De fleste har en intuitiv forståelse af, hvad et dokument er. Ofte forestiller vi os en fil – typisk et Word-dokument eller en PDF. I en arbejdssituation fungerer den forståelse fint til daglig brug. Men når dokumenter indgår i regulatoriske sammenhænge, i kvalitetssystemer eller i kontrollerede processer, bliver det nødvendigt at være mere præcis.
Det skyldes især ét spørgsmål: Hvornår er et dokument blot et dokument – og hvornår er det en record?
Forskellen er ikke kun sproglig. Den har direkte betydning for organisationens compliance-ansvar og for, hvordan dokumenter skal håndteres, opbevares og kontrolleres.
Denne artikel udfolder forskellen og forklarer, hvorfor det er en central problemstilling i professionel dokument- og informationshåndtering.
Et dokument er mere end en fil
Når man arbejder formelt med dokumenter, kan man ikke reducere dem til en fil på et drev eller i et system. Et dokument består af to centrale komponenter.
Den ene er indholdet – det der ofte kaldes content. Det kan være en tekstfil, men også billeder, lyd, video eller flere filer, der tilsammen udgør dokumentets indhold.
Den anden komponent er metadata. Metadata beskriver dokumentet og den sammenhæng, det indgår i. Det kan være oplysninger om forfatter, oprettelsestidspunkt, versionshistorik, tilhørsforhold til en proces eller en sag samt en lang række andre oplysninger. Metadata bruges ofte til at finde dokumenter igen, men deres funktion er langt mere grundlæggende end blot søgning.
Metadata er nemlig med til at etablere dokumentets kontekst. Når vi eksempelvis ser på en e-mail, er oplysninger om afsender, modtager og tidspunkt afgørende for at forstå indholdet. Uden disse oplysninger mister dokumentet en væsentlig del af sin betydning.
I en faglig forstand består et dokument derfor af både indholdsfil(er) og metadata. Først når disse elementer ses samlet, har vi det fulde dokument.
Denne præcisering kan virke teknisk, men den bliver afgørende, når dokumenter skal håndteres korrekt gennem deres livscyklus.
Fra dokument til record
Begrebet record introducerer et nyt lag i forståelsen.
En record defineres almindeligvis som dokumentation eller evidens for en forretningstransaktion.
Det betyder, at et dokument bliver en record, når det bruges til at dokumentere, at noget er sket. Det kan være en godkendelse, en beslutning, en leverance, en test, en ændring eller en kommunikation, der har betydning for organisationens aktiviteter.
I praksis betyder det, at mange dokumenter på et tidspunkt får karakter af records. Ikke fordi de er blevet oprettet med det formål, men fordi de ender med at dokumentere noget væsentligt.
Et godkendt proceduredokument er et oplagt eksempel. Under udarbejdelsen er dokumentet et arbejdsdokument. Men i det øjeblik proceduren godkendes og træder i kraft, fungerer den som dokumentation for, hvordan organisationen formelt har fastlagt en bestemt praksis.
På samme måde kan en e-mail, et testresultat, en rapport og alt muligt andet blive en record, hvis den dokumenterer, at en aktivitet er udført, eller at en beslutning er truffet.
Records er altså ikke en særlig type filer, men et dokument, som får status som record gennem sin funktion.
Records kræver kontrolleret håndtering
Når et dokument fungerer som evidens, opstår der et nyt krav: Det skal behandles på en måde, der gør det muligt at stole på det.
Inden for records management beskrives dette gennem fire centrale egenskaber: autenticitet, pålidelighed, integritet og brugbarhed. Disse begreber bruges til at beskrive, hvornår en record kan anses for troværdig dokumentation.
Autenticitet betyder, at dokumentet kan henføres til den rette ophavsmand og det rette tidspunkt. Man skal kunne sandsynliggøre, hvem der har skabt dokumentet, og hvornår det er blevet til.
Pålidelighed betyder, at dokumentets indhold kan anses for en korrekt gengivelse af den aktivitet eller den beslutning, som dokumentet beskriver.
Integritet betyder, at dokumentet er bevaret i en fuldstændig og uændret form, så det ikke efterfølgende er blevet manipuleret eller ændret uden kontrol.
Brugbarhed betyder, at dokumentet fortsat kan findes, åbnes og forstås i sin sammenhæng.
Disse principper er blandt andet beskrevet i internationale standarder for records management, herunder ISO 15489.
