Paragraaf 5 Bedrijfsvoering

Bedrijfsvoering draait om het sturen en beheersen van de organisatie om de geplande resultaten zo effectief en efficiënt mogelijk te realiseren. Het gaat dus om antwoorden op hoe-vragen.

Dienstverleningsovereenkomst (DVO)
De bedrijfsvoering voor de gemeente Oudewater is ondergebracht bij de gezamenlijke ambtelijke organisatie die onder verantwoordelijkheid van de gemeente Woerden werkzaamheden voor Oudewater verricht op het terrein van onder andere de bedrijfsvoering. De basis voor deze dienstverlening is beschreven in een dienstverleningsovereenkomst (DVO). Deze DVO is op 16 juli 2020 door de gemeenteraden van Oudewater en Woerden weer voor 5 jaar vastgesteld.

Uitvoeringsovereenkomst (UVO)
Jaarlijks wordt door de colleges van Oudewater en Woerden een UVO vastgesteld. Hierin worden nadere afspraken gemaakt over de wijze van uitvoering van de overeengekomen dienstverlening voor het komende begrotingsjaar. Basis voor deze UVO is de door de raad van Oudewater vastgestelde begroting voor het komende jaar. In de UVO wordt aandacht besteed aan eventueel meer- en minderwerk, wat de aandachtspunten zijn ten aanzien van uitvoering en welke afspraken gemaakt kunnen worden over de kwaliteit. In onderstaande tabel staan de bedragen die gemoeid zijn met de dienstverlening door Woerden.

Het inzetten van informatietechnologie speelt een belangrijke rol bij enerzijds het voldoen aan wettelijke verplichtingen, anderzijds in het leveren van optimale dienstverlening en efficiënte bedrijfsvoering. Technologie en de digitalisering van bedrijfsprocessen spelen daarbij een steeds belangrijkere rol. Via de dienstverleningsovereenkomst en de uitvoeringsovereenkomst ligt de uitvoering van informatiebeleid bij gemeente Woerden. Zij werken volgens deze vijf pijlers:

1.    ICT-infrastructuur op orde 
In 2022 zijn we verder gaan bouwen aan de transformatie naar de nieuwe ICT-werkplekomgeving. Met veel aandacht voor beveiliging krijgen werknemers toegang tot hun online werkplek in Teams. Samenwerken op afstand wordt zo steeds makkelijker. 

2.    ICT-processen op orde 
Ter voorkoming van (onnodige) uitval en verstoringen hebben we in 2022 gezorgd dat de belangrijkste ICT-processen jaarlijks extern worden geaudit op opzet, bestaan en werking in de praktijk. Dit heeft in 2021 een goedkeurende verklaring op de ISAE3402-audit opgeleverd, met enkele verbeterpunten. Deze verbeterpunten zijn afgelopen jaar verder opgepakt en uitgewerkt. 

3.    Digitaal werken 
In 2020 is gestart met zaakgericht werken. De doelstelling om hiermee gelijktijdig een goed archief op te bouwen, is tot op heden nog niet gehaald. In 2021 is geïnvesteerd om de adoptie van het systeem te vergroten en de gebruiksvriendelijkheid te vergroten. In 2022 zijn we (samen met Decos ) doorgegaan om aan de hand van de processen de inrichting te verbeteren en gebruiksgemak te vergroten. We zagen in 2021 bij de uitrol van Microsoft Teams al dat deze aanpak succesvol is en de eerste resultaten laten dit ook zien bij digitaal werken.  

4.    ICT-beveiliging op orde 
In 2022 hebben we ons met name gericht op periodieke kwetsbaarhedenscan en monitoring en respons. Dit zowel preventief als in de vorm van proactieve maatregelen. In de moderne wereld van hacken en inbreuken op de digitale veiligheid is het voor de gemeente belangrijk te weten welke kwetsbaarheden er in het systeem bestaan. De kwetsbaarhedenscan is alleen daarom al waardevol omdat deze ons in staat stelt zwakke plekken op te sporen en de verdediging daarop te verbeteren.

5.    Datagestuurd werken 
In 2022 zijn we verdergegaan met datagestuurd werken in het sociaal domein. We koppelen samen effectiever data aan beleidsdoelstellingen, waardoor het sociaal domein beter in staat is om bij te sturen. We hebben wel last gehad van personeelswisselingen in de betreffende teams.

Algemeen
Landelijke of soms wereldwijde ontwikkelingen vinden hun weerslag, ook bij gemeenten. Zo moest de gemeente zich in 2022 wapenen tegen mogelijke dreigingen zoals extra gevaren door het thuiswerken vanwege corona. Toename van cybercriminaliteit heeft de risico's die de gemeente loopt sterk doen stijgen. Naar aanleiding van deze risico's zijn in 2022 verschillende acties ondernomen om deze risico's te verlagen. 

