Paragraaf 5 Bedrijfsvoering

Bedrijfsvoering draait om het sturen en beheersen van de organisatie om de geplande resultaten zo effectief en efficiënt mogelijk te realiseren. Het gaat dus om antwoorden op hoe-vragen.

Dienstverleningsovereenkomst (DVO)
De bedrijfsvoering voor de gemeente Oudewater is ondergebracht bij de gezamenlijke ambtelijke organisatie onder verantwoordelijkheid en aansturing van de gemeente Woerden. Deze dienstverlening is beschreven in een dienstverleningsovereenkomst (DVO). Deze DVO is op 16 juli 2020 door de gemeenteraden van zowel Oudewater als Woerden weer voor 5 jaar vastgesteld.

Uitvoeringsovereenkomst (UVO)
Jaarlijks wordt door de colleges van Oudewater en Woerden een Uitvoeringsovereenkomst vastgesteld. Hierin worden nadere afspraken gemaakt over de wijze van uitvoering van de overeengekomen dienstverlening voor het komende begrotingsjaar. Basis voor de UVO is de door de raad van Oudewater vastgestelde begroting voor het komende jaar. In de UVO wordt aandacht besteed aan eventueel meer- en minderwerk, wat de aandachtspunten zijn ten aanzien van uitvoering en welke afspraken gemaakt kunnen worden over de kwaliteit. In onderstaande tabel staan de bedragen die gemoeid zijn met de dienstverlening door Woerden.

Ontwikkelingen 2023
In 2023 is gestart met de evaluatie van de huidige DVO. In het tweede kwartaal van 2024 resulteert de evaluatie in een eindrapport, zodat de gemeentebesturen van Oudewater en Woerden in staat zijn te bepalen of- en in welke vorm de samenwerking wordt voortgezet. Deze bestuurlijke keuze dient eind 2024 te zijn afgerond zodat 2025 benut kan worden voor de implementatie van de werkwijze vanaf 1-1-2026.

Informatievoorziening wordt steeds belangrijker en steeds complexer. Taken worden vanuit de centrale overheid overgedragen naar de gemeenten. Een toenemende uitwisseling van informatie vindt plaats met ketenpartners, samenwerkingsverbanden en andere overheden. Daarnaast wordt meer en meer nadruk gelegd op transparantie in onze dienstverlening met inwoners, bedrijven en instellingen. 

Het inzetten van informatietechnologie speelt een belangrijke rol bij enerzijds het voldoen aan wettelijke verplichtingen, anderzijds in het leveren van optimale dienstverlening en efficiënte bedrijfsvoering. We willen zo goed mogelijk aansluiten op de steeds snellere dynamiek van de stad. We moeten als organisatie zodanig wendbaar zijn dat we om kunnen gaan met veranderende maatschappelijke en technologische ontwikkelingen. Technologie en de digitalisering van bedrijfsprocessen spelen daarbij een steeds belangrijkere rol. 

We hebben ons geconcentreerd op de volgende pijlers: 
1. Verbetering van onze interne dienstverlening 
2. Modern en gebruiksvriendelijk 
3. Veilig en goed beschermd 
4. Digitaal zelfstandige collega’s
5. Communicatie en samenwerken
6. ICT-processen op orde
7. Datagestuurd werken

1.    Verbetering van onze interne dienstverlening 
In 2023 hebben we ons servicemanagementsysteem vervangen. Het nieuwe servicemanagement systeem geeft ons voordelen in verdergaand automatiseren en het continu bijsturen van onze dienstverlening. Het belangrijkste resultaat is het automatiseren van het in dienst – doorstroom en uitstroomproces. 

2.    Modern en gebruiksvriendelijk
2023 stond hierbij in het teken in het begin van het moderniseren van de ICT-werkplek. Zo hebben we alle ‘thinclients’ vervangen voor ‘dockingstations’. Dit heeft ons de mogelijkheid gegeven om ons nu te concentreren op de doorontwikkeling van de laptop als belangrijkste werkplek. De medewerker kan tegenwoordig met de laptop altijd ARBO-conform werken in het gemeentehuis. 

3.    Veilig en goed beschermd
We hebben ons geconcentreerd op hands-on training van systeembeheer/ servicedesk. Dit zodat deze doelgroep zich voldoende geëquipeerd is in geval van calamiteiten. 
Daarnaast zijn we in 2022 gestart met periodieke kwetsbaarhedenscan en monitoring en respons. Dit zowel preventief als in de vorm van proactieve maatregelen. In de moderne wereld van hacken en inbreuken op de digitale veiligheid is het voor de gemeente belangrijk te weten welke kwetsbaarheden er in het systeem bestaan. In 2023 heeft dit tot gevolg gehad dat we onze kwetsbaarhedenanalyse goed op orde hebben en in 2023 uitsluitend te maken kregen met zero-days kwetsbaarheden vanuit onze leveranciers.

