e-depot achterhoek - erfgoedcentrum zutphen · 2020. 1. 3. · 4 managementsamenvatting doel dit...
TRANSCRIPT
1
E-depot Achterhoek
Continuïteitsplan
2015
2
Werkgroep Continuïteitsplan
• MoniqueDekker(WaterschapRijnenIJssel)• EleonoreManning(ErfgoedcentrumAchterhoekenLiemers)• WouterOenema(gemeenteDoetinchem)• HansMannaert(DiVault)• MarianvandeWetering(gemeenteLochem)
Deelnemende partijen
3
Inhoud
Managementsamenvatting4
1 Algemeen51.1 Doelcontinuïteitsplan51.2 Scope51.3 Leeswijzer6
2 Bedreigingen en risico’s E-depot Achterhoek7
3 Maatregelen en acties om bedreigingen te voorkomen 123.1 Gemeenschappelijkeregeling 123.2 Archiefverordening 153.3 Contractleverancier/ServiceLevelAgreement(SLA) 16
4 Verantwoordelijkheden partners E-depot Achterhoek194.1 Dezorgdrager 194.2 Debeheerorganisatie194.3 DeIT-leverancier19
Bijlage 1. Exit-strategie 20 Bijlage 2. Afkortingenenbegrippen 21
4
Managementsamenvatting
Doel
DitdocumentiseenkennisproductdatvervaardigdisalsonderdeelvanhetprojectE-depotAchterhoek.Hetdoelvanhetcontinuïteitsplanishetgevenvaneenoverzichtvandere-gelingendienodigzijnomdedigitalearchiefbescheideninhete-depottebeveiligentegenbedreigingen.
Eenbedreigingofcalamiteitiseen(on)gewenstegebeurtenisdiezodanigenegatievegevol-genheeft,datdevoortgangvandevitalebedrijfsprocessenvanhete-depotwordtverstoordendedienstverleningnietkanwordenvoortgezet.
Hetkunnenbedreigingenzijndievoorkomenbijallepartijendiedeeluitmakenvanhete-depot:debeheerorganisatie,dezorgdrager(aanbieder)endeleveranciervandee-depot-bewaaromgeving.Hetkunnengeplandeenongeplandebedreigingenzijn.
Aanpak
Eriseenoverzichtgemaaktvandebedreigingenencalamiteitendiedevoortgangendienstverleningvanhete-depotkunnenverstoren.Perbedreigingisgeïnventariseerdwatdeafzonderlijkerisico’szijnvoordebeheerorganisatie,zorgdragerenleverancier.Perrisicoiseencategorieenfactorbepaaldenvastgelegdhoewehetrisicokunnenbeperken.Wehebbenbeschrevenwaarin(GemeenschappelijkeRegeling,ArchiefverordeningofContract-leverancier)enhoedetenemenmaatregelenenactiesmoetenwordenvastgelegd.Ookiserbepaaldvoorwelkemaatregelendebeheerorganisatie,dezorgdragerendeleverancierverantwoordelijkzijnenwiezeuitvoert.
Conclusie en aanbevelingen
Hetcontinuïteitsplaniseentactischplanwaarinwemaatregelenenactiesbeschrijvendienadereoperationeleuitwerkingvragenindeovereenkomstendiedee-depotpartnerssluitenendeplannendiezeopstellen.
Dewerkgroepadviseertdemaatregelenoptenemenin:• deGemeenschappelijkeRegelingtussenzorgdragersenbeheerorganisatie;• deArchiefverordeningvandeafzonderlijkezorgdragers;• hetcontract(SLA)tussendeleverancierendebeheerorganisatie.
Doorhetontbrekenvanuitgebreidejuridischeen(inkoop)technischekennisbinnendewerkgroepzijndebeschrevenmaatregelennietindetailuitgewerktvoordebovengenoem-deregelingen.
Dewerkgroepadviseert:• navaststellingvanhetcontinuïteitsplanjuristeneninkoperstevragenomdevoorge-
steldemaatregelenverderuittewerkenindebovengenoemderegelingen.• voordecontinuïteitvanhete-depotonderzoektedoennaardemogelijkeconsequenties
vandeverschillendesoortenovereenkomstentussenzorgdragersenbeheerorganisatie;• debrancheverenigingArchiefinstellingenNederland(BRAIN)teverzoekendeModel
Archiefverordeningaantepassenaandeinrichtingenhetgebruikvane-depots.
5
1 Algemeen
DitdocumentiseenkennisproductdatvervaardigdisalsonderdeelvanhetprojectE-depotAchterhoek.
1.1 Doel continuïteitsplan
DeopdrachtvoorditkennisproductisinhetprojectplanE-depotAchterhoekalsvolgtbeschreven:
Continuïteitsplan: na dit project moet duidelijk zijn welke eisen gesteld moeten worden aan een e-depot en de leverancier om overstappen mogelijk te maken, bijvoorbeeld bij calami-teiten, faillissement of beëindiging van een samenwerking.
Indebeschrijvingvandeopdrachtwordtalleengesprokenoverhetmogelijkmakenvan‘overstappen’:de‘exit-strategie’.InEisenDuurzaamDigitaalDepot(ED3)1wordteenbrederedefinitievaneencontinuïteitsplangegeven,namelijk:Eencontinuïteitsplanregelthoedebeheerorganisatiedeopgenomenarchiefbescheidenveiligkanstellen.
Nadiscussiebinnendewerkgroepenoverlegmetdeprojectgroependeopdrachtgeverisbeslotenhetvolgendeuitgangspunttehanterenvoorhetcontinuïteitsplan:
Hetcontinuïteitsplanbeschrijftwatergeregeldmoetwordenomdeopgenomenarchief-bescheidenveiligtestellentegenbedreigingen.Ditkunnenbedreigingenzijndievoorkomenbijallepartijendiedeeluitmakenvanhete-depot:deexterneleveranciervandee-depot-bewaaromgeving,debeheerorganisatieendezorgdrager.Hetkunnengeplande(bijv.taak-overdracht)enongeplande(bijv.faillissementofstoringen)bedreigingenzijn.
