Paragraaf Bedrijfsvoering

In Capelle besteedt de gemeente de haar toevertrouwde middelen rechtmatig, doelmatig en doeltreffend en zorgen wij dat de gemeente transparant is. Een betrouwbare partner voor de burgers en ondernemers. Voorwaarde hiervoor is een goede bedrijfsvoering (afgemeten aan prestaties en resultaten), een belangrijke factor voor het imago van de gemeente. Een onderwerp dat daarom hoog op de gemeentelijke agenda staat.

De paragraaf bedrijfsvoering geeft inzicht in de stand van zaken en de beleidsvoornemens van de gemeentelijke bedrijfsvoering. Hiermee worden de bedrijfsprocessen bedoeld die nodig zijn om de beleidsdoelstellingen uit onze programma's te realiseren. Veel bedrijfsvoeringsprocessen worden door de afdelingen Financien, Bestuur- en Concernondersteuning en Dienstverlening verricht. Deze afdelingen zijn echter meer dan ondersteunend. Ze geven invulling aan onze taken door de doelen die de gemeente voorstaat dichterbij te brengen. Ze zijn een kritische sparringpartner voor de beleidsafdelingen. Ze creëren de omstandigheden of leven hier een bijdrage aan om Capelle beter, mooier te maken vanuit de (wettelijke) taken waar wij voor staan en de doelen die de organisatie nastreeft.

Sinds 2004 is de organisatie opgebouwd volgens het afdelingenmodel. Sinds 2021 is er sprake van een "eenhoofdige directie". De gemeentesecretaris is in de rol van algemeen directeur eindverantwoordelijk voor de organisatie. Het Capels Management Team (CMT), gevormd door de gemeentesecretaris, de concerncontroller en de afdelingshoofden, zorgen voor de integrale aansturing van de organisatie. De organisatie telt zes afdelingen. 

De afdelingshoofden beheren de middelen die nodig zijn om hun afdelingsplanningen te realiseren, zijn leidend in de beleidsvorming voor wat betreft de producten van hun afdelingen en zijn de eerste adviseur van de portefeuillehouder.

De afdelingshoofden beheren de middelen die nodig zijn om hun afdelingsplanningen te realiseren, zijn leidend in de beleidsvorming voor wat betreft de producten van hun afdelingen en zijn de eerste adviseur van de portefeuillehouder. Afdelingshoofden zijn integraal verantwoordelijk voor de behaalde resultaten en leggen op een transparante wijze verantwoording af. Het CMT als gemeentebreed platform ondersteunt de afdelingen, stimuleert samenwerking tussen afdelingen, bewaakt de verdeling van schaarse middelen over de afdelingen en stuurt op kwaliteit, tijdigheid en consistentie van besluitvorming.

In Capelle is de ambitie om de gemeentelijke organisatie wendbaar in te richten en te organiseren. Er wordt continu gewerkt aan de doorontwikkeling van de organisatie. Dit heeft de afgelopen jaren tot concrete acties en resultaten geleid zoals leiderschaps- en sturingsprincipes, rollen en verantwoordelijkheden. In Capelle gaan we samen in vertrouwen op weg! Dat is de ambitie van onze organisatie die in 2018 is vastgesteld (zie ook: www.ambitiecapelle.nl). 

Als vervolg hierop is in 2023 een organisatievisie opgesteld waarin is vastgelegd wat de opgaven zijn waar de organisatie voor staat, wat voor organisatie daarvoor nodig is, wat de gewenste manier van werken is, welke rollen daarbij horen en wat dat van de organisatie vraagt. Deze visie is in Q3 2023 door het CMT vastgesteld. Hierop volgt een actieagenda waarin concrete stappen staan die gezet worden om te werken aan de onderwerpen samenwerking, werkdruk, basis op orde en werkgeluk.

In 2024 zijn ook de resultaten van een MTO meting (eind 2023) bekend. De resultaten van de meting in 2021 vormen de basis van deze nieuwe meting. Leiderschap, werkplezier en werkdruk zijn belangrijke thema's in de enquête. Op basis van de uitkomsten maken we een plan van aanpak op organisatie-, afdeling- en unit niveau met het doel te zorgen voor een (verdere) groei van medewerkerstevredenheid.

Tenslotte is de pilot talentprogramma van 2023 in 2024 overgegaan in een definitief programma. Al deze ontwikkelingen brengen het werken volgens de ambitie van Capelle weer een stapje dichterbij. 

