1. Ρόλοι, δικαιώματα πρόσβασης και ενεργειών:
α) Το σύστημα ηλεκτρονικής αρχειοθέτησης υποστηρίζεται από μηχανισμό αυθεντικοποίησης, ο οποίος ελέγχει την πρόσβαση στο σύστημα, πιστοποιεί, παρακολουθεί και καταγράφει τις ενέργειες του κάθε χρήστη, συνδέοντας τα αναγνωριστικά της ταυτότητας του χρήστη με προφίλ δικαιωμάτων για ανάγνωση, εγγραφή, διαχείριση εκδόσεων αρχείου, διαγραφή, αλλαγή μεταδεδομένων κλπ. Ελάχιστη απαίτηση αυθεντικοποίησης είναι η χρήση αναγνωριστικών που βασίζονται σε όνομα λογαριασμού και κωδικό πρόσβασης με βάση τα οριζόμενα στην υπ’ αριθμ. ΥΑΠ/Φ40.4/1/989/10/4/2012 Υπουργική Απόφαση «Κύρωση Πλαισίου Παροχής Υπηρεσιών Ηλεκτρονικής Διακυβέρνησης» (Β΄1301), όπως κάθε φορά ισχύει.
β) Το σύστημα ηλεκτρονικής αρχειοθέτησης επιτρέπει τη δημιουργία χρηστών με δικαιώματα διαχείρισης (διαχειριστές), οι οποίοι ανά πάσα στιγμή μπορούν να α) ορίζουν και ταυτοποιούν νέους χρήστες, β) απενεργοποιούν και διαγράφουν χρήστες γ) ορίζουν δικαιώματα προσθήκης εγγράφων ή νέων εκδόσεων αυτών σε συγκεκριμένους φακέλους (διαχειριστές φακέλων) δ) να ορίζουν το ενιαίο σύστημα ταξινόμησης του φορέα.
γ) Το σύστημα ηλεκτρονικής αρχειοθέτησης παρέχει τη δυνατότητα δημιουργίας υποστηρικτικής ομάδας χρηστών, οι οποίοι παρέχουν προκαθορισμένα, από τους διαχειριστές, δικαιώματα πρόσβασης σε επιλεγμένους ηλεκτρονικούς φακέλους.
δ) Το σύστημα ηλεκτρονικής αρχειοθέτησης: αα) υποστηρίζει τον καθορισμό κανόνων πρόσβασης και ενεργειών λαμβάνοντας υπόψη τη διαβαθμισμένη πρόσβαση των χρηστών ανάλογα με την ιεραρχία, το ρόλο και το επίπεδο ασφάλειας, ββ) επιτρέπει στους διαχειριστές την αντιστοίχιση των κανόνων πρόσβασης σε χρήστες, ρόλους, φακέλους ή αρχεία, γγ) παρέχει στους διαχειριστές τη δυνατότητα ελέγχου της εφαρμογής των κανόνων πρόσβασης και ενεργειών, δδ) παρέχει σε προκαθορισμένες ομάδες χρηστών ή/και μεμονωμένους χρήστες, δικαιώματα πρόσβασης και ενεργειών που προκύπτουν από την ανωτέρω αντιστοίχιση, ούτως ώστε να ελέγχονται η πρόσβαση και οι ενέργειες των χρηστών ανά ηλεκτρονικό αρχείο και φάκελο, εε) επιτρέπει στους χρήστες να ανήκουν σε πολλές ομάδες χρηστών ανάλογα με τον υπηρεσιακό και επιχειρησιακό τους ρόλο.
στ) Το σύστημα ηλεκτρονικής αρχειοθέτησης: αα) παρέχει τη δυνατότητα στους διαχειριστές του συστήματος να αντιστοιχίζουν επίπεδα ασφαλείας με ομάδες χρηστών και χρήστες, ββ) εξασφαλίζει ότι οι χρήστες έχουν πρόσβαση σε ηλεκτρονικά έγγραφα και φακέλους με επίπεδο ασφάλειας χαμηλότερο από αυτό των χρηστών, γγ) εξασφαλίζει ότι ο χρήστης δεν ανακτά καμία πληροφορία ή πρόσβαση μέσω αναζήτησης και άλλα εργαλεία του συστήματος αρχειοθέτησης για το περιεχόμενο ηλεκτρονικών φακέλων, υποφακέλων, αρχείων, για τα οποία δεν έχει πρόσβαση δδ) εξασφαλίζει ότι οι υποφάκελοι έχουν το ίδιο επίπεδο ασφάλειας ή μεγαλύτερο από αυτό που έχει ο φάκελος που ανήκουν, εε) δεν επιτρέπει στους χρήστες να έχουν πρόσβαση σε λειτουργίες του συστήματος οι οποίες δεν δικαιολογούνται με βάση το ρόλο τους.
ζ) Το σύστημα ηλεκτρονικής αρχειοθέτησης δύναται να επιτρέπει τον προσδιορισμό τμημάτων εγγράφων που περιέχουν προσωπικά δεδομένα και τη δημιουργία νέων εκδόσεων αυτών με ανωνυμοποίηση των προσωπικών δεδομένων.
