Beslisboom - Impact assessment Informatiebeheer (IB)
Inleiding
Zoals bij informatiebeveiliging en de bescherming van de persoonlijke levenssfeer is ook vanuit het informatiebeheer (informatie- en archiefmanagement) een impact assessment op processen, projecten of andere activiteiten uit te voeren. Doel van de dit assessment is er voor te zorgen dat afgewogen keuzes worden gemaakt over de kwaliteit van de informatievoorziening van het geanalyseerde proces, project of andere activiteit en dat het geheel compliant is aan regelgeving, normen, standaarden.
In dit model staat niet een enkel specialisme als zelfstandige zuil centraal, maar de stappen die logischerwijs te doorlopen zijn bij de analyse van een proces, project of andere activiteit. Elke stap is een zelfstandige onderdeel. Desondanks heeft de volgorde wel een zekere logica. De specialismen zoals architectuur, records management, privacy, informatiebeveiliging en gegevensmanagement komen als natuurlijke onderdelen van deze stappen aan de orde. Door deze kanteling van gezichtspunten wordt de onderlinge relatie en samenhang tussen de specialismen duidelijk en wordt voorkomen dat (te veel) dubbel werk plaatsvindt.
De resultaten van een assessment zijn in een een registratie of catalogus vast te leggen. Deze zijn als geheel te beschouwen als een kernadministratie waarmee de informatiehuishouding en informatievoorziening van een organisatie is beschreven. Het is een eenduidig overzicht van het totaal aan processen, de bijbehorende gegevens, de toegepaste technieken en de vormen van beheer. Uit deze kernadministratie kan het door de AVG verplicht gestelde verwerkingsregister geëxtraheerd worden. Een dergelijke kernadministratie is, mits goed beheerd en onderhouden, geschikt voor referentie, bewijs en verantwoording.
De stappen in het kort
Elke stap bevat een uit te werken aandachtspunt. De analyse levert de informatie die nodig is in om te bepalen aan welke kwaliteiten het verwerken van de informatie moet voldoen, wat moet kunnen en wat niet is toegestaan, welke digitale hulpmiddelen daarvoor nodig zijn en hoe het beheer nu en in de toekomst eruit moet zien.
De te volgen stappen waar het om gaat zijn:
-
Activiteit bepaald
Het exact bepalen van de activiteit of handeling met de de grondslag voor deze handeling, welke actoren betrokken zijn en welke rol deze actoren hebben. -
Type informatie bekend
Het bepalen van het type informatie dat wordt verwerkt. Dit is onder meer van belang om te bepalen of er sprake kan zijn van restricties vanwege privacy, auteursrecht of andere criteria die de openbaarheid over langere tijd kunnen beperken. -
Informatieobjecten bepaald
Stel vast welke informatieobjecten (soorten documenten en registraties) ten minste voorkomen bij de verwerking van de gegevens. -
Gegevensstromen in kaart
Bepaal hoe de gegevens in het proces- en systeemlandschap via de kanalen en systemen ‘stromen’, om welke gegevens het gaat en wie de ‘eigenaar’ is. -
Waarde bepaald
Het bepalen van de waarde en bewaartermijnen van de informatie. Dit proces wordt ook wel waarderen genoemd. Op basis hiervan kan de selectie en vernietiging alsook de toekomstige overdracht aan een andere beheerder worden voorbereid. -
Metadata vastgesteld
Stel vast welke informatie over de informatie van belang is en daarom vast te leggen is. -
Beheer processen opgenomen
Betreft in ieder geval de in de NEN-ISO 15489 vermelde (beheer)activiteiten.
- Ontstaan van informatie (creëren of ontvangen);
- Opnemen van informatie (in de systemen);
- Classificeren en registreren (koppelen aan proces, project, activiteit, product, handeling en vastleggen van (primaire) kenmerken);
- Toegangscontrole (autorisaties);
- Opslag (in een bestand op een gegevensdrager);
- Gebruik en hergebruik mogelijk maken;
- Migratie en conversie (in standhouden met behoud van integriteit);
- Verwijderen van informatie (vernietigen of verplaatsen)
-
Beheer functionaliteiten opgenomen
Welke functies van bijvoorbeeld het informatie- en archiefmanagement moeten beschikbaar zijn om de verwerkingen uit te kunnen voeren. -
Bestaande data op orde
Wanneer er bij eventuele verandering nog sprake is van gegevens waarvan de bewaartermijnen nog niet zal zijn verstreken. De kans is dan vrij groot dat die gegevens te transformer, converteren of te migreren zijn. Ook is te onderzoeken of het langdurig bewaren, de toegankelijkheid en andere relevante kwaliteiten van de bestaande gegevens door eventuele veranderingen niet in gevaar komen. -
Technieken voldoen
Technieken hebben betrekking op de technische voorzieningen waarmee informatie verwerkt wordt zoals hardware, software en, bestandsformaten. De te beantwoorden vraag is daarbij of de technieken voldoende garanties bieden voor de integriteit en het voortbestaan van de data.
