Visie en beleid ten aanzien van onze bedrijfsvoering
Het gemeentelijke takenpakket verandert voortdurend. De transformaties in het sociaal domein en de Omgevingswet zijn daarvan belangrijke voorbeelden. Maar de financiële mogelijkheden blijken tegelijkertijd niet oneindig. De overheid gaat mede daarom steeds meer uit van zelfredzaamheid van inwoners. De gemeente ontwikkelt zich bij de realisatie van initiatieven steeds meer naar één van de maatschappelijke partijen. En niet meer als de gemeente die 'van bovenaf' bepaalt wat goed is.
De gemeentelijke ambities en het veranderende takenpakket stellen hoge eisen aan de kwaliteit van de ambtelijke organisatie. 2023 heeft laten zien dat deze druk op de ambtelijke organisatie soms knelt. Dit is de reden dat in 2024 een beeld wordt gemaakt van de organisatie om te komen tot een verbetering.
De organisatiestructuur
Onze organisatiestructuur is afgeleid van het zogenoemde directiemodel. De organisatie staat onder algemene leiding van de gemeentesecretaris, die tevens algemeen directeur is. De ambtelijke organisatie bestaat uit drie afdelingen: de fysieke pijler, de sociale pijler en de bedrijfsvoeringspijler. Binnen de pijler bedrijfsvoering is in 2023 een gewijzigde structuur ingevoerd. Tevens is de controlfunctie als onafhankelijk team onder de gemeentesecretaris – algemeen directeur komen te vervallen. Met deze wijzigingen zijn diverse verbeterstappen beoogd en daarop zal in 2024 worden voortgeborduurd.
We hechten waarde aan een compacte en efficiënte organisatie en aan een gezonde bestuurs- en organisatiecultuur waarin lef, professionaliteit, samenwerken, resultaat, klantgerichtheid en plezier kernbegrippen zijn. We zetten in op betrouwbaarheid en toegankelijkheid van zowel bestuur als organisatie. We ontwikkelen de gemeentelijke organisatie verder richting een wendbare organisatie, die goed kan blijven inspelen op toekomstige ontwikkelingen en waarbij verbinding met inwoners, bedrijven en maatschappelijke organisaties cruciaal is. We hebben oog voor de wensen van onze klanten en reageren daar adequaat op door in mogelijkheden en kansen te denken en niet in onmogelijkheden of bedreigingen.
De medewerkers
In het strategisch HR-beleid 2021 t/m 2023 is onze HR-visie vastgelegd: onze medewerkers zijn goed toegerust om te kunnen werken, nu en in de toekomst. Onze organisatie en medewerkers zijn wendbaar en staan in verbinding met collega’s en klanten. We bouwen de kernkwaliteiten ‘wendbaar’ en ‘verbindend’ verder uit, koesteren ze en zijn hier ook zuinig op. We werken in een inspirerende en prettige werkomgeving en vinden het welbevinden van onze medewerkers belangrijk.
We werken hier concreet aan door in te zetten op (1) duurzame inzetbaarheid, (2) regionale samenwerking en (3) een inspirerende, prettige en uitdagende werkomgeving en welbevinden van medewerkers. Het strategisch HR-beleid is in 2023 voor de daaropvolgende jaren herijkt en daarin worden actuele en voorziene ontwikkelingen meegenomen.
We hebben in 2023 geïnvesteerd in het werkgeversmerk van onze gemeente. Het wervings- en selectieproces is geactualiseerd en er is een start gemaakt met een onboarding programma. In 2024 gaan we dit op diverse onderdelen verder doorontwikkelen en investeren we ook verder in het binden en boeien van medewerkers. Het onderwerp strategische personeelsplanning is vanwege prioriteitstelling doorgeschoven naar 2024. Daarnaast gaan we ook een strategisch opleidingsplan ontwikkelen om bij te dragen aan de duurzame inzetbaarheid van onze medewerkers. Tevens wordt deelname aan het regionaal Traineeship gecontinueerd. Ook is een start gemaakt met het verbeteren van het hybride werken en dit gaat in 2024 verder vorm krijgen.
In 2023 heeft de gemeente zich in het kader van vitaliteit aangesloten bij de ambitie ‘Gezonder voedingsaanbod in gemeentehuizen en provinciehuizen 2021-2025’ van de VNG en diverse gemeenten. Ook is een tijdelijke rookplek als gevolg van het grotendeels rookvrij maken van het gemeentehuis de definitieve plek geworden. Daarnaast is een helpdesk voor financiële vragen en zorgen beschikbaar gesteld en konden medewerkers aan diverse workshops op het gebied van vitaliteit deelnemen.