Vanaf het verslagjaar 2023 moet het college van Burgemeester en Wethouders een rechtmatigheidsverantwoording opnemen in de jaarrekening. Hiermee wordt verantwoording afgelegd over de naleving van de financiële rechtmatigheid door de gemeente. Financiële rechtmatigheid heeft betrekking op het voldoen aan wet- en regelgeving bij het uitvoeren van financiële beheershandelingen.

Het college geeft in de rechtmatigheidsverantwoording in de jaarrekening aan of de in de jaarrekening verantwoorde baten en lasten en ook de balansmutaties rechtmatig tot stand zijn gekomen. De verantwoording door het college van Burgemeester en Wethouders is opgenomen in de jaarrekening.

In deze paragraaf wordt nader ingegaan op de volgende aspecten:

• Toelichting op geconstateerde rechtmatigheidsafwijkingen;
• De stand van de beheersing van rechtmatigheid.

De totale omvang van de onrechtmatigheden bedraagt 12.239 en overschrijdt de vastgestelde 1% norm.  Hierna volgt een toelichting op de geconstateerde afwijkingen per onderdeel.

De begrotingsonrechtmatigheden hebben een omvang van 8.027. Hiervan heeft 6.154 betrekking op begrotingsonrechtmatigheden die te maken hebben met vastgesteld beleid.  De begrotingsonrechtmatigheden zijn hieronder nader toegelicht.

Naast de begrotingsrechtmatigheid bij de programma’s moeten wij ook de investeringen beoordelen op rechtmatigheid. De rechtmatigheid wordt getoetst op basis van de uitgaven tot en met 31 december 2023, toekomstige uitgaven worden niet meegenomen. Mochten toekomstige uitgaven leiden tot een overschrijding dan rapporteren wij hierover in begrotingsjaar 2024 en verder.

Het krediet Speelplaatsen 2021 is onrechtmatig overschreden voor 89. Het betreft de onvoorziene vervanging van een geluidsoverlast gevend hekwerk bij een voetbalkooi.

Met betrekking tot aanbestedingen zijn onrechtmatigheden vastgesteld voor een bedrag van 3.971. Onderstaande tabel bevat een gedetailleerd overzicht.

Alle inkooponrechtmatigheden hebben betrekking op het proces van aanbesteden.  De onrechtmatigheid inzake de opvang van Oekraïners werd veroorzaakt doordat het proces van opvang gedurende het eerste jaar spoedeisend was en veelvuldig wijzigde qua omvang. Hierdoor was het niet mogelijk een goede aanbesteding op de markt te plaatsen. In 2023 zijn de inhuurcontracten rechtmatig omgezet en zijn de servicediensten die onder de huurovereenkomst vielen Europees aanbesteed  of op een andere wijze rechtmatig ingevuld.

De onrechtmatigheid voor de inhuur van een architect is tot stand gekomen omdat een vervolgopdracht noodzakelijk was. Het was hierbij niet mogelijk een andere architect in te schakelen. De units Interne Controle en Inkoop hebben in 2024 maandelijks overleg ter voorkoming van onrechtmatigheden en maandelijks overleg over de realisatie van de inkopen. Inkopen die niet via het vastgestelde proces verlopen kunnen daardoor eerder geconstateerd worden.

Voor de overige inhuuronrechtmatigheden geldt dat de contracten nog voortkomen uit de periode voor de broker is aangesteld. De contracten zijn inmiddels stopgezet of omgezet naar de broker. Ook voor deze categorie geldt dat dat de units Interne Controle en Inkoop in 2024 maandelijks overleg hebben. 

Daarnaast geeft de Unit Inkoop in 2024 voor alle afdelingen presentaties over het wettelijke kader en  het inkoopproces van de gemeente.

De laatste onrechtmatigheid heeft te maken met het Misbruik & Oneigenlijk gebruik – criterium. De onrechtmatigheid bedraagt 152 en betreft fraudedebiteuren.

Algemeen
De Verordening onderzoeken doelmatigheid en doeltreffendheid bestuur (artikel 213a Gemeentewet) Capelle aan den IJssel 2023 bepaalt dat wij periodiek onderzoek verrichten naar de doelmatigheid en de doeltreffendheid van het door ons gevoerde bestuur. Doelmatigheid wordt gedefinieerd als de mate waarin een maximale hoeveelheid producten en prestaties is gerealiseerd met een minimale hoeveelheid middelen of een hogere kwaliteit wordt bereikt met een gelijkblijvende hoeveelheid aan middelen. Doeltreffendheid wordt gedefinieerd als de mate waarin de geleverde producten en prestaties bijdragen aan het realiseren van gestelde gemeentelijke beleidsdoelen.

