NEN2082 – en DoD5015.2 certificering voor recordsmanagement applicaties

Precies een jaar geleden publiceerde ik mijn blog over certificering van recordsmanagement applicaties (RMA) op basis van NEN2082 Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur (juni 2008). Mijn punt was dat markt en klanten elkaar gek maken met de absolute waarde en waarheid van deze norm, terwijl een relativering ten opzichte van de certificering en de inhoud van de norm wel op zijn plaats is. De blog werd gelezen en gewaardeerd, waar ik blij mee ben. Op dat vlak van RMA normering zijn sindsdien nog interessante ontwikkelingen waar te nemen in ons vakgebied en in de markt die ik hier graag wil delen.

DoD5015.2 en SharePoint

In november 2012 ontmoette ik bij SPC12 in Las Vegas Donald Lueders van de aanbevolen blog sharepointrecordsmanagement.com. We kwamen in gesprek over certificering van recordsmanagement applicaties. Hoewel hij als expert juist betrokken was geweest bij certificeringen op basis van DoD 5015.2-STD kondigde hij in ons gesprek aan de knuppel in het hoenderhok te gaan werpen. En juist ook door het beeld dat in de markt aan het ontstaan was over SharePoint en recordsmanagement, want, aldus Lueders  ‘the DoD Standard is probably the single biggest reason so many misinformed people have so often claimed that ‘you can’t do records management in SharePoint.’ Vergelijkbaar met de situatie in Nederland, waar SharePoint voor recordsmanagement ook alleen gezien wordt als ‘goed’ als het gecertificeerd is.  In een artikel op de pagina’s van AIIM in mei van dit jaar – en onlangs nog eens met een meer persoonlijke noot –  lichtte hij zijn bezwaren tegen de norm toe.

Ten eerste, stelt Lueders, is de DoD5015.2 ontwikkeld vanuit de gedachte dat een systeem exclusief voor recordsmanagement is bedoeld, terwijl al snel systemen geïntegreerd document management èn recordsmanagement gingen aanbieden, later uitgebreid tot complete ECM platformen. Daarbij moeten de eisen van de norm, anders dan bij de NEN2082, onverkort en zonder uitzondering gehonoreerd worden om het certificaat te verkrijgen.

Ten aanzien van de inhoud van de norm gaat Lueders nog een stap verder:

“That said, there are about 170 unique functional requirements in the DoD 5015.2 and I can tell you from experience that all but a very few of them are either irrelevant, obsolete, over-engineered or completely unnecessary for managing the final stages of the information lifecycle of unstructured electronic content given today’s technology.”

Lueders stelt verder dat de metadata-eisen die de norm stelt zo vergaand zijn dat  ze “almost certainly impose an undue burden on any organization’s end users and would undoubtedly result in an extremely low (perhaps even zero) adoption rate.” Kan het hier alleen mee eens zijn, want hebben we in het verleden niet te vaak geprobeerd om gebruikers archiveringssystemen op te leggen waarbij de handmatig toe te voegen metadata iedere lust tot opslag ontnam?

Ook de vereisten voor emailarchivering worden door Lueders gehoond:

“Is it nice, for example, to be able to classify an email and all four of its attachments into different categories across the file plan, each with its own unique set of metadata and each with a link to the email and the other attachments?  Yeah, sure.  Will anyone in a real world implementation ever actually do that for one email, much less the multiple email records they may have to declare every day?  No, absolutely not.”

Zijn kritiek hier raakt aan wat voor hem de kern is, namelijk dat de norm vergaande eisen stelt die niet allemaal nodig zijn om een document door de tijd heen te behouden. En dat eisen bovendien in software of maatwerk moeizaam als standaardproduct zijn aan te bieden of voor een groot aantal organisaties echt relevant.

NEN2082 en Decos

Herkennen we dat niet van de Nederlandse situatie met de NEN2082? Dacht van wel. Hadden we lange tijd wel gecertificeerde en niet-gecertificeerde oplossingen, inmiddels kunnen we ook inzicht verwerven in het certificeringsproces zelf. Want wat koop je nu precies als je een NEN2082 gecertificeerde RMA oplossing koopt? Het stempel zelf zegt zo weinig, zeker als je de norm kent en weet hoe onmogelijk het is deze onverkort toe te passen.

Decos was één van de eerste gecertificeerde producten. Decos 5.2 is net als twee voorgaande releases gecertificeerd. Maar Decos is zo transparant geweest de toepassing van de norm artikel voor artikel toe te lichten. In een 168 pagina’s dik document wordt gedetailleerd beschreven hoe het artikel geïnterpreteerd is (dat is ook wel nodig, de norm vereist hogere archivistische exegese), een voorbeeld van de toepassing met schermafdrukken en een beoordeling door de auditor. Een enkele keer vereist het interpreteren wel wat bochten wringen en tautologisch woordenspel (“voorzover het realiseerbaar is dat de RMA die metagegevens kan extraheren, de RMA dat ook daadwerkelijk mogelijk maakt”), maar het wordt voor een klant wel eindelijk helder wat de mogelijkheden van het systeem zijn. Want sommige eisen uit de norm blijken niet zo absoluut als ze lijken (zoals die van de metadata-extractie) en voorts zijn er legio eisen die uitsluitend procedureel zijn te realiseren. Die krijg je dan van Decos als advies mee. Zoals integriteitscontroles: een aantal artikelen heeft betrekking op dergelijke controles of op eisen waarvan de auditor verwacht dat deze elders, in andere systemen worden vervuld (“Deze controles worden bij voorkeur uitgevoerd door specialistische componenten binnen de ICT infrastructuur van de organisatie”). Ik vraag me af of aanbestedende organisaties wel altijd de beleving hebben gehad dat een deel van de NEN2082 eisen buiten de RMA zal moeten worden vervuld.

Het moet gezegd: deze transparantie is een welkome verheldering van de certificering volgens NEN2082! Decos is een degelijk RMA op Nederlandse leest. Het gebrek aan aansluiting met het immer uitdijende SharePoint begrijp ik helemaal niet, maar wat mij betreft hebben ze in Noordwijk wel met deze openheid een puntje voor op de concurrenten.

(Overigens, wie geïnteresseerd is in het auditrapport kan dat bij Decos opvragen).

 
Reacties

Goed verhaal! En erg herkenbaar ook. SharePoint recordsmanagement wordt nog steeds niet voor vol aangezien, met als reden dat allerlei features die toch niet gebruikt worden niet aanwezig zijn. Ik heb voor overheidsorganisaties gewerkt die recordsmanagement verregaand versimpeld hadden en die alle relevante documenten hadden gearchiveerd en aan de andere kant klanten die dikke boekwerken met regels voor archivering hadden, waar niemand zich iets van aantrok. Als ik moet zeggen wat beter is dan weet ik het wel… Natuurlijk zijn er relevante verschillen tussen SharePoint en gecertificeerde systemen, maar de discussie begint vaak bij de norm, in plaats van bij de behoeften vanuit de business.

Schrijf een reactie