Organisatie | Servicepunt71 |
---|---|
Organisatietype | Regionaal samenwerkingsorgaan |
Officiële naam regeling | Besluit van het bestuur van de gemeenschappelijke regeling Servicepunt71 houdende regels omtrent het informatiebeheer Besluit Informatiebeheer 2017 Servicepunt71 |
Citeertitel | Besluit Informatiebeheer 2017 Servicepunt71 |
Vastgesteld door | algemeen bestuur |
Onderwerp | bestuur en recht |
Eigen onderwerp |
Deze regeling vervangt het Besluit Informatiebeheer 2014 Servicepunt71.
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
28-02-2018 | nieuwe regeling | 12-10-2017 |
Dit Besluit Informatiebeheer volgt uit artikel 8 van de van de Archiefverordening 2017 Servicepunt71. Met dit besluit wordt beoogd de ambtelijke verantwoordelijkheid voor het beheer van informatie en het in goede, geordende en toegankelijke staat brengen en bewaren van informatie te regelen. Het besluit is daarbij zowel van toepassing op digitale informatie als op papieren informatie.
Hoofdstuk I. Algemene bepalingen
In dit besluit wordt verstaan onder:
informatie: (archief)bescheiden, zoals omschreven in artikel 1 sub c van de wet, waaronder wordt verstaan vastgelegde informatie, opgemaakt of ontvangen bij de aanvang, uitvoering of voltooiing van een institutionele of individuele activiteit van Servicepunt71 of van haar werknemers, die voldoende inhoud, context en structuur bevat om als bewijs van de activiteit te dienen;
informatiebeheer: het geheel aan maatregelen om de informatie in duurzame, geordende en toegankelijke staat te brengen en te bewaren gedurende de wettelijk bepaalde termijn zodanig dat de authenticiteit ervan kan worden aangetoond en de informatie volledig, actueel en betrouwbaar, in leesbare en interpreteerbare vorm, beschikbaar kan worden gesteld;
Hoofdstuk II. Archiefbewaarplaats
Voor zover wettelijke voorschriften of voorwaarden bij de opneming in de archiefbewaarplaats gesteld zich daartegen niet verzetten, kan de archivaris desgevraagd onderzoek verrichten in de door hem beheerde informatie en documentaire verzamelingen ten behoeve van Servicepunt71. De archivaris kan daaruit op hun verzoek gegevens verstrekken alsmede afbeeldingen, afschriften, uittreksels of bewerkingen, die zo nodig door hem worden geauthentiseerd.
Voor zover wettelijke voorschriften of voorwaarden bij de opneming in de archiefbewaarplaats gesteld zich daartegen niet verzetten, is de archivaris bevoegd ten behoeve van Servicepunt71 en de bij haar aangesloten gemeenten onderzoek te doen in de archiefbewaarplaats berustende archieven en verzamelingen. De archivaris kan daaruit aan een ieder die zulks verzoekt doet afbeeldingen, afschriften, uittreksels of bewerkingen verstrekken, die zo nodig door hem worden geauthentiseerd.
Hoofdstuk III. Verantwoordelijkheid voor het informatiebeheer
De directeur (beheerder) is belast met en verantwoordelijk voor informatiebeheer, deze taak wordt uitgeoefend door de manager Bedrijfsvoering. Alle managers zijn verantwoordelijk voor het informatiebeheer van hun service-eenheid voor zover de informatie niet is overgebracht naar de archiefbewaarplaats.
De directeur is verantwoordelijk voor de zorg en taken met betrekking tot de informatie in andere systemen dan het centrale informatiesysteem, voor zover de informatie valt onder zijn organisatieonderdeel en niet is overgebracht naar de archiefbewaarplaats. Deze taak wordt uitgeoefend door de managers.
De behandelend medewerker is tijdens de behandeling van zijn dossier (of de ‘zaak’ in het centrale informatiesysteem) verantwoordelijk voor de inhoud. Hij draagt er zorg voor dat het dossier tijdens de behandeling tot en met het moment van afsluiten en het overdragen actueel is en op orde volgens de wet gestelde eisen.
De RVT manager TD van de gemeente Leiden heeft de regierol informatievoorziening en Team Documenten is de beheereenheid, en zij zijn derhalve belast met het beheer van informatie, voor zover deze is geregistreerd, opgenomen en afgesloten in het centrale informatiesysteem, maar nog niet is overgebracht naar een archiefbewaarplaats.
Artikel 9. Beheerplan Informatievoorziening
Het Beheerplan Informatievoorziening bevat ten minste de volgende elementen:
een systematisch overzicht van de informatie binnen de service-eenheden, met een beschrijving van die informatie, de vindplaats, de relatie met de werkprocessen waarop het betrekking heeft, de onderlinge relatie(s), de status, de bewaartermijn en de applicaties waarin informatie wordt geregistreerd en/of bewaard;
De archivaris is belast met het toezicht op het beheer en de zorg van informatie. De archivaris brengt verslag uit aan het bestuur, dat op zijn beurt rapporteert aan de Provinciale archiefinspectie.