Eenbedreigingofcalamiteitiseen(on)gewenstegebeurtenisdiezodanigenegatievegevol-genheeft,datdevoortgangvandevitalebedrijfsprocessenvanhete-depotwordtverstoordendedienstverleningnietkanwordenvoortgezet.
1.2 Scope
Hetcontinuïteitsplanbeschrijftniethoedebeheerorganisatiehete-depotmoetbehe-ren.Deuitwerkingvandatbeleidstaatindekennisproducten‘BewaarenbeheerstrategieE-depotAchterhoek’en‘BeschikbaarstellingE-depotAchterhoek’.Deuitvoeringvanhetbeleidwordtregelmatiggetoetst,ziekennisproduct‘ToetsingskaderE-depotAchterhoek’.
Hetcontinuïteitsplanbeschrijftnietaanwelkeeisendeaanbiedermoetvoldoenbijhetaan-leverenvanarchieven,ziehiervoorkennisproduct‘ToepassingsprofielE-depotAchterhoek’.Hetcontinuïteitsplanisookgeenbeveiligingsplan,ontruimingsplanofbedrijfsnoodplan.Hetcontinuïteitsplanbeschrijftwatergeregeldmoetwordenomdeopgenomenarchief-bescheidenveiligtestellentegenbedreigingen.Hetiseentactischplanwaarinwemaat-
1 EisenDuurzaamDigitaalDepot(ED3),versie2december2012vandeLandelijkeVerenigingvanProvincialeArchiefinspecteurs(LOPAI).
6
regelenenactiesbeschrijvendienadereoperationeleuitwerkingvragenindedoordee-depotpartnerstesluitenovereenkomstenenoptestellenplannen.
1.3 Leeswijzer
Inhoofdstuk2iseenoverzichtopgenomenvanmogelijkebedreigingenaandekantvandezorgdrager,debeheerorganisatieendeIT-leverancier.Hierinzijntevensdeverschillenderisico’sopgenomen.Ookwordtbeschrevenwaarintenemenmaatregelenenactiesmoetenwordenvastgelegd.
Inhoofdstuk3gaanweuitvoerigerinopdetenemenmaatregelenombedreigingentebeperken.Daarbijgaanweinopdeactiesdiemoetenwordenuitgevoerdnaeencalamiteit.Devraag‘watkanwaarendoorwiewordengeregeldenwelkekwetsbaarhedenblijven?’staathierincentraal.
Inhoofdstuk4gaanweinopdevraag:wanneerendoorwiemoethetcontinuïteitsplaninwerkingwordengesteld?
7
2 Bedreigingen en risico’s E-depot Achterhoek
Hete-depotis‘hetgeheelvanorganisatie,beleid,processenenprocedures,financieelbeheer,personeel,databeheer,databeveiligingenaanwezigehard-ensoftwaredatduur-zaambeherenenraadplegenvandigitalearchiefbescheidenmogelijkmaakt’.
Devitalebedrijfsprocessenvanhete-depotzijn:• opnamevanarchiefbescheiden;• duurzaambeheervanarchiefbescheiden;• beschikbaarstellenvanarchiefbescheiden;• bedrijfsvoeringprocessen.
Omde‘normale’continuïteitvandezeprocessenteborgen,iseenaantalkennisproductenopgesteld.DitzijnhetToepassingsprofielmeteisenaandeoptenemenarchiefbescheiden,hetToetsingskader,hetvastgesteldebeleidindekennisproductenBeheer-enbewaar-strategieenBeschikbaarstelling,hetArchitectuuroverzichtenhetinzichtindefinanciëleconsequenties(Kostenoverzicht).
Daarnaastmoetookdecontinuïteitvandevitaleprocessenbijbedreigingenwordengewaarborgd.Ditzijnvragendiegesteldkunnenworden.• Welkebedreigingenofcalamiteitenkunnenvoorkomen?• Welkerisico’slopendeverschillendepartnersbijhete-depot?• Watkan/moetergeregeldwordenombedreigingentebeperkenenwelkeacties
moetenwordenuitgevoerdnaeencalamiteit?
Indetabelhieronderbeschrijvenwedeverschillendebedreigingendiekunnenvoorkomenbijdepartnersvanhete-depot.Ookwordtinhetkortaangegevenwaarmaatregelen(acties)moetenwordenopgenomenomdebedreigingtekunnenbeperken.Daarbijgaanweinopuittevoerenmaatregelennaeencalamiteit.Opdezemaatregelenenactiesgaanweinhoofdstuk3uitvoerigerin.
Alspartnersvanhete-depotwordenonderscheiden:• ZD:Dezorgdrager:aanbiederenookgebruikervandeoptenemenarchiefbescheiden.• BO:Debeheerorganisatie.• LC:DeIT-leverancier:deondernemerenleveranciervandebewaaromgeving.• Gebruikers(burgersenbedrijven):risico’sm.b.t.beschikbaarheidvandearchief-
bescheidenvoordegebruikerzijnbeschrevenbijderisico’svoordezorgdragerinzijnrolalsgebruiker.
Perbedreigingisaangegevenwelksoortrisicodebedreigingoplevertenhoehoogditrisicowordtingeschat(weging).Wemakeneenonderscheidtussendevolgenderisico’s2.
2 Indelingovergenomenvan:ConceptOntwerpselectielijstvoorgemeentenenintergemeentelijkeorganen2016v0.9
8
• Bestuurlijk-politiekrisico(BP):hetpotentiëlenadeeldatdeorganisatieondervindtindekwaliteitvansturingvandeorganisatieendepubliekeverantwoordingoverdehierovergenomenbeslissingen.
• Operationeelrisico(O):hetpotentiëlenadeeldatdeorganisatieondervindtindekwaliteitenmogelijkhedenvandeuitvoeringvandedoordeorganisatiegesteldedoelen.
