Digital Archiving & Compliance

Het is een tijd stil geweest. Niet omdat er niets gebeurde (het aantal rampen dat op ons af dreigt te komen, wordt wel heel dik aangezet…), maar omdat ik met allerlei andere zaken druk was en er eigenlijk geen tijd was om eens goed voor deze blog te gaan zitten. En alhoewel er voldoende aanrakingspunten waren om weer eens in te gaan op onze ‘doe eens normaal, man’ bestuurlijke elite, vond ik dat toch niet voldoende reden om de pen uit de kast te halen. Mijn recente aanstelling als Lector Digital Archiving & Compliance aan de Hogeschool van Amsterdam leidt mij er toe om dat wel te doen en op de relevantie daarvan hier wat dieper in te gaan.

Zoals vele van de lezers van deze blog weten, ben ik al jaren geïnteresseerd in de voortgaande digitalisering van de maatschappij en de effecten die dat heeft op organisaties en de mensen die deze organisaties vormen. Voor zover ik weet was ik midden jaren ’90 een van de eersten die er op wezen dat deze digitalisering grote gevolgen zou hebben op de bewijsplicht en op de rechtmatigheid van handelen van zowel individuen als organisaties. Het ‘compliance’-denken, dat toen al enige jaren in de bancaire en financiële sector ingang had gevonden, werd pas werkelijk omhelsd na de Enron-affaire en de Sarbanes-Oxley Act. Toen ook kwam het echt op de management-agenda te staan buiten de bancaire en financiële sector. Maar compliance werd vooral uitgelegd als het voldoen aan relevante wetten en regels en de daarop afgestemde inrichting van processystemen. Te weinig aandacht werd besteed aan het feit dat het niet alleen gaat om het voldoen aan wetten en regels, maar dat dat ook aantoonbaar moet zijn zolang dat direct of indirect door wet- en regelgeving wordt vereist. Dat feit was voor mij aanleiding om het organisatorische belang van (digitale) archivering voortdurend te benadrukken. Zonder archivering namelijk is het bijna ondoenlijk aan te tonen dat voldaan is aan wetten en regels en is het ook niet mogelijk om het verleden te reconstrueren om te bepalen hoe er in specifieke gevallen is gehandeld. Archivering en compliance zijn dan ook onlosmakelijk verbonden. Compliance-eisen als identiteit, integriteit, authenticiteit, autorisatie en onweerlegbaarheid worden in archivering gewaarborgd met juridische, organisatorische en technische maatregelen.

Ik heb die stelling vorig jaar nog eens herhaald in een conferentiepaper. Ik stelde in die paper dat er een aantal organisatorische mechanismen zijn die het mogelijk maken het verleden te reconstrueren om zodoende het tot stand komen van beleid, besluiten, producten, acties en transacties te kunnen onderzoeken. Die mechanismen definieerde ik als Enterprise Records Management, Organizational Memory en Records Auditing. Deze drie mechanismen realiseren de ‘records value chain’, de waardeke­ten die alle acti­vitei­ten behelst, die wor­den ver­richt aan of met archiefdocumenten en de daaraan gekoppelde metadata: cre­a­tie of ont­vangst, vastlegging, opslag, be­wer­king, dis­tributie, orde­ning, publicatie, ge­bruik, waar­de­ring, selectie, ver­nie­tiging of bewa­ring, be­veili­ging, toetsing en be­houd. De keten zorgt ervoor dat de kwaliteitskenmerken van archiefdocumenten ingevuld kunnen worden, waardoor het een reconstructie van het verleden mogelijk maakt en waardoor archiefdocumenten vertrouwd kunnen worden als betrouwbare bronnen van informatie.

Het zijn deze drie mechanismen die de kern vormen van ‘Digital Archiving’. Enterprise records management garandeert de uitvoering van de ‘records value chain’ en zorgt ervoor dat archiefdocumenten en de daaraan gekoppelde metadata de kwaliteitseisen van integriteit, authenticiteit, controleerbaarheid en historiciteit vertonen zodat ze betrouwbaar kunnen worden gebruikt in bedrijfsprocessen van organisaties als bronnen van ‘trusted information’. Organizational memory zorgt ervoor dat archiefdocumenten en metadata worden behouden. Het zorgt voor een ICT infrastructuur die het mogelijk maakt archiefdocumenten oneindig te bewaren en toegankelijk te houden. Records Auditing toetst de beide andere mechanismen periodiek om te bepalen of het mogeljk is organisatorische handelingen uit het verleden te reconstrueren. Deze drie mechanismen maken het realiseren van de ‘records value chain’ mogelijk en zorgen ervoor dat alle ‘digital assets’ van een organisatie betrouwbaar, integer, controleerbaar en historisch zijn.

