Een zwaar niveau van maatregelen is nodig als de waarde van informatie hoog is en het een grote impact kan hebben als die informatie niet duurzaam toegankelijk beheerd wordt. Een investering is dan goed te rechtvaardigen. Bijvoorbeeld de kosten voor het meerwerk dat nodig is om modeleisen in een nieuw systeem of extra beheerlast door maatwerk. Maar ook voor de inzet van gekwalificeerd personeel.
Een lichter niveau van maatregelen kan bij informatie met een lage waarde. Een incident in de voorziening heeft geen grote impact op de organisatie of burgers. In dit geval is een grote investering niet altijd te billijken.
NEN-ISO 18128:2024 en NPR-ISO/TR 21946:2019 zijn normen die door de organisatie toegepast kunnen worden bij een risicoanalyse. De normen beschrijven de uitvoering van de analyse, mogelijke stakeholders en mogelijke afwegingen.
Of er behoefte is aan een zwaarder of juist lichter niveau van maatregelen kan voor hetzelfde type overheidsinformatie verschillen. Sensorgegevens kunnen bijvoorbeeld verschillend worden gewaardeerd, afhankelijk van het doel. Voor een organisatie met opsporingsbevoegdheid kunnen sensorgegevens leiden tot een zwaarder niveau van maatregelen vanwege strafrechtelijke implicaties. Terwijl bij een gemeentelijke organisatie de sensorgegevens misschien alleen worden gebruikt om de doorstroom van voetgangers te meten in een gebied.
Organisaties passen ieder voor zich op basis van hun eigen inschatting de modeleisen toe. Als een lichter niveau van maatregelen voldoende is, hoeven niet alle DUTO-functies binnen een proces ondersteund te worden. Naarmate de situatie vraagt om een zwaarder niveau van maatregelen, moeten meer (of zelfs alle) functies die nodig zijn voor een proces binnen een applicatie geïmplementeerd worden. Zowel bij een zwaarder als bij een lichter niveau van maatregelen kan de keuze passen om een DUTO-functie handmatig te ondersteunen of te automatiseren.
Voorbeelden van situaties voor een zwaarder niveau van maatregelen.
- Bedrijfskritische informatie. De NPR-ISO/TR 21946 benoemt de volgende indicatoren: 1) activiteitengebieden waarvoor zware eisen bestaan vanuit wetgeving, 2) waarvan andere activiteitengebieden afhankelijk zijn; 3) die een hoge impact op personen hebben; 4) die de aandacht hebben van media en publiek; 5) die directe impact hebben op de natuurlijke of bebouwde omgeving en 6) die directe impact hebben op veiligheid/beveiliging van mensen of activa.
- Beheer van informatieobjecten die alleen onder bepaalde voorwaarden beschikbaar worden gesteld. Bijvoorbeeld wanneer er sprake is van afscherming van bepaalde gegevens. Of als bepaalde voorwaarden voor het gebruik van de informatieobjecten gelden, zoals vanuit het auteursrecht.
- Beheer van informatie waaraan een langere bewaartermijn is verbonden.
Voorbeelden van processen die als ‘zwaar’ kunnen worden beschouwd.
- Het opstellen van beleid.
- Het uitvoeren van toezicht en handhaving.
- Het voeren van een personeelsadministratie.
Voorbeelden van situaties waar een lichter niveau van maatregelen gepast kan zijn:
- Beheer van informatieobjecten met een lage informatiewaarde waarvoor in een selectielijst een korte bewaartermijn (twee jaar of minder) is vastgesteld. Denk aan een inschrijfformulier voor een gemeentelijke sportactiviteit. Of de interne administratie van alleen de eigen organisatie.
- Beheer van een beperkt volume aan informatie, waarbij bijvoorbeeld handmatig overzetten of visuele inspectie volstaan. En dit effectiever is dan automatisering.
- Beheer van informatie die weinig logica vraagt bij het uitvoeren van selectie en vernietiging. Bijvoorbeeld als er maar één bewaartermijn uit de selectielijst is.
Voorbeelden van processen die als ‘licht’ kunnen worden beschouwd.
- Interne facilitaire serviceverzoeken zonder financiële consequenties.
- Verslaglegging van intern ambtelijk overleg zonder beleidsmatige besluitvorming. Zoals regulier teamoverleg waarin alleen operationele onderwerpen ter sprake komen.
- Het meten van bereik door het bijhouden van bezoekersaantallen op een webpagina.