Kvalitetssäkring av svenska öppna arkiv genom certifiering

Kvalitetssäkring av svenska öppna arkiv genom certifiering Förstudie Bibsam-projekt Dnr 63-142-2005 Anna-Karin Anderson Enheten för digital publicering Uppsala universitetsbibliotek Maj 2007

Inledning...4 Sammanfattning...4 Bakgrund...4 Mål...5 Definitioner...5 Disposition...6 DINI...7 DINI:s struktur...7 RLG-NARA...10 RLG-NARA:s struktur...11 DINI i jämförelse med RLG-NARA...13 Övriga projekt...15 nestor...15 DRAMBORA...15 CCSDS...16 reuse...16 Inter/nationella certifikat...18 Klassifikationssystem...18 SAB och DDC...19 Tekniska förutsättningar...20 Open access...20 Svenska öppna arkiv...21 Digitala arkiv...21 DiVA...22 Samarbete mellan universitet och andra statliga förvaltningar...22 Diskussion kring certifikat...23 Självutvärdering...23 Uppdelning av certifikat...23 Säkerhet och teknik...24 Organisationen...24 Grader av certifikat...24 Utfärdande av certifikat...25 Nätbaserad certifiering...26 Uppdateringar av certifikat...29 Negativa effekter av certifiering...29 Positiva effekter av certifiering...30 Kunskapshantering...31 2

Slutsatser...33 Elektroniska referenser...34 3

Inledning Sammanfattning Förstudien är ett första steg i den process som kommer att leda fram till att certifiering lyfts fram och blir en självklar del för dem som arbetar med svenska öppna arkiv. Den är inspirerad av bland annat DINI-projektet i Tyskland, där ett antal grundläggande kriterier för certifiering av digitala arkiv har tagits fram. Även RLG-NARA:s certifieringsförslag, som framtagits i USA, ingår i förstudien och jämförs med DINI-projektet. Certifiering sätts också in i ett vidare sammanhang genom diskussioner kring kunskapshantering. Diskussionen rör sig främst kring olika tillämpningar av certifieringsförslagen, hur certifikatet kan struktureras, göras tillgängligt, samt vilka positiva och negativa konsekvenser certifiering kan generera. Förstudien har inte skett i direkt samarbete med exempelvis DINI, utan en oberoende undersökning har ägt rum där de olika projektens för- och nackdelar lyfts fram och jämförts. Undersökningen och sammanställningen är utförd av Anna-Karin Anderson. Uwe Klosa har konsulterats i tekniska frågor. Stefan Andersson har i egenskap av projektledare haft det övergripande ansvaret. Samtliga är verksamma vid Enheten för digital publicering, Uppsala universitetsbibliotek. Bakgrund I takt med att fler och fler dokument publiceras genom digitala arkiv ökar också kraven på säkerhet, både att kunna säkerställa att dokument inte förändras och att de är bevarade över tid. En annan viktig aspekt är tillgängligheten. Detta ställer ett flertal krav på tekniska lösningar, men också på den omgivande strukturen. En tydlig inriktning i certifieringen är att vid sidan om den tekniska delen, får organisationen allt större utrymme. Detta får till följd att själva organisationen också blir framträdande i förstudien. Certifiering är ett sätt att visa omvärlden att den kvalitet som högskolor och universitet eftersträvar i fråga om producerade dokument, också uppfylls av de digitala arkiv som publicerar dessa dokument. I dagsläget är det svårt att konkret påvisa arkivens standard i fråga om säkerhet och teknik, samt omgivande organisation. Certifiering kan potentiellt sett bli en viktig värde- 4

mätare för digitala arkiv och därför är det av intresse att arbeta för att svenska öppna arkiv på sikt inför certifiering. Mål Syftet med förstudien är att undersöka vilka kriterier DINI och RLG-NARA ställer på digitala arkiv, samt hur dessa rekommendationer skulle fungera i ett svenskt sammanhang. Vidare presenteras ett antal förslag på ytterligare tillämpningar eller anpassningar av rekommendationerna. Förstudien kommer att belysa en del av de problem som kan uppstå i samband med certifiering. Vidare är också syftet att lyfta fram de positiva effekter som certifiering kan generera och inspirera till fortsatta undersökningar och förhoppningsvis implementering av certifikat. Huvudinriktningen är att väcka frågeställningar kring certifiering snarare än att presentera färdiga förslag. Det kommer att krävas ytterligare och mer ingående undersökningar för att kunna fastställa exakt hur en certifieringsprocess skulle struktureras. Definitioner Det förekommer att antal termer i förstudien som är viktiga att definiera för att undvika eventuella missförstånd om vad som avses. Nedan följer en sammanfattning av dessa termer. Repository är en frekvent förekommande term som främst används för att beskriva öppna arkiv. I relation till certifiering används termen flitigt. Repository är mer specificerat än den mer generella termen arkiv och syftar ofta på universitetens öppna arkiv som tillhandahåller vetenskaplig publicering. Repository kan dock även syfta till arkiv som inte är öppna för allmänheten. Institutional Repository (Institutionellt arkiv eller Publikationsarkiv) förekommer sällan i diskussioner kring certifiering. En anledning till detta kan vara att man tänker sig att certifiering även ska vara möjlig att användas för arkiv som inte har en specifik institutionell anknytning. Achive (Arkiv) är en mycket generell term som i princip förekommer som beskrivning av såväl traditionella arkiv som digitala arkiv. När termen arkiv används här avses öppna arkiv som tillhandahålls av universitet och högskolor. (Här avses alltså inte myndighetsarkiv eller mer traditionella arkiv.) Digital archive (Digitalt arkiv) likställs ofta med Open archive (Öppna arkiv), vilket är rimligt eftersom innehållet i arkivet är digitaliserat och då 5

potentiellt sett tillgängliga för alla när innehållet finns lagrat digitalt. Dock är det viktigt att poängtera att många arkiv är digitala utan att vara öppna. Ovanstående termer används här alla i princip som beteckning för öppna, digitala arkiv som tillhandahålls av högskolor och universitet. Repository eller institutional repository likställs alltså här med termerna arkiv, öppna arkiv och digitala arkiv. Disposition Inledningsvis sammanfattas de certifieringsrekommendationerna som utfärdats av DINI och RLG-NARA. Dessa två projekt jämförs sedan innan några andra projekt, som behandlar frågor som rör bevaring av digitala dokument, presenteras. Efter det diskuteras frågan om certifikat borde eller kan vara internationella eller nationella. Vidare beskrivs svenska öppna arkiv med DiVA som exempel. Efter det följer en diskussion som berör olika aspekter av certifiering som bland annat utformning och utfärdande. För att sätta in certifiering i ett vidare perspektiv diskuteras sedan kunskapshantering. Avslutningsvis presenteras de slutsatser som denna förstudie genererat. 6

