Paragraaf bedrijfsvoering

In deze paragraaf lichten we een aantal onderdelen toe. Het gaat om een aantal onderwerpen die we toe moeten lichten in de programmabegroting en in de jaarrekening. We staan hier in deze paragraaf wat uitgebreider bij stil dan in het programma 9. Besturen in verandering van tijden.
Het gaat om:

• De rechtmatigheidsverantwoording
• Privacy
• Informatieveiligheid
• Wet open overheid

Voor de andere actuele ontwikkelingen op het gebied van de bedrijfsvoering verwijzen we naar programma 9. Besturen in verandering van tijden.

In deze paragraaf is op basis van de Kadernota rechtmatigheid van de commissie BBV en op basis van de afspraken met de raad, informatie opnemen over de financiële rechtmatigheid.

Met ingangsdatum 1 januari 2023 heeft een wetswijziging plaatsgevonden met als gevolg dat het college hier voor het eerst de rechtmatigheidsverantwoording opneemt in de jaarstukken en verantwoording aflegt over eventuele geconstateerde onrechtmatigheden. De rechtmatigheidsverantwoording houdt in dat het college verantwoording aflegt over hoe zij omgaat met geld en of dit op een juiste manier gebeurt. Tot en met het boekjaar 2022 werd hierover gerapporteerd door de accountant, per het verslagjaar 2023 laat het college zien dat zij zich aan de wet- en regelgeving heeft gehouden bij het uitvoeren van haar taken en verantwoordelijkheden. Dit is belangrijk om het vertrouwen van burgers en andere belanghebbenden te behouden en te versterken. Door middel van een rechtmatigheidsverantwoording legt het college verantwoording af aan de gemeenteraad en andere toezichthouders over hoe zij haar middelen gebruikt en beheert. De accountant verstrekt dus met ingang van dit boekjaar geen rechtmatigheidsoordeel meer in de controleverklaring, maar beperkt zich tot het getrouwheidsoordeel. Dit houdt in dat de accountant wel heeft vastgesteld dat de opgenomen rechtmatigheidsverantwoording getrouw is verantwoord in de jaarstukken.

Met de gemeenteraad is afgesproken dat eventuele afwijkingen op rechtmatigheid groter dan € 100.000 en die betrekking hebben op het begrotingscriterium, voorwaardencriterium en het criterium voor het voorkomen van misbruik en oneigenlijk gebruik opgenomen dienen te worden in deze paragraaf.  

• De afwijkingen t.av. het begrotingscriterium, zijn hieronder opgenomen in de analyse rechtmatigheid indien de lasten niet vallen binnen de begroting (incl. wijzigingen) zoals deze door de gemeenteraad is goedgekeurd. Hierbij gaan we uit (conform de kadernota rechtmatigheid) dat het overschrijden van de begroting (op programmaniveau) en van investeringen altijd onrechtmatig is, maar niet in alle gevallen hoeft te worden meegewogen in het oordeel. Dit laatste is het geval als:

• Kostenoverschrijdingen worden gecompenseerd door direct gerelateerde opbrengsten.
• Kostenoverschrijdingen passen binnen het beleid.
• Kostenoverschrijdingen het gevolg zijn van openeinderegelingen.

Daarnaast zijn eventuele onderschrijdingen van de lasten als ook onder- en overschrijdingen van de baten onrechtmatig indien deze niet tijdig gemeld zijn. Tijdig betreft hier ten tijde van het beschikbaar stellen van de jaarrekening.  

• Voor wat betreft het voorwaardencriterium is vastgesteld dat de financiële beheershandelingen zijn verricht in overeenstemming met (externe en interne) wet- en regelgeving. Belangrijk onderdeel bij het vaststellen is dat we als gemeente hebben voldaan aan inkoop en aanbestedingsbeleid (norm voor Europese aanbestedingen).
• Voor wat betreft misbruik & oneigenlijk gebruik (M&O) heeft het college voldoende waarborgen genomen om te voorkomen dat als gevolg van misbruik of oneigenlijk gebruik van wet- en regelgeving ten onrechte overheidssubsidies of -uitkeringen is verleend of een te laag dan wel geen bedrag aan heffingen aan de gemeente is betaald. 

