Colofon. Samenstelling Rekenkamercommissie

Colofon Samenstelling Rekenkamercommissie Externe leden De heer mr. P.M.B. Schrijvers (voorzitter) De heer ir. N. op de Laak De heer drs. R.G.L. Peeters RA

Raadsleden Mevrouw A.P.H. Waajen-Crins Mevrouw P.T.G.J. Beeren-Adriaans De heer H.M. Hutjens Secretariaat Rekenkamercommissie Ambtelijk secretaris De heer A.H.C. Vestjens Adres Postbus 900 Telefoonnummer 0475 - 35 94 60 E-mail [email protected] Website www.roermond.nl

November 2012

Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond


Inhoudsopgave: 1. Aanleiding en doelstelling. 2. Afbakening, onderzoeksopzet en -methodiek. 3. Conclusies en aanbevelingen.

Bijlagen:

I

II.

Bestuurlijk hoor en wederhoor: a.

Reactie college van burgemeester en wethouders van Roermond op de rapportage van de Rekenkamercommissie.

b.

Nawoord Rekenkamercommissie.

Onderzoeksrapport van VKA: “Quick scan Informatievoorziening”.



1. Aanleiding en doel van het onderzoek. De rekenkamercommissie (RKC) heeft op 5 maart 2012 de start van het vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT in de gemeente Roermond aangekondigd. De rekenkamercommissie heeft een onafhankelijke positie binnen de gemeente. Dit betekent dat de rekenkamercommissie zelf bepaalt welke onderwerpen worden onderzocht en hoe het onderzoek wordt ingericht. Zij maakt daarbij echter wel gebruik van eventuele verzoeken en suggesties van gemeenteraad, raadsfracties en derden. In dat kader doet zij ook oproepen aan alle raadsfracties om mogelijke onderzoeksonderwerpen aan te dragen. Mede gelet op de ontwikkelingen bij de gemeente Roermond m.b.t. het dienstverleningsconcept en de I-visie, het recent toetreden tot het samenwerkingsverband DIMPACT en ook de relatie tot de snelle ontwikkelingen van en de eisen aan de E-overheid, was dit onderzoeksonderwerp naar het oordeel van de RKC relevant. ICT-beleid is weliswaar in hoge mate uitvoering (een middel om bepaalde beleidsdoelstellingen te helpen realiseren) en dientengevolge in hoge mate een college-aangelegenheid (en een MT-ambtelijke aangelegenheid) maar (indirect) zeer cruciaal voor de doeltreffendheid en doelmatigheid van gemeentelijk beleid als zodanig. Bovendien gaat ICT-beleid met grote bestedingen gepaard. Ook die moeten voldoen aan de criteria van doelmatigheid, doeltreffendheid en rechtmatigheid. Daarmee behoren de bestuurlijke informatievoorziening en de bepaling van het ICT beleid als ondersteuning daarvan ook tot het raadsdomein. De rekenkamercommissie heeft ervoor gekozen om, gelet op de aard van het onderwerp, eerst een vooronderzoek uit te (laten) voeren naar het ‘het beleid, de organisatie en uitvoering van de ICT in de gemeente Roermond”. Dit vooronderzoek dient als het ware een foto van het gemeentelijk ICTbeleid op te leveren. Dat heeft op zichzelf al waarde. Het eigenlijke doel van het vooronderzoek is echter om op basis van de uitkomsten, als rekenkamercommissie te kunnen beoordelen of (eventueel) aanvullend -meer verdiepend- onderzoek (m.b.t. een of meer aspecten van het beleid c.q. van specifieke ICT-projecten) noodzakelijk is.


2. Afbakening, onderzoeksopzet en –methodiek. Het vooronderzoek kent de volgende afbakeningen: • Het vooronderzoek heeft het karakter van een quick scan met vooral oog voor de breedte en compleetheid en met een beperkte diepgang; • Het onderzoeksgebied wordt gevormd door drie clusters: 1) informatiebeleid, 2) besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten en 3) beheer en exploitatie van de informatievoorziening en ICT; • De te onderzoeken periode is vanaf 2007 naar de huidige situatie en vooruitkijkend naar relevante interne en externe ontwikkelingen. De RKC heeft zich bij dit vooronderzoek laten ondersteunen door advies- en onderzoeksbureau Verdonck, Klooster & Associates b.v. (VKA). Voor deze quick scan heeft VKA uitgebreid documentenonderzoek gedaan (zie bijlage B bij het onderzoeksrapport van VKA). Dit onderzoek is aangevuld met een zevental interviews met mensen op verschillende posities in de organisatie. De lijst met te interviewen personen is afgestemd met de RKC (zie bijlage C bij het onderzoeksrapport van VKA). Van alle interviews is een verslag gemaakt dat ter verificatie is verzonden aan de geïnterviewden. Na verwerking van commentaar en aanvullingen is een definitieve versie van het verslag in PDF-vorm toegezonden aan de geinterviewden. De bevindingen zijn gerelateerd aan het normenkader en aan de informatie uit een benchmark. Op die manier ontstaat een beeld waar Roermond staat ten opzichte van het normenkader, en waar Roermond staat ten opzichte van andere gemeenten.


3. Conclusies en aanbevelingen. Hoofdconclusie. Het vooronderzoek geeft voor de rekenkamercommissie geen aanleiding tot nader vervolgonderzoek. Het beeld dat uit de rapportage naar voren komt laat zien dat de gemeente Roermond met de goede dingen bezig is, en haar zaken op hoofdlijnen goed voor elkaar heeft. Daarnaast heeft de gemeente een aantal ontwikkelingen in gang gezet, zoals het centraliseren van het applicatiebeheer en de ontwikkeling van een referentiearchitectuur, die op korte termijn zullen bijdragen aan een (nog) betere beheersbaarheid van de informatievoorziening en ICT. Specifieke conclusies. In de rapportage van VKA worden per onderzoekscluster (“informatiebeleid”, “besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten” en “het beheer en exploitatie van de informatievoorziening en ICT”) de specifieke conclusies weergegeven. De rekenkamercommissie onderschrijft deze conclusies. Aanbevelingen. De Rekenkamercommissie onderschrijft ook de aanbevelingen zoals weergegeven in de rapportage van VKA. De belangrijkste aanbeveling is om de betrokkenheid van de Raad bij het beleid rond informatievoorziening en ICT te versterken. De reden daarvoor is dat in de huidige tijd significante onderdelen van de informatievoorziening en ICT niet langer uitsluitend als bedrijfsvoering kunnen worden gezien. Zij spelen in toenemende mate een belangrijke rol in het contact van de gemeente met de buitenwereld, en als primair productiemiddel in het realiseren van maatschappelijke doelen. Naarmate de gemeentelijke organisatie IV/ICT meer gaat inzetten in activiteiten die direct de samenleving raken, wordt betrokkenheid van de Raad van groter belang. Daarnaast is ook de kwetsbaarheid van organisaties toegenomen door activiteiten van hackers en cybercriminelen. Ook dit aspect rechtvaardigt een sterke betrokkenheid van de Raad vanuit haar kaderstellende en controlerende taak. De door de rekenkamercommissie onderschreven conclusies en aanbevelingen treft u in de onderzoeksrapportage (bijlage II) op twee plaatsen aan. In hoofdstuk 4 van het onderzoeksrapport vindt u de conclusies en aanbevelingen als afsluiting van elke cluster. In bijlage A vindt u een overzicht van alle conclusies en aanbevelingen.



Bijlage I a. Reactie college van burgemeester en wethouders van Roermond op de rapportage van de Rekenkamercommissie.


uw nummer

RKC/2012/12

uw datum

24 september 2012

ons nummer onze datum verzonden

2012/uit/44294 15 oktober 2012

inlichtingen bij sector/afdeling doorkiesnr.

Dhr. W. Kaldenhoven SECR/Secretaris 0475-359 618

bijlage(n) betreffende

rapportage RKC Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT in Bestuurlijk wederhoor vooronderzoek naar het beleid, de organisatie en uitvoering van de ICT

Rekenkamercommissie van de gemeente Roermond de tieer mr. P.IVI.B.Schrijvers Postbus 900 6040 AX

ROERIVIOND

Geachte heer Schrijvers, Op 24 september 2012 heeft de Rekenkamercommissie van de gemeente Roermond (RKC) het rapport aangaande het "Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT van de gemeente Roermond" aan ons college voorgelegd voor wederhoor. Onderstaand ontvangt u onze reactie. Wij hebben met genoegen kennis genomen van uw conclusie, deze luidt: "Het beeld dat uit de rapportage naar voren komt laat zien dat de gemeente met de goede dingen bezig is, en haar zaken op hoofdlijnen goed voor elkaar heeft". In uw conclusie vermeldt u ook dat" Daarnaast heeft de gemeente een aantal ontwikkelingen in gang gezet, zoals het centraliseren van het applicatiebeheer en de ontwikkeling van een referentiearchitectuur, die op korte termijn zullen bijdragen aan een (nog) betere beheersbaarheid van de informatievoorziening en ICT". Het vooronderzoek geeft geen aanleiding om tot vervolgonderzoek over te gaan. Wij beschouwen uw conclusie als een bevestiging dat wij de goede weg zijn ingeslagen en zullen op deze weg voortgaan. In uw onderzoek heeft u bij de beantwoording van de onderzoeksvragen een relatie gelegd tussen de mate waarin de gemeente Roermond aan het door u opgestelde normenkader voldoet en de mate waarin een aantal 100.000+ gemeente voldoet aan dit normenkader. De onderzoekers zijn zich bewust dat onze gemeente ca. 56.000 inwoners telt en daarmee aanzienlijk kleiner is dan de benchmarkgemeenten. U geeft aan dat bij de interpretatie van de onderzoeksgegevens hiermee rekening dient te worden gehouden. Uit uw rapport blijkt dat Roermond, als relatief kleine gemeente, gelijk of nagenoeg gelijk scoort met de 100.000+ gemeenten. Opgemerkt wordt dat Nijmegen, als grootste benchmarkgemeente, 164.000 inwoners telt en Delft, als kleinste benchmarkgemeente, 98.000 inwoners heeft. Wij beschouwen deze constatering als een compliment voor het gevoerde beleid, de uitvoering van dit beleid en voor de functionarissen die hierbij zijn betrokken. De belangrijkste aanbeveling uit uw onderzoek is: "de betrokkenheid van de Raad bij het beleid rond informatievoorziening en ICT te versterken". De samenleving is de laatste jaren sterk veranderd. Burgers en bedrijven venwachten een effectieve en efficiënte dienstverlening die 24/7 bereikbaar is.

s t a d h u i s | IVlarkt 31 6041 EM | PostbusSOO 6040 A X Roermond | T 0475 35S SSS | F 0475 332 137 | Rabobank 1272.86.179

Ons nummer Pagina 2

Echter zijn wij van mening dat de manier waarop met behulp van ICT invulling wordt gegeven aan deze digitale dienstverlening een bedrijfsvoeringsaspect is en daarmee een primaire aangelegenheid is van het college en het ambtelijk apparaat. Dit sluit aan bij de huidige rolverdeling tussen de Raad, B&W en de ambtelijke organisatie. Uiteraard zijn wij van mening dat de Raad voldoende geïnformeerd moet worden om haar kaderstellende taak omtrent de digitale dienstverlening in voldoende mate uit te kunnen oefenen. Het rapport geeft tevens aanbevelingen omtrent de rolverdeling tussen het College en het ambtelijk apparaat. Daarnaast worden aanbevelingen gedaan zoals het prioriteren van werkzaamheden en de manier waarop projecten, strategie en beleid tot stand komen. Wij herkennen ons in deze aanbevelingen. Wij zullen dan ook kritisch bekijken in welke mate wij uitvoering kunnen geven aan deze aanbevelingen, zonder de huidige pragmatische insteek te verliezen. Deze werkt immers goed en wordt ook onderschreven in uw onderzoek. Uiteraard met daarbij de aantekening dat dit binnen het bestaande formatieve 'vierkant' dient te geschieden.

Burgemeester en wethouders van Roermond, De secretaris,

fi-,

De wnd. burgemeester.

s t a d h u i s | IVlarl
Bijlage I b. Nawoord Rekenkamercommissie op de reactie van het college van burgemeester en wethouders. Naar aanleiding van de reactie van het college van burgemeester en wethouders van 15 oktober 2012 (nummer 2012/uit/44294).


Nawoord Rekenkamercommissie naar aanleiding van de reactie van het college van burgemeester en wethouders. Naar aanleiding van het schrijven van het college van burgemeester en wethouders van 15 oktober (nummer 2012/uit/44294) met de reactie op de conclusies en aanbevelingen van ons vooronderzoek merkt de Rekenkamercommissie het navolgende op: De Rekenkamercommissie heeft kennis genomen van de bestuurlijke reactie op haar rapportage. In zijn reactie geeft het college aan zich in de aanbevelingen omtrent de rolverdeling tussen het College en het ambtelijk apparaat en het prioriteren van werkzaamheden en de manier waarop projecten, strategie en beleid tot stand komen te herkennen. Deze reactie wordt vanzelfsprekend door de Rekenkamercommissie verwelkomd. Met betrekking tot de aanbeveling om de betrokkenheid van de raad bij het beleid rond informatievoorziening en ICT te versterken, neemt het college afstand in de zin dat zij stelt dat de manier waarop met behulp van ICT invulling wordt gegeven aan digitale dienstverlening een bedrijfsvoeringsaspect is. Het betreft naar het oordeel van het college primair een aangelegenheid van het college en het ambtelijk apparaat. De Rekenkamercommissie ziet het niet als louter een vraagstuk van bedrijfsvoering. Natuurlijk zijn er bedrijfsvoeringaspecten, maar ICT is vandaag de dag een instrument dat in belangrijke mate het gevolg is van een antwoord op de vraag: "Wat voor soort gemeente willen wij nu eigenlijk zijn". De Rekenkamercommissie wil -nogmaals- benadrukken dat informatievoorziening en ICT van dusdanig groot belang zijn bij het realiseren van diverse maatschappelijke doelen dat dit een versterking van betrokkenheid van de Raad (in het kader van haar kaderstellende en controlerende rol) rechtvaardigt. ICT geeft invulling aan de wijze waarop de rol van de gemeente wordt uitgevoerd. En dat is ook "van de Raad". In dat licht is ook de aanbeveling te zien om (als college) jaarlijks een integraal informatieplan op te stellen voorzien van planningen, projectenportfolio en benodigde middelen en de raad hierover te informeren.

Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond Roermond

Bijlage II. Onderzoeksrapport. In opdracht van de Rekenkamercommissie is het vooronderzoek uitgevoerd en het onderzoeksrapport opgesteld door: Verdonck, Klooster & Associates b.v. Baron de Coubertinlaan 1 2719 EN Zoetermeer Onderzoekers: - De heer Leon Sonnenschein. - De heer John Buiting.



QUICK SCAN INFORMATIEVOORZIENING Vooronderzoek voor de Rekenkamercommissie Roermond

2/97

QUICK SCAN INFORMATIEVOORZIENING Vooronderzoek voor de Rekenkamercommissie Roermond

Léon Sonnenschein en John Buiting

DATUM

10 september 2012

STATUS

Definitieve versie voor bestuurlijk wederhoor

VERSIE

1.0

Copyright © 2012 Verdonck, Klooster & Associates B.V.

Alle rechten voorbehouden. Niets van deze uitgave mag worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen, of enige andere manier, zonder voorafgaande schriftelijke toestemming van de auteursrechthebbende.

3/97

Definitieve versie voor bestuurlijk wederhoor Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond


4/97


INHOUDSOPGAVE 1

inleiding

7

1.1

Aanleiding

7

1.2

Doel van het vooronderzoek

8

1.3

Afbakening van de opdracht

8

2

De quick scan

11

2.1

Te onderzoeken clusters

11

2.2

Bepaling potentiële onderwerpen voor nader onderzoek

12

2.3

Onderzoeksmethode

13

2.4

De Benchmark

13

3

Leeswijzer

15

3.1

Opbouw van de clusterbeschrijvingen

15

4

Bevindingen conclusies en aanbevelingen

17

4.1

Cluster 1: het beleid rondom de informatievoorziening

17

4.2

Cluster 2a: Besturing en organisatie van de informatievoorziening

29

4.3

Cluster 2b: Besturing en organisatie van de informatiebeveiliging

46

4.4

Cluster 2c: Besturing en organisatie van de projecten

55

4.5

Cluster 3: Beheer en exploitatie van de informatievoorziening

64

A

Conclusies en aanbevelingen op een rij

74

B

Geraadpleegde documentatie

89

C

Lijst geïnterviewde personen

91

D

MISSIE DOELEN EN STRATEGISCHE KEUZES UIT DE I-VISIE

93

E

BEKNOPTE OMSCHRIJVING VAN DE ONTWIKKELINGEN BESCHREVEN IN DE I-

F

VISIE

95

RELEVANTE WET- EN REGELGEVING BEVEILIGINGSBELEID

97


5/97



6/97


1

INLEIDING De Rekenkamercommissie van de gemeente Roermond (verder: RKC) heeft als taak de doelmatigheid, de doeltreffendheid en de rechtmatigheid te onderzoeken van het door het gemeentebestuur gevoerde bestuur. Het doel van deze onderzoeken is verbeterpunten aan te dragen voor de politieke en ambtelijke organisatie ten einde daarvan te kunnen leren. De RKC ziet het als haar missie om het volgende zichtbaar te maken: •

Waar de gemeente Roermond haar geld aan besteedt;

•

Wat er van die bestedingen terecht komt in de zin van resultaat en maatschappelijke effecten;

•

Hoe dat zich verhoudt tot het beleid dat de gemeenteraad vooraf heeft geformuleerd.

De RKC heeft VKA opdracht gegeven een vooronderzoek uit te voeren naar het "het beleid, de organisatie en uitvoering van de ICT in de gemeente Roermond”. De uitkomsten van dit vooronderzoek kunnen later (mogelijk) de basis vormen voor een verdiepend onderzoek naar één of meer aspecten van dit beleid c.q. van specifieke ICT-projecten. De resultaten van dit vooronderzoek dat het karakter heeft van een quick scan vindt u in de voorliggende rapportage. 1.1

Aanleiding De aanleiding voor het vooronderzoek heeft de RKC als volgt verwoord in haar offerteaanvraag: De uitvoering van praktisch alle gemeentelijke taken is niet meer goed mogelijk zonder de ondersteuning van een adequaat ICT systeem. De wetgever vereist bij de uitvoering van de taken een geautomatiseerd proces (van aanvraag tot en met besluit). De afhankelijkheid van de geautomatiseerde informatievoorziening roept vele kwesties op, zoals: Deskundigheid op gemeentelijk niveau (informatiemanagement, kennis van software); •

“State of the art” van de hardware en software;

•

“match” tussen het gemeentelijk beleid en de geautomatiseerde informatievoorziening;

•

beveiliging en privacybescherming;

•

financiële beheersbaarheid.

Voorbereiding, uitvoering en controle van beleid en bestuur zijn niet meer goed mogelijk zonder geautomatiseerde ondersteuning. De recente problematiek rond DIGINOTAR geeft aan hoe snel en hoe groot risico’s voor het functioneren van het openbaar bestuur intern en extern (dienstverlening aan burgers) kunnen opdoemen. Mede gelet op de huidige ontwikkelingen in Roermond m.b.t. het dienstverleningsconcept en de Ivisie, het recent toetreden tot het samenwerkingsverband DIMPACT en ook de relatie tot de snelle ontwikkelingen van en de eisen aan de e-overheid, lijkt dit onderzoeksonderwerp de RKC relevant.


7/97


ICT-beleid is weliswaar in hoge mate uitvoering (een middel om bepaalde beleidsdoelstellingen te helpen realiseren) en dientengevolge in hoge mate een collegeaangelegenheid (en een MTambtelijke aangelegenheid) maar (indirect) zeer cruciaal voor de doeltreffendheid en doelmatigheid van gemeentelijk beleid als zodanig. Bovendien gaat ICT-beleid met grote bestedingen gepaard. Ook die moeten voldoen aan de criteria van doelmatigheid, doeltreffendheid en rechtmatigheid. 1.2

Doel van het vooronderzoek De Rekenkamercommissie heeft opdracht gegeven tot het uitvoeren van een vooronderzoek (quick scan) waarbij - terugkijkend op een bepaalde periode (vanaf 2007) en vooruitkijkend in het licht van relevante interne en externe ontwikkelingen- in eerste instantie een aantal zaken op een rij gezet kunnen worden. Dit onderzoek dient als het ware een foto van het gemeentelijk ICTbeleid op te leveren. In dit vooronderzoek zou in ieder geval meegenomen dienen te worden: •

hoe is het ICT-beleid in de organisatie ingebed (bevoegdheden/verantwoordelijkheden);

•

schets van de belangrijkste ontwikkelingen / ICT-activiteiten/ ICT-projecten;

•

schets van de belangrijkste opgaven in relatie tot ICT (wettelijke vereisten, eisen Rijk, interne wensen);

•

de wijze van vormgeving van de informatiebeveiliging;

•

ICT-bestedingen in kaart brengen (wellicht met globale benchmark, vergelijking kengetallen);

•

hoe verlopen besluitvormingstrajecten m.b.t. ICT(investeringen);

•

hoe verloopt de bestuurlijke sturing rondom ICT / wat is de betrokkenheid van de Raad;

•

welke (mogelijke) knelpunten worden waargenomen.

Voor de RKC heeft het vooronderzoek op zich al waarde. Er wordt in één document overzicht van en inzicht verschaft in de status van het ICT-beleid binnen de gemeente Roermond. Beleidsmatige, organisatorische en financiële knelpunten kunnen zo zichtbaar gemaakt worden. Het onderzoek is (in deze fase) niet bedoeld om als RKC een definitief standpunt en/of waardeoordeel te kunnen vellen omtrent het gevoerde ICT-beleid. De RKC dient wel op basis van het vooronderzoek te kunnen beoordelen of er een verdiepend onderzoek met betrekking tot een of meer specifieke aspecten binnen het ICT-beleid opgezet dient te worden, al dan niet in relatie tot bepaalde projecten/trajecten. 1.3

Afbakening van de opdracht Dit onderzoek kent de volgende afbakeningen: •

Het vooronderzoek heeft het karakter van een quick scan met vooral oog voor de breedte en compleetheid en met een beperkte diepgang;

•

Het onderzoeksgebied wordt gevormd door drie clusters: 1) informatiebeleid, 2) besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten en 3) beheer en exploitatie van de informatievoorziening en ICT;


8/97


•

De te onderzoeken periode is vanaf 2007 naar de huidige situatie en vooruitkijkend naar relevante interne en externe ontwikkelingen.


9/97



10/97


2

DE QUICK SCAN Om te bepalen op welke gebieden een verdiepend vervolgonderzoek gaat plaatsvinden, vraagt de RKC om een zo compleet mogelijk beeld van het beleid, de organisatie en uitvoering van ICT in de gemeente Roermond.

2.1

Te onderzoeken clusters Hiervoor heeft VKA een quick scan uitgevoerd waarbij de volgende clustering is gehanteerd: •

het beleid rondom de informatievoorziening;

•

de besturing en organisatie van informatievoorziening, informatiebeveiliging en projecten;

•

het beheer en de exploitatie van de informatievoorziening en ICT.

