Archiveren van email is net zoiets als een verzekering afsluiten. Je doet het soms omdat het verplicht is, maar ook omdat je het archief nodig hebt als het goed mis gaat. Ben je je er wel bewust van hoe belangrijk het is om snel terug te kunnen zoeken in email? Nee? Dan is er zeker nog nooit iets misgegaan?
De belastingdienst stelt als eis dat de administratie van een onderneming zeven jaar wordt bewaard, en wel zodanig, dat het ook weer ingezien kan worden. Ook facturen, afspraken en agenda’s vallen onder de administratie. En wie maakt er nou geen afspraken via email? Factureren gaat tegenwoordig ook steeds vaker via email, en de agenda staat ook in Exchange. Daarmee is het bewaren van email dus gedurende zeven jaar verplicht. Als je zaken doet met het buitenland, of je hebt een vestiging in het buitenland, maar ook als je in een bepaalde sector actief bent, dan kunnen er nog hogere eisen worden gesteld aan die bewaarplicht.
Stel, je doet wat veel organisaties doen. Je zet een limiet per persoon, een quotum van enkele gigabytes op de email, en je vraagt aan je werknemers of ze regelmatig hun mail willen ‘opschonen’. Je gaat er even van uit dat de belastingdienst niet moeilijk doet. Wat gebeurt er dan als jouw bedrijf opeens in een hoog oplopend juridisch conflict terecht komt? Dan kan plotseling iedere email die voorheen redelijk onbenullig leek, het grootste verschil uitmaken. Dan wordt het opeens belangrijk; hoe werd er intern over die ene klant gesproken? Welke afspraken werden er – ook intern – over deze klant gemaakt? In zo’n geval ben je blij met elk bericht dat je nog terug kunt vinden.
Probleem
Bewaren van email is dus verplicht en verstandig. Maar met een standaard Exchange-server is dat niet te doen. De opgehoopte, nooit gebruikte email gaat dan een onevenredige druk leggen op die Exchange-server. Gaan we dan toch ‘opschonen’? Met de gigabytes van het bewuste quotum? En de essentiële correspondentie en afspraken uitprinten voordat ze digitaal worden gewist? Helaas, daar gaat de belastingdienst niet mee akkoord. Digitale correspondentie moet ook digitaal worden bewaard. Met het oog op eventuele rechtszaken en de snelheid van terugzoeken, is het ook verstandiger om email digitaal te hebben, en wel alles – en niet een deel.
De backup is toch ook archief?
Kan dan de backup niet als archief worden gebruikt? Die hebben we toch al. Ja, het zou kunnen, maar er kleven wel twee bezwaren aan:
Zoeken in backups is (heel) lastig. Backups zijn heel slecht doorzoekbaar. Bewaarde administratie moet in te zien zijn, en dat is met backups maar beperkt het geval.
Backups worden niet geconverteerd (archieven wel). Een echt archief wordt meegenomen bij een eventuele conversie naar een nieuw systeem. Een backup wordt nooit geconverteerd. Dus wanneer het bedrijf overschakelt op een nieuw systeem, is de backup waardeloos. Voor de backup is dat misschien niet zo van belang, maar voor een ‘backup-als-archief’ wel.
Oplossing
De technische oplossingen zijn er. Er zijn systemen die ervoor zorgen dat op basis van bepaalde regels, email volautomatisch naar een archief wordt weggeschreven. Dat archief bevindt zich dan op een apparaat dat veel goedkopere opslag biedt dan de Exchange server. Vaak is dat wel trager dan de Exchange server zelf, maar dat is toch minder belangrijk. Alle mail blijft wel benaderbaar. Zoeken in email kan wel heel snel, en het terugvinden van email die gaat om een bepaald onderwerp, denk aan het juridische conflict, kan in een handomdraai. In sommige gevallen is zelfs zoeken met een app op de mobiele telefoon mogelijk.
Soms hebben dat soort systemen nog meer functies. Omdat het min of meer gaat om een schil om Exchange heen, kan zo’n systeem bijvoorbeeld ook bijhouden wie wanneer toegang had tot welke gegevens. Of kan worden ingesteld dat gebruikers bepaalde bestanden niet mogen versturen (bijvoorbeeld databases, muziek of video).
Een goed archiveringssysteem voor Exchange kan een hoop kopzorgen schelen. Net als een verzekering.
@Ewout, mijn reactie op je vraag m.b.t. SharePoint.
SharePoint is niet per definitie een recordmanagementsysteem (RMS). SharePoint heeft wel steeds meer recordmanagement functionaliteiten, maar voordat SharePoint ingezet kan worden als RMS moeten er behoorlijk wat zaken worden ingericht, zowel technisch als functioneel.
SharePoint is de afgelopen jaren behoorlijk onder de aandacht gebracht als ‘volwaardig’ DMS/RMS, maar ik heb echt projecten zien sneuvelen, waarbij leveranciers het niet voor elkaar kregen om met de door hun ontwikkelde RMS op het platform van SharePoint, te voldoen aan de eisen en wensen (veelal ook wettelijk) van een organisatie.