In 2023 zijn geen afwijkingen (rechtmatigheidsfouten en onduidelijkheden qua rechtmatigheid) vastgesteld die niet in overeenstemming zijn met de door de gemeenteraad vastgestelde richtlijnen.

Analyse begrotingsrechtmatigheid

Programma's met overschrijding lasten
In onderstaande tabel zijn de lastenoverschrijdingen opgenomen per programma met vermelding of de overschrijding wel of niet mee telt voor de rechtmatigheidsverantwoording.

Bedrag * € 1.000

Toelichting overschrijdingen lasten per programma

Programma 02. Werk, inkomen en onderwijs
De overschrijding op de lasten wordt veroorzaakt door hogere kosten voor bijzondere bijstand. We hebben hogere kosten door het uitkeren van energietoeslag. We ontvangen hiervoor geld vanuit het Rijk. Vanuit de decembercirculaire 2023 hebben we hiervoor nog een bedrag ontvangen vanuit het Rijk. Deze opbrengsten staan verantwoord binnen programma 10.
Tegenover deze hoge kosten staan direct gerelateerde opbrengsten. Daarom telt dit niet mee als onrechtmatigheid.

Programma 06. Stadscentrum
De overschrijding is puur administratief van aard. Dit wordt veroorzaakt doordat de gemaakte kosten voor de grondexploitatie "Herstructurering Walkwartier", ter grootte van € 0,4 miljoen in 2023 geboekt zijn naar de voorraad. Deze voorraadboeking is in tegenstelling van de begroting (geboekt als kosten), geboekt als opbrengst. Daardoor lijkt er sprake te zijn van kostenoverschrijding hoewel daar helemaal geen sprake van is.

Programma 10. Financieel beleid
De overschrijding heeft een aantal oorzaken. De belangrijkste oorzaken zijn hogere rentekosten voor ons eigen vermogen en hogere vennootschapsbelasting. Tegenover de hogere rentekosten voor ons eigen vermogen staan hogere renteopbrengsten. Dit nadeel wordt dus gecompenseerd door hogere opbrengsten. De hogere kosten voor de Vennootschapsbelasting komt direct voort uit fiscale wet en regelgeving. Het betreft de te verwachte vennootschapsbelasting van deze jaarrekening. We konden de omvang van het bedrag pas na de jaarafsluiting berekenen, daarom hebben we hier in de begroting nog niet eerder rekening mee kunnen houden. Gezien dit wettelijke kader telt dit niet mee als onrechtmatigheid.

Investeringen met overschrijdingen kredieten
Het investeringskrediet van de immateriële vaste activa van het project sportvelden Macharen is met € 113.500 overschreden. Dit is een voorbereidingsproject van de grondexploitatie. Er zijn meer plankosten dan vooraf ingeschat, omdat de planologische werkzaamheden in combinatie met de komst van het nieuwe maatschappelijke centrum veel tijd kosten. Ook kent het gebied diverse ruimtelijke uitdagingen. Dit project loopt nog door in 2024, bij de vaststelling van het MPG wordt naast krediet voor deze overschrijding een extra krediet van € 96.000 aangevraagd.

Er zijn geen overschrijdingen op investeringskredieten ten aanzien van de materiële vaste activa boven de € 100.000. Hiermee zijn de uitgaven op deze investeringskredieten rechtmatig.

Conslusie

Uit de toelichtingen blijkt dat de overschrijdingen passen binnen begrotingsrechtmatigheid. Dit geeft geen aanleiding om specifieke acties richting de toekomst te ondernemen.

