Kwaliteitsborging bij gemeentelijke basisregistraties

Kwaliteitsborging bij gemeentelijke basisregistraties Afstudeerscriptie van Ernst van Goethem vrije Universiteit amsterdam Postgraduate IT Audit Opleiding Teamnummer: 723 Versie: 1.0

Onderzoeker:

E.W.A. van Goethem

Studentnummer:

9981080

Opdrachtgever:

Gemeente Zaanstad

Scriptiebegeleider

Dr. René Matthijsse

Bedrijfsbegeleider:

M.A. Zaal-Geels RE (Gemeente Alkmaar)

Datum:

29 maart 2007

Voorwoord Voor u ligt het eindresultaat van mijn afstudeeronderzoek in opdracht van de gemeente Zaanstad. De afgelopen tijd is echt omgevlogen. Ondanks de snelheid waarmee het onderzoek verlopen is, is er veel werk verzet. In dit rapport vindt u een onderzoek naar kwaliteitsborging van authentieke basisregistraties binnen het gemeentelijke domein. Het schrijven van deze scriptie is aan de ene kant wel een individualistische aangelegenheid geweest, maar was zeker niet mogelijk geweest zonder bijdragen van anderen. Een woord van dank is dan ook zeker op zijn plaats. Als eerste wil ik mijn dank uitspreken aan Mireille Zaal-Geels, die mij geholpen heeft bij de zoektocht naar een geschikt onderwerp voor mijn scriptie en voor het lezen, corrigeren en de verdere hulp bij het onderzoek. Verder wil ik Ralf Meelkers bedanken voor helpen bij het verder concretiseren van het onderwerp van mijn scriptie en voor de ervaring en benodigde informatie en tijd waar ik gebruik van heb mogen maken. Verder wil ik mijn scriptiebegeleider vanuit de universiteit, Rene Matthijsse, bedanken voor de enthousiaste begeleiding en het geven van inhoudelijke sturing. Zijn enthousiasme en vertrouwen gaven mij telkens weer het geloof en stimulans om verder te gaan. Verder wil ik alle contactpersonen en geïnterviewden die hebben bijgedragen aan het onderzoek oprecht bedanken voor hun inbreng en tijd. Niet alleen voor mijzelf, maar ook voor mijn gezin en familie was het schrijven van deze scriptie een grote opgave. Ik wil hen bedanken voor hun begrip, belangstelling en ondersteuning die zij hierbij hebben getoond.

Ernst van Goethem Zaanstad, 31 maart 2007

Kwaliteitsborging bij gemeentelijke basisregistraties

Inhoudsopgave Inhoudsopgave ......................................................... 3 DEEL 1: Het begin 1

Probleemstelling en verantwoording ....................................... 6 1.1 1.2 1.3 1.4 1.5

Inleiding.................................................................................................................................... 6 Constatering/aanleiding ............................................................................................................ 6 Probleemstelling ....................................................................................................................... 6 Vraagstelling en onderzoeksvragen .......................................................................................... 7 Onderzoeksopzet ...................................................................................................................... 8

DEEL 2: Literatuurstudie 2

Inleiding ......................................................... 11 2.1 2.2 2.3

3

Kwaliteit ................................................................................................................................. 11 Kwaliteitsaspecten .................................................................................................................. 11 Kwaliteitszorg......................................................................................................................... 11

Ontwikkelingen Elektronische Overheid ................................... 12 3.1 Wat komt er op gemeenten af? ............................................................................................... 13 3.2 Het 'Absorptievermogen-rapport'............................................................................................ 13 3.3 EGEM rapport ‘Vermenigvuldigen door delen’ ..................................................................... 14 3.4 Het rapport Binnengemeentelijk gebruik en afname Basisbasisregistraties voor Adressen en Gebouwen“ (2006).............................................................................................................................. 14

4

Kwaliteit en auditing................................................. 16 4.1 INK-managementmodel ......................................................................................................... 17 4.1.1 Inleiding.......................................................................................................................... 17 4.1.2 Het doel .......................................................................................................................... 17 4.1.3 Het model........................................................................................................................ 17 4.1.4 Organisatiegebieden....................................................................................................... 17 4.1.5 De resultaatgebieden ...................................................................................................... 18 4.1.6 Verbetercyclus: ............................................................................................................... 18 4.1.7 De vijf ontwikkelingsfasen van een organisatie.............................................................. 18 4.2 IT-Governance........................................................................................................................ 20 4.2.1 Inleiding.......................................................................................................................... 20 4.2.2 Wat is IT-Governance?................................................................................................... 20 4.2.3 Inleiding COBIT: ............................................................................................................ 22 4.2.4 Het doel .......................................................................................................................... 22 4.2.5 Het model........................................................................................................................ 22 4.2.6 Toepassingsmogelijkheden ............................................................................................. 24 4.2.7 Cobit4 ............................................................................................................................. 24

DEEL 3: Praktijkonderzoek 5

Casestudies ....................................................... 26 5.1 Uitvoeren van casestudies....................................................................................................... 26 5.2 Case gemeente Zaanstad......................................................................................................... 26 5.2.1 Programma basisregistraties.......................................................................................... 26 5.2.2 Interviewresultaten ......................................................................................................... 27 5.3 Case gemeente Alkmaar ......................................................................................................... 28

3 Versie: 1.0


5.3.1 Programma basisregistraties.......................................................................................... 29 5.3.2 Interviewresultaten ......................................................................................................... 29 5.4 Nabeschouwing ...................................................................................................................... 31 6

Toetsing aan Cobit .................................................. 32

7

Theorie versus praktijk (knelpunten) ..................................... 34

DEEL 4: Conclusies en aanbevelingen 8

Conclusies van het onderzoek .......................................... 37 8.1

Aanbevelingen ........................................................................................................................ 38

DEEL 5:Afsluiting 9

Epiloog .......................................................... 41

BIJLAGEN Bijlage I: Literatuurlijst Bijlage II: namen van geïnterviewden Bijlage III: Interview vragenlijst

