All posts tagged DoD5015.2

LeveranciersVerbazing & Ongeloof - foto: Eric Burger en archivarissen claimen vaak dat een recordsmanagement applicatie voor een overheidsorganisatie krachtens de Archiefwet gecertificeerd zou moeten zijn conform de Nederlandse norm NEN2082 Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur (juni 2008). Dat is niet correct. Of is het niet meer correct? Ik blogde daar eerder over in 2012 en 2013. Naar aanleiding van een actuele Twitter-discussie een update. Lees verder

Gemeente Hengelo is Oogst - foto: Eric Burgermet zijn Dynamics/ SharePoint oplossing voor zaakgericht werken èn archiveren genomineerd voor een Computable Award! Ook ZBO’s (o.a. waterschappen en enkele toezichthouders) maken gebruik van SharePoint voor recordsmanagement of zijn druk met hun SharePoint 2013 implementatie. Maar ook multinationale ondernemingen als General Motors presenteren met trots hun oplossing voor recordsmanagement in SharePoint.

Quentin Christensen, ‘Ruler of Recordsmanagement’, program manager Archiving, e-Discovery en Devices bij Microsoft, presenteert in twee blogs een bondige beschrijving van recordsmanagement functionaliteiten in SharePoint. Hij zet in zijn eerste blog met een handige tabel een mooi overzicht neer van de ontwikkeling van die features in achtereenvolgens SharePoint 2007, SharePoint 2010 en 2013. In deel twee nog een paar aanvullingen op de verbeteringen sinds SharePoint 2010 en 2013, onder andere voor e-discovery. Lees verder

Precies een jaar geleden publiceerde ik mijn blog over certificering van recordsmanagement applicaties (RMA) op basis van NEN2082 Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur (juni 2008). Mijn punt was dat markt en klanten elkaar gek maken met de absolute waarde en waarheid van deze norm, terwijl een relativering ten opzichte van de certificering en de inhoud van de norm wel op zijn plaats is. De blog werd gelezen en gewaardeerd, waar ik blij mee ben. Op dat vlak van RMA normering zijn sindsdien nog interessante ontwikkelingen waar te nemen in ons vakgebied en in de markt die ik hier graag wil delen.

DoD5015.2 en SharePoint

In november 2012 ontmoette ik bij SPC12 in Las Vegas Donald Lueders van de aanbevolen blog sharepointrecordsmanagement.com. We kwamen in gesprek over certificering van recordsmanagement applicaties. Hoewel hij als expert juist betrokken was geweest bij certificeringen op basis van DoD 5015.2-STD kondigde hij in ons gesprek aan de knuppel in het hoenderhok te gaan werpen. En juist ook door het beeld dat in de markt aan het ontstaan was over SharePoint en recordsmanagement, want, aldus Lueders  ‘the DoD Standard is probably the single biggest reason so many misinformed people have so often claimed that ‘you can’t do records management in SharePoint.’ Vergelijkbaar met de situatie in Nederland, waar SharePoint voor recordsmanagement ook alleen gezien wordt als ‘goed’ als het gecertificeerd is.  In een artikel op de pagina’s van AIIM in mei van dit jaar – en onlangs nog eens met een meer persoonlijke noot –  lichtte hij zijn bezwaren tegen de norm toe.

Ten eerste, stelt Lueders, is de DoD5015.2 ontwikkeld vanuit de gedachte dat een systeem exclusief voor recordsmanagement is bedoeld, terwijl al snel systemen geïntegreerd document management èn recordsmanagement gingen aanbieden, later uitgebreid tot complete ECM platformen. Daarbij moeten de eisen van de norm, anders dan bij de NEN2082, onverkort en zonder uitzondering gehonoreerd worden om het certificaat te verkrijgen.

Ten aanzien van de inhoud van de norm gaat Lueders nog een stap verder:

“That said, there are about 170 unique functional requirements in the DoD 5015.2 and I can tell you from experience that all but a very few of them are either irrelevant, obsolete, over-engineered or completely unnecessary for managing the final stages of the information lifecycle of unstructured electronic content given today’s technology.”

Lueders stelt verder dat de metadata-eisen die de norm stelt zo vergaand zijn dat  ze “almost certainly impose an undue burden on any organization’s end users and would undoubtedly result in an extremely low (perhaps even zero) adoption rate.” Kan het hier alleen mee eens zijn, want hebben we in het verleden niet te vaak geprobeerd om gebruikers archiveringssystemen op te leggen waarbij de handmatig toe te voegen metadata iedere lust tot opslag ontnam?

Ook de vereisten voor emailarchivering worden door Lueders gehoond:

“Is it nice, for example, to be able to classify an email and all four of its attachments into different categories across the file plan, each with its own unique set of metadata and each with a link to the email and the other attachments?  Yeah, sure.  Will anyone in a real world implementation ever actually do that for one email, much less the multiple email records they may have to declare every day?  No, absolutely not.”

