De laatste tijd lezen we weer over grote digitaliseringsprojecten. Bedoeld wordt dan meestal scan-projecten voor pre-digitale informatieopslag. Interessant en ingewikkelder dan het lijkt, maar veel ingewikkelder dan dat is hoe de informatie in het digitale tijdperk nou eigenlijk moet worden beheerd. Want de archiefkasten van gisteren zijn de petabytes van vandaag, alleen konden we gisteren nog de tekst op de archiefdoos lezen en vandaag staat jouw data ergens in de cloud. Onbekend en onbemind. Of nee, onbemind door jou, bemind door de foute loverboys van de informatiemaatschappij.
Tijd dus om weer meer, veel meer, aandacht te geven aan gegevensclassificatie. Dat is in principe al van alle tijden. Er was altijd al publieke informatie en er waren geheimen. Het bestaan van geheimen werd geheim gehouden. Ook dat werd geheim gehouden. Degene die wisten wat de informatie waard was, classificeerden de informatie als geheim, maar dat hielden ze geheim. Security by obscurity werkt, in zulke situaties…
Hoe ging dat dan? Nou gewoon. De opsteller van zekere informatie beschouwde die aan de hand van criteria en besliste op basis daarvan wat geheim was en wat niet. De ontvanger van de informatie kreeg bij ontvangst te horen dat als hij niet alles deed wat bij geheimhouding hoorde, zijn kop eraf ging. In de termen van de klerkenkaste heette dat eeuwenlang een prima preventieve 'internal control', namelijk dreigen met een repressieve (correctieve?) controle.
Maar zie, informatie, gegevens en de opslagmedia werden in de loop der tijd steeds meer onderscheiden en geheimhouding kristalliseerde uit tot een attribuut aan gegevens volgend uit mogelijke schade door bekendwording van informatie bij anderen dan rechtmatig en bedoeld. Uitgebreide spoorboekjes ontstonden over de criteria voor classificatie of rubricering, zoals het niveau van geheimhoedanigheid (geheimheid?) of de bedoelde verspreidingskring, over de vereiste markering (een groot stempel 'Geheim' of nou juist niet) en over de vele, vele te nemen maatregelen om een eenmaal of andermaal vastgesteld niveau van vertrouwelijkheid hoog te houden. Dit leidde tot duidelijke maar tegen-intuïtieve resultaten als het Bell – La Padula-model of onduidelijke resultaten zoals jouw classificatieschema.
De vele, vele maatregelen zouden wel moeten worden genomen, maar werden het niet… Veels te ingewikkeld, al die crypto-dingen. Als een mailtje zo simpel is gestuurd, is de informatie toch bij de bedoelde ontvanger, dat was toch het primaire doel van informatie? Beveiliging, da's heel veel overhead voor weinig tot geen zichtbaar resultaat en dus lastig en als het dan ook nog eens zo moeilijk is… Al die anderen dan wij zelf leven voor productieve dingen, niet voor de bureaucratie. Laat staan dat er ruimte zou zijn voor onderhoud aan de classificatie, bijvoorbeeld na ‘verrijking' van gegevens.
En terwijl ook de versleuteling tegenwoordig steeds sneller kan worden gekraakt, te meer door degenen die met alle geweld bij de gegevens willen komen en die jij juist bij uitstek op afstand wilt houden. Of vertrouw je ‘hiding in plain sight' met steganografie bijvoorbeeld? Waarom niet…? Jouw collega's zijn al meer dan genoeg vertrouwd met plaatjessites. Problemen zat dus. En dat moeten ‘ze' maar oplossen. Helaas, jij bent ‘ze'.