• Juridischrisico(J):hetpotentiëlenadeeldatdeorganisatieondervindt,doordatdebelan-genvandeorganisatienietbehartigdkunnenwordeningeschillenmetderdepartijen.
• Financieelrisico(F):hetpotentiëlenadeeldatdeorganisatieondervindtindevormvanextrauitgaven,kostenofdeverminderingvaninkomsten.
Dewegingvanhetrisicoisopbasisvankans*impact:
Kans/Impact Klein(1) Middel(2) Groot(3)
Klein(1) Zeerlaag(1) Laag(2) Middel(3)
Middel(2) Laag(2) Middel(4) Hoog(6)
Groot(3) Middel(3) Hoog(6) Zeerhoog(9)
3
3
12
3 Maatregelen en acties om bedreigingen te voorkomen
Hetcontinuïteitsplanbeschrijftwatergeregeldmoetwordenomdeopgenomenarchief-bescheidenveiligtestellentegenbedreigingen.Hetiseentactischplanwaarinwemaat-regelenenactiesbeschrijvendienadereoperationeleuitwerkingvragenindedoordee-depotpartnerstesluitenovereenkomsten.
Hiernabeschrijvenweperovereenkomstwelkemaatregelenenactiesverdermoetenwordenuitgewerkt.
De opstellers van het continuïteitsplan hebben onvoldoende juridische en inkooptechnische kennis om de maatregelen en acties helemaal zelf uit te werken. Het is raadzaam om na het vaststellen van het continuïteitsplan hiervoor advies te vragen aan juristen en inkopers van de pilotorganisaties.
3.1 Gemeenschappelijke regeling
Hetuitgangspuntvoorditcontinuïteitsplanisdattussenallezorgdragersendebeheeror-ganisatieeenGemeenschappelijkeRegelingwordtafgesloten.OpditmomentzijnerookzorgdragersdiemetdebeheerorganisatieeenDienstverleningsovereenkomst(DVO)hebbenafgesloten.
Geadviseerd wordt om – voor de continuïteit van het e-depot – onderzoek te doen naar de mogelijke consequenties van de verschillende soorten overeenkomsten tussen zorgdragers en beheerorganisatie.
IndeGemeenschappelijkeRegelingtussendezorgdragersendebeheerorganisatiemoetenvoorwaardenwordenopgenomenoverdevolgendeonderwerpen:
In geval van opheffing, samenvoeging of splitsing beheereenheid van een zorgdragerZD Eigenaarschapnietduidelijk Toegangnietgeregeld(nieuwearchiefvormendebeheereenheid)BO Vastekostengelijkt.o.v.mindervolumeLC Continuïteitleveranciernietzeker
Omdatalleeneenbeheereenheid4bijeenzorgdragerkanwordenopgeheven,samengevoegd(meteenanderebeheereenheid)ofgesplitst,blijftdezorgdragerdezelfde.Eengevolgkanzijndattoegangsrechtenmoetenwordengewijzigd.Ookmoetdenieuweorganisatievandezorgdragerwordenvastgelegdvoornieuwovertebrengenarchiefbescheiden.
Voordebeheerorganisatieendeleverancierkanhetopheffenvaneenbeheereenheid(op-heffentaak)financiëleconsequentieshebben.Erzullenminderarchiefbescheidenwordenaangeboden.
4 ModelArchiefverordeningBRAIN:Beheereenheidiseendoorburgemeesterenwethoudersalszodanigaantewijzenorganisatieonderdeel,zelf-standigbelastmetdedocumentaireinformatievoorziening.
13
Bijopnamevantevernietigenarchiefbescheidenmoetvastgelegdwordenwieverantwoor-delijkisvooralopgenomen,nogtevernietigenarchiefbescheiden.
IndeGemeenschappelijkeRegelingmoetwordenopgenomendat:• dezorgdragerverantwoordelijkisvoorhettijdigmeldenvanwijzigingenintoegangtot
enhetbeheervandealopgenomenarchiefbescheiden;• dezorgdragerverantwoordelijkisvooreventuelefinanciëleconsequentiesvande
wijziging.
Overdracht van één of meer taken van een zorgdrager aan een ander overheidsorgaan of rechtspersoonZD Eigenaarschapnietduidelijk Toegangnietgeregeld NieuwarchiefvormendoverheidsorgaanofrechtspersoonBO Vastekostengelijkt.o.v.mindervolumeLC Continuïteitleveranciernietzeker
Alstakenwordenovergedragenaaneenanderoverheidsorgaanofrechtspersoondiegeenpartnerisvanhete-depot,moeteventueeltoegangwordengeregeldvooralovergebrachtearchiefbescheiden.Ookmoetenverwijzingenwordenopgenomennaararchiefbescheidenvanhetandereoverheidsorgaanofrechtspersoon.
IndeGemeenschappelijkeRegelingmoetwordenopgenomendat:• afsprakenmoetenwordenvastgelegdoverheteigenaarschapvanentoegangtotdeal
overgebrachtearchiefbescheidenenmogelijkewijzigingendaarin;• delatendezorgdragerverantwoordelijkisvooreventuelefinanciëleconsequentiesvan
dewijziging(ookbijv.afkoopindienalletakenwordenstopgezetbijopheffingzorgdra-ger).
Aandachtspunten:• WatalsditaanheteindevandelooptijdvandeGemeenschappelijkeRegelinggebeurt?• Watalsdenieuwezorgdragereenandere-depotaanwijst?
Opheffen beheerorganisatieZD Geenbeheeromgeving Kennisverliesoverbeheere-depot GeentoegangLC Continuïteitleveranciernietzeker
Bijhetopheffenvandebeheerorganisatiemoeteenanderebeheerorganisatiealletakenendegeheledienstverleningovernemen.Hetkanzijndatnietallepartnerskiezenvoordezelfdenieuwebeheerorganisatie.Ookhetcontractmetdeleveranciervervaltbijopheffingvandebeheerorganisatie.
