Paragraaf bedrijfsvoering

In deze paragraaf lichten we een aantal onderdelen toe. Het gaat om een aantal onderwerpen die we toe moeten lichten in de programmabegroting en in de jaarrekening. We staan hier in deze paragraaf wat uitgebreider bij stil dan in het programma 9. Besturen in verandering van tijden.
Het gaat om:

• De rechtmatigheidsverantwoording
• Privacy
• Informatieveiligheid
• Wet open overheid

Voor de andere actuele ontwikkelingen op het gebied van de bedrijfsvoering verwijzen we naar programma 9. Besturen in verandering van tijden.

In deze paragraaf zullen we op basis van de Kadernota rechtmatigheid van de commissie BBV en op basis van de afspraken met de raad, informatie opnemen over de financiële rechtmatigheid.

Met ingangsdatum 1 januari 2023 heeft een wetswijziging plaatsgevonden met als gevolg dat het college de rechtmatigheidsverantwoording opneemt in de jaarstukken en verantwoording aflegt over eventuele geconstateerde onrechtmatigheden. De rechtmatigheidsverantwoording houdt in dat het college verantwoording aflegt over hoe zij omgaat met geld en of dit op een juiste manier gebeurt. Tot en met het boekjaar 2022 werd hierover gerapporteerd door de accountant, per het verslagjaar 2023 laat het college zien dat zij zich aan de wet- en regelgeving houdt bij het uitvoeren van haar taken en verantwoordelijkheden. Dit is belangrijk om het vertrouwen van burgers en andere belanghebbenden te behouden en te versterken. Door middel van een rechtmatigheidsverantwoording zal het college verantwoording afleggen aan de gemeenteraad en andere toezichthouders over hoe zij haar middelen gebruikt en beheert. De accountant verstrekt dus geen rechtmatigheidsoordeel meer in de controleverklaring, maar beperkt zich tot het getrouwheidsoordeel. Dit houdt in dat de accountant wel moet vaststellen dat de opgenomen rechtmatigheidsverantwoording getrouw is verantwoord in de jaarstukken.

Eventuele afwijkingen op rechtmatigheid groter dan € 100.000 en die betrekking hebben op het begrotingscriterium, voorwaardencriterium en het criterium voor het voorkomen van misbruik en oneigenlijk gebruik zullen we in deze paragraaf opnemen. Daarbij gaat het in het kort om:

• Het begrotingscriterium: vallen de lasten binnen de begroting (incl. wijzigingen) zoals deze door de gemeenteraad is goedgekeurd. Hierbij gaan we uit (conform de kadernota rechtmatigheid) dat het overschrijden van de begroting (op programmaniveau) en van investeringen altijd onrechtmatig is, maar niet in alle gevallen hoeft te worden meegewogen in het oordeel. Dit laatste is het geval als:

• Kostenoverschrijdingen worden gecompenseerd door direct gerelateerde opbrengsten.
• Kostenoverschrijdingen passen binnen het beleid.
• Kostenoverschrijdingen het gevolg zijn van openeinderegelingen.

• Het voorwaardencriterium: alle financiële beheershandelingen zijn verricht in overeenstemming met (externe en interne) wet- en regelgeving. Belangrijk onderdeel daarbij is of we als gemeente voldoen aan inkoop en aanbestedingsbeleid (norm voor Europese aanbestedingen).
• Het misbruik & oneigenlijk gebruik (M&O) criterium: het college heeft voldoende waarborgen genomen om te voorkomen dat als gevolg van misbruik of oneigenlijk gebruik van wet- en regelgeving ten onrechte overheidssubsidies of -uitkeringen is verleend of een te laag dan wel geen bedrag aan heffingen aan de gemeente is betaald. 

Van de afwijkingen (rechtmatigheidsfouten en onduidelijkheden qua rechtmatigheid) die niet in overeenstemming zijn met de door de gemeenteraad vastgestelde richtlijnen zullen we beschrijven welke actie zijn of worden ondernomen om eventueel vermelde afwijkingen in de toekomst te voorkomen. Dit betreffen bijvoorbeeld afwijkingen op gemeentelijke verordeningen of relevante wet- en regelgeving.

