Paragraaf E Bedrijfsvoering

In deze paragraaf beschrijven we diverse aspecten van de organisatie en de bedrijfsvoering. 

De organisatie blijft volop in ontwikkeling. De sturing in onze organisatie is gericht op uitvoering programma’s en de daarin benoemde resultaten. Daarnaast sturen we op de uitgangspunten van de dienstverleningsvisie ‘Wij gaan voor de glimlach’. Hierbij komen onder andere de thema’s cultuur en resultaatgerichtheid nadrukkelijk aan bod. 

In 2023 hebben we de uitvoeringsagenda dienstverlening opgesteld. Ook het nieuwe werkconcept hoort daarbij. Dit project is bij de begrotingsbehandeling 2024 afgeschaald qua omvang en budget, van het op eigentijdse en modernere wijze invulling kunnen geven aan de werkzaamheden, naar het vervangen van oud meubilair voor arboverantwoord meubilair en het inhuizen van De Post per 2026.

Formatie en bezetting

De begrote structurele formatie voor de organisatie (exclusief bestuur) bedroeg in 2023 afgerond 222 fte, inclusief tijdelijke formatie. De toename van de formatie heeft voor een groot deel te maken met de uitbreiding van specialistische functies binnen het fysieke en sociale domein. 

Fte en loonsom (x € 1.000)	2022	2023
Fte's structureel	200	211
Fte's incidenteel	6	10
Totaal fte's	206	221
Loonsom	17.915	19.848

In 2023 hebben we ingezet op doorontwikkeling van onze medewerkers. Door middel van het 'goede gesprek' is de ontwikkeling tussen leidinggevende en medewerker periodiek gevolgd.

Training, opleiding en coaching van onze medewerkers is een vast onderdeel van ons HR-beleid. In het kader van de krapte op de arbeidsmarkt en het binden en boeien van personeel, is ontwikkeling van medewerkers van groot belang. In de begroting is daarom jaarlijks regulier opleidingsbudget opgenomen. Naast de reguliere verplichte functiegerelateerde opleidingen en trainingen, is in 2023 door middel van een opleidingsplan geïnvesteerd in (door)ontwikkeling van medewerkers.

Arbo en verzuim
Het ziekteverzuimpercentage is in de afgelopen jaren gestegen. Het verzuimcijfer van 2023 bedraagt afgerond 6%. Een groot deel van het verzuimcijfer is te relateren aan langdurig en lastig beïnvloedbaar verzuim. Ons streven is het ziekteverzuimpercentage te verlagen. Samen met onze arbodienstverlener proberen we daarbij ook meer in te steken op preventie, door onder meer het arbobeleidsplan en de Risico-Inventarisatie en -Evaluatie (RI&E). De acties en/of aandachtspunten die hieruit voortkomen, werden voor een groot deel al in 2022/2023 uitgevoerd.

Agressie en geweld
Agressie en geweld, oftewel ongewenst gedrag, blijft doorlopend een belangrijk thema. De gemeente heeft getraind personeel dat de-escalerend kan optreden. Daarnaast zijn er directe alarmeringsmogelijkheden richting zowel de politie als een private beveiligingsinstantie. We leggen de incidenten vast in het Gemeentelijk Incidenten Registratiesysteem (GIR). De rapportages uit het GIR worden toegevoegd aan de jaarrekening en aan het sociaal jaarverslag. Daarmee vormen ze de basis voor de beleidsbepaling.

De banenafspraak
Het eerder verplichte quotum voor het in dienst nemen van mensen met een afstand tot de arbeidsmarkt, is omgebogen naar een vrijwillige afspraak. Voor iedere ondernemer, groot of klein, geldt dat er in totaal 100.000 banen komen. De quotumheffing is vervangen door de inclusiviteitsopslag. Als de aantallen uit de banenafspraak niet worden gehaald, bestaat de kans dat de Quotumwet er alsnog komt. 

Arbeidsmarkt
Door de krapte op de arbeidsmarkt zetten we zoveel mogelijk in op samenwerking met buurtgemeenten voor de inzet en het delen van (deeltijd) personeel. Om aantrekkelijk te blijven als werkgever werken we doorlopend aan vernieuwing. Hoe bereiken we de doelgroep? Hoe zetten we onze organisatie op de kaart en hoe maken we het aantrekkelijk om voor onze organisatie te werken? 

Onboarding
Nieuwe medewerkers worden verwelkomd, waarbij ze alle benodigde hulp, begeleiding en informatie krijgen. Het gaat verder dan het wijzen naar de juiste werkplek en de koffieautomaat. Onboarding is ‘het leren kennen van het werk’ en gaat vooral over de cultuur, visie, missie, samenwerking met collega’s en het werken in een politieke context. De focus ligt op de integratie in de organisatie. Deze integratie kan plaatsvinden door persoonlijke begeleiding te bieden, waardoor nieuwe medewerkers wegwijs worden gemaakt in de organisatie. Naast persoonlijke aandacht maken we ook gebruik van digitale middelen, zoals e-learning. In het kader van binden en boeien investeren we in de groei en ontwikkeling van medewerkers en zetten we in op werkgeluk. Ook blijven we medewerkers doorlopend waarderen voor hun inzet, onder andere door het organiseren van evenementen.

