"Undervognens" betydning for god records management
Dette er den første artikel i trilogien om “undervognen” – husk også at læse anden og tredje artikel.
Mange virksomheder begår den fejl i forbindelse med records management og informationssikkerhed, at de starter med at fokusere på ”at køre bilen”. De ansætter chauffører eller måske racerkørere til at køre for fuld fart uden at bruge ressourcer på “undervognen”. Det går galt hver gang!
“Undervognen” er en metafor, vi i Scandinavian Information Audit bruger om alt det, der skal være styr på for at informationsressourcer, som records, dokumenter, arkivalier og data kan skabe værdi og for at risici kan minimeres. Uden en sikker “undervogn” kan bilen ikke køre.
Hvis der skal være styr på ”undervognen” skal der være taget beslutninger om fremtidig brug, stakeholders, adgange, digitalisering, lovgivningskrav, sikkerhed, IT samt grænseflader til GDPR, informations- og IT-sikkerhed, ledelsessystemer og certificeringer. Med baggrund i dette, virksomhedens kontekst, eventuelle brændende platforme samt resultater af audits, risikovurderinger og procesanalyser, udarbejdes politikker, procedurer, metadatamodeller, klassifikation og records retention planer med arkiveringstid og slettefrister. Når alt dette er gjort og implementeret, er bilen sikker og klar til at køre.
Nedenfor er eksempler på fire cases, der demonstrerer, hvad en manglende eller utilstrækkelig “undervogn” kan føre til:
1. I den statslige forvaltning er det oplagt at nævne den igangværende minksag. En embedsmand har anbefalet en minister at sætte en automatisk slettefunktion i drift, så SMS’er slettes efter 30 dage. SMS’er anses for at være ikke-bevaringsværdige eller non-records. Der er tilsyneladende ikke foretaget kvalificerede juridiske og sikkerhedsmæssige vurderinger. Og beslutningen ser ikke ud til at være dokumenteret i procedurer for informationshåndtering, journaliseringsplaner eller lignende. Set med records management øjne burde Statsministeriet have forholdt sig til og balanceret juridiske krav, sikkerhed og metoder til digital bevaring af SMS’er.
Sagen er endnu ikke afsluttet, så vi ved ikke om den automatiske sletning af SMS’er får konsekvenser. Dog er det sikkert, at det allerede har kostet dyrt på omdømmet.
2. I en organisation, der varetager en bestemt patientgruppes interesser, har man løbende dialog med medlemmer på de sociale medier. De digitale samtaler kan være brevkasseagtige og have karakter af lægefaglig rådgivning, og det skal dokumenteres. Ledelsen mener, at de sociale medier er en fantastisk god måde at rekruttere nye medlemmer og beslutter at give den fuld gas – undskyld for at bruge bil metaforen igen. Kommunikationsafdelingen bliver konsulteret, men ingen overvejer at få styr på ”undervognen” ved at spørge en jurist til råds, gennemtænke problematikker omkring sikkerhed, GDPR eller at afklare records management aspekterne, som eksempelvis kan være bevaring af sociale medier, retention, proces og ansvar for arkivering. Denne sag er ikke afsluttet internt.
3. En virksomhed har besluttet at nedlægge nogle IT-systemer, der anvendes til document-/records management og et integreret ledelsessystem (ISO 9001, 14001 og 27001) og migrere indholdet til et nyt system. IT skal løse opgaven over en uge i juli 2020, hvor de fleste holder ferie. ”Undervognen” bliver ikke gjort klar til migreringen, der heller ikke lykkes særlig godt fra en forretningsmæssig vinkel. Der mangler vigtige metadata, funktionalitet fra de gamle systemer og digitale godkendelser på dokumenter i ledelsessystemerne.
Den forretningsmæssige ”undervogn” har tydeligt vis ikke været prioriteret. Den omfatter blandt andet en vurdering af indhold/content, metadata og funktionalitet i hvert af de gamle systemer, mapping af metadata og desuden en robust planlægning, en pilot, test, kvalitetssikring og en endelig godkendelse af systemejerne.
Konsekvenserne er, at der stadig er ansat studentermedhjælpere og eksterne konsulenter til manuelt at indtaste og genoprette det mest nødvendige data. Det har desuden været nødvendigt at opretholde adgang til nogle af de gamle systemer med omkostninger til licenser m.m. Brugerne må løse mange opgaver ved hjælp af både gamle og nye systemer. Den positive business case for migreringen er væk.
4. En norsk familieejet virksomhed, der blev stiftet for mere end 120 år siden, har en samling dokumenter, fotos, film og genstande fra stifteren placeret i 310 kasser og opmagasineret hos et flyttefirma. Der er så vidt vides ingen, der har åbnet kasserne i mere end 30 år. Nu står en ny generation frem som ansvarlige ledere og vil gerne bruge virksomhedens fantastiske historie aktivt. De hyrer en ekstern historiker til at skrive en bog og et reklamebureau til at arbejde med branding og blandt andet oprette en historisk hjemmeside. De mange flyttekasser bliver hentet hjem, men materialet er ikke organiseret, registreret, og der er ikke opstillet kriterier for den historiske bevaringsværdi. Desuden viser det sig, at en del af materialet skal konserveres, inden det nedbrydes. Kort sagt har bilen slet ingen “undervogn”!
Som følge heraf, vælger man at opsige kontrakten med historikeren, der til gengæld har fået en erstatning, da hun nu er uden arbejde og har afslået andre tilbud for at kunne arbejde for virksomheden. Reklamebureauet er det vanskeligere at opsige. De løser nu deres opgave ved hjælp af sekundære kilder som avisartikler og lignende. Virksomheden har ansat tre eksterne konsulenter i foreløbigt 1 år for at få styr på ”undervognen”.
Vejen til at få styr på informationsressourcer i alle fire cases hedder god records management, der har et veludviklet og internationalt ankerkendt metodeværk i ISO 30300-serien.
Moderne organisationer bygger deres forretning på IT og digitalisering. For at få det fulde forretningsmæssige udbytte og understøtte compliance, skal der investeres i “undervognen”, hvad de fire cases ovenfor er gode eksempler på. Der er desværre ikke så mange genveje, men når “undervognen” er robust opbygget og vedligeholdt, er der uanede muligheder for digitalisering, formidling og brug samt anvendelsesmuligheder som baggrund for compliance, forretningsudvikling og vækst.