Paragraaf 5 Bedrijfsvoering

Bedrijfsvoering draait om de vraag: hoe sturen en beheersen we de organisatie om de geplande resultaten effectief en efficiënt te realiseren? Ook voor de ambities in deze begroting is een goeie bedrijfsvoering onontbeerlijk. Deze paragraaf geeft daarom inzicht in de belangrijkste ontwikkelingen, te behalen resultaten en activiteiten voor de gemeentelijke bedrijfsvoering. 

Hieronder volgt eerst een stuk over de DVO en UVO met de gemeente Woerden. Vervolgens komen de ontwikkelingen rondom communicatie,  informatiebeleid en rechtmatigheid aan bod. 

De gemeente Woerden voert ook taken uit voor de gemeente Oudewater. Deze dienstverlening is beschreven in een dienstverleningsovereenkomst (DVO). Deze DVO is op 16 juli 2020 door de gemeenteraden van zowel Oudewater als Woerden voor 5 jaar vastgesteld en loopt op 1-1-2026 af.  Aanvullend worden er jaarlijks afspraken gemaakt voor aanvullende dienstverlening door de gemeente Woerden ia een zogeheten Uitvoeringsovereenkomst (UVO). In onderstaande tabel staan de bedragen 2024 die gemoeid zijn met de dienstverlening door gemeente Woerden.

Ontwikkelingen 2024
Eind 2023 is gestart met de evaluatie van de huidige DVO. Het organisatieadviesbureau &Van de Laar is gevraagd om een gezamenlijke evaluatie in een eindrapport te vatten. In juni 2024 is dit eindrapport opgeleverd aan de twee gemeenteraden. Na het zomerreces is het proces gestart om te komen tot een nieuwe DVO met gemeente Oudewater. Het bureau &Van de Laar is gevraagd om dit proces extern te begeleiden, en hiermee de vergaarde kennis van het evaluatietraject te gebruiken ten aanzien van het komen tot een nieuwe, verbeterde DVO. 

In het laatste kwartaal van 2024 is het raadsvoorstel (D/24/158620) aangenomen. In dit raadsvoorstel is gevraagd in te stemmen met een vierjarige DVO met ingangsdatum 1 januari 2026 en vijf verbonden onderwerpen als inhoudelijke basis voor de hernieuwde dienstverleningsovereenkomst:

1. Kwaliteit van de dienstverlening
2. Kwantiteit van de dienstverlening
3. Financiële verdeelsleutel(s)
4. Harmonisatie van werkwijzen en beleid
5. Governance

In het raadsvoorstel zijn tevens twee sporen van elkaar onderscheiden. Het raadsvoorstel richt zich op het eerste spoor, waarin een nieuwe DVO en de vijf onderwerpen die hieraan worden verbonden, centraal staan, en tegelijkertijd tijd wordt gecreëerd voor het tweede spoor.

Het tweede spoor (toekomstperspectief)
Dit spoor richt zich op het vinden van een toekomstperspectief op de samenwerking. In het eerste halfjaar van 2025 volgt een raadsvoorstel met het proces voor dit tweede spoor, waarin o.a. participatie en concrete tijdslijnen plek krijgen. Gedurende het tweede spoor zal er ruimte zijn om te verkennen met andere partijen in de regio, zoals omliggende gemeenten en de provincie Utrecht. Tevens is er ruimte om opties per gemeente te verkennen en nader uit te werken. De nieuwe DVO tot en met 31 december 2029 biedt de benodigde tijd om dit proces zorgvuldig te doorlopen.

Dankzij de implementatie van het Oudewaterse participatiebeleid is helderder wat inwoners van de gemeente kunnen verwachten bij participatietrajecten. Daarnaast is een deel van  de schriftelijke communicatie van de gemeente begrijpelijker gemaakt en de zijn schrijfvaardigheden van een deel van de ambtenaren verbeterd. Begrijpelijke communicatie en de mogelijkheid om te participeren dragen bij een het vergroten van het vertrouwen van de samenleving in het functioneren van de gemeente.

Het vastgestelde participatiebeleid is breder in de organisatie gedeeld en doorvertaald naar een handreiking voor participatie onder de Omgevingswet. Daarnaast is de participatieadviseur gestart met het implementeren van het participatiebeleid. Ook is gewerkt aan begrijpelijkere communicatie. Met behulp van software toetsen we of teksten op de website, het redactionele deel van de informatiepagina in de krant en de berichten op sociale media op B1-niveau zijn. We hebben 40 ambtenaren getraind om begrijpelijke brieven en andere teksten te schrijven en zo’n 30 van de meest verstuurde brieven en e-mails herschreven.

