Waarom, wat, wanneer en voor wie?
Alles uitklappenE-mail wordt gebruikt voor communicatie tussen ambtenaren, met burgers en externe samenwerkingspartners. Voor het maken van plannen en het nemen van besluiten. Het levert dus overheidsinformatie op die onder de Archiefwet valt. En raakt alle belangen waarvoor informatie gearchiveerd wordt.
Er zijn meerdere manieren om e-mails te archiveren, waaronder de automatische bulkopslag van e-mails via de sleutelfunctiemethodiek. De Handreiking E-mail archiveren van het Nationaal Archief biedt een overzicht van mogelijke archiveringsmethodes met daarbij de voor- en nadelen. Automatische bulkopslag is een van deze methodes. En kan met andere methodes gecombineerd worden.
Een selectielijst e-mail is gekoppeld aan automatische bulkopslag; alle zakelijke mails in alle mailboxen worden dus automatisch gearchiveerd. De waardering en selectie van deze e-mail is niet gebaseerd op het proces, maar op de (sleutel)functie van de eigenaar van de mailbox. De functie bepaalt dus of de e-mail blijvend of tijdelijk te bewaren is.
Bestaande selectielijsten zijn doorgaans gebaseerd op processen van een organisatie. En zijn zeer geschikt wanneer e-mails handmatig geëxporteerd worden naar, en opgeslagen in, een zaaksysteem of DMS. In het Zaaksysteem of DMS wordt de e-mail gekoppeld aan een proces. Een mailbox is echter niet gekoppeld aan een proces, maar aan een eigenaar. Daarom neemt de selectielijst e-mail de functie van de eigenaar als uitgangspunt.
Het opstellen van een selectielijst e-mail is relevant voor bepaalde organisaties.
- Rijksorganisaties die deelnemen aan het CIO Beraad. Deze organisaties zijn verplicht om de automatische bulkopslag op basis van de Handreiking Bewaren van e-mail Rijksoverheid van het RDDI uit te voeren. En moeten een selectielijst e-mail opstellen.
- Rijksorganisaties die geen deel uitmaken van het CIO Beraad. Deze organisaties zijn niet verplicht automatische bulkopslag op basis van de Handreiking Bewaren van e-mail Rijksoverheid uit te voeren. Zij moeten wel voor 31 december 2026 volgens het 'pas toe of leg uit'-principe ofwel automatische bulkopslag, ofwel een andere methode voor e-mailarchivering hebben geïmplementeerd.
- Organisaties die onderdeel zijn van de decentrale overheid en automatische bulkopslag willen uitvoeren. Deze organisaties moeten in dat geval (door hun koepel) een selectielijst e-mail (laten) opstellen.
Dat kan zodra er duidelijkheid is over de ingangsdatum en ontwikkeling van twee randvoorwaarden uit de Handreiking Bewaren van e-mail Rijksoverheid van het RDDI. De ingangsdatum van de selectielijst moet namelijk gekoppeld (kunnen) worden aan de startdatum van:
- technische voorzieningen zoals genoemd in de Handreiking Bewaren van e-mail Rijksoverheid (Stappenplan e-mailarchivering van het RDDI, stap 8);
- een register waarin sleutelfuncties, sleutelfunctionarissen en bijhorende e-mailadressen en periodes worden geregistreerd volgens de Handeling aanwijzen en registreren van sleutelfuncties. En waarvan het beheer is geregeld (Stappenplan, stap 7).
Deze randvoorwaarden zijn volgens de Handreiking Bewaren van e-mail Rijksoverheid bindend voor de rijksoverheid. En zijn een aandachtspunt voor decentrale overheden.
Daarnaast zijn drie privacy-aandachtspunten van belang.
- Besluitvorming in de ondernemingsraad over het invoeren van automatische bulkopslag. En de bijhorende selectie op basis van sleutelfuncties (Stappenplan, stap 3);
- Een vastgesteld zoekprotocol voor informatieverzoeken, met name in afgesloten mailboxen (Stappenplan, stap 6).
- Een eventueel extra departementale PIA (privacy impact assessment) in afstemming met de functionaris gegevensbescherming (Stappenplan, stap 9). Hiervoor kan de algemene PIA als basis dienen.
