Paragraaf 5 - Bedrijfsvoering

De bedrijfsvoering wordt vanaf 1 januari 2014 via de GR BAR-organisatie uitgevoerd. Relevante ontwikkelingen op dit gebied zijn in deze (wettelijk verplichte) paragraaf opgenomen.
Met ingang van het boekjaar 2023 wordt de rechtmatigheidsverantwoording ingevoerd. Dan geeft de accountant niet langer een verklaring over de rechtmatigheid af in zijn accountantsverklaring bij de jaarrekening, maar legt het college verantwoording af over de rechtmatigheid in de jaarrekening. 
De rechtmatigheidsverantwoording van het college van B&W maakt dan onderdeel uit van de getrouwheidscontrole van de accountant.
Alhoewel het dus pas gaat gelden voor de volgende rekening 2023 hebben wij deze rekening (net als de jaarrekening over 2021) gebruikt als een proefjaar. 

Bezetting in de organisatie, exclusief vacatureruimte
Per 31 december 2022 waren in de GR BAR 841,43 fte (936 werknemers) in dienst met een vast of tijdelijk dienstverband. Het instroompercentage (16,9%;  in 2021 = 11,4%) is het percentage van de bezetting (fte) dat in 2022 in dienst is getreden bij de GR BAR. Het doorstroompercentage (8,5%; in 2021 = 4,6%) is het percentage van de bezetting (fte) dat via een interne sollicitatieprocedure een andere functie is gaan vervullen of duurzaam van functie is veranderd. Het uitstroompercentage (13.1%; in 2021 = 9,3%) is het percentage van de bezetting (fte) dat uit dienst is getreden. 

Ziekteverzuim
In 2022 was het verzuimpercentage in de GR BAR gemiddeld 6,94% (2021: 5,69%). De ingezette daling is gestagneerd. Ter vergelijking: in 2021 was het verzuimpercentage bij gemeenten met 50.000-100.000 inwoners 5,8%. De verzuimnorm - gebaseerd op een normstelling waarbij een kwart van de gemeenten een verzuim heeft dat lager ligt dan dit cijfer - is in 2021 voor gemeenten met 50.000-100.000 inwoners 5,0%. Er is gekozen voor een vergelijking met deze gemeentegrootteklasse omdat de omvang van onze GR BAR hier het beste bij past.
De verzuimcijfers van 2022 binnen de sector gemeenten zijn nog niet bekend.
De invloed van COVID-19 op het verzuim in 2022 was minimaal. Alleen in het eerste kwartaal was er sprake van een stijging in COVID-gerelateerde ziekmeldingen. Deze liep gelijk met de landelijke stijging van het aantal besmettingen. Medewerkers hebben zich ook kort ziek gemeld na een vaccinatie of boosterprik.

Werknemers in de doelgroep banenafspraak
Voor het jaar 2022 is de norm voor het aantal arbeidsuren van werknemers die vallen binnen de doelgroep banenafspraak (voorheen genoemd “garantiebanen”) 42.300 uur. In 2022 is voor de doelgroep gerealiseerd:

- in dienst bij onze GR BAR: 15.756 uur;
- via inleenverbanden of detachering werkzaam bij onze GR BAR: 10.154 uur.

In 2022 zijn 25.910 arbeidsuren ingevuld door werknemers die vallen binnen de doelgroep banenafspraak. Onze GR BAR heeft daarmee de doelstelling niet behaald.

In 2022 heeft het Gerechtshof Den Haag een voor onze GR BAR gunstige uitspraak gedaan in de invorderingsrentezaak die te maken heeft met de vaststellingsovereenkomst koepelvrijstelling 2014-2017. De Staatssecretaris van Financiën heeft aangegeven geen beroep in cassatie in te stellen. Hiermee is deze zaak formeel bekrachtigd en het incidentele voordeel is direct ten gunste gebracht van onze gemeente.