DINI Det tyska DINI-projektet (Deutsche Initiative für Netzwerkinformation) har utarbetat rekommendationer för standardisering av universitets arkiv för att, bland annat, säkerställa att dokument bevaras och att ändringar inte har utförts i dokumentet. Den andra versionen av DINI-projektet från 2007 har förändrat namnet Document and Publication Repositories till Document and Publication Services 2007 1. Detta för att tydliggöra att certifikatet inte bara handlar om servrar utan också om omkringliggande och andra påverkande faktorer. Ett av DINI:s mål är att arbeta för open access och ett sätt är att utarbeta certifikat. Genom att tyska universitet samarbetar och använder sig av samma certifikat som ställer krav på tillgänglighet och säkerhetsaspekter, kan man göra dokument tillgängliga på ett säkert och tillfredsställande sätt. Genom detta stödjer man också open access konceptet. Grunden för open access är som bekant att tillgängliggöra forskning och eftersom digitala arkiv har möjligheten att föra ut forskning internationellt, blir det också viktigt att dessa arkiv certifieras för att internationellt kunna visa sin kvalitet. Inledningsvis fokuserar DINI främst på att presentera minimistandarder, vilket är naturligt i ett utgångsskede, men har även som mål att dessa ska bli framtida, gällande standarder. Susanne Dobratz och Frank Scholze beskriver DINI-projektet i artikeln DINI institutional repository certification and beyond och ser DINI som ett inte heltäckande verktyg, utan mer som ett samordnande verktyg. 2 Det är viktigaste för DINI-projektet är alltså att skapa interoperabilitet och ser sin funktion mer som vägledande än bestämmande. DINI:s struktur DINI har sammanställt ett antal minimistandarder, men även rekommendationer som förväntas ingå i dessa standarder i framtiden. Nedan följer en fritt översatt och övergripande sammanfattning av DINI:s minimistandarder. 1 http://www.dini.de/documents/dini-zertifikat2007-en.pdf 2 DINI institutional repository certification and beyond i Library Hi Tech vol.24 no. 4 2006 s. 583-94 DOI 10.1108/07378830610715446 http://www.emeraldinsight.com/insight/viewpdf.jsp?filename=html/output/published/emer aldfulltextarticle/pdf/2380240410.pdf 7

Tjänstens synlighet Alla tjänster måste finnas tillgängliga via Internet Organisationens webbsida måste länka till The Document and Publication Services webbsida Policy Standarder för kvalitet av innehåll, funktion och teknik Arkiveringsgaranti Definition av de tjänster som erbjuds Rättigheter och skyldigheter gällande författaren Redogörelse för open access Stöd till författare Erbjuda rådgivning och support endera via webbsidor, e-mail, telefon eller från person till person. Stöd under hela publikationsprocessen Länk till SHERPA/RoMEO Erbjuda möjlighet att ladda upp preprints och/eller post-prints Rättsliga frågor Upphovsrätt och rättigheter gällande primär och sekundärpublicering Arkivering Långtidsarkivering och migrering Rättigheter borde finnas i metadata Säkerhet, autenticitet och data integritet Server Driften garanterar adekvat tillgänglighet Teknisk dokumentation av systemet Back-up system Säkerhetsåtgärder för att skydda system, data och mjukvara Regelbundet systemunderhåll Tekniskt kontrollerad och verifierad mottagande av dokument Indexering Dokument Beständiga identifierare Ändras innehållet i ett dokument måste det behandlas som ett nytt dokument Arkivering av uppladdade dokument i originalformat Minimistandarder måste dokumenteras i policyn eller i vägledningen till The Document and Publication Services 8

Ämnesindexering En indexeringspolicy måste finnas och kännas till av författarna Språklig indexering med fria nyckelord eller klassifikationstermer Tillämpning av DDC (Dewey Decimal Classification) Export av metadata Metadata ska vara tillgängliga gratis Metadata är strukturerade som Unqualified Dublin Core (ISO 15836:2003) (Dock rekommenderas Dublin Core Qualified) Gränssnitt Webbgränssnitt för användare Stöd för OAI-PMH 2.0 Loggar och statistik Varje arkiv måste föra besökstatistik Loggfilerna måste anonymiseras i långtidsbevarande syfte Beskriva efter vilka kriterium som statistiken insamlas Tillgänglighet över tid Beständig länkning av metadata och dokument Tillgänglighet med ett minimum av 5 år När kopior av originalet arkiveras måste dessa vara fria från DRM (Digital Rights Management) restriktioner som förhindrar tillämpning av långtidsbevarande strategier Varje rubrik som beskrivits här är som nämnts endast en översiktlig beskrivning av DINI:s minimistandarder. Varje punkt är mer ingående presenterad i certifikatbeskrivningen 3. Rekommendationerna, som inte presenteras här, kommer troligtvis att ingå i certifieringsförslaget och kan vara lika viktiga som minimistandarderna. DINI:s dokument är ett av flera certifieringsförslag som innehåller standarder och rekommendationer för digitala arkiv. Ett annat förslag är det som RLG-NARA har utarbetat. 3 http://www.dini.de/documents/dini-zertifikat2007-en.pdf 9