De rol van het Nationaal Archief voor decentrale overheden bestaat uit het toetsen van de selectielijst aan de (verantwoording van de) de wettelijke eisen en aan de methodiek. Bij de behandeling van de selectielijst e-mail informeren we over het gebruik van de selectielijst (Ab art. 5 lid 2). En over bovenstaande randvoorwaarden.
Status
Alles uitklappenVoor bestuursdepartementen en andere rijksoverheidsorganisaties is toegezegd aan de Tweede Kamer dat deze de Handreiking Bewaren van e-mail Rijksoverheid implementeren. Hoge Colleges van Staat en zelfstandige bestuursorganen hebben de keuze om deze handreiking te implementeren. Een reden om niet te kiezen voor automatische bulkopslag kan bijvoorbeeld zijn: een klein volume aan e-mails of een gereguleerd proces waarin e-mail wordt ontvangen.
Bij decentrale overheden hebben gemeenten en gemeenschappelijke regelingen de mogelijkheid om aan te sluiten bij de Selectielijst e-mailbewaring volgens de Capstone-methodiek van de VNG.
Voor bestuursdepartementen is aan de Tweede Kamer toegezegd e-mailarchivering volgens de sleutelfunctiemethodiek in te voeren vóór 31 december 2023. Voor andere rijksorganisaties die deelnemen is de uiterste termijn 31 december 2026. Zij moeten dan volgens het pas-toe-of-leg-uitprincipe via automatische bulkopslag of een andere methode e-mailarchivering toepassen.
Uitgangspunten
Alles uitklappenBij het archiveren van e-mails op basis van de sleutelfunctiemethode wordt de bewaartermijn bepaald door de functie van diegene die via een mailbox een e-mail heeft ontvangen en verstuurd. Bij handmatig exporteren en opslaan van e-mail in een zaaksysteem of DMS/RMA bepaalt het dossier binnen een proces de bewaartermijn.
Nee, een organisatie kan verschillende archiverings- en dus ook daarbij aansluitende selectiemethodes combineren.
In dit geval is sprake van twee verschillende informatieobjecten. Een e-mail in een e-mailbox kent een andere context. En is daarom een ander informatieobject dan een e-mail in een DMS. Daarom kunnen de bewaartermijnen van deze objecten verschillen.
Omdat de waardering van de inhoud van mailboxen gekoppeld is aan sleutelfuncties. Alleen zo is voor de organisatie, de medewerker, de onderzoeker en de burger ondubbelzinnig duidelijk welke functies sleutelfuncties zijn. Sleutelfuncties worden in het register van sleutelfuncties gekoppeld aan de personen die deze functies vervullen.
De risicoanalyse in de Model selectielijst voor automatisch bewaarde e-mail heeft uitgewezen dat tien jaar een redelijke termijn is waarbinnen bestuurlijke verantwoording afgelegd kan worden. In de nieuwe Archiefwet is de overbrengingstermijn tien jaar. Een organisatie kan voor een langere bewaartermijn kiezen. Maar moet dit wel goed kunnen onderbouwen.
Besluitvorming vindt plaats in de salarisschalen 16 en hoger (volgens de topstructuur ABD voor het Rijk). Besluitvorming heeft historische waarde en moet permanent verantwoord kunnen worden. Blijkt uit een systeemanalyse dat sommige functies in schaal 15 ook een rol spelen bij besluitvorming?. Dan kun je deze als aanvullende sleutelfuncties aanduiden en opnemen in de selectielijst e-mail. Criteria voor het aanwijzen van aanvullende sleutelfuncties zijn bijzonderheid en representativiteit. Meer informatie is te vinden in de Handreiking Bewaren van e-mail Rijksoverheid.
Als andere loonschalen of -systemen van toepassing zijn in de topformatie van een organisatie, wordt daar rekening mee gehouden bij het bepalen van de sleutelfuncties. Een systeemanalyse kan dit inzichtelijk maken.
