Wanneer jouw organisatie binnen een keten werkt, moet dit ook zijn weerslag vinden in de selectielijst van de organisatie. Kortgezegd moet de selectielijst aansluiten bij de manier waarop de samenwerking is ingericht. De beschrijving van de ketensamenwerking en ketenprocessen leidt tot een iets andere dynamiek dan bij interne processen.
Bij actualisering van een bestaande selectielijst zijn deze processen vaak al omschreven. Het is dan vooral belangrijk om te controleren of de beschrijving en waardering goed aansluit bij de selectielijsten van ketenpartners. Bij het opstellen van een selectielijst gebruik je de handreiking Waardering en selectie. Voor informatie in processen in ketens zijn er specifieke aandachtspunten:
- randvoorwaarden;
- systeemanalyse;
- risicoanalyse;
- beschrijven categorieën;
- toepassen beslisregels.
De stappen die vallen onder deze aandachtspunten komen overeen met de stappen in de handreiking Waardering en selectie. Maar zijn toegespitst op ketens.
Traject voor (een koepelorganisatie van) decentrale overheidsorganisaties
Zoals aangegeven bij de handreiking Waardering en selectie hanteren gemeenten, provincies, waterschappen en gemeenschappelijke regelingen dezelfde methodiek als de rijksoverheid. Maar zij machtigen hun koepelorganisaties tot het opstellen van een gezamenlijke selectielijst. Wanneer bovenstaande organisaties tegen problemen en uitdagingen aanlopen bij het toepassen van de selectielijst moeten ze contact zoeken met hun koepelorganisaties. Voor meer informatie kun je terecht bij (de website van) VNG, IPO of UvW, en (de toelichting op) de selectielijsten in kwestie.
Bij de inrichting van de ketensamenwerking moet je aan bepaalde randvoorwaarden voldoen. Deze randvoorwaarden gelden ook als je een selectielijst opstelt waarin keteninformatie voorkomt..
- Een overzicht van taken, bevoegdheden en verantwoordelijkheden van ketenpartners.
- Een overzicht van en inzicht in processen, overheidsinformatie, applicaties, de gehanteerde standaarden en hun samenhang in de keten.
- Een duidelijk overzicht van wie zorgdrager is voor welke keteninformatie.
Mochten de overzichten niet aanwezig of onvolledig zijn, ga dan parallel met de intake van de nieuwe selectielijst aan de slag met het verkrijgen van overzicht en inzicht.
Voer de systeemanalyse uit om te bepalen wat permanent wordt bewaard. Voor keteninformatie krijgen de volgende stappen in de systeemanalyse extra aandacht:
| Stap | Toelichting | Voorbeeld |
|---|---|---|
| Beschrijf besluitvormende overlegstructuren van de organisatie | Beschrijf organisatie-overstijgende besluitvormende overleggen binnen de ketensamenwerking. Denk bijvoorbeeld aan een terugkerend interbestuurlijk ketenoverleg. | Het Lokaal Ketenoverleg |
| Beschrijf de relatie met andere organisaties | Beschrijf met welke ketenpartners en in welke ketens de organisatie samenwerkt en op welke manier. Als het gaat om grootschalige of gecompliceerde ketens is het handig om dit in een schema weer te geven. | Zie pagina 21 van het Informatiemodel keten inburgering |
| Beschrijf de cruciale processen van de organisatie | Voer je een bepaald cruciaal proces uit samen met een andere ketenpartner? Controleer dan welk beeld de ketenpartner van de samenwerking heeft. En of de ketenpartner dit proces ook als cruciaal beschouwt. Ketenpartners moeten eenzelfde beeld hebben over hoe lang bepaalde keteninformatie beschikbaar is in de keten. | Ketenpartner 1 is opgericht met het doel bepaalde vergunningen te verlenen. En beschouwt dit als een cruciaal proces van de organisatie. Dit proces wordt samen met ketenpartner 2 uitgevoerd. Maar die heeft hierbij een kleinere rol. En beschouwt het proces voor de eigen organisatie niet als cruciaal. Dit kan ertoe leiden dat ketenpartner 1 het proces waardeert met te bewaren en ketenpartner 2 met te vernietigen. |
| Beschrijf de systematische registraties van de organisatie | Systematische registraties (waaronder basisregistraties) zijn vaak het product van een ketensamenwerking. Of worden gebruikt binnen een ketensamenwerking. | Stelsel van Basisregistraties |
Binnen een informatieketen kunnen processen sterk afhankelijk zijn van meerdere ketenpartners. Keteninformatie wordt ook per definitie veel gedeeld en hergebruikt. Ga hierover in gesprek met de andere ketenpartner(s) en kies waar mogelijk voor dezelfde waardering. Dit zorgt voor samenhang tussen overgebrachte informatieobjecten van ketenpartners.