Voortgang onderzoeken tot en met 2022
De concerncontroller voert de onderzoeken 213a uit en werkt daarbij op een praktische en pragmatische wijze samen met de verantwoordelijke afdelingen.
Zo bracht hij de opgedane onderzoekkennis voor de doeltreffendheid en doelmatigheid van ons afvalbeleid in, tijdens het opstellen van het nieuwe beleidsplan afval 2024 en het in 2023 uitgevoerde onderzoek van de commissie verbonden partijen naar Irado. Onderzoeken vinden daarbij dus niet op autonome en geïsoleerde wijze plaats, maar vanuit directe verbondenheid met de verantwoordelijken van het kernproces. Wij zijn overtuigd dat het op deze wijze uitvoeren van de onderzoeken het beste bijdraagt aan de verdere borging van de resultaten van de onderzoeken. Een ander bijkomend voordeel is dat de onderzoeken in de tijd meelopen met de ambtelijke- en bestuurlijke planning.

Eerder is aangegeven dat het onderzoek 'Opvolging Rekenkamerrapport “niet zonder schuld"' nog niet was opgestart, mede in verband met de beperkte beschikbaarheid van medewerkers in het kader van de extra inzet op de aanpak financiële bestaanszekerheid. Het opvolgingsonderzoek loopt nu gelijktijdig op met het nieuwe beleidsplan integrale schulddienstverlening. Een vooroverleg heeft al plaatsgevonden en de opvolging van de eerdere aanbevelingen van de Rekenkamer zullen herkenbaar terugkomen in het nieuwe beleidsplan.

Het onderzoek doeltreffendheid taakstelling Jeugd (inclusief het rapport van Berenschot) is afgerond. De besparingsopgave is projectmatig opgepakt en u bent periodiek op de hoogte gebracht van de voortgang van het project.
Op 14 mei 2024 bent u geconsulteerd over het rapport ‘Tegen de stroom in voor duurzame en betaalbare jeugdhulp’ en de uitwerking van de onderliggende businesscases.

In het kader van de voortgang van de eerdere onderzoeken, kunnen we u mededelen dat u bent geïnformeerd over de voortgang in de uitvoering van het plan van aanpak naar de opvolging van het Rekenkamerrapport 'Openbaar Goed'.

Voortgang onderzoeken 2023
De start van de onderzoeken 2023 loopt enige vertraging op, die de komende twee jaren zal worden ingelopen. Voor meerdere onderzoeken 2023 zijn wel de voorbereidende werkzaamheden gestart, bijvoorbeeld ten aanzien van de doeltreffendheid van het onderwijskansen en -achterstandenbeleid.
U bent door ons, in het kader van de besteding van de rijksmiddelen gemeentelijk onderwijsachterstanden beleid (GOAB) en het voorstel in de conceptvoorjaarsnota 2024, al over geïnformeerd. Daarnaast zijn oriënterende gesprekken gevoerd in het kader van het opvolgingsonderzoek van het Rekenkamerrapport 'Verbinden is vooruitzien', specifiek naar de doeltreffendheid van het Programma 4 Onderwijs (BLICK) en 6A Sociale Infrastructuur (Stichting Welzijn Capelle). Het onderzoek naar de doeltreffendheid van de paragraaf Verbonden Partijen, specifiek Irado, is meegenomen in het onderzoek naar afval en daarmee afgerond.

Vooruitblik onderzoek 2024
Het onderzoek 2024 richt zich, mede gelet op het eerder dan verwacht in financieel zwaar weer terechtkomen, eerst en vooral naar wat we ook kunnen leren van andere gemeenten en hoe onze eigen begroting weer robuuster gemaakt kan worden. Tevens wordt, in afstemming met de betreffende afdelingen, verder gewerkt aan de lopende- en nog op te starten onderzoeken.

In het kader van artikel 185a Gemeentewet wordt (vanaf de Begroting 2024) voortaan in elke Begroting en Jaarstukken een totaaloverzicht verstrekt van actuele plannen van aanpak, die door uw raad zijn vastgesteld naar aanleiding van uitgebrachte Rekenkamerrapporten.
In uw Verordening Rekenkamer is vastgelegd dat het college bij ieder Rekenkamerrapport een plan van aanpak ter vaststelling voorlegt aan uw raad.

