Inleiding
Informatievoorziening is een strategische factor om een optimale dienstverlening en bedrijfsvoering te realiseren.
In 2019 heeft de gemeente zaakgericht werken deels afgerond voor wat betreft de zaken met betrekking tot de dienstverlening aan onze inwoners en ondernemers. Geheel onverwacht heeft de leverancier van het zaaksysteem besloten om te stoppen met de huidige ICT-Prestatie. Dat heeft er toe geleid dat de gemeente de informatie- en applicatiearchitectuur versneld heeft aangepast richting Common Ground. Daarmee hoopt de gemeente in de nabije toekomst minder leveranciersonafhankelijk te worden.
Ook informatiebeveiliging vergt veel tijd en energie. De uitsmijter kwam in december 2019 met de problemen rondom de Citrix-servers waar de gemeente ook, onder de vlag van de RID, gebruik van maakt.
In november 2019was een raadsinformatieavond waarbij informatie- en informatiebeveiliging zijn toegelicht.
Werken onder architectuur
Werken onder architectuur is ook in 2019 de basis geweest van waaruit de gemeente is gaan bouwen aan de gemeentelijke informatievoorziening. Werken onder architectuur helpt de gemeente inzicht en overzicht te krijgen in de benodigde ontwikkelingen om de gemeentelijke dienstverlening en informatievoorziening effectief en efficiënt te vervullen.
De gemeente heeft meer aandacht besteed aan de landelijke ontwikkelingen m.b.t. Common Ground en dat vertaald in een visie voor de gemeentelijke informatievoorziening.
Met die visie op Common Ground legt de gemeente een basis voor een toekomstgerichte informatievoorziening die de gemeente in staat stelt op een flexibele en moderne manier maatschappelijke vraagstukken, dienstverlening en bedrijfsvoering op te pakken.
Uitwerking raadsprogramma 2018-2022
Verbeteren informatievoorziening
In het raadsprogramma is de volgende passage opgenomen:
Verder verbeteren van de kwaliteit van bestuur, o.a. door een goede informatievoorziening bij besluitvorming.
De gemeente is aan de slag gegaan om de gegevens, zowel binnen de organisatie als over de grenzen van de gemeentelijke organisatie in beeld te brengen. In 2019 heeft de gemeente met de BghU de gegevens vanuit de BAG, WOZ en BGT geanalyseerd. Uit die analyse blijken veel verschillen te ontstaan. Inmiddels zijn die vanuit de BGT al bijgewerkt. Voor de WOZ en BAG is een begin gemaakt en is de afronding in 2020. Een kwalitatief goede WOZ en BAG leidt tot een complete en juiste WOZ-aanslag en uiteindelijk minder bezwaren.
Gemeentelijke gemeenschappelijk infrastructuur
Gemeenten staan midden in de samenleving en worden sterk door maatschappelijke en technologische innovaties beïnvloed. Dit houdt onder andere in dat hun dienstverlening en bedrijfsvoering steeds digitaler worden. Gemeenten werken op dit gebied al vaak samen. Tegelijkertijd dient de ondersteunende ICT de gemeenten en de samenwerkingsverbanden wendbaar te houden.
Het realiseren van een Gemeentelijke Gemeenschappelijke Infrasructuur (GGI) schept de voorwaarden om hier aan te voldoen. Daarnaast staan door de schaalgrootte van het collectief (gemeenten samen) gemeenten sterker in de onderhandelingen met leveranciers. Ze bepalen zelf wat zij doen en ze zijn in staat om er actief regie op te voeren. En de efficiency van gezamenlijkheid leidt dikwijls tot lagere meerkosten.
In 2019 heeft de gemeente daardoor een besparing kunnen realiseren op de datacommunicatie. Dit budget wil de gemeente aanwenden voor de aanschaf van een betere en veiligere WiFi-verbinding die de gemeente als dienst van de RID afneemt. Deze WiFi-aanschaf is ook noodzakelijk voor een flexibelere werkplek indeling a.g.v. de (mogelijke) verhuur van de Hoeve. Aangezien die verhuur in 2019 is uitgesteld is ook het budget voor de aanschaf van WiFi niet benut.
Gegevensmanagement
Gegevensmanagement richt zich organisatiebreed op het gebruik van gegevens. Het gaat hier om zowel de basisregistraties (BRP, BAG, BGT, WOZ) als de kernregistraties (Beheer Openbare Ruimte (BOR), Begraafplaatsadministratie, afvalcontaineradministratie, etc.).
Inmiddels is de vacature gegevensmanager ingevuld.
Het bestaande kaartmateriaal en de bijbehorende ICT-Prestaties zijn geïnventariseerd en opgeschoond. De gemeente beschikt nu over een geo-viewer die alleen geo-informatie toont waarvan de bron én een eigenaar bekend zijn en dat er de garantie is dat de getoonde gegevens actueel, juist en betrouwbaar zijn.