Aan de hand van een aantal vragen komt VKA tot een beeld dat de essenties weergeeft hoe Roermond er per cluster voor staat. In het onderstaande zijn de clusters beknopt beschreven. BELEID INFORMATIEVOORZIENING Voor het Informatiebeleid worden enerzijds de beleidsdoelstellingen als startpunt genomen en anderzijds de doelstellingen voor de bedrijfsvoering. Er wordt onderzocht in hoeverre er een verband bestaat tussen gemeentelijke doelstellingen (onder andere op basis van het Collegeprogramma) en het Informatiebeleid. Ook wordt gekeken in hoeverre relevante externe ontwikkelingen (zie bijvoorbeeld ‘@genda 2015: slimme verbindingen gemeentelijke agenda informatiebeleid’ van de VNG waarin de belangrijkste uitdagingen voor de komende jaren zijn geschetst) zijn verwerkt in het informatiebeleid en hoe dit afsteekt tegen andere gemeenten. Ten slotte is hier ook de vraag aan de orde in hoeverre de huidige situatie is meegenomen in het informatiebeleid. Denk hierbij aan de sterktes en zwaktes van de (ICT) organisatie, de kwaliteit van informatievoorziening, en de mate waarin deze past op de beoogde voorziening. BESTURING EN ORGANISATIE VAN DE INFORMATIEVOORZIENING, INFORMATIEBEVEILIGING EN PROJECTEN Voor de besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten wordt onderzocht op welke wijze de gemeenteraad, het College en het ambtelijk apparaat hun rollen invullen in de cyclus van beleidsvorming, -bepaling, -uitvoering en -evaluatie. Dit verschaft inzicht, zeker wanneer dit beschouwd wordt in het licht van een benchmark. In het normenkader dat de onderzoekers als referentiekader hanteren (zie paragraaf 2.2) wordt uitgegaan van een sterke betrokkenheid van de Raad. Bij veel gemeenten worden Informatievoorziening en ICT (IV/ICT) traditioneel gezien als onderdeel van de bedrijfsvoering, en daarmee als verantwoordelijkheid van het College. In de huidige samenleving spelen significante onderdelen van de IV/ICT echter in toenemende mate een belangrijke rol in het contact van gemeenten met de buitenwereld, en als primair productiemiddel in het realiseren van


11/97


maatschappelijke doelen. Naarmate de gemeentelijke organisatie IV/ICT meer gaat inzetten in activiteiten die direct de samenleving raken, wordt betrokkenheid van de Raad van groter belang. Daarnaast is ook de kwetsbaarheid van organisaties toegenomen door activiteiten van hackers en cybercriminelen. Ook dit aspect rechtvaardigt een sterke betrokkenheid van de Raad vanuit haar kaderstellende en controlerende taak. Daarnaast wordt binnen dit cluster op hoofdlijnen een analyse gemaakt van de ICT-projecten portfolio, de opbouw en transparantie van de portfolio, de wijze waarop hier sturing plaatsvindt en de wijze waarop projecten afzonderlijk worden aangestuurd. Tot slot wordt in dit cluster ook gekeken naar de wijze waarop de besturing van de informatiebeveiliging inhoudelijk en organisatorisch is vorm gegeven. BEHEER EN EXPLOITATIE VAN DE INFORMATIEVOORZIENING EN ICT Voor beheer en exploitatie wordt onderzocht op welke wijze de ICT middelen worden gemanaged. De belangrijkste onderwerpen zijn hier: Zijn de prestatiefactoren waarop gestuurd wordt (service levels) in de gehele keten van beheer geborgd? Zijn deze in lijn met organisatiedoelstellingen en beleid? Is de beheerorganisatie in staat te leveren? Zijn de beheerprocessen adequaat ingericht, en komt de kwaliteit van het geleverde overeen met de doelstellingen? 2.2

Bepaling potentiële onderwerpen voor nader onderzoek De RKC wenst met het vooronderzoek een basis te hebben om te bepalen op welke onderwerpen later (mogelijk) een verdiepend onderzoek wordt uitgevoerd. Om te bepalen of, en op welke onderwerpen, verdiepend onderzoek nodig is hanteert VKA in dit onderzoek twee referentiekaders. Het eerste referentiekader wordt gevormd door een 'normenkader' dat VKA hanteert voor quick scans op het gebied van informatievoorziening. Dit kader beschrijft een ideaaltypische situatie volgens internationaal geaccepteerde standaarden voor IT-governance. De normen uit dit kader fungeren hier echter nadrukkelijk niet als voorschrijvend, maar, in overleg met de RKC, als referentiepunten. Het tweede referentiekader wordt gevormd door benchmarkinformatie waarover VKA beschikt. Het gaat hier om informatie uit een benchmark uitgevoerd door VKA onder een zestal 100.000+ gemeenten. Ook hier geldt weer dat de benchmark niet als voorschrijvend wordt gehanteerd, maar vergelijkingsmateriaal. op de onderzochte onderwerpen. situatie in een zestal Om te bepalen of, en op welke onderdelen vervolgonderzoek nodig is, heeft VKA de volgende activiteiten uitgevoerd: •

het positioneren van de situatie in de gemeente Roermond ten opzichte van het normenkader.

•

Het positioneren van de situatie in de gemeente Roermond ten opzichte van de situatie in de benchmarkgemeenten.


12/97


Door deze twee stappen te zetten wordt inzichtelijk gemaakt welke positie Roermond inneemt op de verschillende informatiebeleidsgebieden ten opzichte van a) het normenkader en b) andere gemeenten. Door significante afwijkingen – die op knelpunten kunnen wijzen – in beeld te brengen, kan vastgesteld worden welke onderwerpen eventueel aanleiding vormen voor een verdiepend onderzoek. 2.3

Onderzoeksmethode Voor deze quick scan heeft VKA uitgebreid documentenonderzoek gedaan (zie bijlage B). Dit onderzoek is aangevuld met een zevental interviews met mensen op verschillende posities in de organisatie. De lijst met te interviewen personen is afgestemd met de RKC (zie bijlage C). Van alle interviews is een verslag gemaakt dat ter verificatie is verzonden aan de geïnterviewden. Na verwerking van commentaar en aanvullingen is een definitieve versie van het verslag in PDFvorm toegezonden aan de geïnterviewden. De bevindingen zijn gerelateerd aan het normenkader en aan de informatie uit de benchmark. Op die manier ontstaat een beeld waar Roermond staat ten opzichte van het normenkader, en waar Roermond staat ten opzichte van andere gemeenten.

2.4

De Benchmark Om vast te stellen waar de gemeente Roermond staat met haar informatiebeleid ten opzichte van andere gemeenten zijn de bevindingen gerelateerd aan benchmark informatie waarover VKA beschikt. Het betreft dus geen specifiek voor dit onderzoek uitgevoerde benchmark. De benchmark informatie is gebaseerd op: •

een benchmark enquête met 25 open vragen onder 100.000+ gemeenten in stedelijk gebied: Amersfoort, Delft, Zoetermeer, Zwolle, Dordrecht en Nijmegen (verder te noemen: benchmarkgemeenten). Deze gemeenten hebben de vragen beantwoord en hun informatiebeleidsplannen (en in enkele gevallen beschikbare benchmark rapportages) aangeleverd.

•

beschikbare onderzoeksrapportages van benchmarks op het gebied van kosten en personeel met betrekking tot informatiebeleid in de gemeentelijke sector waar de deelnemers aan de VKA-benchmark aan hebben deelgenomen en die zij aan VKA ter beschikking hebben gesteld. Het betreft hier rapportages van Gartner, M&I-partners en Berenschot.

In deze benchmark is onderzoek gedaan naar drie clusters die onderscheiden worden binnen het normenkader: •

het beleid rondom de informatievoorziening;

•

de besturing en organisatie van informatievoorziening, en projecten

•

het beheer en de exploitatie van de informatievoorziening en ICT.

(informatiebeveiliging was wel onderdeel maar geen specifiek item in de benchmark);


13/97


De focus van de benchmark lag op de governance rondom het informatiebeleid met daarbinnen speciale aandacht voor de rolverdeling tussen de Raad en het College. Uitgangspunt van het benchmark onderzoek was dat de anonimiteit van de deelnemende gemeenten werd gegarandeerd. De resultaten in hoofdstuk 3 zijn daarom zodanig gepresenteerd dat zij niet één op één herleidbaar zijn tot een gemeente. De benchmark informatie betreft 100.000+ gemeenten. De gemeente Roermond telt ca. 56.000 inwoners en is dus aanzienlijk kleiner dan de benchmarkgemeenten. In de interpretatie dient hier rekening mee gehouden te worden.


14/97


3

LEESWIJZER In hoofdstuk 4 vindt u per cluster de bevindingen, gevolgd door de conclusies en aanbevelingen bij dat cluster.

3.1

Opbouw van de clusterbeschrijvingen Elk cluster begint met een korte normatieve omschrijving van het cluster, en de normen voor dat cluster uit het normenkader. Vervolgens vindt u achtereenvolgens de bevindingen uit de documentatie, de bevindingen uit de interviews en de bevindingen uit de benchmark. In de afsluitende paragraaf van elk cluster geven wij de positie aan van de gemeente Roermond ten opzichte van het normenkader en de benchmark en formuleren aanbevelingen. Om de leesbaarheid te bevorderen hebben wij bij de bevindingen ervoor gekozen tussenkopjes toe te voegen die niet geheel de normen volgen. Dit zou leiden tot teveel herhaling en kunstmatige scheiding van informatie. Naar onze mening reflecteert de wijze waarop de informatie is weergegeven echter voldoende het normenkader om op logische wijze de conclusies op basis van het normenkader te kunnen trekken. Met betrekking tot de bevindingen uit de documentatie hebben wij ervoor gekozen de voor dat cluster relevante documenten te beschrijven op het niveau van vaststelling (Raad, College, MT, anders), korte typering van het stuk, de voor dat thema relevante inhoud. Het kan daardoor zo zijn dat eenzelfde document op meerdere plaatsen in een cluster aan bod komt.


15/97



16/97


4

BEVINDINGEN CONCLUSIES EN AANBEVELINGEN

4.1

Cluster 1: het beleid rondom de informatievoorziening Dit cluster heeft betrekking op de inhoudelijke basis van de Informatievoorzieningstrategie.

4.1.1

Omschrijving

De gemeente beschikt over een uitgewerkte en door de gemeenteraad geaccordeerde informatievoorzieningstrategie. Deze is opgesteld door het College, en afgeleid vanuit de beleidsdoelen van het College (Coalitieakkoord), de lange termijn strategische visie van de gemeente, en de financiële vertaling daarvan in de programmabegroting. Voor het beoordelen van deze informatievoorzieningstrategie worden tevens een aantal normen gehanteerd die ontleend zijn aan de overheidsbrede beleidskaders voor overheidsdienstverlening en informatievoorziening en kaders die aangereikt worden door het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Het College stelt ook de bestuurlijke kaders en de verantwoordelijkheidsverdeling voor de informatievoorziening op. Dit leidt tot een door de Raad vastgesteld meerjaren informatievoorzieningstrategie met toekomstgerichte keuzen, onder andere voor te starten informatievoorzieningprogramma's en/of -projecten. Deze Informatiestrategie sluit qua tijdshorizon aan op de coalitieperiode. NORMENKADER

Norm 1: Het College stelt de informatievoorzieningstrategie op waarin de toekomstige behoefte aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze – is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente. Norm 2: Het College werkt op basis van de door de Raad vastgestelde informatievoorzieningstrategie kaders en richtlijnen uit voor het inrichten van de informatievoorziening. Norm 3: Het College vertaalt de informatievoorzieningstrategie naar een Informatieplan met bijbehorende projectenportfolio en de bijbehorende middelen. Norm 4: In de informatievoorzieningstrategie van de gemeente Roermond wordt aangesloten bij landelijke beleidsvisies op dienstverlening en e-overheid zoals vastgelegd in het Nationaal Uitvoering Programma e-overheid van het Ministerie van BZK, de VNG visie op dienstverlening 'Dienstverlening draait om mensen', 'Het gemeentelijk fundament' van KING, de architectuurkaders NORA en GEMMA, en de visie van de Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft: 'Dienstverlening samen doen’: 1. de vraag van burgers, bedrijven en instellingen staat centraal. 2. burgers, bedrijven en instellingen moeten hun zaken snel en zeker kunnen regelen. 3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen hun organisaties, maar opereert als één overheid.


17/97


4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is opgenomen en informatie die binnen de eigen organisatie beschikbaar is, wordt niet nogmaals gevraagd. 5. de overheid is transparant en aanspreekbaar. 6. de overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de behoeften van burgers, bedrijven en instellingen.

Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op het gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken van het gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering, DigiMelding, DigiMachtiging en DigiPoort. Norm 6: Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op de informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken, zoals de (jeugd)zorg, WMO, Werk en inkomen en toezicht en handhaving.

4.1.2

Bevindingen op basis van de documentatie

INFORMATIEVOORZIENINGSTRATEGIE Relevante documenten: I-visie 2011, I-visie 2007-2011 I-visie 2011 De I-visie 2011 van de gemeente Roermond is op 2 februari 2011 vastgesteld door het management team en op 15 maart 2011 vastgesteld door het College De I-Visie 2011 biedt het lange termijn perspectief op informatievoorziening van de gemeente Roermond, met richtinggevende strategische keuzes in het licht van de huidige en toekomstige ontwikkelingen. De I-visie 2011 is niet voorzien van een tijdsplanning. Ook wordt in het stuk geen tijdshorizon genoemd. De I-visie 2011 is mede gebaseerd op maatschappelijke ontwikkelingen, ICT-ontwikkelingen, landelijke programma's en wet- en regelgeving op het gebied van de e-overheid, de 'Strategische visie Roermond 2020', het 'dienstverleningsconcept Beleef Roermond!', het 'Programma Excellente dienstverlening' van de gemeente Roermond, en interne ontwikkelingen bij de gemeentelijke organisatie zoals het benutten van ICT voor het efficiënter en effectiever maken van processen. Deze thema's zijn vertaald naar een missie en doelen voor de informatievoorziening van de gemeente Roermond en voorzien van strategische keuzes die in de I-visie zelf nader zijn toegelicht. Aan het eind schetst de I-visie in beknopte vorm het vervolgproces. De missie, doelen en strategische keuzes vindt u in bijlage C. Een beknopt overzicht van de ontwikkelingen die in de I-visie zijn meegenomen vindt u in bijlage D.


18/97


Van de interne ontwikkelingen zijn een aantal ontwikkelingen is het Collegeprogramma 2010-2014 'Slagvaardig en spaarzaam' niet expliciet meegenomen in de I-visie 2011. De implicaties van onder andere de taakstelling van 3,2 miljoen euro op de bedrijfsvoering van de gemeente Roermond in 2016. De aanvullende taakstelling van 2,7 miljoen euro uit de begroting van 2012 en de recente uitkomsten van de kerntakendiscussie die vervat zijn in het zogeheten 'Kerntakenboek', zijn uiteraard ook nog niet meegenomen. Deze zijn van later datum dan de I-visie. Er heeft geen bijstelling van de I-visie plaats gevonden naar aanleiding van deze ontwikkelingen. De uitkomst van de kerntakendiscussie is o.a. dat de gemeente Roermond kiest voor een andere rolopvatting. Niet meer de rol van probleemoplosser, maar die van regisseur. Dat betekent o.a. dat de gemeente een deel van de uitvoering wil afstoten. Een aantal landelijke beleidsvisies komen niet expliciet terug in de I-visie 2011, zoals 'Het gemeentelijk fundament' van KING en 'Dienstverlening samen doen’ van de Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft. Deels is dat te verklaren uit het feit dat de ontwikkeling van sommige visies parallel plaats vond aan de ontwikkeling van de I-visie. Inhoudelijk worden de thema's, ook van deze relatief nieuwe beleidsvisies echter wel gedekt door de I-visie 2011. In de I-visie 2011 wordt niet ingegaan op de implicaties voor de informatievoorziening van ontwikkelingen in de verschillende maatschappelijke beleidssectoren zoals de (jeugd)zorg, WMO, werk&inkomen, en toezicht en handhaving. I-visie 2007 – 2011 De I-visie 2007 - 2011 van de gemeente Roermond is niet vastgesteld op het niveau van Raad, College of MT. Het betreft een interne notitie. De I-visie 2007 – 2011 verwoordt de visie van de gemeente Roermond op de Informatievoorziening voor de periode 2007 – 2011. Zij geeft aan op welke wijze Informatievoorziening de toekomstige ontwikkelingen van de gemeente optimaal kan ondersteunen. Deze I-visie 2007 – 2011 geeft een beeld van de richting. Zij bevat geen uitgebreide analyse van in- en externe ontwikkelingen, en van landelijke beleidsvisies. De thema's die in de nota worden geadresseerd reflecteren wel de ontwikkelingen van dat moment op landelijk niveau met betrekking tot eoverheid en e-dienstverlening, waaronder de Nederlandse Overheids Referentie Architectuur, digitale overheid, één loket, en Basisadministraties. KADERS EN RICHTLIJNEN VOOR DE INRICHTING VAN DE INFORMATIEVOORZIENING Relevante documenten: Kadernota ICT 2003, Enable U, Quick scan voor de Gemeente Roermond, Checklist Informatiemanagementbeleid 2010, ICT-beveiligingsbeleid. Kadernota ICT 2003 De kadernota ICT van de gemeente Roermond is op 9 juli 2003 goedgekeurd door het College en op 8 september 2003 ter kennisname voorgelegd aan de Commissie AZ&C van de Raad.


19/97


De kadernota is destijds op verzoek van de Raad tot stand gekomen. Zij schetst een beeld van de op dat moment geldende situatie, knelpunten, witte vlekken en toekomstbeeld en bevat een financiële paragraaf voor benodigde investeringen. De kadernota gaat met name in op hardware, en systemen die de bedrijfsvoering ondersteunen. De nota heeft meer het karakter van een I-visie dan van een kadernota, waarin richtinggevende kaders worden vastgelegd. Enable U, Quick scan voor de Gemeente Roermond In 2010 heeft de gemeente Roermond een quick scan uit laten voeren naar de I-architectuur 'Enable U, Quick scan voor de Gemeente Roermond'. Doelstelling van het onderzoek was om in korte tijd een helder beeld te verkrijgen van de huidige situatie, en om de mogelijke en noodzakelijke verbeteringen aan te geven in de I-architectuur om het programma dienstverlening een impuls te geven zodat in 2011 tot concrete resultaten gekomen kon worden. De quick scan is gebaseerd op NORA 3.0 en GEMMA inrichtingsprincipes, best practices en ervaringen van Enable-U en uitgangspunten uit het programma dienstverlening als ook thema‟s uit het informatiemanagement beleidstuk Architectuur. De quick scan heeft geleid tot aanbevelingen ten aanzien van: werken onder architectuur, front office en mid-office. Daarnaast bevat de rapportage Programma's van eisen voor een formulierengenerator. een CMS, een mid-office broker en webservices, Open source CMS en een opzet voor een effectieve service gerichte architectuur voor de gemeente Roermond. Checklist Informatiemanagementbeleid 2010 De Checklist Informatiemanagementbeleid is vastgesteld door het MT op 17 maart 2010. De checklist wordt door de I-adviseurs gebruikt in het overleg met de afdelingshoofden, en wordt toegepast door de afdelingshoofden bij het nemen van beslissingen ten aanzien van aanschaf en/of vervanging van applicaties. De checklist is een tijdelijke maatregel in afwachting van een Roermondse referentiearchitectuur. ICT-beveiligingsbeleid 2009 Het ICT-beveiligingsbeleid versie 2.1 van de gemeente Roermond is vastgesteld door het College op 18 augustus 2009. Dit beleid bevat richtlijnen voor de informatievoorziening met betrekking de beveiliging van informatie en privacybescherming. Op dit beleid wordt uitgebreider ingegaan in cluster 2b: de besturing en organisatie van de informatiebeveiliging. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het college zal worden behandeld. INFORMATIEPLAN, PROJECTENPORTFOLIO EN MIDDELEN Relevante documenten: Programmaplan Excellente Dienstverlening, Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, Voorstel Raad toetreding tot coöperatieve vereniging Dimpact, KCC-visie Programmaplan Excellente Dienstverlening Het Programmaplan Excellente dienstverlening is goedgekeurd door het MT in januari 2010. De projectenportfolio wordt jaarlijks vastgesteld door het MT.


20/97


Het programmaplan Excellente Dienstverlening is de belangrijkste drager voor de implementatie van de I-visie 2011 en is op haar beurt gebaseerd op de doelstelling voor excellente dienstverlening uit de strategische visie Roermond 2020. Het Programmaplan vertaalt het dienstverleningsconcept van de gemeente Roermond naar concrete bedrijfsvoeringprojecten. Het bestaat uit een groot aantal projecten die ieder op hun eigen gebied een bijdrage leveren aan het verbeteren van de gemeentelijke dienstverlening. Zo zijn er projecten gericht op ICT, organisatie van producten/diensten/werkprocessen, HRM en datadistributie. Uitvoering van deze projecten gebeurt in onderlinge samenhang en in een logische volgorde. Om de logische volgorde en onderlinge samenhang te waarborgen zijn de projecten verdeeld over verschillende jaarschijven (plateaus). De horizon van het huidige programmaplan is 2013. Het Programmaplan bevat een uitgebreide projectenportfolio van met name projecten op het gebied van informatievoorziening, die jaarlijks wordt bijgesteld en vastgesteld door het MT. Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten De notitie 'Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten' is op 9 mei 2007 goedgekeurd door het managementteam van de gemeente Roermond. De notitie geeft een uitgebreid overzicht van de uitgangspunten en randvoorwaarden voor het projectmanagement van bedrijfsvoeringsprojecten. Aandacht wordt besteed aan o.a. het afwegingskader voor projecten, de cyclus voor het vaststellen van de projectenkalender, en de projectrapportages, het eigenaar- en sponsorschap van projecten, de projectleidersrol en de bijbehorende (budget)bevoegdheden, de contractuele relatie tussen projectleider en projecteigenaar, bemensing van de projectleidersrol en de personele capaciteit voor projecten, de variabele beloning van projectleiders, de verhouding tussen afdelingshoofd en projectleider. De notitie belegt het eigenaarschap van bedrijfsvoeringsprojecten altijd bij het MT. En voor elk project wordt altijd één MT-lid als sponsor van het project benoemd. In aanvulling op de notitie zijn er formats voor projectafweging en projectinitiatie ontwikkeld. Voorstel Raad toetreding tot coöperatieve vereniging Dimpact De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact. Dimpact is een samenwerkingsverband van gemeenten op het gebied van e-dienstverlening. Het besluit van de Raad is onderbouwd met een onderzoek dat het MT heeft laten uitvoeren naar 'Acceleratie van het Programma Excellente Dienstverlening'. Dit onderzoek bevat een business case, waarin verschillende alternatieven – samenwerking Dimpact, samenwerking GovUnited, zelf een 'all-inclusive-oplossing' aanschaffen – tegen elkaar worden afgewogen. Conclusie uit het rapport is dat aansluiting bij Dimpact een belangrijke stap is om op een goede en kostenefficiënte manier de voorzieningen te realiseren op het gebied van informatievoorziening en ICT, die nodig zijn om de doelstellingen van het Programma Excellente Dienstverlening versneld te realiseren.


21/97


KCC-visie 2011 De KCC-visie 2011 van de gemeente Roermond is op 22 maart 2011 vastgesteld door het college De KCC-visie geeft verdere uitwerking aan het programmaplan Excellente dienstverlening en gaat in op doel en functie van het KCC.

4.1.3

Bevindingen op basis van de interviews

INFORMATIEVOORZIENINGSTRATEGIE Bestuurlijk gezien was er tot 2010 weinig belangstelling voor Informatiebeleid. De I-visie 2011 is mede op initiatief van de wethouder, die in april 2010 toetrad tot het College, tot stand gekomen. De wethouder is nauw betrokken geweest bij de totstandkoming ervan en deze is besproken in het College. Voor het bestuur ligt het speerpunt van de informatievoorzieningstrategie bij de dienstverlening aan de burger. KADERS EN RICHTLIJNEN VOOR DE INRICHTING VAN DE INFORMATIEVOORZIENING De Kadernota ICT 2003 is geactualiseerd in 2007 in de vorm van de I-visie 2007-2011. Deze is wel gepresenteerd aan de Commissie Financiën, maar nergens formeel vastgesteld. De gemeente Roermond beschikt niet over een vastgestelde Informatiearchitectuur die kan dienen als kader voor beslissingen op het gebied van informatievoorziening en ICT op specifieke beleidsterreinen. In 2010 heeft de Gemeente Roermond het onderzoek Enable U, Quick scan voor de Gemeente Roermond laten uitvoeren. Op basis hiervan zijn architectuurproducten in de maak en worden de komende jaren verder ontwikkeld. M.b.t. I&A wordt wel gestuurd op integraliteit en standaarden. Er wordt gekeken of een oplossing ook voor andere sectoren van belang is/kan zijn en, of deze kan worden gerealiseerd met bestaande middelen. De standaarden worden vastgesteld door het MT. Roermond wil de landelijke ICT standaarden volgen en zoekt nu actief naar samenwerkingsvormen met andere gemeenten. De landelijke standaarden hebben betrekking op gezamenlijke keuzes voor software enof dienstverleningsmodellen. De samenwerkingsvormen met collega-gemeenten zijn in deze fase meer gericht op de ICT-infrastructuur. Roermond is toegetreden tot het samenwerkingsverband Dimpact. Door deze samenwerking beschikt zij automatisch over front- en mid-office systemen die voldoen aan de landelijke standaarden. Door de toetreding tot Dimpact en de implementatie hiervan zal Roermond voor een belangrijk deel invulling geven aan de aanbevelingen uit het rapport Enable U. Er is geen vastgesteld sourcingsbeleid dat kan dienen als kader voor besluitvorming ten aanzien van uitbesteding of samenwerking op het gebied van informatievoorziening en ICT.


