De kwaliteit van informatievoorziening hét fundament is voor interne beheersing

Een vergelijking tussen de boekenkast, de ballenbak en de bunker – deel 1/2

Door Bart Suers, MScBA

Digitale informatie wordt door overheidsorganisaties steeds vaker gebruikt om te dienen als bewijs om gevraagd of ongevraagd verantwoording af te leggen over het handelen van de organisatie. Zo wordt digitale informatie bijvoorbeeld gebruikt om de mate van interne beheersing aan te tonen. Dan is het dus extra belangrijk dat er ook aantoonbare grip is op de uitvoeringskwaliteit van het informatiebeheer. Het organiseren van de kwaliteit van informatiebeheer kent natuurlijk vele verschijningsvormen. Het is telkens weer onderwerp van het gesprek dat ik voer met overheidsorganisaties over integrale interne beheersing. In een tweetal blogartikelen behandel ik drie van deze verschijningsvormen en benoem een aantal aspecten die van belang zijn als het gaat om het organiseren van de kwaliteit van informatiebeheer.

De Boekenkast

Wat hebben een boekenkast, ballenbak en bunker met elkaar gemeen? In feite zijn het 3 objecten waar je iets in wilt bewaren. De eigenschappen kennen voor- en nadelen en zijn weer afhankelijk van wát je precies wilt bewaren. Te beginnen bij de boekenkast. De boekenkast is een overzichtelijke maar ook bewerkelijke manier om informatie te organiseren. Iedereen kan zich een boekenkast voorstellen en iedereen snapt ook waar die voor dient. Alle informatie wordt netjes geordend en vindt een plaats aan de hand van een vooraf bepaalde of volgtijdelijk te creëren routestructuur. Die routestructuur is leidend om informatie op te slaan, te beheren en te vinden. Dus in zekere zin is de boekenkast laagdrempelig en toegankelijk in gebruik. Natuurlijk kan er ook nog een deur voor die boekenkast dus er is zeker aandacht voor toegang en autorisatie. Het is alleen niet altijd duidelijk wie in de boekenkast kijkt en welke informatie er wordt aangepast. Het is dus lastig om in een boekenkast informatie te bewaren die je wilt gebruiken als onweerlegbaar bewijs om de interne beheersing van je bedrijfsprocessen aan te tonen. Om informatie als onweerlegbaar bewijs te kunnen gebruiken werden in het analoge tijdperk dergelijke boekenkasten niet alleen afgesloten maar zelfs in een aparte ruimte gezet; de archiefruimte. Op die manier kon er toezicht en controle worden uitgeoefend over de informatie die aanwezig is, wie toegang wilde tot bepaalde informatie, wanneer en waarom.

SharePoint

Tegenwoordig hebben we een digitale boekenkast; SharePoint. Voor veel organisaties een fijne plek om informatie te beheren en te delen. Een organisatie overstijgende versie van de Windows verkenner. Natuurlijk ik chargeer een beetje. Maar net als die fysieke boekenkast geldt dat het bewaren van onweerlegbare bewijslast een aanzienlijk risico is. De kracht van SharePoint is de laagdrempelige toegang voor iedereen. En met iedereen bedoel ik niet alleen menselijke gebruikers, vergeet ook de systemen /softwareapplicaties niet, die ook naar hartenlust gebruik maken van SharePoint voor de neerslag van hun informatie. Al die toegang en bewerking door mensen én systemen geeft te denken. Want wie heeft nu de regie over de integriteit van informatie op welk moment? De integriteit van de database in SharePoint kan niet aantoonbaar autonoom gecontroleerd worden door SharePoint zelf. Dat is ook niet de bedoeling van SharePoint; het gaat om laagdrempelig en toegankelijk gebruik. Natuurlijk kun je het toegangsbeleid regelen en zelfs het versiebeheer echter het inregelen van toegang, autorisaties en gecontroleerd versiebeheer vereist ook weer extra beheer en toezicht op dat beheer. En vergeet de toename van de auditlast niet die het gevolg is van meer controlewerkzaamheden om de integriteit van een informatieobject aan te tonen indien het in SharePoint is opgeslagen en aangevoerd wordt als onweerlegbare auditbewijslast.

