Één risicoclassificatie voor informatie - Het Rotterdamse model (slideshare). Het model is een uitwerking van norm 3 uit de Baseline Informatiehuishouding gemeenten, die stelt dat er "risicoklassen voor informatiebeheer gedefinieerd" moeten zijn.
Sinds gisteren is het concept van het risicomodel beschikbaar voor commentaar op de website van het gemeentearchief Rotterdam.
Hieronder een aangepaste versie van het commentaar dat ik vanmorgen naar Rotterdam gestuurd heb, met daarbij de kanttekenig dat ik helemaal niet naar het excel-sheet gekeken heb, maar alleen het theoretisch model heb gelezen.
Algemeen
Het is een zeer interessant model, vooral omdat het voor mij voor de eerste keer inzichtelijk maakt hoe je “een – geprioriteerde – classificatie” en risicoklassen zou kunnen maken. Maar ik denk wel dat het er nu vooral op aan komt om het zo veel en vaak mogelijk in de praktijk te gebruiken om te bekijken of de uitkomsten bruikbaar zijn.
Ook voor toezicht geschikt?
In de tekst staat dat het “instrument is bedoeld voor lijnmanagers, informatie-architecten en procesontwerpers.” (p.3) Allereerst denk ik niet dat zij dit zelfstandig (en vrijwillig) kunnen en zullen invullen, maar ik vraag me hierbij ook af wat de rol van de archivaris / archiefinspecteur gaat zijn. Speelt de archivaris een rol bij het invullen van de risico-analyses?
Op welke manier zal dit risicomodel gebruikt (kunnen) gaan worden in het toezicht?
Gaat de archivaris (in zijn rol als toezichthouder) bekijken of de risicowaardering goed is gedaan, of gaat hij alleen bekijken of de maatregelen die op grond van de risicowaardering genomen moeten worden, ook goed (genoeg) genomen zijn? Of is er sprake van een dubbel traject: de archiefinspecteur beoordeelt in eerste instantie de individuele risicowaardering en bekijkt later of de juiste maatregelen zijn doorgevoerd?
De heiligheid van een vragenlijst
Zoals aan iedere checklist kleeft aan het instrument het risico van “heiligheid” of “onfeilbaarheid.”
Daarmee bedoel ik dat de uitkomst van bijvoorbeeld de risicoweging belangrijker wordt gevonden dan het er aan voorafgaande gesprek. Wat opgeschreven is, is waar.
Je zag dit dinsdag al gebeuren bij de demonstratie. De “proceseigenaar” vond het invullen van de getalletjes zo belangrijk dat ze over iedere kans en impact heel lang en serieus nadacht en aan het eind ook nog eens zei dat het natuurlijk maar een slag in de lucht was, omdat ze eigenlijk helemaal geen proceseigenaar is. Terwijl het maar een demonstratie was.
Een ander gevolg van “onfeilbaarheid” kan zijn dat er niet verder gekeken wordt dan het model: het model is de enige waarheid. Terwijl het natuurlijk een vereenvoudigde, in de tijd bevroren weergave van de werkelijkheid is. Je zult dus moeten inbouwen dat de risicoanalyse geregeld opnieuw wordt gedaan, bij voorkeur door andere medewerkers en je moet zorgen dat er “tegenkrachten” zijn die buiten het model kijken (bijvoorbeeld de archiefinspectie?).
Een ander gevolg van “onfeilbaarheid” kan zijn dat er niet verder gekeken wordt dan het model: het model is de enige waarheid. Terwijl het natuurlijk een vereenvoudigde, in de tijd bevroren weergave van de werkelijkheid is. Je zult dus moeten inbouwen dat de risicoanalyse geregeld opnieuw wordt gedaan, bij voorkeur door andere medewerkers en je moet zorgen dat er “tegenkrachten” zijn die buiten het model kijken (bijvoorbeeld de archiefinspectie?).
(Deze wijsheid heb ik niet van mezelf, maar is mijn “vertaling” van het rapport van de ROB. Zie ook KPI, perversiteit en de kikker)
Risico’s inschatten
Mijn algemene bezwaar bij / probleem met risicomodellen is dat het de indruk van accuraatheid en precisie geeft (door de absolute getallen en de vermenigvuldiging), terwijl het vaak maar een slag in de lucht is. Want hoe zou je moeten inschatten hoe groot de kans is dat een balkon instort, een vuurwerkopslagplaats ontploft of bruggen overbelast worden?
Risico’s inschatten
Mijn algemene bezwaar bij / probleem met risicomodellen is dat het de indruk van accuraatheid en precisie geeft (door de absolute getallen en de vermenigvuldiging), terwijl het vaak maar een slag in de lucht is. Want hoe zou je moeten inschatten hoe groot de kans is dat een balkon instort, een vuurwerkopslagplaats ontploft of bruggen overbelast worden?
En nog lastiger is het om in te schatten wat de bestuurlijke risico’s zijn. Die hangen namelijk heel erg af van de positie van de bestuurders en de luimen van de volksvertegenwoordigers. Ook dit maakt regelmatige herhaling en een prominente inzet van “tegenkrachten” noodzakelijk.
Tenslotte nodigt de methode misschien ook wel uit tot marchanderen: als ik als proceseigenaar vind dat ik te veel beheersmaatregelen moet nemen, schat ik een risico bij nader inzien misschien wel op een 5 in plaats van een 7, of een 4 in plaats van een 6. (Een beetje vergelijkbaar met het verdelen van de aftrekposten bij de aangeven van de inkomstenbelasting.)