RLG-NARA Till skillnad från DINI är RLG-NARA (Research Libraries Groupe/National Archives and Records Administration) mer inriktad mot att utveckla ett allomfattande verktyg som har en bestämmande roll till skillnad från DINI:s mer vägledande roll. Certifikatet fokuserar också i högre grad på omgivande faktorer som exempelvis organisationens struktur och långtidsbevarande. RLG-NARA satte samman en grupp 2003, Digital Repository Certification Task Force 4, vilken har undersökt certifiering för digitala arkiv. Gruppen har bland annat undersökt ISO-standarder när man utvecklat sitt förslag: An Audit Checklist for the Certification of Trusted Digital Repositories. 5 RLG-NARA har en tydlig struktur, men går man längre ner i hierarkin blir ett flertal av rubrikerna väldigt omfattande, vilket kan vara ett problem eftersom det försvårar både läsbarheten och tillgängligheten. Samtidigt fungerar dessa rubriker bra i frågeformuläret som ingår i certifieringsdokumentet. 6 Ett exempel på en rubrik: A1.1 Repository has a mission statement that reflects a commitment to the long-term retention of, management of, and access to digital information on behalf of depositors. En lösning vore att förenkla rubrikerna och istället utveckla dem i frågeformuläret. Samtidigt är det bra att samma rubriker som finns i frågeformuläret också finns i dokumentet. En annan lösning kunde vara att ha förenklade rubriker med underrubriker som stämde överrens med frågeformuläret. Nyligen presenterade RLG-NARA sin slutgiltiga version av certifieringsdokumentet som nu benämns som Trustworthy Repositories Audit and Certification Checklist (TRAC) 7. Arbetet med arkiv och certifiering flyttas också till CRL (Center for Research Libraries) 8. Under arbetet med förstudien har både den äldre och nya versionen undersökts. Generellt sett kan sägas att den nya har förenklats genom bland annat tre sektioner istället för fyra. Det är intressant att jämföra dessa versioner för att se hur arbetet fortskridit med certifieringsförslaget, vilket man kan ta lärdom av när ett svenskt certifikat 4 http://www.rlg.org/en/page.php?page_id=367 5 http://www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf Hämtat från http://www.rlg.org/en/page.php?page_id=20769 6 Se frågeformuläret http://www.rlg.org/en/page.php?page_id=20769 7 http://www.crl.edu/pdf/trac.pdf 8 http://www.crl.edu 10

utvecklas. Framförallt är det en tidskrävande process som kräver många omarbetningar. I förstudien benämns certifieringen som RLG-NARA:s, vilka också har utvecklat dokumentet även om det nu är flyttat till CRL. I den nya versionen framgår det också att RLG-NARA under de senaste 18 månaderna har samarbetat med CRL, DCC och nestor 9 för att hitta gemensamma kriterier som kan ingå i de olika certifieringarna. 10 Detta diskuteras vidare i kapitlet om internationell certifiering. Kriterierna som man kommit överens om kommer i ett senare skede att ingå i en ISO standardiseringsprocess. RLG-NARA:s struktur RLG-NARA har delat in certifieringsförlaget i tre övergripande delar: A. Organisationens infrastruktur B. Hantering av digitala objekt C. Teknologier, teknisk infrastruktur och säkerhet Varje del är sedan vidare uppdelad i sektioner som i sin tur har detaljerade undersektioner. Nedan följer en lista på sektionerna: A. Organisationens infrastruktur A1 Ledningens och organisationens livsduglighet A2 Organisationsstruktur och personalsammansättning A3 Metod- och processansvar & ramverk för policy A4 Finansiell hållbarhet A5 Kontrakt, licenser och försäkringar B. Hantering av digitala objekt B1 Mottagande/förvärv av innehåll B2 Skapa arkivpaket B3 Planering för långtidsbevarande B4 Arkivering och bevarande/underhåll B5 Informationshantering B6 Åtkomsthantering C. Teknologier, teknisk infrastruktur och säkerhet C1 Systemets infrastruktur C2 Lämpliga teknologier C3 Säkerhet 9 Se kapitlet om Övriga projekt för mer information om CRL, CCD och nestor. 10 http://www.crl.edu/pdf/trac.pdf s. 4. 11

Noterbart är att RLG-NARA har placerat organisationen i sektion A. Av detta kan man dra slutsatsen att man vill lyfta fram organisationens betydelse och kanske också sätta människan mer i centrum, före tekniken. Detta kan vara att lägga för stor betydelse i placeringen, men samtidigt ligger det i linje med förstudiens inriktning. För att väcka intresse för certifiering krävs också att alla aspekter av ett arkiv finns representerade i certifieringen. De kriterier som RLG-NARA har utarbetat kommer troligtvis att bli ISO standarder och konsekvenserna av detta diskuteras mer senare. Dock kan nämnas att RLG-NARA ser att ISO är en viktig del och skriver också att organisationer som tidigare genomgått en certifieringsprocess, exempelvis via ISO, också har bättre förutsättningar att bli godkända i en certifiering för digitala arkiv. 11 En fundering som detta genererar är dock hur många digitala arkiv som genomgått en certifiering och i så fall kommer att dra nytta av detta. Det finns en del skillnader mellan RLG-NARA och DINI, vilket är intressant att undersöka närmare när ett svenskt certifikat ska utvecklas. 11 http://www.crl.edu/pdf/trac.pdf s. 8. 12

DINI i jämförelse med RLG-NARA I ett inledande stadium borde man utveckla ett nationellt certifikat, vilket diskuteras mer ingående senare. En central fråga är vad som är överförbart från DINI respektive RLG-NARA. Det är också möjligt att man kommer fram till att det är mer intressant att utveckla ett oberoende svenskt certifikat med egen certifieringsprocess. Till en början är det viktigt att undersöka vad som är önskvärt från dem som tillhandahåller digitala arkiv. Skulle certifieringsprocessen bli för omfattande kan intresset från deras sida bli mindre. Dokumentationen får inte bli så omfattande att det avskräcker. ISO-standarder har ett internationellt renommé på kvalitet men är även kända för sina krav på rigorös dokumentation. Det är alltså en balansgång som kan bli svår att gå. Både DINI och RLG-NARA har utarbetat användbara standarder. Det bästa alternativet är troligtvis att välja delar från båda projekten och omarbeta dessa. Eftersom projekten fokuserar på olika aspekter kan de också komplettera varandra på ett bra sätt. RLG-NARA:s instrument som består av en checklista kunde utvecklas och tillämpas i en nätcertifiering, även om den skulle skilja sig åt innehållsmässigt. RLG-NARA är tydliga i sin övergripande struktur, samtidigt som DINI:s förslag har mer kortfattade rubriker och mer uppställda listor där RLG- NARA har löpande text. En bra struktur borde då följaktligen bli att använda den övergripande strukturen med rubriker och listor. DINI:s uppdelning av minimistandarder och rekommendationer är också tilltalande, men även RLG-NARA ser att det troligen blir nödvändigt med olika nivåer. Ser vi till innehållet i certifieringsförslagen blir det svårare att urskilja vad som är mer relevant än det andra. Det finns inte en tydlig korrelation mellan de olika punkterna eller delarna i dessa förslag, vilket försvårar en bra jämförelse. Som nämnts ligger också fokus olika i projekten, vilket även det gör en direkt jämförelse problematisk. Vad som kan skapa ett överföringsproblem i DINI:s fall är att certifieringen är utvecklad efter tyska förhållanden, vilket får till följd att vissa krav, exempelvis klassificering enligt DDC, i nuläget inte kan uppfyllas. RLG- NARA:s samarbete med andra vittnar om att deras förslag kan vara öppnare och eventuellt lättare att tillämpa. Generellt sett kunde båda certifieringsdokumenten vara mer visuella genom att använda illustrationer för att göra dokumentet mer användarvänliga. När man lyfter fram organisationen i certifieringen borde också alla som 13