4 Versie: 1.0


DEEL 1: Het begin

5 Versie: 1.0


1 Probleemstelling en verantwoording 1.1 Inleiding In het beleid 'Op weg naar de elektronische overheid' dat in 2004 is geformuleerd wordt de regie op de landelijke basisvoorzieningen beschreven. De landelijke basisvoorzieningen zijn infrastructurele ICTvoorzieningen die elektronische diensten ondersteunen. De inspanningen om deze ICT-voorzieningen ten behoeve van de elektronische overheid te realiseren, worden verricht in vijf domeinen, die bij elkaar het model voor de openbare elektronische ‘informatie-infrastructuur’ vormen: A. B. C. D. E.

elektronische toegang tot de overheid elektronische authenticatie eenduidige nummers voor personen en voor bedrijven basisregistraties elektronische informatie-uitwisseling

Binnen deze afzonderlijke domeinen gaat het, in het kort, om: - het elektronisch beschikbaar stellen van informatie; - het toepassen van de juiste authenticatievoorziening om de informatie beschikbaar te stellen; - het gebruik van eenduidige unieke identificatienummers; - informatie die bij elkaar hoort op een plek te registreren en te verzamelen; - het uitwisselen van de gegevens in de gegevensverzamelingen. De vijf domeinen bevinden zich allen in het vakgebied van de it-auditor. De it-auditor kan adviseren bij de implementatie van de basisvoorzieningen om de beschikbaarheid, betrouwbaarheid, authenticiteit en traceerbaarheid van de gegevens/informatie te waarborgen. Het betreft onder andere de aspecten logische toegangsbeveiliging, verwerking van elektronische formulieren, centraal bewaren, up-to-date houden van de gegevensverzamelingen en het uitwisselen van deze gegevens. 1.2 Constatering/aanleiding Bij de invoering van de domeinen van openbare elektronische ‘informatie-infrastructuur’ worden veel vakgebieden betrokken, maar mogelijk niet of nauwelijks de it-auditor. Niet op landelijk niveau, maar ook niet op gemeentelijk niveau. Problemen waar de gemeenten voor staan worden mogelijkerwijs afzonderlijk opgepakt, zonder een (centrale) kwaliteitsfunctie die vanuit zijn vakgebied kan adviseren over de bewaking van de kwaliteitseisen en de vertaling van beleid naar uitvoering. 1.3 Probleemstelling Gemeenten staan op het punt om met de invoering van basisregistraties een groot veranderingstraject binnen de overheid in te gaan. Het ontbreekt mogelijk aan de juiste deskundigheid om een efficiënte en effectieve vertaling van beleid naar uitvoering te maken, rekening houdend met de kwaliteitseisen beschikbaarheid, betrouwbaarheid en traceerbaarheid, om de integriteit van de basisgegevens te borgen.

6 Versie: 1.0


1.4 Vraagstelling en onderzoeksvragen In deze paragraaf wordt het onderwerp van de scriptie verduidelijkt en de exacte vraagstelling geformuleerd. Vraagstelling Het onderzoek is bedoeld als een verkenning naar de mate waarin de integriteit van de basisgegevens wordt geborgd. In het onderzoek staat de volgende vraag centraal: Op welke wijze wordt de kwaliteitsborging van authentieke basisregistraties binnen het gemeentelijke domein op uniforme en integrale wijze gerealiseerd en getoetst ? Doelstelling is daarbij vast te stellen hoe de verschillende landelijke projecten voor iedere basisregistratie dit borgen en hoe dit door de gemeenten wordt geborgd. Daarbij zal nadrukkelijk in ogenschouw worden genomen welke bestaande modellen en/of raamwerken worden toegepast. Onderzoeksvragen -

Wat is de huidige stand van zaken van ontwikkelde hulpmiddelen en standaarden? (Door verschillende projecten en EGEM) Wat is de huidige wijze van invulling aan kwaliteitsborging bij verschillende gemeenten (huidige vertaling van beleid naar uitvoering). Wat zijn de huidige gehanteerde kwaliteitsmaatregelen of beheersingsmaatregelen? Is de huidige wijze van kwaliteitsborging toereikend? Op welke wijze kan er voor worden gezorgd dat de gemeenten de kwaliteit op de juiste wijze kunnen borgen?

7 Versie: 1.0


1.5 Onderzoeksopzet Uitgaande van de centrale vraagstelling, de daarop gebaseerde onderzoeksvragen en de geformuleerde randvoorwaarden, kan binnen de opbouw van het onderzoek in hoofdlijnen een driedeling worden onderscheiden: 1. 2.

3.

Het vaststellen van het onderzoekskader en het verzamelen van relevante literatuur en basisinformatie; Het verzamelen van aanvullend materiaal door het houden van interviews bij de verschillende projecten van het programma Stroomlijning Basisgegevens en door het houden van interviews in de (diverse) gemeentelijke praktijk(en); Het analyseren van de resultaten en de basisinformatie en het formuleren en toetsen van de resultaten.

Vaststellen onderzoekskader en verzamelen relevante basisinformatie In het eerste gedeelte van het onderzoek zal het onderzoekskader verder aangescherpt worden. Ook zal in deze fase van het onderzoek het relevante basismateriaal worden verzameld. Het verzamelen en valideren van informatie Het tweede gedeelte van het onderzoek betreft een praktijkonderzoek binnen de gemeentelijke organisatie. In deze fase van het onderzoek zullen een aantal interviews binnen verschillende gemeenten plaatsvinden. Binnen deze interviews is gezocht naar de kennis en percepties aangaande de aanvaarde standaarden uit het vakgebied IT-auditing. Om van consistentie van beelden binnen de gemeentelijke praktijk te kunnen spreken, dienen de verschillende percepties onafhankelijk van elkaar te worden verkregen. Dit is gewaarborgd door het houden van een aantal interviews binnen een aantal gemeenten. Partijen betrokken in het onderzoek: • Gemeente Alkmaar • Gemeente Zaanstad Analyse en het formuleren en toetsen van resultaten In het derde en tevens laatste gedeelte van het onderzoek worden de verschillende resultaten geanalyseerd en samengebracht tot conclusies en oplossingsrichtingen. Hierbij zijn de feiten en percepties uit het onderzoek geconfronteerd met aanvaarde standaarden uit het vakgebied IT-auditing. Op basis hiervan kunnen de belangrijkste knelpunten en oplossingsrichtingen worden geformuleerd.