Tenslotte nodigt de methode misschien ook wel uit tot marchanderen: als ik als proceseigenaar vind dat ik te veel beheersmaatregelen moet nemen, schat ik een risico bij nader inzien misschien wel op een 5 in plaats van een 7, of een 4 in plaats van een 6. (Een beetje vergelijkbaar met het verdelen van de aftrekposten bij de aangeven van de inkomstenbelasting.)
Het is dan zeer de vraag wat de waarde van de risicoinschatting en bijbehorende beheersmaatregelen is.
Werkt het wel?
Wat ik moeilijk kan inschatten is wat de uitkomsten van een geanalyseerd proces zouden kunnen zijn en wat dit dan betekent voor het informatiebeheer. Aan het eind staan wel de vereiste beheersmaatregelen per risicoklasse beschreven, maar ik kan niet overzien welke combinaties in de praktijk mogelijk zijn en wat dat dan betekent voor de maatregelen die de proceseigenaar zou moeten laten nemen. Het zou zomaar kunnen dat een algemeen niveau 1 (dat dus nauwelijks beheersmaatregelen eist) niet of nauwelijks voorkomt. In dat geval zou je ervoor kunnen kiezen om bijvoorbeeld niveau 2 als algemene, voor alle processen geldende “baseline” te gebruiken en dan alleen “naar boven” variëren. Maar of dit klopt moet blijken uit zo veel mogelijk invullen en testen.
En om het allemaal wat concreter te maken zou je niet alleen in de tekst meer voorbeelden moeten opnemen, maar misschien ook moeten kijken of je een analyse kunt maken van een of meer processen waarbij in het verleden incidenten hebben plaats gevonden. Op die manier kun je waarschijnlijk inschatten of de risico-analyses en erbij horende beheersmaatregelen reëel en toepasbaar zijn. En je kunt aan proceseigenaren laten zien wat de gevolgen van een verkeerde inschatting of gebrekkige beheersmaatregelen zijn.
Selectie & vernietiging
Iets anders dat opvalt is dat selectie en vernietiging nauwelijks aan bod komen. Bij niveau 1 van Raadpleegbaarheid staan de systeemfunctionaliteiten uit NEN 2082 die daar betrekking op hebben (6.5) niet genoemd.
Werkt het wel?
Wat ik moeilijk kan inschatten is wat de uitkomsten van een geanalyseerd proces zouden kunnen zijn en wat dit dan betekent voor het informatiebeheer. Aan het eind staan wel de vereiste beheersmaatregelen per risicoklasse beschreven, maar ik kan niet overzien welke combinaties in de praktijk mogelijk zijn en wat dat dan betekent voor de maatregelen die de proceseigenaar zou moeten laten nemen. Het zou zomaar kunnen dat een algemeen niveau 1 (dat dus nauwelijks beheersmaatregelen eist) niet of nauwelijks voorkomt. In dat geval zou je ervoor kunnen kiezen om bijvoorbeeld niveau 2 als algemene, voor alle processen geldende “baseline” te gebruiken en dan alleen “naar boven” variëren. Maar of dit klopt moet blijken uit zo veel mogelijk invullen en testen.
En om het allemaal wat concreter te maken zou je niet alleen in de tekst meer voorbeelden moeten opnemen, maar misschien ook moeten kijken of je een analyse kunt maken van een of meer processen waarbij in het verleden incidenten hebben plaats gevonden. Op die manier kun je waarschijnlijk inschatten of de risico-analyses en erbij horende beheersmaatregelen reëel en toepasbaar zijn. En je kunt aan proceseigenaren laten zien wat de gevolgen van een verkeerde inschatting of gebrekkige beheersmaatregelen zijn.
Selectie & vernietiging
Iets anders dat opvalt is dat selectie en vernietiging nauwelijks aan bod komen. Bij niveau 1 van Raadpleegbaarheid staan de systeemfunctionaliteiten uit NEN 2082 die daar betrekking op hebben (6.5) niet genoemd.
Hoeven die archiefstukken niet op een vernietigingslijst opgenomen te worden?
Bij de andere niveaus wordt de functionaliteit wel genoemd, maar wat dan opvalt, is dat in de “lijst van procedures en instrumenten” selectie en vernietiging ook niet voorkomen. Dat lijkt me toch wel noodzakelijk.
Maar alles overziend ben ik heel benieuwd naar de eerste uitkomsten van zo'n analyse.
Mocht je zelf ook commentaar willen geven op het model, dat kan tot 30 juni via infogar@rotterdam.nl.
Gerelateerd
KPI, perversiteit en de kikker
Over inspectie, toezicht en zelfrijzend bakmeel
Plaatje: Risk van Loop_oh
Gerelateerd
KPI, perversiteit en de kikker
Over inspectie, toezicht en zelfrijzend bakmeel
Plaatje: Risk van Loop_oh
Beste Ingmar,
BeantwoordenVerwijderenMet dank voor je commentaar: ook ik zit als archiefinspecteur te wachten op dergelijke tools, want naar mijn idee zal juist de archiefinspectie zo'n risicomodel informatiebeheer bij zijn beoordeling van de digitale informatiehuishouding willen gebruiken. Ik ga - na de vakantie - de tool in ieder geval testen!
Met hartelijke groet,
Antony Fokker.
Dank voor je reactie Antony. Hoewel ik uiteraard heel benieuwd ben naar de uitkomsten bij jullie, is het feit dat jij het gaat testen ook een van mijn bedenkingen. Natuurlijk niet dat jij persoonlijk het gaat testen, maar zoals ik hierboven in de paragraaf Ook voor toezicht geschikt? al schreef, vraag ik me af wat de archiefinspectie hiermee zou moeten doen.
BeantwoordenVerwijderen