ingår i organisationen få tillgång till ett dokument som är tydligt och utformat på ett sådant sätt att det är förståeligt. Kraven i certifieringen ska naturligtvis inte förenklas, men presentationen av dessa kunde förbättras väsentligt. Eftersom arkiven är kompetenta när det handlar om att tillgängliggöra dokument för användarna borde man också kunna göra certifieringsdokumentet mer tillgängligt. Sammanfattningsvis har både RLG-NARA och DINI många ändamålsenliga rekommendationer som är applicerbara i ett svenskt sammanhang. DINI och RLG-NARA är de certifieringsförslag som förstudien främst är inriktad mot, men det förekommer andra projekt som även de kan vara av intresse. 14

Övriga projekt Förutom DINI och RLG-NARA, pågår det ett antal projekt som behandlar olika aspekter av digitala arkiv. I takt med att fler och fler digitala arkiv skapas ökar också intresset för hur dessa arkiv på bästa sätt ska tillhandahålla och presentera informationen. Framför allt inriktar man sig på de tekniska och säkerhetsmässiga frågorna. Merparten av projekten behandlar inte certifiering som sådant, men tar upp aspekter inom angränsande områden som även är av intresse i certifieringssammanhang. Framförallt genererar dessa projekt idéer som kan vara användbara när ett svenskt certifikat utvecklas. Nedan följer några exempel på projekt som är relevanta att undersöka närmare. nestor nestor 12 (Network of Expertise in Long-Term Storage of Digital Resources) är en plattform som presenterar olika projekt inom ämnesområden som på ett eller annat sätt behandlar arkivering av digitala dokument. Inriktningen är till stor del mot långtidsbevarande. Man anordnar bland annat kurser och workshops. Samarbetet med RLG-NARA vittnar om en öppenhet för internationalisering och inte bara fokusering på det nationella som DINI tenderar att göra. Ett av de projekt som presenteras på nestors webbsida är DRAMBO- RA och ett annat är från CCSDS. DRAMBORA DCC 13 (Digital Curation Centre) och DPE 14 (DigitalPreservationEurope) har utvecklat DRAMBORA 15 (Digital Repository Audit Method Based on Risk Assessment), vars huvudsyfte är att ge möjligheter för självutvärdering av digitala arkiv. Detta är alltså inte ett certifikat, utan ett verktyg som fungerar som ett hjälpmedel för existerande arkiv eller vid införandet av nya. 12 http://www.langzeitarchivierung.de/index.php 13 http://www.dcc.ac.uk/ 14 http://www.digitalpreservationeurope.eu/ 15 http://www.repositoryaudit.eu/ 15

Liknande upplägg som DRAMBORA skulle kunna fungera som en inledande fas i en certifieringsprocess, där arkiven utför en självutvärdering för att se vad som man är bra på och vad som kan förbättras. Dock är det viktigt att det finns en korrelation mellan självutvärderingen och den följande certifieringen. Detta resonemang återkommer senare i diskussionen kring olika certifieringsalternativ. CCSDS CCSDS 16 (Consultative Committee for Space Data Systems) har en teknisk inriktning och är speciellt orienterad mot de öppna arkiv som har ansvar för långtidsbevarande. Dock framhålls att modellen kan vara applicerbar på i stort sett alla digitala arkiv oavsett inriktning. 17 CCSDS dokument är till vissa delar grundläggande eftersom läsarna, oavsett vilka kunskaper de har om öppna arkiv, ska ha utbyte av dokumentet. Exempelvis innehåller dokumentet en OAIS (Open Archival Information System) funktionsmodell som visar vad som sker mellan producenter, arkiv och konsumenter. 18 Även om mycket kan tyckas självklart för arkiven, visualiserar och tydliggör detta dokument ändå en komplicerad process som andra certifieringsförslag inte riktigt lyckas med. reuse reuse 19 arbetar för att skapa och tillgängliggöra digitala original. 20 reuse har bland annat utfört en undersökning där förfrågningar sändes till 669 europeiska bibliotek, varav 330 sedan användes i sammanställningen. 21 Totalt deltog 25 europeiska länder i undersökningen. Frågorna berörde på olika sätt långtidsbevarande av digitala dokument. En av frågeställningarna var hur man upplevde bibliotekets digitala arkiv i fråga om teknik, struktur och organisatorisk struktur i jämförelse med andra, liknade arkiv. 55 % av biblioteken upplevde att de var jämförbara med andra och 35 % ansåg att deras digitala arkiv var bättre eller betydligt bättre än andras. 22 Det är svårt att säga vad man från arkivens håll grundar dessa svar på. Som det ser ut idag har arkiven inte utfört dokumentation i någon större utsträckning, vilket också framkom av undersökningen. En frågeställning som bekräftade detta handlade om skrivna dokument där det framkom att bara 20 % av arkiven hade 16 http://public.ccsds.org/default.aspx 17 http://public.ccsds.org/publications/archive/650x0b1.pdf 18 http://public.ccsds.org/publications/archive/650x0b1.pdf s. 4-1. 19 http://www.uibk.ac.at/reuse/ 20 http://www.uibk.ac.at/reuse/mission/ 21 http://www.uibk.ac.at/reuse/docs/d_6.7study_european_digital_repositories.pdf 22 http://www.uibk.ac.at/reuse/docs/d_6.7study_european_digital_repositories.pdf s. 74. 16

skrivna dokument som rörde långtidsbevarande. 23 Detta exempel belyser hur man traditionellt sett upplevt dokumentation. Frånsett från att vara tidskrävande kan också dokumentation visa på brister som man kanske inte vill kännas vid. Detta är ett antagande och därmed inte sagt att det är så överallt. Poängen är att det vore bättre att se till det positiva med dokumentation snarare än problemen. Dokumentation kan också vara helt internt och användas för att uppmärksamma eventuella felaktigheter, men även det som fungerar väl. Även om det är en tidskrävande process fyller bra dokumentation ett syfte. Det är viktigt att understryka att dokumentation inte får ske enbart för dokumentationens egen skull, utan det måste framgå ett tydligt syfte. 23 http://www.uibk.ac.at/reuse/docs/d_6.7study_european_digital_repositories.pdf s. 60. 17

