Hoe begin je met het verbeteren van je informatiehuishouding zonder te verdwalen in goede bedoelingen?

Eerst denken, dan doen: DUTO-risico­beoordeling helpt keuzes maken

Tekst Nationaal Archief

Beeld Shutterstock

Je hebt een slimme aanpak nodig om overheidsinformatie duurzaam toegankelijk (DUTO) te maken. Je bereikt niets als je alles tegelijkertijd en in gelijke mate oppakt. Zoals het Adviescollege Openbaarheid en Informatiehuishouding (ACOI) concludeert: ‘Alles is niets’.

Maar hoe maak je keuzes over wat je als eerste gaat doen om de informatiehuishouding te verbeteren? En informatie dus duurzaam toegankelijk te maken? Risicobeoordeling helpt hierbij. Het Nationaal Archief ontwikkelt hiervoor momenteel een handreiking. Deze biedt organisaties handvatten om een DUTO-risicobeoordeling uit te voeren. De handreiking gaat ook uit van ‘alles is niets’: informatiesystemen op orde brengen doe je niet door alles over één kam te scheren, maar door gerichte actie te ondernemen. Als overheidsorganisaties hun informatiehuishouding niet op orde hebben, brengt dat verstrekkende risico’s met zich mee. Daarom stellen de Wet open overheid (Woo) en de nieuwe Archiefwet duurzame toegankelijkheid ook als eis. Als organisaties aan die eis niet voldoen, bestaat namelijk de kans dat:

  • Dossiers niet goed bijgehouden worden. Hierdoor verslechtert de dienstverlening aan burgers.
  • Woo-verzoeken niet binnen de termijn worden voldaan. Hierdoor wordt de bedrijfsvoering extra belast en vermindert de transparantie.
  • Het lastiger is om aan de vereisten uit de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO) te voldoen. Hierdoor kunnen datalekken ontstaan en kunnen organisaties boetes en imagoschade oplopen.
  • Overheden nodeloos informatie opslaan die ze al hadden moeten vernietigen. Hierdoor ontstaan extra kosten en een hogere CO2-uitstoot.
  • Medewerkers meer tijd kwijt zijn aan het zoeken naar informatie die ze nodig hebben. Hierdoor kunnen ze minder efficiënt werken en raken ze gefrustreerd.
  • De kwaliteit van overheidsinformatie terugloopt. Hierdoor kunnen overheden niet volop profiteren van innovatieve trends zoals kunstmatige intelligentie (AI) of datagedreven werken.

Deze opsomming – die niet eens uitputtend is – kan best wat vragen oproepen. Stelt mijn organisatie zich ook bloot aan deze risico’s? Hoe kom ik dat te weten? En wat kan ik eraan doen? De handreiking DUTO-risicobeoordeling is een hulpmiddel bij het maken van keuzes en het stellen van prioriteiten.

Stappenplan

De kern van de handreiking is een stappenplan voor het uitvoeren van een risicobeoordeling.

  1. Bepaal de scope: waarop richt je de risicobeoordeling?
  2. Onderzoek de context: wat is al geregeld in de organisatie?
  3. Leg in een plan van aanpak vast hoe je de risicobeoordeling gaat uitvoeren en wat daarvoor nodig is.
  4. Inventariseer de risico’s die voor jouw organisatie bestaan.
  5. Beoordeel hoe groot die risico’s zijn.
  6. Maak een risicorapportage met conclusies en advies over te treffen maatregelen.

Standaard versus licht

We bieden het stappenplan aan in twee varianten: standaard en licht. De middelen die overheidsorganisaties hebben om met risicobeoordeling aan de slag te gaan, lopen namelijk sterk uiteen. Ook bestaan er verschillende behoeften. Een generiek stappenplan kan niet aan al die behoeften tegemoetkomen. Tegelijkertijd wil het Nationaal Archief niet alleen een grote gemene deler aanbieden: een uitgekleed stappenplan dat iedereen uit kan voeren omdat het heel weinig vereist maar ook minder oplevert. Het is waardevol om als streefbeeld te beschrijven hoe DUTO-risicobeoordeling er bij een hoger “volwassenheidsniveau” uitziet. Ook als dat op dit moment wellicht nog niet voor alle organisaties realistisch is.

Standaard­ risicobeoordeling

De organisatie werkt met een jaarlijkse PDCA-cyclus (plan, do, check, act). Een DUTO-risicobeoordeling is hier onderdeel van. De PDCA-cyclus bouwt voort op de resultaten van voorgaande jaren. De DUTO-risicobeoordeling vindt plaats in afstemming met andere deskundigen, zoals specialisten op het gebied van de AVG en informatiebeveiliging. Binnen de standaardrisicobeoordeling wordt bijvoorbeeld organisatiebreed onderzocht in hoeverre DUTO-processen zoals vernietigen zijn geïmplementeerd binnen werkprocessen. Hiermee breng je de grootste risico’s in kaart en kun je mitigerende maatregelen formuleren.

Lichte risicobeoordeling

Het beheersen van risico’s is maar beperkt belegd binnen de organisatie. Er wordt niet systematisch naar DUTO­risico’s gekeken. Toch wil je weten welke risico’s bestaan op het gebied van duurzame toegankelijkheid. Om dit thema meer onder de aandacht te brengen. Een standaardrisicobeoordeling vergt meer capaciteit en is niet haalbaar, maar door de lichte variant van het stappenplan uit te voeren, kun je toch een beeld schetsen van de situatie. En hier binnen de organisatie aandacht voor vragen.

Management aan zet

Risicorapportages brengen in kaart welke risico’s er bestaan als overheidsinformatie niet duurzaam toegankelijk is. En wat je daaraan kunt doen. Maar zulke rapportages sorteren pas echt effect als ze deel uitmaken van bredere processen rondom het beheersen van risico’s. Managers en beslissers spelen hierin een belangrijke rol. Zij maken niet alleen keuzes voor passende maatregelen maar moeten ook zorgen voor invulling van de vijf randvoorwaarden om een risicobeoordeling effectief uit te voeren:

  • Er is commitment in de organisatie voor DUTO-risicomanagement.
  • Risicomanagement maakt deel uit van besluitvormingsprocessen.
  • De werkwijze is cyclisch.
  • De organisatie hanteert een integrale benadering: informatieprofessionals stemmen af met andere i-domeinen, zoals privacy en informatiebeveiliging.
  • Er is een overzicht over applicaties en processen.

Als jouw organisatie nog niet al deze randvoorwaarden heeft ingevuld, is het nog steeds mogelijk om een risicobeoordeling uit te voeren. Een lichte variant biedt dan uitkomst.

Meedoen? Meer weten?

De handreiking biedt handvatten om doelgericht met risico’s aan de slag te gaan. Zo vermijd je dat je met alles tegelijkertijd aan de slag gaat en niets bereikt. De eerste modules van de handreiking zijn vanaf het najaar op de website van het Nationaal Archief beschikbaar. Concepten kun je nu al lezen op KIA: https://kiacommunity.nl/groups/213-handreiking-duto-risicobeoordeling/welcome. Wil je als een van de eerste organisaties aan de slag met DUTO­risicobeoordeling? Meld je dan aan voor een pilot. Dit kan via info@nationaalarchief.nl.

Deel dit artikel

Inhoud