In onderstaand overzicht zijn de actuele plannen van aanpak opgenomen, inclusief de afspraken over de periodieke voortgangsverantwoording:

1. Plan van Aanpak ter uitvoering aanbevelingen Rekenkamerrapport “Grip op inkoop”, vastgesteld in de raad van 12 juli 2021.
   U hebt een voortgangsrapportage ontvangen in de collegebrief van 21 december 2021 (2021/168) en een afsluitende rapportage in de collegebrief van 10 oktober 2023 (2023/115).
2. Plan van aanpak ter uitvoering van het Rekenkamerrapport "Gebiedsontwikkeling het Nieuwe Rivium", vastgesteld in de raad van 8 november 2021. Tot op heden is mondeling aangegeven wat de voortgang is van de aanbevelingen. In aanvulling daarop zal in het derde kwartaal 2024 een schriftelijke voortgangsrapportage aan uw raad worden aangeboden. 
3. Plan van aanpak uitvoering aanbevelingen Rekenkamerrapport "Openbaar Goed", vastgesteld in de raad van 13 december 2021
   Afsluitende voortgangsrapportage in de collegebrief van 9 mei 2023 (2023/057).
   
4. Gecombineerd plan van aanpak uitvoering aanbevelingen Rekenkamerrapport " Tijden van transformatie" - onderzoek naar Woonbeleid Capelle aan den IJssel vanaf 2013”, vastgesteld in de raad van 27 november 2023 en Rekenkamerrapport “Huizen in de regio' - synthese van onderzoeken woonbeleid in vijf gemeenten (Barendrecht, Lansingerland, Albrandswaard, Capelle aan den IJssel en Rotterdam) in regio Rotterdam”, vastgesteld in de raad van 27 november 2023.
   Besloten is bij het ter besluitvorming aanbieden van het nieuwe Programma Wonen uw raad ook te informeren hoe het staat met de uitvoering van het plan van aanpak. Dit wordt vervolgens jaarlijks herhaald via de monitoring van het Programma Wonen.

Informatiemanagement en data
In 2023 is de nieuw aangetrokken informatiemanager gestart met het samenstellen van een ICT portfolio. Hiervoor worden de behoeften in de organisatie op het gebied van informatiemanagement in kaart gebracht en ook gekeken naar de al lopende projecten. Het CMT neemt vervolgens gezamenlijk een besluit als er een nieuwe applicatie wordt aangeschaft. Bij de aanschaf van een applicatie wordt in een businesscase gelijk gelet op de eisen ten aanzien van archivering, privacy en informatiebeveiliging. Dit is een nieuw proces voor de organisatie en in 2024 wordt gewerkt aan de verdere inbedding hiervan. 

Integriteit
De gemeente Capelle aan den IJssel is een betrouwbare partner voor haar inwoners, ondernemers, andere organisaties en andere overheden. Wij zijn een integere gemeentelijke organisatie, waar sprake is van een veilige werkomgeving met voldoende aandacht voor de bevordering van het integriteitsbewustzijn en voor voldoende ruimte om in een open cultuur dilemma’s en risico’s te bespreken. Integriteit is een onlosmakelijk onderdeel van de professionaliteit van alle ambtenaren, bestuurders en politieke ambtsdragers. Wij houden nadrukkelijk oog voor de rol van de overheid die toeziet op het naleven van wet- en regelgeving. De gemeente beschikt over een beleidsplan bestuurlijke en ambtelijke integriteit en ter uitvoering daarvan een jaarplan bestuurlijke integriteit en een jaarplan ambtelijke integriteit. De voor 2023 geplande actualisering van deze plannen hebben wij niet kunnen realiseren en hebben wij doorgeschoven naar 2024 om uit te voeren onder regie van de nog aan te trekken coördinator (ambtelijke en bestuurlijke) integriteit, voor welke functie uw raad in de begroting 2024 e.v. gelden beschikbaar heeft gesteld.

Privacy
Privacy en informatiebeveiliging zijn de verantwoordelijkheid van de hele organisatie en verdienen een ieders volle aandacht en awareness. In 2023 is hard gewerkt aan de organisatorische inbedding van beleid en uitvoering van privacy en informatiebeveiliging. Zo hebben we keuzen gemaakt tav welke tools wij gebruiken voor het (wettelijk verplichte) register van verwerkingen van persoonsgegevens en voor het uitvoeren van (pre-)dpia's (data protection impact assessment; een instrument om vooraf te privacy risico's van een gegevenswerking in kaart te brengen zodat wij tijdig maatregelen kunnen treffen om deze risico's te verkleinen). Ook hebben wij een start gemaakt met het opstellen van procesbeschrijvingen om daarmee meer inzichtelijk te krijgen welke persoonsgegevens op welke wijze in welk proces worden verwerkt.

