Netwerkschijven bijten Wet Open Overheid en AVG in de staart

9 september 2019
Netwerkschijven bijten Wet Open Overheid en AVG in de staart

Een gemiddelde overheidsorganisatie beschikt al snel over honderdduizenden bestanden. Met iets grotere organisaties zijn het er naar schatting miljoenen. Handmatig uitzoeken wat belangrijk is en wat niet, is niet te doen. Maar hoe pak je deze ongestructureerde databerg aan? (Dit is de derde blog in ons drieluik over het belang van kwalitatieve data voor informatiegestuurd werken.)

In onze eerdere blogs in deze serie hadden we het over de databerg, die je kunt beschouwen als een ijsberg: het grootste deel is onzichtbaar en je hebt geen idee welke data zich daar bevinden, laat staan dat je weet wat erin zit. De berg groeit bij een gemiddelde organisatie met een onrustbarende snelheid van vele gigabytes per jaar.

Essentiële informatie

Maar dat betekent niet dat je dit zomaar kunt laten voor wat het is. Er kan essentiële informatie in zitten, die je nodig hebt om informatiegestuurd te kunnen werken. Bovendien heb je als overheid te maken met wetten en regels die bepalen dat je informatie moet kunnen terugvinden, denk aan de Wet openbaar bestuur (straks Wet open overheid) en de AVG. De berg wordt hoger waar je bij staat, dus waar moet je überhaupt beginnen?

Netwerkschijven

De grootste pijn blijkt meestal te zitten in de opslag die een organisatie gebruikt, over het algemeen te vinden op netwerkschijven. Wanneer je zo’n schijf opent lijkt het nog mee te vallen, maar al snel kom je problemen tegen:

  • Een wildgroei aan mappen met onduidelijke benamingen. Of duplicaten. De mappenstructuur wordt na verloop van tijd zo diep, dat back-ups niet meer willen draaien omdat de paden te lang worden.
  • Geen informatiebeleid of -beheer. Bestanden die allang vernietigd hadden moeten zijn, slingeren nog rond. Tegelijkertijd is informatie die voor de eeuwigheid moet worden bewaard, nergens te vinden. Archiefwet? Wat is dat? Wet openbaar bestuur (straks Wet open overheid): een verzoek is bij voorbaat kansloos.
  • Persoonsgegevens staan overal en nergens. De AVG wordt met voeten getreden, en een verzoek om persoonsgegevens op te lepelen, laat staan te wissen, kan lang wachten op een antwoord.
  • Medewerkers slaan documenten op onder alleen voor henzelf herkenbare namen. Notitie Beleid Overig.docx. Collega gebruikt juist Beleid Notitie Divers.docx. En dan vergeten we nog de vele documenten Document10.docx.
  • Geen informatie óver de informatie: metadata ontbreekt.

Aanpak

Hoe ga je dit datamonster te lijf? Hak het in stukken en pel het af. Belangrijk daarbij is dat het niet de bedoeling is, en ook onverstandig, om alles tegelijk te onderzoeken. Begin bij één proces of onderdeel van de organisatie. Handmatig is dit natuurlijk niet te doen. Doxis vindt dat ook en maakt gebruik van slimme software die de netwerkschij(f)en van dat onderdeel of proces scant en classificeert. Enerzijds krijg je zo snel inzicht in wat je hebt, anderzijds kun je overbodige bestanden verwijderen en zorg je voor betere naamgeving.

Vervolgens kun je de uitkomsten van het rapport analyseren: wat is het, hoeveel is het, wat is de kwaliteit en hoe wordt het gebruikt? Maar daarmee ben je er nog niet. Ga in gesprek met de belanghebbenden van het desbetreffende proces of de desbetreffende afdeling. Die kunnen antwoord geven op de vragen die uit het rapport opdoemen: “Waarom zijn zoveel documenten uit de categorie Sociaal Domein in jaar XX naar de schijf verplaatst en daarna nooit meer geraadpleegd?”

Compliance, Risk Management en Governance

De heilige drie-eenheid op het gebied van informatiebeheer. Met Compliance voldoe je aan wet- en regelgeving, Risk Management bepaalt in hoeverre je risico’s wilt uitsluiten en welke risico’s je bereid bent voor lief te nemen. Governance staat voor goed bestuur als overheidsorganisatie. Hiermee ga je het rapport over de data te lijf. Elke beslissing die je – samen met de belanghebbenden – neemt moet gebaseerd zijn op een van de drie bovengenoemde beleidsbepalingen:

  • Goed om te weten, maar we hoeven verder geen actie te ondernemen (geweldig natuurlijk maar wel een beetje onbevredigend);
  • We kwamen wel wat gekke dingen tegen, dus het is een goed idee om nog een paar processen of afdelingen onder de lopen te nemen (hopelijk valt het mee, maar we hebben zo onze bedenkingen);
  • Het is toch een beter idee om de héle organisatie te inventariseren (we zien de noodzaak tot verandering in, maar we zijn nog niet in paniek);
  • We pakken helemaal door en gaan voor een integrale aanpak van ongestructureerde data (help!).

Kortom, stel prioriteiten, houd de organisatiedoelen in het oog, weeg af welke informatie belangrijk is en begin met een enkel proces of afdeling. Daarna pas op de plaats, analyseren en bepalen wat de vervolgstappen moeten zijn. Misschien wel geen. Maar die komt dan wel vanuit een visie.