PROGRAMMA 6 – BEDRIJFSVOERING

Thema I - Dienstverlening (intern)

ICT
In de komende jaren zal de digitalisering binnen de gemeente verder voortgezet worden. Dit zal deels op basis van interne behoeften en ontwikkelingen van de gemeente plaats vinden, maar daarnaast zal zoveel mogelijk aangesloten worden bij de landelijke ontwikkelingen. 

Intern zijn er wensen om de werkprocessen te digitaliseren en de efficiency te vergroten door het automatiseren van procesonderdelen zoals bijvoorbeeld de autorisatie van documenten door de inzet van de elektronische handtekening, de digitalisering van archivering en informatiebeheer. Zowel binnen het fysieke en het sociaal domein is er behoefte aan informatie die sturend is in besluitvorming en beleidsuitvoering. Hiervoor zullen zo mogelijk meer dashboards en managementrapportages ontwikkeld worden. Dit past bij de richting van data gedreven werken die de gemeente ingeslagen is.

Er zal ook aangesloten worden bij de landelijke ontwikkelingen binnen gemeenten zoals het verdere toepassen van de Common Ground-achitectuur binnen het
applicatielandschap waarbij applicaties en gegevens van elkaar los worden gekoppeld. In dit kader zal de gemeente binnen haar architectuur ook steeds meer gebruik maken van de Generieke Digitale Infrastructuur (GDI), waarbij generieke bouwblokken van de infrastructuur worden ingezet.

Nieuwe wetgeving als de Wet Open Overheid, naar verwachting van kracht vanaf 2022, waarbij overheidsorganisaties moeten zorgen dat informatie vindbaar, uitwisselbaar, eenvoudig te ontsluiten moet zijn, zal een grote impact hebben op de informatievoorziening en het applicatielandschap. Ook de Wet Digitale overheid zal naar verwachting in werking treden in 2022.

De elektronische toegang van burgers en bedrijven tot de publieke dienstverlening wordt hiermee gestandaardiseerd en beter beveiligd, maar vraagt wel aanpassingen in websites en applicaties.

Binnen de infrastructuur zullen de komende jaren in het teken staan van vernieuwing van het netwerk, back-up en storage en de implementatie van de nieuwe werkplek (startend in 2021). Met betrekking tot de ontwikkeling van de eigen ICT-Organisatie wordt de IT-strategie die in 2021 is uitgevoerd, in de jaren daarna geoperationaliseerd. In de IT-strategie worden toekomstige keuzes gemaakt voor de architectuur, de IT-organisatie en IT-governance en de benodigde competenties. Tevens zal de gemeente zich heroriënteren op de ICT-samenwerking in de regio.

Nieuw werkplekconcept
De gemeente heeft in het kader van ‘het Veens werken’ gekozen voor de mobiele werkplek. In 2021 is de ICT-architectuur en het ontwerp ontwikkeld voor het nieuwe werkplekconcept. Op basis hiervan is het nieuwe concept gebouwd en is gestart met het uitrollen naar een deel van de medewerkers. Deze digitale werkplek vervangt het vaste telefoontoestel en de virtuele desktop infrastructuur en bestaat voor iedere medewerker uit een beveiligde set van smartphone en laptop. Met deze voorzieningen kan de medewerker overal werken,  onafhankelijk van tijd en plaats, mits er van een internetvoorziening gebruik gemaakt kan worden.  Het beheer van de devices die deel uitmaken van de mobiele werkplek zal zoveel mogelijk centraal en op afstand plaats vinden. Dit geeft ook de mogelijkheid om de beveiliging van de devices op afstand te bewaken en het beheer efficiënt uit te voeren. In 2022 wordt de verdere uitrol van de nieuwe werkconcept uitgevoerd.

Thema II - Security & informatiebeveiliging

Meerjarenplan informatiebeveiliging / ISMS
Binnenkort willen we overgaan op de invoering van een ISMS-systeem. Een ISMS (information security managementsysteem) is het systematisch managen van
gevoelige bedrijfsinformatie, zodat deze veilig blijft. Het omvat mensen, processen en IT-systemen en informatie met behulp van een cyclisch en iteratief
risicobeheerproces. Het ISMS-proces kan gezien worden als een PDCA-cyclus (Plan-Do-Check-Act) voor informatiebeveiliging.

