Paragrafen

Paragraaf 7 Bedrijfsvoering

Visie en beleid ten aanzien van onze bedrijfsvoering
Het gemeentelijke takenpakket verandert voortdurend. De transformaties in het sociaal domein en de Omgevingswet zijn daarvan belangrijke voorbeelden. Maar de financiële mogelijkheden blijken tegelijkertijd niet oneindig. De overheid gaat mede daarom steeds meer uit van zelfredzaamheid van inwoners. De gemeente ontwikkelt zich bij de realisatie van initiatieven steeds meer naar één van de maatschappelijke partijen. En niet meer als de gemeente die 'van bovenaf' bepaalt wat goed is.

De gemeentelijke ambities en het veranderende takenpakket stellen hoge eisen aan de kwaliteit van de ambtelijke organisatie. 2023 heeft laten zien dat deze druk op de ambtelijke organisatie soms knelt. Dit is de reden dat in 2024 een beeld wordt gemaakt van de organisatie om te komen tot een verbetering.

De organisatiestructuur
Onze organisatiestructuur is afgeleid van het zogenoemde directiemodel. De organisatie staat onder algemene leiding van de gemeentesecretaris, die tevens algemeen directeur is. De ambtelijke organisatie bestaat uit drie afdelingen: de Fysieke pijler, de Sociale pijler en de Bedrijfsvoeringspijler. Het Organisatiebesluit gemeente Neder-Betuwe 2023 is in 2024 bijgewerkt en opnieuw vastgesteld.

We hechten waarde aan een compacte en efficiënte organisatie. Daarbij vinden we een gezonde bestuurs- en organisatiecultuur waarin lef, professionaliteit, samenwerken, resultaat, klantgerichtheid en plezier kernbegrippen. We zetten in op betrouwbaarheid en toegankelijkheid van zowel bestuur als organisatie. We ontwikkelen de gemeentelijke organisatie verder richting een wendbare organisatie. Dat is een organisatie die goed kan blijven inspelen op toekomstige ontwikkelingen. Daarbij is verbinding met inwoners, bedrijven en maatschappelijke organisaties cruciaal. We hebben oog voor de wensen van onze klanten en reageren daar adequaat op door in mogelijkheden en kansen te denken.

Doorontwikkeling van de organisatie
In de afgelopen jaren zijn zowel de wettelijke taken als de lokale ambities en opgaven aanzienlijk toegenomen en complexer geworden. Bovendien beïnvloeden diverse externe ontwikkelingen de werkwijze van de ambtelijke organisatie. Denk hierbij aan verdere digitalisering, arbeidsmarktkrapte, artificial intelligence, datagedreven werken, een toenemend aantal regionale vraagstukken, de steeds mondiger wordende burger en beperkter beschikbare financiële middelen. Hierdoor ontstaat onder andere een groeiende behoefte aan integraal advies.

In 2024 is besloten om meer inzicht te verkrijgen in de mate van toekomstbestendigheid van de ambtelijke organisatie. Daarom is een onderzoek gestart om vast te stellen of de huidige inrichting en werkwijze van de organisatie voldoende geschikt zijn om de wettelijke taken, opgaven en ambities in de toekomst effectief uit te voeren. De resultaten van het onderzoek worden in 2025 opgeleverd en krijgen mogelijk een vervolg.

De medewerkers
We werken vanuit de HR-visie dat onze medewerkers goed toegerust zijn om nu en in de toekomst te kunnen werken. Daarom wordt geïnvesteerd in duurzame inzetbaarheid, een inspirerende, prettige en uitdagende werkomgeving en het welbevinden van medewerkers. In 2024 is vanuit deze visie concreet gewerkt aan de doorontwikkeling van onze arbeidsmarktstrategie en het opzetten van onboardingsbeleid. Ook is het huidige opleidingsplan verder uitgewerkt tot een strategisch opleidingsplan. Daarnaast konden medewerkers deelnemen aan een uitgebreide gezondheidscheck, waarbij is gekeken naar gezondheid, leefstijl en eventuele gezondheidsrisico’s. Verder zijn uniforme, organisatiebrede kaders voor het hybride werken geformuleerd welke gelden vanaf het voorjaar 2025.

