Substitutie
Doxis Informatiemanagers Grootste adviesburo op het gebied van informatiemanagement in Nederland Zelfstandig bedrijfsonderdeel van Ernst & Young Jarenlange ervaring bij NL Overheid Gedegen kennis wet- en regelgeving Full-service dienstverlening: Consultancy Interim Management, Interim Functievervulling Operations 2
Onderwerpen Wat is substitutie? Waarom een machtiging substitutie? Wat is er nodig voor een machtiging? Welke maatregelen zijn nodig Doxis methode voor duurzaam digitaal werken en archiveren Informatiebeveiliging, continuïteit en change-management 3
Wat is substitutie? Het vervangen van archiefbescheiden door reproducties De reproducties nemen volledig de plaats in van de oorspronkelijke bescheiden en worden daarmee archiefbescheiden in de zin van de Archiefwet De originele bescheiden worden vervolgens vernietigd Er kan alleen besloten worden tot substitutie als dit geschiedt met juiste en volledige weergave van de in de te vervangen archiefbescheiden voorkomende gegevens. 4
Machtiging substitutie De zorgdrager heeft zelf de bevoegdheid om archiefbescheiden te vervangen. Voor blijvend te bewaren bescheiden dient een machtiging te worden verkregen van de Minister van Onderwijs, Cultuur en Wetenschappen of Gedeputeerde Staten De machtiging geldt tevens als machtiging tot vernietiging van de oorspronkelijke bescheiden. 5
Wat is er nodig voor een machtiging substitutie Een behoorlijke geregelde en geprotocolleerde procedure tot scanning/reproductie volgens de richtlijnen van Nationaal Archief en LOPAI Vastgelegd in een Handboek Digitalisering Concept Besluit Brief (verzoek) gericht aan de Staatssecretaris voor Cultuur, p/a de Algemene Rijksarchivaris of de provinciale archiefinspectie 6
Waarom nog papier na digitalisering? De zorg van veel organisaties is dat als het omzettings- of substitieproces niet goed verloopt of het gedigitaliseerde verwerkingsproces anderszins niet naar behoren functioneert, de betrouwbaarheid, authenticiteit, integriteit en bruikbaarheid van archiefstukken mogelijk in het gevaar komt. 7
Zorgen en plichten De plicht om het culturele erfgoed te bewaren (Archiefwet); De verantwoordingsplicht waar men volgens de Algemene Wet Bestuursrecht aan moet voldoen; Duurzame digitale opslag; de zorg dat informatiedragers met bedrijfskritische informatie en/of verantwoordingsinformatie na een gerede periode niet meer leesbaar zijn; Het op de juiste wijze omgaan met nieuwe digitale werkwijzen en technieken en de vele (beveiligings)voorzieningen die men daarvoor moet treffen; 8
Visie Doxis op substitutie Substitutie is méér dan vervanging papier voor digitaal met goedkeuring Nationaal Archief: Gegarandeerde beschikbaarheid informatie t.b.v. bedrijfsvoering Duurzaamheid Voldoen aan wet- en regelgeving Compliance Risicomanagement 9
Actualiteit 15-01-2009: Rechtbank Haarlem Amsterdam versus Archiefinspectie over vervanging adreskaarten Mag de Provinciale Archiefinspectie het toekomstig beheer van vervangen (gesubstitueerde) archiefbescheiden meenemen in een oordeel over een vervangingsverzoek 10
Duurzaam digitaal werken Het op zodanige wijze vastleggen, bewaren, beheren en beschikbaar stellen van digitale documenten (in de brede zin van het woord), dat deze ook na verloop van tijd raadpleegbaar, toegankelijk en authentiek zijn. 11
Welke maatregelen zijn nodig Een behoorlijk geregelde en geprotocolleerde procedure tot scanning/reproductie als onderdeel van de normale bedrijfsvoering Conformiteit met normen en standaarden Risicobeheersing Organisatorische / beheersmaatregelen Informatiebeveiliging Maatregelen tegen informatieverlies (backup) Change-management procedure Onder delen EDP- Audit 12
Behoorlijk geregelde en geprotocolleerde procedure Vaststellen van eisen en randvoorwaarden Eenduidige toewijzing van verantwoordelijkheden Vaststellen en bevorderen van procedures en richtlijnen Het voorzien in een reeks diensten met betrekking tot het gebruik en beheer van archiefbescheiden Het ontwerpen, implementeren en beheren van gespecialiseerde systemen voor het beheer van archiefbescheiden Het integreren van informatie- en archiefmanagement in bedrijfsprocessen en systemen 13
Recordsmanagement in het procesontwerp Intake FO Intake BO Toetsing Levering BO Registraties en validaties inhoudelijke toetsing Advies Advies Levering FO Dossieropbouw in digitaal archief Input management Throughput management Output management 14
