Voor mijn relaties is het vaak tegelijkertijd een absoluut onder-scheidend keurmerk bij aanbestedingen èn een mistig gebied vol misverstand en onduidelijkheid. Hoe zit het nou met de NEN2082 Eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur (juni 2008) bij documentmanagement-systemen (DMS) recordsmanagement-applicaties (RMA) in het algemeen en SharePoint in het bijzonder? Wat houdt die ‘certificering’ nou in? En wat moet en mag er nu ‘van de Archiefwet’?
Ik had daar een prettig gesprek over met de man die alles weet van toetsingen op basis van NEN2082, Geert-Jan van Bussel van Van Bussel Document Services. Het beeld dat hij schetst is eigenlijk van een vicieuze cirkel van (veelal Archiefwetplichtige) organisaties en bedrijven die conformiteit met NEN2082 als ijkpunt in hun aanbestedingseisen voor een DMS/RMA opnemen en (Nederlandse) leveranciers die maar wat graag een stempel ‘goedgekeurd’ willen ontvangen en uitdragen. En in deze rondedans lijkt men uit het oog te verliezen dat een toetsing van welke aard ook geen werkend systeem garandeert, dat toetsing en certificering op basis van accreditatie twee verschillende dingen zijn en dat deze norm zelf onmogelijk kan worden geoperationaliseerd naar uitsluitend de technische en functionele werking van een standaardapplicatie. Tot slot is het ook nog een Nederlandse norm, waar buitenlandse leveranciers met kwalitatief gelijkwaardige producten mogelijk geen boodschap aan hebben.
Wat is de NEN2082 wel? Het is een exclusief Nederlandse norm, uitgegeven door het Nederlands Normalisatie Instituut in 2008. De norm beoogt een ‘minimale verzameling aan functionele eisen voor informatie- en archiefmanagement in programmatuur te bieden’. De norm is te gebruiken bij ‘aanbesteding, bouw, aanschaf of vervanging van applicaties’ en biedt ‘een basis voor auditing en certificering van programmatuur’. De norm is ontwikkeld op basis van bestaande Nederlandse, Europese en Amerikaanse eisen uit MoReq (2001), ReMANO (2004, DoD 5015.2 (1997-2002) en het Kernmodel Interlab (20030. De norm conformeert zich aan de NEN-ISO 15489-1 Informatie- en archiefmanagement. En hanteert daarbij de zelfde vertalingen van ‘record’ en ‘recordsmanagement’ als de Nederlandse versie van die norm (resp. ‘archiefstuk’ en ‘archief- en informatiemanagement’). Hoofdstuk 6 van de NEN2082 bevat een set van 155 functionele eisen. ‘Een deel ervan wordt vanuit het oogpunt van goed informatie- en archiefmanagement als verplicht beschouwd. (…) Een deel van de eisen is optioneel.’ Het onderscheid is weergegeven resp. met ‘moeten’ en ‘behoren te’.
Nu is het operationaliseren van de 155 eisen een onderneming die zelfs de meest geharde en doorgewinterde recordsmanagementspecialisten voor hoofdbrekens stelt. Niet alleen zijn de eisen vaak slecht te begrijpen, een deel van de eisen (‘moeten’) is binnen de meeste recordmanagementapplicaties niet zonder meer te activeren vanuit out-of-the-box functionaliteiten. ( onder andere ‘nr. 79 Vernietigen van archiefstukken/archiefbestanddelen is niet mogelijk tenzij: – het vernietigen is gebaseerd op een bewaarschema; – het vernietigen is gebaseerd op de regels voor noodvernietiging’ of ‘nr 95 het moet niet mogelijk zijn het opslaan van metadata m.b.t. wijziging van autorisatieregels, systeemparameters of logging-instellingen uit te schakelen.’ ). Of niet helder in de bedoeling (bv. ‘nr 46 Door middel van een enkele zoekopdracht moeten alle archiefbestanddelen op elk aggregatieniveau en hun metadata kunnen worden teruggevonden, met inachtneming van autorisaties.’). Een interpretatie van de individuele artikelen in de norm is dus al gauw noodzakelijk. Daarvan heb ik enkele bruikbare toepassingen – zonder certificeringsoogmerk – gezien.
Van Van Bussel begrijp ik dat in zijn toetsingen alleen de verplichte onderdelen worden betrokken (niet nageteld maar scheelt een aanzienlijk deel). En dat realisatie van de eis door middel van bijvoorbeeld een koppeling naar third-party software geldt als een ‘ja’. Natuurlijk relativeert dit op zich al de absolute waarde van een met positief gevolg doorstane toetsing. Van Bussel vindt ook dat leveranciers van getoetste systemen de toetsingsdocumentatie desgevraagd aan de klant moeten overleggen. Van Bussel is op zijn site overigens volstrekt helder over waarde en intentie van zijn toetsingen van de norm:
‘Er zijn in Nederland geen bedrijven die door de Raad voor Accreditatie geaccrediteerd zijn om op deze normen te toetsen. Wij zijn dat dus ook niet. Wij hebben ook niet de intentie om een dergelijke accreditatie te verwerven. (…) Onze toetsen zijn onafhankelijk en, gezien onze grote ervaring met het uitvoeren van zowel ReMANO-, NEN 2082 en NEN 15489-toetsen, betrouwbaar.’