Wat ik in de praktijk veel zie gebeuren is dat SharePoint wordt gebruikt als documentmanagementsysteem (ondersteuning werkproces) en om samen te werken, maar dat het rms gedeelte veelal niet is ingericht of is ingericht in een ander systeem, die beter voldoet aan de eisen die gesteld worden.
Beste Fred,
Het archiveren is van Mail is wat anders dan het archiveren van een agenda of afspraak. Hoe zit het in Nederland met de wetgeving omtrent het archiveren van emails?
Voor een enkele PC is MS met PST-files een ramp. Daar bewijst Thunderbird dat het beter kan. Zet je de emails op jaar gesorteerd in eigen mappen dan ben je al een end op weg. Maak daar regelmatig een backup van en je zit relatief goed.
Werk je met IMAP en bijv. OpenExchange dan kan de hoster je backups verzorgen.
Eigenlijk weinig nieuws, maar waar, email archiveren is nodig.Met http://www.enkive.org gaat dat ook, zelfs zonder kosten voor licenties.
Ik denk dat Schneider hier een heel valide punt aanhaalt:
– in hoeverre is email geldige bewijslast inzake juridische en fiscale discussies? Met afzender-adressen/namen kan makkelijk geknoeid worden. Ook zijn e-mails doorgaans niet getekend met een (digitale) handtekening.
– wat zijn de wettelijke eisen m.b.t. archivering van electronische correspondentie. Ik kan me zo voorstellen dat er verschil zit tussen bewaren en archiveren…
Beste Pa Va Ke en Schneider,
E-mail (incl. bijlagen) is zoverre van belang als bewijslast, indien je het als organisatie als bewijslast aandraagt of dat het vanuit wet- en regelgeving aan je organisatie wordt geëist. Het is hierdoor van belang om te kijken naar de inhoud van de e-mails. Je prive e-mails die je op je werk e-mail adres ontvang hoef je niet en moet je ook niet archiveren in een organisatie RMS.
Maar e-mails die inhoud bevatten met risicovolle informatie voor de bedrijfsvoering en e-mails met inhoud die volgens (archief)wet- en regelgeving bewaard moeten blijven (omdat er wettelijke bewaartermijnen aan hangen) moet je in een organisatie RMS archiveren. B.v. een ontvangen e-mail met als bijlage een factuur. Bewaartermijn hiervoor is ongeveer 7jr.
Uitgangspunt bij de rechter is als volgt: Rechter moet overtuigd worden van de authenticiteit, integriteit, betrouwbaarheid en volledigheid van de bewijslast die je als organisatie aanlevert. Dus de wijze van archivering van de e-mails is hierbij erg van belang.
@Marianne
Punt (Point) dat ik wilde maken is dat dingen gebruikt worden waar ze niet voor bedoeld zijn (Share). De redenen daarvoor zijn divers maar vaak omdat het er al is en daarom niet veel kost, goedkoop is meestal duurkoop. Zal niet zeggen dat Sharepoint ongeschikt is voor record management maar je zult er bij inrichting al rekening mee moeten houden, kom trouwens regelmatig inrichtingen tegen waar back-up in zijn geheel ontbreekt omdat papieren archief 1-op-1 gedigitaliseerd is;-)
@Jan
PST staat voor Personal Storage Table, vertikale en horizontale systemen ontstaan juist door dit soort OEI (Ongepast Eigen Inititiaf) oplossingen.
Jan,
Dat is nou juist het punt. Backuppen van PST’s en lokaal opslaan wil je juist niet dat er gebeurd in je organisatie met je bedrijfskritische data. Dit is namelijk heel lastig terug te vinden.
Vandaar dat centrale archivering hier een oplossing kan bieden.
@Ewout: Ik snap je 🙂
Ik moet wel bekennen dat er inmiddels wel een klein aantal leveranciers is gelukt een RMS te ontwikkelen binnen SharePoint, waarbij ze ook nog voldoen aan de vereiste normen waaronder NEN 2082. Deze norm geeft algemene eisen voor functionaliteit van informatie- en archiefmanagement in programmatuur.
@Schneider: t.a.v. wet- en regelgeving voor het archiveren van e-mail kan ik het volgende zeggen:
In de Archiefregeling 2010 zijn er regels geformuleerd m.b.t. de duurzaamheid van archiefmateriaal. Dit houdt in dat je in deze openbare regeling heel veel informatie kan vinden hoe digitale informatie (waaronder e-mails) gearchiveerd moet worden. In deze regeling vindt je ook prestatie-eisen voor systemen en instellingen van de systemen. De regeling verplicht geen specifieke systemen. De prestatie-eisen geven wel aan waar systemen die gebruikt worden om te archiveren en de instellingen van de systemen, aan moeten voldoen. Als je de prestatie-eisen pakt en je toetst Outlook hierop, dan zal je zelf tot de conclusie komen dat Outlook niet voldoet aan de normen van een archiveringssysteem.
Fred,
Ook heb je een goede oplossing geregeld waarmee je dit soort zaken kan veilig stellen dan ben je nog niet save!