De start daarvoor is het opstellen van een meerjarenplan Informatiebeveiliging voor de jaren 2021-2025. Dit plan dient drie doelen:

1. Het eerste doel van dit meerjarenplan is om de BIO (Baseline Informatiebeveiliging Overheid) succesvol gemeente breed te implementeren op basisbeveiligingsniveau 2 (BBN);
2. Het tweede doel van dit meerjarenplan is de verdere volwassenheidsgroei van onze gemeentebrede informatiebeveiliging (aanvullend op het BIO BBN) van
   volwassenheidsniveau 1 in 2022 naar minimaal niveau 3 in 2025, waarmee we dit aansluiten op het vastgestelde Veense strategisch privacybeleid;
3. Het derde doel is het periodiek opstellen en actualiseren van een goede interne/externe dreigingsanalyse voor de informatiebeveiliging van Veenendaal op basis van het landelijke dreigingsbeeld van de IBD. Op basis van deze analyses, willen we periodiek het strategisch, tactisch en uitvoerend beleid en de bijbehorende maatregelen uitvoeren, monitoren en evalueren.

Het college heeft de ambitie om zo snel mogelijk op het beoogde veiligheidsniveau 3 te komen. De huidige financiële ruimte binnen de gemeente is momenteel echter beperkt. Toch wil het college deze ambities zo goed mogelijk realiseren, gelet op de grote risico’s tijdens de wapenwedloop met de cybercriminaliteit voor de gemeente en de maatschappij. Om op alle punten te voldoen aan de eisen die gesteld worden op het gebied van de informatievoorziening zullen hoge kosten gemaakt moeten worden. Een globale becijfering laat zien dat het jaarlijks om € 0,5 miljoen gaat. Gelet op de problemen met hackers in de dagelijkse praktijk heeft dit onderwerp hoge prioriteit; denk bijvoorbeeld aan de ransomware-aanvallen bij gemeente Hof van Twente en Universiteit Maastricht. Het meerjarenplan - dat eind 2021 wordt opgesteld - houdt hier rekening mee en zal de prioritering bepalen.

AVG

De Algemene Verordening Gegevensbescherming (AVG) gaat over het goed beschermen van persoonsgegevens. De Autoriteit Persoonsgegevens (externe toezichthouder) luidt om die reden ook de noodklok, zij ziet een explosieve toename van hacks en datadiefstal. Persoonsgegevens zijn steeds vaker het doelwit geworden van criminelen. Dit zorgt ervoor dat voldoen aan de AVG een continue proces is waarin we de risico`s vaststellen en daarbij ook maatregelen om deze te mitigeren.

Het nieuwe Strategisch beleidskader Privacy is vastgesteld waarin een meer risico-gestuurde aanpak centraal staan. Privacy vormt (naast informatiebeveiliging, archivering en rechtmatigheid) een van de vier pijlers van het Veense kwaliteitssysteem voor de gemeentelijke organisatie en bedrijfsvoering. Hierin komen de normen terug die nodig zijn voor een goede naleving op de AVG. De normen zijn vertaald naar normen op organisatie niveau, maar ook op het niveau van applicaties als ook op het niveau van processen. Het sturen op risico`s als ook de nodige maatregelen borgen wordt de komende jaren het aandachtspunt. Hierin wordt voornamelijk samengewerkt met informatiebeveiliging als ook met archivering, vanwege de overlapping in de disciplines. Daarnaast voeren we de andere wettelijke verplichtingen van de AVG uit zoals rechten van de betrokkene, datalekkenprocedure, register van verwerkingen etc.

De reikwijdte van de verantwoordelijkheid van de gemeente gaat over alle interne processen maar ook over alle processen die we uitbesteden aan derden (verwerkers). Intern wordt er gewerkt met de three lines of defence model, waarin een goede vertegenwoordiging van de tweede lijn noodzakelijk is voor het adviseren en helpen uitvoeren van alle werkzaamheden. Maar we moeten ook regie uitoefenen op de risico`s bij de verwerkers, juist om te voorkomen dat we daar niet in control zijn. Voor de tweede lijn op een goede wijze uit te voeren wordt er structurele formatie uitbreiding gevraagd. Dit is noodzakelijk voor de wens om naar risico gestuurd te gaan werken en ondersteuning te bieden aan de teamleiders hiervoor. Daarnaast wordt er door team control budget gevraagd om audits of risico analyses uit te voeren.  Uitgegaan wordt van 4 audits per jaar waarbij de focus ligt op hoog risico verwerkingen en leveranciers zoals IoT (Internet of Things), interne audit WPG (Wet politiegegevens met name voor de ondersteunende cloud applicatie) als ook verwerkingen met complexe samenwerkingsverbanden of data-uitwisselingen. Voorgesteld wordt om vanaf 2022 jaarlijks  € 20.000 te ramen voor de uitvoering van deze audits.