22/97


Toetreding tot Dimpact Een belangrijke ontwikkeling met betrekking tot de uit voering van de Informatievoorzieningstrategie van de gemeente Roermond is de toetreding tot het samenwerkingsverband Dimpact. Gezien het belang hiervan wordt daar in dit punt uitgebreider bij stil gestaan. Het adopteren van de ontwikkelingen binnen Dimpact is een onderdeel van de informatiestrategie van de gemeente Roermond. Dimpact is daardoor indirect bepalend voor een deel van het gemeentelijke informatiebeleid. De aansluiting bij Dimpact werkt als kaderstellend ten aanzien van zaken als sourcing, applicatieontwikeling en architectuur. Veel zaken die Roermond in de oude situatie zelfstandig zou moeten ontwikkelen, worden nu in het samenwerkingsverband ontwikkeld. Slechts daar waar nodig zal Roermond nog zelf ontwikkelen (bijvoorbeeld het beveiligingsbeleid). Dimpact is een coöperatieve vereniging van gemeenten. De deelnemende gemeenten worden geacht zelf een stevige inbreng te hebben in dit samenwerkingsverband. In de interviews geven gesprekspartners aan dat Roermond inmiddels bekend staat als een enthousiaste en actieve partner. De vakwethouder heeft hiervoor tijdens de laatste ledenvergadering complimenten ontvangen. De samenwerking binnen Dimpact gaat verder dan alleen de Elektronische Dienstverlening. Samenwerking vindt plaats op dienstverlening in de brede zin, maar ook ontwikkelingen als de RUD en MBGA worden binnen Dimpact opgepakt. INFORMATIEPLAN, PROJECTENPORTFOLIO EN MIDDELEN De projectenportfolio Excellente Dienstverlening wordt jaarlijks bijgesteld. Een vervangings- en investeringsbudget voor de informatievoorziening, met een doorkijk van vier jaren, wordt jaarlijks vastgesteld door de Raad via de jaarbegroting. Investeringsbeslissingen worden genomen door het College. INHOUD VAN HET INFORMATIEVOORZIENINGSBELEID Het Informatiebeleid komt tot stand in wisselwerking tussen de vakafdelingen, de informatieadviseurs en de ICT-adviseurs, waarbij wordt uitgegaan van landelijke standaards en het gemeentelijke informatie- en ICT-beleid. Voor de huidige I-visie is een inventarisatie gemaakt in een ronde langs de sectordirecteuren. Daarnaast maken de I-adviseurs periodiek (2x per jaar) een ronde langs de afdelingshoofden van de vakafdelingen over ontwikkelingen op hun terrein en de consequenties daarvan voor ICT/informatievoorziening. De onderwerpen die door de adviseurs met de sectoren worden besproken hebben echter vooral betrekking op beheersmatige onderwerpen. De huidige I-visie is voornamelijk gebaseerd op landelijke wet- en regelgeving en beleid, bedrijfsvoeringdoelstellingen, en technische ontwikkelingen. De doelstelling is om zoveel mogelijk aan te sluiten op landelijke ontwikkelingen, processen en standaards. Veel ruimte voor andere ontwikkelingen blijft niet over.


23/97


Ontwikkelingen als RUD, Jeugdzorg, WMO en de impact daarvan op de informatievoorziening hebben in de huidige I-visie nog geen plek gekregen. In de I-visie is wel aangegeven dat met dit soort (landelijke) ontwikkelingen rekening gehouden moet worden. Over ontwikkelingen op afzonderlijke beleidsvelden (bijvoorbeeld RUD) zijn wel notities verschenen, maar daarin is geen specifieke aandacht voor informatievoorziening en ICT. Informatievoorziening en ICT worden ook niet altijd meegenomen in beslissingen. Vaak zijn beleidsinhoudelijke of politieke overwegingen dominant. Een voorbeeld is de RUD-vorming. Daar was de beslissing voor een netwerk-RUD al genomen zonder de consequenties voor informatievoorziening daarin te betrekken. In het MT is informatievoorziening met betrekking tot bijvoorbeeld Jeugdzorg, WMO, RUD nu nog geen specifiek thema. Dit wordt door de vakafdelingen opgepakt. Het MT komt in beeld als er afdelingsof sectoroverstijgende implicaties zijn. Het bestuur ziet de vorming van intergemeentelijke shared services, waarbij het bestuur dicht bij de burger blijft, als een goede ontwikkeling met het oog op kwaliteitsverbetering en kostenbesparing. In dat kader wordt momenteel onderzoek gedaan naar ICT-samenwerking met Weert en Venlo. Door samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert, verwacht Roermond in de toekomst goed in te kunnen spelen op sectorale ontwikkelingen en de impact daarvan op het informatiebeleid. Daarnaast zorgt de aansluiting bij Dimpact ervoor dat Roermond niet zelf het wiel hoeft uit te vinden. De gemeente kiest voor een pragmatische benadering, geen koploper, geen achterblijver, maar weloverwogen en in eigen tempo prioriteiten stellen en de goede dingen doen.

4.1.4

Bevindingen uit de Benchmark

INFORMATIEVOORZIENINGSTRATEGIE Alle benchmarkgemeenten, op één na, beschikken over een integraal document waarin de Istrategie is vastgelegd. Bij één gemeente ligt dat anders. Daar ligt de informatiestrategie verscholen in verschillende documenten. KADERS EN RICHTLIJNEN VOOR DE INRICHTING VAN DE INFORMATIEVOORZIENING Alle benchmarkgemeenten zijn bezig met het ontwikkelen van een referentiearchitectuur, gebaseerd op de landelijke standaarden GEMMA en NORA, en met het implementeren van het principe van 'Werken onder architectuur'. De mate van voortgang levert geen eenduidig beeld op. Alle benchmarkgemeenten gaan in hun beleid uit van aansluiting bij landelijke standaarden, gebruik van zoveel mogelijk generieke bouwstenen voor de informatie-infrastructuur. INFORMATIEPLAN, PROJECTENPORTFOLIO EN MIDDELEN Vier van de zes benchmarkgemeenten hebben hun Informatiestrategie doorvertaald naar jaarlijkse informatiejaarplannen en projectenportfolio's. Een gemeente heeft dit ook doorvertaald naar financiën. Het investeringsbudget dat gemoeid is met projecten wordt bij alle benchmarkgemeenten vastgesteld via de jaarbegroting.


24/97


INHOUD VAN HET INFORMATIEVOORZIENINGSBELEID Alle benchmarkgemeenten hanteren een tijdshorizon van 3 tot 4 jaar voor hun informatiestrategie. Waar het gaat om de inhoud en de basis van het informatiebeleid laten vier van de zes benchmarkgemeenten een brede oriëntatie zien, waarin wettelijke kaders en landelijk beleid, de Collegeakkoorden, sectorale ontwikkelingen in het gemeentelijke domein, gemeentelijke ambities en interne bedrijfsvoering worden meegenomen. Bij twee gemeenten gebeurt dat veel beperkter. Eén heeft bijvoorbeeld het Collegeprogramma niet als uitgangspunt genomen, en van de sectorale ontwikkelingen alleen het sociale domein. De andere gemeente besteedt geen expliciete aandacht aan de bredere ontwikkelingen in het gemeentelijke domein. De benchmarkgemeenten nemen allemaal het NUP mee in hun I-strategie, evenals thema's als werken onder architectuur en verwijzen daarbij naar de referentiearchitecturen NORA en/of GEMMA. Twee baseren zich ook op @genda2015, de gemeentelijke agenda voor Informatiebeleid van de VNG. Geen van de benchmarkgemeenten verwijst expliciet naar 'fundament van de gemeente' of 'Dienstverlening samen doen'. Echter alle benchmarkgemeenten hanteren uitgangspunten vergelijkbaar met de bovengenoemde zes. Van de zes benchmarkgemeenten kiezen er vier voor een functioneel ambitieniveau. Een gemeente kiest bewust voor een koploperspositie. De andere voor 'snelle volger'.

4.1.5

Conclusies en aanbevelingen

Norm 1: Het College stelt de informatievoorzieningstrategie op waarin de toekomstige behoefte aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze – is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente. De inhoud van de I-visie 2011 relateert de behoefte aan informatievoorziening op herkenbare wijze aan de beleidsdoelen en bedrijfsvoering van de gemeente. De afstemming op de (recente) bezuinigingsdoelstellingen en taakstellingen is vooralsnog minder herkenbaar in de I-visie 2011. Inhoudelijk komt de situatie in Roermond grotendeels overeen met de norm en met de situatie in de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling de I-visie duidelijker te relateren aan de bezuinigingsdoelstellingen van de gemeente Roermond zowel met betrekking tot de bijdrage die inzet van informatievoorziening en ICT kan leveren aan bezuinigingen als aan de consequenties van bezuinigingen op informatievoorziening en ICT op de prioriteiten uit de I-visie. Norm 2: Het College werkt op basis van de door de Raad vastgestelde informatievoorzieningstrategie kaders en richtlijnen uit voor het inrichten van de informatievoorziening.


25/97


De gemeente Roermond beschikt over een Kadernota ICT uit 2003. Daarnaast is met de quick scan voor architectuur een aanzet gegeven tot het formuleren van een Roermondse referentiearchitectuur, welke als kaderstellend kan worden gehanteerd. In afwachting van die Roermondse architectuur hanteert de gemeente momenteel een door het MT vastgestelde interne Checklist Informatiemanagement, en het Informatiebeveiligingbeleid vastgesteld door het College. Daarnaast gaat van de samenwerking in Dimpact een kaderstellende werking uit. Inhoudelijk komt de situatie in Roermond hier niet geheel overeen met de norm. De situatie in Roermond wijkt echter niet veel af van de benchmarkgemeenten. Deze zijn allen nog bezig met het opstellen en implementeren van referentiearchitecturen. Wel bestaat de indruk dat Roermond hiermee nog niet echt een begin heeft gemaakt en dus iets achterloopt. Aanbeveling Het verdient aanbeveling het opstellen van een referentiearchitectuur te versnellen zodat een duidelijker kader ontstaat voor beslissingen ten aanzien van de inrichting van de informatievoorziening. Norm 3: Het College vertaalt de informatievoorzieningstrategie naar een Informatieplan met bijbehorende projectenportfolio en de bijbehorende middelen. De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende middelen. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt ge-update en vastgesteld door het MT. De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste benchmarkgemeenten die hun informatievoorzieningstrategie wel hebben uitgewerkt in jaarlijkse integrale informatieplannen. Aanbeveling Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van planningen en benodigde middelen. Norm 4: In de informatievoorzieningstrategie van de gemeente Roermond wordt aangesloten bij landelijke beleidsvisies op dienstverlening en e-overheid zoals vastgelegd in het Nationaal Uitvoering Programma e-overheid van het Ministerie van BZK, de VNG visie op dienstverlening 'Dienstverlening draait om burgers', 'Het gemeentelijk fundament' van KING en de visie van de Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft: 'Dienstverlening samen doen’: 1. de vraag van burgers, bedrijven en instellingen staat centraal


26/97


2. burgers, bedrijven en instellingen moeten hun zaken snel en zeker kunnen regelen. 3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen hun organisaties, maar opereert als één overheid. 4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is opgenomen en informatie die binnen de eigen organisatie beschikbaar is, wordt niet nogmaals gevraagd. 5. de overheid is transparant en aanspreekbaar 6. de overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de behoeften van burgers, bedrijven en instellingen.

De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 laat een brede oriëntatie zien, en sluit goed aan bij bovengenoemde beleidsvisies. De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar met de situatie in de benchmarkgemeenten. Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op het gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken van het gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering, DigiMelding, DigiMachtiging en DigiPoort. De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 is afgestemd op de in deze norm genoemde wettelijke taken en geeft daar invulling aan. De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar met de situatie in de benchmarkgemeenten. Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op de informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken, zoals de (jeugd)zorg, WMO, Werk en inkomen en toezicht en handhaving. In de I-visie 2011 is geen de aandacht voor ontwikkelingen in de maatschappelijke beleidsdomeinen van de gemeente die impact kunnen hebben op de informatievoorziening, zoals (jeugd)zorg, WMO, werk&inkomen, en toezicht en handhaving. Het bestuur verwacht hier veel van de samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert. Omdat hier in de Ivisie geen aandacht aan wordt gegeven, ontbreekt echter ook een kader om te beoordelen of die verwachting ook bewaarheid wordt en om eventueel zelf ontwikkelingen bij de samenwerkingsverbanden te initiëren. De situatie in de gemeente Roermond wijkt hierin af van de norm, die vraagt om dergelijke ontwikkelingen expliciet mee te nemen. De gemeente Roermond wijkt hierin ook af van de meeste benchmarkgemeenten die wel aandacht aan beleidsontwikkelingen in de sectoren, zij het dat de beschrijving van de implicaties voor de informatievoorziening soms summier is.


27/97


Aanbeveling Het verdient aanbeveling om bij actualisering van de I-visie ook aandacht te geven aan beleidsontwikkelingen in de sectoren en de impact die deze kunnen hebben op de informatievoorziening. Er is geen aanleiding om het pragmatische ambitieniveau los te laten. Overig De gemeente Roermond is in haar ambitie pragmatisch. Zij kiest ervoor geen koploper te zijn, geen achterblijver, maar vanuit eigen prioriteiten de goede dingen te doen. Zij sluit daarbij aan en maakt actief gebruik van anderen. Zij neemt daarin ook een actieve rol in de samenwerkingsverbanden. Met de keuze voor deze ambitie volgt de gemeente dezelfde koers als de meeste gemeenten in de benchmark. Zij is actiever, dan de meeste gemeenten in de benchmark waar het gaat om het zoeken van samenwerking om zo tegen lagere kosten deze ambitie te kunnen realiseren. Op die manier werkt zij op een efficiënte en effectieve manier aan het verbeteren van de informatievoorziening en ICT van de gemeente Roermond.


28/97


4.2

Cluster 2a: Besturing en organisatie van de informatievoorziening Dit cluster heeft betrekking op de governance van de informatievoorziening en de wijze waarop de kaderstellende en controlerende rol van de Raad ten aanzien van de informatievoorziening is vorm gegeven.

4.2.1

Omschrijving

Het College stelt de informatievoorzieningstrategie voor de coalitieperiode op, en een daarvan afgeleid Informatieplan met een tijdshorizon van een à twee jaar, met daarin opgenomen een projectenportfolio en bijbehorende middelen. De Raad toetst deze plannen op de verhouding tussen ambitie, budget, tijd en kwaliteit van de informatievoorziening en stelt deze vast. Het College is verantwoordelijk voor de uitvoering van de strategie en het informatieplan, en legt daarover verantwoording af aan de Raad. Het College zorgt voor afstemming tussen de vraag naar informatievoorziening vanuit de organisatie en het aanbod van informatievoorzieningdiensten, waarbij de kwaliteit op basis van dienstverleningsovereenkomsten tussen lijnorganisatie en de afdeling die verantwoordelijk is voor de diensten op het gebied van informatievoorziening wordt bewaakt. NORMENKADER Norm 1: De Raad toetst de informatievoorzieningstrategie aan de beleidsvisie van de gemeente, i.c. Strategische visie Roermond 2020 en het Coalitieakkoord, en stelt deze vast. Norm 2: De Raad toetst het informatieplan inclusief de projectenportfolio en bijbehorende middelen, en stelt deze vast. Norm 3: Het budget voor informatievoorziening is inzichtelijk in de gemeentebegroting en wordt door de Raad als zelfstandig beleidsveld vastgesteld. Norm 4: De Raad heeft een norm vastgesteld voor grote projecten en grote risico's. Deze projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten en baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk gemaakt. Norm 5: De Raad stelt het proces voor planning&control en rapportage voor de informatievoorzieningstrategie en de realisatie daarvan vast. Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de Raad vastgelegd en door het College geïmplementeerd. De governance structuur omvat coördinatie- en stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en verantwoordingslijnen. Norm 7: Het College laat regelmatig – een of tweejaarlijks – een benchmark uitvoeren naar de kosten van haar informatievoorziening


29/97


Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied van informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad. Norm 9: Samenwerking op het gebied van informatievoorziening met partners binnen en buiten de gemeente is door het College geformaliseerd en vastgelegd Norm 10: Risico's van projecten en operationele systemen zijn volgens een standaard methodiek geanalyseerd en door het College voorzien van beheersmaatregelen. Grote risico's worden door het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld ten aanzien van wettelijke eisen, continuïteit, beveiliging en kosten). Norm 11: In de overeenkomsten die het College afsluit met leveranciers op het gebied van informatievoorziening, zijn zaken als beschikbaarheid en kwaliteit van de dienstverlening smart gespecificeerd. Er zijn afspraken gemaakt over periodieke rapportages.

4.2.2


BETROKKENHEID VAN DE RAAD T.A.V. DE INFORMATIEVOORZIENINGSTRATEGIE Relevante documenten: I-visie 2011, I-visie 2007-2011, Programmaplan Excellente Dienstverlening, KCC-visie 2011, Besluit toetreding tot coöperatieve vereniging Dimpact, Programmabegrotingen, Kadernota ICT 2003, ICT-beveiligingsbeleid In deze paragraaf laten wij de belangrijkste documenten van de afgelopen jaren met betrekking tot de informatievoorzieningstrategie van de gemeente Roermond de revue passeren en geven per document aan in hoeverre er betrokkenheid is geweest van Raad, College of MT. I-visie 2011 De I-visie 2011 van de gemeente Roermond is op 2 februari 2011 vastgesteld door het management team en op 15 maart 2011 vastgesteld door het College Er is geen betrokkenheid van de Raad geweest bij de I-visie 2011. I-visie 2007 – 2011 De I-visie 2007 - 2011 van de gemeente Roermond is niet vastgesteld op het niveau van Raad, College of MT. De directeur BMO heeft de I-visie 2007-2011 gepresenteerd in de raadscommissie Algemene Zaken. Deze zag geen aanleiding –de visie te agenderen in de Raad. Programmaplan Excellente Dienstverlening Het Programma Excellente Dienstverlening uit 2009, is vastgesteld door de Raad als onderdeel van de Programmabegroting. Het Programmaplan Excellente dienstverlening is goedgekeurd door het MT in januari 2010.


30/97


Er is geen betrokkenheid van de Raad geweest bij het Programmaplan Excellente Dienstverlening. Het programmaplan Excellente Dienstverlening is de belangrijkste drager voor de implementatie van de I-visie 2011 en is op haar beurt gebaseerd op de doelstelling voor excellente dienstverlening uit de strategische visie Roermond 2020. KCC-visie 2011 De KCC-visie 2011 van de gemeente Roermond is op 22 maart 2011 vastgesteld door het college. De KCC-visie geeft verdere uitwerking aan het programmaplan Excellente dienstverlening en gaat in op doel en functie van het KCC. Voorstel Raad toetreding tot coöperatieve vereniging Dimpact De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact. Het voorstel voor toetreding tot Dimpact is een belangrijke stap om op een goede en kostenefficiënte manier de voorzieningen te realiseren op het gebied van informatievoorziening en ICT, die nodig zijn om de doelstellingen van het Programma Excellente Dienstverlening versneld te realiseren. Programmabegrotingen De programmabegroting is jaarlijks vastgesteld door de Raad. informatievoorziening is in deze begrotingen onderdeel van de paragrafen over bedrijfsvoering, dan wel het programma 'de Gemeente'. Inhoudelijke aandacht voor informatievoorziening is met name gerelateerd aan de doelstelling uit de strategische visie 2020 voor excellente dienstverlening. Kadernota ICT 2003 De kadernota ICT van de gemeente Roermond is op 9 juli 2003 goedgekeurd door het College en op 8 september 2003 ter kennisname voorgelegd aan de Commissie AZ&C van de Raad. De kadernota schetst een toekomstbeeld met betrekking tot ICT en bevat een financiële paragraaf voor benodigde investeringen. ICT-beveiligingsbeleid Het ICT-beveiligingsbeleid (versie 2.1) van de gemeente Roermond is vastgesteld door het College op 18 augustus 2009. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het college worden behandeld. Het ICT-beveiligingsbeleid bevat richtlijnen voor de informatievoorziening met betrekking de beveiliging van informatie en privacybescherming. GOVERNANCE VAN DE INFORMATIEVOORZIENING, BUDGET, PLANNING EN RAPPORTAGE Relevante documenten: Raadsbesluiten P&C-cyclus, Financiële kadernota's, Programmabegrotingen, Jaarrekeningen, Kredietrapportages, Herinrichting Sector Bedrijfsmiddelen en Organisatie 2007, ICT-beveiligingsbeleid


31/97


Raadsbesluiten P&C-cycli De Raad stelt jaarlijks de P&C-cyclus vast. De onderzoekers hebben de besluiten daartoe ingezien. Er is geen aparte aandacht m.b.t. de P&C van de informatievoorziening. Financiële Kadernota's De financiële kadernota's van de gemeente zijn jaarlijks vastgesteld door de Raad. De onderzoekers hebben de financiële kadernota's ingezien van 2007 t/m 2011. De financiële kadernota's bevatten geen expliciete aandacht voor de financiële kaders ten aanzien van informatievoorziening. Programmabegrotingen De Programmabegrotingen zijn jaarlijks vastgesteld door de Raad. De onderzoekers hebben de begrotingen en bijbehorende bijlagen ingezien van 2007 t/m 2011. De Raad stelt de beschikbare middelen voor informatievoorziening vast via de Programmabegroting. Hiervoor is een post 'Informatievoorziening' opgenomen in de paragraaf Bedrijfsvoering, c.q. de begroting van het programma 'De Gemeente'. Er staan geen specifieke doelstellingen m.b.t. informatievoorziening en ICT in de programmabegrotingen. informatievoorziening is wel als herkenbare post te vinden in het budget. In de gemeentebegroting 2012 is een bedrag van 3,2 miljoen euro opgenomen voor informatievoorziening. In 2009 was dat 2,7 miljoen euro. In 2010 was dat 2,3 miljoen euro (na wijziging). In 2011 was dit 2,8 miljoen euro. De jaarbegroting bevat een post voor (vervangings)investeringen op het gebied van informatievoorziening, met een doorkijk van vier jaar. In de begroting 2011 heeft de Raad een eenmalige investering goedgekeurd van 1,3 miljoen euro voor het programmaplan Excellente Dienstverlening. Deze investering moet bijdragen aan een structurele kostenbesparing van 3,2 miljoen euro in 2016. In de jaarverantwoording 2011 geeft het College aan deze investering in te zetten voor de noodzakelijke software. Jaarrekeningen De jaarrekeningen zijn jaarlijks vastgesteld door de Raad. De onderzoekers hebben de jaarrekeningen ingezien van 2007 t/m 2011. Informatievoorziening is bij de Jaarrekening opgenomen in de paragraaf Bedrijfsvoering, c.q. het programma 'De Gemeente'. Er wordt niet gerapporteerd op specifieke doelstellingen m.b.t. informatievoorziening en ICT. Kredietrapportages De kredietrapportages zijn periodiek vastgesteld door de Raad. De onderzoekers hebben de kredietrapportage 2011 ingezien. De kredietrapportage geeft inzicht in de investeringsplanning en de voortgang van investeringen waarvoor krediet beschikbaar is gesteld.


32/97


De kredietrapportage 2011 vermeldt o.a. het doorschuiven van een groot deel van de voor 2011 geplande ICT-investeringen naar 2012, in afwachting van een analyse van alle vervangings- en uitbreidingsinvesteringen in de toekomst. Deze analyse moet inzicht geven of door herschikking van de bestaande middelen de bedrijfsvoering voldoende geborgd kan worden en welke additionele middelen eventueel nodig zijn om de verdergaande digitalisering van de bedrijfsprocessen vorm te kunnen geven. Het streven is om e.e.a. bij de kadernota 2013 in beeld te hebben. Herinrichting Sector Bedrijfsmiddelen en Organisatie 2007 Het voorstel voor herinrichting van de Sector Bedrijfsmiddelen en Organisatie is door het College vastgesteld op 7 december 2011 en goedgekeurd door het College. Dit voorstel heeft onder andere betrekking op de wijze waarop ICT en informatievoorziening worden belegd in de organisatie. De verantwoordelijkheid voor informatievoorziening ligt op beleidsniveau bij het College, op uitvoerend niveau bij het MT. In de organisatie is de informatievoorziening belegd bij twee teams. Een team ICT is verantwoordelijk voor de operationele systemen, en een team informatieadviseurs is verantwoordelijk voor de advisering over informatievoorziening aan de sectoren. Het team ICT is onderdeel van de afdeling Facilitaire zaken, en het team organisatie en informatie is onderdeel van de afdeling Personeel, organisatie en Informatie. ICT-beveiligingsbeleid Het ICT-beveiligingsbeleid (versie 2.1) van de gemeente Roermond is vastgesteld door het College op 18 augustus 2009. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het college worden behandeld. In het kader van het informatiebeveiligingsbeleid zijn bevoegdheden en verantwoordelijkheden beschreven voor o.a. het toekennen van gebruikersaccounts, wijzigingsbeheer, e.d. Het beleid voorziet in periodieke risicoanalyses van de kritieke processen van de gemeente. GROTE PROJECTEN, RISICOANALYSES EN GEBRUIK VAN BUSINESS CASES Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, Voorstel Raad toetreding tot coöperatieve vereniging Dimpact, 'Rapport Acceleratie Excellente Dienstverlening', Projectplan Dimpact, Samenvattend overzicht drempelbedragen Het belangrijkste document met betrekking tot de governance van grote projecten is de notitie 'Uitgangspunten voor projectmanagement voor bedrijfsvoeringsprojecten. Hierin staan geen criteria geformuleerd voor risicoanalyses en gebruik van business cases. Wel worden in de afweging impact op de organisatie en complexiteit meegewogen. De overige hier genoemde relevante documenten geven wel inzicht in hoe in de praktijk wordt omgegaan met risicoanalyses en business cases in bij grote projecten.


