Blijft mijn RMA compliant meVEN 2082
B
1
Medio 2008 is na een tamelijk lang
durige bevalling NEN 2082 geboren. Voor
de weinigen in ons vakgebied die dit niets
zegt: NEN 2082 is de Nederlandse norm
waarin de eisen staan opgesomd voor de
functionaliteit van informatie- en archief-
management in programmatuur. Met
andere woorden: de norm die aangeeft
of er met een bepaalde applicatie verant
woord digitaal gearchiveerd kan en, wet
telijk gezien, dus ook mag worden.
Een stap in de goede richting, maar het
enkel en alleen vaststellen van die norm
is niet genoeg. Organisaties moeten de
norm niet alleen omarmen maar ook
hanteren, zowel voor nieuwe als voor
bestaande applicaties. Maar is het vol
doende om te eisen dat de leverancier een
applicatie levert die aan de norm voldoet?
Het ligt helaas gecompliceerder.
Als gecontroleerd moet worden of
met behulp van een applicatie verant
woord digitaal gearchiveerd kan worden,
kunnen drie stadia van 'certificering' wor
den onderscheiden:
1. Is de applicatie zodanig in te richten
dat wordt voldaan aan de eisen van
NEN 2082?
2. Is de applicatie ingericht conform NEN
2082 en de overige kaders?
3. Zijn de digitale bedrijfsprocessen zoda
nig ingericht dat verantwoord digitaal
archiveren wordt afgedwongen?
In het geval dat een applicatie met
een functionaliteit voor informatie- en
archiefmanagement wordt aangeschaft, is
het noodzakelijk dat de leverancier garan
deert dat de applicatie zodanig kan wor
den ingericht dat deze voldoet aan NEN
2082. Deze eis kan bijvoorbeeld worden
opgenomen in het programma van eisen
bij de offerteaanvraag. Als afnemer van
de software vraag je dus garanties aan de
leverancier. Dit zijn met name garanties
die betrekking hebben op de mogelijkhe
den en de onmogelijkheden van de soft
ware in relatie tot de eisen in NEN 2082.
Kant-en-klare applicaties bestaan niet.
Als een applicatie wordt aangeschaft,
heeft deze meestal de kenmerken van een
bouwdoos, die uit een aantal modules
bestaat en die (hopelijk) geheel volgens
de gevraagde specificaties is in te richten.
De leverancier moet hiervoor een garan
tieverklaring afgeven, die onderbouwd is
met een rapport van een onafhankelijk
certificeringbureau. Dergelijke bureaus
bestaan, bijvoorbeeld het European
Certification Bureau Nederland.
De certificering bij de aanschaf is ech
ter een momentopname. Elke applicatie
wordt regelmatig bijgewerkt met updates
en patches en eens in de zoveel tijd ver
schijnen er ook nieuwe versies van de
software. Dat betekent dat certificering
van een applicatie bij de aanschaf niet
voldoende is. Met de leverancier moet
dus de afspraak worden gemaakt dat de
inrichting van de 'bouwdoos', ook als
deze wordt aangepast, compliant blijft
met NEN 2082. Dit moet bij voorkeur
bij de aanschaf, in het aanbestedingstra
ject, worden geregeld. Over het vervolg
kunnen dan nadere afspraken worden
gemaakt in het af te sluiten onderhouds
contract. Hierin kunnen ook duide
lijke afspraken worden gemaakt over de
vorm van de garantiestelling bij patches,
updates en versiewijzigingen. Omdat cer
tificering door een extern bureau nogal
kostbaar is, zou ik me voor kunnen stellen
dat externe certificering alleen wordt ver
langd bij versiewijzigingen. Voor updates
en patches kan dan genoegen worden
genomen met een garantieverklaring van
de leverancier.
Nadat de applicatie is aangeschaft,
moet deze worden ingericht volgens de
eisen en wensen van de organisatie. Ook
de ingerichte applicatie moet voldoen
aan de kaders voor verantwoord digi
taal archiveren. Naast de al genoemde
NEN 2082 geldt hier ook andere toepas
selijke wet- en regelgeving. Te denken
valt hier aan de Archiefregelingen (die
momenteel worden herzien), maar ook
aan regelingen van de eigen organisatie,
zoals de Archiefverordening, het Besluit
Informatiebeheer en mogelijk ook nog
regels voortvloeiend uit bijzondere wet
en regelgeving.
De inrichting en het beheer van een
dergelijke applicatie is cruciaal om ver
antwoord digitaal te kunnen archiveren.
De organisatie van de processen rond
om inrichting en beheer moet dan ook
helemaal tiptop in orde zijn. Het betreft
minimaal ITIL-processen (of de gebruikte
equivalenten), aangevuld met de schedu
ling van de systeembeheerprocessen, de
specifieke backup/recovery-procedure, de
vastlegging van audittrails of logboeken
aangaande de processen van systeembe
heer en de toetsing van deze processen.
En dit alles zal gecontroleerd moeten
worden, wederom niet alleen bij de eerste
inrichting, maar ook bij elke wijziging of
aanpassing van de applicatie, hoe klein
ook. Dit soort wijzigingen of aanpassin
gen kunnen het gevolg zijn van updates
of patches van de applicatie, maar ook
van inrichtingswensen van de gebruikers
van het systeem en zelfs als gevolg van
technische problemen. Wat bijvoorbeeld
te denken als de applicatiebeheerder de
auditmodule tijdelijk even uitzet, omdat
hiermee een overbelast netwerk wordt
ontlast?
