Bij het opstellen van het beleid voor chatarchivering houd je rekening met de wettelijke kaders en de omstandigheden binnen de eigen organisatie. Het chatbeleid gaat over de keuze voor bepaalde applicatie(s), hoe daar gebruik van mag worden gemaakt, over opslag en beheer van berichten, privacy en informatiebeveiliging. En over de methode van waarderen en selecteren.
Het wettelijk kader geeft ruimte om zelf beleid te maken. Voor de rijksoverheid verzorgt CIO Rijk het chatbeleid, waarbinnen nog individueel aanvullend beleid mogelijk is.
Stappenplan voor opstellen beleid
Alles uitklappenOm beleid goed te kunnen maken, moet je eerst weten wat je ermee wilt bereiken. Met andere woorden: wat is het uiteindelijke doel ervan? Bij het formuleren van het doel ga je uit van een aantal uitgangspunten, deels gebaseerd op de wettelijke kaders die van toepassing zijn. Maar ook op bijvoorbeeld de huidige voorzieningen en werkwijzen binnen de organisatie. Het doel en de uitgangspunten zijn het houvast bij het maken van keuzes en zorgen ervoor dat deze uitlegbaar en passend zijn voor de organisatie.
Voorbeeld uitgangspunt: De organisatie maakt gebruik van een mobiele telefoon en het zakelijke nummer van de organisatie.
Voorbeeld doel (Uit het rijksbrede beleid):
Het einddoel is om via heldere afspraken in deze beleidslijn duurzaam toegankelijke chatberichtenarchivering te kunnen realiseren voor de Rijksdienst in lijn met de eisen van de Archiefwet, Algemene Verordening Gegevensbescherming en Wet open overheid.
Maak een overzicht
Maak een overzicht van alle chatapps en applicaties met chatfunctionaliteit die in de organisatie in gebruik zijn. Maak hiervoor gebruik van het algemene systeemoverzicht (specifiek voor de eigen organisatie) en vraag aan de systeemverantwoordelijke naar een eventuele chatfunctie. Voor de generieke chatapplicaties die in gebruik zijn, zet je een korte vragenlijst uit of kun je medewerkers interviewen.
Leg de opgehaalde informatie vast in een overzicht. En breng op basis daarvan de belangrijkste informatiestromen in kaart. Werk hiervoor ook samen met andere belanghebbende partijen zoals de privacy officer en informatiebeveiliging.
Beschrijf de verschillende chatapplicaties en het gebruik ervan binnen de organisatie (voor zover bekend). Aan de hand van deze informatie kun je afspraken maken over het gebruik, maar ook apps of functies blokkeren die niet gewenst zijn. Het helpt zo om aan het doel te voldoen dat met het beleid gerealiseerd moet worden.
Gebruik van chatapps
Er moeten afspraken gemaakt worden over welke chatapps medewerkers mogen gebruiken, voor welke doeleinden wel en waarvoor juist niet. En wat wel of niet via chatapps gecommuniceerd mag worden. Dit is niet alleen een zaak van archivering. Het vraagt daarom afstemming met andere stakeholders, zoals het CIO Office of de afdeling Communicatie.
Maak keuze voor chatapps
De organisatie moet bepalen welke chatapps en zakelijke applicaties met chatfuncties gebruikt mogen worden. En voor welke doeleinden. Voorbeeld: een organisatie gebruikt BlackBerry Messenger voor onderlinge communicatie, maar voor communicatie met andere partijen wordt WhatsApp gebruikt.
Neem het gemak waarmee de informatie gearchiveerd of vernietigd kan worden mee in de overweging.
Maak afspraken over het gebruik
Stel duidelijke afspraken op over het gebruik van chat in de applicatie.
Een voorbeeld zijn de gedragsregels voor de digitale werkomgeving van de rijksoverheid. Bij meerdere apps kun je afspreken welke informatie in welke app gedeeld mag worden of juist niet. Denk hierbij aan afspraken over:
- Zakelijk en privégebruik van de applicatie.
- Het delen van gevoelige informatie.
- Delen van persoonsinformatie, zoals ziekmeldingen via de chat.
- Delen van bijlagen, zoals documenten.
- Afspraken of goedkeuring geven over de app.
NB. Een voorbeeld van een regel is: App met beleid niet over beleid.
Privacy
Bij het gebruik van apps worden altijd persoonsgegevens gedeeld; in ieder geval de gegevens van de verzender en de ontvanger. Ook in de chatconversatie zelf. Dat betekent dat hier zorgvuldig mee moet worden omgegaan. Juist ook bij de opslag en archivering van chatberichten. Het beleid moet beschrijven welke persoonsgegevens verwerkt worden in de chatapp(s) die onder het beleid vallen. En hoe de privacy geborgd wordt. Hier hoort dan ook het opstellen van een Data Protection Impact Assessment (DPIA) bij. In een DPIA moet het volgende worden opgenomen:
- Een systematische beschrijving van de geplande gegevensverwerking in de organisatie en het doel hiervan.
- Een beoordeling van de noodzaak en de omvang van de verwerking. Een beoordeling van de privacy-risico’s voor de mensen van wie je als organisatie de gegevens wilt verwerken.
- De beoogde maatregelen om (1) de risico's aan te pakken (zoals waarborgen en veiligheidsmaatregelen) en (2) aan te tonen dat de organisatie voldoet aan de AVG-bepalingen.