Het enige andere bedrijf in Nederland dat NEN2082 toetsingen verricht, voortbouwend op een door Van Bussel ontworpen systematiek, is European Certification Bureau (ECB) uit Volendam. Waar van Bussel nadrukkelijk spreekt van ‘toetsingen’, spreekt ECB wel degelijk van ‘certificering’ en ‘certificaten’. Dat mag ook, het is immers geen beschermde term die uitsluitend vanwege accreditatie gevoerd zou mogen worden. ECB is overigens wel door de Raad voor Accreditatie geaccrediteerd, maar dan voor geheel andere certificeringen, zoals voor waterscooters en dergelijke. Op de website van ECB is dit verschil niet meteen duidelijk.
Kort na het vaststellen van de NEN2082 in 2008 startte Microsoft Nederland een certificeringstraject, dat in 2009 leidde tot een door ECB uitgegeven certificaat voor MOSS 2007, aangevuld met het zgn. DoD 5015.2 Recordmanagement Pack. Dit laatste was een stuk code dat Microsoft op het internet beschikbaar had gesteld om softwarebouwers de gelegenheid te geven aanvullende software te bouwen om SharePoint conformiteit met de strenge Amerikaanse Defensie norm mee te geven. Het Nederlandse ECB-certificaat werd overigens later weer ingetrokken. De 2010 release van SharePoint werd niet gecertificeerd in Nederland, maar wel verscheen een certificaat voor een SharePoint 2010 implementatie bij Gemeente Nieuwegein op de ECB-site. Dit certificaat voor het Perfectview/QNH product op basis van SharePoint 2010 is
‘een cruciale stap naar het behalen van de toestemming tot Substitutie, aldus mr. Benedikt Marijnen, (bestuursrecht) jurist bij ECB’.
Later is ook het in SharePoint 2010 geconfigureerde DMS/RMA product e-connect van ETTU gecertificeerd door ECB:
‘Het eConnect DMS & RMA Portaal is NEN 2082 gecertificeerd en voldoet hiermee aan de strengste eisen op het gebied van informatievoorziening.’
ECB verricht ‘certificering’ van applicaties, maar voert ook pre-toetsen voor certificering van individuele implementaties uit op basis van NEN2082. Vooral Archiefwetplichtige organisaties hebben zelf de indruk dat ze ‘vanwege de Archiefwet’ aan deze norm zouden moeten voldoen. Nu stelt artikel 16 van de Archiefregeling 2009:
‘De zorgdrager zorgt ervoor dat het beheer van zijn archiefbescheiden voldoet aan toetsbare eisen van een door hem toe te passen kwaliteitssysteem.’
De Toelichting op de Archiefregeling 2009 voegt aan dat artikel toe:
‘De kern van dit artikel is dat elke overheidsorganisatie kwaliteitseisen stelt aan informatie- en archiefmanagement in overeenstemming met haar verantwoordelijkheden en uitvoering van taken. Een belangrijk hulpmiddel daarbij is de internationale standaard NEN-ISO 15489-1:2001, aangevuld met andere internationale standaarden voor kwaliteitsmanagement, zoals de ISO 9000-serie. In Nederland bestaat ook het INK-model (van het Instituut voor Nederlandse Kwaliteitszorg) dat als kwaliteitskader gebruikt kan worden. Van belang voor een kwaliteitssysteem is dat aan bepaalde standaarden wordt voldaan. Eén daarvan is NEN 2082:2008 nl (…)’
Deze toelichting wordt door Archiefwetplichtige instellingen gelezen als een verplichting dat hun applicatie voor digitale archivering zou moeten voldoen aan de NEN2082. 
Ik heb de indruk dat deze ‘verplichting’ door verschillende archiefinspecteurs hier te lande verschillend wordt beleefd. Waar de certificaten van applicaties voor digitale archivering voor Archiefwetplichtige instellingen zijn verworden tot een absolute norm voor aanschaf, wordt het tijd dat de verschillende belanghebbenden in de archiefgemeenschap helderheid verschaffen. Want de norm mag dan volgens eigen zeggen een (zeker bruikbaar, maar moeizaam toepasbaar) ‘validatie-instrument [bieden] waarmee organisaties kunnen controleren in hoeverre programmatuur voldoet aan de eisen van informatie- en archiefmanagement gebaseerd op NEN-ISO 15489’, het is geen Kemakeur, of Beste Koop garantie.
PS: ik zal graag reacties en aanvullingen op deze blog toevoegen. Het liefst ontvang ik deze per e-mail.
