Bedrijfsvoering draait om het sturen en beheersen van de organisatie om de geplande resultaten zo effectief en efficiënt mogelijk te realiseren. Het gaat dus om antwoorden op hoe-vragen. Er zijn ook thema’s die de kaderstellende rol van de raad raken. Deze paragraaf gaat daarop in.
Paragraaf 4 Bedrijfsvoering
Speerpunten
Terug naar navigatie - Speerpunten
Organisatie
De organisatie ondervindt in toenemende mate de gevolgen van een zeer krappe arbeidsmarkt in combinatie met een hoog verloop en een toenemende druk op de organisatie. In 2021 heeft daarom een verdere doorontwikkeling plaatsgevonden binnen de gezamenlijke werkorganisatie voor Oudewater en Woerden. Tot eind 2022 zetten we nadrukkelijk in op het aanbrengen van ritme, structuur en voorspelbaarheid in het werk. Zodoende brengen we rust in onze organisatie. Dit creëert overzicht en zorgt ervoor dat we adequaat kunnen anticiperen en reageren. We weten waar we aan toe zijn en wat er wel en niet mogelijk is als er nieuwe vragen op ons af komen (in jargon: in control zijn). We zijn voorspelbaar in de kwaliteit die we leveren en zijn goed toegerust en opgeruimd om in te spelen op (toekomstige) ontwikkelingen.
Planning & control
De sturing en verantwoording van de gemeente verloopt via de cyclus van planning & control. De programmabegroting geeft richting aan college en organisatie. De programmabegroting is de basis van de verantwoording.
Prioriteit heeft de gezamenlijke aanpak van de planning & control voor beide gemeenten in onze werkorganisatie. Hierbij willen wij kwetsbaarheden ondervangen en onze interne planning & control beter laten aansluiten op de bestuurlijke planning-en-controldocumenten.
Gaande het jaar wordt er op twee momenten bestuurlijk tussentijdse verantwoording afgelegd aan de gemeenteraad: bij de voorjaarsnota en de najaarsnota. In de uiteindelijk vast te stellen jaarrekening wordt de eindverantwoording afgelegd.
Informatiebeleid
De samenleving verandert en burgers verwachten steeds meer van een digitale overheid. Dit is een uitdaging in een speelveld dat wordt gekenmerkt door bezuinigingen, technologische ontwikkelingen en toenemende complexiteit.
De informatievoorziening en de daarbij behorende ICT-infrastructuur zijn dus belangrijke steunpilaren voor het functioneren van de gemeente. Zonder een doelmatig opgezette informatievoorziening en de juiste ICT kan de gemeente haar taken niet uitvoeren en haar ambities niet waarmaken. Daarnaast worden de ambities en eisen die onze (keten)partners aan informatiebeveiliging stellen steeds hoger.
We hebben ons daarom geconcentreerd op een aantal belangrijke pijlers:
1. ICT-infrastructuur op orde
2. ICT-processen op orde
3. Digitaal werken
4. ICT-beveiliging op orde
5. Datagestuurd werken
1. ICT-infrastructuur op orde
In 2021 zijn we ertegenaan gelopen dat veel geplande investeringen uitgesteld moesten worden vanwege leveringsproblemen. Dat betekent dat we maatregelen (onderhoudscontracten, onvoorziene uitbreidingen) hebben moeten nemen om continuïteit te borgen. Daarnaast zijn we gestart met de transformatie naar de nieuwe ICT-werkplek.
2. ICT-processen op orde
Ter voorkoming van onnodige uitval en verstoringen hebben we in 2021 gezorgd dat de belangrijkste ICT-processen jaarlijks extern worden ge-audit op opzet, bestaan en werking in de praktijk. Dit heeft voor onze gemeente een goedkeurende verklaring op de ISAE3402 audit opgeleverd met enkele verbeterpunten. Deze verbeterpunten zijn meegenomen in het jaarplan 2022.