Beheersbaarheid beveiligingsrisico’s
De gemeente heeft zich gecommitteerd aan de Baseline informatiebeveiliging overheid (BIO). Dat is geen 100 % beveiligingsgarantie. De maatregelen moeten toereikend zijn en worden nageleefd door de medewerkers.  In 2022 is een Nederlandse gemeente gehackt en gegijzeld. Van een andere gemeente zijn de persoonsgegevens van inwoners op het darkweb te koop gezet.  Het landelijke beeld laat zien dat gemeenten steeds vaker worden aangevallen door internetcriminelen en worden geconfronteerd met zwakheden in systemen. Dit heeft tot gevolg dat de kans op uitval van dienstverlening en bedrijfsvoering toeneemt.  

Extern onderzoek
In 2021 hebben we een extern onderzoek laten uitvoeren naar de stand van de informatiebeveiliging aan de hand van het dreigingsbeeld in 2021-2022.  Dit onderzoek gaf de aanbeveling om de aankomende 3 jaar aandacht te besteden aan:
•    Inrichten gemeentelijke processen. Het inrichten van alle gemeentelijke processen met aandacht voor informatiebeveiliging en privacy wordt geïntegreerd in het organisatieplan 'Huis op orde'.
•    Verhogen kennis over veilig gedrag voor medewerkers. In 2021 is gestart met een bewustwordingscampagne voor medewerkers op het gebied van informatiebeveiliging en privacy. In 2022 was er een campagne specifiek gericht op het verhogen van de kennis van de medewerkers over de gevaren van phishing met onder andere een escaperoom. 
•    Maatregelen en processen ICT. Deze zijn opgepakt (zie volgende alinea). 

Maatregelen en processen ICT
Binnen ICT zijn processen opnieuw ingericht, beschreven en getoetst door middel van een IT-audit. De ICT-organisatie heeft eind 2022 opnieuw een ISAE 3402-certificaat type 2 ontvangen. Dit geeft aan dat de basisprocessen die vallen onder verantwoordelijk ICT-team op orde zijn.  Daarnaast is een aantal belangrijke verbeteringen gerealiseerd om het kwaadwillenden moeilijker te maken de IT-systemen binnen te dringen en de gemeente te gijzelen. Om te kijken welke risico's we nog hebben in ons systeem hebben we ethische hackers gevraagd welke mogelijkheden zij zien om onze systemen binnen te dringen. Hoewel ze nog een aantal zaken vonden die verbeterd konden worden, gaf het rapport aan dat een aantal zaken al sterk verbeterd is. 

DigiD
De gemeente is in 2022 aangesloten op drie DigiD-aansluitingen. De eerste aansluiting is voor digitale formulieren zoals doorgeven verhuizing, uittreksel burgerlijke stand etc. De tweede aansluiting is voor het inzien van de WOZ en lokale belastingen. Deze twee aansluitingen zijn onderzocht door een externe auditor en in orde bevonden. De derde aansluiting is voor algemene aanvragen via de website. Deze aansluiting draait onder verantwoordelijk van de softwareleverancier van het zaaksysteem. 

Suwinet
Suwinet is een elektronische infrastructuur voor de uitwisseling van gegevens tussen gemeenten en het Rijk. Omdat er gevoelige gegevens (o.a. salarisgegevens) worden uitgewisseld, vindt er een elk jaar een onderzoek plaats door een externe auditor. De gemeente Oudewater moet ook verantwoording afleggen over de aansluitingen van Ferm Werk omdat de gemeenteraad daarvan toezichthouder is. De aansluiting van Ferm Werk op Suwinet Inkijk is door de externe auditor in orde bevonden. De aansluiting op DKD-Inlezen waarbij Suwinet ingelezen is in 2022 voor het eerst in orde bevonden.

Cyberoefening
In oktober 2022 hebben we  samen met onze ICT-partner Ferm Werk meegedaan aan een overheidsbrede cyberoefening. Samen met de crisismanagers van Openbare Orde en Veiligheid, communicatieadviseur,  directielid, security officer, servicedesk medewerker,  ICT-managers en  CISO's (van gemeenten en Ferm Werk) hebben we zelf een crisis gesimuleerd en geoefend. 

Beheersbaarheid privacyrisico’s
In 2022 heeft de gemeente beschikking gehad over een Privacy officer. De Privacy officer heeft diverse risico-analyses gemaakt in de vorm van DPIA’s (Data Privacy Impact Analyses). Hierdoor konden risico’s worden herkend en verlaagd. Dit heeft tot gevolg gehad dat het aantal bekende risico’s is toegenomen en passend worden beheerst.