De Staatssecretaris heeft in zijn toelichting op het niet instellen van beroep in cassatie aangegeven dat hij berust in de betaling van het bovengenoemde bedrag. Maar uit de toelichting van de Staatssecretaris is af te leiden dat hij zich niet kon vinden in de argumentatie van het Hof Den Haag dat de koepelvrijstelling op 90% van de prestaties van de BAR van toepassing is. Verder overleg met de Belastingdienst heeft er helaas ook in geresulteerd dat mocht de gemeenschappelijke regeling nu of in de toekomst de toepassing van de koepelvrijstelling mogelijk achten, zij dat in een nieuwe gerechtelijke procedure zal moeten afdwingen.

Rechtmatigheid financiële beheers handelingen
De verbijzonderde interne controle (VIC) is in 2022 uitgevoerd op 18 processen. De uitvoering vindt plaats per kwartaal of halfjaar. Het betreft zowel processen van de GR BAR als van de gemeente.

In 2022 is opnieuw tijd geïnvesteerd in de borging van interne controle in de lijn. Samen met de vakafdelingen is de, in 2021 ingezette aanpak van de interne controle, de verbijzonderde interne controle en de borging van procesmanagement doorontwikkeld. 
Belangrijke uitgangspunten hierbij zijn:

• een risicogerichte aanpak: alleen die processen bij de interne beheersing betrekken die er qua omvang en risico toe doen. Daarnaast vooral focussen op de processtappen waar de risico’s kunnen ontstaan. 
• een procesgerichte aanpak: zoveel als mogelijk de interne beheersing van de processen inpassen in de bestaande werkwijze zodat er geen extra werkzaamheden nodig zijn om dit uit te voeren. Dit ter vervanging van de gegevensgerichte controle die op dit moment nog veelal wordt toegepast.
• borging: beheer en onderhoud van processen als vast onderdeel op de agenda waarbij efficiënt, effectief en rechtmatig werken voorop staan.
• grip op de uitvoering: processen op orde, interne controle binnen de teams en verbijzonderde interne controle vanuit de onafhankelijke positie. 

Het borgen van interne controle en rollen, taken en verantwoordelijkheden binnen de processen krijgt hierdoor steeds meer vorm en inhoud. Mede door verloop in de organisatie is inrichten van interne processen in de lijn een blijvend aandachtspunt. 

Bij de uitgevoerde VIC zijn geen financiële fouten geconstateerd.  Er zijn wel bevindingen binnen de processen waarmee wordt aangegeven dat dit een blijvend aandachtspunt is.

In het Besluit Begroting en Verantwoording Provincies en Gemeenten zijn 5 verplichte beleidsindicatoren ingevoerd die betrekking hebben op de bedrijfsvoering. In de jaarrekening 2022 van de BAR-organisatie zijn deze beleidsindicatoren vermeld.

 De impact en de effecten van COVID 19 zijn vanaf 2022 onderdeel geworden van de reguliere werkzaamheden.

In deze rechtmatigheidsverantwoording geeft het College van burgemeester en wethouders aan in hoeverre de in de jaarrekening verantwoorde baten en lasten, alsmede de balansmutaties, rechtmatig tot stand zijn gekomen. Dit houdt in dat deze in overeenstemming zijn met door de gemeenteraad vastgestelde kaders zoals de begroting en gemeentelijke verordeningen en met bepalingen in de relevante wet- en regelgeving. Deze verantwoording betreft de rechtmatige uitvoering van de taken en omvat het begrotings-, voorwaarden-, en misbruik- en oneigenlijk gebruik criterium bij de desbetreffende financiële beheerhandelingen en transacties. 
Bij de waarderingsgrondslagen in de jaarrekening  zijn de algemene grondslagen voor het opstellen van de jaarrekening opgenomen. Bij het opstellen van deze rechtmatigheidsverantwoording is daarnaast ook het door het college in februari 2022 vastgestelde normenkader van de relevante wet- en regelgeving als grondslag gehanteerd.