Informatievoorziening en digitalisering

Informatievoorziening speelt een steeds centralere rol binnen de gemeentelijke bedrijfsvoering en wordt tegelijkertijd complexer. De decentralisatie van taken vanuit het Rijk, intensievere samenwerking met ketenpartners en andere overheden, en de toenemende behoefte aan transparantie richting inwoners en bedrijven vragen om een toekomstbestendige digitale infrastructuur. Informatietechnologie is daarmee onmisbaar voor het voldoen aan wettelijke verplichtingen, het verbeteren van de dienstverlening en het verhogen van de interne efficiëntie.

De gemeente Oudewater heeft in 2024 verder geïnvesteerd in een wendbare en digitale organisatie die in staat is om tijdig en adequaat te reageren op maatschappelijke en technologische ontwikkelingen. Onze inzet richtte zich op de volgende zeven pijlers:

1. Verbetering van de interne dienstverlening
In 2024 zijn meer teams en domeinen aangesloten op het servicemanagementsysteem, wat de interne dienstverlening verder heeft geprofessionaliseerd. Daarnaast is het onboardingproces voor nieuwe medewerkers aangescherpt, zodat zij sneller productief zijn.

2. Moderne en gebruiksvriendelijke werkwijzen
Op basis van externe evaluaties van de in coronatijd ingevoerde werkmethoden is in 2024 een verbetertraject gestart. Dit houdt rekening met het type werkzaamheden, de teamvolwassenheid en verandervermogen. Tevens zijn voorbereidingen getroffen voor de implementatie van e-mail- en Teams-archivering, die in 2025 wordt uitgerold.

3. Informatiebeveiliging en compliance
Met het oog op de aankomende NIS2-wetgeving is in 2024 een nulmeting uitgevoerd. De benodigde verbeteracties worden in 2025 geïmplementeerd. Daarnaast is een nieuwe oplossing voor veilig mailen ingevoerd, waarbij de verantwoordelijkheid voor veilige verzending geautomatiseerd is.

4. Digitaal vaardige medewerkers
Opleidingen en trainingen blijven een structureel onderdeel van ons beleid. Nieuwe collega’s volgen direct trainingen in kernsystemen, en in 2024 is gestart met procesgerichte, scenario-gebaseerde trainingen om de digitale zelfstandigheid verder te vergroten.

5. Effectieve communicatie en samenwerking
De transitie van de teams ICT en DIV naar meer servicegerichte en informatiegestuurde eenheden is in gang gezet. Dit draagt bij aan een slagvaardigere en beter samenwerkende organisatie.

6. Robuuste ICT-processen
De belangrijkste ICT-processen worden jaarlijks extern geaudit. In 2024 resulteerde dit opnieuw in een goedkeurende ISAE3402-verklaring, met enkele aandachtspunten die inmiddels zijn opgepakt.

7. Datagedreven werken
Het datagedreven werken is verder ingebed, met name binnen het sociaal domein. Hierdoor is het mogelijk beter te sturen op beleidsdoelen. In 2024 is ook binnen de domeinen bedrijfsvoering en dienstverlening gestart met het verbeteren van de informatievoorziening voor sturing en verantwoording.

Informatiebeveiliging en privacy

Inleiding
Informatiebeveiliging omvat de bescherming van hardware, software en netwerken. Het gaat over het beschermen van waardevolle gegevens tegen ongeautoriseerde toegang, diefstal, of beschadiging. Het doel van informatiebeveiliging is: zorgen dat alléén de juiste mensen op het juiste moment toegang hebben tot de juiste informatie.

Privacy gaat over het beschermen van persoonsgegevens. De bescherming van gegevens van inwoners, bedrijven en medewerkers is cruciaal. Niemand wil dat persoonlijke of gevoelige gegevens zomaar op straat komen te liggen. Of het nu gaat om bijzondere persoonsgegevens, of persoonlijke e-mails; je wil dat deze informatie goed beschermd is tegen onbevoegde inzage.

Voor de gemeente kan een datalek een enorme impact hebben zoals financiële tegenvallers, boetes en een afname van vertrouwen van inwoners, bedrijven en medewerkers. Zij vertrouwen er immers op dat hun gegevens goed worden beschermd. 