We zien als gemeente de snelle ontwikkeling wat betreft de inzet van kunstmatige intelligentie en robotisering van processen. En de toenemende kansen om de data die we beheren zo in te zetten dat we hiermee beter beleid kunnen maken en betere dienstverlening kunnen bieden aan onze inwoners en ondernemers. Inspelen op deze kansen vraagt van ons wel een groeiend besef van verantwoordelijkheid voor het beheer en gebruik van deze gegevens.
Gelijktijdig hebben we te maken met de stevige inrichtingseisen die als gevolg van de (Europese) digitaliseringsagenda op onze organisatie afkomen. Privacy en gegevensbescherming zullen, als gevolg van deze ontwikkelingen, in toenemende mate om kennis en capaciteit vragen. Zowel nu als ook in de komende jaren. Daarom is het belangrijk om ervoor te zorgen dat we klaar te zijn voor de nu al bekende ontwikkelingen in Europese wet- en regelgeving. Een versterking van de samenwerking tussen de verschillende informatiespecialisaties -gegevensbescherming, informatiebeveiliging en informatiebeheer- is daarbij noodzakelijk.

Het afgelopen jaar hebben we fors geïnvesteerd in het verder op orde brengen van de privacy huishouding van onze organisatie. Deze investering heeft concreet bijgedragen aan het vergroten van de privacy volwassenheid binnen onze gemeente. We zijn er echter nog niet. Voor de periode 2025-2028 hebben we nog de nodige doelen te behalen om gegevensbescherming duurzaam te integreren in de organisatie.

Voor privacy- en gegevensbescherming betekent deze ontwikkeling het volgende voor onze prioritering voor de komende jaren:

1. Het aansluiten bij de landelijk ontwikkelde borgingsmethodiek om onze ontwikkeling in privacy volwassenheid beter inzichtelijk-, meetbaar en aantoonbaar te maken.
2. Het evalueren, aanvullen en actualiseren van gemeentelijk beleid, procedures en werkwijzen.
3. Het actualiseren van de gemeentelijke website om effectiever te voldoen aan onze transparantieverplichtingen. 
4. Het verder uitbouwen van de samenwerking tussen gegevensbescherming, informatiebeveiliging en informatiebeheer.
5. Het opstellen van een vorm om gegevensbescherming actief op te nemen in de PDCA-cyclus.
6. Het door-ontwikkelen van gegevensbescherming als regulier onderdeel van kwaliteitszorg binnen gemeentelijke processen.

We begrijpen hoe belangrijk het is om de informatie van onze inwoners, ondernemers en partners goed te beschermen. Vertrouwen in een betrouwbare overheid is cruciaal, vooral nu digitale veiligheid steeds belangrijker wordt.

Hoewel we technisch al veel hebben bereikt, is verdere verbetering nodig om de basis van informatiebeveiliging te versterken. De ENSIA-rapportage 2023 en het recente ‘Dreigingsbeeld Nederlandse Gemeenten 2023-2024’ tonen aan dat extra maatregelen noodzakelijk zijn. Gemeenten worden steeds vaker doelwit van cyberaanvallen zoals ransomware en phishing, wat de urgentie van sterke beveiligingsmaatregelen onderstreept. We kampen bovendien met een groeiende achterstand in beveiligingsmaatregelen, wat het waarborgen van de veiligheid van systemen en gegevens bemoeilijkt. Ondanks voortdurende inspanningen om deze achterstand te verkleinen, maken veranderende regelgeving en nieuwe richtlijnen dit steeds uitdagender.

Om aan de vereisten van de Baseline Informatiebeveiliging Overheid (BIO) en de NIS2-richtlijn te voldoen, is een uitbreiding van 2,5 fte noodzakelijk. Dit stelt ons in staat om de achterstand in te halen en voorbereid te zijn op toekomstige uitdagingen.

