1. VIR en VIR-BI
Voor de rijksdienst gelden het Voorschrift Informatiebeveiliging Rijksdienst (VIR) en het Voorschrift Informatiebeveiliging Rijksdienst - Bijzondere Informatie (VIR-BI). In het VIR staat beschreven dat de Secretaris-Generaal van ieder departement het informatiebeveiligingsbeleid moet vasstellen en welke aspecten in dat beleid opgenomen moeten zijn (artikel 3). In artikel 4 staan vervolgens de verantwoordelijkheden van het lijnmanagement. In dit voorschrift staan geen uitvoeringseisen, er staat alleen in dat departementsleiding en lijnmanagement iets moeten doen, niet hoe ze dat moeten doen. Het VIR-BI is een aanvulling op het VIR, die specifiek ziet op "bijzondere informatie":
Bijzondere informatie bestaat uit staatsgeheimen en uit overige kwetsbare informatie (niet-staatsgeheime bijzondere informatie), die weliswaar geen staatsgeheim is, maar toch meer beveiliging behoeft dan het algemene beveiligingsniveau biedt. Niet-staatsgeheime bijzondere informatie is dikwijls al op basis van een departementale regeling gemerkt, bijvoorbeeld ‘BZ-vertrouwelijk’ voor informatie, waarvan kennisname door niet bevoegden kan leiden tot nadelige gevolgen voor het Ministerie van Buitenlandse Zaken.Het VIR-BI is een stuk concreter (en strenger natuurlijk) dan het VIR en beschrijft aan welke eisen voldaan moet worden als bijzondere informatie buiten de rijksdienst geplaatst wordt, gedeeld wordt met het buitenland en "gecompromitteerd" wordt. Ik heb niet de indruk dat er expliciet in het voorschrift staat dat bijzondere informatie niet naar het buitenland gebracht mag worden, maar het lijkt me wel dat dit (impliciet) het gevolg is van alle eisen.
2. Provinciale archiefverordeningen
In alle provinciale archiefverordeningen - hier vind je die van Noord-Brabant - is (nu nog) een artikel opgenomen dat zorgdragers verplicht om de verplaatsing van archieven te melden bij Gedeputeerde Staten:
Artikel 20 1. De zorgdragers doen aan Gedeputeerde Staten tijdig mededeling van tenminste het voornemen tot: d. verandering van de plaats van bewaring van niet naar de archiefbewaarplaats overgebrachte archiefbescheiden.In de praktijk gaat het hierbij voornamelijk om papieren dossiers die door lokale overheden bij particuliere bedrijven in bewaring gegeven worden, waarbij een aparte commissie van het LOPAI en Erfgoedinspectie bekijkt of de lokatie waar de dossiers terecht komen voldoet aan de eisen uit de Archiefregeling. Zoals al uit mijn post van vrijdag blijkt, is het blote feit dat de opslag in het buitenland plaats vindt, geen reden om een negatieve uitspraak over de opslagruimte te doen.
3. New South Wales
In de Australische staat New South Wales geldt de regel dat voorwaarden gesteld worden, wanneer je informatie buiten de staat wil opslaan:
The purpose of this Authority is to provide approval for NSW public offices to transfer records out of the State for the purposes of storage with or maintenance by service providers based outside of NSW. This Authority establishes the conditions under which approval for this practice is given.Deze "authority" geldt voor de opslag en bewerking van analoge en digitale archieven en toestemming wordt alleen verleend als "an appropriate risk assessment has been made and the records are managed in accordance with all the requirements applicable to State records under the State Records Act 1998."
Hier wordt specifieker uitgelegd aan welke eisen gedacht moet worden en hoe zo'n risk assessment er ongeveer uit moet zien. Er moet daarin in ieder geval aandacht besteed worden aan "the risk that a person in another State or country may claim ownership or otherwise take control of the records."
De uitzonderingen, dus de archieven waar de authority niet voor gelden, zijn ook interessant:
This Authority does not apply to records that are:4. ADRI Advice
- taken interstate temporarily for business purposes e.g. for a business meeting. These are covered under the Normal Administrative Practice (NAP) provisions of the State Records Act. [...]
- to be transferred out of the State as a result of the transfer of administrative responsibility for a function or service to the Commonwealth or another State or Territory government or to a non government body or organisation. [...]
- over 25 years of age and identified as required as State archives in a retention and disposal authority approved by State Records [deze mogen de staat op grond van dit voorschrift niet verlaten. Als dat wel nodig is, wordt een aparte procedure doorlopen, IKo]
- inaccessible because they are not adequately controlled (i.e. not sufficiently described or tagged with metadata in compliance with standards issued by State Records)
- not covered by a current retention and disposal authority
- required for exhibitions or displays held interstate. In this case separate permission from State Records is required.
Vorig jaar heeft het Australasian Digital Recordkeeping Initiative (ADRI) een advies gepubliceerd "on managing the recordkeeping risks associated with cloud computing." In dit advies wordt vooral gefocused op de risico-analyse die aan ieder besluit om "in the cloud" te stappen vooraf moet gaan. De Recordkeeping checklist [ja, ja, IKo] for government organisations considering using cloud computing service providers begint als volgt:
1. Should a cloud computing application be considered?Voorlopig heb ik de indruk dat het antwoord hier in Nederland op deze vraag zou zijn: "Uh, ik denk dat het wel mag, want er staat nergens dat het niet mag..."
• Is the transfer or storage of official records outside of State / Country boundaries permitted under local regulatory frameworks?
-> If no, do not proceed.
En terwijl ik dit schrijf komen via de mail nog wat verwijzingen naar (buitenlandse) literatuur binnen...
Gerelateerd
Archieven in het buitenland plaatsen
Informatiebeveiliging door bewustwording? Ja natuurlijk!
Politie-DMS online vs Anonymous hackt politiewebsites
Beste Ingmar,
BeantwoordenVerwijderenIk heb met genoegen je berichten gelezen (en lees ze nog) over het plaatsen van digitale informatiein het buitenland. Hoe zit dat echter met het opslaan van analoge informatie bv. in een depot in een ander land? Is hier literatuur/artikelen over? Ik hoor graag van je.
Gerhard Kleinsman
Universiteit Twente
Medewerker SSA
Goedemorgen Gerhard,
BeantwoordenVerwijderenVolgens mij is er - vanuit de Archiefwet - geen voorschrift dat plaatsing in het buitenland verbiedt. (Dat blijkt ook al uit punt 2 hierboven.) Het enige dat ik er van kan zeggen is: bekijk zelf welke risico's je wil nemen bij het extern plaatsen van archieven en wat het feit dat de opslag in het buitenland is, hiervoor betekent.