Dan het probleem: hoe de classificatie te verzinnen? Alles versleutelen dan maar? Terwijl meer dan ooit gegevens moeten worden uitgewisseld met een steeds grotere, steeds moeilijker in de gaten te houden, groep gebruikers buiten de eigen organisatie. Of willen we terug naar de ooit bedoelde granulariteit van classificatie, die je niet zomaar van langs de zijlijn kunt bedenken maar zoals gezegd in de overwerkte ‘business' zelf moet worden opgesteld en uitgevoerd, dag in, dag uit. Net zoals bij risk management en al die andere stafdisciplines zit de echte kennis over het hoe en wat van invulling van de middenkolom uit Maes' negen-vlaksmodel in de middenkolom, tussen ‘de business' en ict in.
Bovendien krijgen we steeds meer te maken met de vergankelijkheid van waarde(n). Kwartaalcijfers zijn vandaag nog zeer geheim, tot de perspublicatie dan zijn ze ineens ongerubriceerd. Hoe hangen we een geldigheidsduur als attribuut aan een classificatie-attribuut? En welke maatregelen kunnen we loslaten bij verminderd belang? Misschien moeten we vertrouwen op de kraakbaarheid van cryptomechanismen om informatie allengs meer publiek te maken…?
Dan hebben we het nog niet over de explosie van ongestructureerde informatie, die de gestructureerde informatie qua belang zowat naar de marge verdringt. Hoe krijgen we daar qua classificatie vat op? Doe het eens wat vaker dus. Classificeren bedoel ik. En creatief zijn; het eens wat anders aanpakken dan anders kan veel inzicht en plezier verschaffen. Vaker doen, met meer sparringpartners, buiten het eigen handwerk in isolatie, gaat hier hand in hand met meer veiligheid.
Hierboven staan vele vragen en maar weinig antwoorden, van mij dan. Want ik wil van jou weten hoe jij classificatie aanpakt. Hoe kunnen we het leuker maken zodat onze tegenpartijen het vaker willen doen?
Een classificatie werkt pas echt goed wanneer de classificatie “van ons allen” is. Of beter, wanneer een classificatie aansluit bij de bril die de desbetreffende “informatieconsument” op heeft.
Aangezien deze brillen nogal divers kunnen zijn en vaak kunnen wisselen, lijkt een DSP (Documentair Structuur Plan)”Nieuwe stijl” hierop een goed antwoord te zijn. Belangrijk element hierbij is dat de classificatie is gebaseerd op onderwerpen (taal) die afkomstig zijn van de afdelingen binnen de organisatie en (deels) ook worden beheerd en aangepast kunnen worden door deze zelfde afdelingen.
Verder is aan deze onderwerpen een hele structuur van metagegevens gekoppeld, waarmee ongestructureerde informatie wordt gestructureerd, bij registratie in bijvoorbeeld een document managementsysteem en waarop uiteraard de informatie vervolgens kan worden gevonden. (zie ook https://www.computable.nl/artikel/ict_topics/ecm/2712949/1277020/dsp-nieuwe-stijl-noodzaak-voor-zaken-in-nood.html)
Classificatie en daarmee samenhangend records management, gegevensbeveiliging en het vinden van de informatie kan aanzienlijk vereenvoudigd worden, hiervoor moet men terug naar het begin namelijk het moment van document creatie. Van oudsher wordt classificatie achteraf toegepast, buiten de context van het bedrijfsproces. Vroeger met een centrale postkamer was er een zogenaamd slot op de deur, maar tegenwoordig kan iedereen het elektronisch document bewaren, emailen, printen en zelfs achteraf veranderen.
Document creatie, of het nu een email, officiële brief, financieel rapport is, vindt altijd plaats in de context van een bedrijfsproces. Het is deze context die bepaalt wie (autorisatie), wanneer en welk document (de sjablonen) kan gebruiken en wat en waar (autorisatie op paragraaf niveau) er geschreven mag worden. Ook bepaalt het proces en de status van het document of er accordering plaats dient te vinden, via welke kanalen document verspreiding plaats vindt (bijv. printer in beveiligde ruimte, email met digitaal getekende pdf) en niet geheel onbelangrijk de toegangsrechten en archiveringstermijn. Een taxonomie, bedrijfsprocessen en autorisatiemodel zijn hiervoor onmisbaar. Zoeken wordt vinden aangezien het de zaak (case) is die de context geeft en daarmee alle relevante documenten toont, mist geautoriseerd natuurlijk.
