Risicoanalyse Informatiebeheer Workshop Risiocoanalyse en beheersmaatregelen Studiemiddag Den

Risicoanalyse Informatiebeheer Workshop Risiocoanalyse en beheersmaatregelen Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Programma • • • Introductie Schets situatie Nijmegen Waarom risicoanalyse bij inrichting e-Depot? Keuze voor een model voor risicoanalyse Actieve werkvorm Terugkoppeling Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Noodzaak digitale duurzaamheid • Vrede van Nijmegen: verdrag tussen Frankrijk en Spanje, 17 september 1678 (Archief van het Ministerie van Buitenlandse Zaken, Parijs) • Floppy disks: belangrijkste opslagmedium voor PC’s, ruwweg 1980 -2000 Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Noodzaak digitale duurzaamheid • Stadsbrug ‘De Oversteek’: 70 DVD’s • Wat als over 30 jaar de DVD’s niet meer te lezen zijn? Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Digitaal werken: formeel gedigitaliseerde processen • Documenten worden gearchiveerd in Corsa DMS • Zaakgewijs: statusinfo t. b. v. Mijn. Nijmegen m. b. v. midoffice Exxellence Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Digitaal werken: vervanging • Binnenkort één besluit voor alle processen • Uitzonderingen: bijzondere (‘intrinsieke’) waarde Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Archief 2020 Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Risicoanalyse t. b. v. e-Depot Advies omtrent invoering e-depot (2013): Aanbevelingen werkgroep • pilot uitvoeren, daarna besluiten Kritiek van opdrachtgevers • nut, noodzaak en urgentie niet duidelijk Baseline informatiehuishouding (2014): Aanbevelingen werkgroep • Overzicht creëren • Kwaliteitsbeheer invoeren, inclusief risicoklassen • Bewustzijn bewerken Kritiek van opdrachtgevers • Kwaliteitszorg moet geen apart systeem zijn, maar integraal onderdeel van informatiebeheer • Een integraal kwaliteitssysteem is een te zwaar instrument om te gebruiken bij alle processen Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Risicoanalyse t. b. v. e-Depot Strategie voor het inrichten van voorzieningen en diensten voor Duurzaam Digitaal Opslaan, Beheren en Beschikbaar stellen van Informatie (2014) Oorspronkelijk 1 -12 -15, huidige inschatting 2017 Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Risicoanalyse t. b. v. e-Depot Plan van Aanpak Duurzaamheid en kwaliteit digitaal informatiebeheer (2015) Producten: 1. Duurzaam informatiebeheer ingebed in gemeentelijk informatiebeleid 2. Risicoprofielen, inventarisatie en indeling digitale gegevensverzamelingen • Risicoprofielen voor de indeling van gegevensverzamelingen met daaraan gekoppelde beheersmaatregelen • Overzicht van digitale gegevensverzamelingen (o. a. in DMS/RMA), ingedeeld in risicoprofielen, met de gebruikte metadata • Voorstel welke gegevensverzamelingen opgenomen moeten worden • Huidige beheerkosten of ten minste de kostencomponenten • Toetsing van huidig beheer en metadata aan de vereiste beheersmaatregelen (volgens indeling in risicoprofiel) • Voorstel voor vervolgacties om geconstateerde gebreken in het duurzame beheer te verbeteren 3. Voorstel voor keuze e-depot 4. Integrale monitorinspecties en audits opgenomen in kwaliteitscyclus Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Samenvattend Waarom risicoanalyse voor e-Depot? • • • Alles is te veel (beheer, retrieval, kosten) Duurzaamheid is onderdeel kwaliteitsbeheer Risicomanagement is onderdeel kwaliteitsbeheer Indicatie voor wat op te nemen in het e-Depot Toont ‘objectief’ aan welke beheermaatregelen genomen moeten worden Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Vragen/twijfels • Risico-analyse versus risicomanagement • Risicoklassen en beheersmaatregelen • Wie bepaalt uiteindelijk de risicoklasse en welke beheersmaatregelen genomen worden? • Is differentiëren van beheersmaatregelen wel efficiënt? Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Twee modellen: Rotterdam en Den Bosch • Methode van risicoanalyse – Rotterdam: kwantitatief – Den Bosch: kwalitatief – Nijmegen: combinatie? in eerste instantie kwalitatief, indien gewenst kwantitatief Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Twee modellen: Rotterdam en Den Bosch Risicoklasse gekoppeld aan beheersmaatregelen – Den Bosch: niet – Rotterdam: wel (metadata, procedures, systeemfunctionaliteit – Nijmegen: differentiatie van beheersmaatregelen indien efficiënt. Hoe te bepalen? Voorbeeld: Metadata Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Vereiste metadata per risicoklasse - Rotterdam: koppeling met elementen uit Richtlijn Metagegevens Overheidsinformatie (2009) - Toepassingsprofiel Metagegevens Rijksoverheid (2009) - Toepassingsprofiel Metagegevens Lokale Overheid (WVI) (2013) - Toepassingsprofiel Metadatering Lokale Overheden (TMLO) (2014) Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Vereiste metadata per risicoklasse TMLO • Entiteiten • • record actor bedrijfsactiviteit (proces) mandaat • Elementen (voor verschillende aggregatieniveaus): • • • verplicht indien van toepassing pas toe of leg uit aanbevolen optioneel Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Vereiste metadata per risicoklasse Rotterdam (2012) -sterk versimpeld tbv oefening!- • Risicoklasse 1 (laag/ <1 jaar bewaren) • Risicoklasse 2 (middel / 1 -7 jaar bewaren) • Risicoklasse 3 (hoog / >7 jaar bewaren) Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Vereiste metadata per risicoklasse Rotterdam (2012): • Risicoklasse 1: Verplicht: Naam, plaats Optioneel: Identificatiekenmerk, datum/periode, relatie • Risicoklasse 3: Verplicht: alles, uitgezonderd: Indien van toepassing: gebruikersrechten, vertrouwelijkheid Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Vereiste metadata per risicoklasse Opdracht Welke elementen uit TMLO pas je (verplicht) toe in risicoklasse 2 (middel)? Verdelen in groepjes Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Discussie • heeft verplicht stellen van metadata o. b. v. risicoklassen wel meerwaarde ten opzichte van het toepassen van TMLO op al je processen? Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Conclusie? • het daadwerkelijk toepassen van risicomanagement is het oplossen van de gap tussen de IST en de SOLL als het gaat om de beheersmaatregelen Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Conclusie? • Twee statussen op basis van risicoanalyse: 1) Geen opname in e-depot noodzakelijk 2) Opname in e-depot noodzakelijk • Gevolgen voor beheersmaatregelen 1) Beperkt (geen eisen/afhankelijk van proces? ) 2) Op basis van eisen voor opname in e-depot (TMLO) Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees

Dank voor jullie aandacht! Studiemiddag Den Bosch 21 april 2015 Pascal Bongers en Ernest Verhees