Deze verantwoording hanteert een grensbedrag omdat alleen de van belang zijnde aspecten in de verantwoording hoeven te worden betrokken. Deze grens is door de gemeenteraad bepaald en bedraagt 1% van de totale lasten inclusief mutaties in de reserves jaarrekening 2022 en is daarmee vastgesteld op € 733.672,-.

Conclusie
Het college is van mening dat de in deze jaarrekening verantwoorde baten en lasten alsmede de balansmutaties rechtmatig tot stand zijn gekomen binnen de daarvoor gestelde grens. Daarnaast is het college van mening dat er binnen het voorwaarden en M&O-criterium is gehandeld. 

De aangemerkte onrechtmatigheden zijn als volgt:

Programmarekening            269.441
Investeringen                                           0
Sociaal domein                                        0
Totaal onrechtmatig           269.441
    
Voor een analyse van bovenstaande posten wordt verwezen naar onderdeel 5.7 Rechtmatigheid in de jaarrekening.

In 2022 voerden we de ENSIA-audit uit. De audit is tijdig uitgevoerd en vastgelegd in de ENSIA-tool van het Ministerie. De tool is de basis voor de verantwoording over informatiebeveiliging die het college, gelijktijdig met de jaarstukken, aflegt aan de raad. 
Hieronder volgt het rapport over de audit.

Informatieveiligheid

1.    Inleiding/aanleiding
a) VNG resolute "Informatieveiligheid, randvoorwaarde voor de professionele gemeente"
Met de VNG resolute "Informatieveiligheid, randvoorwaarde voor de professionele gemeente" van 2013 hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De BIG is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. De horizontale verantwoording bestaat uit de zelfevaluatie, en IT-audit, en verklaring van het college van burgemeester en wethouders en een passage over informatieveiligheid in het jaarverslag.

Van BIG naar BIO
Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO normatiek.

b) Verantwoordingsverplichting ENSIA
Om aan te tonen dat de gemeente Albrandswaard werkt in overeenstemming met de geldende wet- en regelgeving, interne regels en gedragscodes worden gemeenten sinds 2017 jaarlijks onderworpen aan de ENSIA (Eenduidige Normatiek Single Information) audit. Deze ENSIA-audit bestaat uit een zelfevaluatie over de mate waarin de gemeente voldoet aan de afspraken in de BIO, en horizontale verantwoording aan de gemeenteraad en een verticale verantwoording aan de landelijke toezichthouders zoals LOGIUS (DigiD) en het ministerie (inspectie) van Sociale Zaken en Werkgelegenheid (Suwinet).

2. IB-beleid, doelstellingen en afspraken
Gemeenten beschikken over uiterst gevoelige informatie van burgers, en hebben zowel de wettelijke als morele plicht om daar zorgvuldig mee om te gaan. Het college van burgemeesters en wethouders van de gemeente Albrandswaard draagt als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen de politieke verantwoordelijkheid voor- en passend niveau van informatieveiligheid en privacybescherming. 100%-veilig bestaat niet. Risico's worden doelbewust en proactief geaccepteerd en beheerst. Het college van burgemeester en wethouders van de gemeente Albrandswaard stelt, op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders zoals de BIO, de kaders ten aanzien van informatieveiligheid en privacybescherming voor de gemeente vast. De belangrijkste gemeentelijke informatiebeveiligingsdoelstellingen zijn:
•    Het zorgvuldig omgaan met informatie en deze gegevens beschermen ten onrechtmatige toegang en/ of misbruik en/of manipulatie.
•    Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van deze (persoons)gegevens en de continuïteit van de dienstverlening van de gemeente Albrandswaard.
•    Het voldoen aan wet- en regelgeving.
•    Het beheersen van risico's.