IndeGemeenschappelijkeRegelingmoetwordenopgenomendateenopvolgingsplan(ofliquidatieplan)wordtopgesteldwaarin:• duurzametoegangtotenbeheervandearchiefbescheidenwordtgeregeld;• definanciëlegevolgenvandeopheffinginbeeldwordengebracht;• eenregelingwordtgetroffenomkennisverliestevoorkomen.
14
Deelname nieuwe zorgdrager(s) aan e-depotZD Verminderdedienstverlening.BO InrichtingbeheerorganisatienietberekendopmeerdeelnemersLC Capaciteitleverancierniettoereikend
Nieuwedeelnemersaanhete-depotmoetenvoldoenaandevoorwaardentotdeelnamezoalsisvastgelegdinhetToepassingsprofiel.Nieuwedeelnemersbetekenteentoenamevandeaangebodendata.Debeheerorganisatieendeleveranciermoetenhiervoortoegerustzijn.
IndeGemeenschappelijkeRegelingmoetwordenopgenomendat:• vóórdeelnamevannieuwezorgdragersdeorganisatorischeenfinanciëleconsequenties
voordebeheerorganisatieendeleverancierinbeeldmoetenzijngebracht;• dedienstverleningvooroude(ennieuwe)zorgdragersophetzelfdepeilmoetblijven;• besluitentotdeelnamevannieuwezorgdragersaanhete-depotdoorhetAlgemeen
Bestuurwordengenomen.
Uittreden zorgdrager(s) uit Gemeenschappelijke Regeling en daarmee uit e-depotZD Tekortbegrotingbeheerorganisatie HogerebijdrageoverblijvendedeelnemersBO TekortbegrotingLC Continuïteitleveranciernietzeker
HetuittredenvanzorgdragersuitdeGemeenschappelijkeRegelingenhete-depotkangrotefinanciëleconsequentieshebbenvoordeoverblijvendepartnersendeleverancier.
IndeGemeenschappelijkeRegelingmoetwordenopgenomendat:• hetvoornementotuittredentijdig(minimaaleenjaar)voorheteindevandelooptijdvan
deGemeenschappelijkeRegelingmoetwordengemeld;• debeheerorganisatieindatgevaldefinanciëleconsequentiesvanhetuittredeninkaart
brengtenvoorlegtaanhetAlgemeenBestuur;• debeheerorganisatietijdigdeIT-leverancieropdehoogtebrengtvandevoorgenomen
wijziging.
Overstap beheerorganisatie naar andere e-depot-leverancier (beëindiging contract)ZD VerminderdedienstverleningBO Beschadigingofverliesdatadoorexporterenenimporteren Geenofgebrekkigeondersteuningdoorvoormaligeleverancier
Overstapvandebeheerorganisatienaareenanderee-depotleverancierkangrotegevolgenhebbenvoordebeschikbaarheidvangegevensenarchiefbescheiden.Ditkanontstaandoorbeschadigingofverliesvaninformatietijdenshetexporterenenhetimporterenvangege-vensineennieuwe-depotsysteem.
IndeGemeenschappelijkeRegelingmoetenwordenopgenomendat:• hetvoornementotbeëindigingvanhetcontractmetdeIT-leveranciertijdig(minimaal1
jaarvoorafloopofbeëindiging)moetwordenvoorgelegdaanhetAlgemeenBestuur;• debeheerorganisatieeenplanvanaanpakopsteltenvoorlegtaanhetAlgemeenBestuur
voordezeoverstap.
15
Wijzigingen of wensen tot wijzigingen metadata en/of opslagformaten bij zorgdrager of beheerorganisatieZD Gebrekkigetoegankelijkheidarchiefbescheiden KostenvooraanpassingkoppelingenBO Gebrekkigebeschikbaarstellingarchiefbescheiden
Wijzigingenvanmetadataen/ofopslagformatenkunnengrotegevolgenhebbenvoordetoegangtotendebeschikbaarheidvandearchiefbescheiden.Ookkanhetinvloedhebbenopdeinrichtingvandeinformatieverwerkendesystemenbijdezorgdrager,dekoppelingdaarvanmethete-depotendeinrichtingvanhete-depotzelf.
IndeGemeenschappelijkeRegelingmoetwordenopgenomendat:• wensenofvoornemenstotwijzigingenvanmetadataen/ofopslagformatenmoe-
tenwordenbesprokeninhet(noginterichten)SIO5envoorgelegdaanhetAlgemeenBestuur;
• debeheerorganisatieeenimpactanalyseopsteltvoordevoorgenomenwijziging.
Informatie onvoldoende beveiligdZD Ongeoorloofdetoegangtoto.a.privacygevoeligeinformatieofongeautoriseerde aanpassingenincreatiefase BeschadigingvanarchiefbescheidenBO Ongeoorloofdetoegangtoto.a.beperktopenbareinformatie Beschadigingvanarchiefbescheiden
Onvoldoendebeveiligingvandeinformatiekanongeoorloofdetoegangtotenproblemenmetdebeschikbaarheidvandearchiefbescheidentotgevolghebben.
IndeGemeenschappelijkeRegelingmoetwordenopgenomendat:• debeheerorganisatieverantwoordelijkisvoorhethebbenenonderhoudenvaneen
actueelinformatiebeveiligingsplan;• debeheerorganisatietoezietdatdeIT-leveranciereenactueelinformatiebeveiligingsplan
heeft.
3.2 Archiefverordening
Indearchiefverordeningvandezorgdragermoetwordenopgenomendathete-depotisaangewezenalsbewaaromgevingvandedigitaaltebewarenarchiefbescheidenvandezorgdrager.
Ookafsprakenovereventueleuitplaatsingvantevernietigenarchiefbescheidenmoetenindearchiefverordeningwordenopgenomen.
Geadviseerd wordt om BRAIN te vragen de Model Archiefverordening aan te passen aan de inrichting en het gebruik van e-depots.
