Informatiemanagement en data
In 2023 is de nieuw aangetrokken informatiemanager gestart met het samenstellen van een ICT portfolio. Hiervoor worden de behoeften in de organisatie op het gebied van informatiemanagement in kaart gebracht en ook gekeken naar de al lopende projecten. Het CMT neemt vervolgens gezamenlijk een besluit als er een nieuwe applicatie wordt aangeschaft. Bij de aanschaf van een applicatie wordt in een businesscase gelijk gelet op de eisen ten aanzien van archivering, privacy en informatiebeveiliging. Dit is een nieuw proces voor de organisatie en in 2024 wordt gewerkt aan de verdere inbedding hiervan.
Integriteit
De gemeente Capelle aan den IJssel is een betrouwbare partner voor haar inwoners, ondernemers, andere organisaties en andere overheden. Wij zijn een integere gemeentelijke organisatie, waar sprake is van een veilige werkomgeving met voldoende aandacht voor de bevordering van het integriteitsbewustzijn en voor voldoende ruimte om in een open cultuur dilemma’s en risico’s te bespreken. Integriteit is een onlosmakelijk onderdeel van de professionaliteit van alle ambtenaren, bestuurders en politieke ambtsdragers. Wij houden nadrukkelijk oog voor de rol van de overheid die toeziet op het naleven van wet- en regelgeving. De gemeente beschikt over een beleidsplan bestuurlijke en ambtelijke integriteit en ter uitvoering daarvan een jaarplan bestuurlijke integriteit en een jaarplan ambtelijke integriteit. De voor 2023 geplande actualisering van deze plannen hebben wij niet kunnen realiseren en hebben wij doorgeschoven naar 2024 om uit te voeren onder regie van de nog aan te trekken coördinator (ambtelijke en bestuurlijke) integriteit, voor welke functie uw raad in de begroting 2024 e.v. gelden beschikbaar heeft gesteld.
Privacy
Privacy en informatiebeveiliging zijn de verantwoordelijkheid van de hele organisatie en verdienen een ieders volle aandacht en awareness. In 2023 is hard gewerkt aan de organisatorische inbedding van beleid en uitvoering van privacy en informatiebeveiliging. Zo hebben we keuzen gemaakt tav welke tools wij gebruiken voor het (wettelijk verplichte) register van verwerkingen van persoonsgegevens en voor het uitvoeren van (pre-)dpia's (data protection impact assessment; een instrument om vooraf te privacy risico's van een gegevenswerking in kaart te brengen zodat wij tijdig maatregelen kunnen treffen om deze risico's te verkleinen). Ook hebben wij een start gemaakt met het opstellen van procesbeschrijvingen om daarmee meer inzichtelijk te krijgen welke persoonsgegevens op welke wijze in welk proces worden verwerkt.
De komende jaren komen er grote uitdagingen op de overheid / gemeenten af. Datatechnologie en algoritmes helpen om data te kunnen analyseren en de dienstverlening aan burgers te verbeteren. Aan deze technologie en algoritmes zijn risico’s verbonden voor de privacy van burgers. De focus van de Autoriteit Persoonsgegevens ligt op ‘dataprotectie in een digitale samenleving’. De uitdaging ligt in het vinden van een goede balans tussen (privacy en digitaliserings-) wetgeving enerzijds en de toenemende inzet van datatechnologie anderzijds. Voor wat betreft die wetgeving moeten er de komende drie jaar dertien Europese digitale wetten (met betrekking tot onder andere kunstmatige intelligentie; databeheer; cybersecurity; digitale identiteit) worden geïmplementeerd. Deze wetten hebben een rechtstreekse impact op beveiliging en privacy, op de interne en externe communicatie, op organisatie en bestuur, op toezicht en handhaving, op het personeelsbestand, op de processen, juridische zaken en, uiteraard, op de informatievoorziening. Een heuse digitale transformatie die aandacht en capaciteit vergt.
Een uitdaging is er ook bij het delen van persoonsgegevens in samenwerkingsverbanden, vooral in het sociaal domein en het veiligheidsdomein. Overheden en betrokken organisaties moeten effectief kunnen samenwerken, zonder daarbij de risico’s voor de privacy uit het oog te verliezen. Privacybeleid en de naleving van dat beleid moeten daarop aansluiten.
