Når det handler om records management og informationssikkerhed, begår mange virksomheder den fejl, at de starter med at fokusere på »at køre bilen«. De ansætter chauffører til at køre for fuld fart, men glemmer at bruge ressourcer på »undervognen«. Det går galt hver gang!
Tekst Tine Weirsøe, Scandinavian Information Audit
»Undervognen« er en metafor, Scandinavian Information Audit bruger om alt det, der skal være styr på, for at informationsressourcer, såsom records, dokumenter, arkivalier og data, kan skabe værdi for en virksomhed eller organisation, og for at risici kan minimeres. Uden en sikker »undervogn« kan bilen ikke køre.
Hvis der skal være styr på »undervognen«, skal der være taget beslutninger om fremtidig brug, stakeholders, adgange, digitalisering, lovgivningskrav, sikkerhed, it samt grænseflader til GDPR, informations- og it-sikkerhed, ledelsessystemer og certificeringer. Med baggrund i dette, virksomhedens kontekst, eventuelle brændende platforme samt resultater af audits, risikovurderinger og procesanalyser, udarbejdes politikker, procedurer, metadatamodeller, klassifikation og records retention-planer med arkiveringstid og slettefrister. Når alt dette er gjort og implementeret, er bilen sikker og klar til at køre.
Trykker man på speederen, før alt det er på plads, går det galt. Scandinavian Information Audit har samlet fire eksempler, der demonstrerer, hvad en manglende eller utilstrækkelig »undervogn« kan føre til.
I den statslige forvaltning er det oplagt at nævne den igangværende minksag. En embedsmand har anbefalet en minister at sætte en automatisk slettefunktion i drift, så sms’er slettes efter 30 dage. Sms’er anses for at være ikke-bevaringsværdige eller non-records. Der er tilsyneladende ikke foretaget kvalificerede juridiske og sikkerhedsmæssige vurderinger. Og beslutningen ser ikke ud til at være dokumenteret i procedurer for informationshåndtering, journaliseringsplaner eller lignende. Set med records management-øjne burde Statsministeriet have forholdt sig til og balanceret juridiske krav, sikkerhed og metoder til digital bevaring af sms’er.
Sagen er endnu ikke afsluttet, så vi ved ikke, om den automatiske sletning af sms’er får konsekvenser. Dog er det sikkert, at det allerede har kostet dyrt på omdømmet.
I en organisation, der varetager en bestemt patientgruppes interesser, har man løbende dialog med medlemmer på de sociale medier. De digitale samtaler kan være brevkasseagtige og have karakter af lægefaglig rådgivning, og det skal dokumenteres. Ledelsen mener, at de sociale medier er en fantastisk god måde at rekruttere nye medlemmer, og beslutter at give den fuld gas – undskyld for at bruge bilmetaforen igen. Kommunikationsafdelingen bliver konsulteret, men ingen overvejer at spørge en jurist til råds, gennemtænke problematikker omkring sikkerhed, GDPR eller at afklare records management-aspekterne som eksempelvis kan være bevaring af sociale medier, retention, proces og ansvar for arkivering. Denne sag er ikke afsluttet internt.
En virksomhed har besluttet at nedlægge nogle it-systemer, der anvendes til document-/records management og et integreret ledelsessystem, og migrere indholdet til et nyt system. It skal løse opgaven over en uge i juli 2020, hvor de fleste holder ferie.
»Undervognen« bliver ikke gjort klar til migreringen, der heller ikke lykkes særlig godt fra en forretningsmæssig vinkel. Der mangler vigtige metadata, funktionalitet fra de gamle systemer og digitale godkendelser på dokumenter i ledelsessystemerne.
Den forretningsmæssige »undervogn« har tydeligvis ikke været prioriteret. Den omfatter blandt andet en vurdering af indhold/content, metadata og funktionalitet i hvert af de gamle systemer, mapping af metadata og desuden en robust planlægning, en pilot, test, kvalitetssikring og en endelig godkendelse af systemejerne.
Konsekvenserne er, at der stadig er ansat studentermedhjælpere og eksterne konsulenter til manuelt at indtaste og genoprette det mest nødvendige data. Det har desuden været nødvendigt at opretholde adgang til nogle af de gamle systemer med omkostninger til licenser med mere. Brugerne må løse mange opgaver ved hjælp af både gamle og nye systemer. Den positive business case for migreringen er væk.
Den forretningsmæssige »undervogn« har tydeligvis ikke været prioriteret.
En norsk familieejet virksomhed, der blev stiftet for mere end 120 år siden, har en samling dokumenter, fotos, film og genstande fra stifteren placeret i 310 kasser og opmagasineret hos et flyttefirma. Der er, så vidt vides, ingen, der har åbnet kasserne i mere end 30 år. Nu står en ny generation frem som ansvarlige ledere og vil gerne bruge virksomhedens fantastiske historie aktivt. De hyrer en ekstern historiker til at skrive en bog og et reklamebureau til at arbejde med branding og blandt andet oprette en historisk hjemmeside. De mange flyttekasser bliver hentet hjem, men materialet er ikke organiseret, registreret, og der er ikke opstillet kriterier for den historiske bevaringsværdi. Desuden viser det sig, at en del af materialet skal konserveres, inden det nedbrydes. Kort sagt har bilen slet ingen »undervogn«.
Som følge heraf vælger man at opsige kontrakten med historikeren, der til gengæld har fået en erstatning, da hun nu er uden arbejde og har afslået andre tilbud for at kunne arbejde for virksomheden. Reklamebureauet er vanskeligere at opsige. De løser nu deres opgave ved hjælp af sekundære kilder som avisartikler og lignende. Virksomheden har ansat tre eksterne konsulenter i foreløbigt et år for at få styr på »undervognen«.
Vejen til at få styr på informationsressourcer i alle fire cases hedder god records management, der har et veludviklet og internationalt ankerkendt metodeværk i ISO 30300-serien.
Moderne organisationer bygger deres forretning på it og digitalisering. For at få det fulde forretningsmæssige udbytte og understøtte compliance skal der investeres i »undervognen«, hvad de fire cases er gode eksempler på. Der er desværre ikke så mange genveje, men når »undervognen« er robust opbygget og vedligeholdt, er der uanede muligheder for digitalisering, formidling og brug samt anvendelsesmuligheder som baggrund for compliance, forretningsudvikling og vækst. Sagt med andre ord: Det betaler sig på den lange bane at investere i god records management.