Informatie integriteit

De grootste beperking van die digitale boekenkast zoals SharePoint is wat mij betreft daarmee dat de integriteit van informatie niet kan worden gegarandeerd. Vorm, inhoud, structuur en samenhang van informatieobjecten (documenten, afbeeldingen ed.) dienen in toegankelijke staat te zijn. Het komt er dus op neer dar ze vindbaar, bruikbaar, toegankelijk en authentiek zijn. En juist dat laatste is lastig aantoonbaar als je een digitale boekenkast als SharePoint gebruikt. Want SharePoint functioneert het beste door te werken met muteerbare informatieobjecten. Het zijn dus meestal bewerkbare formaten zoals docx, niet de archiefformaten zoals PDF/A. En dat terwijl archiefwet- en regelgeving dit wel expliciet voorschrijven; een duurzaam te bewaren bestand dat voorzien is van een duidelijke beschrijving van dat bestand, metadatering dus!

Metadatering?

Het gaat dus om gegevens over gegevens simpel gezegd. Metadata voor archiefwaardige informatieobjecten zijn essentieel voor het behoud van de authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid van archiefbescheiden Metadata zorgen ervoor dat archiefwaardige informatieobjecten gevonden, leesbaar gemaakt, geïnterpreteerd, beheerd en duurzaam toegankelijk worden. En juist die metadatering is belangrijk omdat je daarmee geen vooraf bepaalde of volgtijdelijk te creëren boekenkaststructuur nodig hebt om informatie te vinden of op te slaan. En dat is een belangrijk aspect om de integriteit van informatie te waarborgen. En dus is een proces van interne beheersing van de kwaliteit van informatiebeheer essentieel. Een proces waarin wordt aangetoond hoe het zit met de opslag, het beheer en de toegang tot informatieobjecten. En waarin onweerlegbaar kan worden aangetoond dat informatieobjecten worden gebruikt waaruit het versiebeheer blijkt, er sprake is van vastlegging van de waardering (bewaar- en vernietigingstermijnen) en -niet onbelangrijk- inzichtelijk is wie, wanneer en wáárom toegang heeft tot wat. SharePoint voldoet op meerdere aspecten standaard niet aan Nederlandse wet- en regelgeving. Denk bijvoorbeeld aan de NEN2082 /ISO16175 normeringen. Uiteraard zijn er mogelijkheden om dit alsnog te organiseren door de SharePoint omgeving in uw organisatie hiervoor specifiek te laten inrichten. Dit is echter een IT-project op zich met veel configuratiewerk en maatwerk. Maar dan bent u er nog niet. Daarna dient u uw zwaarbevochten inrichting van SharePoint voor uw organisatie ook nog eens apart te laten certificeren. Dit om de kritische beoordeling van uw IT-auditor en de goedkeuring van uw archiefinspecteur te kunnen verkrijgen.

Conclusie

Elke organisatie heeft behoefte aan een digitale boekenkast. SharePoint is een prima instrument om informatie te delen en te beheren maar niet om onweerlegbare informatie zoals audit bewijslast nodig voor het aantonen van interne beheersing te bewaren. Kiest uw organisatie hier toch voor bedenk dan dat u ook zult moeten kiezen voor een extra last. Namelijk structureel hogere auditkosten, of extra investering in inrichting en certificering. En dan laat ik de extra investering bij upgrade van uw gekoesterde inrichting maar even buiten beschouwing. Hoe dan ook als het gaat om het aantonen van de integriteit van informatie zoals bij audit bewijslast zult u een stevige discussie hebben met uw IT-auditor én archiefinspecteur. De integriteit van de informatieobjecten in de database kan namelijk niet worden gegarandeerd omdat deze van buitenaf benaderd kan worden door (systeem)gebruikers. En dus zal een auditor meer controles moeten uitvoeren om daadwerkelijk die integriteit van de bewijslast expliciet vast te stellen.

In de volgende blog ga ik daarom nader in op een andere verschijningsvorm; de ballenbak. Bent u geïnteresseerd in onze visie en aanpak en wilt u meer weten, bel dan gerust voor een afspraak. Wij zijn ervan overtuigd dat een persoonlijk gesprek direct toegevoegde waarde biedt.