De uitvoering van de systeemanalyse kan leiden tot verschillende waarderingen. Stem dit af en verwijs naar de betreffende categorie in de selectielijst(en) van de ketenpartner(s).
Met een risicoanalyse bepaal je de bewaartermijnen van te vernietigen keteninformatie. Bij keteninformatie krijgen de volgende stappen in de risicoanalyse extra aandacht:
| Stap | Toelichting | Voorbeeld |
|---|---|---|
| Vermeld wet- en regelgeving die bewaartermijnen en andere relevante bepalingen voorschrijven | Een belangrijke vraag om te beantwoorden is of wet- en regelgeving door de ketenpartners hetzelfde worden geïnterpreteerd. | Een wet schrijft voor dat informatie uit een ketenproces ten minste twee jaar moet worden bewaard. Ketenpartner 1 wil op basis van die wet informatie uit het proces vernietigen na twee jaar, ketenpartner 2 na vijf jaar. |
| Beschrijf de risico’s | Wat kunnen de gevolgen zijn als jouw organisatie keteninformatie vernietigt terwijl een andere ketenpartner deze informatie nog nodig heeft? Is er daarnaast ook een afbreukrisico voor de hele keten als jouw organisatie keteninformatie te vroeg vernietigt of langer bewaart dan nodig is? | Ketenpartner 1 beheert gegevens in opdracht van ketenpartner 2. Via een informatiebeveiligingsincident binnen de organisatie van ketenpartner 1 worden deze gegevens openbaar. Na onderzoek blijkt dat deze gegevens volgens sectorale wetgeving al vernietigd hadden moeten zijn. Dit incident kan een negatieve invloed hebben op de organisatie van ketenpartner 1 maar ook op die van ketenpartner 2. |
| Verantwoord de classificatie van risico’s | Beschrijf hoe groot de bovengenoemde risico’s zijn voor het te vroeg of te laat vernietigen van keteninformatie. | Hiervoor kun je bijvoorbeeld de handreiking Ketenrisicoanalyse gebruiken van de IBD en VNG. Deze analyse gaat uit van risico’s vanuit de Baseline Informatiebeveiliging Overheid (BIO). |
Bespreek met ketenpartners de risico’s van het te vroeg of te laat vernietigen van keteninformatie. Overleg over de risico’s van te vroeg vernietigen is noodzakelijk. Ketenpartners kunnen veronderstellen dat bepaalde informatie nog ergens anders wordt bewaard terwijl deze al is vernietigd. Stem daarnaast bewaartermijnen van keteninformatie zoveel mogelijk af op bewaartermijnen van ketenpartners. De risicoanalyse kan echter aanleiding geven tot andere bewaartermijnen van dezelfde categorieën.