Het informatiebeveiligingsbeleid van de gemeente Albrandswaard bevat de kaders voor het treffen en onderhouden van en samenhangend pakket van maatregelen teneinde de betrouwbaarheid (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) van de informatievoorziening te waarborgen. 
Het informatiebeveiligingsbeleid van de gemeente Albrandswaard is gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO).

3. Algemeen beeld en resultaten afgelopen periode
Informatieveiligheid reikt veel verder dan het implementeren van technische informatiebeveiligingsmaatregelen. Het is namelijk een groot misverstand om te denken dat informatieveiligheid iets technisch is. 

4. Beheersmaatregelen IB
Hieronder wordt een overzicht gegeven van de belangrijkste beheersmaatregelen die bijdragen aan het realiseren van de IB-doelstellingen van de gemeente Albrandswaard:

a) Het creëren van Opzet op de BIO-normering en op delen het Bestaan.
b) Verbeterplan BMC (o.a. beschikbaar stellen van structureel budget en opzetten en inrichten van een team Informatieveiligheid en Privacy (I&P).
c) Het creëren van bewustzijn binnen de organisatie door regelmatig op intranet te communiceren over informatieveiligheid.
d) In 2022 hebben de CPO, ISO en Privacy Officer meerdere verwerkingsovereenkomsten beoordeeld/opgesteld, inclusief het voeren van de gesprekken met leveranciers en externe partijen hierover.
e) Het adviseren bij en het opstellen van het pakket van eisen rondom informatieveiligheid en privacybescherming bij inkoop trajecten. 
f) Wet Politie Gegevens (WPG)-audit.
g) Verbeterplan opgesteld naar aanleiding van audit Suwinet.
h) Bewustwordingsprogramma 2023.
i) Beleid Incidentmanagement vastgesteld.
j) Beleid op Logging en Monitoring vastgesteld.
k) Beleid Logische Toegangsbeveiliging vastgesteld.
l) Authenticatiebeleid vastgesteld.
m) Wijzigingsbeleid (Changemanagement) vastgesteld.
n) Op technisch gebied veel maatregelen genomen.
o) 8 puntenplan van het Nationaal Cyber Security Centrum (NCSC).
p) IT Audit Deloitte op Key2Financien.

5. Realisatie doelstellingen IB-beleid (effectiviteit beheersmaatregelen en risico's)
Hieronder wordt en overzicht gegeven van de belangrijkste IB-doelstellingen die zijn gerealiseerd:

a) De Baseline Informatiebeveiliging Overheid (BIO) is in 2022 verder geïmplementeerd binnen de gemeente Albrandswaard, op gebied van de Opzet.
b) Het beoordelen en afhandelen van datalekmeldingen en informatiebeveiligingsincidenten (inclusief de vertrouwelijke cyberdreigingen overeenkomstig het Traffic Light Protocol (TLP4) afkomstig van de informatiebeveiligingsdienst voor gemeenten" (IBD).
c) Het adviseren van het (lijn)management/proceseigenaren over de implementatie van informatiebeveiligings- en privacybeschermende beheersmaatregelen voor hun verantwoordelijkheidsgebieden.
d) De ISO/Coördinator ENSIA heeft samen met de domeindeskundige medewerkers van de verschillende afdelingen (ICT, HRM, Backoffice, Sociaal Domein, informatiemanagement) over het jaar 2022 de zelfevaluatie ENSIA uitgevoerd.

6. Incidenten(afhandeling)
Cybercriminaliteit heeft de laatste jaren een grote vlucht genomen en geen enkele overheidsorganisatie ontkomt aan pogingen van onbevoegden om informatie buit te maken of om de bedrijfsvoering te verstoren. Cybercriminaliteit is inmiddels "BIG business" en een serieus verdienmodel voor criminelen. Daarmee is een permanente wedloop ontstaan tussen het implementeren en in stand houden van informatiebeveiligingsmaatregelen en de innovatie in het hacken van organisaties. Ook gemeenten worden hiervan het slachtoffer en staan bloot aan deze cyberdreigingen. We ervaren binnen de gemeente Albrandswaard een toename van het aantal cybercrime dreigingen/aanvallen. Helaas betreft het voorkomen van onrechtmatige toegang (door cyberaanvallen/hacking/fraude/ondermijnende activiteiten) tot onze gegevens en het treffen van passende beveiligingsmaatregelen en bewegend doel, waardoor we nooit "klaar" zijn. De dreigingen, kwetsbaarheden en technische mogelijkheden veranderen namelijk constant.