33/97


Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten De notitie 'Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten' is op 9 mei 2007 goedgekeurd door het managementteam van de gemeente Roermond. De notitie geeft een overzicht van de uitgangspunten en randvoorwaarden voor het projectmanagement van bedrijfsvoeringsprojecten. Aandacht wordt besteed aan o.a. het afwegingskader voor projecten, de cyclus voor het vaststellen van de projectenkalender, en de projectrapportages, het eigenaar- en sponsorschap van projecten, de projectleidersrol en de bijbehorende (budget)bevoegdheden, de contractuele relatie tussen projectleider en projecteigenaar, bemensing van de projectleidersrol en de personele capaciteit voor projecten, de variabele beloning van projectleiders, de verhouding tussen afdelingshoofd en projectleider. De notitie belegt het eigenaarschap van bedrijfsvoeringsprojecten altijd bij het MT. En voor elk project wordt altijd één MT-lid als sponsor van het project benoemd. In aanvulling op de notitie zijn er formats voor projectafweging en projectinitiatie ontwikkeld. Voorstel Raad toetreding tot coöperatieve vereniging Dimpact De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact. Met toetreding tot Dimpact wil Roermond de benodigde informatievoorzieningen realiseren in het kader van het Programma Excellente Dienstverlening. Het voorstel aan de Raad was o.a. voorzien van het 'Onderzoeksrapport Acceleratie Excellente Dienstverlening'. Dit onderzoeksrapport bevat de kwalitatieve en kwantitatieve business case voor het realiseren van de benodigde informatievoorzieningen voor het Programma Excellente Dienstverlening en een risicoanalyse. Projectplan Dimpact Het projectplan Dimpact is op 26 oktober 2011 vastgesteld door het MT. Het projectplan is gericht op de implementatie van de toetreding tot Dimpact. Het projectplan bevat naast de opzet, deelprojecten, en planning, een uitgebreide risicoparagraaf met een beheersmaatregelen. Samenvattend overzicht drempelbedragen De gemeente hanteert drempelbedragen ten aanzien van de beslissingsbevoegdheid voor aanbesteding van leveringen en diensten. Daarbij is ook aangegeven op welke wijze deze aanbesteed moeten worden. Tot €50.000,- is de beslisser het College/mandaat sectordirecteur. Tussen de €50.000,- en €200.000,- is de beslisser het College/mandaat portefeuillehouder en akkoord plv. portefeuillehouder. Boven de €200.000,- beslist het College. De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom de ICT projecten. De samenvatting van de drempelbedragen is gebaseerd op de notitie Aanbestedingsbeleid bij laagconjunctuur die het College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de gewijzigde bedragen geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en eveneens zijn vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een raadsinformatiebrief geïnformeerd.


34/97


DEELNAME AAN BENCHMARKS Relevante Documentatie: Rapporten Waar staat je gemeente 2008 en 2010 'Waar staat je gemeente' is geen specifieke benchmark voor informatievoorziening en ICT. De gemeente Roermond neemt verder niet deel aan specifieke benchmarks op het gebied van ICT of informatievoorziening m.b.t. kosten of personeel. Wel neemt Roermond deel aan de door de overheid respectievelijk KING georganiseerde monitors op het gebied van e-overheid, eerst Overheidsmonitor.nl, en nu de opvolger 'E-overheid in beeld'. Overheidsmonitor.nl betrof een ranglijst met betrekking tot de kwaliteit van de websites van gemeenten. Deze maakt ook onderdeel uit van 'Waar staat je gemeente'. Overheidsmonitor.nl is per 22 juni 2011 gestopt en vervangen door de monitor 'E-overheid in beeld' van KING. Deze nieuwe monitor brengt de voortgang van gemeenten in beeld met betrekking tot de implementatie van het NUP en de benutting van de bouwstenen van het NUP. Rapporten Waar staat je gemeente 2008 en 2010 De Rapportages zijn vastgesteld door het College op 29 juli 2008, respectievelijk 4 maart 2011. De rapportage 2008 is op 29 augustus 2008 via een Informatiebrief aan de Raad gemeld. De rapportage 2010 is op 18 maart 2011 via een informatiebrief aan de Raad gemeld. 'Waar staat je gemeente' is een landelijke benchmark voor gemeenten waarbij burgers gevraagd worden hun mening over de gemeente vanuit verschillende rollen. In 2008 en 2010 heeft de gemeente Roermond meegedaan. Op de onderdelen bij de stelling 'De informatie die de gemeente geeft is voldoende en begrijpelijk' scoorde de gemeente Roermond in 2008 en 2010 steeds rond het landelijk gemiddelde voor 50.000+ gemeenten (7,1). In de laatste ranglijst van Overheidsmonitor.nl bekleedde de gemeente Roermond plaats 139, tussen de gemeenten Epe (138) en Bergeijk (140), met een score van 53,21%. In de voorlaatste ranglijst bekleedde Roermond nog plaats 126, met eenzelfde score van 53,21%. E-overheid in beeld Uit het overzicht op de website van e-overheid in beeld dd. 22 augustus 2012 blijkt dat Roermond rond de 40% scoort met betrekking tot de implementatie van de NUP-bouwstenen. Dit is vergelijkbaar met de meeste andere gemeenten. SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS Relevante documenten: Voorstel Raad toetreding tot coöperatieve vereniging Dimpact De gemeente beschikt niet over een sourcingstrategie met betrekking tot informatievoorziening en ICT. De samenwerking met Dimpact kan als vorm van sourcing worden beschouwd. Voorstel Raad toetreding tot coöperatieve vereniging Dimpact De gemeenteraad is middels de wensen en bedenkingen-procedure over de samenwerking met Dimpact geïnformeerd. In deze procedure legt het college een voorgenomen besluit voor aan de


35/97


gemeenteraad De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact. Dit voorstel bevatte o.a. het model samenwerkingscontract met Dimpact.

4.2.3


BETROKKENHEID VAN DE RAAD T.A.V. DE INFORMATIEVOORZIENINGSTRATEGIE De I-visie wordt beschouwd als een invulling van de Strategische Visie Roermond 2020 en daarmee als een zaak van het College. In die visie staat de ambitie van Excellente dienstverlening genoemd. De I-visie is niet besproken in de Raad en niet ter kennisname aan de Raad gestuurd. Informatiebeleid is geen item voor de Raad. Er worden weinig vragen over gesteld. De Raad toetst niet echt of Roermond qua dienstverlening wel op het goede spoor zit. De Raad schikt zich in de positie van het College dat ICT en Informatiebeleid een aspect van bedrijfsvoering is en derhalve tot de bevoegdheden van het College behoort. Er zijn tot nu toe geen aanleidingen voor de Raad om zich intensiever met het Informatiebeleid te bemoeien. De Raad heeft ooit aangegeven de bespreking van beleid ten aanzien van ICT en informatievoorziening vooral via de jaarstukken te willen doen. M.b.t. ICT en informatievoorziening gebeurt dat via de plannen en verantwoording over het programma 'de Gemeente'. Wethouders en gemeentesecretaris zien het als hun taak de Raad mee te nemen in belangrijke beslissingen rondom bedrijfsvoering en informatievoorziening. Het huidige niveau van betrokkenheid van de Raad werkt goed. Die betrokkenheid is vooral in de controlerende zin middels reguliere rapportages en in sommige gevallen in de zin van 'input leveren' voor nieuw beleid. GOVERNANCE VAN DE INFORMATIEVOORZIENING, BUDGET, PLANNING EN RAPPORTAGE Van het budget voor informatievoorziening/ICT is ca. 80% van de kosten centraal en 20% decentraal belegd. Het gaat dan om de automatiseringskosten. Dit zijn de kosten die inzichtelijk zijn in de begroting onder de post informatievoorziening. De kosten voor applicaties liggen vaker decentraal in de organisatie. Deze zijn centraal niet volledig inzichtelijk als kosten voor informatievoorziening of ICT, maar zijn onderdeel van de exploitatie van de betreffende sectoren. Deze financiële informatie is echter wel te genereren. Kosten op het punt van automatisering/informatievoorziening worden uniform gecodeerd, zodat deze over alle begrotingsposten heen inzichtelijk kunnen worden gemaakt. De kosten voor projecten zijn wel centraal beheerd. Kosten voor onderhoud komen in de exploitatie terecht. De investeringsplanning is gesplitst in beleidsgevoelige en niet beleidsgevoelige investeringen. De gemeenteraad vindt dat nog te veel investeringen (ook in ICT) worden gezien als beleidsgevoelig. De kredietaanvraag van niet beleidsgevoelige investeringen hoeft niet via de Raad te lopen. Dit onderschrijft de opvatting van de Raad dat zij automatisering ziet als een onderdeel van de bedrijfsvoering. Pas als de dienstverlening naar de burger onvoldoende is (de norm ligt vast in de programmabegroting) wordt dit item bestuurlijk voor de gemeenteraad interessant.


36/97


De gemeenteraad wil in het algemeen actief geïnformeerd worden. Dit gebeurt onder andere via de Burap. De focus daarbij ligt, op verzoek van de Raad, op een afwijkingenrapportage (beleidsafwijkingen en financiële afwijkingen). Zolang het goed gaat, hoeft de Raad niet geïnformeerd te worden. Voor ICT en informatievoorziening gebeurt dat als onderdeel van bedrijfsvoering/programma 'de Gemeente'. Raadsinformatie- en Commissie-informatiebrieven zijn andere verschijningsvormen van actieve informatieverstrekking. De frequentie van de Burap wordt verhoogd van 1x pj naar 2 pj (31/3 cijfers en 30/6 cijfers en in de toekomst ook 30/9 cijfers). De jaarrekening is de laatste rapportage over het verslagjaar. Burap’s worden ter vaststelling naar de gemeenteraad gestuurd, vaak worden deze , 'als hamerstuk', vastgesteld door de Raad. De burap wordt wel in alle commissies behandeld en hier worden door raads- en commissieleden vragen gesteld. Aanvullend op de Burap wordt bij grote afwijkingen op een beleidsterrein apart gerapporteerd aan de Raad. Op die manier komt het onderwerp ook inhoudelijk aan bod en kan de Raad het betreffende beleid, financiële budgetten of planningen bijstellen. Over ICT en Informatievoorziening wordt niet op projectniveau gerapporteerd aan de Raad. Besluitvorming over zaken op het gebied van ICT en informatievoorziening die 'afdelingoverstijgend' zijn, vindt plaats in het MT. Beheer en exploitatie van de systemen is grotendeels gecentraliseerd. Deze wordt uitgevoerd door het team ICT. Het functionele applicatiebeheer ligt nog voor een groot deel decentraal. Bij beslissingen over vervanging of vernieuwing wordt een checklist gebruikt om integraliteit te waarborgen. De beslissingsbevoegdheid over de aanschaf van nieuwe applicaties die niet afdelingsoverstijgend zijn, ligt (nu nog) bij de vakafdelingen of sectoren. De functioneel beheerders in de lijn kunnen echter niet zelfstandig applicaties installeren. Daarvoor zijn ze afhankelijk van het team ICT. GROTE PROJECTEN, RISICOANALYSES EN GEBRUIK VAN BUSINESS CASES De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom ICT projecten. Over informatievoorziening wordt niet op projectniveau gerapporteerd aan de Raad ook niet voor grote projecten en ook niet als daar grote risico's aan verbonden kunnen zijn. Roermond heeft geen specifieke norm gesteld voor 'grote projecten' en 'grote risico's'. Roermond maakt niet standaard gebruik van business cases bij de opstart van nieuwe projecten. Afhankelijk van de zwaarte wordt een business case opgesteld. Hier is geen specifieke norm voor. In de praktijk gebeurt dit alleen bij hele grote operaties, zoals de toetreding tot Dimpact en het nu lopende onderzoek naar de samenwerking met Weert en Venlo. Als projectmethodiek hanteert Roermond een methodiek van een extern bureau – AMI - die afgeleid is van Prince2. Het zwaartepunt daarvan ligt bij de Project start-up (PSU), waarbij het team in een werkconferentie van een of twee dagen het projectplan definieert, inclusief omgevingsanalyse, risicoanalyse en benoemen van beheersmaatregelen. Projectplannen worden vastgesteld door het MT. Voor projecten uit het programma Excellente dienstverlening en bij de technische vernieuwingsprojecten wordt standaard een risicoanalyse gemaakt. Voor vervangingsprojecten is dit niet altijd het geval.


37/97


DEELNAME AAN BENCHMARKS Roermond doet niet mee aan Benchmarks op het gebied van informatievoorziening en ICT. Zij heeft ooit meegedaan aan de EGEM I-scan en in 2003 aan de Berenschot Benchmark. Er vindt voornamelijk een vorm van informele collegiale toetsing plaats via uitwisseling tussen collegadirecteuren. Inzicht verkrijgt men op dit moment via de samenwerking met Dimpact, en in het kader van het onderzoek naar de ICT-samenwerking met Venlo en Weert wordt momenteel een kostenvergelijking gemaakt. Directeur Middelen is van mening dat de ICT/IV in Roermond al 'lean' is georganiseerd. Daarnaast neemt Roermond deel aan de door de overheid respectievelijk KING georganiseerde monitors op het gebied van e-overheid, eerst Overheidsmonitor.nl, en nu de opvolger 'E-overheid in beeld'(zie ook pag 25). SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS Roermond heeft geen expliciete sourcingstrategie. Over sourcing wordt besloten als zich iets aandient. In de Raad heeft een kerntakendiscussie plaats gevonden. Hier zijn twee leidende begrippen uit voort gekomen. De gemeente als regisseur richting de samenleving, en de gemeente als 'tijdrijder' waar het gaat om de eigen organisatie. Met dat laatste wordt bedoeld het streven naar een organisatie die lean en mean is. Vanuit dit streven wordt ook expliciet gekeken naar vormen van sourcing. Daarnaast wordt op MT-niveau gediscussieerd over de besturing van de organisatie aan de hand van een zogeheten “vlekkenmodel”. Daarin wordt de organisatie beschouwd langs drie vlekken: dienstverlening aan de burger en bedrijf, bedrijfsvoering (dienstverlening intern) en bestuur (beleidsafdelingen). Vanuit dit vlekkenplan wordt ook per onderdeel gekeken naar wat de meest efficiënte vorm van organiseren is, en wat mogelijk in aanmerking komt voor uitbesteding en wat niet. Als voorbeeld van mogelijkheid voor uitbesteden wordt genoemd samenwerking op het gebied van belastingen. Voor de front- en mid-office systemen is Roermond toegetreden tot Dimpact. Daarnaast loopt er nu een onderzoek naar samenwerking met Venlo en Weert. Met deze beide gemeenten is een business case ontwikkeld voor een gezamenlijk ‘wegennet’ (technische infrastructuur). Er wordt gewerkt aan een plan voor 2 rekencentra (in Roermond en in Venlo). Dit plan moet besparingen gaan opleveren. De samenwerking met Dimpact is via een informatiebrief goedgekeurd door de Raad. Het bestuur ziet samenwerking op I&A-gebied zoals met Dimpact en Weert/Venlo als een strategie om kwetsbaarheid op te heffen en kosten te besparen. Omdat de trekkersrol veelal bij Roermond komt te liggen vanwege haar kennis, kunde en ambitie op dit terrein, brengt dit ook extra inspanningen en verantwoordelijkheden met zich mee. Doordat Roermond in het verleden goede contracten heeft afgesloten op het gebied van I&A zijn de besparingen van samenwerking voor Roermond waarschijnlijk minder groot dan voor Venlo en Weert.


38/97


4.2.4

Bevindingen uit de Benchmark

BETROKKENHEID VAN DE RAAD T.A.V. DE INFORMATIEVOORZIENINGSTRATEGIE Slechts één benchmarkgemeente laat de informatiestrategie als zelfstandig beleidsonderdeel door de Raad vaststellen. Een gemeente laat de informatiestrategie als zelfstandig beleidsveld vaststellen door het College en stuurt dit ter kennisname aan de Raad. Bij een gemeente wordt deze als zelfstandig beleidsveld vastgesteld door het MT, en ter kennisname aan het College gestuurd. Deze gemeente geeft aan in de toekomst de informatiestrategie vast te laten stellen door het College, met toezending ter kennisname aan de Raad. De drie andere gemeenten laten het informatiebeleid niet als zelfstandig beleid vaststellen door College of Raad, maar als onderdeel van begroting, of als onderdeel van de bedrijfsvoering. GOVERNANCE VAN DE INFORMATIEVOORZIENING, BUDGET, PLANNING EN RAPPORTAGE Met betrekking tot de besturing en verantwoording van de informatiestrategie, zijn er twee benchmarkgemeenten die de verantwoordelijkheidsverdeling tussen Raad en College expliciet hebben laten vaststellen door de Raad. Bij de andere benchmarkgemeenten is dit niet het geval. Daar loopt het rapportageproces voor het toetsen van de voortgang en de kosten als onderdeel van de reguliere P&C-cyclus via het beleidsveld waar informatievoorziening deel van uitmaakt. De frequenties variëren van een tot vier keer per jaar. Vier van de zes benchmarkgemeenten hebben hun Informatiestrategie doorvertaald naar jaarlijkse informatiejaarplannen en projectenportfolio's. Een gemeente heeft dit ook doorvertaald naar financiën. Het investeringsbudget dat gemoeid is met projecten wordt bij alle benchmarkgemeenten vastgesteld via de jaarbegroting. Slechts één gemeente heeft een integraal overzicht van haar kosten voor informatievoorziening in haar begroting opgenomen en laat deze als zelfstandig beleidsveld vaststellen door de Raad. Deze bedragen ca. 12 miljoen per jaar (ca. 145.000 inwoners). Een gemeente geeft aan dit integrale overzicht wel intern beschikbaar te hebben. Inclusief kapitaallasten, procesadvisering, onderzoek en statistiek, en exclusief functioneel applicatiebeheer, gaat het om ca. 11 mln per jaar (ca. 120.000 inwoners). De andere benchmarkgemeenten hebben dit overzicht niet beschikbaar. De kosten van ICT systemen en infrastructuur die organisatiebreed worden gebruikt hebben zij meestal wel in beeld. De financiën die gemoeid zijn met de ICT die decentraal wordt ingezet niet. Deze maken veelal deel uit van decentrale programmakosten. GROTE PROJECTEN, RISICOANALYSES EN GEBRUIK VAN BUSINESS CASES Alle benchmarkgemeenten werken met business cases. Enkele gemeenten doen dit structureel voor alle projecten. De meeste gemeenten doen dit alleen bij de grote projecten. Geen enkele gemeente heeft een norm vastgesteld voor wat onder 'grote projecten' moet worden verstaan. Alle benchmarkgemeenten geven aan dat risicomanagement een wezenlijk onderdeel vormt van alle projecten. Afhankelijk van de omvang van een project wordt hier in meer of mindere mate


39/97


aandacht aangegeven. De teneur lijkt dat dit aandachtsveld de afgelopen jaren een toenemende belangstelling heeft gekregen. De meeste benchmarkgemeenten geven aan dat het vaststellen van doelen en risico’s door de Raad en rapportages aan de Raad over afzonderlijke projecten alleen op gaat voor zeer omvangrijke projecten. Over de gangbare projecten wordt bij geen enkele benchmarkgemeente afzonderlijk gerapporteerd aan de Raad. DEELNAME AAN BENCHMARKS Vier van de benchmarkgemeenten nemen periodiek deel aan een benchmark op kosten. Eén gemeente heeft het bureau Berenschot een actuele benchmark laten doen op de overhead in aantallen FTE’s, maar beschikt niet over een actuele benchmark op kosten. Een gemeente neemt op dit moment niet deel aan een benchmark. Zij nam deel aan een benchmark op kosten van de ICT/IV. Zij is hier enige tijd mee gestopt omdat vanwege de vele ontwikkelingen deelname niet zinvol wordt geacht. Deze gemeente geeft aan over enkele jaren zeker weer mee te zullen gaan doen. SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS EN OVEREENKOMSTEN MET LEVERANCIERS Eén gemeente heeft een expliciete sourcingstrategie ten aanzien van ICT/IV, via haar regionale samenwerkingsverband. Eén gemeente heeft wel een algemene sourcingstrategie vanuit de wens om een regiegemeente te zijn, maar niet specifiek voor informatiebeleid. Eén gemeente heeft zijn front- en mid-office 'uitbesteed' aan Dimpact en onderzoekt verdergaande samenwerking op het gebied van ICT/IV met andere gemeenten en de provincie.

4.2.5


Norm 1: De Raad toetst de informatievoorzieningstrategie aan de beleidsvisie van de gemeente, i.c. Strategische visie Roermond 2020 en het Coalitieakkoord, en stelt deze vast. Behalve in het geval van de Kadernota ICT uit 2003 heeft de Raad in Roermond geen toetsende enof besluitvormende rol bij de inhoud van het beleid voor informatievoorziening. Informatievoorziening wordt gezien als onderdeel van de bedrijfsvoering en derhalve als verantwoordelijkheid van het College. De informatievoorzieningstrategie is wel vastgesteld door het College. De situatie in Roermond komt niet overeen met de norm. De situatie in Roermond wijkt niet wezenlijk af van de situatie bij de meeste benchmarkgemeenten. Bij de meeste van hen is informatievoorziening vastgesteld via de begroting als onderdeel van de bedrijfsvoering en worden de beleidsplannen vastgesteld door het MT of het College. Aanbeveling


40/97


Het verdient aanbeveling de betrokkenheid van de Raad bij het beleid ten aanzien van informatievoorziening te vergroten met name daar waar informatievoorziening en ICT een belangrijkere rol gaan spelen in het contact van de gemeente met de buitenwereld en de realisatie van maatschappelijke doelen. Norm 2: De Raad toetst het informatieplan inclusief de projectenportfolio en bijbehorende middelen, en stelt deze vast. De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende middelen. Deze worden dus ook niet vastgesteld door de Raad. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt geupdate en vastgesteld door het MT. De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste benchmarkgemeenten die hun informatievoorzieningsstrategie wel hebben uitgewerkt in jaarlijkse integrale informatieplannen. Aanbeveling Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van planningen, projectenportfolio en benodigde middelen, deze vast te laten stellen door het College, en de Raad tenminste te informeren hierover. Norm 3: Het budget voor informatievoorziening is inzichtelijk in de gemeentebegroting en wordt door de Raad als zelfstandig beleidsveld vastgesteld. De Raad stelt het budget voor informatievoorziening en het investeringsbudget vast als onderdeel van de programmabegroting van het Programma 'De gemeente'. Het budget voor informatievoorziening is hier apart vermeld, maar een deel van de kosten voor applicaties ligt (nog) verscholen in exploitatiekosten van de sectoren. De gemeente heeft een start gemaakt met het verder centraliseren van applicatiebeheer, waardoor ook het inzicht in de budgetten die gemoeid zijn met de totale informatievoorziening beter inzichtelijk zullen worden. De situatie in Roemond wijkt hierin af van de norm. Roermond wijkt hier niet af van de meeste benchmarkgemeenten. Slechts een gemeente laat de informatievoorziening als zelfstandig beleidsveld vast stellen door de Raad. Er is ook slechts een gemeente in de benchmark die een integraal overzicht van de kosten voor informatievoorziening (automatisering en applicaties) kan laten zien. Daarnaast heeft Roermond een beweging in gang gezet om het functioneel applicatiebeheer te centraliseren en zodoende ook de daarmee gemoeide budgetten inzichtelijk te krijgen en te centraliseren. Deze beweging is vergelijkbaar met de beweging die andere gemeenten maken.