8 Versie: 1.0


In welk hoofdstuk vind ik de antwoorden op de onderzoeksvragen? In onderstaande tabel is aangegeven in welke hoofdstukken de antwoorden op de verschillende onderzoeksvragen worden gegeven:

1 2

3 4 5

onderzoeksvraag Wat is de huidige stand van zaken van ontwikkelde hulpmiddelen en standaarden? (Door verschillende projecten en EGEM) Wat is de huidige wijze van invulling aan kwaliteitsborging bij verschillende gemeenten (huidige vertaling van beleid naar uitvoering). Wat zijn de huidige gehanteerde kwaliteitsmaatregelen of beheersingsmaatregelen? Is de huidige wijze van kwaliteitsborging toereikend? Op welke wijze kan er voor worden gezorgd dat de gemeenten de kwaliteit op de juiste wijze kunnen borgen?

hoofdstuk Deel 3 Deel 3

Deel 3 Deel 4 Deel 4

9 Versie: 1.0


DEEL 2: Literatuurstudie

10 Versie: 1.0


2 Inleiding Kwaliteit, wat is dat nou? En hoe kunnen we dat beheersen? Om een onderzoek naar de kwaliteitsbewaking binnen de basisregistraties uit te voeren is het noodzakelijk deze vragen te beantwoorden en een theoretisch kader voor dit onderzoek te ontwikkelen. In dit hoofdstuk behandel ik een aantal modellen, dat gebruikt zouden kunnen worden voor kwaliteitsborging. 2.1 Kwaliteit Kwaliteit is een complex begrip en kent vele facetten. Kwaliteit definieer ik in deze scriptie als: "Het geheel van eigenschappen of kenmerken van een product of dienst dat van belang is voor het voldoen aan vastgelegde of vanzelfsprekende behoeften van burgers, afnemers, gemeenten en of wetgever." Kwaliteit en kwaliteitszorg zijn gericht op: • de kwaliteit van het product; • de kwaliteit van het proces om tot het product te komen; • de kwaliteit van de ingezette dan wel in te zetten middelen. 2.2 Kwaliteitsaspecten Het begrip kwaliteit kan onderverdeeld worden in de onderstaande kwaliteitsaspecten (NOREAgeschrift 1): Effectiviteit:

Efficiency:

Exclusiviteit: Integriteit: Controleerbaarheid:

Continuïteit: Beheersbaarheid:

de mate waarin een object in overeenstemming is met de eisen en doelstellingen van de gebruikers en de mate waarin een object bijdraagt aan de organisatiedoelstellingen, zoals die in de informatiestrategie zijn vastgelegd. de verhouding tussen de gerealiseerde kosten en de begrote kosten per object. De begrote kosten zijn daarbij de kosten die voorgenomen zijn voor het realiseren van het uit de organisatiedoelstellingen voortvloeiende gewenste prestatieniveau van het object. de mate waarin uitsluitend geautoriseerde personen of apparatuur via geautomatiseerde procedures en beperkte bevoegdheden gebruikmaken van IT-processen. de mate waarin het object (gegevens en informatie-, technische- en processystemen) in overeenstemming is met de afgebeelde werkelijkheid. de mate waarin het mogelijk is kennis te verkrijgen over de structurering (documentatie) en werking van een object. Tevens omvat dit kwaliteitsaspect de mate waarin het mogelijk is vast te stellen dat de informatieverwerking in overeenstemming met de eisen ten aanzien van de overige kwaliteitsaspecten is uitgevoerd de mate waarin een object continu beschikbaar is en de gegevensverwerking ongestoord voortgang kan hebben. de mate waarin het object kan worden aangestuurd en/of bijgestuurd, zodat het object bij voortduring aan de daaraan gestelde eisen kan voldoen.

Opgemerkt wordt dat in de literatuur de kwaliteitsaspecten exclusiviteit, integriteit en controleerbaarheid ook wel worden aangeduid onder de noemer ”betrouwbaarheid”. 2.3 Kwaliteitszorg De gecoördineerde activiteiten om een organisatie te sturen en te beheersen met betrekking tot kwaliteit. Kwaliteitszorg is: − De juiste dingen doen en deze goed doen − Georganiseerde zorgvuldigheid − Voldoen aan gerechtvaardigde verwachtingen van de cliënt met behoud van professionele verantwoordelijkheid binnen een wederzijds respectvolle relatie − Het telkens toepassen van de cirkel van Deming: de cyclische opvolging van planning, uitvoering, evaluatie en bijstelling, waarna borging zorgt voor bestendiging.

11 Versie: 1.0


3 Ontwikkelingen Elektronische Overheid Medio 2004 heeft het kabinet de notitie Op weg naar de Elektronische Overheid uitgebracht. In zeven domeinen worden daarin op hoofdlijnen de onderdelen en de samenhangende structuur van de Elektronische Overheid geschetst: 1. elektronische toegang tot de overheid; 2. elektronische authenticatie (is de 'klant' wie hij zegt te zijn); 3. éénduidige nummers voor personen en voor bedrijven; 4. landelijke basisregistraties; 5. elektronische identificeringsmiddelen (zoals chipcards); 6. elektronische informatie-uitwisseling; 7. snelle verbindingen tussen overheidsorganisaties. Doelstellingen van de elektronische overheid zijn dus o.a. de vermindering van de administratieve lasten voor burgers en bedrijven en het verhogen van de transparantie en de doelmatigheid. Uitgangspunten hiervoor zijn: - De overheid is transparant; - eenmalige gegevensverstrekking; - niemand 'van het kastje naar de muur'; - vermindering van de administratieve lasten; - alle kanalen open (multi channel); - Gemeenten als poort tot 'de' overheid. Het realiseren van een eigen Elektronische Gemeente is niet eenvoudig. Het gaat om meerdere oplossingen, zowel voor de werkprocessen als de informatiesystemen. Het gaat om de inrichting van de basisregistraties (backoffice), maar ook om de frontoffice (e-formulieren, e-berichten en e-processen) en het architectuurmodel gemeentelijke e-dienstverlening (midoffice). De architectuur voor de elektronische overheid ziet er als volgt uit:

Bron: EGEM

12 Versie: 1.0


3.1 Wat komt er op gemeenten af? In de eerste helft van 2006 zijn op landelijk niveau nadere bestuurlijke afspraken gemaakt over ambities en de implementatie van de Elektronische Overheid. Deze afspraken zijn vastgelegd in de op 18 april 2006 ondertekende Verklaring 'Betere dienstverlening, minder administratieve lasten met de elektronische overheid'. De partijen die de Verklaring ondertekenden waren onder andere de Vereniging Nederlandse Gemeenten en het Kabinet. Bij de Verklaring hoort een uitvoeringsagenda die meerjarenafspraken bevat. Prioriteit krijgt het ontwikkelen en verder uitrollen van landelijke basisvoorzieningen en het hierop aansluiten van de gemeenten. Deze basisvoorzieningen (met over het algemeen een wettelijke basis) zijn: • de nieuwe Gemeentelijke Basis Administratie; • het Basisregister Adressen en Gebouwen; • het BurgerServiceNummer (BSN) en het BedrijvenNummer (BN); • DigiD en de elektronische Nationale Identiteitskaart (eNIK); • het Nieuw Handelsregister; • de basisregistraties Eigendommen (kadaster) en Kaarten; • het Bedrijvenloket; • de landelijke e-formulierenvoorziening; • het digitale omgevingsloket. Een belangrijke ontwikkeling is ook het advies van de VNG-commissie Gemeentelijke Dienstverlening, ook wel de Commissie Jorritsma genoemd. De kern van deze in 2005 verschenen visie op de gemeentelijke dienstverlening, met als titel: Publieke Dienstverlening, Professionele gemeenten, is dat de gemeenten binnen tien jaar dé poort tot de overheid zijn. Dit streven is vertaald naar een aantal actiepunten die dit mogelijk moeten maken en die volgens het advies in 2015 gerealiseerd moeten zijn. Enkele van die actiepunten zijn: • binnen 10 jaar bedienen gemeenten hun klanten via meerdere kanalen. Gemeenten sturen er op dat zoveel mogelijk gebruik gemaakt gaat worden van self-service via het web. Er is dan • binnen 10 jaar werken gemeenten optimaal samen met zowel publieke- als private ketenpartners; • binnen 10 jaar maken gemeenten gebruik van shared services: er zijn dan vergaande afspraken gemaakt over standaard-processen en –produkten, over de wijze van samenwerken en over gezamenlijk opdrachtgeverschap. De visie van de commissie Jorritsma dat de gemeenten in 2015 dé ingang zijn voor alle burgers, bedrijven en instellingen is overgenomen in de hiervoor genoemde Verklaring Betere dienstverlening, minder administratieve lasten met de elektronische overheid. 3.2 Het 'Absorptievermogen-rapport' Vanuit het Ministerie van BZK en de Vereniging van Nederlandse Gemeenten is aan Capgemini / CPI gevraagd een strategisch onderzoek uit te voeren naar het absorptievermogen van gemeenten met betrekking tot de implementatie van ICT-vernieuwingen voor de elektronische overheid De centrale vraag bij het rapport is: Zijn gemeenten in staat de op hen afkomende ICT - vernieuwingen adequaat en tijdig te implementeren, mede gezien de inspanningen die er vanuit de diverse programma’s en projecten worden geleverd om hen daarin te ondersteunen. [Duivenboden 2005] In het rapport werd de conclusie getrokken dat de meeste gemeenten hun bestaande informatiehuishouding grondig en organisatiebreed moeten vernieuwen. Het rapport signaleerde dat een belangrijk deel van de noodzakelijke vernieuwingen voortvloeit uit landelijke projecten die uitvoering geven aan het rijksbeleid voor het thema Elektronische Overheid. Een ander deel echter is het gevolg van sectoraal landelijk beleid, soms uitmondend in nieuwe wetgeving, met duidelijke ICT-gerelateerde implicaties voor gemeenten. Vastgesteld werd dat de interne

13 Versie: 1.0


gemeentelijke organisatie over het algemeen onvoldoende is ingericht op het absorberen van alle aan de orde zijnde vernieuwingen. Als hoofdoorzaken werden genoemd: • het verkokerde karakter (vooral van grotere gemeenten); • het imago dat ICT heeft als bedrijfsvoeringmiddel in plaats van beleidsvoeringinstrument; • het ontbreken van bestuurlijke aandacht; • het te laag of niet breed genoeg in de organisatie beleggen van de verantwoordelijkheid voor de noodzakelijke vernieuwingen. Vastgesteld werd dat het totaal aan ontwikkelingen niet alleen een groot beroep doet op de gemeentelijke ICT-medewerkers, maar juist ook op bestuurders, managers en medewerkers van beleidsuitvoerende afdelingen. Er is een gemeentebreed traject van organisatieontwikkeling nodig. Bestuurders en managers zouden daarbij beslissingen moeten nemen over het geven van prioriteit aan de door te voeren vernieuwingen. Het rapport eindigde met aanbevelingen voor het vergroten van het absorptievermogen van gemeenten. De belangrijkste zijn: • koppel de ICT-vernieuwingsagenda aan de lokale politiek-bestuurlijke agenda en laat gemeenten een afdelingsoverstijgend ICT-beleidsartikel in hun begroting opnemen; • besteed op landelijk niveau meer aandacht aan op bestuurders en managers gerichte ondersteuning; • herpositioneer de rol van informatievoorziening binnen gemeentelijke organisaties. Gemeenten moeten ICT niet langer opvatten als bedrijfsmiddel, maar als middel voor beleidsvoering en vernieuwing in die beleidsvoering. Geef dit voldoende bestuurlijke aandacht en zorg voor een informatiemanager op directieniveau. 3.3 EGEM rapport ‘Vermenigvuldigen door delen’ Samenwerking wordt in 'puzzelen met prioriteit' genoemd als oplossing om de vele ICTontwikkelingen uit de spreekwoordelijke Ballenbak het hoofd te bieden. Maar hoe kunnen gemeenten prioriteiten stellen en hoe kan samenwerking als vehikel dienen. [ZENC 2007] De belangrijkste conclusies uit dit onderzoek zijn: ICT-Samenwerking leeft: bijna de helft van de Nederlandse gemeenten heeft aangegeven inmiddels samen te werken in één of andere vorm op het vlak van ICT. ICT-samenwerking op de vlakken Automatisering en Informatisering: Samenwerking vindt weinig plaats op het vlak van de organisatie; het wordt veelal beperkt tot de gezamenlijke inkoop van software en hardware. ICT-samenwerking vanuit verkeerde motieven: Een groot deel van de gemeenten gaan samenwerken om financieel het hoofd boven water te houden, zowel in kosten als capaciteit. Visie ontbreekt: een duidelijke visie op ICT in het algemeen en samenwerking in het bijzonder ontbreekt. Samenwerking start vanuit de sector en heeft bestuurlijke commitment nodig: Niet de door Iprofessionals zelf gestarte ICT-samenwerking, maar de vanuit de sector gestarte samenwerking biedt de beste kansen op continuïteit. Ook de aanwezigheid van de bestuurlijke en sectorale commitment is bepalend voor het succes. 3.4 Het rapport Binnengemeentelijk gebruik en afname Basisbasisregistraties voor Adressen en Gebouwen“ (2006) Binnen gemeenten wordt veel aandacht gegeven aan de inrichting van de basisbasisregistraties. Echter is er nog weinig aandacht gegeven aan het binnengemeentelijke gebruik van basisbasisregistraties (de afnemers). [VROM 2006]

