Ad Hominem – Alles begint met bewustzijn
Een organisatie die zich niet bewust is van een probleem, zal daar ook niet aan gaan werken. De meeste organisaties die wij kennen hebben een groot probleem waar het gaat om het informatiebeheer, het recordmanagement, ook wel archiefbeheer genoemd. Daarvan is niet iedereen zich bewust.
Administratieve processen worden inmiddels digitaal afgehandeld. We kennen de voordelen: er komt ruimte voor flexibel werken en alle informatie is toegankelijk vanaf elk hulpmiddel, voor wie rechten heeft om het in te zien, die de sleutel heeft. Het gaat nu juist om die sleutel. Informatie is slechts één password van u verwijderd. Kent u het password, dan bent u binnen en is de informatie van u.
Digitale informatie kan tijd- en plaatsonafhankelijk worden geraadpleegd door wie toegang heeft. Deze ontwikkeling is in gang gezet en zal steeds verder gaan. We vertrouwen op digitale informatie en op de manier waarop deze voor ons wordt bewaard en bewaakt. We vertrouwen echter niemand meer dan onszelf. Steeds vaker spreek ik secretariaatsmedewerkers en proceseigenaren, die al dan niet informatie plaatsen in zaaksystemen, maar voor het gemak van het zoeken de informatie ook opslaan in hun e-mailbox. Die van de informatie zelf kopieën maken, omdat je nooit kunt weten. Die met collega’s structuren hebben bedacht op een gemeenschappelijke schijf, daarbij gehinderd, noch geholpen door een informatiespecialist.
Dit levert in sommige gevallen onverantwoorde risico’s op voor de organisatie. Risico’s die niet worden gezien. Een vraag die me werd gesteld: jij praat steeds over risico’s, maar kun jij aangeven waar het in onze organisatie de laatste vijf jaar dan is misgegaan?
Nee, dat kon ik niet, afgezien van de schandalen die de pers hebben gehaald. Wel kon ik berekenen dat al die verdubbelingen van informatie tonnen aan onnodige beheerskosten met zich meebrengen. Want als iedereen alles bewaart, wordt dat al snel een hele informatieberg. En dat levert weer risico’s op voor de bedrijfsvoering. Welke versie van het contract was nu de laatste, en waar is die? In een van de ordners (echt, je houdt het niet voor mogelijk wat er in deze digitale tijd nog gekopieerd wordt!) of op de persoonlijke schijf van Nel, Piet, Jan of Achmed?
Nog een nieuw risico dient zich aan, maar: elk nadeel heb zijn voordeel. Op 25 mei 2016 is immers de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Deze verordening vervangt de huidige Wet bescherming persoonsgegevens. De AVG geldt voor alle organisaties die persoonsgegevens verwerken. Deze wet -op Europees niveau- heeft voor de informatiehuishouding van organisaties belangrijke consequenties, dus ook voor de archieven, die de neerslag vormen van het handelen van die organisaties.
Organisaties hebben twee jaar de tijd gekregen (tot mei 2018) om de AVG te implementeren. Het niet naleven van de verordening kan een substantieel financieel risico opleveren. Boetes bij overtreding zijn niet erg schappelijk. En daar wordt het management wél zenuwachtig van. Momentum! De invoering van deze AVG heeft gevolgen voor de manier waarop organisaties moeten archiveren. Dit kan niet meer uit de losse pols, maar dient zorgvuldiger en gestructureerder dan ooit te gebeuren. Wees gerust: het archief is vrijgesteld van de bepalingen van de AVG. Maar toch: in alle dossiers zijn privacygevoelige gegevens te vinden. In veel situaties worden vragen gesteld die niet relevant zijn, die niet gesteld mogen worden en ook niet mogen worden bewaard. Een voorbeeld is de kopie van het identiteitsbewijs, die niet opgeslagen mag worden in een persoonsdossier. De verwerking van persoonsgegevens met het oog op de archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden is onderworpen aan passende waarborgen in overeenstemming met de AVG voor de rechten en vrijheden van betrokkene (art. 89 AVG). Er moeten technische en organisatorische maatregelen zijn getroffen om de inachtneming van het beginsel van minimale gegevensverwerking te garanderen.
Artikel 47 lid d AVG zegt hierover dat de organisatie dient te zorgen voor: de toepassing van de algemene beginselen inzake gegevensbescherming, met name doelbinding, minimale gegevensverwerking, beperkte opslagtermijnen, kwaliteit van gegevens, gegevensbescherming door standaardinstellingen en door ontwerp, rechtsgrond voor verwerking, verwerking van bijzondere categorieën van persoonsgegevens, maatregelen om gegevensbeveiliging te waarborgen, en de vereisten inzake verdere doorgiften aan organen die niet door bindende bedrijfsvoorschriften zijn gebonden.
Archieven moeten dus worden geschoond, niet meer nodige gegevens/dossiers moeten worden verwijderd als de wettelijke bewaartermijn is verstreken. Dat moest al op basis van uit de Archiefwet 1996 voortvloeiende selectielijsten, maar kan nu met forse sancties worden afgedwongen. En dat laatste heeft de aandacht van het management.
Opslagtermijnen dienen te worden beperkt. En wat doe je na zo een beperkte opslagtermijn? Je vernietigt de gegevens. Dat wordt de belangrijkste taak voor de recordmanager. Zorgen dat informatie, die niet meer nodig is, zo snel mogelijk, volgens de richtlijnen, wordt vernietigd.
En er is veel, heel veel informatie, in allerlei vormen en gedaanten. Denk maar eens hoeveel kopiemateriaal er is te vinden op al die plaatsen, waar u en ik weten dat mensen informatie bewaren. Dus tijd om de mouwen op te rollen, en te gaan werken aan een nieuwe archiefmoraal. Recordmanagement is immers: weten wat je hebt, waar je het hebt opgeborgen en hoe lang je het moet bewaren.
En alle kopieën die niet relevant zijn, de deur uit!
Auteur: Ad van Heijst
Foto: Marijana Pajovic
Bent u CISO of FG?
En wilt u aantoonbaar de informatieveiligheid vergroten? Zorg voor meer inzicht over digitaal werken binnen uw organisatie en verhoog de iBewustzijn onder medewerkers, bestuur en management.