De komende jaren komen er grote uitdagingen op de overheid / gemeenten af. Datatechnologie en algoritmes helpen om data te kunnen analyseren en de dienstverlening aan burgers te verbeteren. Aan deze technologie en algoritmes zijn risico’s verbonden voor de privacy van burgers. De focus van de Autoriteit Persoonsgegevens ligt op ‘dataprotectie in een digitale samenleving’. De uitdaging ligt in het vinden van een goede balans tussen (privacy en digitaliserings-) wetgeving enerzijds en de toenemende inzet van datatechnologie anderzijds. Voor wat betreft die wetgeving moeten er de komende drie jaar dertien Europese digitale wetten (met betrekking tot onder andere kunstmatige intelligentie; databeheer; cybersecurity; digitale identiteit) worden geïmplementeerd. Deze wetten hebben een rechtstreekse impact op beveiliging en privacy, op de interne en externe communicatie, op organisatie en bestuur, op toezicht en handhaving, op het personeelsbestand, op de processen, juridische zaken en, uiteraard, op de informatievoorziening. Een heuse digitale transformatie die aandacht en capaciteit vergt.

Een uitdaging is er ook bij het delen van persoonsgegevens in samenwerkingsverbanden, vooral in het sociaal domein en het veiligheidsdomein. Overheden en betrokken organisaties moeten effectief kunnen samenwerken, zonder daarbij de risico’s voor de privacy uit het oog te verliezen. Privacybeleid en de naleving van dat beleid moeten daarop aansluiten. 

Informatieveiligheid ICT 

Het doel van informatiebeveiliging is het onverstoord laten functioneren van de business. Met o.a. een steeds verdergaande digitalisering, migratie naar de cloud , ketenautomatisering en de komst van AI is dit een steeds complexere opgave geworden. Waar een aantal jaren gelden volstaan kon worden met een firewall en een virusscanner is tegenwoordig een steeds groter arsenaal aan voorzieningen nodig om de IT-omgeving veilig te houden. Hierbij dient tevens rekeningen gehouden te worden met hoe gebruikers met voorzieningen c.q. informatie willen werken en hoe de organisatie wil dat gebruikers werken? Een balans vinden tussen wat kan en mag en werkbaar houden is hierbij lastig. Een omgeving zeer veilig maken staat hierin op gespannen voet met snel en efficiënt kunnen werken. 

Om alle nieuwe dreigingen en uitdagingen het hoofd te bieden is het afgelopen jaar dan ook op een aantal fronten extra geïnvesteerd om het niveau van beveiliging nog hoger en de werking hiervan nog effectiever te krijgen. Qua investering betreft dit niet zozeer geld maar wel de inzet van techniek, bewustwording en de inbedding hiervan in de organisatie. 

Het doel van ICT is om een “ Zero Trust”  omgeving te hebben. Een ICT-omgeving waarbij we niets en niemand vertrouwen en alles toegang verlenen aan mensen en middelen (laptops e.d.) die bekend zijn en door ons beheerd worden. De beveiliging is immers zo sterk als de zwakste schakel. 

In de toekomst zal dan ook moeten worden nagedacht over het verstrekken van devices aan iedereen die op ons netwerk wil of binnen onze omgeving wil werken. 

Bewustwording 

Het aantal phishing incidenten is wereldwijd aan het toenemen. Dat is ook logisch want phishing is vaak de eerste stap die criminelen zetten in het proces om een bedrijf te besmetten met ransomware of om op andere wijze geld afhandig te maken. Om te voorkomen dat de organisatie  slachtoffer wordt van een phishingaanval is het belangrijk dat medewerkers alert en bewust zijn. Op dit onderdeel is ruim ingezet en  geïntensiveerd. Begin dit jaar is in Capelle aan den IJssel structureel gestart met het trainen van nieuwe medewerkers op het gebied van informatiebeveiliging en privacy. Dit als onderdeel van het introductieprogramma van CapTalent. Daarnaast is aan de diverse afdelingen en Units de mogelijkheid geboden een training te ontvangen tijdens het werkoverleg. Hier is door veel units gebruik van gemaakt.  De training is door de deelnemers als zeer nuttig ervaren. De effecten zijn ook duidelijk terug te zien in het (meldings)gedrag van de medewerkers ten aanzien van (gesimuleerde) phishingberichten. Daarnaast is aan het einde van het jaar nog geïnvesteerd in een systeem waarmee door de medewerkers gemelde phishingberichten sneller afgehandeld kunnen worden. Dit met het doel het effect van een kwaadaardige phishingcampagne  zo snel als mogelijk te neutraliseren. 