Digitale Agenda 2020
De informatiestrategie van onze gemeente is gebaseerd op de ambities van de Digitale Agenda 2020. Deze agenda is het antwoord van VNG op veel van de uitdagingen waar de gemeenten voor staan. Goede en betrouwbare (digitale) dienstverlening aan de inwoners en ondernemers van de Utrechtse Heuvelrug staat hierbij centraal.
In 2019 is er een accentverschuiving naar goed functioneel- en gegevensbeheer, informatiebeveiliging en Common Ground.
De Digitale Agenda is voor de gemeente leidend en de gemeente volgt de ontwikkelingen, zoveel mogelijk in samenwerking met onze RID-collega’s.
Digitaal Stelsel Omgevingswet (DSO)
In 2019 heeft de gemeente zich georiënteerd op de benodigde ICT-Prestaties om Omgevingsplannen te kunnen maken, toepasbare regels en vragenbomen te ontwerpen en vergunningen te behandelen. Ook de vereisten voor aansluiting op het Digitaal Stelsel Omgevingswet (DSO) zijn in beeld gebracht. Er is een begin gemaakt met het aanpassen van de werkprocessen. De bestaande ICT-Prestaties worden geschikt gemaakt voor de DSO.
De impact van deze opgave mag niet worden onderschat. De beoogde eenvoud voor de gebruiker (‘één druk op de knop’) is complex om te realiseren en zal veel inzet van de betrokkenen vragen.
RID
De doelstelling van het samenwerkingsverband RID was en is het zorg dragen voor een adequate en betrouwbare ICT-omgeving voor de deelnemende organisaties. Door deze samenwerking kunnen de deelnemende organisaties de gewenste en noodzakelijke inspanningen delen en de risico’s op het gebied van kwaliteit, kwetsbaarheid en kosten verkleinen (zie voor meer RID-informatie de Paragraaf Verbonden Partijen).
De volgende projecten zijn uitgevoerd:
- e-HRM (Op weg naar één gezamenlijke e-HRM-applicatie in RID-verband)
- Invoering van Office 2016/ Office 365
- Gestart met een onderzoek naar de samenwerking op het onderdeel informatievoorziening
Op het domein Sociaal:
- Sociaal Domein verkennen samenwerking (Architectuuronderzoek ZOU)
Op basis van het onderzoek zouden de aanbevelingen worden uitgewerkt. Doordat binnen het domein andere prioriteiten waren is dit niet van de grond gekomen.
uitwerking PBLQ-evaluatie
Evaluatie I&A; ‘terugkijken met het oog op de toekomst’
Uit de rapportage blijkt dat de gemeente o.a. op de volgende punten extra inzet moet plegen:
- Informatiebeveiliging (zie § Informatiebeveiliging)
- Ketensamenwerking met RID en andere gemeenten (zie § RID)
- De professionalisering van functioneel beheer (zie § Functioneel beheer)
- Gegevensmanagement (zie § Gegevensmanagement)
Daarnaast gaf PBLQ ook nog een ander advies:
Geadviseerd wordt om in de begroting rekening te houden met de groeiende uitgaven omtrent dienstverlening en informatievoorziening. De normen voor beveiliging en privacy worden steeds strenger, de digitalisering van onze dienstverlening ontwikkelt zich en het functioneel beheer moeten we professionaliseren om zo het maximale uit onze systemen te halen en gegevens beter te ontsluiten. Ook zullen de eisen die we aan de RID (moeten) stellen leiden tot hogere kosten. Nieuwe wetgeving, zoals de Omgevingswet, leidt tot nieuwe digitaliseringsvraagstukken bij onze dienstverlening.
Gelet op de beperkte financiële mogelijkheden heeft de gemeente in de kadernota 2020 – 2023 voor het functioneel beheer geen wens ingediend.
Functioneel beheer
Een goede invulling van het functioneel beheer is noodzakelijk en verdient zich terug in effectief en efficiënt werkende medewerkers en waardevolle sturingsinformatie die eenvoudiger toegankelijk is. Om in de komende jaren onze informatievoorziening verder te verbeteren moet de rol van functioneel beheer in zowel kwantitatieve als kwalitatieve zin worden versterkt. Investeren in kennis en vaardigheden is daarbij een must, al dan niet in regionaal (RID-)verband.
Met kunst- en vliegwerk kunnen we het functioneel beheer nog regelen, maar o.a. de invoering van de DSO leidt tot meer functioneel beheer waarin nu niet voorzien is.
Flexibilisering van de werkplek
Door het ontbreken van financiële middelen is er in 2019 ‘pas op de plaats’ gemaakt.