De directeur is belast met informatiebeheer, welke overgedragen wordt aan de manager Bedrijfsvoering, die de regie voert, en de service-eenheid managers.
TD zijn taken worden benoemd in artikel 8. TD is het aanspreekpunt van de archivaris op het gebied van informatiebeheer.
De Stafeenheid Interne Bedrijfsvoering heeft als taak het uitvoeren van werkzaamheden/projecten op het gebied van informatiebeleid.
De taken van de (regionale) Chief Information Officer (CIO), de Coördinator Informatiebeveiliging, de (regionale) Functionaris gegevensbescherming (FG) en de privacybeheerder worden benoemd in artikel 25. De CIO is aanspreekpunt van de archivaris op het gebied van informatiebeveiliging en de FG is aanspreekpunt van de archivaris op het gebied van privacy/gegevensbescherming.
De service-eenheden zijn verantwoordelijk voor het beheer van de onder hun vallende applicaties en basisadministraties.
Hoofdstuk IV. Archiefvorming en ordening
De verantwoordelijke beheerder draagt er zorg voor dat de vervaardiging van informatie op zodanige wijze en met zodanige materialen geschiedt dat hun houdbaarheid tenminste in overeenstemming is met de bij of krachtens de wet gestelde eisen.
Artikel 12. Wijzigen, verwijderen of vernietigen
De verantwoordelijke beheerder draagt er zorg voor dat bij het wijzigen, verwijderen of vernietigen van informatie, of onderdelen daarvan, de bij of krachtens de wet gegeven regels betreffende selectie en vernietiging worden toegepast.
Artikel 13. Procedures voor informatieverkeer
De verantwoordelijke beheerder draagt – voor zover van toepassing – zorg voor de opstelling van procedures voor informatieverkeer en de behandeling van ingekomen, uitgaande en interne informatie, rekening houdend met de bij en krachtens de wet gestelde eisen, inclusief de registratie en de bewaking op afdoeningstermijnen.
Artikel 15. Ordening en toegankelijkheid van informatie
De verantwoordelijke beheerder draagt er zorg voor, dat de onder zijn of haar beheer staande informatie in goede, geordende en toegankelijke staat wordt gebracht en dat de ordening van de informatie geschiedt volgens een doelmatige en doeltreffende systematiek, als bedoeld in artikel 18 van de Archiefregeling.
Artikel 16. Bewaring van informatie
De verantwoordelijke beheerder draagt er zorg voor dat de onder zijn beheer staande informatie in goede, geordende en toegankelijke staat overeenkomstig wettelijke voorschriften worden bewaard.
Artikel 17. Beveiliging en raadpleging van informatie
De verantwoordelijke beheerder draagt zorg voor de nodige informatiebeveiliging, welke mede omvat de nodige organisatorische, procedurele en technische voorzieningen voor het tegengaan van wijziging, verwijdering, kopiëring of vernietiging van informatie die daarvoor gezien zijn aard en status niet in aanmerking komt.
Artikel 19. Vervanging van informatie
Ten aanzien van besluiten tot vervanging van informatie door reproducties als bedoeld in artikel 6, eerste lid, van het Archiefbesluit 1995, wordt vooraf het advies van de archivaris ingewonnen. Daarnaast behoeven besluiten tot vervanging de goedkeuring van de archivaris en bestuur.
Artikel 20. Vervreemding en overdracht van informatie
Ten aanzien van besluiten tot vervreemding van informatie als bedoeld in artikel 7 van het Archiefbesluit 1995, wordt vooraf het advies van de archivaris ingewonnen. Daarnaast behoeven besluiten tot vervreemding de goedkeuring van de archivaris en het bestuur.
Artikel 22. Vernietiging van informatie
De lijst van vernietigbare informatie behoeft een akkoord van de verantwoordelijke manager en de schriftelijke goedkeuring van de RVT manager TD en de archivaris. Daarna vindt pas de daadwerkelijke vernietiging van informatie plaats (in zowel het centrale informatiesysteem als in andere systemen, en van papier).
Hoofdstuk VI. Verantwoordelijkheid informatiebeveiliging
De directeur is belast met en verantwoordelijk voor de informatiebeveiliging. De regie daarop wordt uitgeoefend door de manager Bedrijfsvoering. Alle managers zijn verantwoordelijk voor de informatiebeveiliging van hun organisatieonderdeel voor zover de informatie niet is overgebracht naar de archiefbewaarplaats.