41/97


Aanbeveling Het verdient aanbeveling om de in gang gezette centralisering van het functioneel applicatiebeheer en daarmee de centralisering van de budgetten door te zetten. Op die manier ontstaat meer inzicht te creëren in de kosten van informatievoorziening en het sturend vermogen hierop te vergroten. Op die wijze kan ook een voor de Raad beter inzicht ontstaan. Norm 4: De Raad heeft een norm vastgesteld voor grote projecten en grote risico's. Deze projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten en baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk gemaakt. De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. Projecten op het gebied van informatievoorziening worden in het algemeen niet vastgesteld door de Raad, maar door het MT of het College. In de gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn. Het voorstel voor toetreding tot Dimpact werd aan de Raad voorgelegd omdat het toetreding tot een samenwerkingsverband betrof. Projecten worden incidenteel voorzien van een business case. Het gaat dan om projecten waarvan grote impact wordt vermoed. De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt. Met betrekking tot het gebruik van business cases wijkt de situatie in Roermond af van de sommige benchmarkgemeenten, die wel structureel met business cases werken. De meeste gemeenten doen dit echter net als Roermond alleen bij de grote projecten. Aanbeveling Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden. Ook verdient het aanbeveling om voor projecten boven die norm altijd met business cases te werken. Voorts verdient aanbeveling het werken met business cases uit te breiden, zodat betere afwegingen gemaakt kunnen worden ten aanzien van investeringen. Norm 5: De Raad stelt het proces voor planning&control en rapportage voor de informatievoorzieningstrategie en de realisatie daarvan vast. In Roermond stelt de Raad de P&C-cyclus vast. Rapportage over informatievoorziening vindt plaats via de reguliere P&C-cyclus. Op verzoek van de Raad wordt de Raad voornamelijk geïnformeerd aan de hand van afwijkingrapportages. De frequentie van de rapportages wordt op verzoek van de


42/97


Raad verhoogd naar 3x per jaar. Grote afwijkingen worden apart aan de Raad gerapporteerd. Hier is geen norm voor vastgesteld. De situatie in Roermond wijkt hierin niet af van de norm en ook niet van de situatie in de benchmarkgemeenten. Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de Raad vastgelegd en door het College geïmplementeerd. De governance structuur omvat coördinatie- en stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en verantwoordingslijnen. De governance van de informatievoorziening is niet neergelegd in een apart document, maar volgt de reguliere governance van de gemeente. In het ICT-beveiligingsbeleid en gerelateerde stukken zijn de taken, verantwoordelijkheden en bevoegdheden wel specifiek vastgelegd. De situatie in de gemeente Roermond wijkt hiermee af van de norm, die stelt dat de governance van de informatievoorziening in een apart document wordt vastgelegd en vastgesteld door de Raad. De situatie in de gemeente Roermond wijkt echter niet af van de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling governance ten aanzien van informatievoorziening vast te leggen in en document en vast te laten stellen door de Raad. Norm 7: Het College laat regelmatig – een of tweejaarlijks – een benchmark uitvoeren naar de kosten van haar informatievoorziening De gemeente Roermond neemt deel aan verschillende landelijke monitors die de voortgang van de implementatie van de e-overheid bijhouden. Zij neemt niet del aan specifieke benchmarks op het gebied van kosten enof personele inzet op het gebied van informatievoorziening en ICT. De situatie in Roermond wijkt hierin af van de norm. De meeste benchmarkgemeenten nemen wel deel aan benchmarks, met name op het gebied van kosten van de informatievoorziening. Een van de benchmarkgemeenten die dit niet doet heeft is voornemens dit in de toekomst weer te gaan doen. Aanbeveling Benchmarking is een belangrijk instrument om zicht te houden op kosten en kwaliteit van de informatievoorziening, en om te leren van anderen. Het verdient aanbeveling om periodiek deel te nemen aan benchmarks op het gebied van kosten van de informatievoorziening. Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied van informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad. De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van informatievoorziening en ICT. Wel leeft de wens om op meer terreinen samen te werken, en met


43/97


name op het gebied van de back-office te outsourcen als de mogelijkheid zich voordoet. Onder invloed van de kerntakendiscussie en onder invloed van een discussie in het managementteam over de besturing van de organisatie wordt nu wel gesproken over taken die voor sourcing in aanmerking komen. De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening. Aanbeveling Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad. Norm 9: Samenwerking op het gebied van informatievoorziening met partners binnen en buiten de gemeente is door het College geformaliseerd en vastgelegd Daar waar het toetreding tot samenwerking betreft met andere gemeenten, of deelnemingen in een andere organisatie is de gemeente Roermond aan de wettelijke verplichtingen daaromtrent. De onderzoekers hebben niet specifiek onderzocht in hoeverre de gemeente zich daaraan houdt. In het geval van Dimpact is dat wel gebeurd. De situatie in Roermond wijkt niet af van de norm en ook niet van de situatie in andere benchmarkgemeenten. Norm 10: Risico's van projecten en operationele systemen zijn volgens een standaard methodiek geanalyseerd en door het College voorzien van beheersmaatregelen. Grote risico's worden door het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld ten aanzien van wettelijke eisen, continuïteit, beveiliging en kosten). De gemeente Roermond hanteert geen gestandaardiseerde methodiek ten aanzien van risicoanalyses. In de gemeente Roermond wordt niet gerapporteerd aan de Raad over operationele risico's. De situatie in Roermond wijkt hierin af van de norm. Zij wijkt niet af van de situatie in de meeste benchmarkgemeenten die geen specifieke methodiek hanteren voor het analyseren van risico's van operationele systemen. en daarover ook niet standaard rapporteren aan de Raad.


44/97


Aanbeveling Het verdient aanbeveling om de risico's van operationele systemen te analyseren volgens een geaccepteerde standaard en om rapportages in samenvattende vorm aan de Raad ter beschikking te stellen. Norm 11: In de overeenkomsten die het College afsluit met leveranciers op het gebied van informatievoorziening, zijn zaken als beschikbaarheid en kwaliteit van de dienstverlening smart gespecificeerd. Er zijn afspraken gemaakt over periodieke rapportages. Deze norm wordt behandeld bij par 4.5, cluster 3: Beheer en exploitatie van de informatievoorziening.


45/97


4.3

Cluster 2b: Besturing en organisatie van de informatiebeveiliging Dit cluster heeft betrekking op de governance van de informatievoorziening: de wijze waarop de kaderstellende en controlerende rol van de Raad ten aanzien van de organisatie van de informatiebeveiliging.

4.3.1

Omschrijving

De gemeente beschikt over een beleid voor informatiebeveiliging en privacy, dat is vastgesteld door de Raad. Dit beleid wordt actief gecommuniceerd en is regelmatig onderdeel van werkoverleggen en managementoverleggen. De gemeente hanteert instrumenten om dit beleid vorm te geven bij de ontwikkeling, het beheer en exploitatie van informatievoorzieningen. Er vindt periodieke monitoring plaats. NORMENKADER Norm 1: De gemeente heeft een beleid voor informatiebeveiliging en privacybescherming dat richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving en dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers. Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad vastgesteld. Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen in de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in managementoverleggen. Norm 4: Het College toetst periodiek de verleende toegangsrechten tot informatie/informatiesystemen. Van alle uitgegeven en actieve identiteiten (accounts) wordt gecontroleerd of deze toebehoren aan personen die inderdaad voor de organisatie werken. Van elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten heeft. Norm 5: De status van de technische beveiliging van ICT systemen wordt jaarlijks door een (onafhankelijke) partij getoetst. Norm 6: De effectiviteit van de afscherming van systemen wordt gemonitord zodat ongewenst verkeer en indringers kan worden gedetecteerd. Rapportage hierover vindt plaats via de rapportagecyclus van dienstverleningsovereenkomsten. Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie en privacy te detecteren en er is een organisatie om die te behandelen. Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de risico's geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden afspraken gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van de


46/97


beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en rapportage van performance en beveiliging (incl. incidenten); melding en behandeling van incidenten; de bewerkingen in het kader van de wettelijke verplichtingen voor privacybescherming.

4.3.2


INFORMATIEBEVEILIGINGSBELEID EN ROL VAN DE RAAD Relevante documenten: ICT-beveiligingsbeleid 2.1 (2009), ICT-beveiligingsplan versie 2.3 (2010), Continuïteitsplan versie 2.2 (2012), een Uitwijkplan GBA en BAG 2.4 (2012) ICT-beveiligingsbeleid Het ICT-beveiligingsbeleid (versie 2.1) is door het College vastgesteld op 18 augustus 2009. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het college worden behandeld. Het ICT-beveiligingsbeleid legt de uitgangspunten en doelstellingen voor de ICT-beveiliging van de gemeente Roermond vast. Tevens wordt de relatie met andere aspecten van beveiliging geïdentificeerd en hun wederzijdse afhankelijkheid. Het ICT-beveiligingsbeleid vormt het uitgangspunt voor het ICT-beveiligingsplan van de gemeente Roermond. Het doel van het ICTbeveiligingsbeleid is het waarborgen van de verschillende elementen van beveiliging, zijnde vertrouwelijkheid, integriteit en beschikbaarheid, binnen de processen en de informatiesystemen die deze processen ondersteunen dan wel uitvoeren. Voor het ICT-beveiligingsbeleid is de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007 (editie november 2007) als uitgangspunt en richtlijn gehanteerd. Daarnaast is relevante wet- en regelgeving in acht genomen (zie bijlage E). Het beleid beschrijft de verschillende aspecten die bij Informatiebeveiliging een rol spelen en de eisen die daaraan gesteld worden. Het beleidsdocument geldt als richtinggevend voor: •

De inrichting van de organisatie van de ICT-beveiligingsfunctie

•

De verantwoordelijkheden en bevoegdheden inzake ICT- beveiliging

•

De aanpak en inrichting van het beveiligingsplan

•

De registratie van incidenten

•

De aanpak en realisering van de bewustwording

ICT-beveiligingsplan Het ICT-beveiligingsplan (versie 2.3) is vastgesteld door het College op 25 januari 2010. Dit plan is een nadere uitwerking van het ICT-beveiligingsbeleid. In het plan zijn de verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging vastgelegd. Continuïteitsplan Het Continuïteitsplan (versie 2.2) is vastgesteld door het MT in maart 2012.


47/97


Hierin zijn de taken, verantwoordelijkheden en bevoegdheden vastgelegd die noodzakelijk zijn bij grootschalige uitval van ICT en/of elektriciteit. Het plan bestaat uit twee delen. Het eerste deel gaat in op het opstarten van de crisisorganisatie bij uitval van ICT en elektriciteit. Het tweede deel gaat in op het continueren van de kernactiviteiten van de organisatie. In het plan zijn taken, te nemen maatregelen, benodigde applicaties en werkplekken, en prioriteiten beschreven. Uitwijkplan GBA en BAG Het Uitwijkplan GBA en BAG Roermond (versie 2.4) dateert uit januari 2012. Dit is op 10 januari 2012 vastgesteld door het hoofd Publiekszaken, het hoofd Facilitaire Zaken en de Adviseur Centrale Gegevensvoorziening. Het is (nog) niet vastgesteld door het College of MT. Dit plan bevat de procedure, taken, verantwoordelijkheden en bevoegdheden in het geval dat de uitvoering van de GBA/BAG langdurig verstoord wordt door calamiteiten, waardoor uitgeweken moet worden naar de uitwijklocatie om de continuïteit te garanderen. De gemeente Roermond beschikt over een uitgebreide uitwijkfaciliteit, waar de gehele relevante IT infrastructuur beschikbaar is in het geval van een ernstige calamiteit. De uitwijklocatie beschikt over een volledige 'kopie' van de noodzakelijke faciliteiten op het stadhuis. Het uitwijkplan GBA en BAG is een wettelijke verplichting. UITDRAGEN VAN HET INFORMATIEBEVEILIGINGSBELEID, Relevante documentatie: ICT-beveiligingsbeleid en ICT-beveiligingsplan ICT-beveiligingsbeleid en ICT-beveiligingsplan Het ICT-beveiligingsbeleid en het ICT-beveiligingsplan bevatten hoofdstukken over beveiligingsbewustzijn en borging. Hierin is aandacht voor de informatie aan (nieuwe) medewerkers, scholing voor beheerders, melden van incidenten en sancties bij overtredingen. TOEGANGSBEHEER, TOETSING EN MONITORING VAN DE BEVEILIGING, EN INCIDENTENPROCEDURE Relevante documentatie: ICT-beveiligingsbeleid, Management letter interim-controle 2011 ICT-beveiligingsbeleid en ICT-beveiligingsplan Het ICT-beveiligingsbeleid bevat een paragraaf over het logisch toegangsbeheer. Hierin zijn de uitgangspunten beschreven voor de formele procedure voor het registreren en afmelden van gebruikers van de ICT-faciliteiten. Daarnaast beschrijft de paragraaf de wijze waarop de autorisaties worden beheerd en gecontroleerd. Het beleid voorziet erin dat de ICTbeheerorganisatie het lijnmanagement jaarlijks de geldigheid en rechtmatigheid van de verleende gebruikersidentificaties, toegangsrechten en bevoegdheden op besturingssystemen laat controleren, dat het applicatiebeheer hetzelfde doet voor de haar toevertrouwde applicaties, en dat deze maatregelen in periodieke onafhankelijke audits worden getoetst. Het ICT-beveiligingsbeleid bevat tevens een hoofdstuk waarin het risicomanagementproces binnen de gemeente Roermond is beschreven. Dit voorziet erin dat voor elk bedrijfsproces en informatiesysteem een risicoanalyse wordt uitgevoerd. De resultaten worden vastgelegd in het


48/97


Informatiebeveiligingsplan. Het beleid voorziet in monitoring door geautoriseerde medewerkers, en een jaarlijkse onafhankelijke audit namens het College van B&W. Het beleid voorziet ook in een incidentenprocedure voor melding en rapportage, die is opgenomen in het ICT-beveiligingsplan. Het lijnmanagement van de directie Middelen rapporteert jaarlijks aan de Directeur over de aard, omvang en afhandeling van incidenten. Management letter Interim controle 2011 De Management Letter bij de Interim Controle 2011 is opgesteld door Ernst&Young. Deze is op 25 november 2011 verzonden aan het College. In de management letter wordt ingegaan op diverse beveiligingsaspecten die in de ogen van Ernst&Young aandacht behoeven: Een procedure voor logische toegangsbeveiliging ontbreekt. Gebruikersaccounts voor het netwerk worden aangemaakt op formeel verzoek van leidinggevenden. Echter gebruikersaccounts voor applicaties worden aangemaakt op informele verzoeken van leidinggevenden. Het wachtwoordbeheer van een applicatie (Decade) is niet in orde. Er is geen procedure aanwezig waarin het wijzigingsbeheer is omschreven. Niet voor alle wijzigingen in applicaties worden testwerkzaamheden verricht en gedocumenteerd alvorens de wijziging in productie te nemen. Daarnaast signaleert Ernst&Young dat niet in alle gevallen een vastlegging beschikbaar is van de goedkeuring van de eindverantwoordelijke om wijzigingen door te voeren in de productieomgeving. Naar aanleiding hiervan zijn op 23 januari 2012 de wachtwoordinstellingen voor Decade aangepast. De overige opmerkingen zijn binnen de organisatie opgepakt en de genoemde e

e

procedures worden in het 3 of 4 kwartaal 2012 opgesteld en ingevoerd. ONTWIKKELING EN ONTWERP VAN SYSTEMEN, EISEN BIJ UITBESTEDING Relevante documentatie: ICT-beveiligingsbeleid, ICT-beveiligingsplan, Management Letter Interim Controle 2011 ICT-beveiligingsbeleid en ICT-beveiligingsplan In het ICT-beveiligingsbeleid wordt aandacht besteed aan de eisen ten aanzien van de uitbesteding en ontwikkeling van software, en de acceptatie van hardware en software. Deze voorzien onder andere in het maken van risico-inschattingen en het uitvoeren van testen. Deze worden verder uitgewerkt in het ICT-beveiligingsplan. Management letter Interim controle 2011 In de Management Letter van 25 november 2011 wordt ingegaan op diverse beveiligingsaspecten die in de ogen van Ernst&Young aandacht behoeven, o.a. m.b.t. het wijzigingsbeheer: Er is geen procedure aanwezig waarin het wijzigingsbeheer is omschreven. Niet voor alle wijzigingen in applicaties worden testwerkzaamheden verricht en gedocumenteerd alvorens de wijziging in productie te nemen. Daarnaast signaleert Ernst&Young dat niet in alle gevallen een vastlegging beschikbaar is van de goedkeuring van de eindverantwoordelijke om wijzigingen door


49/97


te voeren in de productieomgeving. (zie ook hierboven onder 'Toegangsbeheer, toetsing en monitoring van de beveiliging, en incidentenprocedure').

4.3.3


In de interviews zijn de onderzoekers alleen ingegaan op de enkele specifiek onderdelen van het beveiligingsbeleid ter toetsing. Hierin komen niet alle onderdelen uit de vorige paragraaf terug, omdat daar geen nadere toelichting op nodig was. INFORMATIEBEVEILIGINGSBELEID EN DE ROL VAN RAAD Er zijn tot nu toe geen concrete aanleidingen/signalen voor de Raad om zich te bemoeien met het informatiebeleid. Media-aandacht voor recente incidenten elders, zoals Lektober (beveiliging ICT bij gemeenten) en de financiële overschrijdingen bij ICT-projecten, hebben niet geleid tot vragen van de Raad omdat Roermond bij deze incidenten niet betrokken was. Binnenkort wordt een geactualiseerde versie van het ICT-beveiligingsbeleid aangeboden ter goedkeuring aan het College. In deze geactualiseerde versie zijn onder andere veranderingen op het gebied van wet- en regelgeving meegenomen. TOEGANGSBEHEER, TOETSING EN MONITORING VAN DE BEVEILIGING, EN INCIDENTENPROCEDURE Het ICT-beveiligingsbeleid wordt jaarlijks getoetst (ook op koppelingen). In het kader van de GBA is de gemeente Roermond verplicht vijfjaarlijks een GBA-audit uit te laten voeren. De gemeente beschikt over deze GBA audit rapportage. Het uitwijkplan (GBA, BAG) wordt jaarlijks getest. Uitwijkfaciliteiten zijn intern ingericht op gescheiden locaties. De locaties zijn identieke kopieën van elkaar. De twee datacenters zijn gesitueerd in het Stadhuis en het Stadskantoor. Tweejaarlijks vinden er risicoanalyses plaats op kritische bedrijfsprocessen en de daarbij behorende informatiesystemen. Security scans (en penetratietesten) worden periodiek uitgevoerd. De gemeente Roermond beschikt niet over intrusion detection (continue monitoring van pogingen tot hacking). In 2009 en 2010 hebben de jaarlijkse audits op de ICT-beveiliging plaats gevonden. De audit voor 2011 heeft deels plaatsgevonden in 2011 en wordt deels in 2012 uitgevoerd. De reden hiervoor was dat het i.v.m. de verhuizing niet mogelijk was de audit geheel in 2011 te voltooien. Jaarlijks wordt er samenvattend gerapporteerd over incidenten aan het afdelingshoofd FZ en aan het College van B&W. Incidenten worden intern besproken, er vindt geen inhoudelijke rapportage plaats. Meldingen van incidenten m.b.t. beveiliging worden behandeld door de 1e lijn (twee medewerkers) en daar waar nodig toegewezen aan het team Huisvesting & Services, de Ie

e

adviseurs, de 2 en 3 lijns ICT medewerkers, projectleider ICT en teamleider ICT.


50/97


Prioriteit op gebied van Informatiebeveiliging ligt bij het herschrijven van het uitwijkplan GBA en e

BAG n.a.v. de recente verhuizing naar het nieuwe Stadskantoor waar nu het 2 datacenter in gevestigd is.

4.3.4

Bevindingen uit de benchmark:

De benchmark gaat alleen in op de betrokkenheid van de Raad bij beveiligingsbeleid. Alle deelnemende gemeenten doen systematisch aan risicomanagement. Alleen grote risico’s worden gemeld aan de Raad, zij het soms op een zeer hoog abstractieniveau. Waar het gaat om exploitatie en beveiliging, is er geen enkele benchmarkgemeente die daarover op reguliere basis rapporteert aan de Raad, alleen bij incidenten.

4.3.5


Norm 1: De gemeente heeft een beleid voor informatiebeveiliging en privacybescherming dat richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving en dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot voor privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers. De gemeente Roermond beschikt over een ICT-beveiligingsbeleid, dat overeenstemt met het hier bedoelde ICT-beveiligingsbeleid. Het ICT-beveiligingsbeleid van de gemeente Roermond is gebaseerd op de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007 (editie november 2007) en op gerelateerde wet- en regelgeving. In de geactualiseerde versie die binnenkort wordt voorgelegd aan het College worden relevante wetswijzigingen meegenomen. Het ICTbeveiligingsbeleid bevat de vastlegging van verantwoordelijkheden en bevoegdheden met betrekking tot privacybescherming en informatiebeveiliging. Het beleid is verder uitgewerkt in een ICT-beveiligingsplan, continuïteitsplan en uitwijkplan GBA/BAG. De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad vastgesteld. Het beleid voor ICT-beveiligingsbeleid van de gemeente Roermond is vastgesteld door het College, niet door de Raad. Dit geldt ook voor het gerelateerde ICT-beveiligingsplan, Continuïteitsplan en Uitwijkplan GBA en BAG. De situatie in Roermond wijkt hiermee af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Het verdient aanbeveling om de betrokkenheid van de Raad bij het ICT-beveiligingsbeleid te vergroten, dan wel tenminste te informeren over de wijze waarop de gemeente haar beveiliging


51/97


heeft geregeld. Dit gezien het toenemende belang van informatievoorziening voor de continuïteit van de organisatie, en de toenemende dreigingen op het gebied van cybercriminaliteit, en hacking. Grotere betrokkenheid zal ook leiden tot bewustwording bij de Raad op dit vlak. Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen in de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in managementoverleggen. In het ICT-beveiligingsbeleid en ICT-beveiligingsplan besteedt de gemeente Roermond aandacht aan de bewustwording en borging van het veiligheidsbewustzijn. Het is niet duidelijk geworden in hoeverre dit ook actief gebeurt in de zin zoals hierboven bedoeld. De situatie in Roermond wijkt hierin, in ieder geval in formele zin, niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Om dezelfde reden als bij norm 2 verdient het aanbeveling, om medewerkers periodiek te informeren en betrekken bij beveiligingsbeleid en hen ook te informeren als er zich ernstige incidenten hebben voorgedaan. Dit om het veiligheidsbewustzijn te vergroten en te onderhouden. Norm 4: Het College toetst periodiek de verleende toegangsrechten tot informatie/informatiesystemen. Van alle uitgegeven en actieve identiteiten (accounts) wordt gecontroleerd of deze toebehoren aan personen die inderdaad voor de organisatie werken. Van elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten heeft. Het beleid voorziet in periodieke toetsing van de gebruikersregistraties. De Management Letter Interim Controle 2011 constateert echter enige tekortkomingen in het toegangsbeheer met betrekking tot de applicaties. Hierop is actie ondernomen, en enkele acties staan in de planning. Het applicatiebeheer is nog grotendeels decentraal georganiseerd in Roermond. Roermond heeft de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren. Daarnaast heeft Het beleid in Roermond voldoet aan de norm. De Management Letter Controle 2011 laat zien dat het belangrijk is om alert te blijven op een strikte uitvoering in deze. Tegelijkertijd laat de reactie van de organisatie op de constateringen uit de Management Letter Controle 2011 zien dat zij in staat is om adequaat te reageren. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICTbeveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College. Norm 5: De status van de technische beveiliging van ICT systemen wordt jaarlijks door een (onafhankelijke) partij getoetst.


52/97


Het ICT-beveiligingsbeleid voorziet in een jaarlijkse audit namens het College. Deze audit wordt ook uitgevoerd, zij het dat de audit van 2011 gespreid is over 2011 en 2012 i.v.m. de verhuizing. De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Norm 6: De effectiviteit van de afscherming van systemen wordt gemonitord zodat ongewenst verkeer en indringers kunnen worden gedetecteerd. Rapportage hierover vindt plaats via de rapportagecyclus van dienstverleningsovereenkomsten. Het ICT-beveiligingsbeleid voorziet in periodieke toetsing en monitoring van de afscherming van systemen. Hierover wordt eens per jaar samenvattend gerapporteerd aan het College. De situatie in Roermond wijkt hierin af van de norm. In de zin dat slechts één keer per jaar wordt gerapporteerd aan het College. Aanbeveling Het verdient aanbeveling om via de rapportagecyclus van de dienstverleningsovereenkomsten te rapporteren over incidenten. Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie en privacy te detecteren en er is een organisatie om die te behandelen. Het ICT-beveiligingsbeleid in een calamiteitenprocedure bij beveiligingsincidenten. Hier is ook een organisatie voor aanwezig met als eerste aanspreekpunt de helpdesk. De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de risico's geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden afspraken gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van de beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en rapportage van performance en beveiliging (incl. incidenten); melding en behandeling van incidenten; de bewerkerovereenkomsten in het kader van de wettelijke verplichtingen voor privacybescherming. Het ICT-beveiligingsbeleid voorziet in het borgen van de beveiliging bij uitbesteding en ontwikkeling van software, de acceptatie van hardware en software en het maken van afspraken met leveranciers. De Management Letter Interim Controle 2011 constateert echter enige tekortkomingen in het wijzigingsbeheer van de applicaties. Testen worden niet altijd uitgevoerd, en soms ontbreekt de vastlegging van de goedkeuring van de eindverantwoordelijke om een applicatie in productie te nemen. Hierop is actie ondernomen, en enkele acties staan in de planning. Roermond heeft daarnaast de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren.


53/97


Het beleid in Roermond voldoet aan de norm, echter in de uitvoering schiet de organisatie nog tekort. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICTbeveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College.


54/97


4.4

Cluster 2c: Besturing en organisatie van de projecten Dit cluster heeft betrekking op de besturing van de informatievoorzieningen ICT-projecten.