Integriteit van politieke ambtsdragers
De integriteit van politieke ambtsdragers is voor een deel wettelijk geregeld. De Gemeentewet bevat bepalingen over verboden handelingen en het niet deelnemen aan stemmingen. Artikel 2:4 van de Algemene wet bestuursrecht schrijft voor dat elk bestuursorgaan zijn taak zonder vooringenomenheid vervult. 

Naast de wet zijn er ook andere gemeentelijke procedures en regels van toepassing, namelijk:

De ‘Gedragscode voor politieke ambtsdragers van de gemeente Winterswijk’ (vastgesteld door de gemeenteraad op 26 januari 2012). 
Het ‘Stappenplan onderzoek en registratie integriteitsschendingen politieke ambtsdragers’ (vastgesteld door de gemeenteraad op 31 oktober 2012). 
Een integriteitstoets voor politieke ambtsdragers (het presidium stemde op 25 juni 2012 in met de introductie hiervan). 

Integriteit van ambtenaren
De Ambtenarenwet verplicht het college ‘een integriteitsbeleid te voeren dat is gericht op het bevorderen van goed ambtelijk handelen, en dat in ieder geval meer dan voldoende aandacht besteedt aan het bevorderen van het integriteitsbewustzijn en aan het voorkomen van misbruik van bevoegdheden, belangenverstrengeling en discriminatie’. 

In het personeelshandboek Winterswijk staan de lokale regelingen voor de ambtenaren bij de gemeente Winterswijk, als aanvulling op de Cao Gemeenten. Er is een afzonderlijke regeling Integriteit toegevoegd aan ons personeelshandboek. Onderwerpen hierin zijn onder andere de vernieuwde gedragscode, normen en waarden, geheimhouding en privacy, sociale media, kwetsbare functies en integriteit bij uitdiensttreding. Daarnaast zijn er voor onze medewerkers regels en richtlijnen over onder meer het aannemen van geschenken en gelden, nevenwerkzaamheden, de omgang met bedrijfsmiddelen en een Verklaring Omtrent het Gedrag (VOG). Externe medewerkers (niet-ambtelijk personeel) zijn verplicht onder andere een integriteits- en geheimhoudingsverklaring te ondertekenen (volgens een collegebesluit van 21 april 2015). 
 
De volgende gemeentelijke regelingen zijn ook van kracht: 

• De Regeling vermoeden misstanden. Dit is de klokkenluidersregeling van de gemeente.
• Het Reglement vertrouwenscommissie.
• De Klachtenregeling ongewenst gedrag voor de decentrale overheid. 

Programma's I-kolom & Dienstverlening
Met de programma’s I-kolom & Dienstverlening geven we invulling aan onze ambities om de dienstverlening organisatiebreed op een hoger niveau te brengen. Beide programma’s zijn in 2023 gestart, werken nauw samen en versterken elkaar. In een eerder stadium is het dienstverleningsconcept voor de organisatie al vastgesteld. Momenteel wordt gewerkt aan een doorontwikkeling en de implementatie van dit concept. 

Digitale transitie
Digitalisering verandert onze maatschappij ingrijpend en is tegelijkertijd essentieel om de maatschappij draaiende te houden. 

Digitalisering gaat om veel meer dan het digitaliseren van papieren processen. Het gaat ook om veranderingen in de werkwijze en communicatie van de overheid. Om hoe we onze dienstverlening organiseren en maatschappelijke vraagstukken op- en aanpakken. Dit soort veranderingen noemen we digitale transformatie. Digitalisering is genoemd als één van de topprioriteiten van de Europese Commissie. Ook gemeente Winterswijk volgt deze visie en heeft daarom in 2023 een programma Dienstverlening en een programma I-kolom gestart. De afgelopen maanden hebben we flink geïnvesteerd in een verdere digitalisering van onze dienstverlening. Doelstelling daarbij is om de vraag van de inwoner door kanaalsturing op het juiste moment op de juiste plek te beantwoorden. Bij voorkeur zo vroeg mogelijk in het proces. Daarnaast hebben we onze servicenormen herijkt en vastgesteld, op basis waarvan wij de waardering van onze dienstverlening kunnen monitoren. Een van deze normen is dat onze dienstverlening met minimaal een zeven wordt gewaardeerd.

Het team Burgerzaken is met ons Klant Contact Center (KCC) veelal het eerste aanspreekpunt voor onze inwoners. Doelstelling is om de vragen die hier binnenkomen waar mogelijk zelf al te beantwoorden. Hiervoor is een verdere professionalisering van het cluster nodig. Samen met de medewerkers werken we momenteel aan het inventariseren van de taken en de benodigde vaardigheden en competenties. Hieruit volgt een uitvoeringsplan voor dienstverlening, dat zowel voor het team Burgerzaken als voor dienstverlening organisatiebreed een verdere uitwerking is van de visie op dienstverlening. In dit uitvoeringsprogramma nemen we ook een verdere aanbeveling op naar aanleiding van de overige resultaten uit het onderzoek van waarstaatjegemeente.nl. 