4.    Digitaal zelfstandige collega’s
We blijven investeren in opleidingen en trainingen van onze belangrijkste systemen. Nieuwe medewerkers worden gelijk uitgenodigd voor trainingen en bij de introductie van nieuwe systemen worden medewerkers getraind in het gebruik ervan.

5.    Communicatie en samenwerking
We hebben onze samenwerkingsomgeving nu ingericht voor het gebruik van projectmatig werken. 

6.    ICT-processen op orde 
Ter voorkoming van (onnodige) uitval en verstoringen hebben we gezorgd dat de belangrijkste ICT-processen jaarlijks extern worden ge-audit op opzet, bestaan en werking in de praktijk. Dit heeft voor onze gemeente een goedkeurende verklaring op de ISAE3402 audit opgeleverd, met enkele verbeterpunten.

7.    Datagestuurd werken 
In 2023 hebben we datagestuurd werken verder geborgd in het sociaal domein. We koppelen samen effectiever data aan beleidsdoelstellingen, waardoor het sociaal domein beter in staat is om bij te sturen. In 2023 zijn we verder gegaan met de andere domeinen (met name bedrijfsvoering en dienstverlening) dit om ook bij deze domeinen te zorgen voor betere sturingsinformatie.

 

Informatiebeveiliging & Privacy 

Beleid en Organisatie

In 2023 is het nieuwe informatiebeveiligingbeleid 2023-2026 vastgesteld door het college. Dit informatiebeveiligingsbeleid is gebaseerd op de BIO. De controle op de naleving van het beleid is verbeterd.

Een van de maatregelen in de BIO is dat gemeentelijke processen een duidelijke eigenaar moeten hebben. Dit is voor de gemeente Oudewater in 2023 nog niet het geval. We lopen hiermee de kans dat de benodigde maatregelen niet uitgevoerd worden.  Een van de belangrijke maatregelen is de weerbaarheid van de organisatie bij een crisis. In juni 2023 hebben we samen met onze ICT-partner Ferm Werk meegedaan aan de cyberoefening van de informatiebeveiligingsdienst. We hebben een crisis gesimuleerd en geoefend. In september hebben we een ICT-oefening gehad met behulp van ethische hackers. Door regelmatig, minimaal jaarlijks, te oefenen borgen wij dat bij calamiteiten snel en passend kunnen reageren. Een belangrijke aanbeveling van de informatiebeveiligingsdienst is een continuïteitsplan te maken. In dit plan beschrijf je alle kritische bedrijfsprocessen om bij een calamiteit passend te kunnen reageren. 

De gemeente heeft zich gecommitteerd aan de Baseline informatiebeveiliging overheid (BIO). In de BIO staan maatregelen voorgesteld om de risico’s te verlagen. Dat is geen 100% beveiligingsgarantie. De gemeente past steeds meer maatregelen voorgeschreven door de BIO toe. Sommige maatregelen zijn alleen nog ad hoc en nog niet geborgd in processen en procedures. De score 'op orde' binnen BIO is 57%, de score Ad-hoc is 37%, de score niet op orde is 3% en niet van toepassing is 3%.  Deze percentages zijn in vergelijking met 2022 sterk verbeterd. Door het vastleggen en controleren van de bedrijfsprocessen kan de score verder verbeteren. Door het vastleggen en controleren van de bedrijfsprocessen kan de score verder verbeteren.

Personeel en toegang
Een van de belangrijkste verdedigingslinies op het gebied van informatiebeveiliging en privacybescherming zijn onze medewerkers. In 2023 hebben we gewerkt met verschillende activiteiten aan zowel kennisintensivering als houding en gedrag. In het laatste kwartaal hebben we specifiek ingezet op het melden van incidenten, datalekken en phishing. We hebben dit gedaan met het inrichten van een meldloket, dilemma's in het bedrijfsrestaurant in het gemeentehuis van Woerden, een digitale escaperoom en een fysieke escapekist. Deze acties hebben een positieve invloed op het gedrag van onze medewerkers.  Zij zijn zich meer bewust geworden van risico's. Dit blijkt uit het sterk aantal gestegen meldingen over datalekken en beveiligingsincidenten en het aantal adviesvragen dat is gestegen. 