3. Digitaal werken
In 2020 is gestart met zaakgericht werken. De doelstelling om hiermee gelijktijdig een goed archief op te bouwen is nog niet gehaald. In 2021 is geïnvesteerd om de adoptie van het systeem en de gebruiksvriendelijkheid te vergroten. In 2022 zullen we doorgaan om aan de hand van de processen de inrichting te verbeteren en gebruiksgemak te vergroten. We zien dat deze aanpak succesvol is bij de uitrol van Microsoft Teams. Microsoft Teams is voor vele medewerkers de nieuwe omgeving om effectief samen te werken.
4. ICT-beveiliging op orde
In 2021 hebben we een externe pentest laten uitvoeren, ook hebben we extern onderzoek laten verrichten. De uitvoering van de verbeteracties uit beide rapportages worden uitgevoerd volgens planning.
5. Datagestuurd werken
In 2021 zijn we verdergegaan met datagestuurd werken in het sociaal domein. We koppelen samen effectiever data aan beleidsdoelstelling waardoor het sociaal domein beter in staat is om bij te sturen.
Informatiebeveiliging & Privacy
Algemeen
Landelijke of soms wereldwijde ontwikkelingen vinden hun weerslag, ook bij gemeenten. Zo moest de gemeente zich eind 2021 wapenen tegen mogelijke besmettingen door het Log4j-virus. Toename van de cybercriminaliteit heeft de risico's die de gemeente loopt sterk doen stijgen. Naar aanleiding daarvan zijn in 2021 verschillende acties ondernomen om deze risico's te verkleinen.
Beheersbaarheid beveiligingsrisico’s
De gemeente heeft zich gecommitteerd aan de Baseline informatiebeveiliging overheid (BIO). De baseline is gebaseerd op de beveiligingsnorm ISO27001. Aan die norm hangen meer dan driehonderd beveiligingsmaatregelen, waarvan de belangrijkste (voor het wegnemen van de grootste risico’s) zijn geïmplementeerd. Dat is geen 100 % beveiligingsgarantie. Het naleven van de maatregelen door de medewerkers vormt daarin een belangrijke voorwaarde, zoals de gemeente Hof van Twente eind 2020 op pijnlijke wijze moest ervaren.
Begin 2021 waren onze risico's op ICT-processen op het niveau 'hoog'. Eind 2021 zijn de risico's op het gebied van ICT-processen teruggebracht naar het niveau middel. Om te voldoen aan de BIO dienen de risico's op het niveau laag te zijn.
Extern onderzoek
• In het licht van de hack bij het Hof van Twente heeft de gemeente Oudewater haar eigen beveiligingsbeleid en -maatregelen intern tegen het licht gehouden en daarnaast ook een extern bureau opdracht gegeven om op onafhankelijke wijze de stand van de beveiliging te onderzoeken en over te rapporteren.
• Het rapport heeft een aantal sporen gegeven waarop aandacht nodig is voor het verlagen van de risico's. De risico's zijn ingeschat als hoog en zijn vertaald in de benodigde acties op de volgende drie terreinen:
• Inrichten gemeentelijke processen. Het inrichten van alle gemeentelijke processen met aandacht voor informatiebeveiliging en privacy wordt geïntegreerd in het directieplan "huis op orde".
• Verhogen kennis over veilig gedrag voor medewerkers. In 2021 is gestart met een bewustwording voor medewerkers op het gebied van informatiebeveiliging en privacy.
• Maatregelen en processen ICT. Deze zijn opgepakt, zie volgende alinea.
Maatregelen en processen ICT
Binnen ICT zijn processen opnieuw ingericht, beschreven en getoetst door middel van een IT-audit. De ICT-organisatie heeft eind 2021 een ISAE 3402 certificaat type 2 ontvangen. Dit geeft aan dat de basisprocessen die onder verantwoordelijkheid van team ICT vallen, op orde zijn.
Daarnaast zijn ook een aantal belangrijke verbeteringen gerealiseerd om het kwaadwillenden moeilijker te maken de IT-systemen binnen te dringen en te gijzelen.
Om te kijken welke risico's we nog hebben in ons systeem hebben we ethische hackers gevraagd welke mogelijkheden zei zien om onze systemen binnen te dringen. Hoewel ze nog een aantal zaken vonden die verbeterd konden worden gaf het rapport aan dat een aantal zaken al sterk verbeterd is.