4.4.1

Omschrijving

Projecten en programma's worden door de ambtelijke organisatie beheerst volgens algemeen geaccepteerde principes voor project en programma management. Daarbij valt te denken aan methoden als MSP (Managing Successful Programs), Prince II (Projects IN Controlled Environment), of vergelijkbare methoden. Er is kennis in de organisatie van belangrijke rapporten binnen de overheid op het gebied van het beheersen van risico's van grote ICT-projecten, zoals het Rekenkamerrapport 'Lessen uit ICT-projecten bij de overheid' en de zogenaamde 'Gateway reviews' die het Rijk heeft laten uitvoeren naar grote ICT-projecten. Deze kennis wordt ook benut in de planning en organisatie van grote projecten. NORMENKADER Norm 1: Projecten zijn zowel op opdrachtgevend als uitvoerend niveau verankerd in de organisatie: de (ambtelijke) opdrachtgeverrol en opdrachtnemerrol zijn gedefinieerd, in de opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn vanuit hun functie bevoegd tot het uitvoeren van de opdrachtgeverrol, c.q. opdrachtnemerrol. Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur op basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in beeld zijn gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de organisatie betrokken. Norm 3: De uiteindelijke oplossingsrichting via een project sluit aan op de beleidskaders van de gemeente. Het principe daarbij is: Pas-toe-of-verklaar. Norm 4: Binnen de gemeente wordt een vaste methodiek voor de planning, uitvoering en beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op de standaarden van de organisatie en Quality control is binnen het project ingericht. Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in herkenbare termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct verbetervoorstellen gedaan, dan wel beheersmaatregelen in gang gezet. Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote projecten rapporteert het College de grote risico's aan de Raad.


55/97


4.4.2


PROJECTVERANTWOORDELIJKHEDEN EN ROLVERDELING Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, powerpoint sheets Project Start-Up (2011), Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten De notitie 'Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten' is op 9 mei 2007 goedgekeurd door het managementteam van de gemeente Roermond. De notitie geeft een overzicht van de uitgangspunten en randvoorwaarden voor het projectmanagement van bedrijfsvoeringsprojecten. Aandacht wordt besteed aan o.a. het afwegingskader voor projecten, de cyclus voor het vaststellen van de projectenkalender, en de projectrapportages, het eigenaar- en sponsorschap van projecten, de projectleidersrol en de bijbehorende (budget)bevoegdheden, de contractuele relatie tussen projectleider en projecteigenaar, bemensing van de projectleidersrol en de personele capaciteit voor projecten, de variabele beloning van projectleiders, de verhouding tussen afdelingshoofd en projectleider. De notitie belegt het eigenaarschap van bedrijfsvoeringsprojecten altijd bij het MT. En voor elk project wordt altijd één MT-lid als sponsor van het project benoemd. In aanvulling op de notitie zijn er formats voor projectafweging en projectinitiatie ontwikkeld. Project Start-Up (2011) Deze presentatie geeft een introductie in projectmanagement. Zij besteedt gaat met name in op de operationele kant ervan, niet aan rollen en verantwoordelijkheden. Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact In de projectplannen die de onderzoekers hebben ingezien, het onderzoek 'Acceleratie Excellente Dienstverlening' en het projectimplementatieplan Dimpact, treedt het MT op als opdrachtgever, en zijn de (deel)projectleidersrollen toegewezen, zonder uitgebreid in te gaan op verantwoordelijkheden en bevoegdheden. De rollen van medewerkers in de organisatie die bijdragen aan het project zijn eveneens benoemd en voorzien van kwantificering van hun inzet. BESLUITVORMING Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, Overzicht drempelbedragen. Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Zie de beschrijving hierboven onder het kopje 'Projectverantwoordelijkheden en rolverdeling'. In de notitie wordt ook aandacht besteed aan de afwegingscriteria.


56/97


Samenvattend overzicht drempelbedragen Niveau van besluitvorming: onbekend. Daar waar het gaat om projecten die investeringen vergen, en/of contracten met leveranciers, gelden de drempelbedragen voor besluitvorming. Tot €50.000,- is de beslisser het College/mandaat sectordirecteur. Tussen de €50.000,- en €200.000,- is de beslisser het College/mandaat portefeuillehouder en akkoord plaatsvervangend portefeuillehouder. Boven de €200.000,- beslist het College. De samenvatting van de drempelbedragen is gebaseerd op de notitie Aanbestedingsbeleid bij laagconjunctuur die het College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de gewijzigde bedragen geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en eveneens zijn vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een raadsinformatiebrief geïnformeerd. Bij de projectplannen die de onderzoekers hebben ingezien, vond de besluitvorming plaats door het management team. Het besluit om toe te treden tot Dimpact was goedgekeurd door de Raad. AANSLUITING OP BELEIDSKADERS Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Zie de beschrijving hierboven onder het kopje 'Projectverantwoordelijkheden en rolverdeling'. In dit document en het bijbehorende format voor projectafweging wordt de opstellers van projectvoorstellen expliciet gevraagd naar hoe het project zich verhoudt tot relevante beleidskaders. PROJECTMETHODIEK Relevante documenten: powerpoint sheets Project Start-Up (2011) Project Start-Up (2011) Roermond maakt gebruik van een projectmethodiek van het externe bureau AMI. De documentatie die hierover beschikbaar is bevat een format voor een 'Project start-up'. Zij bevat vooral aandacht voor de opzet van het projectplan. Er is geen/nauwelijks aandacht voor de governance van projecten. RISICOBEHEERSING Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, powerpoint sheets Project Start-Up (2011), Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Zie de beschrijving hierboven onder het kopje 'Projectverantwoordelijkheden en rolverdeling'. In dit document en het bijbehorende format voor projectafweging wordt geen expliciete aandacht besteed aan risicobeheersing.


57/97


Project Start-Up (2011) In de presentatie over Project Start Up wordt risicoanalyse wel genoemd maar niet uitgewerkt. Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact In de projectplannen die de onderzoekers hebben ingezien zijn risicoanalyses gemaakt en beheersmaatregelen benoemd. RAPPORTAGE AAN DE RAAD Relevante documenten: er zijn relevante geen rapportages beschikbaar, er wordt niet op projectniveau gerapporteerd aan de Raad.

4.4.3


PROJECTVERANTWOORDELIJKHEDEN EN ROLVERDELING Het management team monitort het programmaplan excellente dienstverlening, de vervangingsprojecten en soms (afhankelijk van de omvang) ook sectorspecifieke projecten. Informatievoorziening/ICT-projecten zijn geen vast agendapunt voor het management team. Het opdrachtgeverschap wordt voor sectoroverstijgende projecten ingevuld door het management team, voor sectorspecifieke projecten ligt het opdrachtgeverschap bij de betreffende sector. Vervangingsprojecten worden soms binnen een sector uitgevoerd maar zijn vaak sectoroverstijgend waardoor het managementteam dan als opdrachtgever optreedt. De projectleidersrollen voor vervangingsprojecten en sectorspecifieke projecten worden vanuit de sector ingevuld. Als een project betrekking heeft op meerdere sectoren, treedt het managementteam op als opdrachtgever met één van de sectordirecteuren als trekker. Voor het Programma Excellente Dienstverlening ligt het opdrachtgeverschap bij het management team, er is een programmamanager die als opdrachtnemer fungeert en de uitvoering coördineert. Deze programmamanager doet voorstellen voor projecten aan het management team. Het managementteam neemt vervolgens een beslissing en bepaalt waar het opdrachtgeverschap komt te liggen. De projectleidersrollen voor de projecten uit dit Programma Excellente Dienstverlening worden met name door de I-adviseurs ingevuld. Deze projectleiders rapporteren aan de programmamanager die op zijn beurt verantwoording aflegt aan het management team en aan de stuurgroep excellente dienstverlening. Deze stuurgroep bestaat uit de verantwoordelijk wethouder, een vertegenwoordiging van het management team en de OR. BESLUITVORMING De gemeente Roermond beschikt niet standaard over een business case bij de opstart van elk project. Afhankelijk van de projectzwaarte wordt een business case opgesteld. Er is hiervoor geen specifieke norm gesteld bij welke projectomvang wel/niet een business case moet worden uitgewerkt. In de praktijk gebeurt dit alleen bij de hele grote projecten zoals het Dimpact project


58/97


en het lopende onderzoeksproject rondom de samenwerking met Venlo en Weert (gezamenlijke technische infrastructuur met twee rekencentra: in Roermond en in Venlo). De besluitvorming over de gunning in aanbestedingstrajecten is afhankelijk van de geraamde aanbestedingssom. Afhankelijk van deze som is de beslisser: 1) College van B&W mandaat sectordirecteur of 2) College van B&W mandaat portefeuillehouder en akkoord plaatsvervangend portefeuillehouder of 3) College van B&W. Besluitvorming in deze trajecten door het College is het hoogste. De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom de ICT projecten. De Raad is niet betrokken geweest bij het Programma Excellente Dienstverlening, de opdracht voor dit programma vloeit voort uit de strategische visie van Roermond 2020. Per project wordt een budget vastgesteld, dit wordt een jaar vooruit gepland. Dit betekent dus dat het budget voor de gehele projectenportfolio voor het komende jaar reeds in beeld is. Bij vervangingsprojecten wordt 4 jaar vooruit gekeken. De informatievoorziening/ICT projectkosten worden vooral centraal gebudgetteerd. AANSLUITING OP BELEIDSKADERS Excellente dienstverlening is de kapstok voor het bepalen van programma’s en projecten. Hiernaast zijn er ook de landelijke programma’s (zoals Antwoord, GEMMA en NORA) die een kapstok vormen voor het bepalen welke bedrijfsvoeringprojecten in welke jaarschijven gepland worden. Daarnaast zijn er nog de diverse vervangingsprojecten. De I-adviseurs inventariseren de informatievoorzieningen ICT-behoeften bij de diverse sectoren. Deze afstemmingen hebben vooral betrekking op beheersmatige onderwerpen en minder op nieuwe sectorontwikkelingen (behalve veranderingen in wet- en regelgeving). De vervangingsprojecten vormen geen onderdeel van het Programma Excellente Dienstverlening. De lijst van bedrijfsvoeringprojecten wordt uiteindelijk door het management team bepaald. PROJECTMETHODIEK Als projectmethodiek hanteert Roermond een methodiek van een extern bureau - AMI - die afgeleid is van Prince2. De projectmethodiek die gehanteerd wordt voor de projecten die betrekking hebben op de technische ICT infrastructuur, is vaak afhankelijk van de leveranciersmethodiek. Deze projecten worden zowel intern als in samenspraak met leveranciers geëvalueerd. Projectdossiers worden volledig opgeslagen in het DMS. Informatievoorziening/ICT projectkosten zijn vooral centraal gebudgetteerd. Projecten die te maken hebben met de technische ICT infrastructuur en een budget van 50.000 te boven gaan, vallen onder de besluitvorming van het College (de Raad wordt niet betrokken bij deze projecten).


59/97


RISICOBEHEERSING Het zwaartepunt van de Roermondse projectmethodiek ligt bij de Project start-up (PSU) waarbij het projectteam in een werkconferentie van één of twee dagen het projectplan definieert, een omgevingsanalyse en een risicoanalyse uitvoert en beheersmaatregelen benoemt. De procesmatige en communicatieve onderdelen van het projectenmanagement laat te wensen over. Een voorbeeld is het Programma Excellente Dienstverlening dat bij de gehele organisatie bekend was maar waarbij slechts enkele afdelingen in beeld hadden wat dit voor de betreffende afdeling betekende. Gaandeweg verloopt dit nu beter. Dit neemt niet weg dat de communicatie rondom projecten een aandachtspunt is. Een ander voorbeeld is dat de scope van de projectbezetting soms beperkt is tot vooral inhoudelijke onderwerpen waardoor onderwerpen soms te lang binnen een projectgroep blijft hangen. Het management team zou eigenlijk eerder in positie moet worden gebracht om knopen door te hakken of besluiten te nemen. Het management team zelf zou nog consequenter haar opdrachten kunnen verlenen en daarmee zichzelf in een positie brengen om pro-actiever besluiten te kunnen nemen. RAPPORTAGE AAN DE RAAD Afgelopen jaren zijn er geen grote projectoverschrijdingen in Roermond. De overschrijdingen die er zijn, hebben te maken met de inzet van mensen en zijn niet van budgettaire aard.

4.4.4

Bevindingen uit de benchmark

PROJECTVERANTWOORDELIJKHEDEN EN ROLVERDELING Bijna alle benchmarkgemeenten (op één na) geven aan dat het opdrachtgeverschap van projecten vrijwel altijd in de lijn ligt. Bij deze gemeenten vallen alleen grote, meer infrastructurele projecten onder de verantwoordelijkheid van de afdeling ICT of informatie. Ten aanzien van de projectuitvoering is het beeld ambivalent: bij sommige gemeenten ligt de uitvoering overwegend in de lijn, bij andere gemeenten bij de ICT-afdeling. Veel benchmarkgemeenten die deze verantwoordelijkheid wel in de lijn beleggen, beschikken over een pool van projectleiders bij de I&A afdeling die ingehuurd kunnen worden door de lijn. BESLUITVORMING Alle benchmarkgemeenten werken met business cases. Enkele gemeenten doen dit structureel voor alle projecten. De meeste gemeenten doen dit voor alleen de grote projecten. AANSLUITING OP BELEIDSKADERS Bij alle benchmarkgemeenten zijn vooral de landelijke programma’s een uitgangspunt voor de projectenportfolio. Daarnaast wordt bij elk van de benchmarkgemeenten geïnventariseerd wat vanuit de lijn behoeften zijn op het gebied van informatievoorziening en ICT. Dit ligt voornamelijk op het niveau van vervangingsinvesteringen of verplichtingen als gevolg van veranderende wet- en regelgeving. Een meer strategische analyse waarin vanuit gemeentelijke doelstellingen


60/97


(bijvoorbeeld gemeentelijk beleid op sociaal/maatschappelijk vlak) een vertaalslag wordt gemaakt naar informatievoorziening- of ICT projecten ontbreekt meestal. PROJECTMETHODIEK Alle benchmarkgemeenten hanteren de projectmanagement methodiek Prince2 of een daarvan afgeleide methodiek. Met betrekking tot het inzicht in grote projecten is het beeld gemengd. Verder meldt één gemeente een overschrijding van meer dan 50% op één groot projectencluster. Twee andere gemeenten geven aan dat de overschrijding niet zo zeer plaats vindt in geld, maar melden wel overschrijdingen van meer dan 25% en 50% op enkele grote projecten. De andere benchmarkgemeenten geven aan geen actueel overzicht te hebben. RISICOBEHEERSING Alle benchmarkgemeenten geven aan dat risicomanagement een wezenlijk onderdeel vormt van alle projecten. Afhankelijk van de omvang van een project wordt hier in meer of mindere mate aandacht aan gegeven. De teneur lijkt dat dit aandachtsveld de afgelopen jaren een toenemende belangstelling heeft gekregen. De meeste benchmarkgemeenten geven aan dat het vaststellen van doelen en risico’s door de Raad en rapportages aan de Raad over afzonderlijke projecten alleen op gaat voor zeer omvangrijke projecten. RAPPORTAGE AAN DE RAAD De meeste benchmarkgemeenten geven aan dat het vaststellen van doelen en risico’s door de Raad en rapportages aan de Raad over afzonderlijke projecten alleen op gaat voor zeer omvangrijke projecten. Over de gangbare projecten wordt bij geen enkele benchmarkgemeente afzonderlijk gerapporteerd aan de Raad. 4.4.5


Norm 1: Projecten zijn zowel op opdrachtgevend als uitvoerend niveau verankerd in de organisatie: de (ambtelijke) opdrachtgeverrol en opdrachtnemerrol zijn gedefinieerd, in de opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn vanuit hun functie bevoegd tot het uitvoeren van de opdrachtgeversrol, c.q. opdrachtnemerrol. De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook niet af van de situatie bij de benchmarkgemeenten. Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur op basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in beeld zijn gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de organisatie betrokken. Het uitwerken van business case gebeurt alleen bij de hele grote projecten.


61/97


De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt ook af van enkele benchmarkgemeenten die wel structureel met business cases werken. De meeste benchmarkgemeenten doen dit echter net als Roermond alleen bij de grote projecten. Aanbeveling Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten waarbij altijd een business case gemaakt moet worden. Op die manier kunnen beter onderbouwde afwegingen gemaakt worden ten aanzien van investeringen en in de besluitvorming rond projecten. In het algemeen is het goed om medewerkers vertrouwd te maken met het maken van (globale) business cases voor projecten. Norm 3: De uiteindelijke oplossingsrichting via een project sluit aan op de beleidskaders van de gemeente. Het principe daarbij is: Pas-toe-of-verklaar. De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook niet af van de situatie in de meeste benchmarkgemeenten. Norm 4: Binnen de gemeente wordt een vaste methodiek voor de planning, uitvoering en beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op de standaarden van de organisatie en Quality Control is binnen het project ingericht. De gemeente hanteert een vaste projectmethodiek die aansluit op de standaarden van de organisatie. De situatie in Roermond wijkt hierin niet af van de norm. Deze wijkt ook niet af van de situatie in de benchmarkgemeenten. Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in herkenbare termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct verbetervoorstellen gedaan, dan wel beheersmaatregelen in gang gezet. In de projectmethodiek die de onderzoekers hebben ingezien (de AMI-methode) wordt summier aandacht besteed aan een risicoanalyse én beheersmaatregelen. In de technische ICT projecten is een risicoanalyse altijd een standaard onderdeel van het project implementatie document. Bij de grote projecten die de onderzoekers hebben ingezien zijn dergelijke risicoanalyses en beheersmaatregelen ook gemaakt en benoemd. Met betrekking tot de risicoanalyse en het benoemen van beheersmaatregelen wijkt de formele situatie in Roermond af van de norm, maar de praktijksituatie niet. Deze situatie wijkt af van de situatie in de meeste benchmarkgemeenten die gebruik maken van PRINCE2 als projectmethodiek waarin veel aandacht is voor risicoanalyses en beheersmaatregelen.

Aanbeveling


62/97


Het verdient aanbeveling om de formele situatie in dit geval meer in overeenstemming te brengen met de praktijk zoals hierboven beschreven. Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote projecten rapporteert het College de grote risico's aan de Raad. De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. In de gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn. De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt. Aanbeveling Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden.


63/97


4.5

Cluster 3: Beheer en exploitatie van de informatievoorziening Dit cluster heeft betrekking op de manier waarop de informatievoorziening wordt beheerd en gemanaged.

4.5.1

Omschrijving Op ambtelijk niveau worden de dagelijkse werkzaamheden rondom de informatievoorziening op elkaar afgestemd, zoals het afhandelen van incidenten en het doorvoeren van wijzigingen in de informatievoorziening en informatiesystemen, zodanig dat dit de continuïteit van de bedrijfsprocessen optimaal ondersteunt. Normenkader Norm 1: Er is een helpdesk die gebruikers ondersteunt in het dagelijks gebruik van systemen (w.o. voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van dienstverlening door de helpdesk zijn vastgelegd in dienstverleningsovereenkomsten tussen de directie middelen en de lijnorganisatie. Norm 2: Er is een norm vastgesteld voor de dagelijkse performance/beschikbaarheid van systemen. Deze wordt gemonitord en bij afwijkingen bijgestuurd. Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorziening/ICT diensten beschikbaar. Norm 4: Er is een expliciet vastgesteld sourcingbeleid en –strategie, de uitvoering hiervan wordt gemanaged.

4.5.2

Bevindingen op basis van de documentatie HELPDESK EN DIENSTVERLENINGSOVEREENKOMSTEN Relevante documenten: Geen documentatie beschikbaar De onderzoekers hebben geen documenten ingezien die betrekking hebben op beheerprocessen en interne dienstverleningsovereenkomsten. BESCHIKBAARHEID VAN SYSTEMEN Relevante documenten: Lijst met applicaties (2011), Schaatsen op dun ijs, doorlichting van organisatie en inrichting van gegevens- en applicatiebeheer van de gemeente Roermond (2010), ICT beveiligingsbeleid (2009), ICT-beveiligingsplan (2010), Continuïteitsplan ICT en elektriciteit gemeente Roermond (2012), Uitwijkplan Gemeentelijke BasisAdministraties en Basisregistraties Adressen en Gebouwen (2012).


64/97


Lijst met applicaties Eind 2011 is er een lijst opgesteld van beschikbare applicaties. Roermond blijkt te beschikken over circa 235 softwarepakketten. Wijze van vaststelling is onbekend. Deze lijst is opgesteld in het kader van het onderzoek 'Schaatsen op dun ijs' (zie hieronder). Schaatsen op dun ijs In de notitie ‘Schaatsen op dun ijs, doorlichting van organisatie en inrichting van gegevens- en applicatiebeheer van de gemeente Roermond’ (29 augustus 2010, Assista Onderzoek en beleid) wordt vastgesteld dat beleidsvisies en verbeterplannen ontbreken op het terrein van gegevens- en applicatiebeheer. Het rapport doet verder als belangrijke bevinding dat vanuit doelmatigheid en doeltreffendheid een centralisatie van het gegevens- en applicatiebeheer gewenst is. Op 15 februari 2012 heeft het MT het projectplan 'Centralisatie van gegevens- en applicatiebeheer' opgestart goedgekeurd. Dit project beoogt invulling te geven aan de aanbevelingen uit 'Schaatsen op dun ijs'. ICT beveiligingsbeleid Het ICT-beveiligingsbeleid (versie 2.1) is door het College vastgesteld op 18 augustus 2009. Het ICT-beveiligingsbeleid legt de uitgangspunten en doelstellingen voor de ICT-beveiliging van de gemeente Roermond vast. In het ICT-beveiligingsbeleid wordt aandacht besteed aan de bescherming ten aanzien van externe dreigingen. Daarnaast besteedt het beleid aandacht aan de eisen ten aanzien van leveranciers en ontwikkelaars van hardware en software en voor het in gebruik nemen van nieuwe hard- en software. Deze worden verder uitgewerkt in het ICT-beveiligingsplan. ICT-beveiligingsplan Het ICT-beveiligingsplan (versie 2.3) is vastgesteld door het College op 25 januari 2010. Dit plan is een nadere uitwerking van het ICT-beveiligingsbeleid. In het plan zijn de verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging vastgelegd. Continuïteitsplan ICT en elektriciteit gemeente Roermond Het Continuïteitsplan (versie 2.2) is vastgesteld door het MT in maart 2012. Hierin zijn de taken, verantwoordelijkheden en bevoegdheden vastgelegd die noodzakelijk zijn bij grootschalige uitval van ICT en/of elektriciteit. Het plan bestaat uit twee delen. Het eerste deel gaat in op het opstarten van de crisisorganisatie bij uitval van ICT en elektriciteit. Het tweede deel gaat in op het continueren van de kernactiviteiten van de organisatie. In het plan zijn taken, te nemen maatregelen, benodigde applicaties en werkplekken, en prioriteiten beschreven. Uitwijkplan Gemeentelijke BasisAdministraties en Basisregistraties Adressen en Gebouwen Het Uitwijkplan GBA en BAG Roermond (versie 2.4) dateert uit januari 2012. Dit is op 10 januari 2012 vastgesteld door het hoofd Publiekszaken, het hoofd Facilitaire Zaken en de Adviseur Centrale Gegevensvoorziening. Het is (nog) niet vastgesteld door het College of MT.