Incidenten 
In 2023 zijn er weinig incidenten geweest die gevolgen hadden voor de continuïteit van de dienstverlening.  
We hebben eenmaal een stroomstoring gehad in het gemeentehuis Woerden door een brand. Hierbij zijn ook een aantal gemeentelijke systemen onderbroken vooral in onze thuiswerksoftware. We hebben een melding gehad van geslaagde phishing. Hierbij is een telefoonnummer gegeven.  De belangrijkste incidenten vonden plaats bij onze leveranciers en worden behandeld bij datalekken. Door proactief update’s en testen uit te voeren proberen we de continuïteit van de digitale dienstverlening zou goed mogelijk te borgen. 

Informatiesystemen 
We hebben in 2023 een aantal belangrijke verbeteringen zoals het verbeteren van de monitoring gerealiseerd. Hiermee is het voor kwaadwillenden moeilijker onze IT-systemen binnen te dringen en te gijzelen.
Om te kijken welke risico's we nog hebben in ons systeem hebben we ethische hackers gevraagd welke mogelijkheden zij zien om onze systemen binnen te dringen. Hoewel ze nog een aantal zaken vonden die verbeterd konden worden gaf het rapport aan dat een aantal zaken al sterk verbeterd zijn in vergelijking met de test van het vorige jaar. 

DigiD
De gemeente is in 2023 aangesloten op twee DigiD aansluitingen. De eerste aansluiting is voor digitale formulieren van team Burgerzaken, zoals het doorgeven van verhuizing of het opvragen van uittreksels burgerlijke stand. De tweede aansluiting is voor het inzien van de WOZ en lokale belastingen van het team Belastingen. Deze twee aansluitingen zijn onderzocht door een externe auditor en in orde bevonden.

Suwinet
Suwinet is een elektronische infrastructuur voor de uitwisseling van gegevens tussen gemeenten en het rijk. Omdat er gevoelige gegevens (o.a. salarisgegevens) worden uitgewisseld vindt er een elk jaar onderzoek plaats door een externe auditor.  De gemeente Oudewater moet ook verantwoording afleggen over de aansluitingen van Ferm Werk omdat de gemeenteraad toezichthouder is. De aansluitingen van Ferm Werk op Suwinet zijn door de externe auditor in orde bevonden. 
 
Privacy
De functionaris voor gegevensbescherming en privacy officer hebben proceseigenaren bezocht. Tijdens deze gesprekken is er een poging gedaan om een inventarisatie te maken waar de proceseigenaren risico´s zien op het gebied van privacy. Bij de risico’s die gezien werden is er gekeken of deze eenvoudig te reduceren zijn. Deze gesprekken helpen de gemeente om meer zicht te krijgen op de risico’s.

De privacy officers en functionaris voor gegevensbescherming zijn goed zichtbaar binnen de organisatie en hierdoor weten collega’s hen goed te vinden. Doordat de privacy officers en functionaris voor gegevensbescherming vaker worden betrokken bij nieuwe of wijzigingen in processen worden vooral risico´s in nieuwe verwerkingen voorkomen. De gemeente reduceert daarmee met beperkte middelen effectief huidige en toekomstige risico's. Tegelijk zijn er meer risico's dan de organisatie op korte termijn kan reduceren. De beheersbaarheid staat daarmee onder druk.

Datalekken
Er zijn diverse incidenten geweest waarbij persoonsgegevens zijn betrokken. Dit beschouwen wij als “datalekken”. De meeste datalekken helpen de organisatie om haar processen te verbeteren, doordat hierdoor zichtbaar worden waar processen het meest kwetsbaar zijn. Dit geldt ook voor de gemeente Oudewater. De meeste datalekken hoeven niet te worden gemeld bij de Autoriteit Persoonsgegevens (AP) of de betrokkene. De gemeente Oudewater beoogt transparantie en vertrouwen, dit betekent dat de gemeente Oudewater als het even mogelijk is de betrokkene toch informeert ook al ontbreekt de wettelijke verplichting. Bij de gemeente Oudewater zijn in 2023 vier datalekken geweest, waarvan er één bij de AP gemeld is. Het bij het AP gemelde datalek betrof een datalek over de pensioenen van de wethouders.

