Paragraaf 4 Bedrijfsvoering

Wat is het doel van deze paragraaf?

Terug naar navigatie - Wat is het doel van deze paragraaf?

Bedrijfsvoering draait om het sturen en beheersen van de organisatie om de geplande resultaten zo effectief en efficiënt mogelijk te realiseren. Het gaat dus om antwoorden op hoe-vragen. Er zijn ook thema’s die de kaderstellende rol van de raad raken. Deze paragraaf gaat daarop in.

Speerpunten

Terug naar navigatie - Speerpunten

Organisatie

In 2020 heeft er verder doorontwikkeling plaatsgevonden binnen de gezamenlijke werkorganisatie voor Oudewater en Woerden. Initiatieven zijn ontplooid waarbij de gezamenlijke dienstverlening is verbeterd, waar aandacht was voor de bestuurlijke verschillen tussen de twee gemeentes.

 

Planning & control

De sturing en verantwoording van de gemeente verloopt via de cyclus van planning & control. De programmabegroting geeft richting aan college en organisatie. De Programmabegroting is de basis van de verantwoording.

Prioriteit heeft de gezamenlijke aanpak van de planning & control voor beide gemeenten in onze werkorganisatie. Hierbij willen wij kwetsbaarheden ondervangen en onze interne planning & control beter laten aansluiten op de bestuurlijke planning-en-controldocumenten.

Gaande het jaar wordt er op twee momenten bestuurlijk tussentijdse verantwoording afgelegd aan de gemeenteraad: bij de voorjaarsnota en de najaarsnota. In de uiteindelijk vast te stellen jaarrekening wordt de eindverantwoording afgelegd.

 

Informatiebeleid

De coronacrisis heeft ons, noodgedwongen, een enorme impuls gegeven in digitaal werken. Het bijzondere is dat de transformatie zeer geruisloos begon. Digitaal overleggen en vergaderen, digitaal samenwerken, digitaal leidinggeven - allemaal zaken die het afgelopen jaar getransformeerd zijn. De manier van werken is in 2020 drastisch en blijvend veranderd.

Hoewel digitaal werken zeer efficiënt en effectief is, zorgt digitaal werken ook voor afname van spontaniteit, contact met collega’s en creativiteit. We zijn gedurende het coronajaar continu bezig geweest om dit op verschillende gebieden te organiseren voor onze collega’s. Dit om een goede balans aan te brengen in digitaal werken.

Ook hebben we in 2020 de grenzen opgezocht door de introductie van zaakgericht werken. Zaakgericht werken is samen met het samenwerkingsplatform het fundament van ons digitaal-werken-platform. We hebben evenwel gemerkt dat de adoptie vanwege corona moeizaam loopt.

Dat neemt niet weg dat we nu de belangrijkste twee bouwstenen hebben gelegd en nu werken aan verdere digitale dienstverlening, verbeteren van de digitale processen en hiermee kwaliteit van dienstverlening en bedrijfsvoering.

 

Informatiebeveiliging & Privacy

Algemeen
2020 was voor de gemeente Oudewater ook op het terrein van informatiebeveiliging en gegevensbescherming een veelbewogen jaar. Vanaf maart waren de medewerkers volledig aangewezen op thuiswerkfaciliteiten als gevolg van de maatregelen rond het coronavirus. Thuiswerken brengt andere risico's met zich mee omdat de beveiliging bij een medewerker thuis minder beheersbaar is dan in het gemeentehuis.

Landelijke of soms wereldwijde ontwikkelingen vinden hun weerslag, ook bij gemeenten. In het oog springende ontwikkelingen zoals de grootschalige hack bij een Amerikaans beveiligingsbedrijf (o.a. het adviesbureau van Microsoft), de coronacrisis of de ongeldigverklaring van het privacy-shieldverdrag tussen de EU en de VS (verdrag over opslag van gegevens).

Beheersbaarheid privacyrisico’s
In juni 2020 heeft de functionaris gegevensbescherming (FG) gerapporteerd over de stand van zaken uitvoering Algemene verordening gegevensbescherming (Avg). Belangrijkste conclusie is dat de gemeente Oudewater niet in staat is om aan te tonen dat zij zich aan de Avg houdt en als gevolg daarvan ook risico’s loopt op het gebied van informatiebeveiliging.

De oorzaken daarvoor zijn ter herleiden tot een gebrek aan capaciteitsinzet op privacyadvies met als gevolg
• het niet naleven van het eind 2019 vastgestelde Privacybeleid, bijvoorbeeld het niet of niet op tijd uitvoeren van Data protection impact assessments (DPIA's) en bewustzijnstrainingen onder medewerkers;
• het ontbreken van een deugdelijk privacyregister. Het privacyregister vervult een belangrijke rol in de beheersing van de privacy- en beveiligingsrisico’s Het register voldoet niet aan de inhoudelijke eisen van de Avg (rubrieken ontbreken), is niet volledig zowel qua inhoud als qua omvang (zijn alle processen erin opgenomen).
Daarnaast heeft de FG een aantal inhoudelijke privacy-issues geadresseerd, die nog opgelost moeten worden.
De aanbevelingen uit het rapport van de FG worden onderschreven. De stand van zaken uitvoering aanbevelingen zal in de eerste helft van 2021 worden opgenomen.

