat alle archiefbescheiden eigendom zijn van de organisatie en niet van individuele ambtenaren of afzonderlijke afdelingen ?

3. Is er bij de archivering een duidelijke procedure m.b.t. het vastleggen van archiefbescheiden/documenten op papier dan wel in een (geautomatiseerd) archiefsysteem?

4. Is er een archiefbeleid binnen de organisatie, dat betrekking heeft op zowel papieren als op elektronische/digitale archiefbescheiden ? Wordt dat bijv. op het punt van de toegankelijkheid ook zo toegepast ?

5. Zijn in geval van digitale archiefbescheiden de juiste maatregelen getroffen m.b.t. goede archiefvorming en archiefbeheer in primaire processen en bijbehorende procedures en zijn deze ingebouwd in geautomatiseerde systemen hetzij in specifieke archiefsystemen, hetzij in kantoorautomatiseringssystemen ?

Is daarbij rekening gehouden met: - eisen aan vastlegging en registratie - eisen aan authenticiteit - eisen aan context-gegevens - eisen aan selectie en vernietiging - eisen aan toegankelijkheid - eisen aan duurzame bewaring?

6. Is er een beleid t.a.v. het gebruik van e-mail, waarin is vastgelegd dat een e-mail bericht, indien het een rol speelt in een werkproces, of onderdeel uitmaakt van officiële communicatie een archiefstuk is en dus moet worden gearchiveerd?

7. Is er een beleid of een standaard die aangeeft dat in geval er plannen zijn voor een nieuw informatiesysteem: - de afdeling DIV of Facilitaire Zaken is geraadpleegd - de functionaliteit voor digitale archivering is gespecificeerd, inclusief registratie en metagegevens voor documenten - voorzien is in vastleggen en bewaren, in selectie en schoning, en indien van toepassing in overdracht aan een

archiefdienst van archiefbescheiden Technologie

1. Indien een informatiesysteem archiefbescheiden moet bewaren, zijn dan de eisen voor digitale archivering gespecificeerd en meegenomen in het ontwerp, de implementatie en procedures, in overleg met de afd. Documentaire Informatie.

2. Zijn de handelingen tbv. de registratie van archiefbescheiden zodanig ondersteund dat dit half-automatisch kan met behulp van standaardwaarden, oproeptekens en helpschermen?

3. Zijn er voorzieningen waarmee de verschillende stadia in de levensloop van archiefbescheiden kunnen worden ondersteund, zodat de archiefbescheiden kunnen worden bewaard en beheerd, hetzij in een operationeel systeem hetzij, tezamen met de benodigde contextgegevens (metadata) en informatie over de datastructuur in een specifiek archiefsysteem.

4. Zijn er voorzieningen aanwezig die het mogelijk maken archiefbescheiden, die permanent bewaard moeten worden, dan wel die op termijn vernietigd moeten worden (afhankelijk van een bewuste beslissing), te identificeren?

5. Indien er een nieuw informatiesysteem wordt geïntroduceerd en migratie noodzakelijk is van de archiefbescheiden uit het bestaande systeem, is daar dan in het migratieplan rekening mee gehouden? Indien niet alle archiefbescheiden uit het bestaande systeem moeten worden gemigreerd, zijn er dan voorzieningen getroffen om de bewaring van de archiefbescheiden inclusief hun contextgegevens en inclusief informatie over de datastructuur en de functionaliteit van het bestaande systeem, te garanderen?

Procedures 1. Zijn er procedures die regelen welke typen digitale archiefbescheiden moeten (of kunnen) worden afgedrukt op papier en

welke moeten worden vastgelegd in een digitaal archiveringssysteem? 2. Is er met betrekking tot voorgaande vraag een procedure die bijhoudt in hoeverre de registratie van archiefbescheiden

volledig is? 3. Is de verantwoordelijkheid voor digitale archiefbescheiden gedelegeerd aan gegevensbeheerders, toezichthouders op

afdelingsniveau, die verantwoordelijk zijn voor het aanwezig zijn van en de uitvoering van archiveringsprocedures in hun domein en zijn zij daarvan op de hoogte?