65/97


Dit plan bevat de procedure, taken, verantwoordelijkheden en bevoegdheden in het geval dat de uitvoering van de GBA/BAG langdurig verstoord wordt door calamiteiten, waardoor uitgeweken moet worden naar de uitwijklocatie om de continuïteit te garanderen. De gemeente Roermond beschikt over een uitgebreide uitwijkfaciliteit waar de gehele relevante IT infrastructuur beschikbaar is in het geval van een ernstige calamiteit. De uitwijklocatie beschikt over een volledige 'kopie' van de noodzakelijke faciliteiten op het stadskantoor. Het uitwijkplan GBA en BAG is een wettelijke verplichting. BESCHIKBAARHEID PRODUCT DIENSTEN CATALOGUS Relevante documenten: Product-dienstencatalogus voor burgers en bedrijven; Productdienstencatalogus intern (facilitair) De eerste is beschikbaar via de internetsite van de Gemeente Roermond. De tweede is alleen via intranet beschikbaar. De onderzoekers hebben deze niet in kunnen zien. SOURCING Relevante documenten: Contractenbeheer in de gemeente Roermond, Service Level Agreement datatransport en toegevoegde waarde diensten Gemnet b.v., Projectplan Implementatie IP Telefonie (2011), Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze aannemer/leverancier/bureau (2012). Behalve de eigen inkoopvoorwaarden is er geen documentatie over een vastgesteld sourcingbeleid en/of –strategie. Er worden wel SLA’s afgesloten met leveranciers van de technische infrastructuur, bijvoorbeeld met Gemnet b.v. Contractenbeheer in de gemeente Roermond Op 20-1-2010 en 5-8-2010 heeft het MT twee voorstellen geaccordeerd m.b.t. contractbeheer in de gemeente Roermond. Het eerste betreft 'Contractenbeheer in de gemeente Roermond', het tweede betreft het voorstel voor de ingebruikneming van Axxerion, een systeem dat het contractenbeheer faciliteert. Doel van het beleidsdocument 'Contractenbeheer in de gemeente Roermond', is om tot beter contractbeheer te komen, zodat centraal beter inzicht bestaat in lopende en aflopende contracten, ongewilde verlengingen worden voorkomen, beter gebruik kan worden gemaakt van schaalvoordelen bij het aangaan van nieuwe enof te verlengen contracten. Service Level Agreement datatransport en toegevoegde waarde diensten Gemnet b.v. In deze SLA is de door Gemnet na te komen kwaliteit van dienstverlening vastgelegd. De kwaliteit van dienstverlening komt tot uitdrukking in afspraken over beschikbaarheid, doorvoersnelheid, responstijd, ondersteuning en veiligheid. De SLA geeft een beschrijving van de inhoud, procesafspraken en het kwaliteitsniveau van de dienstverlening. De Service Level Agreement is een bijlage van de Algemene Voorwaarden Gemnet (Datacommunicatie en Toegevoegde Waarde Diensten). Bij de opdrachtverstrekking voor het


66/97


aansluiten op het Gemnet netwerk is de gemeente Roermond akkoord gegaan met deze Algemene Voorwaarden inclusief bijlage SLA. Het document is vanuit de gemeente niet ondertekend. Onduidelijk is wat de status is van dit document. Projectplan Implementatie IP Telefonie Het implementatieplan IP telefonie illustreert dat er gedurende de voorbereiding van een project veel wordt afgestemd en vastgelegd met de leverancier en dat taken en verantwoordelijkheden helder zijn in de projectorganisatie. Verder laat het plan zien dat de gemeente Roermond door een vertegenwoordiging in de stuurgroep stevig aan het roer zit zodat sturing kan worden gegeven aan het project en daarmee aan de activiteiten van de leverancier. De auteur van dit implementatieplan is de leverancier. De gemeente Roermond wordt geacht formeel haar goedkeuring te geven aan het implementatieplan. Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze aannemer/leverancier/bureau Niveau van besluitvorming: onbekend. De gemeente hanteert drempelbedragen ten aanzien van de beslissingsbevoegdheid voor aanbesteding van leveringen en diensten. Daarbij is ook aangegeven op welke wijze deze aanbesteed moeten worden. Tot €50.000,- is de beslisser het College/mandaat sectordirecteur. Tussen de €50.000,- en €200.000,- is de beslisser het College/mandaat portefeuillehouder en akkoord plaatsvervangend portefeuillehouder. Boven de €200.000,- beslist het College. De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom de ICT projecten. De drempelbedragen zijn gebaseerd op de notitie Aanbestedingsbeleid bij laagconjunctuur die het College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de gewijzigde bedragen geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en eveneens zijn vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een raadsinformatiebrief geïnformeerd.

4.5.3

Bevindingen op basis van de interviews HELPDESK EN DIENSTVERLENINGSOVEREENKOMSTEN In 2009 is een scan uitgevoerd op de beheerprocessen. Momenteel is er een concept SLA beschikbaar. De beheersprocessen (ITIL-processen) en de SLA moeten formeel nog worden vastgesteld. Het configuratie management en het incidenten wijzigingsbeheer wordt ondersteund door het softwarepakket Axxerion. Meldingen worden behandeld door 1 e

e

e

lijnsmedewerkers en daar waar nodig toegewezen aan de I-adviseurs, de 2 en 3 lijns ICT medewerkers, projectleider ICT en teamleider ICT. Het technisch applicatiebeheer is ondergebracht bij het team ICT en werkt nauw samen met het functioneel beheer dat meestal in de lijn ligt.


67/97


BESCHIKBAARHEID VAN SYSTEMEN Per systeem wordt over vijf jaar afgeschreven. Daarna wordt steeds gekeken of er wordt overgegaan tot vervanging of tot een update. Door de toetreding tot Dimpact is de noodzaak voor een groot aantal investeringen vervallen omdat de Gemeente Roermond door toetreding tot Dimpact in een keer toegang kreeg tot de bedoelde voorzieningen. Het project Dimpact is gefinancierd uit de hierdoor vrijvallende investeringen en extra middelen die door de Raad beschikbaar waren gesteld in het kader van Excellente Dienstverlening. Gezien de uitdagingen die er nog liggen op het gebied van informatievoorziening en ICT is de inschatting in de organisatie dat er in de toekomst meer investeringen nodig zijn. Er is een ICT-beveiligingsbeleid en –plan en een GBA audit rapportage. Jaarlijks wordt het ICTbeveiligingsbeleid getoetst (ook op koppelingen). Uitwijkfaciliteiten zijn intern ingericht op gescheiden locaties. De twee datacenters zijn gesitueerd in het stadhuis en het stadskantoor. Elke locatie heeft 9 fysieke servers t.b.v. de virtuele omgevingen en 1 fysieke server t.b.v. back-up. Op het stadhuis draaien 98 virtuele servers en op het stadskantoor 97 virtuele servers. Het uitwijkplan GBA en BAG wordt jaarlijks getest. Dit plan beschrijft de acties die ondernomen moeten worden als een calamiteit of verstoring optreedt waardoor het voeren van de GBA en/of BAG langdurig verstoord wordt. Begin 2012 is het ‘continuïteitsplan ICT en elektriciteit gemeente Roermond’ vastgesteld (op basis van de richtlijnen van het ministerie van BZK). Security scans (en penetratietesten) worden uitgevoerd. Tweejaarlijks vinden er risicoanalyses plaats op de kritische bedrijfsprocessen en de daarbij behorende informatiesystemen. BESCHIKBAARHEID PDC Een producten/dienstengids is via het intranet beschikbaar voor de gebruikers. SOURCING Roermond heeft geen vastgesteld sourcingbeleid of expliciete sourcingstrategie. De gemeente heeft geen documentatie over haar contractmanagement anders dan de eigen inkoopvoorwaarden. De gemeente wil outsourcen op het gebied van de back-office om de beheerlasten naar beneden te brengen, hier wordt over besloten als zich mogelijkheden aandienen. Roermond probeert kwetsbaarheid te reduceren en te anticiperen op IV/ICT ontwikkelingen door samenwerking te zoeken zoals met Dimpact en de samenwerking met Venlo en Weert (op gebied van de ICT infrastructuur). De keuze voor Dimpact is ondermeer gemaakt om het risico van ‘nietpratende-systemen’ op te lossen (hiermee worden risico’s gereduceerd van kosten ten aanzien van koppelvlakken). De applicatiearchitectuur van Dimpact draait vanaf eind april 2012 buiten de deur. De huidige technische infrastructuur is via een leasecontract geregeld, dit levert een stabiel financieel plaatje op.


68/97


Via het contractmanagement zijn alle contracten in beeld (wordt vastgelegd in het softwarepakket Axxerion). Rapportages over het contractmanagement zijn mogelijk, bijvoorbeeld over het contractverloop.

4.5.4

Bevindingen uit de benchmark HELPDESK EN DIENSTVERLENINGSOVEREENKOMSTEN Alle benchmarkgemeenten gebruiken de methodiek ITIL om hun beheersprocessen vorm te geven. Sommige gemeenten vullen dit aan met de methodieken ASL en BISL. Vijf van deze zes gemeenten hebben een structurele afstemming met gebruikers over de performance en helpdesk georganiseerd. Slechts één gemeente geeft aan dit nog niet goed op orde te hebben, zij is nog bezig met de professionalisering hiervan. Één gemeente doet dat alleen voor enkele kritische systemen. BESCHIKBAARHEID VAN SYSTEMEN Alle benchmarkgemeenten monitoren de exploitatie van de ICT systemen en stemmen daarover af met de gebruikersorganisatie. Alle gemeenten maken gebruik van SLA's, bij de ene gemeente zijn er meer dienstverleningsafspraken met de gebruikersorganisatie dan de andere gemeente. Één gemeente heeft alleen SLA’s voor enkele kritische systemen. Één van de zes benchmarkgemeenten rapporteert op regelmatige basis aan de Raad over continuïteit van de systemen. De andere benchmarkgemeenten doen dit alleen bij incidenten. Waar het gaat om exploitatie en beveiliging, is er geen enkele benchmarkgemeente die daarover op reguliere basis rapporteert aan de Raad. Zij doen dit alleen bij incidenten. BESCHIKBAARHEID PDC Alle benchmarkgemeenten hebben een ICT producten/dienstencatalogus beschikbaar gesteld aan hun gebruikersorganisatie. SOURCING Drie van de zes benchmarkgemeenten hebben een duidelijke uitbestedings- (sourcing-)strategie met betrekking tot informatievoorziening en ICT: één vanuit de wens om een regiegemeente te zijn, de andere twee als uitvloeisel van regionale samenwerking. Een andere benchmarkgemeente onderzoekt momenteel wel zo'n strategie, o.a. in het licht van samenwerkingsverbanden.

4.5.5

Conclusies en aanbevelingen Norm 1: Er is een helpdesk die gebruikers ondersteund in het dagelijks gebruik van systemen (w.o. voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van dienstverlening door de helpdesk zijn vastgelegd in dienstverleningsovereenkomsten tussen de directie middelen en de lijnorganisatie.


69/97


Roermond maakt gebruik van de internationaal geaccepteerde standaard ITIL voor de inrichting van haar beheer processen. Deze zijn ingericht en worden ondersteund met een softwarepakket. De documentatie rondom de beheerprocessen en betreffende dienstverleningsovereenkomsten is nog in ontwikkeling en moet nog formeel worden vastgesteld. Met betrekking tot de inrichting van de beheerprocessen wijkt Roermond niet af van de norm. Zij wijkt hierin ook niet af van de benchmarkgemeenten die ook allemaal hun beheerprocessen volgens ITIL hebben ingericht. De situatie wijkt wel af van de norm en van de situatie in de benchmarkgemeenten waar het gaat om de formalisering van de beheerprocessen en de bijbehorende dienstverleningsovereenkomsten. Aanbeveling Het verdient aanbeveling om zo spoedig mogelijk de afstemming met de gebruikersorganisatie te komen tot formalisering van de beheerprocessen en de gerelateerde interne dienstverleningsovereenkomsten (SLA's). Norm 2: Er is een norm vastgesteld voor de dagelijkse performance/beschikbaarheid van systemen. Deze wordt gemonitord en bij afwijkingen bijgestuurd. Uit de beschikbare informatie wordt niet duidelijk of er een expliciete norm is voor de performance/beschikbaarheid van systemen. Wellicht is hier een en ander over opgenomen in het nog vast te stellen SLA. Wat wel duidelijk is, is dat Roermond de beschikbaarheid van systemen vanuit het oogpunt van informatiebeveiliging en uitwijk integraal georganiseerd heeft. De (meeste) benchmarkgemeenten hebben interne dienstverleningsovereenkomsten waarin een en ander is vastgelegd over de beschikbaarheid en de performance van de meest bedrijfskritische applicaties Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorzieningdiensten beschikbaar. Er is een producten/dienstencatalogus beschikbaar via het interne intranet ten behoeve van de gebruikersorganisatie. De situatie in de gemeente Roermond wijkt hierin niet af van de norm. Zij wijkt ook niet af van de situatie bij de benchmarkgemeenten die allemaal ook een PDC beschikbaar hebben gesteld aan hun gebruikersorganisatie.

Norm 4: Er is een expliciet vastgesteld sourcingbeleid en –strategie, de uitvoering hiervan wordt gemanaged. De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van informatievoorziening en ICT.


70/97


De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening. Aanbeveling Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad.


71/97



72/97


BIJLAGEN


73/97


A

Conclusies en aanbevelingen op een rij Conclusies en aanbevelingen Cluster 1 Norm 1: Het College stelt de informatievoorzieningstrategie op waarin de toekomstige behoefte aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze – is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente. De inhoud van de I-visie 2011 relateert de behoefte aan informatievoorziening op herkenbare wijze aan de beleidsdoelen en bedrijfsvoering van de gemeente. De afstemming op de (recente) bezuinigingsdoelstellingen en taakstellingen is vooralsnog minder herkenbaar in de I-visie 2011. Inhoudelijk komt de situatie in Roermond grotendeels overeen met de norm en met de situatie in de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling de I-visie duidelijker te relateren aan de bezuinigingsdoelstellingen van de gemeente Roermond zowel met betrekking tot de bijdrage die inzet van informatievoorziening en ICT kan leveren aan bezuinigingen als aan de consequenties van bezuinigingen op informatievoorziening en ICT op de prioriteiten uit de I-visie. Norm 2: Het College werkt op basis van de door de Raad vastgestelde informatievoorzieningstrategie kaders en richtlijnen uit voor het inrichten van de informatievoorziening. De gemeente Roermond beschikt over een Kadernota ICT uit 2003. Daarnaast is met de quick scan voor architectuur een aanzet gegeven tot het formuleren van een Roermondse referentiearchitectuur, welke als kaderstellend kan worden gehanteerd. In afwachting van die Roermondse architectuur hanteert de gemeente momenteel een door het MT vastgestelde interne Checklist Informatiemanagement, en het Informatiebeveiligingbeleid vastgesteld door het College. Daarnaast gaat van de samenwerking in Dimpact een kaderstellende werking uit. Inhoudelijk komt de situatie in Roermond hier niet geheel overeen met de norm. De situatie in Roermond wijkt echter niet veel af van de benchmarkgemeenten. Deze zijn allen nog bezig met het opstellen en implementeren van referentiearchitecturen. Wel bestaat de indruk dat Roermond hiermee nog niet echt een begin heeft gemaakt en dus iets achterloopt. Aanbeveling Het verdient aanbeveling het opstellen van een referentiearchitectuur te versnellen zodat een duidelijker kader ontstaat voor beslissingen ten aanzien van de inrichting van de informatievoorziening.


74/97


Norm 3: Het College vertaalt de informatievoorzieningstrategie naar een Informatieplan met bijbehorende projectenportfolio en de bijbehorende middelen. De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende middelen. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt ge-update en vastgesteld door het MT. De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste benchmarkgemeenten die hun informatievoorzieningstrategie wel hebben uitgewerkt in jaarlijkse integrale informatieplannen. Aanbeveling Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van planningen en benodigde middelen. Norm 4: In de informatievoorzieningstrategie van de gemeente Roermond wordt aangesloten bij landelijke beleidsvisies op dienstverlening en e-overheid zoals vastgelegd in het Nationaal Uitvoering Programma e-overheid van het Ministerie van BZK, de VNG visie op dienstverlening 'Dienstverlening draait om burgers', 'Het gemeentelijk fundament' van KING en de visie van de Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft: 'Dienstverlening samen doen’: 1. de vraag van burgers, bedrijven en instellingen staat centraal 2. burgers, bedrijven en instellingen moeten hun zaken snel en zeker kunnen regelen. 3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen hun organisaties, maar opereert als één overheid. 4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is opgenomen en informatie die binnen de eigen organisatie beschikbaar is, wordt niet nogmaals gevraagd. 5. de overheid is transparant en aanspreekbaar 6. de overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de behoeften van burgers, bedrijven en instellingen.

De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 laat een brede oriëntatie zien, en sluit goed aan bij bovengenoemde beleidsvisies. De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar met de situatie in de benchmarkgemeenten. Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op het gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken


75/97


van het gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering, DigiMelding, DigiMachtiging en DigiPoort. De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 is afgestemd op de in deze norm genoemde wettelijke taken en geeft daar invulling aan. De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar met de situatie in de benchmarkgemeenten. Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op de informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken, zoals de (jeugd)zorg, WMO, Werk en inkomen en toezicht en handhaving. In de I-visie 2011 is geen de aandacht voor ontwikkelingen in de maatschappelijke beleidsdomeinen van de gemeente die impact kunnen hebben op de informatievoorziening, zoals (jeugd)zorg, WMO, werk&inkomen, en toezicht en handhaving. Het bestuur verwacht hier veel van de samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert. Omdat hier in de Ivisie geen aandacht aan wordt gegeven, ontbreekt echter ook een kader om te beoordelen of die verwachting ook bewaarheid wordt en om eventueel zelf ontwikkelingen bij de samenwerkingsverbanden te initiëren. De situatie in de gemeente Roermond wijkt hierin af van de norm, die vraagt om dergelijke ontwikkelingen expliciet mee te nemen. De gemeente Roermond wijkt hierin ook af van de meeste benchmarkgemeenten die wel aandacht aan beleidsontwikkelingen in de sectoren, zij het dat de beschrijving van de implicaties voor de informatievoorziening soms summier is. Aanbeveling Het verdient aanbeveling om bij actualisering van de I-visie ook aandacht te geven aan beleidsontwikkelingen in de sectoren en de impact die deze kunnen hebben op de informatievoorziening. Er is geen aanleiding om het pragmatische ambitieniveau los te laten. Overig De gemeente Roermond is in haar ambitie pragmatisch. Zij kiest ervoor geen koploper te zijn, geen achterblijver, maar vanuit eigen prioriteiten de goede dingen te doen. Zij sluit daarbij aan en maakt actief gebruik van anderen. Zij neemt daarin ook een actieve rol in de samenwerkingsverbanden. Met de keuze voor deze ambitie volgt de gemeente dezelfde koers als de meeste gemeenten in de benchmark. Zij is actiever, dan de meeste gemeenten in de benchmark waar het gaat om het zoeken van samenwerking om zo tegen lagere kosten deze ambitie te kunnen realiseren.


76/97


Op die manier werkt zij op een efficiënte en effectieve manier aan het verbeteren van de informatievoorziening en ICT van de gemeente Roermond.

Conclusies en aanbevelingen cluster 2a Norm 1: De Raad toetst de informatievoorzieningstrategie aan de beleidsvisie van de gemeente, i.c. Strategische visie Roermond 2020 en het Coalitieakkoord, en stelt deze vast. Behalve in het geval van de Kadernota ICT uit 2003 heeft de Raad in Roermond geen toetsende enof besluitvormende rol bij de inhoud van het beleid voor informatievoorziening. Informatievoorziening wordt gezien als onderdeel van de bedrijfsvoering en derhalve als verantwoordelijkheid van het College. De informatievoorzieningstrategie is wel vastgesteld door het College. De situatie in Roermond komt niet overeen met de norm. De situatie in Roermond wijkt niet wezenlijk af van de situatie bij de meeste benchmarkgemeenten. Bij de meeste van hen is informatievoorziening vastgesteld via de begroting als onderdeel van de bedrijfsvoering en worden de beleidsplannen vastgesteld door het MT of het College. Aanbeveling Het verdient aanbeveling de betrokkenheid van de Raad bij het beleid ten aanzien van informatievoorziening te vergroten met name daar waar informatievoorziening en ICT een belangrijkere rol gaan spelen in het contact van de gemeente met de buitenwereld en de realisatie van maatschappelijke doelen. Norm 2: De Raad toetst het informatieplan inclusief de projectenportfolio en bijbehorende middelen, en stelt deze vast. De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende middelen. Deze worden dus ook niet vastgesteld door de Raad. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt geupdate en vastgesteld door het MT. De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste benchmarkgemeenten die hun informatievoorzieningsstrategie wel hebben uitgewerkt in jaarlijkse integrale informatieplannen. Aanbeveling Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van planningen, projectenportfolio en benodigde middelen, deze vast te laten stellen door het College, en de Raad tenminste te informeren hierover.


77/97


Norm 3: Het budget voor informatievoorziening is inzichtelijk in de gemeentebegroting en wordt door de Raad als zelfstandig beleidsveld vastgesteld. De Raad stelt het budget voor informatievoorziening en het investeringsbudget vast als onderdeel van de programmabegroting van het Programma 'De gemeente'. Het budget voor informatievoorziening is hier apart vermeld, maar een deel van de kosten voor applicaties ligt (nog) verscholen in exploitatiekosten van de sectoren. De gemeente heeft een start gemaakt met het verder centraliseren van applicatiebeheer, waardoor ook het inzicht in de budgetten die gemoeid zijn met de totale informatievoorziening beter inzichtelijk zullen worden. De situatie in Roemond wijkt hierin af van de norm. Roermond wijkt hier niet af van de meeste benchmarkgemeenten. Slechts een gemeente laat de informatievoorziening als zelfstandig beleidsveld vast stellen door de Raad. Er is ook slechts een gemeente in de benchmark die een integraal overzicht van de kosten voor informatievoorziening (automatisering en applicaties) kan laten zien. Daarnaast heeft Roermond een beweging in gang gezet om het functioneel applicatiebeheer te centraliseren en zodoende ook de daarmee gemoeide budgetten inzichtelijk te krijgen en te centraliseren. Deze beweging is vergelijkbaar met de beweging die andere gemeenten maken. Aanbeveling Het verdient aanbeveling om de in gang gezette centralisering van het functioneel applicatiebeheer en daarmee de centralisering van de budgetten door te zetten. Op die manier ontstaat meer inzicht te creëren in de kosten van informatievoorziening en het sturend vermogen hierop te vergroten. Op die wijze kan ook een voor de Raad beter inzicht ontstaan. Norm 4: De Raad heeft een norm vastgesteld voor grote projecten en grote risico's. Deze projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten en baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk gemaakt. De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. Projecten op het gebied van informatievoorziening worden in het algemeen niet vastgesteld door de Raad, maar door het MT of het College. In de gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn. Het voorstel voor toetreding tot Dimpact werd aan de Raad voorgelegd omdat het toetreding tot een samenwerkingsverband betrof. Projecten worden incidenteel voorzien van een business case. Het gaat dan om projecten waarvan grote impact wordt vermoed. De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat


78/97


zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt. Met betrekking tot het gebruik van business cases wijkt de situatie in Roermond af van de sommige benchmarkgemeenten, die wel structureel met business cases werken. De meeste gemeenten doen dit echter net als Roermond alleen bij de grote projecten. Aanbeveling Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden. Ook verdient het aanbeveling om voor projecten boven die norm altijd met business cases te werken. Voorts verdient aanbeveling het werken met business cases uit te breiden, zodat betere afwegingen gemaakt kunnen worden ten aanzien van investeringen. Norm 5: De Raad stelt het proces voor planning&control en rapportage voor de informatievoorzieningstrategie en de realisatie daarvan vast. In Roermond stelt de Raad de P&C-cyclus vast. Rapportage over informatievoorziening vindt plaats via de reguliere P&C-cyclus. Op verzoek van de Raad wordt de Raad voornamelijk geïnformeerd aan de hand van afwijkingrapportages. De frequentie van de rapportages wordt op verzoek van de Raad verhoogd naar 3x per jaar. Grote afwijkingen worden apart aan de Raad gerapporteerd. Hier is geen norm voor vastgesteld. De situatie in Roermond wijkt hierin niet af van de norm en ook niet van de situatie in de benchmarkgemeenten. Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de Raad vastgelegd en door het College geïmplementeerd. De governance structuur omvat coördinatie- en stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en verantwoordingslijnen. De governance van de informatievoorziening is niet neergelegd in een apart document, maar volgt de reguliere governance van de gemeente. In het ICT-beveiligingsbeleid en gerelateerde stukken zijn de taken, verantwoordelijkheden en bevoegdheden wel specifiek vastgelegd. De situatie in de gemeente Roermond wijkt hiermee af van de norm, die stelt dat de governance van de informatievoorziening in een apart document wordt vastgelegd en vastgesteld door de Raad. De situatie in de gemeente Roermond wijkt echter niet af van de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling governance ten aanzien van informatievoorziening vast te leggen in en document en vast te laten stellen door de Raad.