Sociaal domein Oudewater/Stadsteam
De gemeente Oudewater is verantwoordelijk het verstrekken van toegang tot de Wet Maatschappelijke Ondersteuning (WMO) en Jeugdwet. Dit doet zij met behulp van het Stadsteam en de gemeente Woerden en. De gemeente Woerden en het Stadsteam delen om deze reden regelmatig persoonsgegevens. Er zijn echter onvoldoende heldere afspraken tussen de gemeente Oudewater en het Stadsteam/gemeente Woerden op het gebied van persoonsgegevens waardoor aan enkele formele eisen vanuit de AVG niet wordt voldaan. De risico's voor de gemeente en inwoners zijn echter beperkt. Het Stadsteam en de gemeente Woerden nemen stappen om de risico's te verlagen waardoor de risico's worden beperkt op basis van mogelijke impact van betrokkene.

Het eerste jaar 2023 
In de jaarrekening 2023 wordt voor het eerst door het college van B&W verantwoording afgelegd rondom de financiële rechtmatigheid. Via de rechtmatigheidsverantwoording verklaart het college dat het rechtmatig heeft gehandeld. Rechtmatig handelen bestaat uit drie aspecten: 

• begrotingscriterium;
• voorwaardencriterium;
• misbruik en oneigenlijk gebruik. 

Tot aan 2022 gaf de controlerend accountant een oordeel over de financiële rechtmatigheid in zijn controleverklaring bij de jaarrekening. Per 2023 doet het college van B&W dit zelf. De rechtmatigheidsverantwoording blijft nog wel onderdeel van de getrouwheidscontrole van de controlerend accountant. Eén van de beoogde voordelen van de komst van de rechtmatigheidsverantwoording is het gesprek te faciliteren over financiële rechtmatigheid tussen de raad en het college van B&W.

De rol van de verbijzonderde interne controle (VIC)
De verbijzonderde interne controle functie (VIC) is mede om te voldoen aan de eisen samenhangend met de komst van de rechtmatigheidsverantwoording voor verslagjaar 2023 verder versterkt en geprofessionaliseerd. De VIC voert interne controles uit op basis van een jaarlijks geactualiseerd controleplan. Bevindingen van de VIC-werkzaamheden zijn vastgelegd in de halfjaarlijkse VIC-rapportages van bevindingen. Deze rapportages worden voorgelegd en besproken met de Auditcommissie. De voortgang van de opvolging van het advies en aanbevelingen van de VIC wordt periodiek gemonitord binnen de ambtelijke organisatie. 

De werkzaamheden van de VIC is een continu proces. Zowel qua inhoud als planning wordt afstemming gezocht met de controlewerkzaamheden van de controlerend accountant voor onder andere de interim controle en de jaarrekeningcontrole. Voor verslagjaar 2023 zijn afspraken gemaakt met de nieuwe accountant (ETL) voor een zo constructief mogelijke samenwerking. De interne verbijzonderde controles liggen in lijn met de materialiteit en rapporteringstoleranties die de externe accountant hanteert. In samenspraak met de externe accountant is de scope van de processen bepaald. Deze scope bestaat uit materiele en risicovolle processen.

De aard van de rechtmatigheidsverantwoording 
De rechtmatigheidsverantwoording is opgenomen in de jaarrekening bij het onderdeel "Rechtmatigheidsverantwoording 2023". Het college van B&W verklaart over 2023 aan de raad financieel rechtmatig gehandeld te hebben. De rechtmatigheidsverantwoording betreft een standaard voorgeschreven tekst van het Besluit Begroting en Verantwoording provincies en gemeenten (BBV). Hierbij wordt de door de raad vastgestelde verantwoordingsgrens gehanteerd van 3% van de lasten inclusief dotaties aan de reserves ad €925.000.  

Omdat het totaal van de rechtmatigheidsfouten onder de verantwoordingsgrens is gebleven is een rechtmatige rechtmatigheidsverantwoording afgegeven. Er hebben zich echter over 2023 wel financiële rechtmatigheidsfouten voorgedaan. Het totaalbedrag financiële rechtmatigheidsfouten in 2023 is €859.000. Conform regelgeving worden financiële rechtmatigheidsfouten toegelicht in de paragraaf bedrijfsvoering als de fouten groter zijn dan de rapporteringstolerantie. 

Totaaloverzicht financiële rechtmatigheidsfouten 2023 groter dan de rapporteringstolerantie:

Begrotingscriterium
Volgens het BBV dienen de afwijkingen ten opzichte van de (herziene) begroting in de jaarrekening herkenbaar te worden opgenomen en van een toelichting te worden voorzien. Als blijkt dat de gerealiseerde uitgaven op programmaniveau hoger zijn dan geautoriseerd, is er sprake van begrotingsonrechtmatigheid. Er zijn verschillende typen begrotingsoverschrijdingen. Overschrijdingen die binnen de beleidskaders van de gemeente passen, worden in het oordeel niet meegewogen. 