4. Is er een procedure of kwaliteitssysteem die waarborgt dat de vastgestelde procedures worden nageleefd? 5. Bestaat er een overzicht van archiefbescheiden (ongeacht hun vorm), waarmee kan worden vastgesteld welke

archiefbescheiden voor overdracht aan een archiefdienst in aanmerking komen, wanneer en wat hun verblijfplaats is, dan wel welke archiefbescheiden kunnen worden of zijn vernietigd of welke zijn overgedragen aan een andere overheidsorganisatie?

Organisatie Heeft een functionaris de vaardigheden om vast te stellen welke archiveringseisen nodig zijn bij welke typen documenten, welke procedures er zijn m.b.t. tot toegang en opslag, weer men welke standaards en procedures er ontwikkeld moeten worden m.b.t. aanpak en planning van evaluatie momenten en van overdracht van digitale archiefbescheiden van een archiefdienst? Kan men evalueren of databases dan wel gegevens daaruit als archiefbescheiden aan te merken zijn?


48


49

BIJLAGE IV ISAD(G) De International Standard Archival Description (ISAD) biedt een goed uitgangspunt om een informatiesysteem te ontwerpen dat archieven toegangelijk maakt104. De standaard bestaat uit 26 eenduidig omschreven elementen die tezamen een archiefeenheid tot op een laag niveau beschrijven. Een zgn. Fonds vormt het hoogste model en is het geheel van documenten, ongeacht vorm of medium. Het kan onderverdeeld worden in kleinere eenheden. Een Fonds bestaat uit Series. Een serie bestaat weer uit Files (beter te vertalen als dossier ipv bestanden). Het kleinste beschrijvingsniveau is een Item. Hiermee kan globaal een brief, rapport, foto, geluidsopname beschreven worden. De aanduiding (G) bij ISAD(G) geeft aan dat met deze standaard alle soorten archieven en archiefonderdelen mee beschreven moet kunnen worden, ongeacht aard en omvang. Onderstaande afbeelding laat een mogelijke presentatie van het model zien. Model met indelingen van een fonds105

104 Van Horik, R. Historia&Informatica, juni 1999,pag 1 105 ISAD(G), pag 36

File

Sub-series

File

Series Series

Sub-series

Series

Sub-fonds

File File

Fonds

Items Items


50

Het stadsarchief van Antwerpen heeft dit model gebruikt bij het ontwerpen van het informatiesysteem Floris waarvan ook een deel voor het publiek via Internet toegankelijk is106. Men heeft een koppeling gemaakt met een commercieel documentair informatiesysteem. Hierdoor is men voorzien in een aantal handige beheersfuncties. Papieren inventarissen, regesten, indexen en andere toegangen zijn gescand en omgezet naar een PDF formaat 107. Ook zijn bestanden uit een tekstverwerker rechtstreeks in het Florissysteem geplaatst. De gebruikers kan met Floris door archieven bladeren en zoeken. Van de vele beschikbare digitaal beschikbare toegangen (inventarissen, plaatsingslijsten, details, ...) is extra informatie te vinden eventueel extra informatie omtrent de bestanden in de vorm van nota’s. Alle documenten en informatie zijn ondergebracht in de logische en hiërarchische structuur van de ISAD(G) standaard en bestaat uit verschillende niveaus, van algemeen naar bijzonder. Van elk bestand of onderdeel zijn de respectievelijke kenmerken te raadplegen zoals in onderstaande tabel te zien is.

Tabel ISAD attributen en bijbehorende helptekst, in gebruik bij het archief van de stad Antwerpen

Engelse benaming Nederlandse benaming Helptekst Common area Object Name Naam de verkorte naam van het archief, van de toegang of

van het document Title Titel de volledige titel van het document Subject Onderwerp Authors Auteur de namen van de medewerkers van het stadsarchief

die het document hebben opgesteld Keywords Sleutelwoorden Identity statement area Ref Code Archiefcode de lettercode of andere afkorting van de naam van

het archief; deze code geeft de referentie nodig om een stuk uit dit archief op te vragen; elk archiefstuk heeft bovendien een uniek nummer