-
Documentatie op orde
Over processen, typering van informatie, informatieobjecten etc. wordt op diverse plekken het nodige vastgelegd. Dit is informatie die bijvoorbeeld is vastgelegd in documenten over informatiebeleid, procesbeschrijvingen, architecturen, projectplannen, bestekken, programma’s van eisen, catalogi, gebruikershandleidingen, selectielijsten, rapportages, installatiehandleidingen en releasenotes.
Het schema verder uitgewerkt
Deze impact assessment is een geactualiseerde en uitgebreidere versie van de Records Management Beslisboom (versie 2009/2017) [1]. In deze versie zijn behalve het concept van impact assessment twee extra elementen verwerkt, te weten:
-
Het Leeuwarder Informatiemodel [2] (LIM)1
-
Het eenvoudig schematisch model [3], een aanzet voor een metadataschema, met acht objecten van belang voor het Informatiebeheer (IB) of Informatie- en Archiefmanagement (IAM).
Per onderdeel is aangegeven waar het om gaat, wat uit te zoeken is, waar het onderdeel in de beide modellen past, waar informatie uit te destilleren is, waar het resultaat van de analyse in opgenomen kan worden. Ook zijn per onderdeel aanvullende of toelichtende opmerkingen geplaatst.
1) Activiteit bepaald
Gaat om: |
Het exact bepalen van de activiteit of handeling met de de grondslag voor deze handeling, welke actoren betrokken zijn en welke rol deze actoren hebben. |
|
Te doen: |
Stel een beschrijving van het proces, project ed. op en laat deze vaststellen door de proceseigenaar |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 1 Grondslag
Handeling 3 Activiteit 3.1 Beoordelen 3.2 Opnemen 3.3 Behandelen 3.4 Bewaren |
Definiërend |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
2) Type informatie bekend
Gaat om: |
Het bepalen van het type informatie dat wordt verwerkt. Dit is onder meer van belang om te bepalen of er sprake kan zijn van restricties vanwege privacy, auteursrecht of andere criteria die de openbaarheid over langere tijd kunnen beperken. Voorbeelden zijn:
|
|
Te doen: |
De benodigde informatie zal onder andere te vinden zijn in de grondslagen en de procesbeschrijving |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 7 Informatie (typering) |
Definiërend 1 Zaaktype 2 Documenttype |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
3) Informatieobjecten bepaald
Gaat om: |
Stel vast welke informatieobjecten ten minste voorkomen bij de verwerking van de gegevens. |
|
Te doen: |
Bepaal en beschrijf de (minimaal) verplichte informatieobjecten |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 8 Informatieobject
Informatieobject
|
Definiërend 2 Documenttype Uitvoerend 4 Informatieobject (document) |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
4) Gegevensstromen bepaald
Gaat om: |
Bepaal hoe de gegevens in het proces- en systeemlandschap via de kanalen en systemen ‘stromen’, om welke gegevens het gaat en wie de ‘eigenaar’ is. |
|
Te doen: |
Analyseer welke informatie(pakketten) tussen de verschillende processen, ketens en bijbehorende systemen worden uitgewisseld. Dit kan gaan om uitwisseling tussen interne processen en uitwisseling met externe processen (zenden/ontvangen). Stel vast waar het uiteindelijke origineel zich moet bevinden en waar het uiteindelijke bewaarniveau is. |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Activiteit 2 Kanalen 2.1 Brengen 2.1.1 Bericht zenden 2.1.2 Object beschikbaar stellen 2.1.3 Object overdragen 2.2 Halen 2.2.1 Bericht ontvangen 2.2.2 Object ophalen 2.2.3 Object ontvangen |
Definiërend 1 Zaaktype Techniek |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
5) Waarde bepaald
Gaat om: |
Het bepalen van de waarde en bewaartermijnen van de informatie. Dit proces wordt ook wel waarderen genoemd. Op basis hiervan kan de selectie en vernietiging alsook de toekomstige overdracht aan een andere beheerder worden voorbereid. |
|
Te doen: |
Voer met de belangrijkste verantwoordelijken, waaronder tenminste de proceseigenaar, de functionaris gegevensbescherming en de functionaris in de rol van archivaris, de waardering uit. |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 1 Grondslag |
Definiërend 1) Zaaktype |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
6) Metadata vastgesteld
Gaat om: |
Stel vast welke informatie over de informatie van belang is. |
|
Te doen: |