Beleid
We hebben de volgende activiteiten uitgevoerd:

• We hebben een privacy governance structuur vastgesteld waarbij de verantwoordelijkheden voor de naleving van privacywetgeving zijn belegd en binnen de verschillende teams accenthouders privacy zijn benoemd die het borgen van de naleving ondersteunen. Daarnaast hebben we een gewijzigde procedure ingevoerd voor het behandelen van inzageverzoeken van inwoners. Kern van de wijziging is dat het voor inwoners eenvoudiger is digitaal inzage te vragen.
• Verder hebben we de procedure voor het melden van datalekken vernieuwd waardoor deze efficiënter kunnen worden afgehandeld.
• We hebben een nieuwe procedure vastgesteld voor het uitvoeren van risicoanalyses bij het verwerken van persoonsgegevens (DPIA). Met de risicoanalyse kunnen vroegtijdig eventuele risico’s voor de persoonlijke levenssfeer van inwoners worden vastgesteld. Vervolgens kunnen maatregelen worden geïmplementeerd om de risico’s te beperken. De nieuwe procedure geeft voor medewerkers meer handvatten wanneer en op welke wijze de risicoanalyse moet worden uitgevoerd.
• Tot slot is in 2023 een start gemaakt met het identificeren van een geschikte management tool ter ondersteuning van de privacy PDCA. Naar verwachting wordt deze in de eerste helft van 2024 geselecteerd en aangeschaft.

Uitvoering  
In 2023 is er een start gemaakt met het cyclische bouwen aan privacy compliance: de directie heeft het plan van aanpak vastgesteld.
Verder is er ook aandacht besteed aan de uitvoering van het privacybeleid. We hebben een start gemaakt met het identificeren van de verschillende registraties binnen de gemeente (het register van verwerkingen). Onderdeel daarvan is ook het identificeren van registraties waarvoor een risicoanalyse verplicht is. Als gevolg van het vertrek van de Concern Privacy Officer heeft dit project enige vertraging opgelopen, maar kan toch in Q1 2024 worden afgerond.

Op het gebied van kennis en bewustzijn zijn er ook acties geweest. Zo hebben we informatie gegeven via InternOss en is er een actie in het gemeentehuis geweest waarbij er aandacht werd gevraagd voor 'privacy-proof' werken in de praktijk met als beloning een 'goed-bezig-reep'.
Daarnaast organiseerden we voor de accenthouders een training waarin de basisbeginselen uit de AVG zijn toegelicht en vertaald naar de werkzaamheden van de teams. Voor de afdeling P&O is er een training georganiseerd met specifieke aandacht voor privacy op de werkvloer.

2024
Voor 2024 stelt de directie een nieuw plan van aanpak op. Hierin wordt onder andere aandacht besteed het opstellen van een organisatie-breed bewustwordingsplan en de uitvoering van risicoanalyses.

We hebben het strategisch informatiebeveiligingsbeleid vastgesteld voor de periode 2023 tot en met 2026. Het beleid geeft richting en stelt kaders zodat informatiebeveiliging een bijdrage levert aan onze (strategische) organisatiedoelen. Bovendien is informatiebeveiliging verankerd in onze organisatievisie ‘Oss, op weg naar een 100.000+ gemeente’.

Verder is informatiebeveiliging onderdeel van het vernieuwde beleid voor hybride werken, het beleidsplan voor MS 365 in het kader van het ‘Moderne werken’, en wordt informatiebeveiliging meegenomen in de beleidsrichtlijnen voor het gebruik van camera’s en logische toegangsbeveiliging, ook wel bekend als Identity & Access Management (IAM). IAM zorgt voor een veiligere informatievoorziening door onze processen en systemen zo in te richten dat medewerkers slechts toegang hebben tot applicaties en gegevens als dat voor de uitvoering van hun taken noodzakelijk is.

We blijven medewerkers bewust maken van het belang van informatiebeveiliging. Via de campagne ‘Veilig werk’ vertellen we over actuele cyberdreigingen en leggen we uit wat we verwachten van onze medewerkers. Daarnaast hebben we opnieuw een mysteryguest-onderzoek uitgevoerd en wordt het belang van informatiebeveiliging ook op managementniveau benadrukt. Verder heeft een groot aantal (functioneel) applicatiebeheerders een basisopleiding informatiebeveiliging gevolgd.

