Waarom een noodplan voor je digitale systemen?
We zijn enorm afhankelijk van ICT. Het is dus belangrijk om te vermijden dat je digitale informatie verloren gaat door een brand, een servercrash, een stroompanne, enz. Je hebt wellicht een back-upsysteem, maar niet alle systemen zorgen ervoor dat je informatie snel
terug beschikbaar is. Voor je (semi)statisch archief is dat geen probleem, maar wat met actief gebruikte dossiers die je bestuur nodig heeft voor dringende dienstverleningsprocessen? Hoe zorg je ervoor dat die informatie toch snel beschikbaar is? En hoe vermijd je dat je niet al je gegevens verliest door hacking? Een noodplan voor je ICT gaat dus veel verder dan een back-up voorzien.
De rol van een informatiebeheerder in een lokaal bestuur
Meestal wordt er naar de IT-verantwoordelijke gekeken, maar ook als informatiebeheerder/archivaris binnen een lokaal bestuur kun je hierin een rol spelen. Jij hebt immers een goed overzicht van de informatie(stromen) binnen en tussen verschillende diensten en kunt dus het management begeleiden bij het bepalen van welke informatie prioritair is en waar extra afspraken of technische voorzorgen nodig zijn.
Opbouw van een noodplan voor digitale informatie
Wij ontwikkelden een basisplan voor lokale besturen om zich voor te bereiden op mogelijke technische calamiteiten. Die leidraad kun je ook aanvullen om zo je eigen plan uit te werken. Het plan kwam tot stand na workshops met IT-verantwoordelijken, gesprekken met noodplanambtenaren, veiligheidsconsulenten en experten en een bevraging bij secretarissen van lokale besturen. Het bestaat uit drie delen.
1. Maak afspraken
Met deze afspraken kun je een crisis aanpakken of op voorhand technische keuzes maken. Bepaal eerst wie welke rol opneemt bij een crisis. Wanneer digitale systemen falen moet de IT-verantwoordelijke zich kunnen concentreren op het technisch oplossen van het probleem. Andere taken, zoals crisismanagement, communicatie, verslaggeving of praktische hulp
(bv. een tijdelijke balie voorzien) moeten aan anderen uitbesteed worden. Door
dit op voorhand af te spreken verlies je geen tijd als er problemen zijn.
Daarna bepaal je de prioriteit van processen voor jouw bestuur. Het management
deelt ze in deze categorieen in:
• Levensnoodzakelijke processen waarvoor de informatie binnen een paar uur terug beschikbaar moet zijn. Bv. elektronische zorgdossiers voor OCMW's met een woonzorgcentrum zijn voor de bedeling van medicatie levensnoodzakelijk.
• Tijdskritieke processen die binnen de 48 terug moeten opstarten. Bv. het afleveren van e-ID's in spoedprocedure. Verschillende processen binnen een lokaal bestuur hebben wettelijke termijnen, je wil ze dus respecteren ondanks uitgevallen systemen.
• Essentiële (twee weken) en noodzakelijke processen (zes à acht weken) zijn minder dringend, bv. subsidieaanvragen. Hiervoor volstaat een back-up, zodat gegevens teruggehaald kunnen worden om het proces te finaliseren.
Na deze oefening bekijk je met de IT-dienst welke informatiebronnen en digitale toepassingen nodig zijn voor deze processen. Toepassingen voor levensnoodzakelijke en tijdskritieke processen krijgen, samen met alle ondersteunende technische elementen, prioriteit
bij het oplossen van de crisis en bij de inrichting van je serverconfiguratie en back-up. Voor essentiële en noodzakelijke processen heb je tijd om naar een oplossing te zoeken, daarvoor moet je dus niet alle mogelijkheden in kaart hebben.
Maak ten slotte ook afspraken over communicatie. Bij een technisch probleem kun je misschien geen mails meer sturen of de website aanpassen. Bedenk dus op voorhand wie je stakeholders zijn en welke communicatie er per stakeholder nodig is. Wat communiceer je
wanneer je informatie over een lopend dossier verliest? Wie informeer je wanneer (semi)statisch archief tijdelijk niet beschikbaar is? Als informatiebeheerder/archivaris kun je hierover samen met de communicatieambtenaar nadenken.
2. Maak technische keuzes
Op basis van je prioriteiten stelt de IT-dienst technische oplossingen voor om het risico op verlies of onbeschikbaarheid van je informatie te reduceren. Zorg ervoor dat je een goed beeld hebt van de gevolgen van die technische keuzes. De meeste besturen beschikken wel over een back-upserver, maar die maakt een statische back-up. Wanneer de functionele server niet meer werkt is een nieuwe server nodig, die volledig geconfigureerd moet worden. Dat duurt enkele dagen.
Maak afspraken over connectiviteit. Wat als je basisinternetverbinding eruit ligt? Is er een performante back-uplijn? Hoe sterk is de verbinding tussen de server en de back-upserver? Hoe vatbaar ben je voor cryptolockers?
Breng ook je afspraken met externe leveranciers van digitale toepassingen in kaart. Welke service bieden ze? Kunnen ze binnen jouw vooropgestelde kritieke periode een oplossing voorzien? Het bestuur kan bewust kiezen om het risico te nemen dat de dienst een tijdje uitvalt,
bv. omdat de kostprijs anders niet in verhouding is. Je kunt ook bepaalde processen veel sterker beveiligen dan andere, bv. vanwege hun prioriteit. Zorg dat je vooral de consequenties van je keuzes kent.
3. Stappenplan tijdens een crisis
Onze leidraad voorziet een stappenplan voor wanneer er zich een probleem voordoet. Elke crisis is anders, je zult dus steeds een stuk moeten improviseren. Bepaalde elementen komen echter bij elk probleem terug. Bij grote crisissen is er meestal een notulist die elke gezette stap registreert. Zo kan je bestuur zich verantwoorden bij klachten.
Wat moet je onthouden?
Denk, naast je calamiteitenplan voor je papieren archief en erfgoedcollecties, na over een noodplan voor je digitale informatie. Zeker binnen een lokaal bestuur is het essentieel om informatie gekoppeld aan actieve processen continu beschikbaar te hebben om je dienstverlening blijvend te garanderen. Als informatiebeheerder/archivaris in een lokaal bestuur ben je de geschikte persoon om mee te trekken aan zo'n plan.