‘Digital Archiving’ maakt ‘Compliance’ mogelijk. Samen zorgen ze ervoor dat de naleving van wet- en (interne en externe) regelgeving, normen en richtlijnen kan worden aangetoond, zodat verantwoording afgelegd kan worden aan ‘legitieme fora’ en bewijs geleverd kan worden van rechten en plichten. Het gaat om wet- en regelgeving voor de uitvoering van bedrijfsprocessen, voor het verrichten van taken, voor het verantwoorden van handelingen in organisaties, voor het afleggen van maatschappelijke verantwoording en voor het behouden van cultuurhistorisch erfgoed. Ze waarborgen de authenticiteit en integriteit van informatie en dragen bij aan het vertrouwen dat de gebruikers van informatie hebben bij het gebruik ervan. In essentie was dit de kern van ‘Op zoek naar de herinnering’, het boek waarop ik enkele jaren geleden promoveerde.

Beide thema’s zijn maatschappelijk zeer relevant en een paar maatschappelijke ontwikkelingen zijn daar debet aan.

De eerste ontwikkeling is de toename van de hoeveelheid informatie in onze maatschappij, die de opslagmogelijkheden, de toegankelijkheid en de begrijpelijkheid van de informatie bedreigt, en de druk, die deze informatiemassa legt op de archiveringsmogelijkheden van grote organisaties, het midden- en kleinbedrijf (MKB) en (voor het eerst in de geschiedenis) de individuele mens. De toename van informatie vloeit voort uit de ontwikkeling van het Internet en de groeiende elektronische communicatie. De Cisco VNI Global IP Traffic Forecast, 2010-2015 (2011) wijst op een jaarlijkse toename tot 2015 met 32 procent. Eind 2015 is er een jaarlijkse bandbreedte nodig van ongeveer 966 exabytes (bijna een zettabyte !). Die verwachting geeft aan dat (wat er ook gebeuren mag) de komende jaren de markt voor opslag en archivering een enorme expansie zal doormaken, terwijl de fabrikanten van opslagmedia die groei nu al nauwelijks kunnen bijhouden. Ondanks dalende uitgaven voor IT nemen verhoudingsgewijs de uitgaven voor opslagsoftware en archiveringsinfrastructuren toe. Gartner gaf een marktgroei aan in 2011 met 10,4 %; het laatste kwartaal van 2011 alleen al toonde een omzet van 5,1 miljard dollar. Dat is bijna de helft van de jaaromzet van 2008, die 11 miljard dollar bedroeg. Dat betekent dat in 2011 de markt bijna tweemaal zo groot is als in 2008 ! De economische crisis heeft effecten op de investeringen in IT, maar raakt de behoefte aan opslag, backup- en recoverysoftware nauwelijks, zoals blijkt uit de jaarlijkse onderzoeken van Cisco en Gartner. De groei gaat door; men tracht de uitgaven te verminderen door toepassing van virtualisatietechnieken. Volgens Gartner’s Forecast: Storage Management Software Market, Worldwide, 2008-2013 (oktober 2009) neemt de markt voor opslag en archivering tot 2013 toe, voor hardware met een gemiddelde groei van 3,2 %, voor ‘archiving software’ met 18,9 %. Hiërarchische opslag groeit het hardst: van 346 miljoen dollar omzet in 2004 tot 1,2 miljard dollar in 2009. Het kenmerk van hiërarchische opslag is dat opslag van informatie gebaseerd is op regels, die rechtstreeks voortvloeien uit de ‘records value chain’. De groei van informatie gaat zo hard dat de ‘waardering’ van informatie steeds belangrijker wordt. Diezelfde groei van informatie legt druk op de archiveringsmogelijkheden van bedrijven, overheden en individuen. De digitale ontwikkelingen hebben het thema meer dan ooit tot bij het MKB en het individu gebracht. Zij worden, onbekend met het omgaan met een explosief groeiende informatiemassa, voor het probleem gesteld, waardevolle informatie toegankelijk en beschikbaar te houden. ‘Digital Archiving’ democratiseert.