7. Doorkijk prioriteiten voor 2023 informatieveiligheid
Hieronder wordt een overzicht gegeven van de belangrijkste IB-doelstelling voor 2023. Voor informatieveiligheid zijn de prioriteiten:

•    Ontvlechting BAR-organisatie: op 150 applicaties inzet en capaciteit leveren vanuit Informatiebeveiliging en Privacy.
•    Bewustwordingsprogramma 2023 uit te voeren acties (o.a. Cyber barometer).
•    Implementatie Multi-Factor Authenticatie (MFA) en Mobile Device Management (MDM).
•    NIS2 (Netwerk- en informatiesystemen/Europese Wetgeving).
•    Maken Cyberplan Digitaal 2023-2025.
•    Nieuwe BIO 2.0 Implementeren en de ENSIA-gevolgen en Audit.
•    Ondersteunen werkgroepen ‘Nieuwe organisaties 2024’op het gebied van I&P.
•    Borgen van I&P in ‘Nieuwe Organisaties 2024’.
•    Wet Digitale Overheid (WDO) en verplichtingen op Audit informatiebeveiliging organisatiebreed.
•    De uitvoering van de ENSIA-cyclus voor de verantwoording over het jaar 2023.   

I&A-investeringen

Robotic Process Automation
Robotic Process Automation (RPA) betreft het automatiseren van repetitieve handmatige activiteiten. Het betreft hier ‘domme softwarerobots’ die worden ingezet om te besparen mét ICT. De besparing zit in het vervangen van handmatig werk door een software robot. Voorbeelden zijn het invoeren van grote aantallen aanvragen zoals bij de Tijdelijke Overbruggingsregeling Zelfstandige Ondernemers (Tozo), de Tonk-maatregel (Tijdelijke Ondersteuning Noodzakelijke Kosten) en de Energietoeslag. Ook bij het interne administratieve proces van inhuur medewerkers is RPA ingezet om te besparen op handmatige invoer.

Centric
Per 1 januari 2022 is een vernieuwd onderhoudscontract met onze grootste softwareleverancier Centric afgesloten. Dit heeft, conform verwachting, in 2022 geleid tot lagere vaste onderhoudskosten en hogere investeringskosten. Dit omdat nieuwe versies van bestaande software in dit nieuwe contract tot aanschafkosten leidt.

Common Ground
Common Ground is de belangrijkste ICT-gerelateerde ontwikkeling vanuit de VNG. Het doel is een open, transparante en digitaal veilige overheid die haar dienstverlening flexibeler kan inrichten en verbeteren. In 2022 is de aanbesteding voor een nieuw ‘CMS’ (content management systeem, websites) afgerond. De winnende oplossing is een moderne, op Common Ground principes gebaseerde oplossing. In 2022 zijn de eerste stappen gezet op weg naar een ontwikkelpad richting Common Ground. Common Ground is nog niet zover dat er in 2022 voor ons bruikbare standaardoplossingen beschikbaar zijn gekomen.

Gegevensbeheer openbare ruimte
Conform planning is de applicatie voor gegevensbeheer openbare ruimte (GBI) in 2022 vervangen.

Zaaksysteem
In 2022 is gewerkt aan de implementatie van de nieuwe versie van ons zaaksysteem. Door capaciteitsproblemen bij de leverancier heeft dit project (minimaal) vijf maanden vertraging opgelopen. Daarmee zijn ook de beoogde investeringen gerelateerd aan dit project achtergebleven.