Informatiebeveiliging
Onze gemeente is een informatie verwerkende organisatie die haar digitale dienstverlening (o.a. als gevolg van de Digitale Agenda 2020) steeds verder uitbouwt. Daarmee worden ook hogere eisen gesteld aan informatieveiligheid en privacy. Inwoners, ondernemers en ketenpartners moeten er dan ook op kunnen vertrouwen dat de gemeente zorgvuldig met hun gegevens om gaat. Daarnaast is informatieveiligheid essentieel voor de continuïteit van de dienstverlening. Om deze redenen werkt de gemeente aan het implementeren en borgen van maatregelen op het gebied van informatieveiligheid. De maatregelen die worden getroffen dragen bij aan de beschikbaarheid, integriteit (juistheid, actualiteit en volledigheid) en vertrouwelijkheid van informatie.
Informatieveiligheid is geen eenmalige activiteit, maar een continu verbeterproces. Pijlers hierin zijn de bewustwording op het gebied van informatieveiligheid en een jaarlijks terugkerend veiligheidsonderzoek genaamd ENSIA (Eenduidige Normatiek Single Information Audit).
In samenwerking met de deelnemende organisaties van de RID wordt dit uitgevoerd. Hiermee wil de gemeente de kwetsbaarheid verkleinen en de kwaliteit verhogen.
Jaarlijks verantwoordt de gemeente zich op het gebied van informatieveiligheid met een landelijke Audit-systematiek: de Eenduidige Normatiek Single Information Audit (ENSIA).
Vanuit het regionale Chief Information Security Officers (CISO) team wordt gewerkt aan het Informatieveiligheidsplan waarin de prioriteiten voor informatieveiligheid voor 2020 worden vastgesteld. Voorbeelden hieruit zijn de bewustwording op het gebied van informatieveiligheid en een jaarlijks terugkerend digitaal veiligheidsonderzoek. Dit digitaal veiligheidsonderzoek betreft zowel de techniek als de mens. Hierbij wordt nauw samengewerkt met de privacyfunctionarissen.
ENSIA zelfevaluatie.
Het jaar 2019 is het derde jaar waarin het verantwoordingsproces rondom informatie-veiligheid in ENSIA is ondergebracht. Onderdeel van ENSIA is de collegeverklaring informatieveiligheid, betreffende DigiD en Suwinet. Deze verklaring wordt getoetst door een onafhankelijke auditor en zal de gemeenteraad separaat, uiterlijk 15 juli 2020, ter kennisname ontvangen.
Gezien de toegenomen aandacht voor informatieveiligheid en privacy moet in 2020 duidelijk meer aandacht worden gegeven aan de verschillende maatregelen en de bewijslast over de werking van de geïmplementeerde maatregelen.
BRP en waardedocumenten
Het onderdeel informatiebeveiliging is uit de zelfevaluaties van de BRP (Basisregistratie Personen) en PNIK[1] (Paspoorten en Nederlandse Identiteitskaarten) gehaald en ondergebracht in ENSIA. Zodoende wordt op twee plekken hierover verantwoording afgelegd (het inhoudelijke deel gaat via de zelfevaluatie- kwaliteitsmonitor). De resultaten staan in de tabellen ‘Waardedocumenten’ en ‘BRP’.
Waardedocumenten
Onderdeel | Waarde Utrechtse Heuvelrug | Maximale score | Percentages |
Deelscore organisatie van de beveiliging | 152 | 174 | 87,4 % |
Deelscore Toegangsbeveiliging | 234 | 252 | 92,2 % |
Deelscore Naleving | 174 | 174 | 100,0 % |
Tabel BRP
Onderdeel | Waarde Utrechtse Heuvelrug | Maximale score | Percentages |
Deelscore organisatie van de beveiliging | 271 | 400 | 67,8% |
Deelscore Toegangsbeveiliging | 394 | 400 | 98,5% |
Deelscore Naleving | 352 | 400 | 88,0% |
Op de deelscore Organisatie van de beveiliging zijn nog stappen te maken, te weten beleid voor telewerken, continuïteitsplan, opleiding/training voor medewerkers voor het bevorderen van kennis en bewustzijn op het gebied van informatiebeveiliging, en het hiernaar handelen.
De gemeente Utrechtse Heuvelrug heeft momenteel drie DigiD-aansluitingen:
- i-Burgerzaken
- Zaaksysteem
- Website www.heuvelrug.nl
Basisregistraties
BGT (Basisregistratie Grootschalige Topografie)
Technisch gezien is de BGT correct opgebouwd en sinds 3 januari 2017 ook geaccepteerd in de Landelijke Voorziening. Kwalitatief is de BGT te verbeteren door o.a. een optimalisatie en synchronisatie te laten plaatsvinden met de Basisadministratie Gebouwen (BAG) en de Basisregistratie Ondergrond (BRO). Verder heeft de logische opbouw van de BGT nog aandacht nodig.