De manager Bedrijfsvoering bevordert dat werknemers, ingehuurd personeel en (waar van toepassing) externe gebruikers van interne systemen en informatie algemene beveiligingsaspecten toepassen in hun gedrag en handelingen, overeenkomstig vastgesteld beleid. Deze verantwoordelijkheid wordt uitgeoefend door alle managers.
De behandelend medewerker is tijdens de behandeling van een zaak verantwoordelijk voor de informatiebeveiliging van de bijbehorende informatie. Hij draagt er zorg voor dat de informatie tijdens de behandeling van een zaak tot en met het moment van afsluiten van een zaak en het overdragen van het dossier, zorgvuldig wordt behandeld volgens de wet gestelde eisen.
Artikel 25. Chief Information Officer, Chief Information Security Officer, Functionaris voor de Gegevensbescherming en de privacy beheerder.
De CISO bevordert en adviseert gevraagd en ongevraagd over de beveiliging van Serviceunt71, verzorgt rapportages over de status, controleert of met betrekking tot de beveiliging van Servicepunt71 de maatregelen worden nageleefd, evalueert de uitkomsten en doet voorstellen tot implementatie c.q. aanpassing van plannen op het gebied van de informatiebeveiliging van Servicepunt71.
Aldus vastgesteld in de vergadering van het bestuur van Servicepunt71 op 12 oktober 2017
De voorzitter De wnd. secretaris
dhr. M.A. den Boer mevr. M. Havermans-Jochemsz
Hierbij moet gemeld worden dat het aspect informatiebeveiliging valt onder de CIO.
Het centrale informatiesysteem is het systeem JOIN van het bedrijf Decos
De directeur is de eindverantwoordelijke Beheerder, maar elke onder hem vallende medewerker is ook een Beheerder. Zodra een behandelend medewerker informatie genereert of ontvangt is hij verplicht, volgens artikel 3 van de Archiefwet, informatie in goede, geordende en toegankelijke staat te brengen en te bewaren.
De directeur, de manager Bedrijfsvoering en de managers dienen er zorg voor te dragen dat hun medewerkers hieraan (kunnen) voldoen.
Een Beheerder is verantwoordelijk voor informatie die hij genereert, ongeacht welk systeem hij daarvoor gebruikt of in welke vorm informatie wordt gemaakt. Voor digitale informatie geldt: zolang hij de informatie niet opslaat in het centrale informatiesysteem, is hij verantwoordelijk voor goed beheer van de informatie. Een Beheerder is tevens zelf verantwoordelijk voor het beheer van het eigen papieren archief, zolang dit niet in één van de archiefruimten van TD staat.
De Beheereenheid (TD) beheert de informatie in het centrale informatiesysteem en neemt, na overleg, ook andersoortige informatie onder zijn beheer. In overleg worden dan afspraken gemaakt over opschonen, de manier van levering en dergelijke.
Voor een papieren archief geldt: TD is verantwoordelijk voor het beheer van het papieren archief in de eigen archiefruimten. Daaronder valt o.a. het financiële archief en het archief personeelszaken in de kelder van het Tweelinghuis.
Het Besluit Informatiebeheer is dus een besluit over het beheer en de verantwoordelijkheden van informatie en niet over het beheer of de verantwoordelijkheden van informatiesystemen.
Als een Beheerder bijvoorbeeld in een bepaalde applicatie archiefwaardige informatie heeft staan, is hij verantwoordelijk voor goed beheer van deze informatie en niet de eigenaar van de applicatie. Kortom, een Beheerder heeft de verantwoordelijk om de informatie in het centrale informatiesysteem te zetten of, na overleg met TD, de informatie over te dragen naar het beheer en de verantwoordelijkheid van TD.
Hierbij moet gemeld worden dat het aspect informatiebeveiliging valt onder de CIO.
TD opereert op tactisch en operationeel niveau. De CIO opereert op strategisch niveau.
Indien er nieuwe processen of taken worden gerealiseerd, waarbij informatie wordt gecreëerd of ontvangen, dient TD altijd gevraagd te worden om advies en/of mag TD ongevraagd advies geven. Het gaat hier bijvoorbeeld om de aanschaf van nieuwe systemen (waarmee mogelijk nieuwe (soorten) informatie of informatiestromen worden gecreëerd), of het gaat om bijzondere projecten of gebeurtenissen, waarbij vaak ad hoc veel informatie kan worden gecreëerd of worden verzameld—denk hierbij aan de opvang van vluchtelingen, rampen, zaken van cultuur-historisch belang en dergelijke.
Het hebben van een Beheerplan Informatievoorziening is een verplichting vanuit de wet, Archiefregeling artikel 16. Per applicatie zal een beheerplan moeten worden opgesteld; per archief moet er een informatiebeheerplan komen.