I&A-beleid
Het I&A-beleid is ook in 2022 een belangrijk kader geweest voor onze ontwikkelingen.
Voor wat betreft de 5 in het I&A-beleid benoemde deelgebieden is te melden:

1. Klant & dienstverlening
In samenhang met het Programma Dienstverlening is in 2022 ingezet op het verder aanbieden van (eenvoudiger) digitale toegang tot onze producten en diensten. Zo is onder meer een nieuwe oplossing voor Meldingen Openbare Ruimte in gebruik genomen die
inwoners in staat stelt om eenvoudiger meldingen te maken. Ook zijn de E-diensten Burgerzaken geïmplementeerd die het voor inwoners makkelijker maken om online een uittreksel of afschrift aan te vragen. Uiteraard wordt bij het uitbreiden van onze online dienstverlening rekening gehouden met digitale toegankelijkheid zodat ook inwoners met een beperking gebruik kunnen maken van onze online diensten.

2. Data & Informatiegedreven werken
Conform verwachting is in 2022 veel geïnvesteerd in management- en stuurinformatie, onder andere gericht op het Sociaal Domein.

3. Medewerker & Processen
Een oplossing voor het anonimiseren van stukken is geïmplementeerd, Robotic Process Automation (RPA)-toepassingen en infrastructuur zijn uitgebreid. Ontwikkelingen op het gebied van de ‘digitale handtekening’ zijn door capaciteitsproblemen tijdelijk stop gezet.

4. Technologie & Leveringsmodellen
Het tempo van de ‘verSaaSing’ (het vervangen van softwareapplicaties in-huis door softwarediensten uit de Cloud) is in 2022 minder snel gegaan dan verwacht. De oorzaken liggen deels bij de leveranciers die hun oplossing minder snel ‘verSaaSen’ dan eerder aangekondigd. Daarnaast zorgt de vertraging in de vervanging van het zaaksysteem ook breder tot vertraging in de verSaaSing, dit als gevolg van de afhankelijkheden en koppelingen tussen software pakketten. (SaaS: Software as a service)

5. Wetgeving & Ontwikkelingen
a. Voor de Wet open overheid zijn (beperkte) investeringen gedaan in de daarvoor benodigde technologie. Dit gaat minder snel dan verwacht omdat landelijk geen voortgang is geboekt op gebied van zowel PLOOI (het Platform Open OverheidsInformatie waarop gepubliceerd moet worden) als op het gebied van de planning, er is nog altijd geen wettelijk vastgestelde datum waarop actief gepubliceerd moet worden.
b. Voor de Omgevingswet is nieuwe software voor onder meer Vergunning, Toezicht & Handhaving (VTH), Plansoftware en Toepasbare regels aangeschaft.

Samenvattend hadden de financieel grootste investeringen in 2022 betrekking op:
- Projecten en uitbreiding My-Lex. Dit is de software die wordt gebruikt voor:
a. het zoeken en vinden van informatie,
b. het conform de Archiefwet uitfaseren van oude software zoals Verseon en Kedo waarbij de informatie via My-Lex beschikbaar blijft,
c. het toegankelijk maken van gedigitaliseerde bouwdossiers en persoonskaarten.
- Centric: nieuwe versies van software, nieuwe koppelingen voor automatische berichtenafhandeling en nieuwe E-Diensten.
- Eljakim (Carel), Stratech en Inforing: nieuwe software voor leerlingenvervoer en schuldhulpverlening (sociaal domein).
- Uitbreidingen Pepperflow (begrotingsapplicatie).
- Uitbreiding Robotic Process Automation (RPA) infrastructuur ten behoeve van ‘besparen mét ICT’.
- Aanbesteding Content Management Systeem (CMS, websites).
- Aanbesteding softwarebroker.
- Update zaaksysteem (ondanks vertraging).