Verwerkingsregister en DPIA
Om overzicht te houden en inzicht te geven aan belanghebbenden hebben we een verwerkingsregister. Hierin staan alle verwerkingen die we als gemeente hebben (verwerkingen zijn processen waarin sprake is van het bewaren, lezen, vernietigen, doorsturen etc. van persoonsgegevens). Bij nieuwe verwerkingen met een hoog risico is het verplicht om een DPIA uit te voeren. Hierbij wordt gekeken welke risico's ontstaan door de nieuwe verwerking en welke maatregelen genomen kunnen worden om deze te verminderen. In 2022 is een DPIA uitgevoerd op de software waarmee het archief kan worden doorzocht.

Audit politiegegevens
Naast persoonsgegevens die beschermd worden door de AVG verwerkt de gemeente op een aantal plaatsen ook politiegegevens. De Wet Politiegegevens schrijft voor dat de gemeente op de verwerking van politiegegevens jaarlijks een interne audit en een keer in de vier jaar een externe audit moet (laten) uitvoeren. In 2022 is de audit uitgevoerd en toegestuurd aan de toezichthouder. Conclusie is dat aantal procedures bijgesteld moeten worden maar dat geen grote investeringen of aanpassingen nodig zijn.

Datalekken
De gemeente Oudewater houdt een overzicht bij van beveiligingsincidenten waarbij persoonsgegevens betrokken waren. In 2022 heeft zich één beveiligingsincident voorgedaan waarbij persoonsgegevens waren betrokken. Door passende maatregelen konden risico’s voor inwoners worden uitgesloten. Daarom hoefde het datalek niet te worden gemeld bij de Autoriteit Persoonsgegevens.  

Sociaal domein Oudewater/Stadsteam
De gemeente Woerden en het Stadsteam ondersteunen gezamenlijk de inwoners van Oudewater in het Sociaal Domein en delen daarom regelmatig persoonsgegevens. Voor de verwerking van de persoonsgegevens, voor zover het een wettelijke/publiekrechtelijke taak betreft, is de gemeente Oudewater verantwoordelijk waardoor deze gegevensdeling makkelijk en mogelijk is. Er zijn echter onvoldoende heldere afspraken over de verdeling van verantwoordelijkheden tussen de gemeente Oudewater en het Stadsteam/gemeente Woerden. Hierdoor is het niet mogelijk om een passende risicoinschatting te maken. In 2023 zullen nadere afspraken gemaakt worden over de verantwoordelijkheden. 

De Eerste Kamer heeft op 27 september 2022 de Wet versterking decentrale rekenkamers (Wvdr) aangenomen. Daarmee is de wet op 1 januari 2023 van kracht. De invoering van de rechtmatigheidsverantwoording is ook een onderdeel van deze wet. Dit betekent dat bij de jaarrekening over 2023 (dus in 2024) voor het eerst een rechtmatigheidsverantwoording wordt afgeven door het college. Nu verstrekt de externe accountant een controleverklaring met een oordeel inzake getrouwheid én rechtmatigheid. Met de invoering van de rechtmatigheidsverantwoording wijzigt dit: dan geeft het college van B&W een verantwoording over de financiële rechtmatigheid in de jaarrekening. Deze rechtmatigheidsverantwoording valt 'vervolgens' onder het getrouwheidsoordeel van de externe accountant: de accountant toetst of de jaarrekening, waar de rechtmatigheidsverantwoording onderdeel van uitmaakt, een volledig en juist beeld geeft.

Middels de rechtmatigheidsverantwoording verklaart het college dat het rechtmatig heeft gehandeld. Dit rechtmatig handelen bestaat uit drie aspecten:
•    begrotingscriterium;
•    voorwaardencriterium;
•    misbruik en oneigenlijk gebruik.

De verbijzonderde interne controle functie (VIC) binnen de gemeente Woerden is in 2022 verder versterkt en geprofessionaliseerd. Door de DVO heeft dit een positief effect voor de gemeente Oudewater. De VIC-functie voert de controles uit op basis van een intern controleplan dat jaarlijks geactualiseerd wordt. De uitkomsten van de VIC zijn vastgelegd in VIC-rapportages die in de Auditcommissie besproken zijn. De opvolging van de aanbevelingen uit de VIC-rapportage wordt periodiek gemonitord.
 
De VIC is een continu proces. Zowel qua inhoud als planning wordt aansluiting gezocht bij de controlewerkzaamheden van de accountant tijdens de interimcontrole en de jaarrekeningcontrole. Voor boekjaar 2023 zullen afspraken worden gemaakt met de nieuwe accountant over een constructieve samenwerking.