Digitalisering, privacy en informatiebeveiliging
Informatie wordt steeds belangrijker. Ook voor onze gemeente. De schaalgrootte van onze gemeente vraagt echter om duidelijke keuzes. Ten aanzien van de ontwikkelingen en investeringen gelden dan ook de volgende uitgangspunten:

  1. We bieden een veilige omgeving. Burgers, ondernemers en medewerkers mogen er op vertrouwen dat hun gegevens veilig zijn en niet kunnen worden benaderd door onbevoegden.
  2. We bieden continuïteit. In het geval van calamiteiten bieden wij de noodzakelijke ondersteuning om de essentiële informatievoorziening binnen 48 uur beschikbaar te krijgen. Dit biedt garanties voor het functioneren van ‘de veiligheidsdriehoek’ en de kritische registraties van de gemeente.
  3. We voldoen aan wet- en regelgeving. Het betreft hier onder meer de wet- en regelgeving gericht op archief, privacy, security en de uitvoering van de wettelijke informatietaken.
  4. We bieden onze medewerkers hoogwaardige informatievoorziening die hen in staat stelt om effectief en efficiënt invulling te geven aan de toegewezen taken.

Om dit te kunnen realiseren moeten we de basis versterken. Dat wil zeggen:

  • We optimaliseren het beheer en onderhoud van onze informatievoorziening door het versterken van de I&A-organisatie in 2024, het efficiënter maken van onze dienstverlening aan de interne organisatie, het vergroten van het inzicht in de middelen die wij beheren en het versterken van het applicatiebeheer in de afdelingen.
  • We werken aan het beheerst doorontwikkelen van de informatievoorziening. Anders gezegd: we streven naar weloverwogen, onderbouwde aanpassingen, vervangingen van en uitbreidingen op onze informatievoorziening. Daarmee verlagen we risico’s en zorgen we dat onze informatievoorziening aan blijft sluiten op de strategische doelstellingen van de gemeente.

Informatiebeveiliging en privacy (IB)
Ook gemeenten hebben te maken met een groeiende cyberdreiging. Om de privacy en de beveiliging van de gegevens van onze burgers zo goed mogelijk te beschermen, sturen we aan de hand van Informatiebeveiligings-, privacy-beleid op een continu verbeterende weerbaarheid tegen de cyberdreigingen. En aan bescherming van onze gegevens. De doorlopende implementatie van de BIO (Baseline Informatiebeveiliging Overheid) is hier een belangrijk ondersteunend instrument.

Informatiebeveiliging
Als onderdeel van de Baseline Informatiebeveiliging Overheid (BIO) is enige tijd geleden een risicoanalyse uitgevoerd op onze weerbaarheid. Dat resulteerde in een nog steeds relevante risicokaart (Heatmap). Deze geeft goed inzicht over welke risico’s we gericht verder aan moeten pakken. We hebben een goede verdediging tegen dreigingen op internet en ook onze gegevensopslag (back-up) is veilig. Dit betekent niet dat we onkwetsbaar zijn. We kunnen herstellen van een ernstig cyberincident, maar dat vraagt wel de nodige inspanning.

Afgelopen jaar verlegden we onze focus naar een meer diepgaande verdediging binnen onze IT-infrastructuur. Dit heet segmentatie: het in kleine goed beschermde onderdelen verdelen van onze infrastructuur. Dit is relevant voor het geval een kwaadwillende toch onverhoopt toegang heeft. Het is dan van groot belang zijn of haar bewegingsruimte maximaal in te perken zodat toegang tot gevoelige gegevens ontzegd kan worden. Nog verdergaande maatregelen worden genomen met de vernieuwing van de infrastructuur. Zo werken we er voortdurend aan de impact van een cyber-incident en de inspanning voor herstel zo klein mogelijk te maken.

