1
I
Sturen, faciliteren en uitvoeren
Information Governance
Destellingen
De archivaris speelt een rol als steller van kaders en als Information Auditor
De Information Auditor speelt een effectieve rol als deze gebruik maakt van
voorlichting, kennisdeling, educatie en toetsing
Verbeteren en vernieuwen: Kwaliteitsmanagement
VERGEZICHT
zijn als dat wel zou gebeuren. Een voorbeeld van zo'n inrichting in een Almeerse
context, waarbij de informatiebeheerplannen centraal staan, zou kunnen zijn:
De informatiebeheerplannen worden samengesteld in de tweede Line of Defense;
De plannen zijn input voor de eerste Line of Defense, en kunnen daar gecom
bineerd worden met maatregelen op het gebied van facilitair management,
Human Resource Management, ICT etc., etc.;
De inhoud en de toepassing van de informatiebeheerplannen zijn in de Third
Line of Defense object van audit en control op informatiebeheer, onder andere in
de context van archieftoezicht.
Het schema met diagram 4 geeft weer hoe sturing, facilitering, uitvoering en control
van informatiebeheer in een systeem vorm zouden kunnen worden gegeven.
Dit schema is samengesteld in de geest van het concept van Three Lines of Defense,
maar wijkt in de opzet en terminologie om praktische redenen enigszins af. Het uit
gangspunt is dat het management van de beheereenheden verantwoordelijk is voor
de sturing en de uitvoering van informatiebeheerprocessen. Tevens zijn zij verant
woordelijk voor voldoende facilitering. De sturing, facilitering en uitvoering zijn
vervolgens obj eet van kwaliteitszorg, risicomanagement en control van die beheer
eenheden. De eerste lijn onderhoudt het informatiebeheerplan en stelt verklaringen
op: in control-statements.
Faciliteren van
beheereenheid
Sturen van
beheereenheid
Bestuurlijk beleid
Ambtelijk beleid
Informatiemanagement
Kwaliteitsmanagement
Personeelsmanagement
ICT-beheer
Uitvoeren in
beheereenheid
Opname
Beheer
Beschikbaarstelling
le lijn: Risicomanagement, Control en Kwaliteitszorg beheereenheden
2e lijn: Security Officer, Information Auditor, Privacy Officer
Extern: IBT (provincie), externe audits (GBA), accountant
Diagram 4. Toepassing van Information Governance
34
FRANS SMIT KRIJGEN ARCHIEFINSPECTEURS KIEUWEN?
Deze zienswijze past naadloos in de zienswijze van David Bearman over de toekom
stige rol van de archivaris:the archivist becomes something of an information
auditor, examining plans for systems before their development or acquisition and
testing regularly that management requirements, including archival requirements,
are being met in the implementation. "28
Deze eerste lijn wordt ondersteund en gecontroleerd door een aantal functionaris
sen die ieder vanuit hun eigen expertise een bijdrage leveren: de Security Officer voor
wat betreft informatiebeveiliging, de Privacy Officer betreffende bescherming van
persoonsgegevens en de Information Auditor (laten we de benaming van Bearman in
dit artikel blijven volgen) met betrekking tot duurzaam informatiebeheer. Deze
tweede lijn geeft vervolgens input aan externe auditors en aan accountants.
Van inspecteur naar Information Auditor
De plaats van de gemeentelijke archiefinspecteur in bovenstaand schema is in de
tweede lijn. De archiefinspecteur dient voor de gehele gemeentelijke organisatie vast
te stellen of het informatiebeheer voldoet aan wet- en regelgeving. Daar houdt echter
in de praktijk het werk van deze functionaris niet op. De meerwaarde van de archief
inspecteur ligt er vooral in dat deze een bijdrage levert aan de kwaliteitsverbetering
van het informatiebeheer van de gemeente. Toezicht is daarbij de formele rol, maar
de facto worden voorlichting, kennisdeling en advisering in de organisatie ervaren
als belangrijker bijdragen. Het praktijkvoorbeeld in Almere leert dat het manage
mentprogramma Informatie op Orde waarschijnlijk niet was gestart als de rol van de
archiefinspecteur beperkt was gebleven tot formeel toezicht. Uiteraard is het de uit
daging voor deze functionaris om de balans te blijven vinden tussen dat formele
toezicht en de actieve participatie in de kwaliteitsverbetering. Het zou daarbij geen
kwaad kunnen om de naam van de functionaris te wijzigen, zodat deze meer in lijn
komt met de benaming van zijn natuurlijke partners: de privacycommissaris
(genoemd in de Wet Bescherming Persoonsgegevens)29 en de Security Officer
(bekend uit ISO 27001).30
Een laatste afslag die in deze verkenning wordt genomen, is die naar het vakgebied
kwaliteitsmanagement. Hier gaat het voornamelijk over de methodes die de
Information Auditor ter beschikking kunnen staan.
In de voorgaande paragraaf is de zorg voor kwaliteit al benoemd als onderdeel van
Information Governance. Kwaliteitsmanagement heeft in de 20ste eeuw een enorme
vlucht genomen in de industrie en in de zakelijke dienstverlening. Die vlucht is een
28 Bearman, p. 286.
29 Wet Bescherming Persoonsgegevens, artikel 62, zie http://wetten.overheid.nl/BWBR0011468/
geldigheidsdatum_07-05-2012#Hoofdstuk9_Paragraaf2_Artikel62.
30 NEN ISO 27001:2005 - Informatietechnologie - Beveiligingstechnieken - Managementsystemen voor
informatiebeveiliging - Eisen.
35