2. Παρακολούθηση και εποπτεία:
Το σύστημα ηλεκτρονικής αρχειοθέτησης καταγράφει, αποθηκεύει και παράγει αναφορές για τους διαχειριστές και εξουσιοδοτημένους χρήστες ή ομάδες χρηστών με πληροφορίες όπως α) την κάθε ενέργεια που εκτελείται, β) το αντικείμενο πάνω στο οποίο εκτελείται η κάθε ενέργεια, γ) τον χρήστη που εκτελεί την ενέργεια, δ) την ημερομηνία και ώρα που πραγματοποιήθηκε η ενέργεια, ε) τις αλλαγές και ενέργειες που γίνονται στις ρυθμίσεις για τους ηλεκτρονικούς φακέλους, για τα αρχεία και τα μεταδεδομένα τους, στ) τις αλλαγές και ενέργειες που γίνονται στις ρυθμίσεις για τους χρήστες, τις ομάδες χρηστών και τους ρόλους, ζ) τις ενέργειες που εκτελούνται από όλους τους χρήστες και ομάδες χρηστών, η) τις αλλαγές που γίνονται στον μηχανισμό παρακολούθησης όλων των ανωτέρω θ) την λειτουργία, κατάσταση και χρήση πόρων του συστήματος. Τα εν λόγω στοιχεία και αναφορές τηρούνται για όλο το διάστημα τήρησης του αρχείου μέχρι αυτό να καταστεί ανενεργό.
ζ) Το σύστημα ηλεκτρονικής αρχειοθέτησης δύναται να επιτρέπει τον προσδιορισμό τμημάτων εγγράφων που περιέχουν προσωπικά δεδομένα και τη δημιουργία νέων εκδόσεων αυτών με ανωνυμοποίηση των προσωπικών δεδομένων.
Είναι εξαιρετικά δύσκολη τεχνική προδιαγραφή που τα περισσότερα εμπορικά συστήματα διαχείρισης εγγράφων δεν μπορούν να ικανοποιήσουν. Γι’ αυτό το λόγο το «δύναται» θα πρέπει να τονιστεί ότι αφορά προαιρετικό χαρακτηριστικό
Στο άρθρο 6 να συμπληρωθεί παράγραφος 3 ως ακολούθως:
«3. Το σύστημα ηλεκτρονικής αρχειοθέτησης είναι κατασκευασμένο κατά τέτοιο τρόπο ώστε να είναι εύχρηστο και προσβάσιμο, για το σύνολο της προσφερόμενης λειτουργικότητάς του, από άτομα με αναπηρία».
Στο 6.1.δ).γγ) αναφέρεται:
«(Το σύστημα ηλεκτρονικής αρχειοθέτησης) παρέχει στους διαχειριστές τη δυνατότητα ελέγχου της εφαρμογής των κανόνων πρόσβασης και ενεργειών».
Πιστεύω ότι δεν είναι απολύτως σαφές τι σημαίνει “(…) δυνατότητα ελέγχου της εφαρμογής πρόσβασης και ενεργειών.”. Προτείνω να αναδιατυπωθεί η συγκεκριμένη πρόταση ως:
“(Το σύστημα ηλεκτρονικής αρχειοθέτησης) παρέχει στους διαχειριστές τη δυνατότητα επιβεβαίωσης ότι οι κανόνες πρόσβασης και ενεργειών πράγματι επιβάλλονται και εφαρμόζονται, μέσω επιθεώρησης του ημερολογίου (audit log) όπου το σύστημα καταγράφει αυτόματα όλες τις προσβάσεις και τις ενέργειες που έχουν ήδη πραγματοποιηθεί”.
Σχετικά με την παράγραφο 2 (Παρακολούθηση και εποπτεία), θα πρέπει να ληφθεί υπόψη το γεγονός ότι η πλήρης καταγραφή όλων των ενεργειών (επιτυχημένων ή μη) θα προκαλέσει σοβαρή επιβάρυνση στην υπολογιστική ισχύ των συστημάτων, ειδικά σε διακομιστές αρχείων με μεγάλη κίνηση. Συνεκτιμώντας το δεδομένο ότι σε πολλές υπηρεσίες, το υφιστάμενο υλικό είναι σχετικά χαμηλής ισχύος (σε πολλές περιπτώσεις ίσως και οριακό), η υποχρεωτική καταγραφή όλων των ενεργειών θα οδηγήσει στην ανάγκη προμήθειας νέου ισχυρότερου εξοπλισμού με αρνητικές συνέπειες στον προϋπολογισμό.
Η υποχρεωτική καταγραφή μόνο των μη επιτυχημένων ενεργειών (όχι και των επιτυχημένων) όλων των χρηστών, είναι εφικτή στα πλαίσια του οποιουδήποτε υφιστάμενου εξοπλισμού. Υποχρεωτική καταγραφή όλων των ενεργειών (επιτυχημένων ή μη) θα πρέπει βέβαια να επιβληθεί σε όλες τις επιχειρούμενες αλλαγές σε φακέλλους, πολιτικές πρόσβασης, ρυθμίσεις, μηχανισμό καταγραφής από οποιονδήποτε.
Θα πρέπει επίσης να αποσαφηνιστεί η έκφραση «ζ) τις ενέργειες που εκτελούνται από όλους τους χρήστες και ομάδες χρηστών» και συγκεκριμένα το τι εννοείτε γράφοντας «ενέργειες ομάδων χρηστών», δεδομένου ότι οι χρήστες εκτελούν ενέργειες κατά μόνας και όχι ως ομάδες.