IndehuidigeModelArchiefverordeningisopgenomendatdezorgdragertijdigmededelingdoetaandearchivarisvaneenaantalwijzigingen.Bijdeelnameaaneene-depotishetdoenvaneenmededelingonvoldoende,omdatdeimpactvandewijzigingengroterkanzijndanineenanalogeomgeving.Dezorgdragermoetdaaromtijdigspecifiekeinformatieverstrek-
5 SIO:StrategischInformatieOverleg.
16
kenaandebeheerorganisatieoverdewijzigingeninoverlegmetdebeheerorganisatiedewijzigingendoorvoeren.Zonodigmoetvoorafeenimpactanalyseeneenimplementatieplanwordenopgesteld.
Hetgaatomdevolgendewijzigingen:
Opheffing, samenvoeging of splitsing beheereenheid zorgdragerZD Eigenaarschapnietduidelijk Toegangnietgeregeld(nieuwearchiefvormendebeheereenheid)BO Vastekostengelijkt.o.v.mindervolumeLC Continuïteitleveranciernietzeker
Overdracht van één of meer taken van een zorgdrager aan een ander overheidsorgaan of rechtspersoonZD Eigenaarschapnietduidelijk Toegangnietgeregeld NieuwearchiefvormendoverheidsorgaanofrechtspersoonBO Vastekostengelijkt.o.v.mindervolumeLC Continuïteitleveranciernietzeker
Uittreden zorgdrager(s) uit Gemeenschappelijke Regeling en daarmee uit e-depotZD Tekortbegrotingbeheerorganisatie HogerebijdrageoverblijvendedeelnemersBO TekortbegrotingLC Continuïteitleveranciernietzeker
Aanschaf nieuwe informatie verwerkende applicaties (duurzaam te bewaren informatie) door zorgdragerZD Kostenvoornieuwekoppelingen Geenkoppelingmogelijk
Wijzigingen of wensen tot wijzigingen metadata en/of opslagformaten bij zorgdrager of beheerorganisatieZD Gebrekkigetoegankelijkheidarchiefbescheiden KostenvooraanpassingkoppelingenBO Gebrekkigebeschikbaarstellingarchiefbescheiden
Indearchiefverordeningvandezorgdragersmoetopgenomenwordendat:• dezorgdragerverantwoordelijkisvoortijdiginformerenvandebeheerorganisatievan
(hetvoornementot)eenwijziging;• dezorgdragerenbeheerorganisatieverantwoordelijkzijnvoorhetzonodigopstellenvan
eenimpactanalyseenimplementatieplan.
3.3 Contract leverancier/Service Level Agreement (SLA)
Voordebeheerorganisatieisvanbelangomdeeisendiezijsteltaandecontinuïteitendekwaliteitvandedienstheldertehebbenendezeeisenoptenemeninhetcontract/SLAmetdeleverancier.Daarnaastdientdebeheerorganisatieafsprakenoptenemendiehaarinstaatstellenomtebeoordelenofdeleverancierdaadwerkelijkvoldoetenblijftvoldoenaandeafspraken.Hierbijkangedachtwordenaandevolgendezaken.
17
Naleving van wet- en regelgeving• Moetenhiervooraanvullendezakengeregeldworden?
Deleveranciermoetaankunnentonendathijenzijneventuelepartnersaandegel-dendeeisenvoldoen.
Beheersbaarheid van processen en systemen• Voldoetdeleverancieraandebeveiligingseisendieindeeigenorganisatiegelden?
Deeigenaarblijftverantwoordelijkenmoetdaarominstaatzijnomvasttestellenofditopdejuistewijzeisingevulddoordeleverancier;rechtopaudit.
• Zijndebeheerprocessenbijdeleverancierafdoendeingericht?Disasterrecoveryplan;backupstrategie;periodiektestenvanrecovery;goedkeurings-procesvoorwijzigingen;voldoendetestenvanwijzigingenvoordatzeinproductiewordengenomen;werkenmetfallbackscenarioomwijzigingenterugtekunnendraaien;detectievankwetsbaarheden;uitvoerensecurityscans;toegangsbeheer;audittrailsenlogging.
Gegevensbescherming• Iscontroleerbaarofverwerkingvangegevensplaatsvindtopeenveiligeenlegalemanier,
conformgeformuleerdeeisen?Opgeslagenofverwijderdegegevenszijnniettoegankelijkvoorderdepartijen;opslagalleeninafgesprokenrechtsgebieden;beveiligingvangegevenstransport;verificatievancorrecteoverdracht;permanenteverwijderingvanallevoorkomensbijvernietiging.
Overdracht• Isportabiliteitaantoonbaargegarandeerd?
Gebruikvanstandaardtechnologieënen–oplossingen(richtlijnenafspreken);eigenaar-schapentoegangtotgegevensbijovernameoffaillissement(Escrow-regeling;oprichtenvaneenstichting).
Inhetoverzichtwordendevolgendebedreigingenenrisico’sgenoemd:
Opheffing, samenvoeging of splitsing beheereenheid zorgdragerLC Continuïteitleveranciernietzeker
Overdracht van één of meer taken van een zorgdrager aan een ander overheidsorgaan of rechtspersoonLC Continuïteitleveranciernietzeker
Opheffen beheerorganisatieLC Continuïteitleveranciernietzeker
Deelname nieuwe zorgdrager(s) aan e-depotLC Capaciteitleverancierniettoereikend
Uittreden zorgdrager(s) uit Gemeenschappelijke Regeling en daarmee uit e-depotLC Continuïteitleveranciernietzeker
Overstap beheerorganisatie naar ander e-depot-leverancier (beëindiging contract)BO Beschadigingofverliesdatadoorexporterenenimporteren Geenofgebrekkigeondersteuningdoorvoormaligeleverancier
18
Faillissement leverancierZD EigenaarschaparchiefbescheidenkanbetwistwordenBO Geentoegangtotofverliesvanarchiefbescheiden
Overname leverancierBO Wijzigingcontractvoorwaarden
Aflopen contract met leverancier (verlenging)BO Wijzigingcontractvoorwaarden LeverancierwilnietverlengenLC Aanbestedingsprocedure Wijzigingcontract Eindecontract
Wijzigingen of wensen tot wijzigingen metadata en/of opslagformaten bij zorgdrager of beheerorganisatieZD Gebrekkigetoegankelijkheidarchiefbescheiden
Verminderde of geen beschikbaarheid archiefbescheiden door storingen of calamiteitenZD Informatieniettijdigbeschikbaar Probleemtijdensuitplaatsen/overbrengingBO VerstoortdedienstverleningLC Nietgoedvoorhetimago
Informatie onvoldoende beveiligdBO Ongeoorloofdetoegangtoto.a.beperktopenbareinformatie BeschadigingvanarchiefbescheidenLC Nietgoedvoorhetimago
IndeServiceLevelAgreement(en/ofcontract)tussendebeheerorganisatieendeleveran-ciermoetendaaromafsprakenwordenopgenomenoverdevolgendezaken.