Doorontwikkeling van de organisatie
De ontwikkelingen die in deze paragraaf benoemd zijn, laten zien dat de eisen aan de gemeentelijke organisatie onverminderd hoog blijven. We werken daarom verder aan de doorontwikkeling van de organisatie, die gericht is op het versterken van de wendbaarheid en de verbindingen binnen en buiten de organisatie.
In de Begroting 2023 en meerjarenraming 2024-2026 is het besluit genomen om de ambtelijke organisatie blijvend te versterken door de formatie uit te breiden. Voor het invullen van de nieuwe vacatures die hierdoor zijn ontstaan, is een wervingscampagne opgezet en uitgevoerd. Daarbij is het werkgeversmerk van Neder-Betuwe versterkt, is een effectiever werving- & selectieproces ingericht en is er een start gemaakt met een onboarding programma voor de nieuwe collega’s. Hierdoor is het gelukt om nieuwe collega’s aan te nemen, ingehuurd personeel in dienst te nemen en interne medewerkers door te laten stromen. Op onderdelen zijn externen ingehuurd. Met deze acties is het gelukt om de extra beschikbaar gestelde formatie zo goed als volledig in te vullen.
Met deze formatie-uitbreiding heeft de organisatie een eerste stap kunnen zetten in haar toekomstbestendigheid. Maar toekomstbestendigheid is een continu aandachtspunt voor een kleine gemeente. Daarom is er blijvend aandacht nodig voor de ontwikkelingen die de komende jaren op ons af komen en wat die van ons vragen, de kwetsbaarheden die we hebben en de manier waarop we die kunnen verminderen.
Digitalisering, privacy en informatiebeveiliging
Informatie wordt steeds belangrijker. Ook voor onze gemeente. De schaalgrootte van onze gemeente vraagt echter om duidelijke keuzes. Ten aanzien van de ontwikkelingen en investeringen gelden dan ook de volgende uitgangspunten:
- We bieden een veilige omgeving. Burgers, ondernemers en medewerkers mogen er op vertrouwen dat hun gegevens veilig zijn en niet kunnen worden benaderd door onbevoegden.
- We bieden continuïteit. In het geval van calamiteiten bieden wij de noodzakelijke ondersteuning om de essentiële informatievoorziening binnen 48 uur beschikbaar te krijgen. Dit biedt garanties voor het functioneren van ‘de veiligheidsdriehoek’ en de kritische registraties van de gemeente.
- We voldoen aan wet- en regelgeving. Het betreft hier onder meer de wet- en regelgeving gericht op archief, privacy, security en de uitvoering van de wettelijke informatietaken.
- We bieden onze medewerkers hoogwaardige informatievoorziening die hen in staat stelt om effectief en efficiënt invulling te geven aan de toegewezen taken.
Om dit te kunnen realiseren moeten we de basis versterken. Dat wil zeggen:
- We optimaliseren het beheer en onderhoud van onze informatievoorziening door het versterken van de I&A-organisatie, het efficiënter maken van onze dienstverlening aan de interne organisatie, het vergroten van het inzicht in de middelen die wij beheren en het versterken van het applicatiebeheer in de afdelingen;
- We werken aan het beheerst doorontwikkelen van de informatievoorziening. Anders gezegd: we streven naar weloverwogen, onderbouwde aanpassingen van en uitbreidingen op onze informatievoorziening. Daarmee verlagen we risico’s en zorgen we dat onze informatievoorziening aan blijft sluiten op de strategische doelstellingen van de gemeente.
Informatiebeveiliging en privacy (IB)
Net als vele organisaties hebben de Gemeenten ook te maken met een groeiende cyberdreiging. Om de privacy en de beveiliging van de gegevens van onze burgers zo goed mogelijk te beschermen sturen, we aan de hand van Informatiebeveiligings-, privacy-beleid op een continu verbeterende weerbaarheid tegen de cyberdreigingen en bescherming van onze gegevens. De
doorlopende implementatie van de BIO (Baseline Informatiebeveiliging Overheid) is hier een belangrijk ondersteunend instrument.