Basis op orde
Voor de verdere (keten)digitalisering is het van belang dat we alle informatie op de juiste plek hebben staan. Ook moet deze informatie betrouwbaar (juist) zijn. Dit betekent dat we de werkprocessen moeten herijken naar een digitaal ketenproces, waarin we ook moeten leren welke informatie waar hoort te worden opgeslagen en waarom. Ook moet deze informatie toegankelijk zijn geschreven en er moet eventueel al een geanonimiseerde versie van in het dossier zijn opgeslagen. Dit is essentieel om informatie te kunnen gebruiken en om deze pro-actiever openbaar te maken. In 2023 hebben we diverse processen gedigitaliseerd en verder geprofessionaliseerd voor Burgerzaken, het sociaal domein en het fysieke domein. Ook is er de afgelopen maanden, door de komst van de Omgevingswet, een sterke focus geweest op de nieuwe omgevingswetprocessen. Daarnaast is er een nieuw intranet met SharePoint opgezet, als eerste basis om te werken met het M365-platform.

AVG
Wij streven naar continue aandacht voor een veilige omgang met gemeentelijke informatie, waarbij gegevensbescherming en informatieveiligheid een vast onderdeel van de bedrijfsvoering vormen. Dit doen we via de drie lijnen mens, proces en Informatie & ICT. De gemeente Winterswijk heeft afgelopen jaren stappen gezet om te voldoen aan de wettelijke verplichtingen en de normen uit de Algemene Verordening Gegevensbescherming (AVG) en de Baseline Informatiebeveiliging Overheid (BIO). 

Actualiseren register van verwerkingen
De gemeente is onder de AVG verplicht om een register van verwerkingen te hebben en bij te houden waarin staat welke verwerkingen plaatsvinden, voor welk doel, met welke grondslag, welke bewaartermijn etc. Het huidige register bevat 368 verwerkingen en is niet meer actueel. Het register werd deels in 2023 geactualiseerd.

Toezien op de uitvoering van Data Privacy Impact Assessments (DPIA’s)
Op alle processen die een mogelijk verhoogd risico opleveren in het verwerken van persoonsgegevens, moet de gemeente een DPIA uitvoeren. Bij een DPIA maakt de gegevenseigenaar een beoordeling van de risico’s die met de verwerking samenhangen. Aanvullend op de beoordeling bevat een DPIA maatregelen om deze risico’s te verminderen of weg te nemen. Bij nieuwe projecten of bij de aanschaf van nieuwe applicaties, waarbij er een hoog risico bestaat voor de betrokkenen, moet altijd van tevoren een DPIA worden uitgevoerd om de risico’s te beperken en te beheren. Hier is de afgelopen jaren nog onvoldoende uitvoering aan gegeven. In 2023 zijn slechts twee DPIA's uitgevoerd. 

Voor de BIO is ook een risicoanalyse verplicht. Deze Business Impact Analyse (BIA) brengt naast de risico’s ook de kritiekheid van het werkproces of de applicatie in beeld. Op basis hiervan kan een Business Continuïteitsplan worden opgesteld. In 2023 is er gestart met  het beter in beeld brengen van de DPIA’s die eerdere jaren zijn uitgevoerd, en die binnen niet afzienbare tijd aflopen en moeten worden herzien. Ook in 2024 worden er DPIA’s en BIA’s uitgevoerd op processen, projecten en applicaties waarin veel wordt gewerkt met gevoelige/bijzondere persoonsgegevens of waar de gegevensverwerking een hoog privacyrisico oplevert voor de betrokkenen. 

De intentie om aan de AVG te voldoen is aanwezig. De vertaling van deze intentie in strategie en tactiek is echter nu nog onvoldoende vormgegeven. Met name ontbreekt nog teveel de risicosturing van artikel 24 e.v. AVG voor passende beheermaatregelen. Voor verdere professionalisering is een gedegen risicoanalyse nodig. Dit komt in een nog op te stellen werkprogramma 2024.

WPG-audit
Buitengewone opsporingsambtenaren (boa's) die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de Wet politiegegevens (Wpg). De Wpg kent een auditplicht die ook geldt voor de gemeente Winterswijk als werkgever van boa’s. In 2022 is een externe audit uitgevoerd, waar een verbeterplan uit voortgekomen is. In 2023 zijn maatregelen geïmplementeerd die voortkwamen uit het verbeterplan; in 2024 vindt een audit op het verbeterplan plaats.  

Informatieveiligheid
Informatie is een bedrijfsmiddel dat, net als andere bedrijfsmiddelen, van belang is voor de taakuitvoering en voortdurend op een passende manier beveiligd dient te zijn. Welke vorm de informatie ook heeft, of op welke manier ze ook wordt gedeeld of verzonden, ze dient altijd voldoende beveiligd te zijn. Als professionele organisatie past hierbij dat de gemeente Winterswijk ook de beveiliging en privacy van informatie professioneel organiseert. Informatie moet immers beschikbaar en betrouwbaar zijn en mag alleen door bevoegden worden ingezien. Bij de verwerking en uitwisseling van gegevens moeten gemeenten voldoende rekening houden met beveiligings- en privacyaspecten om de belangen van de burgers te waarborgen.