Een organisatie met haar ict omgeving maakt binnen 5-7 jaar zeker wat grote wijzigingen mee. In dit kader kun je denken aan het veranderen van authenticatiedomain (b.v. Novell naar MS) en veranderen van mailplatform (GroupWise naar Exchange of iets anders) waardoor niet altijd alles meegaat.
Dat vertel ik uit eigen ervaring. Ik heb twee keer twee klanten meegemaakt, de ene moest informatie uit zijn mailsysteem (Groupwise) ophalen die niet meer bestond en tijdens migratie ook niet compleet meegenomen waren en die andere was gefuseerd met andere bedrijf waardoor beschikbaar stellen van sommige gegevens en informatie vanuit hun oude omgeving onmogelijk was.
Om het verhaal leuker te maken, ze hadden een archiveringssysteem (bij ene was Symantec Enterprise Vault [top product] en bij andere weet ik niet meer). Alles leek goed afgelopen te zijn tot 2 jaar verder wanneer de oude objecten uitgefaseerd en verwijderd waren en het ophalen van oude informatie (van 4 jaar geleden)nodig was.
@Henri: Natuurlijk los je met cloud alles op. Herinner je je dat verhaal van mij over die kruidendokter die ik ergens in de wereld tegen kwam en dat hij beweerde dat hij met 1x middel alle pijn en kwalen kon bestrijden? Dat heet in ons vak “cloud”
Als bedrijf A (met email cloud-leverancier b.v. Microsoft) met bedrijf B fuseert (met email cloud-leverancier b.v. Google) dan
1) kan ik je vertellen dat je moet gaan janken door wat je allemaal mee gaat maken tijdens transitie naar de nieuwe platform, dan heb ik het niet over het overzetten van archivering
2) heb je alles overgezet en dan is de vraag wie verantwoordelijk is voor het beschikbaar stellen van “bruikbare” data/informatie/mail/agenda etc als bijvoorbeeld 2 jaar na transitie dat nodig is?
Als blijkt dat de oude data bestaat maar niet bruikbaar is (vanwege conversie of iets anders)moet Google deze voor je oplossen of Microsoft? Kosten? Verantwoordelijkheden?
Reza, je bent vermoeiend.
Ten eerste doe je wat Ewout ook vaak doet, het uitvergroten van de uitzonderingen. Als je een probleem hebt met archivering en migratie, dan bestaat dat probleem er ook zonder cloud platform. Je haalt nu argumenten aan die los staan van de oplossing, zo kan er NOOIT een goede oplossing geboden worden.
Maar goed, ik zal het nog een keer uitleggen.
De email box in de cloud is vaak vele malen groter dan je email box on-premises bijvoorbeeld in Exchange server. Dus bij de migratie naar de cloud dienst zal alle actuele email PLUS archivering waar mogelijk ge-upload worden naar deze dienst. Kun je dit niet, dan heb je als organisatie al qua wetgeving / compliance gefaald en kun je dat de cloud niet toedichten, geen uitzonderingen.
Nu weer al je email in de cloud staat zet je de archivering service / dienst / oplossing aan. *alle* emails die vanaf nu verzonden en ontvangen worden gaan 1 op 1 ook het archief in zonder dat de gebruiker hier invloed op kan uitoefenen, niet alle oplossingen werken real-time of zitten tussen de gebruiker en de email provider dus daar is een klein window waarin een medewerker direct een mail kan wissen, dit laat ik even open ter discussie. Dus als een medewerker zelf gaat schonen of deleten heeft dit geen invloed op de archivering / backup oplossing.
Stel dat je nu ineens toch een andere (cloud) provider gaat gebruiken, dan zal je het archief OF mee moeten nemen naar de nieuwe oplossing zodat je de oude oplossing van stopzetten, of je houdt deze nog 7 jaar aan en start met de nieuwe oplossing vanaf scratch, of je maakt een goede behapbare backup zodat je zelf nog in het archief kan als juridische afdeling.
Het is net gewone IT.
Niettemin bieden cloud oplossingen die in veel van de gevallen beter EN goedkoper zijn dan de On-premises oplossingen. Mailboxen van 1 Gb zijn echt niet meer van deze tijd en mailboxen van meer dan 25 GB, daar is iets anders aan de hand.
Je kunt mij van alles noemen en proberen steeds afbreuk te doen aan wat ik schrijf, maar ik doe deze dingen in de praktijk en dagelijks, dat jij nu bij “probleem” gevallen zit waar alles moeilijk en complex moet betekent niet dat het niet anders kan.
Ik beweer niet dat cloud altijd simpel is en een oplossing voor alle problemen. Maar dat er tegenwoordig hefboom zit in bepaalde online diensten is mijn dagelijkse praktijk en er zijn nu eenmaal aspecten aan IT die commodity geworden zijn waardoor je er naar toe werkt dat de complexe zaken die over blijven een directe relatie hebben met waar een bedrijf zijn geld mee verdiend.
Daarnaast heb je allemaal waarde oordelen over mijn mening en competenties, terwijl ik mijn ogen op de bal houd. We hebben nu eenmaal allebei een ander referentie kader, overstijg dit nu eens.