Veel vragen, weinig antwoorden. Enerszijds ben ik het met de titel eens; classificeer meer, en begin daarmee -zoals door Freddie van Rijswijk terecht wordt opgemerkt- bij de content creatie. Zorg dat de organisatie duidelijk en gezamelijk afspraken heeft gemaakt. Zorg dat iedereen zich eraan houdt. Maar zorg er ook voor dat er niet te veel wordt geclassifieerd. De hoeveelheid ongestuctureerde content neemt toe, en hoelang is deze content relevant? Hoeveel ervan wordt opgeruimd? Dus inderdaad; classificeer meer, maar ruim ook op. Kortom; classificeer bewust.
Classificatie is geen doel op zich. Als we niets organiseren classificeert men nauwelijks en als we het opleggen, te veel. Beide leidt tot inefficiëntie. Hoe classificatie dan aan te pakken? In de basis ligt de verantwoordelijkheid bij de contenteigenaar. Hij moet zich de volgende twee vragen stellen: wie is mijn doelgroep? Bijv. een afdeling, de organisatie of het web. Een grotere doelgroep vraagt uitgebreidere classificatie. En vraag 2: wat wil ik met de content bereiken? Hoe graag wil de eigenaar dat de content gevonden wordt vraagt om meer classificatie. Met het stellen van deze vragen neemt de bewustwording toe en vindt classificatie op efficiënte en natuurlijke wijze plaats.
Classificatie via metadata per proces is een logische manier om informatie te structureren. Door het gebruik van een DSP (documentair structuurplan) of ZTC (zaaktypencatalogus) in een documentmanagementsysteem kan met één handeling een volledige structuur van metagegevens toegevoegd worden. Het werken met een DSP of ZTC raakt dan ook steeds meer ingeburgerd. Terecht is de vraag hoe we de juiste toegang tot informatie garanderen. Dit vraagt om een ZTC+, waarbij meer procesgegevens (statusovergangen, resultaten) en zelfs functionele beheergegevens (autorisatie) worden opgenomen in het ZTC. Het ZTC wordt daarmee een applicatieoverstijgende basisregistratie voor informatievoorziening. Nu nog een brug te ver? Maar een uitdaging voor overheden en leveranciers van zaaksystemen/DSP’s om tot een goede standaard te komen.
Een praktisch probleem bij classificatie is dat vaak veel nagedacht wordt over het documentair structuurplan en/of de zaaktypencatalogus en er prima technologie wordt ingezet om deze middels metadata en/of taxonomieen te beheren maar dat minder gekeken wordt naar de grootste uitdaging: waar gaat al deze metadata vandaan komen. Vaak wordt nagedacht over wat men uiteindelijk uit het systeem wil gaan halen maar wordt te weinig stilgestaan bij hoe deze informatie in het systeem gaat komen. Dit kan vervelende gevolgen hebben als schijninformatie en zwaar geirriteerde eindgebruikers die overdreven ingewikkelde invoerdialogen voor hun kiezen krijgen. Het is derhalve aan te raden niet alleen te kijken naar het gewenste eindresultaat maar ook naar informatie (soms verborgen) die al in enigerlei vorm beschikbaar is. Dit kan zo simpel zijn als het label op de doos ut het archief mee te nemen als metadata bij het scannen van alle documenten in de betreffende doos. Ook is verassend veel mogleijk als materiedeskundigen betrokken worden in het bedenken van herleidingsregels om waar mogelijk metadata geautomatiseerd uit de content af te leiden. De functie van de eindgebruiker wordt dan meer controlerend en minder die van data typist.