E-mailarchivering

Veel overheidshandelen wordt afgestemd via e-mail. De inhoud daarvan is relevant voor openbaarheid als bedoeld in de Wet openbaarheid van bestuur (Wob) en als archiefbescheiden als bedoeld in de Archiefwet. De procedures die voortkomen uit deze wetten dateren veelal  uit het pre-digitale tijdperk en zijn complex en tijdrovend. Het risico is dat niet wordt voldaan aan de vereisten van de Archiefwet , de Wob en de AVG. Daarom heeft het Rijksprogramma Duurzaam Digitale Informatiehuishouding (RDDI) de handreiking Bewaren van e-mail Rijksoverheid ontwikkeld voor het beschikbaar stellen van informatie uit e-mails.

Wat houdt de werkwijze in?

De nieuwe werkwijze maakt het mogelijk om wel te voldoen aan de genoemde wettelijke vereisten, op een manier die voor individuele rijksmedewerkers eenvoudiger is dan de meeste bestaande werkwijzen. Deze werkwijze gaat uit van het zo min mogelijk belasten van de medewerker, gecombineerd met het slim en veilig terug kunnen vinden van informatie.

De handreiking in een notendop:

• E-mail verzonden of ontvangen door medewerkers van de Rijksoverheid wordt tien weken na verzending of ontvangst automatisch veiliggesteld.
• Medewerkers worden in de eerste tien weken na verzending of ontvangst van e-mail in staat gesteld om niet relevante e-mails (waaronder privé e-mail, p-vertrouwelijke zaken of e-mail niet uit hoofde van functie verstuurd of ontvangen) uit te zonderen van automatisch veiligstellen.
• Alle e-mails worden tien jaar opgeslagen, waarna deze worden vernietigd.
• Hierop is een aantal uitzonderingen:
o e-mail van aan te wijzen sleutelfunctionarissen wordt permanent bewaard;
o e-mail van niet-sleutelfunctionarissen kan in bepaalde gevallen uitgezonderd worden van vernietiging en permanent bewaard worden;
o e-mail met bijzondere persoonsgegevens kan waar nodig op verzoek worden vernietigd;
o e-mail met een bij wet gestelde vernietigingstermijn korter dan tien jaar wordt na verstrijken van deze termijn vernietigd.
• Conform de termijn daarvoor gesteld in de Archiefwet wordt e-mail van sleutelfunctionarissen en overige e-mail die als blijvend te bewaren is aangemerkt naar het Nationaal Archief overgebracht. Bij overbrenging kunnen organisaties openbaarheidsbeperkingen aanbrengen.

Stand van zaken

Op respectievelijk 7 november en 18 december 2018 zijn het CIO Beraad en de ICBR akkoord gegaan met het toelaten van deze nieuwe werkwijze voor e-mailarchivering. Een aantal departementen heeft reeds laten weten met deze nieuwe werkwijze aan de slag te willen. Het programma RDDI gaat hen ondersteunen bij de implementatie. Onder meer door het concretiseren van de kosten en het zorgen dat de veiliggestelde e-mails goed doorzoekbaar zijn. De handreiking is daarbij een levend document. Dat wil zeggen dat  er ruimte is om ervaringen van departementen en nieuwe inzichten te verwerken in volgende versies.

In de volgende fase van het project werken we aan: 
• pakket van eisen voor een mogelijke ICT-toepassing, rekening houdend met de eisen voor duurzame toegankelijkheid. Het Nationaal Archief adviseert hierover;
• oppakken van de openstaande vragen uit de reviews (voor zover deze nog niet in de handreiking zijn beantwoord);
• het voorbereiden van een toolkit ter ondersteuning van de implementatie van de nieuwe werkwijze.  Hierbij wordt gedacht aan o.a. voorlichtingsmateriaal voor medewerkers, modelprocedures en handreikingen voor I-professionals en een draaiboek voor implementatie. De modelregeling Onderzoek in e-mail is inmiddels door de Stuurgroep RDDI goedgekeurd en zal onderdeel uitmaken van de toolkit. Een model selectielijst e-mail is in ontwikkeling.

Resultaten tot nu toe

Onderzoeksprogramma
De nieuwe werkwijze is door het Nationaal Archief onderzocht. Het onderzoeksprogramma bevatte vier onderzoekslijn, waarover rapporten zijn opgesteld:
1. Een analyse van toepassing en gebruiksgemak van de nieuwe werkwijze
2. (de selectie van) Sleutelfunctionarissen
3. Duurzame toegankelijkheid
4. Openbaarheid en privacy


Pilots
Om de nieuwe werkwijze in de praktijk te toetsen zijn bij VWS en JenV pilots gehouden. De resultaten wat betreft de technische mogelijkheden, de wijze waarop medewerkers de nieuwe werkwijze hebben ervaren en de uitkomsten van het onderzoeksprogramma waren positief. In de consultatieronde bij de departementen die in de Stuurgroep RaI waren vertegenwoordigd zijn aandachtspunten naar voren gekomen die ook in de pilots zijn gesignaleerd. Deze aandachtspunten zijn gebruikt om de handreiking verder aan te scherpen.

Privacy Impact Assessment
Ten behoeve van de nieuwe werkwijze is een Privacy Impact Assesment (PIA) opgesteld. Deze is besproken met alle functionarissen gegevensbescherming van het Rijk. De gemaakte opmerkingen zijn verwerkt in de PIA. Ook heeft een consultatieronde plaatsgevonden met de privacy adviseurs van de departementen. Voor de PIA is tevens extern advies ingewonnen bij Gerrit-Jan Zwenne, Hoogleraar Recht en de Informatiemaatschappij. Zijn advies is positief.

Modelregeling Onderzoek in e-mail
Bij de bespreking van de Handreiking bewaren van e-mail is van verschillende kanten gevraagd onder welke voorwaarden er in de veiligstelde e-mail gezocht kan/mag worden naar informatie. De modelregeling (die is overgenomen van het ministerie van Justitie en Veiligheid en daar is goedgekeurd met instemming van de medezeggenschap) geeft hierop een antwoord. De modelregeling kan door andere organisaties worden aangepast op de eigen situatie.

Selectiebesluit
Om de Handreiking bewaren van e-mail te implementeren dienen de gestelde bewaartermijnen voor e-mail door elke zorgdrager die de werkwijze toepast bekrachtigd te worden door vaststelling van een selectielijst die voldoet aan de eisen van het Archiefbesluit. Hiervoor is in samenwerking met het Nationaal Archief een model selectielijst ontwikkeld. Deze is conform artikel 3 van het Archiefbesluit ter advies voorgelegd aan een extern deskundige. Dit advies wordt in het model verwerkt, waarna het aan de Stuurgroep RDDI ter besluitvorming wordt voorgelegd.

Overleg met ICT gestart
Op verzoek van het project zijn architecten en specialisten van SSC-ICT samen met business consultants van Microsoft een verkenning gestart  of het mogelijk is om binnen Microsoft Exchange e-mail te bewaren conform de Handreiking. De eerste indrukken zijn positief.  Het betreft hier wel een beperkte set aan eisen, gericht op het bewaren van de mail. De komende periode werkt de platformbeheerder de benodigde instellingen verder uit. Hierna zal het concept op kleine schaal getest worden.
Tegelijk  gaat het project van start met de workshops voor de gebruikerswensen voor het pakket van eisen voor de ICT oplossing. De ervaringen van de testen met Microsoft Exchange worden hierin meegenomen.