Informatiebeveiliging
Als onderdeel van de Baseline Informatiebeveiliging Overheid (BIO) is enige tijd geleden een risicoanalyse uitgevoerd op onze weerbaarheid. Dat heeft geresulteerd in een nog steeds relevante risicokaart (Heatmap) welke goed inzicht geeft om gericht een aantal risico’s verder aan te pakken. We hebben een goede verdediging tegen dreigingen op internet en ook onze gegevensopslag (back-up) is veilig. Dit betekent niet dat we, net zoals elke andere organisatie, onkwetsbaar zijn. We kunnen herstellen van een ernstig cyberincident, maar dat vraagt wel de nodige inspanning.
Afgelopen jaar hebben we onze focus verlegd naar een meer diepgaande verdediging binnen onze IT-infrastructuur. Dit heet segmentatie: het in kleine goed beschermde onderdelen verdelen van onze infrastructuur. Dit is relevant voor het geval een kwaadwillende toch onverhoopt toegang weet te verkrijgen. Het is dan van groot belang zijn of haar bewegingsruimte maximaal in te perken zodat toegang tot gevoelige gegevens ontzegd kan worden. Nog verdergaande maatregelen zullen genomen worden met de vernieuwing van de infrastructuur. Zo werken we er voortdurend aan de impact van een cyber-incident en de inspanning voor herstel zo klein mogelijk te maken.
Ook in 2023 is de Eenduidige Normatiek Single Information Audit (ENSIA) uitgevoerd, waarbij we met zelfevaluaties (zowel intern als extern) aantonen in de basis onze informatiebeveiliging op orde te hebben. Specifieke onderdelen zijn:
- SUWInet (een systeem waarin gemeente met overheidsinstanties informatie over inwoners deelt conform de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI))
- de op DigiD aangesloten webapplicaties van de gemeente (met Digitale Identiteit (DigiD) kan een inwoner laten zien wij hij/zij is als hij/zij op internet bij een (semi) overheidsorganisatie iets wil regelen).
De externe IT-auditor heeft vastgesteld dat we aan alle gestelde normen voldoen.
Privacy
Daar waar informatieveiligheid vooral gaat om de bescherming van àl onze gegevens, ligt de focus bij privacy vooral op persoonsgegevens. In die zin is privacy meer compliance gericht (voldoen aan wetgeving) en informatieveiligheid gericht op cyber security. Vanuit AVG (Algemene verordening gegevensbescherming) wetgeving werkten we aan het waarborgen van de privacyregelingen bij de door ons beheerde persoonsgegevens van onze inwoners en derden. Dit deden we onder andere door de kennis en vaardigheden op niveau te houden bij huidige en nieuwe medewerkers.
Hiermee dragen we eraan bij dat we risico’s voorkomen, door adequate kennis en inzichten. En daarnaast tijdig mogelijke risico's identificeren om er zo vooraf op te kunnen acteren. In het kader van het voortdurend periodiek onderhoud aan onze privacy processen, reviewen we beleid en uitvoering. Denk hierbij aan het privacy beleid, verbetering privacy processen (registers, verantwoording). Een belangrijke en positieve ontwikkeling binnen de organisatie is dat de nieuwe medewerkers de aangeboden e-learningsmodulen (gefaciliteerd door SEP) volgen en de betreffende certificaten halen. Verder is het verwerkingsregister geactualiseerd en hebben wij een belangrijk doel bereikt.
Incidenten
Bij het nemen van maatregelen hoort ook het inzicht hebben in incidenten op het gebied van privacy en informatiebeveiliging. In 2023 zijn er in totaal 57 incidenten geregistreerd. Dat zijn er 31 meer dan in 2022. Alle incidenten zijn beperkt tot kleine voorvallen. Bij de meeste incidenten ging het om retour verzonden geopende enveloppen. De incidenten zijn afgehandeld via de procedure datalekken (via TopDesk) en in 3 gevallen is melding gemaakt bij de Autoriteit Persoonsgegevens (AP).
Samenwerking in de regio
Om een zelfstandige organisatie te kunnen blijven, is het belangrijk dat wij goed samen blijven werken in en met partners in de regio. Samenwerking in Rivierenland en in Gelderland-Zuid maakt dat we taken efficiënt kunnen uitvoeren en dat we een stevigere kwaliteit kunnen leveren. Maar het stelt de gemeentelijke organisatie ook voor uitdagingen. De benodigde gezamenlijke sturing, opdrachtformulering en afstemming maakt het tegelijkertijd ook complex. En de samenwerking aan gemeentegrens overschrijdende opgaven zoals stikstof, energietransitie en klimaatadaptatie maakt stevigere resultaten mogelijk, maar daarmee nemen ook het aantal overleggen, samenwerkingsverbanden en de bestuurlijke drukte toe.