Zijn kritiek hier raakt aan wat voor hem de kern is, namelijk dat de norm vergaande eisen stelt die niet allemaal nodig zijn om een document door de tijd heen te behouden. En dat eisen bovendien in software of maatwerk moeizaam als standaardproduct zijn aan te bieden of voor een groot aantal organisaties echt relevant.

NEN2082 en Decos

Herkennen we dat niet van de Nederlandse situatie met de NEN2082? Dacht van wel. Hadden we lange tijd wel gecertificeerde en niet-gecertificeerde oplossingen, inmiddels kunnen we ook inzicht verwerven in het certificeringsproces zelf. Want wat koop je nu precies als je een NEN2082 gecertificeerde RMA oplossing koopt? Het stempel zelf zegt zo weinig, zeker als je de norm kent en weet hoe onmogelijk het is deze onverkort toe te passen.

Decos was één van de eerste gecertificeerde producten. Decos 5.2 is net als twee voorgaande releases gecertificeerd. Maar Decos is zo transparant geweest de toepassing van de norm artikel voor artikel toe te lichten. In een 168 pagina’s dik document wordt gedetailleerd beschreven hoe het artikel geïnterpreteerd is (dat is ook wel nodig, de norm vereist hogere archivistische exegese), een voorbeeld van de toepassing met schermafdrukken en een beoordeling door de auditor. Een enkele keer vereist het interpreteren wel wat bochten wringen en tautologisch woordenspel (“voorzover het realiseerbaar is dat de RMA die metagegevens kan extraheren, de RMA dat ook daadwerkelijk mogelijk maakt”), maar het wordt voor een klant wel eindelijk helder wat de mogelijkheden van het systeem zijn. Want sommige eisen uit de norm blijken niet zo absoluut als ze lijken (zoals die van de metadata-extractie) en voorts zijn er legio eisen die uitsluitend procedureel zijn te realiseren. Die krijg je dan van Decos als advies mee. Zoals integriteitscontroles: een aantal artikelen heeft betrekking op dergelijke controles of op eisen waarvan de auditor verwacht dat deze elders, in andere systemen worden vervuld (“Deze controles worden bij voorkeur uitgevoerd door specialistische componenten binnen de ICT infrastructuur van de organisatie”). Ik vraag me af of aanbestedende organisaties wel altijd de beleving hebben gehad dat een deel van de NEN2082 eisen buiten de RMA zal moeten worden vervuld.

Het moet gezegd: deze transparantie is een welkome verheldering van de certificering volgens NEN2082! Decos is een degelijk RMA op Nederlandse leest. Het gebrek aan aansluiting met het immer uitdijende SharePoint begrijp ik helemaal niet, maar wat mij betreft hebben ze in Noordwijk wel met deze openheid een puntje voor op de concurrenten.

(Overigens, wie geïnteresseerd is in het auditrapport kan dat bij Decos opvragen).

Ik heb geen statistieken bij de hand, maar het lijkt er op dat 2012-2013 voor veel Nederlandse bedrijven en instellingen de migratie van SharePoint 2007 naar 2010 markeert. En dat SharePoint 2013 ‘eerst zien dan geloven’ is voor de ICT-manager. Terecht schrijft Michal Pisarek in zijn blog ‘The Myth of the SharePoint Upgrade’ dat upgraden naar 2013 niet alle problemen vanzelf oplost en dat organisaties zichzelf te graag voor de gek houden (‘deze 2013 versie zal pas echt tot gebruikersacceptatie leiden’ of ‘upgraden is gewoon even een technische aangelegenheid’).

Pisarek stelt dat we eigenlijk eerst even moeten stilstaan bij SharePoint successen en uitdagingen in onze huidige versie. Welke issues zijn het waard om op te pakken en kan je die oplossen met de nieuwe versie? Verder zal je moeten bedenken welke eisen de business stelt, want anders blijven die nieuwe features in SharePoint gewoon ‘features’, in plaats van ‘oplossingen’. En stel de meest dringende eisen met elkaar vast, om vervolgens te bepalen of ze met een upgrade zijn op te lossen, of wellicht met slimmer inrichten van de huidige omgeving. Natuurlijk doen deze nuanceringen niets af aan de aantrekkelijke verbeteringen in SharePoint 2013: drag-and-drop, geïntegreerde FASTsearch, verbeterde email-management integratie, synchronisatiemogelijkheden, meer social functionaliteit, uitbreiding legal hold functies. Om maar wat te noemen. Goed stuk van Pisarek, aanbevolen.