Informatiebeveiliging is erop gericht de risico’s met betrekking tot informatie en informatieverwerking te beperken tot een aanvaardbaar niveau, in relatie tot de bedrijfsdoelstellingen, contractuele verplichtingen en de geldende wet- en regelgeving. Als overheid moet hierover verantwoording kunnen worden afgelegd. Enerzijds om in algemene zin te kunnen aantonen dat zij zorgvuldig omgaat met de continuïteit van haar overheidstaken en met de informatie die burgers en bedrijven verplicht zijn aan haar toe te vertrouwen. Anderzijds om te kunnen onderbouwen dat zij zich voldoende en op de juiste wijze heeft ingespannen als het toch eens fout mocht gaan. Dit vereist dat er een transparante en methodische risicoanalyse ten grondslag ligt aan de informatiebeveiliging.

Alle eigenaren (teammanagers) van kritische informatie en informatiesystemen zijn daarom verantwoordelijk voor het beschikbaar hebben van een actuele analyse van kwetsbaarheden en risico’s voor deze informatie en informatiesystemen. Functioneel beheerders zorgen voor de juiste acties die nodig zijn. Dit moet conform de geldende criteria op methodische wijze tot stand zijn gekomen, bevat een afweging ten aanzien van de acceptatie of vermindering van de gevonden risico’s en is gericht op de implementatie van een adequate en kosteneffectieve verzameling aan beveiligingsmaatregelen. Gemeente Winterswijk heeft hierin kleine stapjes gezet die vooral nog liggen op het vlak van bewustwording van deze verantwoordelijkheden. 

De meeste activiteiten voor optimalisatie van de bewustwording van gebruikersverantwoordelijkheid betreffen de tijd van medewerkers. Die tijd is nodig om informatiebeveiliging gemeentebreed goed te kunnen borgen. Op zich is de intrinsieke motivatie voor (informatie)beveiliging – het (informatie)beveiligingsbewustzijn – bij de meeste mensen in onze organisatie in orde. Maar het beveiligingsbewustzijn ligt nog niet op het niveau dat eigenlijk nodig is. Dit betekent dat het voor ons allemaal in meer of mindere mate nodig is om het beveiligingsbewustzijn te blijven verbeteren. Alle medewerkers in de organisatie hebben in 2023 een I-bewustwordingstraining gevolgd. Daarnaast is door alle functioneel beheerders van de gemeente Winterswijk in het vierde kwartaal van 2023 een tweedaagse training 'Baseline Informatiebeveiliging Overheid' gevolgd. Hiermee is een basis gelegd voor verdere professionalisering van het functioneel beheer. In 2024 worden er nieuwe bewustwordingstrainingen georganiseerd.

Informatieplannen
We zijn in 2023 aan de slag gegaan met de zogenoemde informatieplannen per team/domein. Deze informatieplannen dragen bij aan een solide gemeenschappelijke informatievoorziening voor de gemeente Winterswijk, zodat we samen kunnen werken aan een  veilige en rechtvaardige samenleving. In deze informatieplannen worden per team de nodige informatie en ICT-ontwikkelingen vastgelegd. Ook wordt er invulling gegeven aan de projecten die voortvloeien uit de informatieplannen. Een aantal projecten uit de informatieplannen werd in 2023 al gestart en een aantal is ook succesvol afgerond. Dit betreft onder andere het in gebruik nemen van de Persoonlijke Internet Pagina (PIP) voor E-diensten Burgerzaken. Met de PIP kunnen inwoners hun aanvragen volgen, documenten downloaden uit hun digitale dossier en documenten digitaal toevoegen indien dat nodig is. De projecten worden opgepakt met alle noodzakelijke wetgevingen die op het gebied van informatie van toepassing zijn (informatieveiligheid, privacy, Archiefwet, de nieuwe Concept Informatiewet, de Digitale Toegankelijkheid Overheid enzovoort).