Meer over regionale samenwerking vindt u in begrotingsprogramma 1, in de beschrijvingen van onze verbonden partijen in de respectievelijke begrotingsprogramma's en in paragraaf 5 Verbonden partijen.
Doelmatigheid en doeltreffendheid
Op basis van de Onderzoekverordening 213a Neder-Betuwe 2019 doen we regelmatig onderzoek naar de doelmatigheid en de doeltreffendheid. Jaarlijks optimaliseren we een aantal processen door continu vanuit de klantbeleving verbeteringen aan te brengen met zo min mogelijk verspilling. Daarmee proberen we de tevredenheid van klanten, medewerkers en de organisatie te verbeteren.
Deze aanpak is geen onderzoek in de gebruikelijke zin met een rapport van bevindingen en aanbevelingen. Het is wel een continu verbeterproces, waarbij het beleid en de inrichting van de processen en systemen direct worden aangepakt. Mocht er aanleiding zijn voor een specifiek onderzoek dan wordt de Rekenkamercommissie geïnformeerd. In de paragraaf Bedrijfsvoering wordt de voortgang gemonitord.
Frauderisico’s
Wij zijn ons bewust van inherente risico’s van fraude die, zowel intern als extern, worden gelopen bij het uitvoeren van de gemeentelijke taken. Het college werkt aan een frauderisicoanalyse en zet hiermee een belangrijke stap in het creëren van bewustwording omtrent dit thema. Vanuit de bedrijfsvoering is er verhoogde aandacht voor de inrichting van onze administratieve organisatie en interne beheersing (AO/IB) ten aanzien van de geïdentificeerde risicogebieden. Tevens worden de relevante geldstromen/processen betrokken in de interne controles die gedurende het jaar worden uitgevoerd.
Stakeholders van de gemeente moeten er op kunnen vertrouwen dat wij op een betrouwbare, eerlijke en zorgvuldige manier zaken doen. De gemeente beschikt over een uitgebreid scala aan zogenaamde soft controls. Iedere medewerker van de gemeente legt bij indiensttreding een ambtseed of ambtsbelofte af en overlegt een verklaring omtrent gedrag. Daarnaast beschikt Neder-Betuwe over een vastgestelde regeling en gedragscodes, onder andere op het gebied van nevenwerkzaamheden en financiële belangen, welke openbaar beschikbaar zijn. We beschikken daarnaast over een regeling melden vermoeden misstanden en in de organisatie is een vertrouwenspersoon en meldpunt ingesteld waarbij eventuele misstanden vertrouwelijk kunnen worden gemeld.
Onze (financiële) processen en systemen kenmerken zich door de aanwezigheid van functiescheidingen, zogenaamde hard controls. Hiermee voorkomen we dat slechts één persoon ongecontroleerd transacties of verplichtingen kan aangaan, autoriseren, verwerken en afwikkelen en/of zelfstandig toegang heeft tot activa.
Ondanks alle beheersingsmaatregelen resteert het risico dat management of directie maatregelen doorbreekt en het risico van samenspanning tussen medewerkers. Transparante besluitvorming, de governance structuur, een open cultuur waarbij we elkaar durven aan te spreken, de aanwezigheid van een vertrouwenspersoon om niet-integer handelen (anoniem) te melden en periodieke interne en externe audits op de naleving van beheersingsmaatregelen dragen er toe bij dat onregelmatigheden worden gesignaleerd.
De afgelopen jaren zijn er regelmatig berichten in de media over cyberaanvallen, gevallen van ransomware en datalekken. Informatiebeveiliging heeft daarom vanuit de perspectieven continuïteit, fraude en privacy een hoge prioriteit.
Tijdens de dagelijkse bedrijfsvoering vinden controles plaats om vast te stellen of gewerkt wordt volgens de daarover gemaakte afspraken, waaronder de diverse protocollen voor informatiebeveiliging. Daarnaast beoordelen de security en privacy officer de kwaliteit en naleving van de getroffen beheersingsmaatregelen. Periodiek wordt de beheersing van informatiebeveiliging getoetst, zowel intern, maar ook extern vanuit de sector. Eventuele verbeterpunten vormen de input voor verdere aanscherping en/of naleving van het informatiebeveiligingsproces.
Conclusie
Het college is van mening dat, met alle analyses en getroffen beheersingsmaatregelen, de risico’s met betrekking tot een beheerste en integere bedrijfsvoering inzichtelijk zijn en op een adequate wijze aandacht krijgen.