Het opstellen van de risicoanalyse bestaat uit een aantal stappen. Daarbij beperk je je tot de periode en de organisatie(onderdelen) die onder de reikwijdte van de selectielijst vallen. Bij het doorlopen van de stappen verzamel je informatie en bevraag je zo nodig proceseigenaren. De resultaten van de risicoanalyse verwerk je vervolgens in de selectielijst, in het onderdeel risicoanalyse.
Stappenplan risicoanalyse
Alles uitklappenVoordat je aan de slag kan gaan, heb je:
- De rolverdeling en organisatie besproken en vastgelegd. Gemeenten, provincies, waterschappen en gemeenschappelijke regelingen machtigen hun koepelorganisaties tot het opstellen van een gezamenlijke selectielijst. En dus ook tot het uitvoeren van een gezamenlijke risicoanalyse.
- De basiskeuzes gemaakt en vastgelegd.
- De systeemanalyse uitgevoerd en opgesteld.
Het gaat dan om sectorale wet- en regelgeving, EU-wetgeving of internationale afspraken over het bewaren, delen, vernietigen of overbrengen van informatie.
Gebruik hiervoor als uitgangspunt de wetgeving die benoemd is in stap 3 van de systeemanalyse. Houd er rekening mee dat doel en gebruikte terminologie in de sectorale wet- en regelgeving kunnen afwijken van terminologie in de Archiefwet. ‘Verwijderen’ betekent bijvoorbeeld niet hetzelfde als ‘vernietigen’. Termijnen kunnen een maximum of een minimum aangeven. En persoonsgegevens in de zin van de AVG zijn vaak slechts een onderdeel van de informatieobjecten. Win bij twijfel het advies van een collega(-jurist) in.
De Archiefwet en de Algemene verordening gegevensbescherming geven geen specifieke voorschriften over bewaartermijnen. Die benoem je daarom ook niet in het overzicht.
Fictief voorbeeld
Sectorale wet- en regelgeving bevat voor de NOFZ voorschriften inzake het bewaren, delen, vernietigen of overbrengen van informatie door de organisatie.
- Wet fictieve zaken (WFZ), artikel 16 (Staatscourant 2007/14356)
- Comptabiliteitswet, artikel 34 (Staatscourant 2008/489)
- Subsidiereglement 2014, artikel 19 (Staatscourant 2014/1651)
Beschrijf welke risico’s bestaan voor de organisatie. En waarmee dus rekening gehouden moet worden bij het bepalen van bewaartermijnen.
De algemene, voor elke organisatie geldende risico’s staan standaard in de voorbeeldselectielijst. Vul deze zo nodig aan met andere, organisatiespecifieke risico’s.
Fictief voorbeeld
Bij de risicoanalyse door de NOFZ is rekening gehouden met de volgende risico’s:
- Bestuurlijk-politiek risico: Negatieve invloed op de sturing van de organisatie en publieke verantwoording.
- Operationeel risico: Negatieve invloed op de uitvoering van de organisatiedoelen.
- Juridisch risico: Belangen van de organisatie die niet behartigd kunnen worden in geschillen met derden.
- Financieel risico: Extra uitgaven of vermindering van inkomsten.
- Afbreukrisico: Negatieve impact op uitstraling, gezag en imago van de organisatie.
In de praktijk kunnen deze risicocategorieën elkaars risicoverloop beïnvloeden, maar dat hoeft niet. De verschillende categorieën kunnen in elkaar overlopen. Uitgangspunt is dat ze ook elk afzonderlijk een rol kunnen spelen.
Verduidelijk de wijze waarop de risico’s geclassificeerd worden. Dus: hoe de grootte van risico’s ingeschat (gaan) worden.
Dit kan door deze classificatie te beschrijven. Of met een risicomatrix. Met daaraan gekoppelde risicoprofielen of -klassen die op hun beurt gekoppeld worden aan bewaartermijnen.
Maak eventueel gebruik van bestaande risicoanalyses van je organisatie. Bijvoorbeeld van informatiebeveiliging. Of een privacy impact assessment (PIA). Vermeld of dit het geval is, en zo ja welke risicoanalyses dit dan zijn.
Fictief voorbeeld
De NOFZ heeft voor elke als te vernietigen gewaardeerde categorie de hierboven opgesomde risico’s besproken met de betrokken proceseigenaar(s). Ook de werking van de AVG is hierin meegenomen. Gezamenlijk is gekomen tot een bewaartermijn waarin de informatie nodig is voor het bedrijfsbelang. Of wanneer de informatie vernietigd moet worden. Met het oog op de inregeling van de termijnen zijn de termijnkeuzes resp. zes maanden, één jaar, drie jaar, tien jaar, vijftien jaar of dertig jaar. De hiervan afwijkende termijn van zeven jaar voor financiële stukken is gebaseerd op de Comptabiliteitswet.
Gebruik hiervoor de opsomming van de selectielijst(en) die je zal afsluiten of intrekken. Stel een tabel op met de kolommen Categorie en Waardering voor de nieuwe selectielijst (in het voorbeeld Selectielijst 2021). En met de kolommen Categorie(ën) en Waardering(en) voor de bestaande selectielijst (in het voorbeeld BSD 2005). En vul deze kolommen in. De waarderingen uit de nieuwe selectielijst zijn nog niet bepaald. Deze vul je op een later moment in. De tabel voeg je als bijlage toe aan de selectielijst. Als er geen voorgaande selectielijst is, hoef je dit niet te doen.
Deze concordantietabel maak je omdat in de voorgaande selectielijsten ook een afweging is gemaakt om tot een bewaartermijn te komen.
Fictief voorbeeld
| Categorie selectielijst 2021 | Waardering selectielijst 2021 | Categorie(ën) BSD 2005 | Waardering(en) BSD 2005 |
|---|---|---|---|
| 1 | - | - | |
| 2 | 2, 3 | B | |
| 3 | - | - | |
| 4 | 5, 6 | B | |
| 5 | - | - | |
| 6 | - | - | |
| 7 | 8 | V10 | |
| 8 | 9 | V10 | |
| 9 | 10 | V10 | |
| 10 | - | - | |
| 11 | - | - | |
| 12 | - | - | |
| 13 | 7 | V10 | |
| 14 | 11, 12 | V20 | |
| 15 | - | - | |
| 16 | - | - | |
| 17 | 13, 15 | B, V10 | |
| 18 | - | - | |
| 19 | - | - |