14 Versie: 1.0


Het rapport “Binnengemeentelijk gebruik en afname Basisbasisregistraties voor Adressen en Gebouwen“ had o.a. de doelstelling om inzicht verschaffen in de belangrijkste knelpunten bij het realiseren van binnengemeentelijk gebruik van de basisregistraties. Belangrijkste knelpunten Er is onvoldoende communicatie vanuit de landelijke projecten over de consequenties voor de afnemer. Afnemers zijn zich nog niet bewust van deze consequenties en hun vernieuwende rol als afnemer. Er zijn verschillen in perceptie van begrippen tussen de basisregistraties en de afnemers. Er worden problemen verwacht bij de koppelingen tussen de basisregistraties en de afnemende systemen. Doordat afnemers zich nog niet bewust zijn van de consequenties zijn nog niet alle knelpunten helder. Belangrijkste behoefte: Er dient duidelijkheid gecreëerd te worden over de mogelijkheden en verplichtingen van de afnemer. Er dienen eenduidige afspraken gemaakt te worden over de afkortingen en teksten die in een veld gehanteerd mogen worden. Ten aanzien van de afname van de gegevens uit de basisregistraties bestaat er een duidelijke behoefte om in de applicatie van de afnemer direct gebruik te kunnen maken van gegevens uit de basisregistraties. Voor voldoening aan de terugmeldingsplicht is de behoefte om direct in de applicatie (van de basisregistratie) melding van veronderstelde onjuistheden en onvolledigheden te kunnen maken, zodat geen gegevens overgenomen hoeven worden op een apart buiten de GBA-applicatie functionerend ‘terugmeldingsformulier’. Er dient inzichtelijk gemaakt te worden wat de consequenties (de risico’s) van de invoering van de basisbasisregistraties zijn op het binnengemeentelijke afnemers.

15 Versie: 1.0


4 Kwaliteit en auditing TQM staat voor Total Quality Management, of in het Nederlands: Integrale Kwaliteitszorg. [online publicatie adburdias] TQM is een bedrijfsfilosofie, waarbinnen het er op neer komt dat alles wat een organisatie doet, er op gericht moet zijn om alle belanghebbenden op een zo efficiënt mogelijke manier tevreden te stellen. In Nederland heet zij het 'INK-managementmodel' (INK-model). Het INK-model zal in paragraaf 4.1 worden behandeld. Informatievoorziening (zoals elektronische toegang, elektronische authenticatie en de basisregistraties) ondersteunt een organisatie bij het realiseren van haar doelstellingen. De toepassing van informatietechnologie stelt een organisatie in staat producten efficiënter en effectiever te produceren, innovatiever te zijn en processen beter te beheersen. Dit vraagt om IT-beheerprocessen die nauwgezet zijn afgestemd op de organisatie. IT zou een integraal onderdeel van de strategie van een organisatie moeten vormen. De kwaliteit van de geautomatiseerde informatievoorziening is verder een kritische succesfactor voor ondersteuning en realisatie van de interne beheersing van bedrijfsprocessen en het afleggen van externe verantwoording daarover. Eisen moeten worden gesteld aan de beheersing van de IT-processen en het afleggen van verantwoording door het voor IT verantwoordelijke management. IT-Governance gaat over het besturen, beheersen, uitvoeren, verantwoording afleggen over en het toezicht houden op de informatievoorziening binnen een organisatie. [Norea 2004] Het mag duidelijk zijn dat als een organisatie goed wil functioneren, haar informatievoorziening ook op orde moet zijn. Er moet een logisch verband zijn tussen datgene wat men qua organisatie-inrichting ( realiseert en datgene wat men qua informatievoorziening realiseert. In de afgelopen jaren hebben verschillende partijen in artikelen en studies invulling willen geven aan het begrip IT-Governance. De overeenkomst tussen de verschillende modellen is dat IT-Governance wordt gezien als het zodanig efficiënt en effectief (doelstellingen van programma Basisregistraties) organiseren van de IT-werkprocessen dat zij daarmee een bijdrage levert aan de businesswensen en daarover rekenschap aflegt. In dit onderzoek heb ik mij geconcentreerd op een model, namelijk het het COBIT model van ISACA. Het betreft hoofdzakelijk processen die binnen de IT-organisatie plaatsvinden; Het COBIT-raamwerk biedt management en auditors richtlijnen om respectievelijk de beheerprocessen in te richten dan wel te beoordelen.Het is een model dat uitermate geschikt is als IT-Governance model. Het leveren van toegevoegde waarde voor de business wordt hoofdzakelijk bepaald door de aansluiting van IT op de business. Het beheersen van risico’s wordt gerealiseerd door het helder beleggen van taken en verantwoordelijkheden voor IT binnen de organisatie. Het adequaat beheersen van de middelen en het meten dat de verwachte resultaten gehaald worden, zijn ondersteunend aan het leveren van de toegevoegde waarde en het beheersen van de risico’s. IT-Governance wordt door ISACA en het IT-Governance Institute als volgt gedefinieerd: IT-Governance is the responsibility of the board of directors and executive management. It is an integral part of enterprise governance and consists of the leadership and organisational structures and processes that ensure that the organisation’s IT sustains and extends the organisation’s strategies and objectives. (Norea 2004 )

Het Cobit-model zal in paragraaf 4.2 worden behandeld.