Archivering
De archiefwetgeving gaat over alle informatie die de gemeente ontvangt, maakt en verstuurt voor al haar wettelijke taken. Hierbij wordt geen onderscheid gemaakt of de informatie zich op papier bevindt of digitaal is. Met andere woorden, archivering gaat over adequaat informatiebeleid en -beheer. Archiveren van informatie is een belangrijke gemeentelijke taak. Dit biedt onder meer rechtszekerheid aan bedrijven aan burgers. Archivering maakt het dus mogelijk om naderhand te bepalen wat de rechten en plichten van de gemeente en de burgers waren. Bij een geschil kan deze gearchiveerde informatie naderhand juridisch het onderscheid maken. Maar archivering is ook van belang om cultureel erfgoed te beschermen. Zo bezit de gemeente documenten die van historisch belang zijn. Omdat archivering voor de maatschappij zo belangrijk is, wordt elke gemeente regulier beoordeeld op het voldoen aan eisen die de Archiefwet 1995 stelt.
Informatiebeheer kan gemeten worden met een zogenoemde KPI1 methodiek van de VNG. De archief KPI’s zijn gebaseerd op de eisen die aan de gemeente gesteld worden in de archiefwetgeving. De Archiefwet 1995 (Aw) en het daarbij horende Archiefbesluit (Ab) en Archiefregeling 1995 (Ar). Hier zijn verschillende onderwerpen die op orde moeten zijn. Door het beantwoorden van de bij de archief KPI’s behorende vragen blijkt in hoeverre de gemeente aan de eisen van de wet- en regelgeving voldoet. 
ECAL heeft namens provincie Gelderland in 2023 een audit uitgevoerd op het ‘5e en 6e deelgebied van de Archief KPI’s. De toetsing zoomt ditmaal in op het hebben van een metadataschema en de aanwezigheid van een procedure conversie en migratie. ECAL adviseert ons aandacht te houden voor het op- en vaststellen van metadataschema’s voor informatiesystemen  en  applicaties. Daarnaast  is  het  voor  het  duurzaam  toegankelijk  houden  van informatie eveneens noodzakelijk om een procedure  voor  conversie en migratie te hebben en toe te passen.

Het complete auditverslag met aanbevelingen ligt bij de Jaarstukken 2023 ter inzage.

We werken in gemeente Winterswijk steeds meer digitaal. Digitale systemen worden hiermee steeds belangrijker en vormen steeds meer de ruggengraat van de samenleving. Nutsvoorzieningen, gezondheidszorg en gemeenten kunnen niet meer zonder een veilige en goed werkende digitale infrastructuur. Maar dat maakt ons allen ook kwetsbaar voor kwaadwillende die uit zijn op financieel gewin (criminelen) of ontwrichting van de maatschappij (statelijke actoren).

Het dreigingsbeeld is de laatste jaren sterk verandert, kijkend naar de oorlogen in Oekraïne en Israël, en daarmee ook onze cyberrisico’s. Het is niet de vraag of we worden gehackt, maar wanneer. Ontwikkelingen in de geopolitiek, in de maatschappij en technologie liggen hieraan ten grondslag. Cybercriminaliteit is sterk geprofessionaliseerd en uitgegroeid tot een miljardenindustrie. Kijk maar eens naar de ransomware aanvallen en de hacks om je heen en de bedragen die door het MKB,  ziekenhuizen en universiteiten worden betaald. Slechts een klein gedeelte haalt de krant. Statelijke actoren hebben digitale wapens en aparte digitale militaire eenheden. Digitale oorlogsvoering is de norm. Daarnaast speelt het hybride (thuis) werken door de Corona pandemie ook een rol in het aanvalsoppervlak en daarmee de cyberrisico’s.

ICT-beveiliging is niet alleen een kwestie van bedrijfsvoering en Automatisering, maar van ons allemaal. Techniek is een belangrijk onderdeel, maar nog meer gaat het om gedrag en houding van ons allemaal. Ook bij de politiek moet dit besef toenemen. 

De informatiebeveiliging van onze gemeente is belangrijk. Wij bepalen hoeveel risico gelopen wordt. De teammanager is verantwoordelijk voor de inrichting van processen en systemen zodat de risico’s teruggebracht worden tot een acceptabel niveau. 

De ENSIA (Eenduidige Normatiek Single Information Audit) verantwoording over informatieveiligheid wordt gedaan met een jaarlijks verplichte zelfevaluatie. In het laatste kwartaal van 2023 zijn hiervoor meer dan 600 vragen beantwoord. Deze hadden betrekking op informatieveiligheid, maar ook op de proceskwaliteit van de Basisregistratie Personen (BRP), Paspoort Uitvoeringsregeling (PUN), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO),  DigiD en Suwinet. De rapportage geeft naast informatieveiligheid dus ook een beeld over de kwaliteit van de vakgebieden rondom bepaalde administraties. Een register EDP-auditor houdt toezicht op de juistheid van de antwoorden door de bewijsvoering te toetsen. Daarnaast is het op de plaats nog twee opmerkingen te plaatsen: de ENSIA toetst op bestaan en aanwezigheid van een control en/of maatregel, maar niet op de werking. Dit gaat in 2024 veranderen. Dan de tweede opmerking: De BIO is een Baseline: een minimum variant gericht op preventieve en repressieve controle.

Daarnaast zijn wij als gemeente wettelijk verplicht een aantal nieuwe (Europese) wetten te implementeren waaronder de Network Information Security 2 (NIS2).  Wij zullen als gemeente flink moeten investeren in capaciteit en middelen om op dit vlak bij te blijven en aan de wetgeving te voldoen. 

De bestuurlijke ambitie, zoals verwoord in het strategisch informatiebeveiligings-beleid van de gemeente Winterswijk, is om in 2023 het volwassenheidniveau 4 te behalen. Deze ambitie is integraal onderdeel van de professionele gemeente, zoals benoemd in de VNG Resolutie. Wij halen dit niveau nog niet.