Belangrijkste aandachtspunten:
Plan van aanpak NIS2-richtlijn: opstellen van een plan van aanpak om te voldoen aan zorg- en meldplicht, en om Oss voor te bereiden op intensievere controles.

• Procesautomatisering (PA) of Operational Technology (OT): versterken van de beveiliging van operationele systemen, zoals camera’s en verkeerslichten.
• Bedrijfscontinuïteitsbeheer: ontwikkelen en regelmatig bijwerken van bedrijfscontinuïteitsplannen om de continuïteit van kritieke processen te waarborgen.
• Leveranciersmanagement: beheersen van risico’s door beter beveiligingsbeheer bij leveranciersmanagement.
• Bewustwording: uitrollen van een bewustwordingsprogramma en integratie van informatiebeveiliging in het onboarding-proces.
• Informatiebeveiligingsmanagementsysteem (ISMS): implementatie van een ISMS om risico’s te evalueren en beveiligingsmaatregelen te optimaliseren.
• Toezicht en verantwoording: opzetten van een robuust toezichtsysteem om te voldoen aan verantwoordingseisen en toekomstige audits te doorstaan.

Met deze maatregelen zetten we belangrijke stappen om onze informatiebeveiliging te versterken en te voldoen aan de toekomstige eisen. Bovendien versterken we zo onze rol als betrouwbare overheid.

De Wet open overheid (Woo) regelt het recht op informatie over alles wat de overheid doet. Het is de opvolger van de Wet openbaarheid van bestuur (Wob). Naast verbetering van de informatiehuishouding van de overheid beoogt de Woo de toegang tot overheidsinformatie voor iedereen te vergroten door de actieve openbaarmaking te bevorderen. Dit betekent dat de overheid uit zichzelf de wettelijk aangewezen categorieën documenten pro-actief openbaar moet maken. In de Woo blijft daarnaast de mogelijkheid bestaan om de overheid te verzoeken om documenten, die nog niet (actief) openbaar zijn gemaakt, alsnog openbaar te maken, zoals ook onder de Wob al het geval was.

De Woo rust op drie pijlers:

1. Passieve openbaarmaking (Woo-verzoek): In 2023 is er een Woo-contactpersoon aangewezen om vragen van inwoners te beantwoorden. Woo-verzoeken kunnen elektronisch worden ingediend via een formulier op de website. De ontvangen Woo-verzoeken worden ook gepubliceerd op de website www.oss.nl/woo .
2. Actieve openbaarmaking: Op termijn moeten bepaalde categorieën informatie actief openbaar worden gemaakt volgens de Wet open overheid. Daarnaast is er een inspanningsverplichting om ook andere documenten actief openbaar te maken waar mogelijk. In 2024 zijn inmiddels de categorieën klachtoordelen, Organisatie- en bereikbaarheidsgegevens en Raads- en Collegestukken gepubliceerd. Publicatie van Convenanten en Onderzoeken wordt in 2024 gerealiseerd. In 2025 zullen meer categorieën verplicht worden.

Er is aansluiting op de Woo-index en we werken aan de implementatie van een publicatieplatform.

3. Informatiehuishouding: Informatie is cruciaal voor het functioneren van de overheid en de verantwoording in onze democratie. Het beheer en gebruik van informatie moeten goed worden geregeld. Er zijn stappen gezet om informatiebeheerplannen te implementeren, waarin de stand van zaken en aanbevelingen voor verbetering worden vastgelegd. In 2025 wordt er verder gewerkt aan het verfijnen van informatiebeheerplannen. In 2024 is M365 verder uitgerold en zal waar mogelijk geschikt gemaakt worden als archiefomgeving; dit gebeurt ook met een toenemend aantal vakapplicaties.  Ook de doorontwikkeling van het zaaksysteem en het centrale DMS eDocs voor archivering en de verbetering van de samenhang en afstemming van applicaties binnen de informatiearchitectuur zal in 2025 verder verbeterd worden.

Behalve deze acties zal zeker ook de bewustwording in de organisatie van wat werken voor de openbaarheid betekent de komende jaren een punt van aandacht zijn.