Inter/nationella certifikat En fråga som är central i diskussionen kring certifiering är om det är möjligt att utarbeta internationella certifikat, eller om det är mer rimligt att tänka sig nationella certifikat. DINI-projektet utgår från ett nationellt perspektiv, d.v.s. tyska universitets digitala arkiv, även om man till viss del implementerat internationella standarder och utarbetade tekniker. Till skillnad från RLG- NARA fokuserar DINI på vad som fungerar i tyska sammanhang och har följaktligen inte så stort intresse av att samarbeta internationellt. Intrycket är att man är nöjd så länge man kan komma överrens nationellt om innehållet i certifikatet. CRL, DCC och nestor har arbetat tillsammans för att hitta gemensamma krav som går att införa i certifieringarna i USA, England och Tyskland. Tre olika certifikat har alltså utvecklas där vissa krav har utarbetats gemensamt. Eftersom man har sett att det är svårt att skapa ett certifikat som kan vara applicerbart internationellt, är detta den bästa lösningen. 24 Om de krav som man har kommit fram till är intressanta i svenska sammanhang kunde det vara möjligt att inleda ett samarbete. En aspekt som har betydelse i sammanhanget är klassifikationssystem, vilket kan vara en av de avgörande faktorerna i frågan om ett framtida, internationellt certifikat. Dock är det viktigt att påpeka att klassifikationssystemet endast ska ses som ett exempel på de problem som kan uppstå och att det säkerligen kommer att vara ett antal frågor som måste redas ut. Klassifikationssystem Ett av problemen med internationella certifikat är förekomsten av olika klassifikationssystem. DINI ger rekommendationen att använda DDC (Dewey Decimal Classification) och ser det i det närmaste som en förutsättning för att internationalisera certifikat. Argumentet är att eftersom dokumentet ska kunna hittas var som helst i världen, måste de också överrensstämma i klassificeringen. Med olika klassifikationssystem är det problematiskt att använda sig av endast ett internationellt certifikat, kanske till och med omöjligt. För att närmare avgöra detta följer en kortfattad genomgång av SAB och DDC. 24 http://www.crl.edu/pdf/trac.pdf s. 4. 18

SAB och DDC Det råder delade meningar om klassifikationssystemet SAB ska behållas eller bytas ut/kompletteras med DDC. Nu är det viktigt att poängtera att denna rapport endast inkluderar universitets- och högskolebibliotek och tar alltså inte upp eventuella problem som kan uppstå inom folkbibliotekssektorn. I samband med certifiering handlar det i första hand om att det ska finnas en överensstämmelse för klassifikationen, inte om ett system skulle vara bättre än ett annat. När man nu har ett nationellt klassifikationssystem, är det också nödvändigt och tillrådigt att börja med ett nationellt certifikat. För att det skulle fungera med internationella certifikat måste man ha samma premisser internationellt att arbeta utifrån. Även om det finns en viss överensstämmighet mellan SAB och DDC, är det stora skillnader. Några övergripande skillnader är att SAB använder sig av en alfanumerisk notation (bokstäver och siffror), medan DDC enbart har siffror. Vidare är DDC mycket mer finfördelat än SAB, använder sig av fler klasser och det finns även vissa skillnader i strukturen. SAB fungerar på ett tillfredsställande sätt inom många områden som har svensk anknytning, men inom flera vetenskapsområden finns det problem med överenstämmigheten mellan vetenskapen och indelningen i SAB. DDC har blivit mer internationaliserat i takt med att systemet används i ett flertal länder, men man har från svenskt håll traditionellt sett upplevt det som ett uteslutande amerikanskt system. Det är inte heller helt oproblematiskt att inkorporera ett annat klassifikationssystem. Ett klassifikationssystem som DDC har hierarkier vilket oundvikligen delar in världen på ett visst sätt. Detta sätt kan kanske uppfattas av vissa som provocerande och till och med felaktigt. Även om detta är en viktig aspekt, är detta en diskussion som faller utanför ramen för denna förstudie eftersom i certifieringssammanhang är det viktiga överensstämmighet om det ska vara möjligt att skapa internationella certifikat. I en delrapport från KB Övergång till Dewey Decimal Classification. Vad skulle det innebära? Delstudie 3 i Katalogutredningen 25 diskuteras olika aspekter av DDC. Nu diskuteras inte klassifikationssystem i relation till certifiering i denna delrapport, men man rör sig i områden som har relevans även för denna diskussion. Bland annat diskuteras de fördelar som finns med att använda DDC och några exempel är att mycket av det som köps in är redan tidigare har klassificerats enligt DDC och att även svensk litteratur skulle nå ut på ett bättre sätt. Om vi ser till certifiering är det av stort intresse att använda DDC för att kunna ha en övergripande certifiering där det finns en överenstämmighet mellan olika digitala arkiv, men även ur tillgänglighetssynpunkt. Även om certifieringen till att börja med är nationell vore det 25 http://www.kb.se/ku/ddc_rapport.pdf 19

en fördel om man övergick till DDC eftersom man då har större möjligheter att sedan övergå till internationella certifikat. Samarbetet mellan RLG-NARA, DCC och nestor visar ändå att det till viss del är möjligt med internationella certifikat. Dock är det viktigt att poängtera att de har enats om vissa krav och alltså inte utarbetat ett certifikat där alla punkter överensstämmer. Tekniska förutsättningar Vid sidan om klassifikationssystem är det inte helt oproblematiskt med de olika tekniska lösningar som finns om det skulle utvecklas ett internationellt certifikat. Det är ofrånkomligen så att det förekommer olika teknisk utrustning beroende på var man befinner sig i världen. Exempelvis används inte samma märken i Sverige som man använder i Tyskland. En möjlig lösning vore att i högre grad ställa krav på vad som ska uppnås, snarare än att ställa krav på hur man uppnår ett visst krav. En sådan certifiering skulle öppna möjligheten för flera länder att kunna uppnå certifieringsstandarderna och därmed i vissa fall även främja den tekniska utvecklingen i de olika länderna. Självfallet finns det vissa krav som är oundvikliga som beständiga identifierare, men beslut om vilken sorts server man använder skulle vara valfritt under förutsättning att den har en sådan kvalitet som gör att man uppfyller de krav som man har på, bland annat, långtidsbevarande. Open access Certifiering är nära sammanlänkat med konceptet open access. Den övergripande tanken med open access är att tillgängliggöra forskning och det är då viktigt att kunna säkerställa dokumentets innehåll och dess bevarande över tid. Många av dagens digitala arkiv fungerar på ett tillfredsställande sätt, men genom samarbete och mer översyn kan man hitta lösningar som gynnar både universitet och högskolor som tillhandahåller digitala arkiv såväl som forskningssidan. 20