DigiD
De gemeente is in 2021 aangesloten op 3 nieuwe DigiD-aansluitingen. De eerste aansluiting is voor het digitaal formulieren op het gebied van Burgerzaken zoals doorgeven verhuizing, uittreksel burgerlijke stand. De tweede aansluiting is voor het inzien van de WOZ en lokale belastingen. Deze twee aansluitingen zijn door een externe auditor tweemaal onderzocht en in orde bevonden. De derde aansluiting is voor algemene aanvragen via de website. Deze aansluiting draait onder verantwoordelijk van de softwareleverancier van het zaaksysteem.
Suwinet
Suwinet is een elektronische infrastructuur voor de uitwisseling van gegevens tussen gemeenten en het Rijk. Omdat er gevoelige gegevens (oa salarisgegevens) worden uitgewisseld vindt er een elk jaar onderzoek plaats door een externe auditor.
De gemeente heeft sinds eind 2021 een nieuwe aansluiting op Suwinet voor schuldhulpverlening. De gemeente Oudewater moet ook verantwoording afleggen over de aansluitingen van Ferm Werk omdat de gemeenteraad toezichthouder is. De aansluiting van Ferm Werk op Suwinet Inkijk is door de externe auditor in orde bevonden. De aansluiting op DKD-Inlezen waarbij Suwinet ingelezen worden in een applicatie van Ferm Werk niet. De processen zijn wel verbeterd in 2021 maar er heeft nog geen extern onderzoek naar deze aansluiting plaatsgevonden. Dit onderzoek zal in 2022 plaatsvinden.
Beheersbaarheid privacyrisico’s
Eind 2021 is capaciteit beschikbaar gekomen voor een privacy officer. De gemeente was in 2021 wegens capaciteitsgebrek onvoldoende in staat om te voldoen aan de AVG en loopt als gevolg daarvan ook risico’s op het gebied van informatiebeveiliging.
In de loop van 2021 is een start gemaakt met de inrichting van een sturingsinstrument voor privacy voor de directie. Daarvoor is aansluiting gezocht bij de bestaande wijze van doelenverantwoording. Alle privacy-issues zijn in de verantwoording opgenomen en er wordt periodiek gerapporteerd over de stand van zaken.
Verwerkingsregister en DPIA
Om overzicht te houden en inzicht te geven aan belanghebbenden hebben we een verwerkingsregister. Hierin staan alle verwerkingen die we als gemeente hebben. Bij nieuwe verwerkingen met een hoog risico is het verplicht een Data Privacy Impact Analyse (DPIA) te doen. In deze DPIA wordt gekeken of welke risico's ontstaan door deze nieuwe verwerking en welke maatregelen genomen kunnen worden om deze risico's te verminderen. In 2021 zijn DPIA’s uitgevoerd voor overdracht cliënten Ferm Werk naar de werkorganisatie, vroegsignalering van schulden, de nieuwe inburgeringswet en beschermd wonen.
Anonimisering
De griffie heeft de ‘Werkwijze privacyproof gemeenteraad’ ingevoerd, om het risico van onder andere internetcriminaliteit te verminderen en bescherming van privacy van burgers te vergroten. Daarom worden persoonsgegevens in documenten en handtekeningen, ook in (burger)brieven geanonimiseerd.
Inzageverzoeken
De gemeente Oudewater heeft 1 verzoek om inzage ontvangen. Tegen het besluit op dit verzoek is een bezwaarschrift ontvangen, dat ongegrond is verklaard.
Audit politiegegevens
Naast persoonsgegevens die beschermd worden door de AVG, verwerkt de gemeente op een aantal plaatsen ook politiegegevens. De Wet Politiegegevens schrijft voor dat de gemeente op de verwerking van politiegegevens jaarlijks een interne audit en een keer in de vier jaar een externe audit (laten) uitvoeren. In 2021 is voor de eerste keer gestart met de uitvoering van deze audits. Voorlopige conclusie is dat aantal procedures bijgesteld moeten worden maar dat er geen grote investeringen of aanpassingen nodig zijn.
