Nee, NEN 2082 is geen wettelijke verplichting

LeveranciersVerbazing & Ongeloof - foto: Eric Burger en archivarissen claimen vaak dat een recordsmanagement applicatie voor een overheidsorganisatie krachtens de Archiefwet gecertificeerd zou moeten zijn conform de Nederlandse norm NEN2082 Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur (juni 2008). Dat is niet correct. Of is het niet meer correct? Ik blogde daar eerder over in 2012 en 2013. Naar aanleiding van een actuele Twitter-discussie een update.

Eerder deze week publiceerde BRAIN, de branchevereniging van archiefinstellingen in Nederland, modellen voor een gemeentelijke Archiefverordening en een Besluit Informatiebeheer. Bij deze nog eens met plezier onder de aandacht gebracht. Mijn belangstelling ging overigens uit naar een toelichting in de modelverordening bij artikel 3:

“Artikel 3 De verplichting tot het hanteren van een kwaliteitssysteem voor het beheer van de archiefbescheiden vloeit voort uit artikel 16 van de Archiefregeling. De toelichting op dit artikel stelt: ‘De kern van dit artikel is dat elke overheidsorganisatie kwaliteitseisen stelt aan informatie- en archiefmanagement in overeenstemming met haar verantwoordelijkheden en uitvoering van taken.’ Het beheer van de archiefbescheiden dient vervolgens te voldoen aan de eisen onder andere door deze regelmatig te toetsen.”

Anders dan deze toelichting op de modelverordening bevatte die Toelichting op de Archiefregeling 2009 vervolgens een verwijzing naar de Nederlandse norm NEN 2082:

Van belang voor een kwaliteitssysteem is dat aan bepaalde standaarden wordt voldaan. Eén daarvan is NEN 2082:2008 nl.”

Dit is – of was – de enige verwijzing naar deze norm in Nederlandse wet- en regelgeving. In oktober 2013 vaardigde de Minister van Onderwijs, Cultuur en Wetenschap een regeling uit, die kabinetsbeleid van 2011 implementeerde (nl. om vrijwillig toepassen van normen te bevorderen; dwingende verwijzingen naar normen in wetgeving moesten in 2014 zijn voltooid). Vandaar ook de wijziging van de Archiefregeling, die op dat vlak uitblonk in verwijzingen naar duurzame materialen. En dus ook naar de NEN 2082.

Ondanks deze wijzigingen bleven archivarissen en leveranciers evenwel volhouden dat toepassing van NEN 2082 bij de aanschaf van recordsmanagement applicaties, of recordsmanagement als functionaliteit in zaaksystemen een wettelijke verplichting zou zijn. Een kleine geanonimiseerde bloemlezing:

“Het certificaat bewijst dat … geschikt is voor professioneel en veilig informatiemanagement volgens de NEN 2082 en de (Archief-)wet”

“…door de inzet van een Open source PDF creator wordt volledig voldaan aan de NEN-2082 norm”

“Door te voldoen aan NEN 2082 bevestigd (sic) .. formeel dat … aan alle wettelijke voorschriften op het gebied van … archivering voldoet”

Na enig heen en weer getwitter in de archiefgemeenschap kwam er ook een helder-maar-niet-helemaal-correct- bericht van de branchevereniging van archiefinstellingen:

“NEN 2082 is niet wettelijk verplicht. NEN-normen zijn sinds 2010 uit Archiefregeling. Toepassing is uiteraard wel verstandig”

Nu ja, de normen zijn er nog, maar de verplichting is weg sinds 2013. Een duidelijk verhaal van de Erfgoedinspectie zou natuurlijk meer zekerheid scheppen. Ik weet uit ervaring dat business en ICT in overheidsorganisaties zich met frisse tegenzin door hun archivarissen laten overtuigen van deze ‘wettelijke verplichting’ en bij aanbestedingen akkoord gaan met de eis – en dus de kosten – van NEN 2082 compliancy. Ook leveranciers moeten, om vervolgens aan die eis te voldoen, zich in bochten wringen om hun oplossing compliant aan te kunnen bieden. Een duur certificeringstraject is het gevolg. Hoewel de kwaliteit daarvan, onder andere door toedoen van Van Bussels expertise, buiten discussie is, zitten er toch haken en ogen aan.