Natuurlijk is niet alles te voorkomen, maar waar we als gemeente Winterswijk naar toe willen is cyberweerbaarheid: ICT-incidenten gebeuren, het is van belang juist tijdens deze incidenten te blijven functioneren. (Zij het in een afgeslankte vorm). Cyberweerbaarheid gaat in gedurende of na een cyberincident. 

ENSIA - Verplichte zelfevaluaties /audits
De volgende verplichte zelfevaluaties /audits zijn in 2023 uitgevoerd:
•    Zelfevaluatie Basisregistratie Personen (BRP) en Reisdocumenten 2023. De score bedroeg op Informatiebeveiliging voor BRP 91% en voor reisdocumenten 94%.
•    Audit op SUWInet (Wet Structuur Uitvoeringsorganisatie Werk en Inkomen) bij Fijnder (Sociale Dienst) gecontroleerd door een externe RE auditor. Vastgesteld is dat wordt voldaan aan het gestelde normenkader.
•    Zelfevaluaties voor de geo-basisregistraties BAG, BGT en BRO. Het betreffen vragen over het proces, tijdigheid, volledigheid en juistheid en hebben geen relatie met informatiebeveiliging. Voor alle registraties scoren wij binnen de vastgestelde norm. Eventuele verbeterpunten zijn belegd in de organisatie en worden in 2024 door de teammanagers opgepakt. 
•    Zelfevaluatie WOZ door team Belastingen is komen te vervallen in de ENSIA. 
•    DigiD audit 2023: Winterswijk beschikt over drie actieve DigiD aansluitsluitingen. Alledrie in eigen beheer. Voor alle aansluitingen is de gemeente eindverantwoordelijk.  Voor deze aansluitingen is eind 2023 een pre-audit uitgevoerd door een externe auditor. Winterswijk voldoet voor alle drie de DigiD aansluitingen aan de norm. 
 
Bereikte resultaten
Naast het verder uitwerken van het wat bredere ENSIA-informatiebeveiligingsbeleid en de professionalisering van ons ISMS zijn in 2023 de volgende zaken gerealiseerd: 
•    Terugkoppeling mysteryguest in alle Teams van de gemeente
•    Workshop gegevensdeling sociaal domein
•    Interne audit Wet politiegegevens
•    Externe audit verbeterplan Wet politiegegevens
•    Procesinrichting en (digitale) beveiliging van het verkiezingsproces
•    Baseline Informatiebeveiliging Overheid (BIO) voor applicatiebeheer
•    Integriteitsworkshops
•    Collegeverklaring ENSIA 2023
•    Diverse penetratietesten (pentesten) op onze ICT omgeving.

Paragraaf Informatiemanagement
Voor de ENSIA moet de gemeente in de paragraaf over bedrijfsvoering van haar jaarverslag een aparte (deel)paragraaf opnemen over informatiebeveiliging. Winterswijk doet dit al een aantal jaren in de vorm van deze paragraaf Informatiemanagement. Deze paragraaf omvat informatie over de informatiebeveiliging in brede zin. Hierin rapporteert het college aan haar toezichthouder (de Raad) over informatiebeveiliging. Deze rapportage vloeit voort uit de afspraken in de gemeentelijke resolutie ‘Informatiebeveiliging randvoorwaarde voor een professionele gemeente’. De Raad stelt de jaarstukken, waaronder het jaarverslag, vast. In de paragraaf Informatiemanagement verwijst het college naar de collegeverklaring. De collegeverklaring maakt geen deel uit van het jaarverslag.

Collegeverklaring
Met deze verklaring geeft het college van B&W aan in hoeverre de gemeente aan de beheersingsmaatregelen heeft voldaan, voor 2023 is deze wederom gericht op DigiD en SUWInet. Deze beheersmaatregelen betreffen de voor de ENSIA-verantwoording geselecteerde normen en mogelijke onderdelen die daarvan zijn uitgezonderd. Ook wordt melding gemaakt van de verbetermaatregelen die de gemeente treft. De collegeverklaring is basis voor het Assurance rapport.

Assurancerapport
Een bij de NOREA geregistreerde RE-auditor controleert de collegeverklaring en stelt een Assurance rapport op. Deze werkzaamheden van de RE-auditor duiden we ook wel aan als de IT-audit. De RE-auditor verklaart in het Assurance rapport dat de collegeverklaring een getrouw beeld geeft. Getrouw betekent dat de collegeverklaring met een redelijke mate van zekerheid juist en volledig is.

Het college heeft verklaard dat de beoogde en ingerichte beheersingsmaatregelen voor DigiD en SUWInet voldoen aan de geselecteerde normen. De externe auditor heeft in het Assurance rapport geoordeeld dat de collegeverklaring juist is.

Beveiligingsincidenten
Beveiligingsincidenten zijn gebeurtenissen die inbreuk maken op de informatieveiligheid. Ze zijn niet te voorkomen, maar kunnen wel geminimaliseerd worden door het treffen van preventieve maatregelen. Beveiligingsincidenten kunnen als graadmeter dienen en bieden input om de kwaliteit van informatiebeveiliging verder te verbeteren. In totaal zijn er in 2023 284 incidentmeldingen geweest (2020 221 meldingen, 2021 477 meldingen, 2022 161 meldingen), waarvan er 37 door de Informatie Beveiligings Dienst Gemeenten (IBD) zijn gedaan en 247 meldingen intern zijn gemeld. Negen meldingen hadden de status hoog. Er is géén melding aan de Autoriteit Persoonsgegevens gedaan in het kader van de meldplicht datalekken. Er is geen Responsible Disclosure – melding van kwetsbaarheden - door een externe partij geweest. 