79/97


Norm 7: Het College laat regelmatig – een of tweejaarlijks – een benchmark uitvoeren naar de kosten van haar informatievoorziening De gemeente Roermond neemt deel aan verschillende landelijke monitors die de voortgang van de implementatie van de e-overheid bijhouden. Zij neemt niet del aan specifieke benchmarks op het gebied van kosten enof personele inzet op het gebied van informatievoorziening en ICT. De situatie in Roermond wijkt hierin af van de norm. De meeste benchmarkgemeenten nemen wel deel aan benchmarks, met name op het gebied van kosten van de informatievoorziening. Een van de benchmarkgemeenten die dit niet doet heeft is voornemens dit in de toekomst weer te gaan doen. Aanbeveling Benchmarking is een belangrijk instrument om zicht te houden op kosten en kwaliteit van de informatievoorziening, en om te leren van anderen. Het verdient aanbeveling om periodiek deel te nemen aan benchmarks op het gebied van kosten van de informatievoorziening. Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied van informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad. De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van informatievoorziening en ICT. Wel leeft de wens om op meer terreinen samen te werken, en met name op het gebied van de back-office te outsourcen als de mogelijkheid zich voordoet. Onder invloed van de kerntakendiscussie en onder invloed van een discussie in het managementteam over de besturing van de organisatie wordt nu wel gesproken over taken die voor sourcing in aanmerking komen. De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening. Aanbeveling Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad. Norm 9: Samenwerking op het gebied van informatievoorziening met partners binnen en buiten de gemeente is door het College geformaliseerd en vastgelegd


80/97


Daar waar het toetreding tot samenwerking betreft met andere gemeenten, of deelnemingen in een andere organisatie is de gemeente Roermond aan de wettelijke verplichtingen daaromtrent. De onderzoekers hebben niet specifiek onderzocht in hoeverre de gemeente zich daaraan houdt. In het geval van Dimpact is dat wel gebeurd. De situatie in Roermond wijkt niet af van de norm en ook niet van de situatie in andere benchmarkgemeenten. Norm 10: Risico's van projecten en operationele systemen zijn volgens een standaard methodiek geanalyseerd en door het College voorzien van beheersmaatregelen. Grote risico's worden door het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld ten aanzien van wettelijke eisen, continuïteit, beveiliging en kosten). De gemeente Roermond hanteert geen gestandaardiseerde methodiek ten aanzien van risicoanalyses. In de gemeente Roermond wordt niet gerapporteerd aan de Raad over operationele risico's. De situatie in Roermond wijkt hierin af van de norm. Zij wijkt niet af van de situatie in de meeste benchmarkgemeenten die geen specifieke methodiek hanteren voor het analyseren van risico's van operationele systemen. en daarover ook niet standaard rapporteren aan de Raad. Aanbeveling Het verdient aanbeveling om de risico's van operationele systemen te analyseren volgens een geaccepteerde standaard en om rapportages in samenvattende vorm aan de Raad ter beschikking te stellen. Norm 11: In de overeenkomsten die het College afsluit met leveranciers op het gebied van informatievoorziening, zijn zaken als beschikbaarheid en kwaliteit van de dienstverlening smart gespecificeerd. Er zijn afspraken gemaakt over periodieke rapportages. Deze norm wordt behandeld bij par 4.5, cluster 3: Beheer en exploitatie van de informatievoorziening

Conclusies en aanbevelingen cluster 2b Norm 1: De gemeente heeft een beleid voor informatiebeveiliging en privacybescherming dat richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving en dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot voor privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers. De gemeente Roermond beschikt over een ICT-beveiligingsbeleid, dat overeenstemt met het hier bedoelde ICT-beveiligingsbeleid. Het ICT-beveiligingsbeleid van de gemeente Roermond is gebaseerd op de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007 (editie november 2007) en op gerelateerde wet- en regelgeving. In de geactualiseerde versie die binnenkort wordt


81/97


voorgelegd aan het College worden relevante wetswijzigingen meegenomen. Het ICTbeveiligingsbeleid bevat de vastlegging van verantwoordelijkheden en bevoegdheden met betrekking tot privacybescherming en informatiebeveiliging. Het beleid is verder uitgewerkt in een ICT-beveiligingsplan, continuïteitsplan en uitwijkplan GBA/BAG. De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad vastgesteld. Het beleid voor ICT-beveiligingsbeleid van de gemeente Roermond is vastgesteld door het College, niet door de Raad. Dit geldt ook voor het gerelateerde ICT-beveiligingsplan, Continuïteitsplan en Uitwijkplan GBA en BAG. De situatie in Roermond wijkt hiermee af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Het verdient aanbeveling om de betrokkenheid van de Raad bij het ICT-beveiligingsbeleid te vergroten, dan wel tenminste te informeren over de wijze waarop de gemeente haar beveiliging heeft geregeld. Dit gezien het toenemende belang van informatievoorziening voor de continuïteit van de organisatie, en de toenemende dreigingen op het gebied van cybercriminaliteit, en hacking. Grotere betrokkenheid zal ook leiden tot bewustwording bij de Raad op dit vlak. Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen in de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in managementoverleggen. In het ICT-beveiligingsbeleid en ICT-beveiligingsplan besteedt de gemeente Roermond aandacht aan de bewustwording en borging van het veiligheidsbewustzijn. Het is niet duidelijk geworden in hoeverre dit ook actief gebeurt in de zin zoals hierboven bedoeld. De situatie in Roermond wijkt hierin, in ieder geval in formele zin, niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Om dezelfde reden als bij norm 2 verdient het aanbeveling, om medewerkers periodiek te informeren en betrekken bij beveiligingsbeleid en hen ook te informeren als er zich ernstige incidenten hebben voorgedaan. Dit om het veiligheidsbewustzijn te vergroten en te onderhouden. Norm 4: Het College toetst periodiek de verleende toegangsrechten tot informatie/informatiesystemen. Van alle uitgegeven en actieve identiteiten (accounts) wordt gecontroleerd of deze toebehoren aan personen die inderdaad voor de organisatie werken. Van


82/97


elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten heeft. Het beleid voorziet in periodieke toetsing van de gebruikersregistraties. De Management Letter Interim Controle 2011 constateert echter enige tekortkomingen in het toegangsbeheer met betrekking tot de applicaties. Hierop is actie ondernomen, en enkele acties staan in de planning. Het applicatiebeheer is nog grotendeels decentraal georganiseerd in Roermond. Roermond heeft de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren. Daarnaast heeft Het beleid in Roermond voldoet aan de norm. De Management Letter Controle 2011 laat zien dat het belangrijk is om alert te blijven op een strikte uitvoering in deze. Tegelijkertijd laat de reactie van de organisatie op de constateringen uit de Management Letter Controle 2011 zien dat zij in staat is om adequaat te reageren. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICTbeveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College. Norm 5: De status van de technische beveiliging van ICT systemen wordt jaarlijks door een (onafhankelijke) partij getoetst. Het ICT-beveiligingsbeleid voorziet in een jaarlijkse audit namens het College. Deze audit wordt ook uitgevoerd, zij het dat de audit van 2011 gespreid is over 2011 en 2012 i.v.m. de verhuizing. De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar. Norm 6: De effectiviteit van de afscherming van systemen wordt gemonitord zodat ongewenst verkeer en indringers kunnen worden gedetecteerd. Rapportage hierover vindt plaats via de rapportagecyclus van dienstverleningsovereenkomsten. Het ICT-beveiligingsbeleid voorziet in periodieke toetsing en monitoring van de afscherming van systemen. Hierover wordt eens per jaar samenvattend gerapporteerd aan het College. De situatie in Roermond wijkt hierin af van de norm. In de zin dat slechts één keer per jaar wordt gerapporteerd aan het College. Aanbeveling Het verdient aanbeveling om via de rapportagecyclus van de dienstverleningsovereenkomsten te rapporteren over incidenten. Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie en privacy te detecteren en er is een organisatie om die te behandelen. Het ICT-beveiligingsbeleid in een calamiteitenprocedure bij beveiligingsincidenten. Hier is ook een organisatie voor aanwezig met als eerste aanspreekpunt de helpdesk. De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar.


83/97


Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de risico's geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden afspraken gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van de beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en rapportage van performance en beveiliging (incl. incidenten); melding en behandeling van incidenten; de bewerkerovereenkomsten in het kader van de wettelijke verplichtingen voor privacybescherming. Het ICT-beveiligingsbeleid voorziet in het borgen van de beveiliging bij uitbesteding en ontwikkeling van software, de acceptatie van hardware en software en het maken van afspraken met leveranciers. De Management Letter Interim Controle 2011 constateert echter enige tekortkomingen in het wijzigingsbeheer van de applicaties. Testen worden niet altijd uitgevoerd, en soms ontbreekt de vastlegging van de goedkeuring van de eindverantwoordelijke om een applicatie in productie te nemen. Hierop is actie ondernomen, en enkele acties staan in de planning. Roermond heeft daarnaast de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren. Het beleid in Roermond voldoet aan de norm, echter in de uitvoering schiet de organisatie nog tekort. Hierover is geen benchmarkinformatie beschikbaar. Aanbeveling Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICTbeveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College.

Conclusies en aanbevelingen cluster 2c Norm 1: Projecten zijn zowel op opdrachtgevend als uitvoerend niveau verankerd in de organisatie: de (ambtelijke) opdrachtgeverrol en opdrachtnemerrol zijn gedefinieerd, in de opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn vanuit hun functie bevoegd tot het uitvoeren van de opdrachtgeversrol, c.q. opdrachtnemerrol. De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook niet af van de situatie bij de benchmarkgemeenten. Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur op basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in beeld zijn gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de organisatie betrokken. Het uitwerken van business case gebeurt alleen bij de hele grote projecten.


84/97


De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt ook af van enkele benchmarkgemeenten die wel structureel met business cases werken. De meeste benchmarkgemeenten doen dit echter net als Roermond alleen bij de grote projecten. Aanbeveling Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten waarbij altijd een business case gemaakt moet worden. Op die manier kunnen beter onderbouwde afwegingen gemaakt worden ten aanzien van investeringen en in de besluitvorming rond projecten. In het algemeen is het goed om medewerkers vertrouwd te maken met het maken van (globale) business cases voor projecten. Norm 3: De uiteindelijke oplossingsrichting via een project sluit aan op de beleidskaders van de gemeente. Het principe daarbij is: Pas-toe-of-verklaar. De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook niet af van de situatie in de meeste benchmarkgemeenten. Norm 4: Binnen de gemeente wordt een vaste methodiek voor de planning, uitvoering en beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op de standaarden van de organisatie en Quality Control is binnen het project ingericht. De gemeente hanteert een vaste projectmethodiek die aansluit op de standaarden van de organisatie. De situatie in Roermond wijkt hierin niet af van de norm. Deze wijkt ook niet af van de situatie in de benchmarkgemeenten. Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in herkenbare termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct verbetervoorstellen gedaan, dan wel beheersmaatregelen in gang gezet. In de projectmethodiek die de onderzoekers hebben ingezien (de AMI-methode) wordt summier aandacht besteed aan een risicoanalyse én beheersmaatregelen. In de technische ICT projecten is een risicoanalyse altijd een standaard onderdeel van het project implementatie document. Bij de grote projecten die de onderzoekers hebben ingezien zijn dergelijke risicoanalyses en beheersmaatregelen ook gemaakt en benoemd. Met betrekking tot de risicoanalyse en het benoemen van beheersmaatregelen wijkt de formele situatie in Roermond af van de norm, maar de praktijksituatie niet. Deze situatie wijkt af van de situatie in de meeste benchmarkgemeenten die gebruik maken van PRINCE2 als projectmethodiek waarin veel aandacht is voor risicoanalyses en beheersmaatregelen. Aanbeveling Het verdient aanbeveling om de formele situatie in dit geval meer in overeenstemming te brengen met de praktijk zoals hierboven beschreven.


85/97


Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote projecten rapporteert het College de grote risico's aan de Raad. De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. In de gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn. De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt. Aanbeveling Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden.

Conclusies en aanbevelingen cluster 3 Norm 1: Er is een helpdesk die gebruikers ondersteund in het dagelijks gebruik van systemen (w.o. voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van dienstverlening door de helpdesk zijn vastgelegd in dienstverleningsovereenkomsten tussen de directie middelen en de lijnorganisatie. Roermond maakt gebruik van de internationaal geaccepteerde standaard ITIL voor de inrichting van haar beheer processen. Deze zijn ingericht en worden ondersteund met een softwarepakket. De documentatie rondom de beheerprocessen en betreffende dienstverleningsovereenkomsten is nog in ontwikkeling en moet nog formeel worden vastgesteld. Met betrekking tot de inrichting van de beheerprocessen wijkt Roermond niet af van de norm. Zij wijkt hierin ook niet af van de benchmarkgemeenten die ook allemaal hun beheerprocessen volgens ITIL hebben ingericht. De situatie wijkt wel af van de norm en van de situatie in de benchmarkgemeenten waar het gaat om de formalisering van de beheerprocessen en de bijbehorende dienstverleningsovereenkomsten. Aanbeveling Het verdient aanbeveling om zo spoedig mogelijk de afstemming met de gebruikersorganisatie te komen tot formalisering van de beheerprocessen en de gerelateerde interne dienstverleningsovereenkomsten (SLA's). Norm 2: Er is een norm vastgesteld voor de dagelijkse performance/beschikbaarheid van systemen. Deze wordt gemonitord en bij afwijkingen bijgestuurd.


86/97


Uit de beschikbare informatie wordt niet duidelijk of er een expliciete norm is voor de performance/beschikbaarheid van systemen. Wellicht is hier een en ander over opgenomen in het nog vast te stellen SLA. Wat wel duidelijk is, is dat Roermond de beschikbaarheid van systemen vanuit het oogpunt van informatiebeveiliging en uitwijk integraal georganiseerd heeft. De (meeste) benchmarkgemeenten hebben interne dienstverleningsovereenkomsten waarin een en ander is vastgelegd over de beschikbaarheid en de performance van de meest bedrijfskritische applicaties Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorzieningdiensten beschikbaar. Er is een producten/dienstencatalogus beschikbaar via het interne intranet ten behoeve van de gebruikersorganisatie. De situatie in de gemeente Roermond wijkt hierin niet af van de norm. Zij wijkt ook niet af van de situatie bij de benchmarkgemeenten die allemaal ook een PDC beschikbaar hebben gesteld aan hun gebruikersorganisatie.

Norm 4: Er is een expliciet vastgesteld sourcingbeleid en –strategie, de uitvoering hiervan wordt gemanaged. De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van informatievoorziening en ICT. De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening. Aanbeveling Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad.


87/97



88/97


B

Geraadpleegde documentatie Aanpassing Europese Drempelbedragen van het aanbestedingsbeleid, voorstel voor de B&W-vergadering van 23 december 2011 Aanpassing van het gemeentelijk aanbestedingsbeleid, voorstel voor de B&W-vergadering van 23 november 2010 Aansluitprocedure & opstartplan acceleratie programmaplan ED, Roermond, juni 2011 Accountantsverslag 2010, gemeente Roermond Afdelingsplan facilitaire zaken gemeente Roermond, 2012 Begrotingen 2007-2012, gemeente Roermond Beleef Roermond! Dienstverleningsconcept gemeente Roermond Bijlagenboek begroting 2012, gemeente Roermond Centralisatie applicatie- en gegevensbeheer, voorstel voor het managementteam van 15 februari 2012 Checklist informatiemanagement beleid gemeenten Roermond, 11-02-2010 Coalitieakkoord 2010 – 2014, slagvaardig en spaarzaam College Uitvoeringsprogramma 2007 – 2010, thema’s 1 t/m 6 Continuïteitsplan ICT en electriciteit gemeente Roermond, versie 2.2, maart 2012 Contractenbeheer in de gemeente Roermond, 6 maart 2009 Doorelichting van organisatie en inrichting van gegevens- en applicatiebeheer van de gemeente Roermond 2011 EnableU, Quick scan voor de gemeente Roermond, november 2010 Evaluatienotitie vernieuwen telefonie, gemeente Roermond, 09-12-2011 Financiële kadernota’s 2007 - 2011, gemeente Roermond Format Project Initiatie Document, datum onbekend Format voor projectafweging, datum onbekend H3 Budgettaire kaders, 3.1 uitgangspunten meerjarenbegroting 2008-2011 Herinrichting sector BMO 2007 ICT beveiligingsbeleid, versie 2.1, gemeente Roermond, juni 2009 ICT-beveiligingsplan, versie 2.3, gemeente Roermond, januari 2010 Ingebruikneming contractenmodule FMIS in Axxerion, voorstel aan het managementteam 5 augustus 2010 Inventarisatiedocument mogelijkheden Navigus (inclusief kopie van timetable en evaluatie implementatie Navigus), versie 2.0, gemeente Roermond I-visie 2011 gemeente Roermond, 02-03-2011, versie 1.3 I-visie 2007-2011 gemeente Roermond Jaarrekeningen 2007 – 2010, gemeente Roermond Kadernota ICT 2003, afdeling Informatievoorziening gemeente Roermond, juni 2003 KCC-visie 2011 Kredietrapportage 2011 + bijlagen Lijst met applicaties, 01-12-2011


89/97


Managementletter Interimcontroles 2010 – 2011, gemeente Roermond Onderzoeksrapport Acceleratie programmaplan ED gemeente Roermond, maart 2011 Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze aannemer/leverancier/bureau, gemeente Roermond, 01-01-2012 Planning & Control cyclus 2009 – 2012, gemeente Roermond Product-dienstenaanbod voor burgers en bedrijven op de website van de gemeente Roermond Programmabegrotingen 2007 t/m 2012, gemeente Roermond Programmaplan excellente dienstverlening, gemeente Roermond, januari 2010 Project start-up 15 April 2011 (powerpoint sheets) Projectplan 'Accelleratie Excellente Dienstvelening Projectplanproject implementatie Dimpact Projectplan Implementatie IP telefonie, versie 1.0, gemeente Roermond, 15 maart 2011 Projectplanning Roermond, 22-09-2011 Raadsbesluiten P&C-cyclus periode 2007-2012 Raadsinformatiebrief inzake aanpassing van het gemeentelijk aanbestedingsbeleid, 24 november 2010 Schaatsen op dun ijs, doorlichting van organisatie en inrichting van gegevens- en applicatiebeheer van de gemeente Roermond, inclusief aanbevelingen, 29 augustus 2010 Service Level Agreement datatransport en toegevoegde waarde diensten Gemnet b.v. SLA Baas Telemica, 3 november 2003 Strategische visie Roermond 2020, Roermond investeert in haar toekomst Testplan telefonie, versie 0.1, gemeente Roermond, 14-09-2011 Totaaloverzicht ontwikkeling Programmaplan Excellente Dienstverlening Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, voorstel aan het managementteam 9 mei 2007 Uitkomsten gemeentemonitor “Waar staat je gemeente.nl” Uitwijkplan gemeentelijke BasisAdministraties en Basisregistraties Adressen en Gebouwen, versie 2.4, gemeente Roermond, 9 januari 2012 Visie Klant Contact, gemeente Roermond, 7 januari 2011 Voorstel aan het Managementteam van de afdeling BMO/POI, second opinion ED, 17 juni 2011 Voorstel Raadtoetreding tot coöperatieve vereniging Dimpact, 11 juli 2011 Waar staat je gemeente, rapportage 2008 en 2010


90/97


C

Lijst geïnterviewde personen Dhr. V. Zwijnenberg, wethouder Dhr. H. Geraedts, Gemeentesecretaris Dhr. J. Vervuurt, Griffier Dhr. F. Laumen en dhr. G. Gootzen, teamleider, respectievelijk projectleider ICT Dhr. J.W. Koppers, B. Claassen en J. Hendrix, Programmaleider Excellente Dienstverlening, respectievelijk adviseur Informatiemanagement en teamleider bedrijfsvoering sociale zaken. Dhr. U. Weyergraf, Directeur Sector Bedrijfsmiddelen en Organisatie Dhr. W. Kaldenhoven en G. Huijs, concerncontroller, respectievelijk adviseur informatiemanagement


91/97



92/97


D

MISSIE DOELEN EN STRATEGISCHE KEUZES UIT DE I-VISIE Missie Zorg dragen voor een efficiënte, kwalitatief hoogwaarde informatievoorziening die voorbereid is op toekomstige ontwikkelingen. Doelen •

Een efficiënte en effectieve informatievoorziening

•

Een toegankelijke informatievoorziening

•

Een kwalitatief hoogwaardige informatievoorziening

•

Een professionele informatievoorziening

•

Een stabiele en veilige informatievoorziening

•

Een klant- en gebruiksvriendelijke informatievoorziening

Strategische keuzes De I-visie kent 13 strategische keuzes: 1.

De gemeente Roermond conformeert zich aan de doelstellingen van de landelijke programma’s zoals NUP, Antwoord© en NOIV en conformeert zich aan de uitgangspunten en doelstellingen van de landelijke sturingsprogramma’s NORA en EGEM;

2.

De gemeente Roermond biedt transparantie van zaken door zaakgericht werken;

3.

De gemeente Roermond biedt op een efficiënte en effectieve wijze uniforme dienstverlening aan via verschillende kanalen;

4.

De gemeente Roermond ontwikkelt zich tot dé poort van de overheid;

5.

De gemeente Roermond sluit aan op e-overheidsvoorzieningen (volgens NUP);

6.

De gemeente Roermond werkt procesgericht en maakt daarbij gebruik van de standaardprocessen die binnen GEMMA zijn ontwikkeld en door KING worden ondersteund;

7.

De gemeente Roermond ondersteunt tijd- en plaatsonafhankelijk werken;

8.

De gemeente Roermond beveiligt haar informatievoorziening volgens het beginsel van zorgvuldig en rechtmatig gebruik;

9.

De gemeente Roermond sluit aan op het stelsel van basisregistraties en zorgt daarmee voor ontsluiting en gebruik van basisgegevens;

10. De gemeente Roermond gaat voor maximaal digitaal en 24/7 dienstverlening; 11. De gemeente Roermond hanteert voor haar gegevenshuishouding enkelvoudige inwinning (bij de bron), meervoudig (verplicht) gebruik; 12. De gemeente Roermond gaat voor samenwerking op het gebied van informatievoorziening; 13. De gemeente Roermond sluit aan bij moderne en gangbare ICT technologieën.


93/97



94/97


E

BEKNOPTE OMSCHRIJVING VAN DE ONTWIKKELINGEN BESCHREVEN IN DE I-VISIE In de I-visie worden de volgende ontwikkelingen meegenomen: Maatschappelijke ontwikkelingen zoals toename van informatie, behoefte aan plaatsen tijdonafhankelijke dienstverlening, de vorming van nieuwe sociale structuren, veranderende communicatie, toenemende verwachtingen van de burger t.a.v. dienstverlening, de verwachting van de burger dat overheidsinformatie betrouwbaar is, en de veranderende rol van de lokale overheid, die steeds vaker in samenwerking met anderen haar doelen zal moeten realiseren. ICT-ontwikkelingen zoals 'software as a service' (SAAS), waarbij de organisatie gebruik maakt van software die elders wordt gehost, en betaalt voor het gebruik; cloudcomputing waarbij via het internet gebruik wordt gemaakt van zowel hard- als software van derden; service oriented architecture (SOA) gegevens makkelijker door verschillende systemen kunnen worden gebruikt; toename van het gebruik van social media als bron van informatie en manier om informatie te delen; de toename van het gebruik van apps op mobiele telefoons en tablets voor dienstverlening; virtualisatie, een techniek om het gebruik van technische bronnen te optimaliseren; het standaardiseren en generiek maken van systemen t.b.v. gegevensuitwisseling met name binnen de overheid; toenemend gebruik van open source en open standaarden waardoor de afhankelijkheid van leveranciers afneemt; het creëren van gegevensmodellen en voorzieningen om 24/7 dienstverlening te faciliteren. Landelijke programma's op het gebied van de e-overheid zoals het Nationaal Uitvoeringsprogramma voor de e-overheid (NUP); Antwoord@, gericht op het stroomlijnen van de overheidsinformatievoorziening; het NOiV, het landelijk programma dat zich richt op het stimuleren van open standaarden en open source software door overheden; en de referentiearchitecturen NORA en GEMMA voor het inrichten van de informatievoorziening. Visie op dienstverlening van de gemeente Roermond: In haar Strategische visie Roermond 2020 geeft de gemeente aan te streven naar 'Excellente dienstverlening'. Dit streven is vertaald in het dienstverleningsconcept Beleef Roermond!, en een Programma Excellente Dienstverlening. Het dienstverleningsconcept en het programma “Excellente Dienstverlening” stellen eisen aan de informatievoorziening en de ontwikkeling hiervan. In de I-visie zijn de zes 6 kernprincipes van het dienstverleningsconcept vertaald naar de gevolgen voor de informatievoorziening. Het gaat om de kernprincipes: 'toegankelijk', 'op maat', 'ontvankelijk', 'geïntegreerd', 'eigentijds', en 'met garanties'. Interne ontwikkelingen zoals het mogelijk maken van plaatsen tijdonafhankelijk werken voor medewerkers; verbeteren van privacy en beveiliging; het benutten van ICT voor het efficiënter en effectiever maken van processen; het introduceren van tools om medewerkers van dienst te zijn bij het vinden van hun weg in de al maar toenemende hoeveelheid informatie; zorgen voor


95/97


voldoende kennis op het gebied van informatievoorziening; de toenemende behoefte aan samenwerking tussen gemeenten op zowel het gebied van ICT, als andere beleidsterreinen; en de inzet van Business Intelligence tools om informatie op een voor de gebruiker relevante manier te ontsluiten en presenteren. Deze ontwikkelingen zijn vertaald naar de volgende missie en doelen voor de informatievoorziening van de gemeente Roermond en voorzien van strategische keuzes die in het stuk nader worden toegelicht. Aan het eind van de I-visie wordt kort ingegaan op het vervolgproces.


96/97


F

RELEVANTE WET- EN REGELGEVING BEVEILIGINGSBELEID Het beveiligingsbeleid dient te voldoen aan wetgeving en bijbehorende uitvoeringsbepalingen. Wet- en regelgeving die gehanteerd zijn als uitgangspunt en richtlijn voor het beveiligingsbeleid zijn: •

Wet Bescherming Persoonsgegevens

•

Wet GBA (Gemeentelijke Basis Administratie)

•

Archiefwet 1995

•

Archiefbesluit 1995

•

Regeling geordende en toegankelijke staat en archiefbescheiden

•

Regeling duurzaamheid van archiefbescheiden

•

Archiefverordening gemeente Roermond 2007

•

Besluit Informatiebeheer Roermond 2007

•

Wet Computer Criminaliteit 2006

•

Auteurswet

•

Wet Openbaarheid van Bestuur (WOB)

•

Algemene Wet Bestuursrecht (AWB)

•

Besluit Begroten en Verantwoorden (BBV) uit 2003

•

Regeling Arbeidsvoorwaarden gemeente Roermond (RAGR)

•

Wet Basisregistraties adressen en gebouwen


97/97

Colofon. Samenstelling Rekenkamercommissie

Recommend Documents