De afgelopen jaren zijn de risico's toegenomen omdat steeds meer gegevens op verschillende plekken via het internet toegankelijk zijn. Daarnaast nemen de aanvallen toe. De AIVD ziet dat het aantal landen dat grotere offensieve cybercapaciteiten ontwikkelt, toeneemt. Rusland, China, Iran en Noord-Korea zetten hun cyberprogramma’s al jaren in voor sabotage, (economische en politieke) spionage, beïnvloedingsoperaties, en om dissidenten in de gaten te houden. Daarnaast wordt cybercriminaliteit steeds gemakkelijker door de toepassing van generatieve artificiële intelligentie (AI).

Beleid en Organisatie
Eind 2022 is de Network and Information Security Directive (NIS2-richtlijn) door de Europese Unie vastgesteld. . Dit is een Europese richtlijn die omgezet moet worden naar Nederlandse wetgeving. De NIS2-richtlijn wordt geïmplementeerd in de Cyberbeveiligingswet (Cbw) zal naar verwachting in het derde kwartaal van 2025 in werking treden. 
De gemeente heeft een externe impactanalyse naar de consequenties voor de gemeente van de nieuwe wet laten uitvoeren. De belangrijkste aanbeveling uit de impactanalyse is dat om alle eisen te voldoen het nodig is om de formatie voor informatiebeveiliging zowel tijdelijk als structureel te versterken. 

In september 2024 is er een ICT-oefening gehouden met behulp van ethische hackers. Door regelmatig, minimaal jaarlijks, te oefenen wordt geborgd dat bij calamiteiten snel en passend kan worden gereageerd. Een belangrijke aanbeveling van de informatiebeveiligingsdienst is om een continuïteitsplan te maken. In dit plan worden alle kritische bedrijfsprocessen beschreven zodat bij een calamiteit passend kan worden gereageerd. 

De gemeente heeft zich gecommitteerd aan de Baseline informatiebeveiliging overheid (BIO). In de BIO staan maatregelen voorgesteld om de risico’s te verlagen. Dat is geen 100% beveiligingsgarantie. De gemeente past steeds meer maatregelen toe die door de BIO zijn voorgeschreven. Sommige maatregelen worden op dit moment ad hoc toegepast en deze zijn nog niet geborgd in processen en/of procedures. 
In 2024 hebben we een externe audit laten uitvoeren op de BIO. Uit deze audit zien we een duidelijke vooruitgang in de beheersing van de normen en bijbehorende maatregelen. Vooral mensgerichte maatregelen scoren veel beter dan vorig jaar. De maatregelen die nog niet op orde zijn, zijn omvangrijke verbeteringen zoals invoeren van duidelijke verantwoordelijkheden, maken en oefenen van plannen voor alle kritische software en communicatie. 

Personeel
Om het bewustzijn van privacy en informatiebeveiliging te vergroten is hier het afgelopen jaar diverse keren aandacht aan besteed.

In de interne ICT-nieuwsbrief is standaard een hoofdstuk gewijd aan informatiebeveiliging en privacy. Elk kwartaal geven de CISO en privacy officer een presentatie over informatiebeveiliging en privacy aan nieuwe medewerkers. Het volgen van de presentatie is verplicht zodat we kunnen waarborgen dat nieuwe medewerkers de juiste basiskennis hebben over informatiebeveiliging en privacy. Na afloop van de presentatie doen de medewerkers een digitale escaperoom. Voor de afwisseling werken we vanaf december 2024 met een eigen ontworpen escapekist. 

Voor ingehuurd personeel geven de CISO en privacy offer elke maand een verplichte presentatie over informatiebeveiliging en privacy. Na afloop van de presentatie doen de medewerkers mee aan een quiz. Bij de quiz wordt hun kennis over de onderwerpen getest.

Het blijkt dat medewerkers die de presentatie hebben gevolgd, de escaperoom of quiz hebben gedaan de privacy officers eerder betrekken bij vraagstukken, nieuwe processen of het aanschaffen van nieuwe systemen. 

Daarnaast is er aandacht besteed aan het vergrendelen van je computerscherm als medewerkers hun werkplek verlaten. 

Om het jaar af te sluiten met een laatste bewustwordingsactie is er in december een fysieke escaperoom. Bij deze escaperoom lossen medewerkers beveiliging en privacy puzzels op. 