In positieve zin kan worden opgemerkt, dat het privacybewustzijn onder (een deel) van de medewer-kers is toegenomen. Dit blijkt uit het toenemend aantal adviesvragen, de verwerkingsovereenkomsten die ter beoordeling worden voorgelegd en gesloten en de bereidheid om datalekken te melden. Tegelijkertijd moet worden geconstateerd dat, zoals reeds hiervoor vermeld, er onvoldoende capaciteit beschikbaar is om al deze adviesvragen te beantwoorden.

Dit verslag heeft geen betrekking op de werkzaamheden die het stadsteam Oudewater namens het college van B&W van Oudewater uitvoert. Er is over 2020 geadviseerd noch toezicht gehouden op het gebied van privacy. Daardoor is er geen beeld van de privacy en beveiligingsrisico’s die daarmee gepaard gaan en is dus ook niet mogelijk om de eventuele risico’s te mitigeren.

DPIA
Op een proces is een data protection impact assessment (DPIA) uitgevoerd. Naar aanleiding daarvan heeft de organisatie maatregelen getroffen om de inbreuk op de privacy die de verwerking van persoonsgegevens met zich meebrengt te mitigeren. Dit betreft het inzetten van bodycams voor de boa’s. Met bodycams maken boa’s opnamen van situaties waarin een boa zich bedreigd voelt. De beelden die met de bodycams gemaakt worden zijn persoonsgegevens.

De verplichte DPIA’s voor de invoering van het Zaaksysteem en voor Office 365 zijn nog niet uitgevoerd. De privacy- en beveiligingsrisico’s die dit met zich meebrengt, zijn niet in kaart gebracht en kunnen daardoor ook niet worden gemitigeerd.

Beheersbaarheid beveiligingsrisico’s
De gemeente heeft zich gecommitteerd aan de Baseline informatiebeveiliging overheid (BIO). De baseline is gebaseerd op de beveiligingsnorm ISO27001. Aan die norm hangen meer dan driehonderd beveiligingsmaatregelen, waarvan de belangrijkste (voor het wegnemen van de grootste risico’s) zijn geïmplementeerd. Dat is geen 100% beveiligingsgarantie. Het naleven van de maatregelen door de medewerkers vormt daarin een belangrijke voorwaarde, zoals de gemeente Hof van Twente eind 2020 op pijnlijke wijze moest ervaren.

In het licht van de hack bij het Hof van Twente, heeft de werkorganisatie Woerden/Oudewater haar eigen beveiligingsbeleid- en maatregelen intern tegen het licht gehouden en daarnaast een extern bureau opdracht gegeven om op onafhankelijke wijze de stand van de beveiliging te onderzoeken. Het onderzoeksrapport wordt in het eerste kwartaal 2021 opgeleverd. Eind 2020 heeft de Informatiebeveiligingsdienst (IBD) naar aanleiding van deze casus een aantal maatregelen aanbevolen, die in het eerste halfjaar van 2021 zullen worden geïmplementeerd.

Door de coronacrisis is het grootste gedeelte van de medewerkers aangewezen op thuiswerken en het daarbij noodzakelijke gebruik van IT-faciliteiten en gegevensbestanden met vaak zeer gevoelige persoonsgegevens. De beveiligingsrisico’s die een thuiswerkplek met zich meebrengt zijn anders, minder beheersbaar dan voor de werkplek op gemeentehuis of stadskantoor. In combinatie met het ontbreken van trainingen op het gebied van beveiligingsbewustzijn zijn daardoor de risico’s van onrechtmatig verwerken van persoonsgegevens toegenomen. Het beveiligingsbeleid voor de thuiswerkplek en de daarbij behorende maatregelen zijn daardoor aan herziening toe en zal tevens moeten anticiperen op het post-coronatijdperk.

Stadsteam
De Stichting Stadsteam Oudewater voert voor de gemeente Oudewater de toeleidingstaken uit op het gebied van jeugdhulp, maatschappelijke ondersteuning en schuldhulpverlening. Het Stadsteam Oudewater is zelf verantwoordelijk voor informatieveiligheid en privacy van de zeer privacygevoelige gegevens die het van (doorgaans kwetsbare) burgers verwerkt. De gemeente moet erop toezien dat het Stadsteam zich voor wat betreft de uitbestede toeleidingstaken aan de eisen van privacy en beveiliging houdt. Door het ontbreken van duidelijke afspraken op dit gebied is er in 2020 vanuit de werkorganisatie Woerden-Oudewater geen toezicht geweest op de informatiebeveiliging.

