30 vervolgens allerlei parameters uitzet, voldoet het pakket in zijn uitwerking niet meer aan de eisen die de norm stelt. Dat is de reden waarom we tijdens en ook na installatie van het pakket bij de gebruiker een onderzoek aanraden. Pas dan is er zekerheid dat het systeem werkt volgens de norm.” Internationaal rijbewijs Met NEN 2082-compliance alleen zijn overheden er niet. De technische voorschriften in deze Nederlandse norm bestrijken niet alle voorwaarden voor behoorlijk informatiemanagement. Marijnen: “Als de techniek op orde is, heb je weliswaar een leuke auto gebouwd, maar als je geen rijbewijs hebt, dan gaat het fout.” Minstens zo belangrijk is daarom hoe het – liefst gecertificeerde – systeem binnen een organisatie wordt gebruikt. Hoe zijn authenticatie en autorisatie geregeld, oftewel wie ben je en wat mag je? “De burgemeester moet alles weten, maar een baliemedewerker hoeft niet alle dossiers in te zien.” Ook belangrijk: hoe classificeer je
31 procedures gebruiken. Dat zou wel moeten onder de Archiefwet. Met haar onderzoeken en rapporten helpt ECB overheden daarbij. Benedikt Marijnen benadrukt dat zijn bedrijf niet controleert om het controleren. “Het gaat niet om het certificaat, maar om een goed systeem. Wij dragen bij aan efficiënt en veilig informatiemanagement. Daar horen procedures bij en die hebben veel overheden nog niet voor elkaar.” 155 DE NEN 2082-NORM BEVAT IN TOTAAL 155 FUNCTIONELE EISEN Substitutie Goed informatiemanagement is bovendien een voorwaarde voor substitutie, het vervangen van papieren door digitale archiefstukken. Gevraagd hoever gemeenten daarmee zijn, antwoordt Marijnen voorzichtig: “Nog niet ver. Als gemeenten beweren dat ze substitutie hebben en je gaat kijken, dan blijkt dat ze het bijvoorbeeld alleen hebben voor de postkamer, nooit voor de hele organisatie.” Voor substitutie moet eerst toestemming worden aangevraagd. Daarna volgt een archiefinspectie, maar die is vaak nogal willekeurig. “Inspecteurs hebben ieder hun eigen setje eisen. Daardoor gelden per provincie andere eisen. Wij zeggen: als je dat nu doet op basis van een standaard, dan heb je allemaal dezelfde eisen voor je neus. Dat is minder werk én je weet tenminste dat het goed is. Dan heb je een benchmark voor substitutie.” informatie? “Een huurcontract is een ander document dan een mailtje van meneer Jansen dat er taart bij de koffieautomaat staat.” Dergelijke best practices voor het gebruik en de beveiliging van informatiesystemen staan beschreven in weer andere, internationale normen: ISO 15489 respectievelijk de ISO 27000-serie. In Nederland zijn geen overheden die een volledig ingericht informatiebeheersysteem op basis van zulke “Onze opvallendste constatering: procedures voor informatiemanagement zijn vaak afwezig. Er wordt te weinig vastgelegd en het blijft onduidelijk wie wat moet doen. Meestal is er een IT-manager verantwoordelijk, en die weet misschien alles van IT, maar niet hoe je informatie moet beheren. Dát hoort een directieverantwoordelijkheid te zijn, die beleidsmatig moet worden ingebed. Het verbaast ons echt hoe overheden hiermee omgaan. Kom je praten over procedures in het informatiemanagement en dan sturen ze je door naar de IT-afdeling. Nou, dan houdt het volgens mij op.”
