Deze pagina is onderdeel van de Eisen voor de duurzame toegankelijkheid van overheidsinformatie (DUTO-eisen).
Eis
Informatieobjecten zijn ingedeeld in risicoklassen. Per risicoklasse is het toegankelijkheidsniveau bepaald waaraan de betreffende informatieobjecten moeten voldoen.
Doel
Voor huidige en toekomstige gebruikers is het duidelijk welke mate van toegankelijkheid van informatie ze mogen verwachten en waar keuzes daarin op gebaseerd zijn. Op basis hiervan kan een gebruiker desgewenst bezwaar maken tegen de gemaakte keuzes en de eventuele gebreken in de implementatie van de kwaliteitseisen voor toegankelijkheid.
Toelichting
Het belang van de toegankelijkheid van specifieke informatie is sterk afhankelijk van de aard van de informatie, de context waaruit het voort komt en de gebruikersgroep die er belang bij heeft. Het is daarom onnodig (en onbetaalbaar) om in alle gevallen dezelfde kwaliteitseisen te stellen aan de toegankelijkheid van informatie. Bijvoorbeeld een eerste kladversie van een notitie is van beperkt belang en dat ook nog eens alleen voor de direct betrokkenen. Maar bijvoorbeeld alle stukken rondom formele besluitvorming zijn van groot belang voor latere verantwoording.
Om de balans te bepalen tussen de kosten en baten van de toegankelijkheid van informatie wordt een risicoanalyse uitgevoerd. In een risicoanalyse wordt de informatie die een overheidsorgaan beheert, opgedeeld in zogenaamde risicoklassen. Per risicoklasse is beschreven wat de risico's zijn als informatie uit de risicoklasse niet toegankelijk is. Vervolgens wordt aan elke risicoklasse een toegankelijkheidsniveau gekoppeld; bijvoorbeeld Hoog, Midden of Laag. Voor elk toegankelijkheidsniveau is vastgelegd aan welke van de DUTO-eisen minimaal voldaan moet worden om de risico's acceptabel te houden. Aan een toegankelijkheidsniveau kunnen ook organisatiespecifieke kwaliteitseisen worden toegevoegd.
De beschrijving van de risicoklassen en bijbehorende toegankelijkheidsniveaus zijn in principe openbaar. Zodat belanghebbenden daar kennis van kunnen nemen en bezwaar kunnen maken (binnen de daarvoor bestemde procedures, overleggen enzovoort).
Potentiële risicogebieden zijn (deze opsomming is ontleend aan Baseline Informatiehuishouding Rijksoverheid(Deel II):
- Politiek-bestuurlijke risico’s. De politiek verantwoordelijke moet zich ten opzichte van de volksvertegenwoordiging kunnen verantwoorden over zowel beleids- als uitvoeringsprocessen. Is de overheidsinformatie daarvoor niet toereikend, dan kan er een politieke en/of bestuurlijke crisis ontstaan en kan het vertrouwen in de democratie worden aangetast.
- Maatschappelijke risico’s. Burgers, bedrijven en instellingen moeten kunnen teruggrijpen op overheidsinformatie, zo nodig zeer langdurig. Het gaat hierbij om het feit dat overheidsarchieven ten dienste staan van recht- en bewijszoekenden en een culturele en historische waarde kunnen vertegenwoordigen. Anderzijds moeten burgers erop kunnen vertrouwen dat de overheid zorgvuldig en rechtmatig omgaat met gevoelige informatie zoals persoonsgegevens. Als het informatiebeheer niet op orde is, kan de overheid niet aan de eisen en verwachtingen vanuit de samenleving voldoen. Het vertrouwen in de overheid en in de democratische rechtsorde en het langetermijn-geheugen van overheid en samenleving wordt dan aangetast.
- Bedrijfsvoeringsrisico’s. Procesinformatie is onontbeerlijk voor een efficiënte en effectieve bedrijfsvoering; lacunes in deze informatie kunnen de bedrijfsvoering verstoren. Dat kan materiële en/of financiële schade tot gevolg hebben, de doelmatigheid van het overheidsapparaat aantasten en de dienstverlening aan de burger doen verslechteren.
Implementatieadvies
- Definieer de risicoklassen eenduidig op basis van het informatietype en het procestype. Dit maakt het voor medewerkers en applicaties eenvoudiger om te bepalen tot welke een bepaald informatieobject behoort. Zo nodig kunnen hiervoor ook andere metagegevens gebruikt worden.
- Combineer de risicoanalyses voor duurzame toegankelijkheid met de risicoanalyse voor het opstellen van de selectielijst. De risico's die het beheerregime en de bewaartermijnen bepalen zullen vaak gerelateerd zijn.
- Combineer de risicoanalyses voor duurzame toegankelijkheid met de risicoanalyses voor andere aspecten van informatiebeheer, zoals beveiliging en privacy. Vaak zijn de risico aan elkaar gerelateerd. Een gedeelde risicoanalyse bespaart dan inspanning en zal van een betere kwaliteit zijn, omdat verschillende inzichten met elkaar gecombineerd worden.
- DUTO beschrijft geen specifieke methode voor risicoanalyse. Aangeraden wordt om daarvoor gebruik te maken van bestaande methoden voor risicoanalyse. Als er voldoende vraag naar is kan in DUTO een handreiking voor risicoanalyse worden opgenomen.
Voorbeelden
- Een risicoklasse kan zijn 'alle communicatie met leveranciers'. Een bijbehorend risico is bijvoorbeeld het verliezen van een rechtszaak over de rechtmatigheid van een aanbesteding.
- Een ander voorbeeld van een risicoklasse is 'alle in- en externe communicatie over beleidskeuzes'. Een bijbehorend risico is bijvoorbeeld dat een Woo-verzoek of Kamervraag over de beleidskeuzes niet tijdig beantwoord kan worden, of dat het heel veel inspanning kost.
- Niet alle risico's hebben te maken met de openbaarheid. Een risico kan bijvoorbeeld ook zijn dat medewerkers veel tijd kwijt zijn om de informatie te vinden die ze nodig hebben om hun werk goed te doen.
Bronverwijzingen
- Baseline Informatiehuishouding Rijksoverheid (Deel II) (hoofdstuk 4: De basics van de Baseline)
- ISO 15489-1 (hoofdstuk 8.4.c: Identificatie van eisen aan archiefbescheiden)