- Hoe dit vorm kan worden gegeven staat bijvoorbeeld in het Afwegingskader Chat van de Rijksoverheid. Hierin gaat het over welke berichten privé, partijpolitiek of personeelsvertrouwelijk zijn, en welke zakelijk.
NB: Voor het Rijksbeleid Chatarchivering is al een DPIA gemaakt. Rijksorganisaties hoeven dus niet zelf een DPIA uit te voeren, tenzij zij willen afwijken van het rijksbrede beleid.
Maak een keuze voor beveiliging
Chatapps maken over het algemeen gebruikt om snel en veilig informatie uit te wisselen met gebruik van end-to-endencryptie (E2EE). Ook wel end-to-end-versleuteling of begin-tot-eindversleuteling genoemd. Het is het versleutelen van berichten op een zodanige wijze dat alleen de zender en ontvanger de inhoud van berichten kunnen lezen. Hiervoor wordt gebruik gemaakt van een protocol dat verschillende applicaties gebruiken. Zoals Signal, WhatsApp en Facebook Messenger. Dit Signal Protocol gebruikt verschillende technieken om een E2EE-verbinding mogelijk te maken waaronder het Double Ratchet-algoritme, elliptische curve Diffie-Hellman (ECDH) en AES-256.
End-to-end encryptie is veilig, hoewel er mogelijkheden zijn om deze te omzeilen en dus toch met berichten mee te lezen. Dit is vanwege privacy en informatiebeveiliging onwenselijk. Echter voor archivering is het juist wel nodig dat de organisatie toegang heeft tot de berichten. Deze moeten door de organisatie in beheer kunnen worden genomen. Bij de archivering moet de encryptie wel worden verwijderd.
Weeg nieuwe functies in Chatapplicaties (WhatsApp) zorgvuldig af
Bij het gebruik van chatapplicaties bedoeld voor consumenten loop je een risico. Bij de afname van een consumentenproduct heb je als organisatie in de regel geen controle over welke functies worden aangeboden. En vaak ook niet over de eigen zakelijke informatie. Het beheer ligt bij de aanbieder en de communicatie gaat over de servers van deze organisatie. Je moet als organisatie afwegen of je dit acceptabel vindt.
Voorbeeld: Een recente ontwikkeling is het aanbieden van Generatieve AI in WhatsApp. Bij het gebruik van de AI-functie heeft Meta beperkte toegang tot het appverkeer. Het kan deze informatie gebruiken om het AI-model verder te trainen. Deze functie is door Meta geïntroduceerd vanuit hun belang; als organisatie heb je hierin geen inspraak. Betrek dan ook alle stakeholders van de organisatie bij wanneer je aan de slag gaat met beleid maken voor chatarchivering.
Maak een keuze voor opslag
Kies je voor opslag op eigen servers (al dan niet een eigen cloudomgeving)? Of maak je gebruik van de door de leverancier gebruikte cloudopslag? Volg bij het maken van deze keuze het informatiebeveiligingsbeleid van de organisatie (gebaseerd op NIS2). En kijk ook naar het cloudbeleid van de organisatie zelf of naar die van de overheidslaag. Afhankelijk van de informatie die via de app gedeeld wordt, moet een keuze worden gemaakt. Er komt nieuw cloudbeleid voor de gehele overheid. Vanaf dat moment is er minder vrijheid op dat gebied voor de eigen organisatie.
NB. Over het algemeen geldt dat een eigen omgeving voor de opslag van de informatie de meeste veiligheid biedt. Dit geniet de voorkeur.
Tenslotte moet de organisatie in het chatbeleid opnemen hoe de informatie uit de chatapplicaties gewaardeerd en geselecteerd wordt. Dit betekent een keuze voor een bepaalde methodiek. Je kan kiezen voor het gebruik van de sleutelfunctiemethodiek of voor de procesgerichte aanpak.
De sleutelfunctiemethodiek is de Nederlandstalige term voor de Capstone-methode. Deze door de National Archives and Records Administration (NARA) in de VS ontwikkelde methode is gebaseerd op het uitgangspunt dat sleutelfuncties zogenoemde informatieknooppunten zijn. Hier komt informatie van de gehele organisatie bij elkaar. Door die informatie te bewaren valt het handelen van de organisatie op hoofdlijnen te reconstrueren. Daarmee wordt ook toekomstig (historisch) onderzoek geborgd. Dit is in lijn met de vormvrijheid van selectielijsten zoals beschreven in de Nota van Toelichting bij het Archiefbesluit: selectielijsten kunnen o.a. ingedeeld worden naar informatiestromen. Waar zowel e-mail als chatberichten een voorbeeld van zijn. In feite betekent de sleutelfunctiemethodiek dat context toegekend wordt op basis van functie in plaats van werkproces.
Procesgerichte aanpak. Bij een selectielijst gebaseerd op de werkprocessen van de organisatie (de bestaande selectielijst) moeten alle berichten op basis van de werkprocessen worden geselecteerd. Context en waardering wordt dus toegekend op basis van het werkproces.
NB: Zie module Bepaal selectiemethode voor meer informatie.
Voorbeeld beleid: Beleidslijn Archivering Chatberichten Rijksoverheid.
In de beleidslijn staan afspraken en (gedrags)regels rond het gebruik van berichtenapps en archivering van chatberichten en -gesprekken voor de rijksoverheid. Het biedt richtlijnen en toelichting.