Maatregelen voor digitaal vernietigen

Handreiking Digitaal vernietigen

Voordat je aan de slag gaat met digitaal vernietigen moet het volgende geregeld zijn:

Alles uitklappen

De selectielijst speelt een belangrijke rol bij digitaal vernietigen. In de selectielijst is opgenomen welke categorieën informatieobjecten blijvend moeten worden bewaard en welke categorieën informatieobjecten na een bepaalde termijn moeten worden vernietigd. De selectielijst is daarmee een belangrijk beleidsdocument voor vernietiging (zie voor meer informatie de handreiking Belangen in Balans). 

Selectie van te vernietigen informatieobjecten

Een selectielijst moet gemakkelijk te vertalen zijn naar een (automatische) selectie van te vernietigen informatieobjecten. Daarom is het belangrijk dat in de selectielijst ook het object van vernietiging is vastgelegd. Bekijk voorbeelden van objecten van vernietiging zoals bepaald in verschillende sectorale wet- en regelgeving.

Beleid voor digitaal vernietigen dient onderdeel uit te maken van het beleid voor informatiebeheer (in sommige organisaties heet dit het i-beleid, i-opgave of de informatievisie). In dit beleid horen de beleidsuitgangspunten voor digitaal vernietigen te zijn vastgelegd, zoals: 

  • Dat er altijd verplicht een risicoanalyse gemaakt moet worden.
  • Dat by-design-maatregelen nodig en wenselijk zijn voor digitale vernietiging.
  • De keuze tussen het inrichten van centrale vernietigingsfunctionaliteit of juist vernietiging bij de bron.
  • Dat er een vernietigingsprotocol moet worden toegepast.
  • Welke wijze van vernietigen wordt gehanteerd.
  • Welke doelen  digitaal vernietigen nastreeft.
  • Welke middelen voor digitaal vernietigen beschikbaar zijn.
  • Het beoogde tijdspad voor de implementatie en uitvoering van digitaal vernietigen.
     

Voor het succesvol implementeren van digitaal vernietigen is het belangrijk dat:

  • Duidelijk is wie welke rol en verantwoordelijkheid heeft in het proces van digitaal vernietigen. Deze betrokkenen moeten beschikbaar zijn en over voldoende kennis beschikken. De verantwoordelijkheden met betrekking tot digitaal vernietigen kun je in detail uitwerken volgens het RACI-model. Hiermee kun je eenduidig vaststellen wie vanuit welke rol welke verantwoordelijkheid heeft in het proces van vernietiging. Daarbij wordt een onderscheid gemaakt in wie eindverantwoordelijk (Accountable) is, wie uitvoerend verantwoordelijk (Responsible) is, wie verplicht geraadpleegd moet worden (Consulted) of wie verplicht moet worden geïnformeerd (Informed).
  • De benodigde middelen voor digitale vernietiging beschikbaar worden gesteld. Dit kan door ervoor te zorgen dat deze middelen expliciet worden opgenomen in de meerjarenbegroting.

Onduidelijkheid over verantwoordelijkheden 

Digitaal vernietigen is niet alleen een taak van de afdeling Documentaire Informatievoorziening. Het is belangrijk dat medewerkers in zowel de business (zoals proceseigenaren), ICT (zoals applicatiebeheerders) als het informatiemanagement (zoals architecten) betrokken zijn bij digitaal vernietigen. En dat zij weten wat er van hen wordt verwacht, wat hun verantwoordelijkheden zijn en daarbij voldoende mandaat hebben. In de praktijk bestaan hierover vaak onduidelijkheden. Waardoor het digitaal vernietigen niet, nauwelijks of niet goed gebeurt. 

Onder andere de volgende functionarissen kunnen een rol spelen (verantwoordelijkheid hebben) bij digitaal vernietigen: gemeentesecretaris, secretaris-directeur, provinciesecretaris, secretaris generaal, directeur generaal, (dienst)directeur, managers of proceseigenaren, CIO, FG, CISO, Archivaris, Directeur ICT, Adviseur of specialist informatiemanagement, recordmanager, (informatie)architect, projectleider, Beleidsmedewerker (DIV), functioneel beheerder, applicatiebeheerder, applicatieontwikkelaar, beheerder infrastructuur, etc.

Onduidelijkheid over middelen 

Aan digitaal vernietigen zijn kosten verbonden. Deze zijn afhankelijk van hoe digitaal vernietigen wordt gerealiseerd. Naast de kosten voor de inzet van mensen, moet er ook rekening gehouden worden met bijvoorbeeld aanschafkosten of ontwikkelkosten voor de vervanging of aanpassing van informatiesystemen. Ook de investering in de benodigde kennis kan kosten met zich meebrengen.

Informatie-overleggen

Veel overheidsorganisaties hebben binnen de eigen organisatie een strategisch informatieoverleg ingericht. Sommige overheidsorganisaties hebben ook een tactisch informatieoverleg intern georganiseerd. In deze informatie-overleggen worden vraagstukken belegd over het functioneren en de kwaliteit van de informatiehuishouding. Ook op operationeel niveau vindt er overleg plaats, onder andere over de uitvoering van het digitaal vernietigen.