Pentest 

In de maand augustus heeft de jaarlijkse pentest plaatsgevonden. Tijdens het pentesten kruipt een ethische hacker in de huid van een cybercrimineel en probeert op deze manier binnen te dringen tot de site, applicatie of IT-systemen van een organisatie. Het doel van pentesten is het achterhalen van risico's en zwakheden binnen de geteste omgeving. De resultaten hiervan zijn positief. Zo zijn de onderzoekers  niet in staat gebleken om binnen afzienbare tijd toegangsrechten te verhogen tot die van Domain Administrator. De Domain Administrator is die persoon binnen de organisatie die geautoriseerd is om veranderingen aan te brengen die impact hebben op de computers van alle medewerkers. Ook is het de onderzoekers niet gelukt om toegang te krijgen tot de backup omgeving of om deze te beïnvloeden of aan te tasten. Wel kan gesteld worden dat, na het verkrijgen van Domain Admin rechten, een aanvaller met voldoende tijd zijn kans af kan wachten om de Backup alsnog te bereiken. Met deze rechten is het ook mogelijk om dusdanig lang in de omgeving van IJsselgemeenten te blijven, om zo ook alle persistente malware in de back-ups te laten opnemen. Dit valt echter buiten het profiel van een hedendaagse ransomware actor.” 

Door de onderzoekers is  nog wel een aantal aanbevelingen gedaan om het niveau van beveiliging nog hoger te krijgen. Deze zijn met name technisch van aard. Implementatie hiervan is reeds opgestart. 

Daarnaast is aangegeven dat het wachtwoordbeleid aangescherpt kan worden. Ondanks een wachtwoordlengte van 15 karakters bleken een relatief groot aantal wachtwoorden van gebruikers gekraakt te kunnen worden. Dit komt enerzijds door de verbeterde mogelijkheden om wachtwoorden te kraken maar ook door een “slechte” wachtwoordkeuze van de gebruikers. Zo worden in veel gevallen standaard woorden aangevuld met cijfers om aan de 15 karakters te komen. Dit is bekend gedrag en wordt dus ook toegepast binnen de kraakprogramma’s. Het is dus noodzakelijk om de gebruikers te informeren over deze situatie en aan te sporen betere wachtwoorden aan te maken. In dit verband wordt sinds enige tijd de tip meegegeven om een wachtwoordzin aan te maken in plaats van een lang wachtwoord. 

In november/december heeft tevens een tweede pentest plaatsgevonden. Deze was specifiek gericht op het opsporen van kwetsbaarheden in de Microsoft 365 omgeving. Het resultaat van deze test is vergelijkbaar met de in augustus uitgevoerde test: de beveiliging is op orde maar kan op onderdelen aangescherpt worden. 
 
Datagedreven werken 
Vanuit de organisatie komen steeds vaker verzoeken om data te mogen leveren aan een externe partij waarmee een informatiedashboard kan worden opgezet. De privacy- en informatiebeveiligingsaspecten worden hierbij veelal over het hoofd gezien. In samenwerken met de afdeling Samenleving van de gemeente Capelle aan den IJssel wordt nu onderzocht op welke wijze een systeem voor het veilig delen van informatie kan worden opgezet. Uitgangspunt hierbij is dat eerst wordt onderzocht welke informatie noodzakelijk is voor het doel (dataminimalisatie) en of intern aan de vraag kan worden voldaan met behulp van eigen voorzieningen (zoals bijvoorbeeld Cognos of PowerBI). 

Beveiligingsbeleid 

Het huidige beveiligingsbeleid is circa drie jaar geleden vastgesteld door het college van de afzonderlijke organisaties. De Baseline informatiebeveiliging Overheid (BIO) vereist dat dit beleid om de drie jaar wordt geactualiseerd. Deze actualisatie, gebaseerd op een standaard document van de VNG, is uitgevoerd en is door de colleges vastgesteld. 