De gemeente Winterswijk kent veel processen waarbij persoonsgegevens van burgers en medewerkers worden verwerkt. In 2018 werd de Algemene Verordening Persoonsgegevens (AVG) geïntroduceerd, waarin wordt bepaald hoe we met persoonsgegevens om moeten gaan. In de jaren na de invoering van de AVG is een stevig fundament gelegd. In 2023 wordt het beleid verder ontwikkeld en waar nodig geactualiseerd naar aanleiding van de wijzigingen in de organisatiestructuur van de gemeente Winterswijk. Hierbij heeft het in kaart brengen van processen met een hoog privacyrisico en het actualiseren van het verwerkingenregister prioriteit. 

Daarnaast blijft bewustwording een belangrijk aandachtspunt. Door bewustzijn te creëren kunnen medewerkers zelf afwegingen maken en beslissingen nemen op het gebied van privacy. De organisatie wordt ondersteund door een Privacy Officer en door een interne toezichthouder, de Functionaris Gegevensbescherming (FG). Zij ondersteunen de teams bij het implementeren van nieuwe processen waarbij een DPIA (risicobeoordeling) vereist is, of bij complexe privacyvraagstukken. Om dit te waarborgen dient het privacyteam echter tijdig betrokken te worden bij nieuwe ontwikkelingen. 

Door middel van regionale inkoopsamenwerking is het huidige gemeentelijk inkoopbeleid opgesteld in samenwerking met zeven andere Achterhoekse gemeenten, met ruimte voor Winterswijkse accenten. Het huidige inkoopbeleid uit 2017 is in 2023 herijkt en vastgesteld. Dit geldt voor onder andere de onderwerpen sociaal en duurzaam inkopen.   

In 2023 zijn verschillende (Europese) aanbestedingen uitgevoerd, waaronder de bestrijding van de duizendknoop, de levering van bomen en heesters en de inhuur en opdrachten voor ZOOV (routevervoer en dienstverlening voor de vervoercentrale).  

In de rechtmatigheidsverantwoording geeft het college van burgemeester en wethouders aan in hoeverre de in de jaarrekening verantwoorde baten en lasten, alsmede de balansmutaties, rechtmatig tot stand zijn gekomen. Dit houdt in dat deze in overeenstemming zijn met door de gemeenteraad vastgestelde kaders, zoals de begroting en gemeentelijke verordeningen, en met bepalingen in de relevante wet- en regelgeving.
Deze verantwoording hanteert een grensbedrag, omdat alleen de van belang zijnde aspecten in de verantwoording hoeven te worden betrokken. Deze grens is door de gemeenteraad bepaald en bedraagt 1% van de totale lasten inclusief mutaties in de reserves, en is daarmee vastgesteld op € 1.250.000.
In de paragraaf bedrijfsvoering geeft het college een toelichting op de rechtmatigheidsverantwoording. Daarnaast worden alle belangrijke bevindingen (fouten en onduidelijkheden) groter dan € 50.000, die volgen uit de controle van de rechtmatigheid, opgenomen in de paragraaf bedrijfsvoering en voorzien van maatregelen om dit in de toekomst te voorkomen. 

Uitvoering van de verbijzonderde interne controle

De verbijzonderde interne controle 2023 is deels uitbesteed aan een accountantskantoor. Wij zijn voornemens om dit in 2024 volledig intern te beleggen. Gelet op de arbeidsmarktproblematiek is het de vraag of dit adequaat intern belegd kan worden, mocht dit niet lukken dan zal ervoor gekozen worden om dit opnieuw (deels) uit te besteden. De uitvoering van de verbijzonderde interne controle heeft veel capaciteit gevraagd omdat de organisatie (niet) tijdig de gevraagde documenten opleverde. Denk hierbij aan de processen Europese aanbestedingen, prestatieleveringen en WMO-Jeugd. 

Rechtmatigheidsbeheer 

Onderstaand hebben wij, met in achtneming van de hiervoor gestelde verantwoordings- en rapportagegrens, de bevindingen ten aanzien van de verschillende rechtmatigheidsaspecten (begrotingscriterium, voorwaardencriterium en criterium misbruik & oneigenlijk gebruik) van de gemeente Winterswijk opgenomen. 

Begrotingscriterium
Bij de rechtmatigheidscontrole vormt het begrotingscriterium een belangrijk toetsingscriterium. In de begroting zijn de maxima voor de lasten vermeld die door de raad zijn vastgesteld. Dit houdt in dat de financiële beheershandelingen dienen te passen binnen de begroting, waarbij het juiste programma, de toereikendheid van het begrotingsbedrag, alsmede het begrotingsjaar van belang zijn. 