Informatieveiligheid ICT
Het doel van informatiebeveiliging is het onverstoord laten functioneren van de business. Met o.a. een steeds verdergaande digitalisering, migratie naar de cloud , ketenautomatisering en de komst van AI is dit een steeds complexere opgave geworden. Waar een aantal jaren gelden volstaan kon worden met een firewall en een virusscanner is tegenwoordig een steeds groter arsenaal aan voorzieningen nodig om de IT-omgeving veilig te houden. Hierbij dient tevens rekeningen gehouden te worden met hoe gebruikers met voorzieningen c.q. informatie willen werken en hoe de organisatie wil dat gebruikers werken? Een balans vinden tussen wat kan en mag en werkbaar houden is hierbij lastig. Een omgeving zeer veilig maken staat hierin op gespannen voet met snel en efficiënt kunnen werken.
Om alle nieuwe dreigingen en uitdagingen het hoofd te bieden is het afgelopen jaar dan ook op een aantal fronten extra geïnvesteerd om het niveau van beveiliging nog hoger en de werking hiervan nog effectiever te krijgen. Qua investering betreft dit niet zozeer geld maar wel de inzet van techniek, bewustwording en de inbedding hiervan in de organisatie.
Het doel van ICT is om een “ Zero Trust” omgeving te hebben. Een ICT-omgeving waarbij we niets en niemand vertrouwen en alles toegang verlenen aan mensen en middelen (laptops e.d.) die bekend zijn en door ons beheerd worden. De beveiliging is immers zo sterk als de zwakste schakel.
In de toekomst zal dan ook moeten worden nagedacht over het verstrekken van devices aan iedereen die op ons netwerk wil of binnen onze omgeving wil werken.
Bewustwording
Het aantal phishing incidenten is wereldwijd aan het toenemen. Dat is ook logisch want phishing is vaak de eerste stap die criminelen zetten in het proces om een bedrijf te besmetten met ransomware of om op andere wijze geld afhandig te maken. Om te voorkomen dat de organisatie slachtoffer wordt van een phishingaanval is het belangrijk dat medewerkers alert en bewust zijn. Op dit onderdeel is ruim ingezet en geïntensiveerd. Begin dit jaar is in Capelle aan den IJssel structureel gestart met het trainen van nieuwe medewerkers op het gebied van informatiebeveiliging en privacy. Dit als onderdeel van het introductieprogramma van CapTalent. Daarnaast is aan de diverse afdelingen en Units de mogelijkheid geboden een training te ontvangen tijdens het werkoverleg. Hier is door veel units gebruik van gemaakt. De training is door de deelnemers als zeer nuttig ervaren. De effecten zijn ook duidelijk terug te zien in het (meldings)gedrag van de medewerkers ten aanzien van (gesimuleerde) phishingberichten. Daarnaast is aan het einde van het jaar nog geïnvesteerd in een systeem waarmee door de medewerkers gemelde phishingberichten sneller afgehandeld kunnen worden. Dit met het doel het effect van een kwaadaardige phishingcampagne zo snel als mogelijk te neutraliseren.
Pentest
In de maand augustus heeft de jaarlijkse pentest plaatsgevonden. Tijdens het pentesten kruipt een ethische hacker in de huid van een cybercrimineel en probeert op deze manier binnen te dringen tot de site, applicatie of IT-systemen van een organisatie. Het doel van pentesten is het achterhalen van risico's en zwakheden binnen de geteste omgeving. De resultaten hiervan zijn positief. Zo zijn de onderzoekers niet in staat gebleken om binnen afzienbare tijd toegangsrechten te verhogen tot die van Domain Administrator. De Domain Administrator is die persoon binnen de organisatie die geautoriseerd is om veranderingen aan te brengen die impact hebben op de computers van alle medewerkers. Ook is het de onderzoekers niet gelukt om toegang te krijgen tot de backup omgeving of om deze te beïnvloeden of aan te tasten. Wel kan gesteld worden dat, na het verkrijgen van Domain Admin rechten, een aanvaller met voldoende tijd zijn kans af kan wachten om de Backup alsnog te bereiken. Met deze rechten is het ook mogelijk om dusdanig lang in de omgeving van IJsselgemeenten te blijven, om zo ook alle persistente malware in de back-ups te laten opnemen. Dit valt echter buiten het profiel van een hedendaagse ransomware actor.”
Door de onderzoekers is nog wel een aantal aanbevelingen gedaan om het niveau van beveiliging nog hoger te krijgen. Deze zijn met name technisch van aard. Implementatie hiervan is reeds opgestart.