Overschrijdingen die gedurende het jaar bekend werden, worden aan de raad voorgelegd conform de planning en control cyclus middels raadsvergaderingen. Nog niet geautoriseerde overschrijdingen worden in de jaarstukken toegelicht en worden door de vaststelling van de jaarrekening door de raad alsnog geautoriseerd waardoor er rechtmatig gehandeld is. 

De financiële rechtmatigheidsfouten met betrekking tot begrotingscriterium zijn in onderstaande tabel opgenomen per programma. In totaal bedraagt de begrotingsonrechtmatigheid  €853.000.  

Zoals weergeven in de tabel bestaan de financiële rechtmatigheidsfouten vooral uit lastenoverschrijdingen die geheel of grotendeels gecompenseerd worden door direct gerelateerde opbrengsten. In dit geval zijn financiële rechtmatigheidsfouten conform de financiële verordening van de gemeente acceptabel. Financiële rechtmatigheidsfouten kleiner dan €50.000 zijn conform de financiële verordening ook acceptabel. Volgens de verslaggevingsregelgeving rondom het begrotingscriterium hoeven begrotingsafwijkingen welke voldoen aan de interne spelregels enkel te worden toegelicht in de jaarrekening en daarom niet in paragraaf bedrijfsvoering. Voor de toelichtingen wordt om deze reden verwezen naar de op taakveld niveau gemaakte verschillenanalyses van programma’s 2, 5, 6 en 8 in de jaarrekening.  

De overschrijding van programma 8 overhead voldoet niet aan de interne spelregels van de gemeente en moet daarom nader toelicht worden in paragraaf bedrijfsvoering. De lastenoverschrijding is onder andere te verklaren door dat de energierekening hoger uitviel dan begroot (€48.000) en voor de transitie Stadskantoor en De Klepper is meer aan extern personeel uitgegeven dan waar op voorhand rekening mee werd gehouden (€33.000). Om overschrijdingen en onderschrijdingen ten opzichte van de herziene begroting in de toekomst te voorkomen zal er geprobeerd worden om nauwkeuriger te ramen en tussentijds vaker te monitoren op de inkomsten en uitgaven en indien noodzakelijk te rapporteren. Begrotingen zijn gebaseerd op zo goed mogelijke inschattingen maar zullen altijd afwijken van de realisatie.

Voorwaardencriterium 
Financiële rechtmatigheid veronderstelt dat baten, lasten en balansmutaties voldoen aan de voorwaarden die voortvloeien uit de regelgeving. Deze voorwaarden vloeien uit internationale, landelijke en interne wet- en regelgeving. De VIC heeft het voorwaardencriterium getoetst. Er zijn in het voorwaardencriterium geen financiële rechtmatigheidsfouten geconstateerd groter dan de rapporteringstolerantie.  

Misbruik en oneigenlijk gebruik criterium 

Onder misbruik wordt verstaan: het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen. Onder oneigenlijk gebruik wordt verstaan: het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen of het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid, in overeenstemming met de bewoordingen van de regelgeving maar in strijd met het doel en de strekking daarvan. De gemeente Oudewater heeft effectieve maatregelen geïmplementeerd binnen de processen om misbruik en oneigenlijk gebruik te mitigeren. Er zijn geen financiële rechtmatigheidsfouten geconstateerd voor misbruik en oneigenlijk gebruik over 2023 groter dan de rapporteringstolerantie.

Naast misbruik en oneigenlijk gebruik kan er sprake zijn van fraude. De term fraude is juridisch niet gedefinieerd. Het gaat hierbij om derden die misbruik maken van de gemeentelijke regelingen. In het Provinciaal Blad van 27 juli 2017 is de beleidsregel ter voorkoming van misbruik en oneigenlijk gebruik bij subsidies 2017 gepubliceerd. Er zijn geen fraudes geconstateerd in 2023 groter dan de rapporteringstolerantie.

2023 is het eerste jaar van de invoering van de rechtmatigheidsverantwoording. Mogelijk zou het groeitraject ertoe leiden dat er toekomstig gewerkt kan worden met een lagere verantwoordingsgrens.

Verspreid over de begroting zijn enkele stelposten opgenomen. In een overzicht samengebracht zijn dit de volgende (voor zover > € 10.000):