I praksis betyder det, at hvis organisationen ønsker at være i stand til at sandsynliggøre over for en tredjepart (det kan jo ultimativt være i en retssag), at dokumentet er ægte og ikke er manipuleret, så skal håndteringen af recorden gennem dens liv sikre at den kan leve op til de fire principper ovenfor: autenticitet, pålidelighed, integritet og brugbarhed.
Det er her compliance-dimensionen opstår.
Når et dokument fungerer som record, er det nødvendigt at kunne sandsynliggøre og helst dokumentere, at dokumentet er blevet håndteret korrekt gennem hele sin livscyklus.
Det indebærer typisk, at dokumenter oprettes og registreres på en kontrolleret måde, så deres oprindelse og kontekst er kendt. Efterfølgende håndteres de under versionsstyring, så det er tydeligt, hvilke ændringer der er foretaget og hvornår. Når et dokument først er godkendt og fungerer som record, begrænses mulighederne for efterfølgende ændringer, og dokumentet opbevares i et miljø, hvor det er beskyttet mod tab eller manipulation. Endelig skal organisationen kunne dokumentere, hvordan dokumentet enten arkiveres eller bortskaffes i overensstemmelse med fastlagte regler.
I regulerede miljøer er sådanne krav ofte formaliseret i procedurer og systemkrav, men de grundlæggende principper gælder bredere end det.
Metadata som bærer af dokumentets troværdighed
Metadata spiller en særlig rolle i denne sammenhæng.
Når et dokument oprettes i et IT-system, genererer systemet ofte automatisk metadata som oprettelsestidspunkt og ophavsmand. Disse oplysninger kan senere bidrage til at dokumentere, hvornår dokumentet blev skabt, og hvem der stod bag.
Hvis sådanne metadata forsvinder eller ændres uden kontrol, kan det blive vanskeligt at påvise dokumentets autenticitet. Dokumentet mister i så fald en del af sin evidensværdi.
Det er derfor centralt at identificere, hvilke metadata der er betydende for dokumentets integritet. Disse metadata skal håndteres og bevares med samme omhu som selve indholdsfilen.
Dette bliver særligt tydeligt i situationer som systemmigreringer eller arkiveringer. Hvis man her kun fokuserer på at flytte filer og ikke samtidig bevarer de metadata, der giver dokumenterne deres kontekst, risikerer man at stå tilbage med information, der ikke længere kan fungere som dokumentation.
I nogle situationer er det blot upraktisk. I andre kan det få alvorlige regulatoriske konsekvenser.
Ikke alle dokumenter er records
Det er vigtigt at understrege, at ikke alle dokumenter i en organisation er records.
Der findes mange arbejdsdokumenter, udkast og interne noter, som alene bruges i forbindelse med udarbejdelse eller intern koordinering. Disse dokumenter har ikke i sig selv karakter af dokumentation for en forretningstransaktion og behøver derfor ikke at blive håndteret som records.
Et dokument kan imidlertid blive record i det øjeblik, det anvendes til at dokumentere en aktivitet, en beslutning eller en leverance. Det er altså ikke grænserne mellem dokumenttyper, der ændrer sig, men dokumentets funktion i organisationens dokumentation af aktiviteter.
Et dokument kan derfor begynde sit liv som et arbejdsdokument og senere indgå som dokumentation for en beslutning eller en proces. Når det sker, ændrer dokumentets rolle sig, og det må håndteres i overensstemmelse med de principper, der gælder for records.
Det kræver først og fremmest, at organisationen har en klar forståelse af, hvilke dokumenter der indgår i dokumentationen af dens aktiviteter.
Derfor ændrer det, at et dokument er en record, dit compliance-ansvar
Når et dokument fungerer som record, ændrer organisationens ansvar sig grundlæggende.
Dokumentet er ikke længere blot information. Det er dokumentation. Det skal kunne bruges til at vise, hvad organisationen har gjort, besluttet eller leveret.
Dermed bliver håndteringen af dokumentet også en del af organisationens dokumenterede kontrol. Hvis dokumentet ikke kan fremvises, hvis det ikke fremstår autentisk, eller hvis det ikke længere kan forstås i sin oprindelige kontekst, svækkes dokumentationens værdi. I nogle situationer kan det betyde, at organisationen ikke kan påvise overholdelse af interne procedurer eller eksterne krav.
Det er derfor ikke et teoretisk spørgsmål, hvornår et dokument bliver en record. Det er et praktisk spørgsmål om informationsansvar.