Juist niet. Het voordeel van deze aanpak is dat alle zakelijke e-mail voortaan op één plek beheerd wordt. De organisatie heeft deze nu volledig in beheer en kan daarmee ook het zoeken en vinden van informatie verbeteren. Een ander belangrijk gegeven is dat de eerste schifting al gemaakt is. Het gaat alleen nog maar om zakelijke e-mail, niet om alle e-mails. Tot slot wordt alleen de-mail van een beperkt aantal sleutelfunctionarissen blijvend bewaard. En e-mail van vrijwel alle overige functies na verloop van tijd vernietigd.
Ja, omdat de sleutelfunctiemethode voor minder opslag van e-mail zorgt dan in de huidige situatie, is dit voordelig voor het milieu. Bij de sleutelfunctiemethodiek :
- moet e-mail daadwerkelijk worden verwijderd uit mailboxen;
- verwijderen medewerkers mede daardoor niet-zakelijke mail eerder;
- wordt na tien jaar het merendeel van de mail vernietigd.
Bovendien is bij opslag in een archiefomgeving meestal sprake van langdurige opslag op een storageniveau dat relatief weinig of minder energie verbruikt dan reguliere opslag.
Privacy
Alles uitklappenEen e-mailaccount van een medewerker is een zakelijke account. De medewerker heeft vaak wel het recht om de mailbox ook voor privédoeleinden te gebruiken.
Daarom wordt de mogelijkheid gegeven om privécorrespondentie binnen een vastgestelde termijn (voor het Rijk: tien weken) of te verwijderen of op te slaan. Dat kan in een afzonderlijke en in de organisatie uniform gelabelde persoonlijke e-mailfolder. Na deze termijn worden alle e-mails die niet zijn verwijderd of in deze folder zijn opgeslagen automatisch gearchiveerd. Een organisatie kan van deze geadviseerde termijn van tien weken afwijken als dit goed onderbouwd wordt.
Ook moeten organisaties een aparte privacyverklaring publiceren waarin duidelijk staat hoe met persoonsgegevens wordt omgegaan en hoe de betrokkene gebruik kan maken van zijn rechten. Deze privacyverklaring moet algemeen toegankelijk zijn.
En moet de organisatie de medewerker informeren over de mogelijke privacyrisico’s.
Dit houdt verband met de bepalingen in de Algemene verordening gegevensbescherming (AVG) Verwerking van persoonsgegevens moet noodzakelijk zijn voor het naleven van een wettelijke verplichting, de taak van algemeen belang of de uitoefening van openbaar gezag. Dit betekent dat er bij e-mailarchivering niet meer moet worden veiliggesteld dan daarvoor nodig is (art. 5, eerste lid, onder a, AVG). De medewerker krijgt daarom gedurende een vastgestelde termijn de gelegenheid om zelf bepaalde e-mailberichten te verwijderen. Bijvoorbeeld privé-mails, p-vertrouwelijke zaken of e-mail die niet uit hoofde van functie verstuurd of ontvangen zijn.
Dan wordt deze mail automatisch gearchiveerd. En na tien jaar vernietigd of blijvend bewaard en naar een archiefbewaarplaats overgebracht. Met het oog op archivering in het algemeen belang (UAVG) mogen archieven met bijzondere persoonsgegevens naar een archiefbewaarplaats worden overgebracht. Privacy kan dan een argument zijn om de openbaarheid te beperken. Hierover maken zorgdrager en de archiefbewaarplaats, zoals het Nationaal Archief, dan afspraken.
NB. We adviseren om archivering van bijzondere persoonsgegevens zoveel mogelijk te voorkomen. Zo is het verstandig om de bedrijfsarts uit te zonderen van de sleutelfunctiemethode. Of te voorkomen dat zo’n soort functie bijzondere persoonsgegevens per e-mail moet ontvangen of verzenden.
Implementatie
Alles uitklappenDe selectielijst gaat ervan uit dat de medewerker privé- en andere niet-zakelijke berichten heeft verwijderd of uitgezonderd van archivering. En dat alleen zakelijk e-mail gearchiveerd wordt. Alleen zo kan worden voldaan aan de eisen van de Algemene verordening gegevensbescherming (AVG). Zonder technische voorziening worden - in strijd met de AVG - alle e-mails bewaard. Dit is bijvoorbeeld hoe MS Exchange werkt.