Wij (het college) hebben de begrotingsrechtmatigheid gecontroleerd. De toe te passen normen voor het begrotingscriterium zijn gebaseerd op de artikelen 189, 190 en 191 van de Gemeentewet, welke nader zijn geconcretiseerd in de begroting en de financiële verordening. Het begrotingscriterium is verder verfijnd in de Kadernota rechtmatigheid 2023 van de commissie BBV. 

Het overschrijden van de begroting is altijd onrechtmatig en lastenoverschrijdingen per programma moeten goed herkenbaar in de jaarrekening worden opgenomen. De bij de controle van de begroting geconstateerde begrotingsoverschrijdingen die groter zijn dan de rapportagegrens van € 50.000, zijn hierna opgenomen. 

Voor de hiernavolgende programma’s is sprake van een overschrijding van de lasten: 

•    Programma 1 Sociaal krachtig Winterswijk, overschrijding van € 1.084.000.
•    Programma 2 Meedoen in Winterswijk, overschrijding van € 513.000.
•    Programma 5 Inkomsten van Winterswijk, overschrijding van € 2.356.000.

Deze overschrijdingen passen binnen het bestaande beleid. Voor een inhoudelijke analyse van de geconstateerde overschrijdingen, verwijzen wij naar het hoofdstuk begrotingsrechtmatigheid in de jaarrekening.

Bij de controle op de naleving van de gestelde subsidieplafonds is gebleken dat één plafond met € 52.000 overschreden is. In de toekomst leidt dit aspect bij toekenning van de subsidie tot een nieuw subsidieplafond.

De kredieten zijn met een bedrag van € 283.000 overschreden. Bij de overschrijdingen gaat het om uitgaven waarvoor (gedeeltelijk) een vergoeding ontvangen is, of welke gecompenseerd worden door een onderschrijding van uitgaven met betrekking tot een gerelateerd krediet. 

Voorwaardencriterium 
Het voorwaardencriterium heeft betrekking op de eisen die worden gesteld bij de uitvoering van de financiële beheershandelingen. De eisen/voorwaarden zijn afkomstig uit diverse interne en externe regelgeving. 

Met betrekking tot het proces inkopen en aanbesteden betrekken wij de naleving van de Europese aanbestedingsregels in de controle. De interne aanbestedingsregels zoals vastgelegd in het inkoop- en aanbestedingsbeleid maken echter geen onderdeel uit van de controle, vanwege het besluit van de raad (28 september 2023) om deze buiten het normenkader te houden. Tijdens de uitgevoerde werkzaamheden is ondanks dit besluit echter wel geconstateerd dat consequente naleving van dit beleid aandacht behoeft, aangezien dit beleid niet consequent nageleefd is.

De controle van het proces aanbesteden heeft over het afgelopen jaar onrechtmatigheden aan het licht gebracht tot een bedrag van € 384.000 (2022: € 611.000).

De getroffen maatregelen (waaronder inkoopprocedure en vereisten ten aanzien van vastlegging) lijken daarmee vrucht af te werpen. Tegelijkertijd merken wij op dat de rechtmatigheid van de inkopen nog niet structureel is geborgd en de beheersing en verantwoording van de inkoopuitgaven kan worden verbeterd, onder andere door dossiervorming. 

In de komende periode pakt de organisatie deze punten verder op en gaat aan het werk met de verdere verbetering van het proces inkopen en aanbesteden. 

Uit de controle van het proces subsidies zijn formele rechtmatigheidsfouten geconstateerd, doordat in enkele gevallen de gestelde termijnen niet zijn nageleefd, of documenten niet beschikbaar waren. 

Criterium Misbruik & Oneigenlijk gebruik 
De rechtmatigheidseis betreft ook de toetsing op juistheid en volledigheid van de gegevens, die door de belanghebbenden zijn verstrekt om het voldoen aan voorwaarden aan te tonen. Dit ter voorkoming en bestrijding van misbruik en oneigenlijk gebruik van wet- en regelgeving (M&O-criterium). Het gaat er bij het M&O-criterium in het bijzonder om vast te stellen dat in de organisatie effectieve maatregelen zijn getroffen om misbruik te voorkomen, dan wel op te sporen. Wij hebben tijdens de uitgevoerde werkzaamheden de, door de raad vastgestelde (28 september 2023), nota voorkomen en bestrijden van misbruik en oneigenlijk gebruik getoetst.

Het M&O-beleid is in de praktijk in hoofdzaak ingebed in de processen van de organisatieonderdelen en in de gemeentelijke regelgeving. Uit de controle van het proces WMO blijkt een onrechtmatigheid van € 4.000.000 in het kader van het M&O-criterium. Hierbij zijn er beschikkingen afgegeven, maar de identificatie is niet vastgesteld en vastgelegd in het dossier. Wij hebben niet vastgesteld dat er sprake is van misbruik of oneigenlijk gebruik, echter aan de formele voorwaarde van identificatieplicht is niet voldaan. Gedurende de komende jaren worden bij (her)indicaties alsnog de ontbrekende ID-gegevens opgenomen in het systeem.