Incidenten 
In 2024 zijn er weinig incidenten geweest die gevolgen hadden voor de continuïteit van de dienstverlening. 

De belangrijkste (wereldwijde) storing betrof Cloudstrike. De gemeente  heeft daardoor enkel op een vrijdagmiddag enkele uren geen gebruik kunnen maken van de software om sociale voorzieningen te ondersteunen.

Daarnaast is ons meldingssysteem enkele dagen uit voorzorg niet bereikbaar geweest. Er waren kwetsbaarheden gemeld waarbij de impact nog niet helemaal duidelijk was.  Het incident is uitgebreid geëvalueerd om te leren over de gevolgen. Het systeem is opnieuw ingericht zodat we geen gebruik meer gemaakt wordt van de kwetsbare software

 Informatiesystemen 
Om te kijken welke risico's er zijn in ons systeem, heeft de gemeente ethische hackers gevraagd welke mogelijkheden zij zien om onze systemen binnen te dringen. Hoewel ze een aantal zaken vonden die verbeterd konden worden, gaf hun rapport aan dat een aantal zaken sterk verbeterd zijn in vergelijking tot dezelfde test vorig jaar. 

DigiD
De gemeente is in 2024 aangesloten op twee DigiD aansluitingen. De eerste aansluiting is voor digitale formulieren van team KCC zoals het doorgeven van een verhuizing of het opvragen van uittreksels uit de burgerlijke stand. De tweede aansluiting is voor het inzien van de WOZ (Waardering onroerende zaken) en lokale belastingen van het cluster Belastingen. Deze twee aansluitingen zijn onderzocht door een externe auditor. De aansluiting van Burgerzaken is in orde bevonden. De aansluiting van Belastingen heeft tekortkomingen vanuit de leverancier. De leverancier heeft dit overlegd met de toezichthouder en afspraken gemaakt om deze tekortkomingen op korte termijn te verhelpen dan wel te verbeteren.

Suwinet
Suwinet is een elektronische infrastructuur voor de uitwisseling van gegevens tussen gemeenten en het rijk. Omdat er gevoelige gegevens (o.a. salarisgegevens) worden uitgewisseld vindt er een elk jaar een onderzoek plaats door een externe auditor.

De gemeente moet ook verantwoording afleggen over de aansluitingen van Ferm Werk omdat de gemeenteraad toezichthouder is. Deze aansluitingen worden gebruikt voor het inlezen van gegevens op het gebied van werk en inkomen. De aansluitingen van Ferm Werk op Suwinet zijn door de externe auditor in orde bevonden.

Privacy
De privacy officers en functionaris voor gegevensbescherming zijn goed zichtbaar binnen de organisatie en hierdoor weten collega’s hen goed te vinden. Doordat de privacy officers en functionaris voor gegevensbescherming vaker worden betrokken bij nieuwe processen of wijzigingen in bestaande processen worden vooral risico’s in nieuwe verwerkingen voorkomen dan wel zo veel mogelijk gereduceerd. De gemeente reduceert daarmee met beperkte middelen effectief huidige en toekomstige risico's. Tegelijk zijn er door de snelle technische ontwikkelingen meer risico's dan de organisatie op korte termijn kan reduceren. De beheersbaarheid staat daarmee onder druk.

Datalekken
Als er bij een incident persoonsgegevens betrokken zijn beschouwen wij dit als “datalek”. De meeste datalekken helpen de organisatie om haar processen te verbeteren. Door het melden van datalekken wordt zichtbaar waar processen het meest kwetsbaar zijn. De meeste datalekken hoeven niet te worden gemeld bij de Autoriteit Persoonsgegevens (AP) of de betrokkene. Het melden van een datalek is alleen verplicht als het datalek een hoog risico oplevert voor de rechten en vrijheden van betrokkenen.

Bij de gemeente Oudewater zijn in 2024 vier datalekken geweest, waarvan er geen bij de Autoriteit Persoonsgegevens gemeld zijn. De gemeente Oudewater beoogt transparantie en vertrouwen, dit betekent dat de gemeente Oudewater de betrokkene probeert te informeren, ook al ontbreekt de wettelijke verplichting. 