Svenska öppna arkiv Fokuseringen i denna förstudie är på öppna arkiv inom universitet och högskola, men det utesluter inte att andra arkiv skulle kunna använda sig av samma eller liknande certifikat. Nedan följer en sammanfattning av digitala arkiv med DiVA 26 som ett exempel. Vidare följer en kortfattad diskussion om certifiering i samband med andra statliga myndigheter Digitala arkiv Idag uppfyller redan många av de digitala arkiven rekommendationer eller minimistandarder som utarbetats av exempelvis DINI. Dock är fokuseringen på de tekniska delarna, vilka är mer utvecklade än andra delar. En av orsakerna till detta är troligtvis att det krävs både tid och pappersarbete för att dokumentera och utarbeta rutiner för, till exempel, överföring av information och kompetens när någon i personalen slutar. Den tekniska delen är på något sätt mer självklar än andra delar. En orsak till detta kan härledas till att det är tekniker som har utvecklat systemen och en teknisk inriktning är därför naturlig. Dock är det möjligt att integrera både teknik och mer mänskliga aspekter i certifieringssammanhang, vilket utvecklas senare i anslutning till kunskapshantering. Ambitionen för de som producerar och tillhandahåller arkiv inom universitet och högskola är naturligtvis att erbjuda en hög kvalitet och följaktligen har man undersökt och implementerat tekniska lösningar som säkerställer denna kvalitet. Trots detta är det ändå en fördel att utföra en certifiering eftersom man då har en möjlighet att publikt visa att man uppfyller vissa krav. Som det är i nuläget är det svårt att visa användarna på ett bra sätt att arkiven är tillförlitlig. Det är som bekant mycket viktigt för forskare och andra att veta säkert att dokumentet behåller sitt ursprungliga innehåll och finns bevarad över tid. Det finns ett flertal digitala arkiv i Sverige och ett exempel är DiVA. 26 http://www.diva-portal.org 21

DiVA För att sätta certifikatet i relation till ett existerande digitalt arkiv har valet fallit naturligt på DiVA (Digitala Vetenskapliga Arkivet) 27, som är utvecklat av Uppsala universitetsbibliotek 28. Som ett flertal andra arkiv har DiVA höga kvalitetskrav när det kommer till den tekniska delen. Den viktigaste utgångspunkten sedan starten 2000 har varit att säkerställa dokuments innehåll, tillgänglighet och bevarande över tid. Som DINI och andra rekommenderar ges dokument beständiga identifierare som urn:nbn. Dessa identifierare används för att hitta dokument med hjälp av resolution service. 29 När DiVA startade år 2000 utvecklades ett eget XML-baserat dokumentformat: DiVA Document Format. Anledningen till att detta format utvecklades var att det inte existerade ett format som överensstämde med de krav man hade på DiVA. I nuläget revideras formatet och en uppdaterad version kommer att finnas med i den nya versionen av DiVA som beräknas utkomma under 2008. En viktig aspekt i sammanhanget är att kunna säkerställa att dokument innehåller samma information, d.v.s. att inte några tecken har bytts ut. Det vanligaste sättet för att säkerställa detta är att använda checksumma, vilket också DiVA gör. SHA-1 (Secure Hash Algorithm) är en förfinad form av checksumma och kan beskrivas som en digital signatur. SHA-1 har länge varit tillförlitlig, men på senare tid har man sett att det finns vissa problem. Idén var att inte några dokument skulle kunna innehålla samma antal tecken, men detta har visat sig vara möjligt. Även om det är en försvinnande liten risk att det skulle skapa problem, är det ändå en brist. SHA-256 är en vidareutveckling av SHA-1 och dessa problem sägs vara avhjälpta i och med detta. Dock kommer det att behövas en ständig översyn av detta. Samarbete mellan universitet och andra statliga förvaltningar Eftersom de system som utvecklats av universitetsbibliotek kan användas av andra statliga förvaltningar, eller liknar deras befintliga system, skulle det vara möjligt att samordna certifieringen. Ett sådant samarbete skulle kunna befrämja, dels utbyte av tekniska lösningar, dels vidga perspektivet hos dem som certifierar. Inledningsvis kan det dock vara bättre att universitet och högskolor utvecklar certifikatet för att sedan samarbeta och göra eventuella förändringar i certifikatet. 27 http://www.diva-portal.org 28 http://www.ub.uu.se 29 För mer information se: http://publications.uu.se/epcentre/diverse/svepdp2/rs_rapport.pdf 22

Diskussion kring certifikat Efter en övergripande sammanfattning av olika certifikat och digitala arkiv, övergår nu diskussionen till hur certifikat kan implementeras och användas. Eftersom det finns flera certifikat som skiljer sig åt är den inledande frågställningen om det är rimligt att utgå från ett befintligt förslag eller utarbeta ett nytt. Bland annat är det viktigt att ta ställning till om man är intresserad av ISO-standarder eller inte. Denna fråga och andra är svåra att besvara i en förstudie. Det krävs ytterligare undersökningar och diskussioner med den grupp som kommer att arbeta med certifiering och även med högskolor och universitet i Sverige. En slutsats som dock är ganska tydlig är att det inledningsvis är nödvändigt att utarbeta ett nationellt certifikat. Vare sig man utgår från en befintlig certifiering eller skapar en ny, kommer det att krävas vissa omarbetningar eller idéer om hur certifikat kan struktureras. Nedan följer en övergripande diskussion om tänkbara lösningar för certifikat. Självutvärdering För att återknyta till den tidigare presentationen av DRAMBORA, skulle självutvärdering kunna vara ett första steg i en certifieringsprocess. Att arkiven först utför en självutvärdering för att sedan ha möjlighet att förändra vissa delar innan en certifiering utförs. En självutvärdering skulle också kunna vara en lösning för de arkiv som inte kan tänka sig certifiering, men ändå vill se till att det digitala arkivet håller en hög standard. Självutvärderingen kunde utgå ifrån den riktiga certifieringen, exempelvis genom ett frågeformulär, förslagsvis nätbaserat. Uppdelning av certifikat Ett certifikat måste bli lättillgängligt och förståeligt om det ska få någon genomslagskraft. Samtidigt måste det naturligtvis inge förtroende och ett bevis på kvalitet. Därför krävs det att man ser över de nuvarande strukturerna i exempelvis DINI-projektet och hur dessa skulle fungera i ett svenskt perspektiv. Det som är möjligt att urskilja i de befintliga certifieringsförslagen är två övergripande delar: säkerhet och teknik samt organisation. De nuvarande certifieringsförslagen är mer finfördelade och uppdelade på annat 23

