Als de financiële huishouding van Nederland gevoerd zou worden als die van de informatiehuishouding, zou de rijksoverheid per ommegaande failliet zijn. Juist bij een gebrekkige controle op de toepassing van alle huidige wettelijke regels, afspraken en kennis, maar vooral ook door te weinig interne controle op de naleving ervan, gaat het mis. De vraag is of alle nieuwe verbeterprogramma’s met hun goede intenties en ict-oplossingen efficiënt en effectief bijdragen aan de beoogde verbeteringen. In 2006 is bijvoorbeeld een groot verbeterprogramma Informatie op Orde gestart bij de overheid, maar dat heeft door een gebrek aan naleving van de afspraken niet tot de gewenste verbeteringen geleid. Anno 2023 kunnen alle tools en baselines uit die tijd van hun stof worden ontdaan en per direct worden ingezet.1

Te ruim

Het begrip informatiehuishouding is in het overheidslandschap niet altijd voor iedereen even helder of duidelijk afgebakend. Wie de website www.informatiehuishouding.nl raadpleegt, komt in een vrij speelveld terecht van definities, dure infographics en veel percepties en niet wetenschappelijk onderbouwde toekomstvisies die als een snelle houtskoolschets worden neergezet. Menig project dat in het kader van Open op Orde wordt uitgevoerd, zou in het COSO-framework als niet-effectief en -efficiënt onderuit gehaald worden. Zo zou het gebruik van sms door onze premier vanuit COSO, dat met COBIT een ict-risicomodel heeft, gewoon niet zijn toegestaan, omdat sms-verkeer niet encrypted is en dus afgeluisterd kan worden. Ook de dagelijkse archivering van 1500 overheidswebsites, zoals die nu door middel van een verplichte winkelnering bij een commerciële partij is neergelegd, zou nooit door het COSO-framework zijn gekomen. Er worden geen risico’s gelopen wanneer het archiveren van de eigen websites van een rijksorganisatie in huis plaatsvindt. Bovendien is het vele malen goedkoper wanneer die archivering bij een van de overheids­datacenters wordt ondergebracht, onder hoede van een overheidsorganisatie. Ook is er geen jurisprudentie waarin (verdwenen) informatie van een overheidswebsite een rol gespeeld heeft. Vanuit een bewaarstrategie als visie zou men moeten weten dat de nieuwe Archiefwet het bewaren aan de bron (dus in huis) toestaat en hoeven niet alle data met een bewaartermijn te worden doorgepompt naar een commerciële eDepot-omgeving. Misschien moeten we daarom zelfs het begrip informatie­huishouding niet meer hanteren omdat het veel te ruim wordt opgepakt en de gekozen oplossingen niet effectief en efficiënt zijn geformuleerd. Feitelijk staat de informatiehuishouding in COSO te wachten om ontdekt te worden want in COBIT staan de drie belangrijke normen voor de informatiehuishouding al opgesomd: de ISO 15489 (informatiemanagement), de ISO 27001 (informatiebeveiliging) en DMBOK (datamanagement). Feitelijk zou de nieuwe Archiefwet het COSO-framework verplicht moeten stellen zodat de rol van de DIV-functie en/of archivaris wordt overgenomen door de interne controller en externe accountant van een organisatie die de interne beheersing van de naleving van de Archiefwet dan wel goed kunnen gaan controleren.

Uitvoeringsorganisaties

Toch zit risicomanagement momenteel al in de Archiefwet ingesloten. Elke overheidsorganisatie is immers sinds 2010 verplicht om een kwaliteitssysteem voor de informatiehuishouding van de overheid toe te passen in overeenstemming met haar verantwoordelijkheden en uitvoering van taken2: ‘De zorgdrager [de bestuurder/het bestuur] zorgt ervoor dat het beheer van zijn archiefbescheiden voldoet aan toetsbare eisen van een door hem toe te passen kwaliteitssysteem.’ (Artikel 16, Archiefregeling) Deze verplichting kwam in 2010 niet zomaar in de wet. De rijksoverheid had in 2006 beleid geformuleerd via het programma Informatie op Orde om kwaliteitszorg in de informatiehuishouding toe te passen en diverse toolkits bedacht, zoals de Zelfevaluatie Baseline Informatiehuishouding Rijksoverheid. Toen liep ook al het programma Documentdiensten waarbij aan ieder ministerie werd gevraagd om de zelfevaluatie voor de beleidskernen uit te voeren. Dit programma ging aan de uitvoeringsorganisaties een beetje voorbij. Zij hebben dan ook een totaal andere inrichting van hun informatiehuishouding en archiveringsdynamiek. Met 4000 processen waarvan 99 procent op termijn te vernietigen output betreft. Een ministerie daarentegen heeft zo’n 200 processen en een geschatte output van 10 procent over te brengen archieven naar het Nationaal Archief. Procentueel dus ook een veel hoger beslag aan historisch materiaal. De Archiefwet bevat vooral bepalingen die het permanent te bewaren archief van de overheid betreffen dat in bewaring gegeven moet worden bij officiële archiefbewaarplaatsen. Over het beheer van (digitale) archiefbescheiden zijn in het algemeen veel minder regels opgenomen. Feitelijk valt alles onder het archiefwettelijk kopje ‘in goede geordende en toegankelijke staat’. De gemeenten en provincies gingen overigens met een eigen uitwerking van artikel 16 aan de slag.3