• Contractueleafsprakenoverhetteleverenserviceniveau,beschikbaarheidenkosten.• Contractueleafsprakenoveraanpassingen(o.a.beëindiging)vandedienstverlening.• Contractueleafsprakenoveronderhoud,calamiteitenenescalaties.• ContractueleafsprakenovertakenenverantwoordelijkhedenSLA-partijen.• Operationeleafsprakenoveropname,toegang,wijzigingen,etc.• Verplichtingbeheerorganisatiebijopheffenvandezeorganisatie.• Deelnamenieuwezorgdrager(s)aane-depot.• Uittredenzorgdrager(s)uite-depot.• Overstapzorgdragernaarandere-depot.• Exit-strategiebijoverstapbeheerorganisatienaarandereleverancier.• Hettijdigvoerenvannieuwecontractbesprekingen.• Goede(geteste)exit-strategie(ziebijlage1).• StichtingofEscrowregeling.• Hettijdiginformeren(minimaaleenjaarvoorafloopofbeëindiging)vanwijzigingenbijde
beheerorganisatie.
19
4 Verantwoordelijkheden partners E-depot Achterhoek
Inhetvorigehoofdstukzijndemaatregelenbeschrevendienodigzijnomdecontinuïteitvanhete-depotoplangetermijnteborgen.Indithoofdstukisbeschrevenwieverantwoordelijkisvoorwelkemaatregelen.
4.1 De zorgdrager
• Verantwoordelijkvoordeinformatieendekwaliteitvandeinformatie.• OpdrachtgeverGemeenschappelijkeRegeling.• Beleidomtrentsoftwareinrichting/keuzes(alsinformatievormer).
4.2 De beheerorganisatie
• Verantwoordelijkvoordebeheerorganisatieenomgevingwaarininformatieduurzaamwordtbewaard.
• InrichtenED3beheerorganisatie.• OpstellenGemeenschappelijkeRegeling.• OpstellenLiquidatieplan.• OpstellenNoodplan.• Stellenvan(kwaliteits)eisenaandedienstenvandeIT-leverancierenopbasisdaarvan
overeenkomenvaneendienstenniveaumetdeIT-leverancier(ditwordtvastgelegdindeSLA).
• StellenvaneisentenaanzienvaneenvangnetinhetgevalvanfaillissementIT-leverancier.
4.3 De IT-leverancier
• Gedelegeerdeverantwoordelijkheidvoorhetbeheersysteemwaarinformatieduurzaamwordtbewaard.
• UitvoerenSLA.• Vangnetinhetgevalvanfaillissement(‘continuïteitstichting’ofEscrow)regelen.
20
Bijlage 1. Exit-strategie
Eenexit-strategiemoetzoweleenmigratienaareenandereleverancieralsnaardeinterneICT-omgevingbeschrijven.Omeenexituittekunnenvoerenishetnoodzakelijkominternkennisoptebouwenentebehoudenoverdedienst.
Tenminsteopnemen(zohelderengedetailleerdmogelijkbeschrijven):• Scopeenduurvandeondersteuningdiedeleveranciergaatleverenaantransitie. -Planmetbeschrijvingbenodigdetijd,takenenverantwoordelijkhedenvooreenover-
dracht(zievoorbeeldenpost-terminationassistance). -Vooreengoedeovergangmoetdeleverancierbereidzijnomsamentewerkenmet
deafnemereneventueleandereleveranciersenbereidzijnomdeservicevooreenbepaaldetijdtecontinuerennabeëindiging.
• Afsprakenoverdekostenofdekostenverdelingvoordeondersteuning -Kostendieinrekeninggebrachtwordeninverbandmetafschrijvingvaninvesteringen
dienenelkjaarverlaagdteworden(vraagofdathieraandeordeis).• Afsprakenoverdewijzewaaropdedatawordtovergedragen. -Eisenaanhoededatabeschikbaarkomt(platform:platformonafhankelijkformaat;
drager).• Afsprakenoververnietigingvangegevensbijdeleveranciernaoverdracht.• Afsprakenoverovernamevanbezittingenofcontractenmetderdendiedeafnemer
nodigheeftomdediensttekunnen(laten)continueren. -Watentegenwelkekosten? -Watgebeurtermetbezittingenendienstendiemetandereklantenwordengedeeld?• Afsprakenovermogelijkhedentotinhuurvanhetpersoneeldatdedienstheeftgeleverd.• Verplichtingvandeleverancieromkennisoverdedienstenovertedragen(watgebeurt
ermetspecifiekeIPvoorhetleverenvandedienst?).• Verplichtingvoorbeidepartijenomperiodiekhetexit-plantecontrolerenenteupdaten
gedurendedelooptijd.