Als ketenpartners sterk van elkaar afhankelijk zijn voor het uitvoeren van een proces, is het noodzakelijk om in de eigen selectielijst te verwijzen naar de categorie in de selectielijst(en) van de ketenpartner(s). Ook is het belangrijk om in de eigen selectielijst de categorie of het informatieobject zoveel mogelijk op dezelfde manier te beschrijven als in de selectielijst(en) van de ketenpartner(s). Op die manier zorg je ervoor dat de eigen selectielijst goed aansluit op die van de ketenpartner(s). En dat inzichtelijk is welke ketenpartner welke informatie bewaart en hoe lang. Zo voorkom je dat ketenpartners bij het opstellen en toepassen van de eigen selectielijst langs elkaar heen werken.
Houd bij het omschrijven van de categorieën ook rekening met de toepassing ervan: de categorieën moeten wel te gebruiken zijn in de vorm van beslisregels. Hoe je dat kunt doen, lees je onder Toepassen beslisregels bewaartermijnen in een keten.
Om de selectielijst uit te voeren is het nodig om de bewaartermijnen in te voeren in applicaties. Hiervoor stel je beslisregels op. Deze moeten dan natuurlijk aansluiten bij de categorieën en waarderingen die in de selectielijst zijn opgesteld. Hoe je dat doet, staat in de handreiking Waardering en selectie. Maar in een informatieketen, komt er in bepaalde gevallen meer bij kijken. Het gaat dan om de implementatiepatronen zoals benoemd in module 3.
| Implementatiepatroon | Beslisregels opstellen |
|---|---|
| 1. Silo's | Beslisregels worden per organisatie doorgevoerd aan de hand van de handreiking Waardering en selectie. |
2. Gemeenschappelijke voorziening 3. Centrale applicatie | De applicatie/voorziening wordt in ketens vaak gebruikt voor de opslag en uitwisseling van keteninformatie. Die informatie wordt dan eenmalig opgeslagen en meervoudig gebruikt. Het is dan zaak om de beslisregels in te richten op de verbindingen tussen de keteninformatie en de zorgdrager. De keteninformatie wordt ontoegankelijk gemaakt voor de organisatie op basis van de respectievelijke selectielijsten. Wanneer geen verbindingen meer bestaan, wordt het informatieobject vernietigd. |
Dit kan er in de praktijk als volgt uitzien:
- Meerdere organisaties maken gebruik van één informatieobject. Die is bijvoorbeeld opgeslagen in een gemeenschappelijke voorziening. In de selectielijst van organisaties wordt het informatieobject verschillend gewaardeerd: te vernietigen na tien jaar (organisatie 1) en na twintig jaar (organisatie 2).
- Na tien jaar moet organisatie 1 vernietigen, maar organisatie 2 moet het informatieobject daarna nog tien jaar blijven gebruiken. Dit betekent dat het informatieobject daarom alleen voor organisatie 2 ontoegankelijk wordt gemaakt. En dat de organisatiespecifieke gegevens worden vernietigd. Als het informatieobject uit de gemeenschappelijke voorziening zou worden vernietigd, zou het ook meteen ontoegankelijk voor de andere organisatie zijn.
- Na twintig jaar moet het informatieobject ook ontoegankelijk worden gemaakt voor de organisatie 2.
- Nu alle connecties zijn vernietigd, kan worden overgegaan tot vernietiging van het informatieobject.
Metagegevens
Aangezien meerdere organisaties gebruik maken van één informatieobject, voegen zij daar hun eigen, organisatiespecifieke metagegevens aan toe. Denk bijvoorbeeld aan het volgende:
- de waardering (te bewaren of te vernietigen) en de bewaartermijn;
- trigger start bewaartermijn;
- datum van ontvangst en verzending
- organisatieonderdeel (zoals een team of afdeling) die het proces uitvoert.
Bovenstaande situatie heeft als gevolg dat bij een informatieobject meerdere sets aan metagegevens per organisatie bij het informatieobject worden vastgelegd. Bij het informatieobject bestaat dus een set metagegevens voor organisatie 1 voor organisatie 2. En wanneer organisatie 1 gaat vernietigen moet de set aan metagegevens van organisatie 2 ook worden vernietigd.