Als je in je bedrijf of organisatie streeft naar consolidatie van je contentmanagement-, documentmanagement- en recordsmanagement applicaties, dan is SharePoint wellicht je platform. Maar de uitdagingen voor recordsmanagement en zaakgericht werken blijven in 2010 en 2013 vrijwel even groot. Iemand vroeg me pas welke verbeteringen ik dan graag aan SharePoint zou willen aanbrengen om die uitdagingen mee te lijf te gaan. Ik denk dat ik zo ’n beetje tot het zelfde lijstje zou komen als Bruce Miller’s RIMtech in september 2011, in Managing Records in SharePoint 2010 Version 2.0. Het rapport, door ARMA ook als boek uitgebracht, gaat uit van een toetsing van out-of-the-box SharePoint 2010 aan de US DoD 5015.2-STD eisen voor recordkeeping systemen. Een beperktere sub-set daarvan noemt Miller de F1000 (Fortune 1000 bedrijven) eisen, voor bedrijven die wel aan geformaliseerd recordsmanagement willen doen, maar niet onderworpen hoeven te zijn aan de zeer strenge Department of Defense normen. Vanuit deze twee normen sets komt Miller tot een waardering van SharePoint 2010, waarbij hij – samengevat – tien tekortkomingen vindt ten opzichte van de informele F1000-norm en elf daar op aanvullende eisen ten opzichte van de DoD-norm. Dus in totaal 21 uitdagingen om SharePoint compliant te krijgen aan de DoD-norm.

Uit deze 21 eisen zouden mijn acht toppers voor gewenste recordsmanagement aanvullingen op out-of-the-box sharePoint 2010 als volgt luiden:

Case file handling – inderdaad vraagt zaakgericht werken en zaakgericht archiveren om extra inrichting. De 2010 versie heeft de documentset als  ‘dossier’ gekregen, maar een zaak vraagt om meer dan dat.

Formal disposition – Miller beschrijft een drietraps model voor verwijdering, bestaande uit kwalificeren, review, verwijdering. De 2010 versie biedt wel out-of-the-box meer bouwstenen voor retentie dan de voorgaande versies, maar een en ander zal nog wel in een workflow dienen te worden vastgelegd. Overigens biedt het rapport prachige functionele beschrijvingen van verschillende oplossingen voor al deze issues.

Basic cutoff – SharePoint 2010 maakt het mogelijk om een bewaartermijn te laten triggeren door een ‘gebeurtenis’, in zaakgericht werken ook wel ‘resultaattype’ genoemd. Het is in het systeem de datum die gevuld wordt door de statusverandering die de gebeurtenis markeert. En vervolgens als startdatum voor de bewaartermijn geldt. De opeenvolgende stappen (statusverandering, trigger, archivering dossier, start bewaartermijn) moet nog wel in een custom workflow worden gevat.

File plan structure – hoewel 2010 wel beschikt over file plan functionaliteit, staat het los van de bewaartermijnen en is het centraal managen van een koppeling tussen file plan en bijbehorende bewaartermijnen niet out-of-the-box mogelijk.

Email integration – er zijn inmiddels voldoende third party add ons op de markt die de integratie tussen Microsoft SharePoint 2010 en Microsoft Outlook bewerkstelligen, zodat ook e-mail berichten een kans maken om zorgvuldig digitaal gearchiveerd te worden door de eindgebruiker zelf, door middel van drag-and-drop.

Multi-Record linking – het aanbrengen van koppelingen op document- en dossierniveau is niet out-of-the-box mogelijk.

Import/Export – in Miller’s conform DoD vereiste aanvullingen wordt ook NARA transfer, dat wil zeggen overdracht naar het Nationaal Archief (of ander ‘e-depot’) apart genoemd. Maar een voorziening voor export in een neutraal formaat inclusief metadata is niet standaard aanwezig, Verschillende soorten tooling op de markt kunnen in deze taken voorzien, specifiek voor overdracht beschikt Gimmalsoft’s Compliance Suite over functionaliteit. Check ook de review daarvan door wederom Bruce Miller.

Audit analysis – er zijn fraaie mogelijkheden voor het inrichten audit trails aanwezig in SharePoint 2010, maar de weergave van de resultaten in de out-of-the-box rapportages laat zoveel te wensen over dat ook daarvoor aanvullende producten op de markt zijn verschenen.

De meeste van deze issues, uitgezonderd email integratie, zijn ook niet in de 2013 versie afdoende geadresseerd. Daarvoor hoef je dus niet te upgraden. Maar bijvoorbeeld misschien weer wel als je HNW wilt aanpakken met meer offline synchronisatie voor BYOD en met meer social voor online communicatie.

Eigenlijk is het wat Pisarek zegt: als de medewerkers met SharePoint 2010 in huis nog steeds attachments rond mailen in plaats van hyperlinks, kan je die upgrade budgetten misschien beter in een voorlichtingscampagne stoppen om de collega’s eigentijdse samenwerkingsvormen bij te brengen.