Monitor

In 2009 kwam de toenmalige Erfgoed­inspectie met een eerste tweejaarlijkse self-assessment dat onder andere ook de implementatie van een kwaliteitssysteem uitvroeg bij de onder haar toezicht staande overheidsorganisaties. De eerste uitkomst van de Inspectiemonitor uit 2009 was dat slechts 26 procent van de rijksoverheid werkte met een kwaliteitssysteem met toetsbare eisen. In 2020 is dit overigens gedaald naar 8 procent met een lichte stijging naar 11 procent anno 2022. Er wordt dus nog steeds maar weinig invulling en uitvoering aan gegeven. Er is kennelijk veel onduidelijkheid over het karakter, de meerwaarde, de inhoud en de reikwijdte van zo’n kwaliteitssysteem. Dat leidt tot tal van vragen. Hoe kan een organisatie überhaupt invulling geven aan de ambities van het programma Open op Orde wanneer een intern meetinstrument ontbreekt? Dan ontbreekt ook een bron om de tweejaarlijkse Monitor van de Inspectie Overheidsinformatie en Erfgoed betrouwbaar in te kunnen vullen en zich daarover te verantwoorden, laat staan dat een dashboard informatiehuishouding gevoed kan worden met de juiste gegevens of dat andere externe uitvragingen zoals de jaarlijkse RDDI-meting van het huidige verbeterprogramma Open op Orde betrouwbaar kunnen worden ingevuld.

Eisen aan kwaliteitssysteem

Een kwaliteitssysteem bevat volgens de ISO 9001 minimaal: een beschrijving van de missie, visie en strategie; beschrijvingen van alle processen; verwijzingen naar de procedures; een periodieke interne audit waarin getoetst wordt of er nog volgens de procesbeschrijvingen gewerkt wordt en of de processen nog aan hun doel beantwoorden (dus of ze nog actueel zijn); plus afspraken om het realiseren van verbeteringen te monitoren en bij te sturen. De missie dat dit product zou moeten uitstralen is aandacht, bewustwording en controle van de informatiehuishouding. De visie en strategie zouden een onderdeel moeten zijn van de PDCA-managementcyclus van de gehele organisatie. Zowel de directeur als de CIO en de Financial Controller en alle directies en ketens van de organisatie maken deel uit van het kwaliteitssysteem en zijn op de hoogte van de uitkomsten van de bevindingen en verbeteringen die nagestreefd moeten worden. Het beschrijven van alle processen binnen de organisatie kan op verschillende manieren worden aangevlogen: vanuit de Archiefwettelijk verplichte selectielijst met een detailproces schema (het classificatieschema van alle werkprocessen ); vanuit de financiële informatiehouding en procesbeschrijvingen van de gehele organisatie vanuit de eisen van het COSO-framework. (AO-/IC-beschrijvingen). Tot slot kan TOGAF met de procesbeschrijvingen vanuit de Enterprise architectuur het uitgangspunt zijn. De laatste eis is dat er een intern auditinstrument aanwezig is in de organisatie waarmee de stand van zaken rondom de informatiehuishouding periodiek in kaart wordt gebracht. Een audit is een onafhankelijke toets op basis van een normenkader. Van belang voor een kwaliteitssysteem is dat aan bepaalde standaarden wordt voldaan, wil men het ook als een betrouwbaar volwassenheidsmodel kunnen laten gelden. Kortom, er zijn anno 2023 twee manieren om risicomanagement in het landschap van de informatiehuishouding eindelijk eens vorm te gaan geven: het COSO-model omarmen of de regels van de ISO 9001 volgen.