sätt, men det vore fullt möjligt att göra denna uppdelning. Detta skulle också skapa möjlighet att certifiera dessa delar var för sig. Naturligtvis är det bäst om båda delarna kan certifieras samtidigt, men det kan exempelvis vara så att man uppfyller de säkerhetsmässiga och tekniska kraven, men inte har nödvändig dokumentation för att uppnå de organisatoriska kraven. Som det ser ut finns det inte så mycket som är gjort i dokumentationsväg hos dem som publicerar och det som finns är antagligen inte samlat i ett specifikt dokument eller på en plats. I en sådan situation vore en delcertifiering ett användbart alternativ, för att sedan återkomma till arkivet för ytterligare certifiering. Delarna som kan certifieras skulle alltså kunna vara säkerhet och teknik samt organisationen. Säkerhet och teknik Den säkerhetsmässiga och den tekniska delen är sammanlänkade och beroende av varandra. Säkerhet kan vara kvaliteten på de servrar man använder eller att dokument ges beständiga identifierare. För att åstadkomma bland annat detta krävs att man utvecklat fungerande tekniska lösningar. Målet med de tekniska lösningarna är alltså att uppnå de säkerhetsmässiga kraven, men också kraven på tillgänglighet. Tekniken utvecklas ständigt och det kräver att de digitala arkiven följer och även i vissa fall leder den utvecklingen. Detta ställer höga krav på den omgivande organisationen, vilket är den andra delen av certifikatet. Organisationen Vid sidan av säkerhet och teknik är organisationen också en avgörande faktor. RLG-NARA har organisation som sin första punkt och därmed signalerar man att organisationen borde få en mer framträdande roll i certifieringsprocessen. Om säkerhet och teknik är kärnan i verksamheten är organisationen den omgivande strukturen: allt från hur kompetens överförs när någon i personalen slutar till hur man samarbetar inom organisationen. Även om det naturligtvis finns många skärningspunkter mellan ovanstående delar borde det vara fullt möjligt att göra denna uppdelning. En annan tänkbar lösning är att tillämpa olika grader av certifikat. Grader av certifikat Oavsett om det utvecklas nationella eller internationella certifikat skulle olika grader av certifikat vara ett möjligt alternativ. DINI är inne på samma linje genom att dela in certifikatet i minimistandarder samt ge rekommendationer för ytterligare åtgärder som vore tillrådiga. RLG ser också att grader 24

kan vara det alternativ som är nödvändigt, även om man helst ser att arkiven uppfyller den högsta graden. 30 Detta vore en intressant uppdelning av certifikat även för digitala arkiv. Ett förslag kunde vara att det finns exempelvis tre nivåer beroende på vilka krav man uppfyller. Endera väljer man att certifiera hela systemet i olika grader eller, som nämnts ovan, de två delarna efter grader. Det sistnämnda kan möjligen bli för omfattande och rörigt för arkiven och de som ska utföra certifieringen. Utfärdande av certifikat En viktig fråga i diskussionen kring certifiering är vilken instans som kommer att utfärda dessa certifikat. En instans som är oberoende men ändå insatt i ämnet är önskvärt, men det är troligtvis inte genomförbart. Som det ser ut är det universiteten själva som är intresserade av certifikat och har kunskapen om detta. Ska det då vara möjligt att så att säga certifiera sig själv? Opartiskhet kan bli ett centralt problem. RLG-NARA består av personer från en rad olika universitet, vilket ändå till viss del kan vara problematiskt. Sätter man samman en grupp med representanter från olika universitet, finns det fortfarande en liten risk att vissa universitet får fördelar genom detta. Samtidigt kan det vara en risk som är oundviklig för att överhuvudtaget kunna skapa och utfärda certifikat. Några andra instanser som har intresse eller nödvändiga kvalifikationer kan vara svårt att identifiera. Eftersom det i första hand rör sig om nationella certifikat handlar det om att sätta samman en arbetsgrupp i Sverige som blir ansvarig för att utforma och utfärda certifikat. En tänkbar lösning för certifiering är att de arkiv som önskar bli certifierade själva ansöker om att bli detta. Ett annat alternativ är att den grupp som är ansvarig för certifieringen utför uppsökande verksamhet. En kombination av dessa kan också vara ett bra sätt. För att enkelt tillhandhålla certifieringen vore en nätbaserad anmälning det bästa alternativet. En nätbaserad version skulle också kunna fungera som underlag för de som certifierar. Allt för att förenkla certifieringsprocessen, både för de som utför den och de som blir certifierade. Den grupp som då sätts samman består rimligtvis av representanter från olika universitet och högskolor. En blandning av tekniker, bibliotekarier och arkivarier är önskvärd eftersom det är nödvändigt med olika perspektiv för att certifikatet ska bli så bra som möjligt. Som nämnts finns det två tydliga delar i certifikatet. Den tekniska delen av certifikatet bör vara förhållandevis enkel att certifiera eftersom det är så att säga faktabaserat. Naturligtvis förändras tekniken och efterhand kommer man kommer att vara tvungen att utvärdera den teknik man använder och se om den är fungerande och tillförlitlig för tillfället. Den andra delen av certi- 30 http://www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf s. 7. 25