Daarnaast is aangegeven dat het wachtwoordbeleid aangescherpt kan worden. Ondanks een wachtwoordlengte van 15 karakters bleken een relatief groot aantal wachtwoorden van gebruikers gekraakt te kunnen worden. Dit komt enerzijds door de verbeterde mogelijkheden om wachtwoorden te kraken maar ook door een “slechte” wachtwoordkeuze van de gebruikers. Zo worden in veel gevallen standaard woorden aangevuld met cijfers om aan de 15 karakters te komen. Dit is bekend gedrag en wordt dus ook toegepast binnen de kraakprogramma’s. Het is dus noodzakelijk om de gebruikers te informeren over deze situatie en aan te sporen betere wachtwoorden aan te maken. In dit verband wordt sinds enige tijd de tip meegegeven om een wachtwoordzin aan te maken in plaats van een lang wachtwoord.
In november/december heeft tevens een tweede pentest plaatsgevonden. Deze was specifiek gericht op het opsporen van kwetsbaarheden in de Microsoft 365 omgeving. Het resultaat van deze test is vergelijkbaar met de in augustus uitgevoerde test: de beveiliging is op orde maar kan op onderdelen aangescherpt worden.
Datagedreven werken
Vanuit de organisatie komen steeds vaker verzoeken om data te mogen leveren aan een externe partij waarmee een informatiedashboard kan worden opgezet. De privacy- en informatiebeveiligingsaspecten worden hierbij veelal over het hoofd gezien. In samenwerken met de afdeling Samenleving van de gemeente Capelle aan den IJssel wordt nu onderzocht op welke wijze een systeem voor het veilig delen van informatie kan worden opgezet. Uitgangspunt hierbij is dat eerst wordt onderzocht welke informatie noodzakelijk is voor het doel (dataminimalisatie) en of intern aan de vraag kan worden voldaan met behulp van eigen voorzieningen (zoals bijvoorbeeld Cognos of PowerBI).
Beveiligingsbeleid
Het huidige beveiligingsbeleid is circa drie jaar geleden vastgesteld door het college van de afzonderlijke organisaties. De Baseline informatiebeveiliging Overheid (BIO) vereist dat dit beleid om de drie jaar wordt geactualiseerd. Deze actualisatie, gebaseerd op een standaard document van de VNG, is uitgevoerd en is door de colleges vastgesteld.
Data Protection Impact Assessment/ Gegevensbeschermingseffectbeoordeling (DPIA)
Op grond van de BIO/ AVG dient op risicovolle nieuwe en op risicovolle bestaande processen/applicaties een DPIA te worden uitgevoerd. Gebleken is dat afdelingen het moeilijk vinden om de DPIA daadwerkelijk op te starten. In overleg met Algemeen directeur is tijdens het breed MT afgesproken dat GR-ICT het voortouw neemt in het initiëren van DPIA’s op bestaande processen en applicaties. Het initiatief tot het uitvoeren van DPIA’s op nieuwe processen/ applicaties ligt bij de afdeling die gegevens-, proceseigenaar is. De CISO’s ondersteunen waar nodig.
Zero trust
Het zero trust concept is een benadering van beveiliging waarbij er geen vertrouwen wordt gegeven aan een netwerk of een gebruiker, tenzij dit specifiek is bevestigd. Dit betekent dat elk verzoek om toegang tot netwerkbronnen wordt geauthentiseerd en geautoriseerd, ongeacht of de verzoeker zich binnen of buiten het netwerk bevindt. Het zero trust-concept is bedoeld om cyberbedreigingen te voorkomen door het beperken van de aanvalsoppervlakte en het versterken van de beveiliging van individuele netwerkbronnen.
De hierboven beschreven onderwerpen dragen voor een deel bij aan dit concept. Aanvullende onderdelen in dit verband zijn segmentering van het netwerk en het alleen gebruik maken van door ICT beheerde apparaten. Met de segmentering van hert netwerk is inmiddels gestart. Het gebruik van alleen door ICT beheerde apparaten is nog onderwerp van discussie. Ook in het kwetsbaarheden onderzoek betreffende Microsoft 365 is dit onderwerp aangehaald als verbeterpunt door de onderzoekers. Met name het toegestane gebruik van eigen apparatuur, in plaats van door de organisatie verstrekte apparatuur, wordt nog gezien als kwetsbaarheid c.q. een beperking van het Zero Trus concept.
Ensia
Ieder jaar dient de gemeente zich te verantwoorden over het niveau van de informatiebeveiliging van diverse informatiesystemen. Vanaf 2017 gebeurt dit via de Eenduidige Normatiek Single Information Audit (ENSIA). Deze systematiek moet het beantwoorden van de uitvraag over informatieveiligheid beter en efficiënter maken. Met ENSIA verantwoordt de gemeente zich uiteindelijk ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de gemeentelijke planning en control-cyclus. Zo krijgt het gemeentebestuur meer overzicht over de informatieveiligheid van de gemeente.