16 Versie: 1.0


4.1 INK-managementmodel 4.1.1 Inleiding Het INK-managementmodel is opgebouwd uit negen velden. Deze negen velden staan aaneengeschakeld doordat ze op een logische wijze met elkaar te maken hebben. De aandachtsgebieden zijn opgesplitst in twee groepen: 1. Organisatiegebieden 2. Resultaatgebieden 4.1.2 Het doel Het doel van het INK-model is: − het continu verbeteren van organisaties, het streeft naar Integrale Kwaliteitszorg of Total Quality Management. Het INK-model is de Nederlandse variant van het EFQM-model, ontwikkeld door het Instituut Nederlandse kwaliteit. Aan de hand van het model wordt beoordeeld, in hoeverre organisaties effectief gebruik maken van de middelen waarover zij beschikken en in welke mate dit bijdraagt aan het resultaat. 4.1.3 Het model INK kan het beste aan de hand van een schema concreet worden gemaakt.

(bron: www.ink.nl) 4.1.4 Organisatiegebieden Voor het beoordelen van de organisatie, moeten we onszelf -per onderdeel van elk aandachtsveldsteeds vragen stellen die te maken hebben met 'Wat doen we op dat punt nou precies?' (is het systematisch, gebaseerd op preventie in plaats van reactie?), 'Wie doen dat?' (hebben we de juiste mensen wel de juiste verantwoordelijkheden en bevoegdheden gegeven?), 'Hoe doen we dat?' (hebben we de hiertoe meest geëigende methoden, technieken en gereedschappen ingezet?), 'Waarom doen wij dat zo?' (is het een gevolg van zorgvuldig plannen? Van beoordelen van situaties en het zoeken naar betere manieren om ze te doen?) en 'Is dat de beste manier om dat te doen? (op welke wijze zouden we kunnen zoeken naar verbeteringen in dit proces?).

17 Versie: 1.0


Leiderschap: Beleid & strategie: Personeelsmanagement: Middelenmanagement: Management van processen:

Hoe leidt de leiding de organisatie naar de gestelde doelen? Hoe wordt de visie vertaald naar concrete werkplannen? Hoe wordt vormgegeven aan het personeelsbeleid en hoe zorgt men daarmee dat men in de toekomst de juiste capaciteit heeft? Welke middelen worden ingezet en hoe worden ze ingezet? Zijn de processen gekoppeld aan de doelstellingen en worden de processen continu verbeterd?

4.1.5 De resultaatgebieden In deze velden wordt gekeken naar wat we meten, welke doelen er worden gesteld en hoe we het presteren van de organisatie vergelijken met de resultaten die anderen behalen. Belangrijk is ook dat iedereen die hierbij betrokken is, duidelijk is wat er gemeten moet worden en dat de hiervoor benodigde en juiste informatie wordt verzameld. Waardering door klanten Zijn onze klanten tevreden met wat we doen en wat we leveren? In welke mate wordt aan de verwachtingen van de klanten en leveranciers voldaan? Waardering door personeel Hoe tevreden zijn de medewerkers van uw organisatie? Waardering door maatschappij Wat doen we aan de behoeften en verwachtingen van de wereld om ons heen?' Eindresultaten In hoeverre worden de gestelde doelstellingen gerealiseerd (financiële en andere kengetallen). In welke mate hebben we onze verbeterdoelstellingen gerealiseerd? 4.1.6 Verbetercyclus: De kracht van het INK-managementmodel zit in deze verbetercyclus. De PDCA-cirkel is op verschillende manieren in het model verweven. De negen aandachtsgebieden en de ‘feedback- loop’ (‘act’) vormen samen een grote cyclus van continue verbetering. ‘Plan’ is het bepalen van de richting, stellen van doelen en plannen van de uitvoering; ‘Do’ is de allocatie van medewerkers en middelen naar de uitvoering van het werk; ‘Check’ is het meten of gestelde doelen zijn gerealiseerd; ‘Act’ is het analyseren van metingen en aanbrengen van blijvende verbeteringen. Het succes van de organisatie wordt bepaald door de mate waarin het management erin slaagt deze cyclus als een automatisme toe te passen in alle lagen van de organisatie. De PDCA-cirkel bevat alle essentiële stappen van besturing in het algemeen en van procesbesturing in het bijzonder. 4.1.7 De vijf ontwikkelingsfasen van een organisatie Het INK-managementmodel gaat uit van vijf ontwikkelingsfasen waarin een organisatie zich kan bevinden. Fase I: Activiteitgeoriënteerd Kwaliteit op de werkplek. Product georiënteerd; iedereen doet zijn werkzaamheden zo goed mogelijk, maar beperkt zich tot de eigen werkzaamheden. Het managen bestaat uit brandjes blussen. Fase II: Procesgeoriënteerd Processtappen en overgangen zijn geïdentificeerd. Aan de hand van geconstateerde afwijkingen ten opzichte van gestelde doelen worden processen of doelstellingen bijgesteld. Fase III: Systeemgeoriënteerd

18 Versie: 1.0


De hele organisatie wordt beheerst en door invoering van de verbetercyclus continue verbeterd. Klanttevredenheid en preventieve maatregelen staan centraal. Fase IV: Ketengeoriënteerd Samenwerking in de keten. Samen met de toeleverende en afnemende partijen worden de prestaties van de gehele keten verbeterd. Vergaande integratie en innovatie zijn kernwoorden in deze fase. Fase V: Transformatiegeoriënteerd Excelleren en transformeren; de organisatie is in haar segment (een van) de beste. Op basis van lange termijn visie worden tijdig nieuwe activiteiten opgestart. Deze fase lijkt onhaalbaar en wordt daardoor vaak weggelaten.