Onderdeel | Waarde Utrechtse Heuvelrug | Maximale score | Percentages |
Deelscore Borging proces | 45 | 70 | 64,3 % |
Deelscore Tijdigheid | 15 | 20 | 75,0 % |
Deelscore Volledigheid | 25 | 30 | 83,3 % |
Deelscore Juistheid | 30 | 30 | 100,0 % |
Puntentotaal BGT lijst | 115 | 150 | 77 % |
BAG
Technisch gezien is de BAG correct opgebouwd en geaccepteerd in de Landelijke Voorziening. Kwalitatief en op procesgebied moet de BAG worden verbeterd.
Onderdeel | Waarde Utrechtse Heuvelrug | Maximale Score | Gemiddelde score in % |
Deelscore Borging Proces | 65 | 80 | 81,3 % |
Deelscore Tijdigheid | 15 | 45 | 33,3 % |
Deelscore Volledigheid | 40 | 40 | 100,0 % |
Deelscore Juistheid | 30 | 40 | 75,0 % |
Puntentotaal BAG lijst | 150 | 205 | 73 % |
BRO
Vanaf 2019 is ook voor de BRO een zelfevaluatie verplicht via ENSIA. De invoering van de BRO-processen bevindt zich in de implementatiefase. De bijbehorende capaciteit komt in de loop van 2020 beschikbaar.
Onderdeel | Waarde Utrechtse Heuvelrug | Maximale Score | Gemiddelde score in % |
Deelscore Borging Proces | 15 | 70 | 21,4 % |
Deelscore Tijdigheid | 10 | 20 | 50,0 % |
Deelscore Volledigheid | 10 | 20 | 50,0 % |
Deelscore Juistheid | 0 | 10 | 0,0 % |
Puntentotaal BRO lijst | 35 | 120 | 29,2 % |
Contact met de Informatie Beveiliging Dienst (IBD).
De gemeente is aangemeld voor berichtgeving en beschikt ook over een VCIB (Vertrouwde Contactpersoon Informatiebeveiliging) zowel in de gemeente als bij de RID. Hierdoor wordt de gemeente op de hoogte gehouden aangaande incidentpreventie, -detectie en -coördinatie.
BIG-maatregelen en PvA 2019
In 2019 is er door sterk wisselende bezetting en onderbezetting van de regionale CISO's te weinig gebeurd op het vlak van te nemen BIG-maatregelen (BIG = Baseline Informatiebeveiliging voor Nederlandse Gemeenten). Een nieuw en actueel informatieveiligheidsplan is daardoor niet van de grond gekomen. Borging van de noodzakelijke kwaliteit van de informatieveiligheid werd onderhouden door de CISO van de gemeente zelf.
Datalekken in 2019
In 2019 zijn drie datalekken geregistreerd. Wanneer een datalek een grote impact heeft op de persoonlijke levenssfeer van betrokkenen wordt melding gedaan bij de Autoriteit Persoonsgegevens (AP) en eventueel aan betrokkenen. In 2019 zijn geen datalekken gemeld bij de AP of gemeld bij de betrokkenen. Er zijn maatregelen getroffen om dit in de toekomst te voorkomen.
Workshops
In 2019 is er een AVG-challenge georganiseerd (AVG = Algemene verordening gegevensbescherming).
Overzicht verwerkingen en verwerkingenovereenkomsten
Op onze www.heuvelrug.nl staat het verwerkingsregister. Met de belangrijkste verwerkers zijn verwerkersovereenkomsten afgesloten.
Communicatie en bewustwording Privacy
Gegevensbescherming staat of valt met het bewustzijn van de medewerkers. Door middel van communicatie, workshops, lezingen etc. werkt de gemeente aan bewustwording over privacy. Dit is een continu proces. Dit gebeurt in nauwe samenwerking met de privacyfunctionaris.
Vanuit de CISO’s van de RID worden er posters opgehangen op de werkplekken over informatieveiligheid en privacy. Daarnaast wordt er regelmatig gepost op Samen@Work.
[1] Het uitgifteproces rond paspoorten en Nederlandse identiteitskaarten.
Digitale duurzaamheid
Het op orde hebben van de gemeentelijke informatiehuishouding is van belang voor de interne bedrijfsvoering, de verantwoording aan de raad en de burger en voor het vastleggen van de geschiedenis van de gemeente. In 2019 is de gemeente in RHC-verband gestart met pilot ‘e-depot’ om ervaring op te doen en te kijken wat de (on)mogelijkheden zijn. De gemeente participeert in de regie- en klankgroep die met het project bezig is. Daarnaast is de gemeente bezig met de invoering van één Document Management Systeem dat past binnen onze Common Ground gedachte.