Een tweede ontwikkeling is het toenemend aantal regels, die organisaties opdragen verantwoording af te leggen over hun handelen. Veel van die regels betreffen de opslag van informatie en de reconstructie daarvan in de toekomst. ‘Compliance’ is, zoals ik hiervoor al aangaf, vooral actueel sinds de invoering van de Amerikaanse Sarbanes-Oxley Act in 2002, toen aan alle aan de Amerikaanse beurs genoteerde bedrijven ‘aantoonbaarheid van handelen’ werd opgelegd. Ook in Nederland wordt, mede op basis van Europese richtlijnen, steeds meer getoetst of wetten en regels worden nageleefd. De rapporten van de Algemene Rekenkamer en de gemeentelijke equivalenten daarvan tonen dat steeds weer aan. Uit die onderzoeken blijkt, hoe vooral (digitale) archieven gebruikt worden om te bepalen in hoeverre een organisatie ‘compliant’ is (geweest). Bij vele organisaties schort het aan een adequate archivering, waardoor ‘compliance’ moet worden aangenomen, maar niet kan worden aangetoond. Vaak blijkt dat door het negeren van (archief-) wet- en regelgeving onderzoek naar ‘compliance’ zelfs niet mogelijk is. Organisaties kunnen zich vaak niet (of nauwelijks) concreet verantwoorden en dat doet afbreuk aan het vertrouwen van de klant en de burger. Het afleggen van verantwoording en transparantie van handelen zijn hoekstenen van een democratische rechtsstaat. De effectiviteit en efficiency van bedrijfsprocessen kan worden verhoogd als informatie digitaal door de processen kan worden geleid en het werk digitaal kan worden afgehandeld. Digitale afhandeling roept vragen op: over de authenticiteit en integriteit van digitale bestanden, over de contextualiteit ervan, over de rechtmatigheid van de omzetting van analoog naar digitaal, over de wijze waarop digitale bestanden toegankelijk en beschikbaar kunnen blijven en hoe dat het in stand houden van authenticiteit en integriteit moet worden georganiseerd. De tomeloze groei in digitale informatie maakt dit erg complex.

Een derde ontwikkeling is het bewustzijn dat grotere aandacht moet worden besteed aan ‘digitale duurzaamheid’, waaronder het langdurige behoud en de blijvende toegankelijkheid van informatie moet worden verstaan. Veel organisaties willen het behoud en de toegankelijkheid van hun analoge informatiebestanden vergroten door ze in digitale vormen om te zetten. Deze digitaliseringsprojecten brengen voordelen door de versimpeling van beheer en management, door een grotere toegankelijkheid en een continue beschikbaarheid. Het inzetten van digitalisering als een vorm van ‘disaster recovery’ voor cultuurhistorisch erfgoed is (vanwege de kosten) nog geen ‘usance’, maar kan een aantrekkelijke strategie zijn om de op analoge media vastgelegde ‘kennis’ te ‘conserveren’. In deze projecten blijkt voortdurend dat digitale informatie niet duurzaam is, dat er vele technische en organisatorische waarborgen moeten worden getroffen om digitale informatie in stand te houden. Het probleem wordt ook als ‘Digitale Alzheimer‘ aangeduid, of, zoals de toenmalige Rijksarchiefinspectie het benoemde, de ‘dementerende overheid‘. Dit leidt tot investeringen in oplossingen voor het langdurige behoud van informatie. Problematisch hierbij is dat het tot nu onduidelijk is wat de werkelijke kosten zijn van duurzame bewaring; er bestaat namelijk geen overeenkomst over de uitgangspunten van de kostenberekeningen. Om een risicoafweging voor investeringen te kunnen maken dient wel inzicht te worden verworven in de werkelijke kosten. Digitale informatie dient ‘onafhankelijk’ te worden van hard- en software. Het bewustzijn van de falende duurzaamheid van digitale informatie is nog beperkt (zeker buiten het beroependomein en de archiefwetenschap), met alle risico’s voor het ‘blijvende geheugen’ van de samenleving als gevolg.

Deze drie ontwikkelingen stimuleren het multidisciplinaire onderzoek naar de organisatorische consequenties van Digital Archiving, in relatie tot Compliance. Om kennisontwikkeling op dit evoluerende terrein te realiseren heeft de Hogeschool van Amsterdam een Bijzonder Lectoraat Digital Archiving & Compliance ingericht en heeft mij aangesteld als Bijzonder Lector. Als zodanig heb ik de taak om deze uitdagende problematiek te vertalen in onderzoek en onderwijs en het bewustzijn te doen ontstaan dat geen enkele opleiding tegenwoordig zonder aandacht voor Digital Archiving & Compliance kan. Want ieder beroep wordt (en zal in de komende jaren nog meer) geconfronteerd (worden) met het feit dat de betrouwbaarheid, toegankelijkheid en duurzaamheid van informatie onlosmakelijk verbonden is met een efficiënte en effectieve uitoefening van het werk, des te meer als dat op een ‘nieuwe’ manier moet gaan plaatsvinden. Mijn motto voor de komende maanden is dan ook: ‘full speed ahead’….

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.