Bepaalt verantwoordelijkheden van Maatschappelijkeomgeving Bepaalt Bedrijfsfuncties Bedrijfsactiviteiten Vormen gezaghebbende bronnen voor Leggen verantwoording af aan Zijn verantwoordelijk voor en voeren uit Is geïntegreerd in Informatie- en archiefmanagement Worden gedocumenteerd in Vormen getrouwe afspiegeling van Zijn verantwoordelijk voor en voeren uit Legt vast, beheert en faciliteert gebruik van Functionarissen Creëren Informeren Archiefbescheiden 15
Rolverdeling Functionarisssen Algemeen management Lijnmanagement Medewerkers primair proces ICT- specialisten Archief - specialisten Verantwoordelijkheid Procedures Geld beschikbaar stellen bewaken Commitment en steun Systemen inrichten en onderhouden Goede archief - bescheiden produceren De processen en controles van informatie - en archiefmanagement vormgeven, uitvoeren en verbeteren De processen en controles van informatie - en 16
Nodig: processen ontleden Bedrijfsfuncties Bedrijfsactiviteiten Mandaat / taak Proces 1 Proces 2 Proces 3 Activiteit Activiteit Activiteit Activiteit Activiteit Activiteit 17 Transactie Transactie Transactie Transactie Transactie Transactie Transactie Transactie Transactie Transactie Transactie Transactie
Risico s identificeren Risico s identificeren 18
Controls inbouwen Risico s identificeren Controls inbouwen 19
Verslaglegging organiseren Risico s identificeren Controls inbouwen Verslaglegging organiseren 20
Rolverdeling Functionarissen Algemeen management Lijnmanagement Medewerkers primair proces ICT- specialisten Archief - specialisten Verantwoordelijkheid Procedures Goede Geld beschikbaar stellen bewaken archiefbescheiden Commitment en steun produceren Systemen inrichten en onderhouden De processen en controles van informatie- en archiefmanagement vormgeven, uitvoeren en verbeteren. De processen en controles van informatie - en 21
Wat is EDP Audit (IT audit) Electronic Data Processing Audit is de onafhankelijke en onpartijdige beoordeling van de betrouwbaarheid, beveiliging, effectiviteit en efficiency van geautomatiseerde informatiesystemen, de organisatie van de automatiseringsafdeling en de technisch/organisatorische infrastructuur van de geautomatiseerde gegevensverwerking. 22
Deskundigheidsgebieden Informatica (zowel de bestuurlijke informatiekunde als de automatiseringstechniek) Controleleer (auditing, accountancy, controletechnieken) Organisatiekunde Wet- en rechtkennis 23
Informatiebeveiliging Logische toegangsbeveiliging: Stelsel van instellingen, maatregelen en procedures gericht op bescherming van toegang door ongeautoriseerde personen Maatregelen tegen informatieverlies: Stelsel van instellingen, maatregelen en procedures gericht op bescherming van integriteit, authenticiteit, betrouwbaarheid en beschikbaarheid 24
Informatiebeveiliging (voorbeelden) Richtlijnen en procedures voor autorisatie Toezicht op eventuele overtredingen van beveiligingen. Het toekennen en opheffen van toegangsbevoegdheden Bevoegdheden eindgebruikers op need-to-know - basis 25
Continuïteit Stelsel van maatregelen dat, in geval van calamiteiten, voorziet in voldoende zekerheid dat in geval van vernietiging of beschadiging van gegevens en programmatuur en/of apparatuur het substitutieproces op aanvaardbare wijze kan worden voortgezet. 26
Continuïteit (voorbeelden) Back-ups Beveiligde locatie Back-up media op meerdere locaties Recovery procedures Vervangende configuratie 27
Change management Aanwezigheid van een gecoördineerde Change management functie t.b.v.: Noodzakelijke veranderingen in de applicaties (inbedding infrastructuur, updates, upgrades, koppelingen met andere systemen, enz.) Wijzigingen in de processen, procedures en software: impactanalyse, autorisatie, bouw, documentatie, testen en implementatie Borging van gelden wet- en regelgeving 28
Change management (voorbeelden) Wijzigingen in de productieomgeving Wijzigingen geïnitieerd en gecontroleerd door eindgebruikers/ applicatiebeheerders. Ontwikkeling van nieuwe informatie systemen c.q. aanpassing van bestaande informatiesystemen. Testen en accepteren nieuwe (versies van) applicaties (OTAP-procedures) Overzetten nieuwe software naar productieomgeving 29
Substitutie: een risico, probleem, uitdaging? Niet met een behoorlijk geregelde en geprotocolleerde procedure Niet met informatie- en archiefmanagement geïntegreerd in de bedrijfsprocessen en systemen Niet met de juiste maatregelen voor beveiliging, backup en recovery Maar als onderdeel van het continue (operationele) proces wordt het Business as usual! 30
Vragen?