We hebben veel geïnvesteerd in de technische inrichting van ‘Monitoring & Response’. Door continue monitoring en analyse van onze IT-infrastructuur, kunnen we direct acteren bij afwijkingen. Daarnaast blijven we onze systemen voorzien van de laatste patches en updates en hebben we aandacht voor back-up en restore. Net als voorgaande jaren hebben we ook pentests en kwetsbaarheidsscans laten uitvoeren.

Gemeentes moeten eind 2024 behalve aan de Baseline Informatiebeveiliging Overheid (BIO) ook aan de Europese NIS2-richtlijn voldoen. Omdat deze richtlijn strengere eisen stelt aan gemeentes, heeft Oss samen met de VNG gewerkt aan een handreiking implementatie NIS2 voor gemeentes. Deze zal begin 2024 worden gepubliceerd.

Jaarlijks verantwoorden we ons over informatiebeveiliging via ENSIA. In 2022 hebben we op basis van de verplichte IT-audits voor DigiD en Suwinet opnieuw aan alle eisen voldaan. Het ENSIA-verantwoordingsproces voor 2023 loopt nog.

De Wet open overheid (Woo) regelt het recht op informatie over alles wat de overheid doet. Het is de opvolger van de Wet openbaarheid van bestuur (Wob). Naast verbetering van de informatie-huishouding van de overheid beoogt de Woo kortweg de toegang tot overheidsinformatie voor iedereen te vergroten door de actieve openbaarmaking te bevorderen. Dit betekent dat de overheid uit zichzelf (de wettelijk aangewezen categorieën) documenten openbaar moet maken. In de Woo blijft de mogelijkheid bestaan om de overheid te verzoeken om documenten, die nog niet (actief) openbaar zijn gemaakt, alsnog openbaar te maken, de Wob is een onderdeel van de Woo geworden.

De Woo rust op drie pijlers:

1. Passieve openbaarmaking (Woo-verzoek): In 2023 is er een Woo-contactpersoon aangewezen om vragen van inwoners te beantwoorden. Woo-verzoeken kunnen elektronisch worden ingediend via een formulier op de website. De ontvangen Woo-verzoeken worden ook gepubliceerd op de website www.oss.nl/woo .
2. Actieve openbaarmaking: Op termijn moeten bepaalde categorieën informatie actief openbaar worden gemaakt volgens de Wet open overheid. Daarnaast is er een inspanningsverplichting om documenten actief openbaar te maken waar mogelijk. In 2023 hebben we een projectorganisatie opgericht en een projectplan geschreven om de implementatie van deze actieve openbaarmaking te realiseren. De focus ligt op de verplichte informatiecategorieën en de strategie die de landelijke overheid hanteert bij het bepalen van de volgorde van openbaar te maken documenten. Inmiddels zijn we aangesloten op de WOO-index, een portaal dat verwijst naar documentcollecties die gepubliceerd zijn. Een aantal categorieën is inmiddels openbaar gemaakt. Om de informatie op een privacyveilige manier te publiceren is in 2023 ook een anonimiseringstool geïmplementeerd.
3. Informatiehuishouding: Informatie is cruciaal voor het functioneren van de overheid en de verantwoording in onze democratie. Het beheer en gebruik van informatie moeten goed worden geregeld. We hebben stappen gezet om informatiebeheerplannen te implementeren, waarin de stand van zaken en aanbevelingen voor verbetering worden vastgelegd. In 2024 werken we verder aan het uitrollen van informatiebeheerplannen, het geschikt maken van specifieke vakapplicaties voor archivering, de implementatie van M365 als archiefomgeving, de doorontwikkeling van het zaaksysteem en het centrale DMS eDocs voor archivering en de verbetering van de samenhang en afstemming van applicaties binnen de informatiearchitectuur.