fieringen som behandlar organisationen kan vara mer problematisk. En organisation kan fungera på ett tillfredsställande sätt även om allt som rör till exempel överföring av kompetens inte finns dokumenterat. Många frågar sig kanske varför en certifiering behövs om man upplever att organisationen fungerar såsom den är tänkt att fungera. Detta resonemang utvecklas senare i delen om certifikats negativa effekter. I reuse undersökning, som presenterats tidigare, rörde en av frågeställningarna dokumentation och det visade sig att endast 20 % av de bibliotek som ingick i undersökningen hade någon dokumentation angående långtidsbevarande. Detta indikerar att dokumentation generellt sett inte har prioriterats. En orsak kan vara att man inte har haft detta krav på sig, vilket en certifiering skulle utgöra. Vid sidan om utfärdande av certifikat är det också viktigt att ta ställning till hur en certifiering skulle kunna utföras. Nätbaserad certifiering Under diskussionerna kring certifiering har ett nätbaserat certifieringsalternativ blivit mer och mer framträdande. Det är också det mest naturliga val att digitala arkiv certifieras digitalt. Eftersom man är kompetent i fråga om bevarande kan allt lagras digitalt och pappersförvaring kan till stor del rationaliseras bort. Det kan komma att krävas besök av dem som certifierar, men den största delen vore möjlig att utföra digitalt. Självutvärderingen vore mycket praktisk att ha tillgång till på webben och ger möjlighet för arkiven att se vilka krav man uppfyller i nuläget. Som nämnts kan också självutvärdering vara att bra alternativ för de som inte önskar att certifiera sitt digitala arkiv. De som utför certifieringen skulle också ha ett bra underlag när certifieringen sker, vilket spar tid. Den största delen av kommunikationen mellan arkiven och certifierarna skulle också kunna ske digitalt. En nätbaserad version kan struktureras och uppfylla följande: Inledande självutvärdering Möjlighet att testa och se vilka krav man själv uppfyller Eventuellt kunna jämföra sig med andra arkiv Utföra större delen av certifieringen genom frågeformulär Kunna ladda upp dokumentation Få vägledning med att fylla i formuläret Information om forskning kring nya tekniker och säkerhet Ovanstående är förslag på några punkter som skulle kunna ingå i en nätbaserad certifiering. Naturligtvis finns det flera punkter som kan vara viktiga, men en mer utförligare undersökning är inte aktuell i denna förstudie. 26

DINI har utvecklat ett nätbaserat frågeformulär som utgår från deras certifieringsförslag. 31 Formuläret är tydligt med stjärnor som markerar de obligatoriska fälten som minimistandarder, men för att fungera på ett bättre sätt borde strukturen förbättras. Exempelvis kunde man dela upp formuläret på flera sidor och det skulle också vara bättre att avdelningarnas siffror överrensstämde med certifieringsförslaget. Detta skulle förenkla ifyllningen avsevärt. När ett svenskt certifikat utvecklas vore det möjligt att utgå från DINI om ovan nämnda förändringar införs. Fig. 1. Utdrag från DINI:s frågeformulär I avsnittet om RLG-NARA nämndes deras frågeformulär, vilket är uppbyggt helt efter certifieringsdokumentet. Till skillnad från DINI, är strukturen på frågeformuläret exakt samma som dokumentet, vilket gör det enkelt att läsa i dokumentet och sedan fylla i formuläret. I ett svenskt perspektiv 31 http://www.dini.de/dini/zertifikat2007/fragebogen.php 27

vore det bästa alltså att kombinera förslagen och använda sig av det som är fördelaktigt i båda. Nedan följer ett kort utdrag från frågeformuläret. Fig. 2. Utdrag från An Audit Checklist for the Certification of Trusted Digital Repositories, s. 47. Samma formulär kan sedan användas av certifierarna som går igenom och ser att arkivet uppfyller de krav som finns angivna. I den nya versionen har formuläret förbättras och passar också bättre för en nätbaserad version. Fig. 3. Utdrag från den senaste versionen Trustworthy Repositories Audit and Certification Checklist (TRAC), s. 53. 28

Uppdateringar av certifikat Den tekniska utvecklingen gör att det är nödvändigt att förändra certifikatets utformning efter hand. Tillförlitliga tekniska lösningar kan så småningom bli otillförlitliga och det är då nödvändigt att certifikatet ges ett årtal efter när det utformades. I DINI:s förslag framgår också att man anser detta som viktigt. 32 Som nämnts har men sett vissa problem med SHA-1 och det är då viktigt att arkiven är medvetna om detta och kan vidtaga nödvändiga åtgärder. Man skulle också kunna tänka sig att certifieringsgruppen publicerar eventuella problem med nuvarande teknik på webbsidan för certifiering. Arkiven skulle då få en bra överblick och kunna uppdatera sin teknik i enlighet med kraven och skulle då lättare kunna uppdatera sitt certifikat. Naturligtvis är de digitala arkiven väl förtrogna med tekniska lösningar, men det skulle troligtvis underlätta att få mer information eftersom det är tidskrävande att överblicka all ny forskning inom området. Arkiven skulle också kunna bidra med information om problem man stött på. Negativa effekter av certifiering Hittills har förstudien utgått ifrån att certifiering skulle vara en bra kvalitetsmätare för de öppna arkiven. För att ge en mer differentierad bild är det även intressant att se till eventuella negativa effekter som en certifiering kan föra med sig. En negativ konsekvens av certifiering kan vara om certifikatet blir för detaljerat och mer eller mindre tvingar arkiven till använda de tekniska lösningar som skaparna av certifikatet anser vara det bästa. Det kan också få till följd att vissa arkiv som utvecklat sina egna tekniska lösningar inte uppfyller de krav som ställs, även om de skulle vara lika bra eller till och med bättre. Risken för att detta skulle ske kan vara liten, men ändå fullt möjlig. Organisationen har fått en framträdande roll i certifieringen, vilket kan medfölja att certifieringen ställer krav som är svåra att implementera i organisationen. Strukturen på organisationer skiftar till stor del mellan olika arkiv och för strikta krav i det avseendet kan få till följd att man tvingar arkiv till en organisatorisk struktur som inte passar arkivet. Att man skapar organisationer som ser bra ut på papperet men inte i verkligheten. När många olika certifikat utvecklas finns det en överhängande risk för att det då kan bli svårt att urskilja vilka certifikat som är tillförlitliga och i vissa fall även seriösa. För att undvika dessa problem är det nödvändigt att det finns någon slags översyn av certifikaten. 32 http://www.dini.de/documents/dini-zertifikat2007-en.pdf s. 3. 29