De verantwoording vindt plaats over de navolgende informatiesystemen c.q. registraties:
- Basisregistratie Personen (BRP),
- Paspoortuitvoeringsregeling (PUN),
- Digitale persoonsidentificatie (DigiD),
- Basisregistratie Adressen en Gebouwen (BAG),
- Basisregistratie Grootschalige Topografie (BGT),
- Basisregistratie Ondergrond (BRO),
- Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) en de
- Baseline Informatiebeveiliging Overheid (BIO).
Ook voor deze verantwoordingperiode (2023) behaalt de gemeente op alle onderdelen een voldoende score. Ondanks deze score blijft de gemeente op alle fronten werken aan verbetering van de informatieveiligheid. Dit omdat er continue nieuwe dreiging dreigingen ontstaan waartegen de organisatie beschermd moet worden.
Inkoop en aanbestedingen (incl. social return)
De inkoopuitgaven van de gemeente beslaan een substantieel deel van de gemeentelijke begroting. Daarmee vormt inkoop een belangrijk sturingsinstrument om gemeentelijke maatschappelijke doelen te realiseren, onder andere via het instrument van de social return. Wij willen zo doelmatig mogelijk inkopen conform de (Europese) aanbestedingswetgeving en ons eigen inkoopbeleid.
Ter uitvoering van de aanbevelingen in het Rekenkamerrapport Grip op Inkoop heeft uw raad in juli 2021 een Plan van Aanpak vastgesteld. Belangrijk onderdeel van dit Plan van Aanpak is een algehele actualisering van het gemeentelijk inkoopbeleid dat door uw raad juli 2023 is vastgesteld. Einde 2023 hebben wij uw raad geïnformeerd over de volledige afhandeling van alle aanbevelingen. Conform afspraak met uw raad hebben wij afgelopen jaar de inkoopuitgaven over 2021 en 2022 laten analyseren, zowel die van de gemeente als van GR IJSSELgemeenten. De resultaten van deze 'inkoopdiagnose' zullen nader met de organisatie worden besproken en opgepakt.
Conform toezegging hebben wij eind 2023 de raad geïnformeerd over de stand van zaken van lopende Europese aanbestedingen en van Europese aanbestedingen die het afgelopen jaar zijn afgerond.
Regionaal hebben wij onze bijdrage geleverd aan de evaluatie en herijking van beleid en spelregels social return. Naar verwachting zullen de nieuwe / aangepaste regels social return voor de zomer van 2024 regionaal worden vastgesteld.
HR
De ontwikkelingen op het gebied van HR in 2023:
- In 2023 was de krapte op de arbeidsmarkt nog steeds sterk voelbaar in de hele organisatie. HR heeft stevig ingezet op de professionalisering van de arbeidsmarktcommunicatie. De nieuwe vacaturesite: “werkenbijcapelleaandenijssel.nl” werpt zijn vruchten af en wordt goed gevonden. Vacatureteksten zijn volledig herzien en aangepast aan de tijd. De corporate recruiter heeft zich volledig gericht op het invullen van vacatures via diverse kanalen. Ook nieuwe kanalen zijn aangeboord. Het aantal vacatures en nieuwe medewerkers blijft (fors) stijgen. De totale uitstroom in 2023 bedroeg 65 medewerkers, de totale instroom 96. In totaal stonden er in 2023 115 vacatures open.
- In 2023 is HR21, een nieuw personeelssysteem geïmplementeerd. Wij sluiten hierbij aan bij 85% van de gemeenten waardoor wij onder andere functies (en inschalingen) beter kunnen vergelijken.
- In 2023 liep de “inhuur” volledig via een externe partij (Yacht Inhouse Services) waardoor de inhuur efficiënt en rechtmatig plaatsvindt; dit geeft vertrouwen voor de komende jaren.
- De pilot van het talentprogramma is positief afgesloten en krijgt een definitief vervolg in 2024 wat bijdraagt aan aantrekkelijk werkgeverschap en werkplezier.
- De hoogte van het ziekteverzuim is zorgwekkend. Deze ligt boven het gemiddelde van vergelijkbare gemeenten. Het contract met de ARBO dienstverlener is niet verlengd en er heeft vervolgens een ARBO aanbesteding plaatsgevonden, waarmee in 2023 de samenwerking is gestart. Het is de verwachting dat de opgaande trend in 2024 wordt omgebogen. Het ziekteverzuim exclusief zwangerschappen bedroeg in 2023 gemiddeld 8,33%.
- De voortgang van de optimalisatie en digitalisering van HR processen blijft achter. De verwachting is dat dit in 2024 niet gaat veranderen. Het risico is dat verdere doorontwikkeling stagneert.