Title Archiefnaam de volledige naam of titel van het archief Date of Cr Data of periode de begin- en einddata of de periode(s) waarin het

archief is ontstaan en gevormd Level of Desc Beschrijvingsniveau aanduiding van het niveau waarop het archief wordt

beschreven: archiefbestand of de lagere onderdelen zoals serie of dossier

Extent Omvang en drager omvang (in strekkende meters) of soort materiaal (uiterlijke vorm) zoals dozen, foto’s e.a. (in aantallen) van het archief

Context area Name of Cr Naam van de archiefvormers de namen van de instellingen of personen die het

archief hebben gevormd Administrative/biographical history

Administratieve/ biografische geschiedenis

informatie over de geschiedenis en werking van de instelling of over de activiteiten van de persoon die het archief heeft gevormd

Custodial history Historiek van het archief informatie over de lotgevallen van het archief Immediate source of acquisitions

Wijze van verwerving hoe, van wie en wanneer het stadsarchief dit archief verworven heeft

Content and structure area Content Inhoud korte beschrijving of samenvatting van het archief Appraisal Bewarings- en vernietigingsgegevens informatie over de belangrijkste vernietigingen in het

archief, en over de gehanteerde selectiecriteria Accruals Verdere verwerving informatie over de verdere aanvullingen voor een

archief dat slechts gedeeltelijk werd overgebracht Arrangement Ordeningsstelsel beschrijving van de methode die de archiefvormer

heeft gebruikt om het archief te ordenen

106 zie www.antwerpen.be/efloris 107 In het archiefwezen een defacto standaard


51

Conditions of access area Access conditions Consultatie voorwaarden Bijzondere voorwaarden die gelden om het archief

te mogen raadplegen. Dit geldt bijvoorbeeld wanneer de openbaarheid is beperkt

Copyright Reproductie voorwaarden Bijzondere voorwaarden die gelden om reproducties uit dit archief te mogen maken

Language Taal Voornaamste talen die in het archief gebruikt worden, hieronder vallen ook computertalen e.a. systeemtalen.

Physical characteristics Materiële staat Bijzondere materiële voorwaarden welke de raadpleegbaarheid van het archief beïnvloeden, bijv de slechte staat van het archief of speciaal benodigde technische hulpmiddelen zoals software en hardware

Finding aids Toegangen Overzicht van de inventarissen, lijsten en indices die helpen iets terug te vinden in dit archief

Allied materials area Location Originelen wanneer het om een kopieverzameling gaat zoals

microfilms, wordt hier aangegeven of het originele archief nog bestaat en waar het wordt bewaard

Existence of copies Kopieën overzicht van de bestaande fotokopieën, microfilms of afschriften van de archiefstukken, en waar deze zich bevinden.

Related units of description Verwante archieven verwijzing naar verwante archieven, hetzij delen van hetzelfde archiefbestand die zich elders bevinden, hetzij andere archieven die hiermee in verband staan.

Publication note Literatuur vermelding van literatuur en publicaties i.v.m. dit archief

Description Control Area Archivist's Note Nota archiefbeschrijver hoe en door wie is de beschrijving gemaakt Rules or Conventions Beschrijvingsregels geeft aan welke beschrijvingsregels gevolgd zijn Date(s) of description Beschrijvingsdata datum/data waarop de beschrijving is gemaakt en/of

nagezien

Het Digitaal Stadsarchief Antwerpen laat zien welke mogelijkheden er zijn voor het Nederlandse archiefwezen wanneer men dienstverlening zou aanbieden via een website. Het archiefbezoek kan op afstand worden voorbereid. Het gevaar is wel dat wat een gebruiker niet ziet in het informatiesysteem, voor hem ook niet bestaat108. Men vindt op de site overigens geen gegevens van de volledigheid waarmee de digitalisering is aangepakt. Wel zijn er updates van de laatste 90 dagen te raadplegen.

108 van Horrik, R, Historia en Informatica, pag. 2


52


53

BIJLAGE V CDROM MET DIVERSE BRONNEN OVER DIGITALE DUURZAAMHEID

Documents

IT-Auditing in het archiefwezen