De waarde van het ‘certificaat’ (zoals het bij ECB heet, overigens niet bij VBDS) is relatief: de bureaus zijn niet geaccrediteerd. Ook bevat de norm veel aanwijzingen voor de inrichting van de ICT-organisatie die buiten de scope van het product zelf liggen. Verder zegt de certificering niets over het gebruik van het systeem door de medewerkers. En zal je als organisatie rekening moeten houden met structurele kosten, aangezien de toetsingen een beperkte geldigheidsduur hebben. Tot slot is NEN 2082 ook nog eens een Nederlandse norm, zodat dezelfde eisen niet aan een buitenlands product kunnen worden gesteld. De achterstand van Microsoft SharePoint, dat noch aan de NEN 2082, noch aan de Amerikaanse DoD5015.2 voldeed, is inmiddels ingelopen doordat verschillende getoetste SharePoint producten op de Nederlandse markt zijn gebracht

Wat recordsmanagement oplossingen betreft is mijn motto nog steeds dat een oplossing waar méér te archiveren documenten in worden gevangen door enthousiaste gebruikers mij meer waard is dan een op en top gecertificeerd systeem dat niet of slechts door een beperkte groep in de organisatie wordt gebruikt. Daarom hecht ik ook meer aan een in de organisatie verankerd recordsmanagement beleid op basis van NEN/ISO 15489-1 (inmiddels ook in revisie). De Nederlandse norm NEN 2082 kan daarnaast een door de organisatie zelf toe te passen toetsinstrument zijn, waarbij begrip van de risico’s van toepassen/niet toepassen van de individuele eisen voor mij voorop zou moeten staan. Wat gezien de tamelijk onleesbare formulering al een uitdaging is. Alleen dan zal de waarde van investeringen kunnen worden afgewogen.

Een voorbeeld? De NEN 2082 stelt eisen aan de ‘authenticiteit, betrouwbaarheid, integriteit en bruikbaarheid’ van archiefbescheiden na opname in het archiefsysteem en ook ‘na elke conversie of migratie.’ Ook moet een archiefstuk kunnen worden gepresenteerd ‘met behoud van de vastgelegde essentiële kenmerken van vorm, structuur en eventueel gedrag.’ Meestal worden documenten naar het duurzame format PDF/A geconverteerd. Maar zeker bij MSExcel bestanden komt dat de ‘bruikbaarheid’ en het ‘gedrag’ niet ten goede. Een praktische oplossing is het opnemen in twee formaten, het oorspronkelijke en het duurzame. Hoewel de norm zich verzet tegen het meer dan enkelvoudig opnemen van een document, zou je de twee verschillende formaten ook als verschillende documenten kunnen beschouwen. Maar ideaal is hier geen enkele oplossing en is het goed als de organisatie op basis van praktische en risico-gebaseerde afwegingen een beste oplossing kiest.

Dat basale voorwaarden aan een archiefsysteem zullen bijdragen aan behoud voor bedrijfsvoering, verantwoording en cultureel erfgoed zal ik niet ontkennen en juist met hand en tand verdedigen. Een record mag niet gemuteerd of verwijderd worden, zeker. En moet ook na vele jaren, afhankelijk van een inderdaad verplicht toe te passen termijn leesbaar blijven. Maar waar het al moeizaam genoeg is om een gemiddelde organisatie zijn multifunctional park in PDF/A te laten scannen, vind ik dat we ons beter nog wat kunnen matigen in al te veel archivistische overkill.

 
Reacties
Johannes Lijnse

Eric, wat een mooi verhelderend stuk heb je geschreven over het wel en wee van de NEN 2082 norm. Daar vervanging bij mijn landelijke rijksoverheid organisatie op dit moment een hot item is, geven jouw inzichten mij een samenvattend kader om op verder te bouwen. Dank hiervoor!

Schrijf een reactie