Datalekken
De gemeente Oudewater heeft in 2020 niet te maken gehad met meldingen van beveiligingsincidenten waarbij persoonsgegevens waren betrokken.

 

Rechtmatigheid

Het college draagt zorg voor de rechtmatigheid van de beheershandelingen. Het gaat hierbij om de rechtmatigheid van verschillende processen. Om het benodigde inzicht te verschaffen is in 2020 is de verbijzonderde interne controle uitgevoerd door de auditors van de gemeente. Bij de verbijzonderde controle wordt een beeld verkregen over de uitvoering van de interne controle door de verantwoordelijke van de verschillende processen. Tot en met 2020 geven externe accountants een rechtmatigheidsoordeel bij de jaarrekening af. Door een wetswijziging wordt vanaf 2021 het college van burgemeester en wethouders zelf verantwoordelijk voor het afgeven van de rechtmatigheidsverantwoording. De externe accountants geven vanaf dat moment alleen nog een controleverklaring af met een oordeel over de getrouwheid van de jaarrekening. De verbijzonderde interne controle in 2020 is dan ook gebruikt als opstap voor de organisatie voor de beeldvorming bij de werkzaamheden ten behoeve van de eigen rechtmatigheidsverantwoording.

De accountantscontrole is opgedeeld in een interimcontrole (einde kalenderjaar) en een jaarrekeningcontrole.
Tijdens de interimcontrole vormt de accountant zich een beeld van de administratieve organisatie en de kwaliteit van de interne beheersingssystemen. Hierbij wordt ook gebruik gemaakt van de VIC-werkzaamheden zoals uitgevoerd door de auditors. De belangrijkste aanbevelingen en aandachtspunten zijn opgenomen in de managementletter. De managementletter en accountantsverslag zijn voorzien van een bestuurlijke reactie die is besproken in de Auditcommissie. De bestuurlijke reactie is tot stand gekomen in nauw overleg met de verantwoordelijken. De bevindingen hebben impact op de uitvoering van de interne controle. De opvolging van de aanbevelingen wordt periodiek gemonitord.
Tijdens de jaarrekeningcontrole controleert de accountant de opgestelde jaarrekening en het jaarverslag. Hij controleert hierbij op rechtmatigheid en of de opgestelde jaarrekening een 'getrouw beeld' geeft van de financiële situatie van de gemeente. Het accountantsverslag over het afgelopen boekjaar bevat aanbevelingen, adviezen of opmerkingen. Deze aanbevelingen volgen hetzelfde stramien als de aanbevelingen afkomstig uit de managementletter.

Successen van het afgelopen jaar zijn: het verdere inrichten van de VIC-functie en daarmee een verbeterstap van de interne beheersing, de frauderisicomatrix is uitgevoerd en periodiek op de kaart gezet, het onderzoek naar opzet en bestaan van de controles in de IT-systemen (ISAE 3402 type 1) is afgerond met een positieve uitkomst, in Q4 2020 zijn stevige beheersmaatregelen ingevoerd op het gebied van Europese aanbestedingen en er is een realistisch plan opgesteld om te komen tot de onderhoudsplannen voor groot onderhoud waardoor wij zekerheid krijgen dat deze eind 2021 gereed zijn.

 

Communicatie

2020 werd gedomineerd door corona. Vooral tijdens de eerste golf is Oudewater hard getroffen. Het is dan ook niet verwonderlijk dat een groot deel van de activiteiten op het gebied van communicatie zich daarop concentreerde. Met de gemeentelijke communicatiemiddelen is de landelijke voorlichting versterkt en vertaald naar de Ouderwaterse situatie. Voorbeelden zijn een dagelijkse liveblog op oudewater.nl tijdens de eerste golf en vanaf september wekelijkse thema’s die via de IJsselbode, oudewater.nl, Twitter en Facebook uitgediept werden. In september zijn via de supermarkt gratis bierviltjes met opdruk verstrekt. Met alternatieve slogans werden jongeren gewezen op de coronaregels, in de hoop de tweede golf te voorkomen. In het kader van de actie #Aandachtvoorelkaar werd aan het einde van het jaar een serie krachtportretten via Instagram gepubliceerd.
Tegelijkertijd liepen ook andere projecten zo veel mogelijk door, waarbij wel prioriteiten gesteld zijn. Het organiseren van bijeenkomsten was vanwege de coronamaatregelen niet toegestaan. Participatie is veelal online vormgegeven, net als diverse andere gebeurtenissen. Zo vergaderde de gemeenteraad voor het eerst digitaal, werd de 4/5-meiviering opgenomen in de Hervormde Kerk en via een livestream uitgezonden, namen we met een korte film afscheid van wnd. burgemeester Wim Groeneweg en was de installatie van burgemeester Danny de Vries via een livestream te volgen.