Datalekken
De gemeente Oudewater heeft in 2021 te maken gehad met 1 melding van een beveiligingsincident waarbij persoonsgegevens waren betrokken. Het was niet noodzakelijk deze als datalek te melden bij de Autoriteit Persoonsgegevens (AP). Belangrijkste oorzaken van de beveiligingsincidenten zijn terug te voeren op menselijk handelen (in dit geval waren e-mailadressen van inwoners zichtbaar voor andere inwoners omdat ze stonden in het Aan of cc veld in plaats van Bcc).
Sociaal domein Oudewater/Stadsteam
In 2021 hebben gesprekken plaatsgevonden over verantwoordelijkheden over de informatiebeveiliging en privacy bij het stadsteam Oudewater. Het stadsteam heeft extern advies ingewonnen over het verbeteren van hun processen. Er zijn geen klachten bekend over het stadsteam inzake informatiebeveiliging of privacy. In 2022 zullen nadere afspraken worden gemaakt over de verantwoordelijkheden.
Rechtmatigheid
Het ministerie van BZK heeft via de nieuwsbrief IBI (nummer 109, juni 2022) aangegeven dat de introductie van de rechtmatigheidsverantwoording uitgesteld wordt tot in ieder geval de jaarrekening 2023. Dit betekent dat vanaf dan de rechtmatigheidsverantwoording door het college wordt afgegeven als onderdeel van de jaarrekening. De controleverklaring van de accountant bevat vanaf dat moment alleen een oordeel inzake de getrouwheid van de jaarrekening (waar de rechtmatigheidsverantwoording door het college onderdeel van is).
Voor 2021 was een plan van aanpak voor de verbijzonderde interne controle (VIC) opgesteld. De VIC heeft als doel de uitvoering van de controle op de financiële rechtmatigheid en wordt uitgevoerd door de auditors van de gemeente. De verbijzonderde interne controle dankt zijn naam aan het feit dat het een interne controle is die wordt uitgevoerd door medewerkers met een onafhankelijke rol. Door de gevolgen van corona en daarmee vertragingen in het jaarrekeningtraject is in de tweede helft van het jaar gestart met de uitvoering van het plan van aanpak. De uitkomsten van de VIC zijn vastgelegd in de VIC-rapportage, die is besproken in de Auditcommissie. De opvolging van de aanbevelingen zoals opgenomen in de VIC-rapportage worden periodiek gemonitord.
In 2021 zijn stappen gezet om met succes de interne controle uit te laten voeren door de eerste lijn waardoor de interne auditors vanuit een onafhankelijke positie deze werkzaamheden konden beoordelen. Ook zijn wij in vergelijking met eerdere jaren dieper ingegaan op de vastlegging van de interne beheersmaatregelen en interne controle door de eerste lijn. Terugkijkend zien wij dat de goede weg is ingeslagen om over 2023 de rechtmatigheidsverantwoording te kunnen afgeven wanneer dit cf. landelijke planning wordt ingevoerd.
De accountantscontrole is opgedeeld in een interimcontrole (einde kalenderjaar) en een jaarrekeningcontrole. Tijdens de interimcontrole vormt de accountant zich een beeld van de administratieve organisatie en de kwaliteit van de interne beheersingssystemen. Hierbij wordt ook gebruik gemaakt van de VIC-werkzaamheden zoals uitgevoerd door de auditors. De belangrijkste aanbevelingen en aandachtspunten zijn opgenomen in de managementletter. De managementletter en het accountantsverslag zijn voorzien van een bestuurlijke reactie die is besproken in de Auditcommissie. De bestuurlijke reactie is tot stand gekomen in nauw overleg met de verantwoordelijken in de lijn. De opvolging van de aanbevelingen wordt periodiek gemonitord. Tijdens de jaarrekeningcontrole controleert de accountant de opgestelde jaarrekening en het jaarverslag. Hij controleert hierbij op rechtmatigheid en of de opgestelde jaarrekening een 'getrouw beeld' geeft van de financiële situatie van de gemeente. Het accountantsverslag over het afgelopen boekjaar bevat aanbevelingen, adviezen of opmerkingen. Deze aanbevelingen volgen hetzelfde stramien als de aanbevelingen uit de managementletter.