19 Versie: 1.0


4.2 IT-Governance 4.2.1 Inleiding Een goede informatievoorziening is onmisbaar voor een adequaat opererende gemeente. De gemeente opereert adequaat wanneer zij de beleidsdoelen realiseert die zij en de rijksoverheid heeft geformuleerd. Verder is het van belang dat zij s effectief en efficiënt te werk gaat en dus optimaal omgaat met de (schaarse) middelen die haar ter beschikking staan. [Grip op informatievoorziening, IT-governance bij ministeries 2006] Een behoorlijk beleidsvormingsproces en een adequate evaluatie van de beleidsuitvoering is alleen mogelijk als er in voldoende mate relevante en betrouwbare beleidsinformatie voorhanden is. Maar ook in de fase van beleidsuitvoering zelf is goede informatie onontbeerlijk. Beleidsuitvoering wordt immers gekenmerkt door zeer informatie-intensieve processen. Er zijn tegenwoordig nauwelijks uitvoeringsprocessen te bedenken waarbij informatie geen of een ondergeschikte rol speelt. De kwaliteit van de informatievoorziening is in belangrijke mate afhankelijk van de wijze waarop informatie- en communicatietechnologie (ICT) wordt ingezet in een organisatie. De rol van ICT is de laatste jaren sterk veranderd. ICT is geëvolueerd van een louter ondersteunende technologie tot een onmisbaar en integraal onderdeel van de primaire en ondersteunende processen van de overheid. Een duidelijk voorbeeld hiervan is de Belastingdienst. Binnen gemeenten is ICT niet meer dan een bedrijfsmiddel waarmee gemeenten hun processen effectiever en efficiënter kunnen maken. Het zou juist moeten uitgroeien tot een strategisch middel dat de gemeente in staat stelt beter tegemoet te komen aan maatschappelijke behoeften. De gemeente kan dankzij ICT flexibeler en klantgerichter werken en beter samenwerken met ketenpartners. Door een slimme inzet van ICT kan de gemeente dus doelmatiger functioneren en beter presteren. De bestuurlijke top kan zich bij de inrichting van de informatievoorziening dus niet afzijdig houden van ICT. Met andere woorden: gemeenten moeten zich bezighouden met IT-governance. 4.2.2 Wat is IT-Governance? Governance staat voor bestuur. IT-Governance staat dus voor het sturen en beheersen van de ICTvoorziening. De groei van de (geautomatiseerde) informatievoorziening – en daarmee ICT – tot een strategisch bedrijfsmiddel vraagt om speciale aandacht voor het sturen en beheersen van de ICTvoorziening. ICT is immers niet langer primair een zaak van specialistische IT’ers of informatiemanagers, maar vooral een cruciaal aandachtsgebied van de bestuurlijke top van een organisatie. De opmars van het governance-gedachtegoed en het inzicht dat de inzet van ICT-toepassingen een essentiële schakel is gaan vormen in de bedrijfsvoering en de realisatie van de beleidsdoelstellingen van de overheid, leidde tot een versterkte aandacht voor ICT als onderdeel van governance. Zo is ITgovernance ontstaan. Wereldwijd is een sterk toenemende aandacht voor IT-governance zichtbaar. De belangrijkste internationale instituten die zich met IT-governance bezighouden zijn de Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). ISACA is de internationale organisatie van IT-auditors. Deze organisatie ontwikkelde het toonaangevende Control Objectives for Information and related Technology (CobiT), dat beheerd wordt door ITGI. De definitie van het rapport ‘Grip op informatievoorziening, IT-governance bij ministeries’ luidt: [Rekenkamer 2006] IT-governance is de gezamenlijke verantwoordelijkheid van de top van de organisatie en de toezichthouder(s) voor: • de interne sturing van de ICT-voorziening van de organisatie; • de interne beheersing van de ICT-voorziening van de organisatie; • de externe verantwoording over de ICT-voorziening van de organisatie; • het externe toezicht op de ICT-voorziening van de organisatie; • en (bij ministeries, indien van toepassing) de aansturing van en het toezicht op de ICTvoorziening van de RWT’s door het ministerie.

20 Versie: 1.0


Interne sturing Interne sturing is het proces waarbij richting wordt gegeven aan een organisatie om de beleidsdoelstellingen te kunnen realiseren. Interne beheersing Interne beheersing is het proces waarbij een stelsel van maatregelen en procedures wordt ingevoerd en gehandhaafd om vast te stellen of de uitvoering in overeenstemming is en blijft met de gemaakte plannen. Externe verantwoording Externe verantwoording betekent rekenschap afleggen aan externe belanghebbenden. Onder deze component vallen o.a voortgangsrapportages (alleen bij grote ICT-projecten). Extern toezicht Bij extern toezicht beoordeelt een externe toezichthouder of processen van een organisatie voldoen aan de daaraan gestelde eisen. Conclusies uit het onderzoek: Uit het onderzoek van de rekenkamer blijkt dat de twee onderzochte ministeries volop bezig zijn ITgovernance vorm te geven. Ondanks de verschillen tussen de ministeries zijn er opvallend veel overeenkomsten in de manier waarop ze hun IT-governance inrichten.

definiëren van duidelijke (interne) klant-leveranciersrollen en -relaties; professionaliseren van de klantrol; inrichten van een ICT-regiefunctie; professionaliseren van de CIO-functie; werken aan een gestandaardiseerde ICT-architectuur vanuit een concerngedachte; geen structurele aandacht voor evaluatie en actualisering van de ICT-strategie; begin van aandacht voor externe verantwoording in de bedrijfsvoeringsparagraaf; afwezigheid van systematische parlementaire controle of ander extern toezicht;