21
Bijlage 2. Afkortingen en begrippen
Afkortingenlijst
ADA AangebodendigitaalarchiefstukBDA BeschikbaardigitaalarchiefstukBRAIN BrancheverenigingArchiefinstellingenNederlandDA DigitaalArchiefstukDRP DisasterRecoveryPlan(CalamiteitenHerstelPlan)DVO DienstverleningsovereenkomstECAL ErfgoedcentrumAchterhoekenLiemersED3 EisenDuurzaamDigitaalDepot GR GemeenschappelijkeregelingICTU ICTUitvoeringsorganisatieoverheidsdienstenKING KwaliteitsInstituutNederlandseGemeentenDMS DocumentManagementSysteemLOPAI LandelijkOverlegvanProvincialeArchiefinspecteursOAIS OpenArchivalInformationSystem(ISO14721)ODA OpgenomendigitaalarchiefstukPDCA PlanDoCheckActcyclusRAZ RegionaalArchiefZutphenRMA RecordManagementApplicatie SIO StrategischInformatieOverleg SLA ServiceLevelAgreementTMLO ToepassingsprofielMetadateringLokaleOverhedenWRIJ WaterschapRijnenIJsselXML ExtensibleMarkupLanguage
Begrippenlijst
Aanbieder Deaanbiederis,inhetOAIS-model,deorganisatiediededigitalearchiefbescheidenaanbiedtaanhete-depot.
Adapter Eenhulpmiddeldattweedelenverbindtdienietzondermeeraanelkaarpassen.
Aggregatieniveau Hetniveauwaaropeenrecordkanwordenbeschreven.
Archiefstuk Informatieobject,ongeachtzijnvorm,metdebijbehorendemetadataontvangenofopgemaaktdooreennatuurlijkeen/ofrechtspersoonbijdeuitvoeringvantakenenbewaardomtevoldoenaanwettelijkeen/ofadministratieveeisenen/ofmaatschappelijkebehoeften.
Audit Onderzoeknaarhetfunctionerenvaneenbedrijfalsgeheelofoponderdelen.
Audit trails Controletrajecten.
Baseline Informatie- DeBaselineInformatiehuishoudingGemeentenisbeoogdhuishouding Gemeenten alshetalgemene,voorallegemeentenenvooralleonder-
22
delenvandegemeente-ooksamenwerkingsverbandenenuitvoerendediensten-geldendenormenkadervoorinforma-tiebeheer,datdetoegankelijkheidenbetrouwbaarheidvanoverheidsinformatiebevordert.
Bewaaromgeving Hetgeheelvanruimten,apparatuur,programmatuurensysteemprocedureswaarmeedebeheerorganisatieinstaatisdigitaleinformatietebeheren.
Bitdiepte OfKleurdiepte.Meeteenheidvoordehoeveelheidkleurendieeenenkelepuntkanweergeven.
Compressietechniek Techniekomdeomvangvaneenbestandteverkleinen.
Conformiteit Inovereenstemmingmet.
Contextinformatie Metadatadieeenbeschrijvinggevenvanderelatiestussenbrongegevensenhunomgeving.
Conversie Omzettingofoverzettingvangegevensineenanderbestandsformaat.
Decryptiesleutel Eenhulpmiddelvoorhetweerleesbaarmakenvanvercijferdegegevens.
Digitale archiefbescheiden Archiefbescheidendieuitsluitendmetbesturingsprogram-matuuroftoepassingsprogrammatuurgeraadpleegdkunnenworden(Archiefregeling).
Meervoudvandigitaalarchiefstuk(ED3).Deaangeboden(ADA),opgenomen(ODA),terbeschikkinggestelde(BDA)duurzaamtebewarenenbeherendigitaleinformatie-objecteninclusiefdebijbehorendemetadata.
Digitaal archiefstuk HetDAishetenkelvoudvandigitalearchiefbescheiden.
Digitaal bronbestand Bestanddatdoordezorgdragerwordtaangeleverdaandebeheerorganisatievanhete-depot.
Digitale handtekening Eenmethodevoorhetbevestigenvandejuistheidvandedigitaleinformatie.
E-conservator Eenfunctionarisverantwoordelijkvoordeopname,toegankelijkheidenduurzaambehoudvandigitalearchief-bescheideninhete-depot.
E-depot Hetgeheelvanorganisatie,beleid,processenenprocedures,financieelbeheer,personeel,databeheer,databeveiligingenaanwezigehard-ensoftwaredatduurzaambeherenenraadplegenvandigitalearchiefbescheidenmogelijkmaakt.
ED3 EisenDuurzaamDigitaalDepotisbinnendeNederlandsearchiefwetgevingeentoetsingskadervoorlangetermijnbe-heervanblijvendtebewarendigitaleinformatie.
Emulatie Nabootsenenreconstruerenvanoriginelehard-ensoftwarezodatdeoriginelecomputerbestandeninhunoorspronkelijkformaatraadpleegbaarzijn.
Encryptietechniek Hetcoderenvangegevensopbasisvaneenbepaaldalgoritme.Deversleuteldegegevenskunnenlaterweergedecrypteerdworden.
23
Escrow overeenkomst Afspraaktusseneensoftwarehuisenzijnklantomdesoft-wareteplaatseninhandenvaneenonafhankelijkederde,diedezebewaartenineenomschrevensituatieoverdraagtaaneenofmeeranderepersonen.
Eventplan Planwaarineenactiviteitofgebeurtenisisopgenomendieindetoekomstmoet/zalgebeuren.
Extensible Markup Language XMLiseenstandaardvanhetWorldWideWebConsortiumvoordesyntaxisvanformeleopmaaktalenwaarmeemengestructureerdegegevenskanweergevenindevormvanplattetekst.
Fallbackscenario Terugvalscenario.Eenalternatievewerkwijzealsderegu-lierewerkwijzealsgevolgvaneenincidentnietmeertothetgewensteresultaatleidt.
ICT-strategie EendocumentoverdebijdragevanICTaandedoelstellingenendecontinuïteitvandeorganisatie.
Identity management Hetgeheelvanprocessenenhulpmiddelenwaarmeeeenidentiteitkanwordengeverifieerdenkanwordengekoppeldaandejuistetoegangsrechten.
Integriteitsinformatie Metadatawaarmeedefysiekeintegriteitvandebrongege-vensgecontroleerdkanworden.
ISO 14721 Spacedataandinformationtransfersystems–Openarchi-valinformationsystem(OAIS)–Referencemodel.