De inhoud van mailboxen is gekoppeld aan sleutelfuncties. Daarom is het belangrijk een register bij te houden van de personen die deze sleutelfuncties (sleutelfunctionarissen) hebben vervuld. In dit register houd je het volgende bij: naam, e-mailadres, functie en periode waarin deze functie is vervuld.
De manier waarop dit register wordt ingericht, is aan de organisatie. Wel is het handig om aan te sluiten bij bestaande systemen en werkwijzen. Vooral het gebruik van een identity management systeem en proces (IAM) kan er voor zorgen dat inzichtelijk is en blijft wie wanneer welke functie bekleedt.
Meer hierover in de handreiking aanwijzing en registratie sleutelfuncties.
Op gemeentelijk niveau hebben Rotterdam en Den Haag pilots uitgevoerd: https://vng.nl/brieven/selectielijst-e-mailbewaring-volgens-de-capstone-methodiek. Ook pilots over hettoepassen van de sleutelfunctiemethode. Deze geven een belangrijk inzicht:de haalbaarheid van de technische uitvoering is een voorwaarde voor het vaststellen van een e-mailselectielijst.
Voor het Rijk is een sjabloon Communicatieplan voor implementatie e-mailarchivering opgesteld. Zie hiervoor: Communicatieplan voor implementatie e-mailarchivering | Instrument | Rijksprogramma voor Duurzaam Digitale Informatiehuishouding.
Kan e-mail van sleutelfuncties worden overgebracht naar een archiefbewaarplaats? Zo ja, wanneer dan?
Ja, dat kan volgens de overbrengingstermijn in de Archiefwet. We raden aan jaarlijks de e-mails van sleutelfuncties in blokken van een jaar over te brengen naar het Nationaal Archief. Dus vanuit de huidige Archiefwet gezien wordt de e-mail van sleutelfuncties uit 2023 in 2044 naar de archiefbewaarplaats overgebracht.
Praktisch
Alles uitklappenVoor de selectielijst e-mail geldt hetzelfde proces als voor de reguliere selectielijsten (Selectielijst maken | Nationaal Archief). Het enige verschil is dat bij het intakegesprek, het opstellen van het Verslag Overleg en het voeren van het Strategisch Informatieoverleg ook naar de twee randvoorwaarden, namelijk technische implementatie en het beheer van het register van sleutelfunctionarissen, wordt gekeken.
Het opstellen en laten vastsstellen van een selectielijst e-mail neemt gemiddeld 6 maanden in beslag. Neem dus contact op met het Nationaal Archief zodra er duidelijkheid is over de startdatum van de technische voorziening en het register van sleutelfuncties. En zorg in die periode ook voor voldoende capaciteit binnen de organisatie.
Decentrale overheden
Gemeenten kunnen contact opnemen met de VNG.
Rijksoverheid
Voor algemene informatie over de organisatorische en technische implementatie van e-mailarchivering kun je terecht bij het Rijksprogramma voor Duurzaam Digitale Informatiehuishouding (RDDI). Voor individuele ondersteuning per organisatie kun je terecht bij het Nationaal Archief. De afnemers van SSC-ICT kunnen bij vragen over de technische mogelijkheden rondom IBM FileNet contact opnemen met de projectleider bij SSC-ICT. Bij vragen over technische mogelijkheden, zie Kennisnetwerk Informatie en Advies (KIA) voor praktijkvoorbeelden bij het ministerie van Onderwijs Cultuur en Wetenschap (OpenText) en de Raad van State (Corsa).
Bij Open Overheid en RDDI zijn ook informatie en Q&A’s te vinden.
Voor de rijksoverheid is de volgende documentatie van RDDI beschikbaar:
- Handreiking bewaren van e-mail Rijksoverheid
- Stappenplan implementatie e-mailarchivering Rijksoverheid De handreiking bewaren van e-mail Rijksoverheid en de bijbehorende producten staan hierin vermeld. Het geeft stap voor stap uitleg over het gebruik van alle instrumenten.