In 2024 is ook de Eenduidige Normatiek Single Information Audit (ENSIA) uitgevoerd. Daarbij tonen we met zelfevaluaties (zowel intern als extern) aan dat we in de basis onze informatiebeveiliging op orde hebben. Specifieke onderdelen zijn:

  • SUWInet. Dit is een systeem waarin gemeente met overheidsinstanties informatie over inwoners deelt conform de Wet structuur uitvoeringsorganisatie werk en inkomen (SUWI).
  • De op DigiD aangesloten webapplicaties van de gemeente. Met Digitale Identiteit (DigiD) kan een inwoner laten zien wij hij/zij is als hij/zij op internet bij een (semi) overheidsorganisatie iets wil regelen.

De externe IT-auditor heeft vastgesteld dat we aan alle gestelde normen voldoen.

Privacy
Informatieveiligheid gaat vooral om de bescherming van al onze gegevens. Bij privacy ligt de focus op persoonsgegevens. In die zin is privacy meer compliance gericht (voldoen aan wetgeving) en informatieveiligheid gericht op cyber security. Vanuit de AVG-wetgeving (Algemene verordening gegevensbescherming) werkten we aan het waarborgen van de privacyregelingen bij de door ons beheerde persoonsgegevens van onze inwoners en derden. Dit deden we onder andere door de kennis en vaardigheden op niveau te houden bij huidige en nieuwe medewerkers.

Door adequate kennis en inzichten dragen we bij aan het voorkomen van risico's. Daarnaast kunnen we mogelijke risico's zo tijdig identificeren en er vooraf op acteren. In het kader van het voortdurend periodiek onderhoud aan onze privacy processen, beoordelen we beleid en uitvoering. Denk hierbij aan het privacybeleid en de verbetering van privacyprocessen (registers, verantwoording). Een belangrijke en positieve ontwikkeling binnen de organisatie is dat de nieuwe medewerkers de aangeboden e-learningsmodulen (gefaciliteerd door SEP) volgen en de betreffende certificaten halen. Verder is het verwerkingsregister geactualiseerd en hebben wij een belangrijk verbeterpunt gerealiseerd.

Incidenten
Bij het nemen van maatregelen hoort ook het inzicht hebben in incidenten op het gebied van privacy en informatiebeveiliging. In 2024 zijn er in totaal 5 incidenten geregistreerd. Dat zijn er aanmerkelijk minder dan in 2023. Alle incidenten zijn beperkt tot kleine voorvallen. De incidenten zijn afgehandeld via de procedure datalekken (via TopDesk) en in 3 gevallen is melding gemaakt bij de Autoriteit Persoonsgegevens (AP).

Samenwerking in de regio
Om een zelfstandige organisatie te blijven, is het belangrijk dat wij goed samen blijven werken in en met partners in de regio. Samenwerking in Rivierenland en in Gelderland-Zuid maakt dat we taken efficiënt kunnen uitvoeren en dat we een stevigere kwaliteit kunnen leveren. Maar het stelt de gemeentelijke organisatie ook voor uitdagingen. De benodigde gezamenlijke sturing, opdrachtformulering en afstemming maakt het complex. De samenwerking aan gemeentegrens overschrijdende opgaven zoals stikstof, energietransitie en klimaatadaptatie maakt stevigere resultaten mogelijk. Maar daarmee neemt ook het aantal overleggen, samenwerkingsverbanden en de bestuurlijke drukte toe. Als onderdeel van het traject strategische koers is en wordt ook nagedacht over strategie rondom regionale samenwerking. In 2024 is de verbinding gezocht tussen gemeenten onderling, en tussen gemeentesecretarissen, griffiers, controllers en regiocoördinatoren. Doel hiervan was om meer centraal en eenduidig te sturen op P&C-documenten van de GR'en om zo meer grip te krijgen. In 2025 wordt deze samenwerking verder doorontwikkeld.

Meer over regionale samenwerking vindt u in begrotingsprogramma 1, in de beschrijvingen van onze verbonden partijen in de respectievelijke begrotingsprogramma's en in paragraaf 5 Verbonden partijen.

Doelmatigheid en doeltreffendheid
Op basis van de Onderzoekverordening 213a Neder-Betuwe 2019 doen we regelmatig onderzoek naar de doelmatigheid en de doeltreffendheid van de organisatie. Jaarlijks optimaliseren we een aantal processen. Dit doen we door continu vanuit de klantbeleving verbeteringen aan te brengen met zo min mogelijk verspilling. Daarmee proberen we de tevredenheid van klanten, medewerkers en de organisatie te verbeteren.