Doordat voor dergelijke applicaties nog
geen kwaliteitszorgsystemen zijn inge
richt, is de eerstaangewezen instantie
hiervoor de Archiefinspectie, als toezicht
houder op de naleving van de regels met
betrekking tot het beheer.
11
Van elk bedrijfsproces dat door de
applicatie wordt ondersteund, zal moeten
worden nagegaan of deze zodanig is inge
richt dat verantwoord digitaal archiveren
wordt afgedwongen. Dit gaat behoorlijk
ver. Niet alleen de rollen van de procesme
dewerkers, maar ook de structurering van
het bedrijfsproces, de documentstromen,
de documenttypen, de dossierindelin
gen en de autorisaties worden getoetst
aan de kaders. Ook hier is momenteel
de Archiefinspectie de instantie die dit
controleert. De eigenaar van een bedrijfs
proces is ervoor verantwoordelijk dat de
controle wordt uitgevoerd, voordat het
proces 'in productie' gaat. Deze controles
moeten wederom niet alleen bij de eerste
inrichting worden verricht, maar ook bij
alle tussentijdse wijzigingen.
Een probleem schetsen en analyseren
in een kort artikel is niet zo verschrikkelijk
moeilijk. Maar hoe dit in de praktijk moet
worden opgelost, is een stuk lastiger. Het
kan zeker niet worden aangepakt door
alle verantwoordelijkheid voor controle
op het bord van de archiefinspectie te leg
gen, want dat gaat niet werken. Hiervoor
is de huidige capaciteit van bijvoorbeeld
de gemeentelijke archiefinspectie, als die
al is ingevuld, vaak onvoldoende. Hoe
zouden we het dan moeten oplossen?
Een werkbare oplossing is alleen mogelijk
door het invoeren van een kwaliteitszorg
systeem voor informatie- en archiefma
nagement in de programmatuur, waarbij
voor iedere uitvoerende in de bedrijfspro
cessen een rol is weggelegd. Dit betekent
niet alleen een rol voor het technisch
en inhoudelijk beheer (applicatiebeheer,
systeembeheer), maar ook voor de inrich
ting (proceseigenaar, documentaire infor
matievoorziening en archivaris) en zelfs
het management.
Sinds de aanschaf, inrichting en inge
bruikname van de Nijmeegse RMA, die
indertijd nog volgens ReMANO is gecer
tificeerd, leeft het besef dat voor verant
woorde digitale archivering het nodige
geregeld moet worden. Waar regelgeving
en normen tekortschoten of onduidelijk
waren, heeft Nijmegen, met het Regionaal
Archief Nijmegen (RAN) als trekker, eigen
kaders opgesteld. Deze kaders2, vastgesteld
door de zorgdrager in 2006, zijn inmid
dels aan herziening toe. Op dit moment
is een kleine werkgroep
bezig om de kaders aan
de gewijzigde wet- en
regelgeving, normering
en de behoeften van de
organisatie aan te pas
sen. Vervolgens zullen
de kaders wederom door
de zorgdrager worden
vastgesteld. Het is de
bedoeling dat de aanzet
tot een kwaliteitszorg
systeem, zoals boven
geschetst, hierin wordt
opgenomen.
De archiefinspectie van
het RAN heeft, met
hulp van Geert-Jan van
Bussel, de eisen die wor
den genoemd in NEN
2082, NEN-ISO 15489
en alle archiefwet- en
regelgeving, toegedeeld
aan de verschillende
stadia van certificering
en naar de verschillende
rollen die onderschei
den kunnen worden. De eisen zullen daar
na moeten worden verwerkt in checklists
en meldingen, die in de verschillende
bedrijfsprocessen moeten worden geïnte
greerd. Dit is lastig en zal nog de nodige
inzet kosten. Daarna komt de implemen
tatie en ook hier zal een forse inspanning
moeten worden geleverd. Maar wel een
inspanning die, naar mijn mening, zeker
geen desinvestering is.3
l6
17
Door Jan Beens
Met de vaststelling van NEN 2082 is er een
toetsbaar kader voor Record Management
Applicaties (RMA's). Maar een applicatie
is al na korte tijd niet meer identiek aan de
applicatie die door de leverancier is geleverd.
Centrale vraag is dus: hoe toets ik of mijn
applicatie1 compliant blijft? In dit artikel mijn
persoonlijke visie hierop, als aanzet tot een
mogelijke discussie. Het verzoek is dan ook
om niet via mijn mailbox te reageren, maar
via het Archiefforum (http://forum.archieven,
org), zodat iedere deelnemer aan dit forum
kan meelezen en hopelijk geprikkeld wordt
om aan de discussie deel te nemen.
Stadia voor certificering
Een zaak voor de leverancier
Digitaal informatie- en archiefmanagement blijft een actu
eel onderwerp (broniWikimedia).
Een taak voor de organisatie
Een verplichting voor de proceseigenaar
En nu de uitvoering
Het Regionaal Archief Nijmegen (foto RAN).
Jan Beens is archiefinspecteur bij de
gemeente Nijmegen.
Noten
1 Met het begrip 'applicaties' wordt in dit arti
kel bedoeld: een applicatie waarin digitaal
gearchiveerd gaat worden.
2 Nadere regels rondom digitale archivering:
(http://www2.nijmegen.nl/w0nen/geschiede-
nis_archeologie/Archief/informatie/vakgeno-
ten/digitale_archivering).
3 Een voorzet voor de eisen en de indeling is
nu reeds te vinden op de site van het RAN
(http//:www.nijmegen.nl/archief -> 'Praktische
Informatie' -> 'Vakgenoten') en op de site
van Van Bussel Document Services (http://
www.vbds.nl).
archievenblad
maart 2009
maart 2009
archievenblad