Bepaal per object of entiteit welke metadata is vast te leggen is. |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 1 Grondslag 9.1 analoog 9.2 digitaal informatieobject 1 Inhoud |
Definiërend |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
7) Informatiebeheer processen opgenomen
Gaat om: |
Volgens de NEN-ISO 15489 betreft het (beheer)activiteiten rond het
|
|
Te doen: |
Bepaal welke activiteiten van belang zijn voor het proces, project of andere activiteit, beschrijf en implementeer deze. |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context Handeling 1 Tijd 1.1 Begin 1.2 Momenten 1.3 Einde 2 Kanalen 2.1 Brengen 2.1.1 Bericht zenden 2.1.2 Object beschikbaar stellen 2.1.3_ Object overdragen 2.2 Halen 2.2.1 Bericht ontvangen 2.2.2 Object ophalen 2.2.3 Object ontvangen 3 Activiteit 3.1 Beoordelen 3.2 Opnemen 3.3 Behandelen 3.4 Bewaren |
Uitvoerend |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
Deze activiteiten worden worden ook wel records management processen genoemd. Maar het gaat ook om technisch beheer, applicatiebeheer, functioneel beheer en gegevensbeheer. Voor deze activiteiten kunnen de volgende indicatoren gelden
|
8) Functionaliteiten voor gebruik en beheer opgenomen
Gaat om: |
Welke functies van het informatie- en archiefmanagement moeten beschikbaar zijn om de verwerkingen uit te kunnen voeren. |
|
Te doen: |
Bepaal de toe te passen functionaliteiten die horen bij de IB-activiteiten (nr. 7) |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 9 Techniek Informatieobject 4 Gedrag |
Techniek |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
Volgens de in 2020 ingetrokken NEN 2082 gaat het dan om de volgende functionaliteiten:
|
9) Bestaande data op orde
Gaat om: |
Wanneer er bij eventuele verandering nog sprake is van data waarvan de bewaartermijnen nog niet zijn verstreken zal die te converteren of migreren zijn. Ook is te onderzoeken of het langdurig bewaren en de toegankelijkheid en andere relevante kwaliteiten van de bestaande data door eventuele veranderingen niet in gevaar komt. |
|
Te doen: |
Bepaal of de kwaliteit van de data op orde is en bepaal of bij inrichting of wijziging van de systemen sprake is van dataverlies (vernietiging) en/ of conversie/migratie (vervanging). |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 9 Techniek Informatieobject 4 Gedrag |
Techniek |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
10) Technieken voldoen
Gaat om: |
Technieken hebben betrekking op de technische voorzieningen waarmee informatie verwerkt wordt zoals hardware, software en, bestandsformaten. De vraag is daarbij of zij voldoende garanties bieden voor de integriteit en het voorbestaan van de data. Met andere woorden:
|
|
Te doen: |
Controleer aan de hand van wetgeving, standaarden, normeringen en interne afspraken of de toegepaste of toe te passen technieken voldoen. |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 9 Techniek 9.1 analoog 9.2 digitaal
Informatieobject 5 Techniek |
Techniek |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
11) Documentatie op orde
Gaat om: |
Over processen, typering van informatie, informatieobjecten etc. wordt op diverse plekken het nodige vastgelegd. Dit is informatie die bijvoorbeeld is vastgelegd in documenten over informatiebeleid, procesbeschrijvingen, architecturen, projectplannen, bestekken, programma’s van eisen, catalogi, gebruikershandleidingen, selectielijsten, rapportages, installatiehandleidingen en releasenotes. |
|
Te doen: |
Bepaal welke documentatie van belang is voor inzicht in de context en het beheer. |
|
Modellen: |
Leeuwarder Informatiemodel (LIM) |
Een eenvoudig model |
Context 1 Grondslag Informatieobject 1 Inhoud Handeling 1 Tijd 1.1 Begin 1.2 Momenten 1.3 Einde 2 Kanalen 2.1 Brengen 2.1.1 Bericht zenden 2.1.2 Object beschikbaar stellen 2.1.3_ Object overdragen 2.2 Halen 2.2.1 Bericht ontvangen 2.2.2 Object ophalen 2.2.3 Object ontvangen 3 Activiteit 3.1 Beoordelen 3.2 Opnemen 3.3 Behandelen 3.4 Bewaren |
Definiërend |
|
Referentie: |
|
|
Resultaat verwerken in: |
|
|
Opmerking(en): |
|
|
- 1.
(2017). A perfect match? Connecting partners in the labyrinth of information [10].
19. - 2.
(2018). Towards a digital ethics [15].
32.
Album:
- LIM [16]
- Mijn schema's [17]
Levenscyclus:
- 1 Ontstaan [18]
- 2 Waarderen [19]
- 3 Gebruiken, afstemmen en toezicht houden [20]
- 4 Bewaren [21]
Informatiemodel:
- Context [22]
- Handeling [23]
- Informatieobject [24]