Lidt om mig. Records management - drivers

Transkript

1 Status over records i den offentlige og den private sektor Aalborg Universitet IVA, 3. april 2014 Tine Weirsøe, Scandinavian Information Audit Indhold Records drivers Records programmet Records i processerne Udfordringer i offentlig og privat sektor fælles udfordringer EU s forslag til reform af persondataloven - en udfordring, der er fælles for sektorerne Records modenhedsmodel 1

2 Lidt om mig Executive MBA, CBS, 2002 Lead auditor ISO 9001 (ICRA) Bibliotekar, sektion 2, Danmarks Biblioteksskole Mere end 25 års erfaring med records-, information og document og arkivering 20 års erfaring med kvalitetsledelse 20 års ledelseserfaring Siden 2012 Ekstern lektor ved Master i Informationsforvaltning og Records Management, Aalborg Universitet og IVA/Købehavns Universitet. Siden 2004 konsulent og ejer af Scandinavian Information Audit Formand for DS-udvalg bag ISO serien Novo Nordisk, Records Management Centre, afdelingsleder CBS, igangsættelse af informationsservices for private virksomheder Børsens Forlag, produktchef og afdelingsleder for Greens-redaktionen Industrifagene (nu fusioneret ind i Dansk Industri), datakonsulent. Arbejder i Danmark, Norge, Sverige m.m. indenfor: Lifescience (pharma, medico og biotek) Olie, vind, energi og gas Transport, shipping og luftfart Fødevarer Byggeri og anlæg Den finansielle sektor Interesseorganisationer Den offentlige sektor Records - drivers Juridiske krav Forretningsbehov Troværdighed Lovgivningskrav Videndeling Etik Kontraktuelle forpligtelser Virksomhedshistorie Omdømme Beskyttelse ved retssager, inspektioner, tilsyn Effektivitet 2

3 Records programmet Vision for records med baggrund i forretningens vision og strategi Kontinuerlig forbedring Monitorering og auditering Politik Strategi for records Kompetenceudvikling Træning Procedurer Vurdering af risiko Optimering af systemer og arkiver Records systemer Records retention Identifikation af records Records i processerne BORGER - KUNDE - GÆST PRODUKT- UDVIKLING PRODUK- TION/ SAGSBE- HANDLING MARKEDS- FØRING SALG DISTRIBU- TION KLAGE ØKONOMI KOMMUNIKATION IT UDVIKLING DRIFT - SIKKERHED JURA PATENT - VAREMÆRKER HR EJENDOMME OG FACILITETER INFORMATION MANAGEMENT KVALIITETSLEDELSE RECORDS MANAGEMENT BUSINESS INTELLIGENCE CSR 3

4 ISO serien overblik Terminologi ISO Management Fundamentals and vocabulary Øvrige standarder og tekniske rapporter Krav ISO Management Requirements ISO Management Requirements for bodies providing audit and certification ISO &2 Information and documentation Records ISO ,2&3 Information and documentation Metadata for records ISO TR Information and documentation - Work process analysis for records ISO/TR Information and documentation Risk assessment for records processes and systems Guidelines ISO Management Implementation guide ISO Management Assessment guide ISO Implementation guidelines for digitalization of records ISO Digital records conversion and migration process ISO ,2,3 Principles and functional requirements for records in electronic offiice environment NYE STANDARDER PÅ VEJ Udfordringer sektorspecifikke og fælles Privat sektor Offentlig sektor Governance for internationale virksomheder Ingen respekt for historien (eksklusiv familieejede virksomheder) Manglende fokus på metadata Digitalisering Formater - medier Reform af EU personlovgivning Ressourcer Ingen gider det SharePoint helvede Forældet teknologi forståelse Respekt for faget Ny offentlighedslov Manglende fokus på journalisering Statens Arkiver 4

5 Væsentligste records udfordringer ved EU s forslag til reform af persondatalovgivningen Ny rolle: Data Protection Officers Anmeldelse af brud på personsikkerheden Retten til at blive glemt Sanktioner af uhørt størrelse Fordele for borgerne i EU Ret til at blive glemt Lettere adgang til egne data Borgere har ret til at få at vide, hvornår deres data er blevet hacked Databeskyttelse først, ikke noget der kommer bagefter! 5

6 Ny rolle: Databeskyttelsesansvarlig (DPO) Databeskyttelsesansvarlig (Artikel 28, 35, 36, 37): DPO skal være kvalificeret indenfor sikkerhed og databeskyttelse, herunder praktisk udførelse af disse opgaver DPO s øvrige opgaver må ikke give anledning til interessekonflikter DPO er uafhængig og referer direkte til ledelsen DPO skal forestå implementering af ny lovgivning, herunder overvåge implementering af ny governance, træne og auditere, være ansvarlig for Artikel 28 om dokumentation, overvåge hacking og brud på datasikkerhed og kommunikere dette. Udfordringer: Hvem skal varetage dette ansvar? Der er kun omkring globalt, der har de rette kvalifikationer? Vanskeligt at undgå interessekonflikter i mindre virksomheder, hvor DPO typisk vil arbejde med IT, records eller lignende Hvordan skal DPO nå at varetage alle opgaver? Retten til at blive glemt og ret til sletning Retten til at blive glemt og ret til sletning (Artikel 17) Har man krav på at blive slettet fra historiske arkiver? Hvordan skal records managers og arkivarer forholde sig til konfliktende lovgivninger, fx arkivloven, persondataloven, offentlighedsloven, produktansvarsloven? Hvilken lovgivning vejer tungest? Kan man stille krav om at blive slettet fra backup bånd og lignende Kan man stille krav om at få slettet sit navn på alle s, som man enten har sendt, modtaget eller er kopieret på? 6

7 Policy Records retention Procedures Document Management Other suitable technology Security and business continuity Behavior Change readiness Business understanding Records modenhedsmodel 309 audits (ISO 30300/15489) % private virksomheder 31% offentlige virksomheder Governance Technology Culture Offentlig sektor Privat sektor Level 5 Fully implemented 2. generation RM Level 4 1. generation RM implemented Level 3 1. generation RM preparred Level 2 Need for RM partially acknowledged Level 1 Need for RM not acknowledged Level 5 Positive contribution +10 years Level 4 Positive contribution +5 years Level 3 See the value and contributes Level 2 See the value of RM Level 1 Do not see the value of RM Definition RECORDS = kritisk information + governance + metadata + transaktionsdata Identificeres på baggrund af forretningsprocesanalyse, risikovurderinger og lovgivningskrav Records kan være i form af alle medier, genstande og formater Records skal håndteres og kontrolleres i livscyklus, versionsstyres og sikres mod utilsigtede ændringer Adgangskontrol til records Politik Retention Kassations procedure Procedurer for håndtering og kontrol Records metadata Indhold Tid Livscyklus Kontekst Records processer Metadata for transaktionsprocesser Logs Revisionsspor Konvertering Migrering Vedligehold og bevaring Brug Tine Weirsøe, Scandinavian Information Audit udarbejdet til FN,

8 Tine Weirsøe, Scandinavian Information Audit Telefon