In de informatie-overleggen vindt er een afweging plaats, waarbij alle relevante kennis en expertise bijeen worden gebracht door besluitvormers. Dit zijn onder andere de CIO en archivaris en hun adviseurs in de business, ICT en het informatiemanagement. Zo kan het informatiebeheer, inclusief digitaal vernietigen, in samenhang worden georganiseerd. De informatie-overleggen van de organisatie vormen op die manier een plek waar digitaal vernietigen kan worden geagendeerd en besluitvorming kan plaatsvinden. Het mandaat voor de implementatie van digitaal vernietigen wordt hier gelegd. 
Zie ook de Handreiking Strategisch Informatieoverleg (SIO) opgesteld voor de decentrale overheden.

Let op: het betreft hier een intern informatie-overleg en niet het Strategisch informatieoverleg (SIO) met de algemene rijksarchivaris.

Om digitaal te kunnen vernietigen is het belangrijk om een goed overzicht te hebben van de processen, informatiesystemen en de informatieobjecten binnen een organisatie. Informatieobjecten kunnen zich namelijk in meerdere informatiesystemen bevinden, door meerdere informatiesystemen worden gebruikt en in verschillende processen worden toegepast. Wanneer je niet in beeld hebt welke processen of informatiesystemen de informatieobjecten gebruiken of creëren, is het praktisch onmogelijk om deze te selecteren en te vernietigen. Ook is het belangrijk dat kopieën van de informatieobjecten op back-ups in beeld zijn. 

Enterprise Architectuur

De meeste overheidsorganisaties beschikken inmiddels over een Enterprise Architectuur waarin de informatieobjecten, processen en informatiesystemen al aan elkaar zijn gerelateerd. Zie ook: Nederlandse Overheid Referentie Architectuur.

Digitaal vernietigen is niet voor iedere situatie gelijk. Het type (denk aan vertrouwelijkheid en privacygevoeligheid) overheidsinformatie dat voor vernietiging in aanmerking komt, bepaalt in grote mate welke risico’s de organisatie loopt bij het niet (tijdig en juist) vernietigen van de informatie. 
Een procedure voor het uitvoeren van een risicoanalyse helpt organisaties afwegingen te maken zodat zij passende maatregelen voor digitaal vernietigen kunnen treffen. In hoofdstuk vijf wordt toegelicht hoe de risicoanalyse kan worden uitgevoerd. 

Om daadwerkelijk tot digitaal vernietigen over te gaan is het belangrijk dat er heldere afspraken zijn gemaakt. Welke activiteiten moeten op welk moment worden uitgevoerd? En door wie? Dit wordt in een vernietigingsprotocol of -procedure vastgelegd waarmee je verantwoordt hoe je digitaal vernietigt. Het startpunt is de selectielijst en een lijst met de voor vernietiging in aanmerking komende informatie (vernietigingslijst). Ook de verplicht op te stellen verklaring van vernietiging bij iedere vernietigingsactie is onderdeel hiervan. 

In het protocol kan vastgesteld zijn dat vernietiging altijd volgens een strikte aanpak wordt uitgevoerd. Maar je kunt ook besluiten om in het vernietigingsprotocol ruimte te laten voor een meer flexibele aanpak, rekening houdend met het risico op informatieverlies en -behoud. Een andere mogelijkheid is om bij het in beheer nemen van een informatiesysteem als eis op te stellen dat er een vernietigingsprotocol is voor de informatieobjecten in dat systeem.

In een vernietigingsprotocol is tenminste vastgelegd:

  • Wat de rollen en verantwoordelijkheden zijn.
  • De beslismomenten.
  • Welke activiteiten in welke volgorde dienen te worden uitgevoerd.
  • De controlemomenten.
  • De wijze waarop verantwoording over de digitale vernietiging wordt afgelegd.
  • Dat er een review plaatsvindt van te vernietigen informatie.

Review

Binnen de organisatie kan worden besloten om een geautoriseerd persoon de informatie die voor vernietiging in aanmerking komt te laten reviewen, voordat deze wordt vernietigd. Bijvoorbeeld de proceseigenaar of archivaris. Zo kun je eventuele uitzonderingen borgen en is er een mogelijkheid om de vernietiging te onderbreken of tussentijds te beëindigen, omdat de informatieobjecten alsnog worden aangemerkt als te bewaren.

Om informatieobjecten te kunnen vernietigen, is er vernietigingsfunctionaliteit nodig. 
Dit wordt toegelicht op de pagina Hoe kun je vernietigen.

Beleid, procedures en protocollen met betrekking tot digitaal vernietigen moeten zijn vastgelegd in een systeem, waarin de kwaliteitszorg voor deze instrumenten is geborgd. Met toezicht, in de vorm van monitoring en rapportage, wordt nagegaan of beleid, procedures en protocollen correct worden toegepast. Ook wordt gecontroleerd of deze periodiek geactualiseerd worden, actueel zijn in de uitvoering en op de agenda worden gehouden. De rapportages met betrekking tot digitaal vernietigen dienen te worden geagendeerd in het strategisch informatieoverleg. Ook kun je de rapportages opnemen in de P&C-cyclus en de (bedrijfsvoering)rapportages zodat ze in het juiste gremium wordt besproken.