Deze aanpak is geen onderzoek in de gebruikelijke zin met een rapport van bevindingen en aanbevelingen. Het is een continu verbeterproces, waarbij het beleid en de inrichting van de processen en systemen direct worden aangepakt. Mocht er aanleiding zijn voor een specifiek onderzoek dan wordt de Rekenkamer geïnformeerd. In de paragraaf Bedrijfsvoering wordt de voortgang gemonitord.

Frauderisico’s
Wij zijn ons bewust van inherente risico’s van fraude die we zowel intern als extern lopen bij het uitvoeren van de gemeentelijke taken. De gemeente beschikt over fraudebeleid en een actuele frauderisico-analyse. Vanuit de bedrijfsvoering is er verhoogde aandacht voor de inrichting van onze administratieve organisatie en interne beheersing (AO/IB) ten aanzien van de geïdentificeerde risicogebieden. Tevens worden de relevante geldstromen/processen betrokken in de interne controles die gedurende het jaar worden uitgevoerd.

Stakeholders van de gemeente moeten er op kunnen vertrouwen dat wij op een betrouwbare, eerlijke en zorgvuldige manier zaken doen. De gemeente beschikt over een uitgebreid scala aan zogenaamde soft controls. Iedere medewerker van de gemeente legt bij indiensttreding een ambtseed of ambtsbelofte af en overlegt een verklaring omtrent gedrag. Daarnaast beschikt Neder-Betuwe over een vastgestelde regeling en gedragscodes. Bijvoorbeeld op het gebied van nevenwerkzaamheden en financiële belangen. De gedragscodes zijn openbaar beschikbaar. We beschikken daarnaast over een regeling melden vermoeden misstanden. Binnen de organisatie is er een vertrouwenspersoon en meldpunt ingesteld, waarbij eventuele misstanden vertrouwelijk te melden zijn.

Onze (financiële) processen en systemen kenmerken zich door de aanwezigheid van functiescheidingen. Dit zijn zogenaamde hard controls. Hiermee voorkomen we dat slechts één persoon ongecontroleerd transacties of verplichtingen kan aangaan, autoriseren, verwerken en afwikkelen en/of zelfstandig toegang heeft tot activa.

Ondanks alle beheersingsmaatregelen resteert het risico dat management of directie maatregelen doorbreekt. Ook blijft het risico van samenspanning tussen medewerkers. Transparante besluitvorming, de governance structuur, een open cultuur waarbij we elkaar durven aan te spreken, de aanwezigheid van een vertrouwenspersoon om niet-integer handelen (anoniem) te melden en periodieke interne en externe audits op de naleving van beheersingsmaatregelen dragen er aan bij dat onregelmatigheden worden gesignaleerd.

De afgelopen jaren zijn er regelmatig berichten in de media over cyberaanvallen, gevallen van ransomware en datalekken. Informatiebeveiliging heeft daarom vanuit de perspectieven continuïteit, fraude en privacy een hoge prioriteit.

Tijdens de dagelijkse bedrijfsvoering vinden controles plaats om vast te stellen of gewerkt wordt volgens de daarover gemaakte afspraken. Hieronder vallen de diverse protocollen voor informatiebeveiliging. Daarnaast beoordelen de security officer en privacy officer de kwaliteit en naleving van de getroffen beheersingsmaatregelen. Periodiek wordt de beheersing van informatiebeveiliging getoetst. Dit gebeurt zowel intern als extern vanuit de sector. Eventuele verbeterpunten vormen de input voor verdere aanscherping en/of naleving van het informatiebeveiligingsproces.

Conclusie
Het college is van mening dat, met alle analyses en getroffen beheersingsmaatregelen, de risico’s met betrekking tot een beheerste en integere bedrijfsvoering inzichtelijk zijn en op een adequate wijze aandacht krijgen.

Deze pagina is gebouwd op 06/24/2025 14:58:16 met de export van 06/24/2025 14:49:04