Data Protection Impact Assessment/ Gegevensbeschermingseffectbeoordeling (DPIA) 

Op grond van de BIO/ AVG dient op risicovolle nieuwe en op risicovolle bestaande processen/applicaties een DPIA te worden uitgevoerd. Gebleken is dat afdelingen het moeilijk vinden om de DPIA daadwerkelijk op te starten. In overleg met Algemeen directeur is tijdens het breed MT afgesproken dat GR-ICT het voortouw neemt in het initiëren van DPIA’s op bestaande processen en applicaties. Het initiatief tot het uitvoeren van DPIA’s op nieuwe processen/ applicaties ligt bij de afdeling die gegevens-, proceseigenaar is. De CISO’s ondersteunen waar nodig.  

Zero trust 

Het zero trust concept is een benadering van beveiliging waarbij er geen vertrouwen wordt gegeven aan een netwerk of een gebruiker, tenzij dit specifiek is bevestigd. Dit betekent dat elk verzoek om toegang tot netwerkbronnen wordt geauthentiseerd en geautoriseerd, ongeacht of de verzoeker zich binnen of buiten het netwerk bevindt. Het zero trust-concept is bedoeld om cyberbedreigingen te voorkomen door het beperken van de aanvalsoppervlakte en het versterken van de beveiliging van individuele netwerkbronnen. 

De hierboven beschreven onderwerpen dragen voor een deel bij aan dit concept. Aanvullende onderdelen in dit verband zijn segmentering van het netwerk en het alleen gebruik maken van door ICT beheerde apparaten. Met de segmentering van hert netwerk is inmiddels gestart. Het gebruik van alleen door ICT beheerde apparaten is nog onderwerp van discussie. Ook in het kwetsbaarheden onderzoek betreffende Microsoft 365 is dit onderwerp aangehaald als verbeterpunt door de onderzoekers. Met name het toegestane gebruik van eigen apparatuur, in plaats van door de organisatie verstrekte apparatuur, wordt nog gezien als kwetsbaarheid c.q. een beperking van het Zero Trus concept.  

Ensia

Ieder jaar dient de gemeente zich te verantwoorden over het niveau van de informatiebeveiliging van diverse informatiesystemen. Vanaf 2017 gebeurt dit via de Eenduidige Normatiek Single Information Audit (ENSIA). Deze systematiek moet het beantwoorden van de uitvraag over informatieveiligheid beter en efficiënter maken. Met ENSIA verantwoordt de gemeente zich uiteindelijk ook horizontaal aan de gemeenteraad. ENSIA sluit aan op de gemeentelijke planning en control-cyclus. Zo krijgt het gemeentebestuur meer overzicht over de informatieveiligheid van de gemeente.

De verantwoording vindt plaats over de navolgende informatiesystemen c.q. registraties:

• Basisregistratie Personen (BRP),
• Paspoortuitvoeringsregeling (PUN),
• Digitale persoonsidentificatie (DigiD),
• Basisregistratie Adressen en Gebouwen (BAG),
• Basisregistratie Grootschalige Topografie (BGT),
• Basisregistratie Ondergrond (BRO),
• Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) en de
• Baseline Informatiebeveiliging Overheid (BIO).

Ook voor deze verantwoordingperiode (2023) behaalt de gemeente op alle onderdelen een voldoende score. Ondanks deze score blijft de gemeente op alle fronten werken aan verbetering van de informatieveiligheid. Dit omdat er continue nieuwe dreiging dreigingen ontstaan waartegen de organisatie beschermd moet worden.

Inkoop en aanbestedingen (incl. social return)

De inkoopuitgaven van de gemeente beslaan een substantieel deel van de gemeentelijke begroting. Daarmee vormt inkoop een belangrijk sturingsinstrument om gemeentelijke maatschappelijke doelen te realiseren, onder andere via het instrument van de social return. Wij willen zo doelmatig mogelijk inkopen conform de (Europese) aanbestedingswetgeving en ons eigen inkoopbeleid.  

Ter uitvoering van de aanbevelingen in het Rekenkamerrapport Grip op Inkoop heeft uw raad in juli 2021 een Plan van Aanpak vastgesteld. Belangrijk onderdeel van dit Plan van Aanpak is een algehele actualisering van het gemeentelijk inkoopbeleid dat door uw raad juli 2023 is vastgesteld. Einde 2023 hebben wij uw raad geïnformeerd over de volledige afhandeling van alle aanbevelingen. Conform afspraak met uw raad hebben wij afgelopen jaar de inkoopuitgaven over 2021 en 2022 laten analyseren, zowel die van de gemeente als van GR IJSSELgemeenten. De resultaten van deze 'inkoopdiagnose' zullen nader met de organisatie worden besproken en opgepakt.