Ter verduidelijking hierbij een schema van de taakverdeling:
TD is verantwoordelijk voor de vernietiging van informatie van de gemeentelijke organen in het centrale informatiesysteem die niet is overgebracht naar een archiefbewaarplaats. De verantwoordelijke manager is verantwoordelijk voor de gelijktijdige vernietiging van informatie op papier en in andere systemen dan het centrale informatiesysteem. Vernietiging houdt dus in dat er op geen plek binnen de organisatie zich nog informatie mag bevinden die vernietigd had moeten zijn. Dit ook in het kader van de Wet meldplicht datalekken.
Vervreemding is het in eigendom overdragen van archiefbescheiden aan een andere zorgdrager. Vervreemding is geregeld in artikel 8 van de Archiefwet 1995 en in artikel 7 van het Archiefbesluit.
Vernietiging van informatie stapsgewijs:
TD geeft aan of de vernietiging van de daarvoor in aanmerking komende informatie geschiedt overeenkomstig de Lijst van voor vernietiging in aanmerking komende stukken in gemeentearchieven, vastgesteld op 24 augustus/7 november 1983 door de minister van Welzijn, Volksgezondheid en Cultuur en minister van Binnenlandse Zaken (Staatsblad 1983, 200) voor archiefbescheiden die dateren tot uiterlijk 31-12-1995, of de Selectielijst voor gemeentelijke en intergemeentelijke organen, geactualiseerd d.d. 25 juni 2012 (Staatscourant nr. 11906) door de staatssecretaris van Onderwijs, Cultuur en Wetenschappen voor archiefbescheiden die dateren vanaf 01-01-1996 of de Selectielijst voor archiefbescheiden van gemeentelijke en intergemeentelijke organen 2017.
Met behulp van deze lijsten maakt TD een lijst van informatie die men wil vernietigen. Deze zogenoemde vernietigingslijst bevat tenminste de volgende informatie: classificatienummer (b.v. uit de code VNG en indien van toepassing); onderwerp van dossier, serie of losse stukken; datering van dossier, serie of losse stukken (begin- en eindjaar); eventueel dossiernummer; categorie uit de Vernietigingslijst 1983, Selectielijst 2012 of Selectielijst 2017 en de termijn van vernietiging.
De manager van de betrokken afdeling wordt in kennis gesteld van de voorgenomen vernietiging en gevraagd om akkoord.
TD stelt een proces-verbaal van vernietiging op, tekent deze, na akkoord van de betrokken afdeling, en stuurt het proces-verbaal van vernietiging met als bijlage de vernietigingslijst, in tweevoud, aan de gemeentearchivaris ter beoordeling en ondertekening.
De, door de gemeentearchivaris gemandateerde, archiefinspecteur controleert de vernietigingslijst, daarbij beoordeelt hij ook of er informatie van vernietiging moet worden uitgezonderd vanwege historisch belang. Ingeval van op- of aanmerkingen neemt hij contact met TD op. Het is ook mogelijk dat hij op locatie de voor vernietiging aangemerkte informatie komt controleren.
De gemeentearchivaris stuurt het proces-verbaal inclusief de eventueel aangepaste vernietigingslijst getekend aan TD terug.
TD draagt zorg voor de daadwerkelijke vernietiging van de bescheiden. Daarvoor moet een archiefvernietigingsbedrijf worden ingeschakeld om er zeker van te zijn dat bescheiden zijn vernietigd—als archiefbescheiden bijvoorbeeld als oud papier worden verkocht, bestaat de kans dat stukken terecht komen bij personen waarvoor zij niet bedoeld zijn.
TD informeert tevens de manager over de vernietiging van informatie en geeft opdracht aan de manager om (gelijktijdig) eventuele nog aanwezige papieren archiefbescheiden en digitale informatie in andere systemen dan het centrale informatiesysteem (JOIN) te laten vernietigen.
De functioneel beheerder van systemen van de betrokken afdeling tekent na digitale vernietiging tevens het proces-verbaal voor uitvoering.
Nadat de vernietiging van informatie heeft plaatsgevonden, ondertekent TD het proces-verbaal van vernietiging voor uitvoering. Eén exemplaar van het proces-verbaal inclusief de bijbehorende vernietigingslijst en opdrachtbon of factuur van het vernietigingsbedrijf houdt TD aan voor het eigen archief, het andere exemplaar inclusief vernietigingslijst en kopie van de opdrachtbon of factuur stuurt TD aan de gemeentearchivaris.
Serverruimtes, datacenters en daar aan gekoppelde bekabelingsystemen zijn ingericht in lijn met geldende best practices. Een goed voorbeeld van laatste is de norm Telecommunications Industry Association 942 (TIA-942), welke de minimale vereisten specificeert voor telecommunicatie infrastructuur van databanken en computerkamers.