Praktijkvoorbeeld: TU Delft
Bij de TU Delft wordt bij iedere software-aanbesteding vooraf, in samenwerking met de collega’s van ICT en AVG, gekeken naar de benodigde archief- (en dus ook vernietigings-) requirements. Omdat niet altijd evenveel eisen nodig zijn, verschilt dit nogal per applicatie. Dit verschil is gebaseerd op de risico’s van de informatie in de applicatie. Deze risico’s worden bepaald door voor de applicaties binnen de TU Delft een analyse te doen, waarbij de volgende onderdelen worden gecombineerd:
- de bewaartermijn(en) van de informatie in de applicatie.
- de BIV-rating*.
- een aantal archiefaspecten (zoals of het systeem data overschrijft of niet).
- of uitfasering binnen twee jaar op de planning staat.
Uit al deze informatie komt een score: groen, oranje, rood:
- Is de score groen, dan is de informatie in de applicatie en de applicatie zelf voorlopig in orde en kan men zo door gaan.
- Is de score rood, dan is er werk aan de winkel en moet men oplossingen zoeken. Mochten bepaalde aanpassingen op dat moment nog niet mogelijk zijn, dan worden deze meegenomen in de toekomstige aanbesteding.
De aanpak is gebaseerd op de bestaande applicaties, maar vormt ook de basis voor de aanbesteding. Automatisch vernietigen is daarbij de wens, maar wel met controle vooraf vanuit een medewerker. Wanneer een applicatie het toelaat en het risico en de complexiteit laag zijn, kan dit ook handmatig. Het is daarbij zaak om in ieder geval jaarlijks gezamenlijk ervoor te zorgen dat de applicatielijst up-to-date blijft, de groene scores groen blijven en er op het juiste moment vernietigd wordt.
*een BIV-rating is een classificatie vanuit ICT voor informatiebeveiliging die inzicht biedt in de risico’s van informatieverwerking op basis van de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie in de applicatie.
Praktijkvoorbeeld: het app-ruimteam van de gemeente Amsterdam
Sinds medio 2018 wordt binnen het cluster Interne Dienstverlening van de gemeente Amsterdam hard gewerkt om alle niet-doelapplicaties uit te zetten en op te ruimen. De reden van het app-ruimen is het realiseren van een besparingsopgave binnen het ICT-landschap. Deze applicatierationalisatie heeft als kwaliteitseis om de informatie die voor de bedrijfsvoering nog nodig is veilig te stellen. In sommige applicaties zit immers informatie die voor kortere of langere tijd bewaard en toegankelijk dient te blijven. Om dat te kunnen achterhalen is een grondige analyse nodig van waar een applicatie voor is en gebruikt wordt, welke informatie het bevat en hoe die toegankelijk te houden of maken is. Een applicatie kan worden uitgezet, wanneer gegevens zijn veiliggesteld (bijv. geëxporteerd of gemigreerd) of wanneer is geconstateerd dat de gegevens niet meer bewaard hoeven te blijven. Het uitzetten van de applicaties houdt in: het contract opzeggen, software de-installeren, hardware uitschakelen, servers wissen en administratief in het applicatieportfolio verwerken dat een applicatie is uitgezet.