Wie draagt de verantwoordelijkheid na de systeemuitfasering?
Emanuel Böminghaus, Expert in legacy systemen, Algemeen directeur AvenDATA
Emanuel Böminghaus
Expert in legacy systemen,
Algemeen directeur AvenDATA
Algemeen directeur AvenDATA
De definitieve uitfasering van een legacy systeem voelt vaak als een technische mijlpaal. Het project wordt afgevinkt, interfaces worden ontkoppeld en de servers gaan definitief op zwart. Maar wat overblijft, is de data. En daarmee rijst direct een kritische vraag: wie is er feitelijk verantwoordelijk voor deze bedrijfsinformatie wanneer het oorspronkelijke systeem niet meer bestaat?
In de praktijk leidt de uitfasering van legacy systemen vaak tot een gevaarlijk verantwoordelijkheidsvacuüm. De IT-afdeling voelt zich niet langer bevoegd, de business verliest zijn toegang en de Privacy Officer eist vanuit de AVG onmiddellijke dataverwijdering. Tegelijkertijd eist uw compliance-team dat de gegevens audit-proof gearchiveerd blijven om aan de fiscale bewaarplicht van de Belastingdienst te voldoen. Dit interne conflict levert flinke compliance-risico’s op en jaagt de verborgen kosten aan. U doorbreekt dit spanningsveld maar op één manier: door het eigenaarschap van historische data vroegtijdig, helder en juridisch waterdicht te beleggen.
Verantwoordelijkheid stopt niet na de systeemuitfasering
Zelfs wanneer u een legacy systeem technisch volledig heeft uitgefaseerd, blijft de onderliggende data inhoudelijk, juridisch en organisatorisch van levensbelang. Zakelijke documenten, financiële transacties, contracten en personeelsgegevens vallen onverminderd onder wettelijke bewaartermijnen (zoals de strikte fiscale bewaarplicht van de Belastingdienst), de eisen van de AVG en eventuele auditverplichtingen. Kortom: de verantwoordelijkheid voor deze informatie verschuift wellicht, maar verdwijnt absoluut niet. Als u dit eigenaarschap niet strak belegt, stelt u de organisatie direct bloot aan grote compliance-risico’s.
Een veelgemaakte en risicovolle denkfout is de aanname dat na het uitschakelen van een legacy systeem de verantwoordelijkheid automatisch overgaat naar de IT-afdeling, of daar zelfs eindigt. In de praktijk zijn er vrijwel altijd meerdere afdelingen bij betrokken, die elk vanuit hun eigen expertise naar de historische data kijken.
De rol van de IT-afdeling
IT is doorgaans primair verantwoordelijk voor de puur technische uitfasering. Zij dragen zorg voor het veilig ontmantelen van de infrastructuur, het uitvoeren van de datamigratie en het blokkeren van kwetsbare toegangsrechten. Ook het inrichten van een robuuste, audit-proof archiefoplossing voor het voormalige legacy systeem behoort tot hun takenpakket. Maar let op: de IT-afdeling is nadrukkelijk niét verantwoordelijk voor de inhoudelijke beoordeling of de juridische relevantie van deze data. Zij faciliteren de technische randvoorwaarden, maar hebben geen inhoudelijk data-eigenaarschap. Zonder heldere sturing vanuit de business of compliance, leidt dit vacuüm onvermijdelijk tot dure misverstanden en blinde vlekken in uw archivering.
De verantwoordelijkheid van de business
De business is en blijft inhoudelijk verantwoordelijk voor de creatie, het gebruik en de interpretatie van data uit legacy systemen. Dit eigenaarschap stopt niet na de technische uitfasering. Zij weten immers exact welke data cruciaal is, welke documenten strikt onder de fiscale bewaarplicht vallen en wat er veilig kan worden verwijderd. Daarom moet de business vanaf dag één actief betrokken zijn bij het archiveringsproces, specifiek bij het bepalen van de datascope, de autorisatiematrix en de wettelijke bewaartermijnen. Dit stroomlijnt het proces en voorkomt dure correcties achteraf.
Zelfs na archivering, wanneer de data louter nog ‘read-only’ en audit-proof toegankelijk is, rust de inhoudelijke verantwoordelijkheid volledig bij de desbetreffende afdeling. Als u deze rollen niet kraakhelder vastlegt, ontstaan er bij controles door de Belastingdienst of bij interne audits levensgevaarlijke gaten in uw verantwoordingsplicht, met alle financiële en juridische risico’s van dien.
Privacy, compliance en verwijderingsplicht
Uw Privacy Officer (of FG) is wettelijk verplicht om streng toe te zien op dataminimalisatie en het borgen van de privacyrechten. Ook in een archiefomgeving mogen persoonsgegevens uit legacy systemen absoluut niet tot in het oneindige worden bewaard. U moet feilloos kunnen aantonen dat deze data na het verstrijken van de gedefinieerde termijnen, in lijn met de AVG, veilig wordt verwijderd of geanonimiseerd.
Dit vereist een strak gecoördineerd verwijderingsbeleid en glasheldere mandaten. U moet op voorhand besluiten welke data uit het legacy systeem audit-proof bewaard blijft en wat er definitief weg mag om onnodige data-opslag en compliance-risico’s direct te reduceren. De uiteindelijke verantwoordelijkheid voor deze naleving ligt hierbij nooit bij de IT-afdeling, maar altijd bij de business in nauwe afstemming met de Privacy Officer.
Compliance, audits en bestuurdersaansprakelijkheid
Voor de compliance- en legal-afdelingen is het absoluut cruciaal dat gearchiveerde data uit legacy systemen volledig, ongewijzigd en direct toegankelijk blijft. Zij dragen immers de verantwoordingsplicht richting toezichthouders, auditors en de rechtbank. Vooral wanneer het gaat om fiscale data of bij dreigende juridische geschillen, is razendsnelle toegang tot historische informatie van doorslaggevend belang.
Een ijzersterke samenwerking tussen compliance, IT en de business is hierbij een harde eis. Alleen zo borgt u dat de archivering feilloos voldoet aan alle wet- en regelgeving, zoals de AVG, sectorspecifieke richtlijnen en uiteraard de zware fiscale bewaarplicht van de Belastingdienst. Vergis u niet: bij het verzaken van deze plicht zijn het uiteindelijk vaak de directieleden of bestuurders die persoonlijk aansprakelijk worden gesteld zelfs jaren na de definitieve uitfasering van een legacy systeem.
Conclusie: Heldere kaders voorkomen peperdure misverstanden
De verantwoordelijkheid voor bedrijfskritische data verdwijnt niet simpelweg zodra u de stekker uit een legacy systeem trekt. Deze verantwoordelijkheid is verdeeld over IT, de business, de Privacy Officer (of FG) en compliance. Dit vereist waterdichte afspraken. Laat u dit eigenaarschap in het midden? Dan riskeert u blinde vlekken, onnodige compliance-boetes en het onherstelbare verlies van cruciale informatie.
Professionele archivering is daarom nooit een puur IT-feestje, maar een strategisch en multidisciplinair project. Alleen met strak belegde verantwoordelijkheden, gestroomlijnde processen en transparante documentatie garandeert u dat uw data ook na de uitfasering correct wordt beheerd. Het resultaat? Een audit-proof archief dat juridisch waterdicht, 100% traceerbaar en altijd direct toegankelijk is.
Plant u de archivering van een legacy systeem?