ISO 16363 Spacedataandinformationtransfersystems–Auditandcertificationoftrustworthydigitalrepositories.
Liquidatieplan Eenplanwaarinstaatwatermoetwordengeregeldomeenorganisatie/bedrijfopteheffen.
Logging Hetvastleggenineenlog,bijvoorbeeldeensysteemlogofeensecuritylog,vanfeitelijkuitgevoerdebewerkingenen/ofpogingendaartoe.
Malware Iselkesoftwarediegebruiktwordtomcomputersystementeverstoren,gevoeligeinformatieteverzamelenoftoegangtekrijgentotprivatecomputersystemen.Computervirus,spyware,computerworm,Trojaanspaard,etc.
Metadata Metadatazijngegevens(data)overgegevens(data).Naastdegegevensoverinhoud,structuurenvormvanarchiefbe-scheidenmoetenbijdigitalearchiefbescheidenookdetech-nischekenmerken(bijv.bestandsformaat,soft-ofhardware-afhankelijkheden)wordenvastgelegdenbewaard.Ditisvanbelangomdeomstandighedenwaarindedatazijngemaaktenbewaardtekunnenherleidenendaarmeededigitalearchiefbescheidenteallentijdetekunnenreconstrueren.
Metadataschema Logischestructuurdiehetverbandaangeefttussenelemen-tenvanmetagegevens,doorgaansdoorregelsvasttestellenvoorhetgebruikenbeheervanmetagegevens,vooralmetbetrekkingtotdesemantiek,desyntaxisendekeuzevrijheid(matevanverplichting)vanwaarden.
24
Migratie Overzettingvangegevensentoepassingsprogrammatuurnaareenanderplatform,metbehoudvanauthenticiteit,integriteit,betrouwbaarheidenbruikbaarheid.
NEN-ISO 23081 Informatieendocumentatie-Processenvoorinformatie-enarchiefbeheer–Metagegevensvoorarchiefbescheiden.
NEN-ISO 15489 Informatieendocumentatie–Informatie-enarchief-management.
NEN-ISO 27001 Informatietechnologie–Beveiligingstechnieken–Managementsystemenvoorinformatiebeveiliging–Eisen.
NEN 2082 Eisenvoorfunctionaliteitvaninformatie-enarchief-managementinprogrammatuur.
NEN-ISO 16175 Informatieendocumentatie:principesenfunctioneleeisenvoorarchiefbescheidenineenelektronischekantooromge-ving.
Ontsluitingsinformatie Metadata,voornamelijkbestaandeuitinhoudelijkebe-schrijvingen,diehetvinden,ordenenenopvragenvanhetopgenomendigitalearchiefstuk(ODA)indebewaaromge-vingmogelijkmaken.Deontsluitingsinformatieisspecifiekvoordebewaaromgevingbijdeopnamealseensoortindexgegenereerdoftoegekendenwordtgewoonlijkafgeleidvandebeheerinformatie.
Opvolgingsplan Planwaarinwordtgeregeldwatermoetgebeurenalsdebeheerorganisatieophoudttebestaan.
Overbrenging Procedurewaarbijeenzorgdragervaneenoverheidsorgaanarchiefbescheidenoverdraagtaandearchiefbeheerdervaneenarchiefbewaarplaats.
Pixel Eengekleurdepuntophetbeeldschermvandecomputerofineendigitaalbeeld.Veelpuntenbijelkaargeveneenbeeld.
Portabiliteit MatevanintegratiemetdebestaandeIT-infrastructuur.
Preservering Procesvanbewarenenbeherenbinnenhetarchiefsysteem.Hetgeheelvanactiviteitengerichtopdezorgvoorhettech-nischeenintellectuelebehoudvanarchiefdocumenten.
Recovery Herstellenvandatanadataverlies.
Relatie-informatie Metadatadiebrongegevensenbeheerinformatievanhetdi-gitalearchiefstuk(DA)alséénlogischgeheelverbindenvooridentificatieengebruik.
Representatie-informatie Metadatadienodigzijnomhetdigitalebronobjectreprodu-ceerbaar(leesbaar)enjuistinterpreteerbaartemaken.Ditkaneenbeschrijvingvanhard-ensoftwareofeensamen-vatting/beschrijvingvandejuisteinterpretatievanhetdigitaalbronobjectzijn.
Resolutie Termomhetaantalgebruiktepixelsopbijvoorbeeldeenbeeldschermtebeschrijven.Hoehogerdataantal,hoehogerdemaximaleresolutievanhetscherm.
25
Security scans Eenscanomzwakkepuntenindeinformatiebeveiligingtelatenzien.
Semantiek Wetenschapdiezichbezighoudtmetdebetekenisvansymboleneninhetbijzondervantaalenwoorden.
Syntax Devormenstructuurvandeinformatie.
Toegangsinformatie Metadatadie(wettelijke)beperkingenvandetoegangtotbrongegevensbeschrijvenentevensdebijopnameover-eengekomenvoorwaardenvoortoegangenverspreidingbevatten.Hierondervallenauteursrechten,licentierechten,technischebeperkingen,openbaarheidsbeperkingenentoegangscontrole.
Uitplaatsing Hetplaatsenvantebewarenentevernietigendigitalearchiefbescheidenineene-depotvoordatdezemoetenwordenovergebrachtofvernietigd.
Validatie Hetcontrolerenvaneenwaardeopgeldigheidofjuistheid.
Verwijzingsinformatie Metadata,diedeuniekekenmerken(‘identifiers’)voordebrongegevensbevatteneneenduidigeverwijzingnaarbrongegevensmogelijkmaakt,ookvoorexternesystemen.
Virtual machine Eencomputerprogrammadateencomputernabootst.
Zaakgericht werken Eenconceptdathelptomdigitaaltewerkenentearchive-ren.
Zorgdragers Degenediebijofkrachtensdewetisbelastmetdezorgvoordearchiefbescheiden(Archiefwet1995,art.1).