Thema III - Middelen
Geen bijzonderheden te benoemen binnen dit thema.

Thema IV - Advisering en detachering
Geen bijzonderheden te benoemen binnen dit thema.

Thema V - Bedrijfsvoering algemeen

Rechtmatigheidsverklaring (In Control Statement)
In 2021 zijn we gestart met een pilot voor een rechtmatigheidsverklaring (een verantwoording gericht op de financiële rechtmatigheid en hantering van wettelijke normen). Het implementeren hiervan vraagt een belangrijke focus op kwaliteit en de controle daarop. Dat zal betekenen dat de bestaande interne controlefunctie beter verankerd zal moeten worden in de gehele organisatie. Dit vraagt aandacht van alle teams om een doorontwikkeling te maken en ook de nodige inzet en capaciteit hiervoor vrij te maken. Daarnaast zal voor het jaar 2022 en volgende jaren de gemeente moeten vaststellen in hoeverre ze willen doorgroeien naar een in control statement en wat het ambitieniveau hierin is. 

Wet open overheid
De Wet open overheid (Woo) betreft de beoogde opvolger van de Wob, de Wet openbaarheid van bestuur. Op 26 januari 2021 heeft de Tweede Kamer een herziene versie van Woo aangenomen. De Eerste Kamer heeft het voorstel op 13 april jl. in commissieverband besproken en vragen gesteld aan de minister. De verdere behandeling moet nog plaatsvinden. Als de wet wordt aangenomen zullen veel meer documenten dan voorheen actief moeten worden geopenbaard en online voor eenieder beschikbaar moeten worden gemaakt. Deze documenten zullen soms gedeeltelijk moeten worden geanonimiseerd. Er zullen onder andere maatregelen moeten worden getroffen om digitale informatie duurzaam toegankelijk te maken, er zal beleid moeten worden opgesteld over openbaarheid en hierover zal jaarlijks verantwoording moeten worden afgelegd. De organisatie zal dusdanig moeten worden ingericht dat aan de eisen van de wet wordt voldaan en vragen van burgers over de beschikbaarheid en vindplaats van informatie binnen de gemeentelijke organisatie kunnen worden beantwoord.

Voor het actief openbaar maken van de verplichte informatiecategorieën moet de gemeente straks gebruik maken van een centrale publicatievoorziening genaamd PLOOI (Platform Open Overheidsinformatie), beheerd door het BZK-agentschap UBR|KOOP.

Er komt een landelijk adviescollege openbaarheid en informatiehuishouding; een geschillencommissie. Deze nieuwe procedure staat naast de al bestaande bezwaarprocedure.

Documenten met persoonlijke beleidsopvattingen uit intern beraad worden straks minder beschermd. Bij stukken bestemd voor ‘formele bestuurlijke besluitvorming’ moeten beleidsopvattingen straks standaard worden geopenbaard in niet tot personen herleidbare vorm.

Het betreft hier een organisatievraagstuk dat betrekking heeft op informatiebeheer, archivering, openbaarmaking en waarbij tegelijkertijd privacyaspecten een rol zullen spelen. Naast organisatorische inbedding zullen naar verwachting ook applicaties nodig zijn voor uitvoering.

Vooralsnog gaat de VNG er van uit dat het voorstel begin 2022 in werking zal treden, alhoewel een iets later tijdstip niet helemaal is uitgesloten. Voor de uitvoering van de Woo komt geld beschikbaar.

De VNG geeft op haar website aan dat er voor de uitvoering van de Wet open overheid voor gemeenten een bedrag beschikbaar komt van € 164 miljoen waarvan structureel € 42,1 miljoen per jaar en incidenteel € 121,9 miljoen. Wat dit voor Veenendaal gaat betekenen in financiële zin is nu nog niet duidelijk.

Inkoop
In 2020 is op basis van de keuze voor domeininkoop formatie toegekend aan inkoop. Eerste prioriteit is het invullen van de vacatures. Dit blijkt in de praktijk toch lastig te realiseren. De verwachting is dat in 2021 het team op sterkte komt. Daarnaast lag de prioriteit afgelopen jaar bij het vinden van een plek binnen de organisatie en het betrokken worden bij inkooptrajecten, het vullen van een gemeentebrede inkoopkalender en het harmoniseren van processen en formats. Hier zijn grote stappen in gemaakt. Komend jaar zal hier verder aan gewerkt worden. Daarnaast ligt de focus de komende jaren op de inrichting van een ‘tenderboard’ en het professionaliseren van het contractmanagement in de domeinen.