Rechtmatigheidsverantwoording
In de jaarrekening 2024 wordt door het college van B&W verantwoording afgelegd rondom de financiële rechtmatigheid. Via de rechtmatigheidsverantwoording verklaart het college of het rechtmatig heeft gehandeld in het verslagjaar. Financieel rechtmatig handelen bestaat uit drie aspecten:

• Begrotingscriterium: handelt het college binnen de beschikbaar gestelde budgetten en kredieten?
• Voorwaardencriterium: zijn de baten, lasten en balansmutaties in overeenstemming met wet- en regelgeving tot stand gekomen?
• M&O-beleid: zijn in de uitvoering van het beleid voldoende waarborgen opgenomen om misbruik of oneigenlijk gebruik van wet- en regelgeving te voorkomen of tegen te gaan?

De verbijzonderde interne controle (VIC) voert controlewerkzaamheden uit met betrekking tot de rechtmatigheidsverantwoording en rapporteert het oordeel middels de rechtmatigheidsverantwoording namens het college van B&W. De controlerend accountant geeft een oordeel over de getrouwheid van de rechtmatigheidsverantwoording. In de jaarrekening 2023 is voor het eerst door het college van B&W verantwoording afgelegd rondom de financiële rechtmatigheid aan de raad. Eén van de beoogde voordelen van de komst van de rechtmatigheidsverantwoording is het gesprek te faciliteren over financiële rechtmatigheid tussen de raad en het college.

De rol van de verbijzonderde interne controle (VIC)
Het primaire doel van de VIC is om inzicht te krijgen in de kwaliteit van de bedrijfsvoering binnen de ambtelijke organisatie. Dit vanuit een accountantsperspectief. De VIC geeft aanbevelingen indien nodig om de kwaliteit van de processen te verhogen en de kans op fouten en fraude te mitigeren. 

De VIC is een continu proces. Zowel qua inhoud als jaarplanning wordt afstemming gezocht met de controlewerkzaamheden van de controlerend accountant. Voor verslagjaar 2024 waren afspraken gemaakt met de controlerend accountant voor een zo constructief en efficiënt mogelijke samenwerking. De interne controles liggen in lijn met de materialiteit en rapporteringstoleranties welke de controlerend accountant hanteert. De VIC voert verbijzonderde interne controles uit op basis van een jaarlijks geactualiseerd VIC plan. In samenspraak met de accountant is de scope van de financiële processen bepaald. Deze scope bestaat uit materiële en risicovolle processen. De VIC is onafhankelijk in staat om een oordeel te geven over de interne beheersing van de ambtelijke organisatie. De VIC vormt onder andere een oordeel door het proces in opzet te bespreken en een lijncontrole uit te voeren. Daarnaast worden de werking van het proces, rechtmatigheid en getrouwheid getoetst a.d.h.v. detailcontroles en analyses. De VIC is voornamelijk gericht op het controleren van de rechtmatigheid maar om aan te sluiten op de accountantscontrole worden getrouwheidsaspecten ook meegenomen in de interne controles. 

De bevindingen en aanbevelingen worden 2 keer per jaar gerapporteerd in de VIC rapportage van bevindingen. Deze rapportages worden voorgelegd aan de proceseigenaren, directie, het college en besproken met de Auditcommissie. De voortgang van de opvolging van de aanbevelingen van de VIC en accountant wordt meerdere keren per jaar gemonitord binnen de ambtelijke organisatie door middel van de auditmonitor.

De aard van de rechtmatigheidsverantwoording
De rechtmatigheidsverantwoording is opgenomen in de jaarrekening. Het college van B&W verklaart over verslagjaar 2024 aan de raad financieel rechtmatig gehandeld te hebben. De rechtmatigheidsverantwoording betreft een standaard voorgeschreven tekst van het Besluit Begroting en Verantwoording provincies en gemeenten (BBV). Hierbij wordt de door de raad vastgestelde verantwoordingsgrens gehanteerd van 3% van de lasten inclusief dotaties aan de reserves ad €987.000. Het totaal van alle financiële rechtmatigheidsfouten valt onder de verantwoordingsgrens en daarom is het oordeel van de rechtmatigheidsverantwoording positief. Het totaalbedrag financiële rechtmatigheidsfouten in 2024 is €588.338. Hiervan is een bedrag van €466.172 acceptabel volgens de interne spelregels (zie voor nadere toelichting kopje begrotingscriterium). Het overige deel ad €122.66 is niet acceptabel volgens de interne spelregels

Conform regelgeving worden financiële rechtmatigheidsfouten groter dan de rapporteringsgrens van €81.000 nader toegelicht in deze paragraaf bedrijfsvoering. Zie in de tabel een overzicht van alle financiële rechtmatigheidsfouten.