Conform toezegging hebben wij eind 2023 de raad geïnformeerd over de stand van zaken van lopende Europese aanbestedingen en van Europese aanbestedingen die het afgelopen jaar zijn afgerond.

Regionaal hebben wij onze bijdrage geleverd aan de evaluatie en herijking van beleid en spelregels social return. Naar verwachting zullen de nieuwe / aangepaste regels social return voor de zomer van 2024 regionaal worden vastgesteld.

HR
De ontwikkelingen op het gebied van HR in 2023:

• In 2023 was de krapte op de arbeidsmarkt nog steeds sterk voelbaar in de hele organisatie. HR heeft stevig ingezet op de professionalisering van de arbeidsmarktcommunicatie. De nieuwe vacaturesite: “werkenbijcapelleaandenijssel.nl” werpt zijn vruchten af en wordt goed gevonden. Vacatureteksten zijn volledig herzien en aangepast aan de tijd. De corporate recruiter heeft zich volledig gericht op het invullen van vacatures via diverse kanalen. Ook nieuwe kanalen zijn aangeboord. Het aantal vacatures en nieuwe medewerkers blijft (fors) stijgen. De totale uitstroom in 2023 bedroeg 65 medewerkers, de totale instroom 96. In totaal stonden er in 2023 115 vacatures open.
• In 2023 is HR21, een nieuw personeelssysteem geïmplementeerd. Wij sluiten hierbij aan bij 85% van de gemeenten waardoor wij onder andere functies (en inschalingen) beter kunnen vergelijken.
• In 2023 liep de “inhuur” volledig via een externe partij (Yacht Inhouse Services) waardoor de inhuur efficiënt en rechtmatig plaatsvindt; dit geeft vertrouwen voor de komende jaren.
• De pilot van het talentprogramma is positief afgesloten en krijgt een definitief vervolg in 2024 wat bijdraagt aan aantrekkelijk werkgeverschap en werkplezier.
• De hoogte van het ziekteverzuim is zorgwekkend. Deze ligt boven het gemiddelde van vergelijkbare gemeenten. Het contract met de ARBO dienstverlener is niet verlengd en er heeft vervolgens een ARBO aanbesteding plaatsgevonden, waarmee in 2023 de samenwerking is gestart. Het is de verwachting dat de opgaande trend in 2024 wordt omgebogen. Het ziekteverzuim exclusief zwangerschappen bedroeg in 2023 gemiddeld 8,33%.
• De voortgang van de optimalisatie en digitalisering van HR processen blijft achter. De verwachting is dat dit in 2024 niet gaat veranderen. Het risico is dat verdere doorontwikkeling stagneert.

Bij de Najaarsnota 2023 was de verwachting dat we dit jaar konden afsluiten zonder grote afwijking op het resultaat van de bedrijfsvoering. In realisatie blijkt dat we meer hebben besteed. Met name op personeelskosten is een tegenvaller zichtbaar omdat in de prognoses ten onrechte niet voldoende rekening werd gehouden met diverse looncomponenten, waaronder de premie voor het arbeidsongeschiktheidsfonds (N 1.894). Hierdoor ontstond in eerdere instantie een positiever beeld op de salarislasten welke we hebben ingezet op de budgetten voor extern personeel. De rapportages waarop de prognoses worden bepaald zijn aangepast waardoor dit voorval zich niet kan herhalen. De rapportages worden ook periodiek gecontroleerd of alle juiste data wordt opgenomen. De kosten voor de dienstverlening van de GR IJsselgemeenten zijn hoger uitgevallen (267). De voorziening verlof sparen is aangevuld met een bedrag van 142. Jaarlijks wordt bij de jaarrekening bepaald hoe hoog deze voorziening moet zijn.

Mogelijk zullen wij in 2024 ook meerkosten op de bedrijfsvoering hebben doordat veel functies worden bekleed door extern personeel als gevolg van de krapte op de arbeidsmarkt. Gedurende het jaar wordt extra gestuurd op het aantrekken van personeel in loondienst. Eventuele tekorten bij specifieke afdelingen worden zoveel als mogelijk gecompenseerd met overschotten op andere afdelingen.