Rijksbreed neemt de aandacht voor de besturing van de informatievoorziening en ICT zichtbaar toe. Er is een duidelijke ontwikkeling ingezet naar verdere samenwerking en kennisopbouw. De pSG’s, tevens CIO, spelen hierbij een leidende rol. Belangrijkste aandachtspunten: Naar aanleiding van het onderzoek bij twee ministeries, worden in het rapport een aantal punten benoemd die volgens de onderzoekers cruciaal zijn voor de inrichting van IT-governance binnen ministeries. De aandachtspunten staan hieronder op een rij. «Blinde vlekken» vermijden Doordat de inrichting van IT-governance complex is bestaat het risico dat elementen over het hoofd worden gezien. Het is belangrijk om na te gaan of er geen cruciale onderwerpen gemist worden en indien componenten ingevuld zijn, te beoordelen hoe deze ingevuld zijn. Omgevingsbewustzijn IT-governance kan niet zonder omgevingsbewustzijn. Veel van de beleidsdoelen van de overheid kunnen alleen worden gerealiseerd in samenwerking tussen organisaties. Concernbenadering Concernbenadering dient geïntroduceerd te worden. Informatievoorziening van afzonderlijke organisatieonderdelen staan niet op zichzelf staat maar dient te worden behandeld als onderdeel van één samenhangende informatievoorziening van het gehele ministerie.

21 Versie: 1.0


Gestandaardiseerde concern-informatiearchitectuur Bij de concernbenadering past ook een gestandaardiseerde concerninformatiearchitectuur: een samenhangende visie op taken, processen, informatievoorziening en ICT-dienstverlening die geldt voor het gehele ministerie en waar alle organisatieonderdelen aan gehouden zijn. Organisatie van vraag en aanbod van ICT-dienstverlening De eerste stap voor het inrichten van IT-governance begint met het neerzetten van het gewenste “business model”. Hierbij dienen de vraag vanuit de organisatie en aanbod door de ICT-dienstverlening goed op elkaar te worden afgestemd. IT-governance als groeitraject naar permanent proces IT-governance is een groeitraject wat niet van de ene op de andere dag is opgezet. De hele organisatie moet werken aan cultuurverandering en aan professionalisering. Een dergelijk groeitraject kan gestructureerd worden ingezet door gebruik te maken van een groeimodel, waarbij gedacht kan worden aan het volwassenheidsmodel van CobiT. Leiderschap en centrale regie IT-governance kan niet zonder leiderschap, vooral omdat dat nog in een groeitraject zit. In het bijzonder bij het groeitraject naar IT-governance, waar gezocht wordt naar andere organisatiestructuren en nieuwe werkwijzen is goed leiderschap onontbeerlijk. Duidelijk leiderschap vanuit één visie op informatievoorziening en centrale regie zijn nodig om als één concern op te kunnen optreden. 4.2.3 Inleiding COBIT: CobiT staat voor Control Objectives for Information and Related Technology [publicatie wikipedia]. Cobit is een raamwerk voor het gestructureerd inrichten en beoordelen van een IT-beheeromgeving. CobiT stelt IT managers in staat om op basis van algemeen geaccepteerde Best Practices de ICT beheermaatregelen in te richten. Daarnaast kunnen auditors op basis van het raamwerk hun controleprogramma beschrijven en uitvoeren. Cobit slaat een brug tussen de organisatierisico's, controlemaatregelen en de technische aspecten. In CobiT worden de relaties gelegd tussen de informatie technologie en de beheersingsvraagstukken. 4.2.4 Het doel Het doel van CobiT is om het management en de proceseigenaren middels een IT-Governance model te ondersteunen bij het begrijpen en beheersen van de aan IT gerelateerde risico’s [publicatie IIA]. CobiT helpt bij het overbruggen van de verschillen tussen business risico’s, de daaruit voortvloeiende behoefte aan de beheersing van de bedrijfsprocessen en de ondersteunende IT-dienstverlening en - infrastructuur. Het voorziet in het waarborgen van betrouwbaarheid van informatie en de gegevensverwerking door de informatiesystemen. 4.2.5 Het model

22 Versie: 1.0


Bron: www.Isaca.org

Het CobiT Raamwerk is gebaseerd op het principe dat organisaties worden voorzien van de informatie die noodzakelijk is voor het realiseren van hun doelstellingen. De informatie wordt op haar beurt voortgebracht door IT-processen. De 34 IT-processen, die zijn ingedeeld in 4 domeinen: • • • •

Planning en Organisatie; Aankoop en Implementatie; Levering en Ondersteuning; Monitoring.

Bij elk van de 34 IT-processen kent CobiT een aantal management richtlijnen. De management richtlijnen betreffen [publicatie ITSMF]: • Kritische succesfactoren - benodigde acties om processen beheersbaar maken. • Doelindicatoren - meten van het bereiken van de doelen. • Prestatie-indicatoren - meting van het bereiken van de uitvoering. • Volwassenheid in aansturing - strategische keuzes en benchmarken. Volwassenheid in aansturing De volwassenheid in aansturing is een schaal waarop de organisatie kan aangeven waar zij zich nu bevindt (van afwezigheid van aansturing (0) tot optimale aansturing (5)), en waar zij naar toe wil. 0. 1. 2. 3. 4. 5.

Bestaat niet; geen besef van het aspect en geen communicatie hierover. Initieel; de organisatie onderkent het aspect, maar er zijn geen standaard processen, alleen ad- hoc benadering welke verschilt per situatie Intuïtief; besef aanwezig, planning e.d. in ontwikkeling weinig naleving van standaarden, onderscheiden ict processen worden los van elkaar beheerd. Gedefinieerd; standaarden worden nageleefd, indicatoren geven aan hoe het er mee staat, procedures zijn ontstaan vanuit de praktijk, nog veel afhankelijk van individuele persoonlijke invulling. Beheerst; formele trainingen, verantwoordelijkheden gedefinieerd, risico's en toleranties bekend. Optimaal; vooruitblik op de toekomst, continue verbetering, flexibele organisatie, geautomatiseerde workflow.

23 Versie: 1.0


4.2.6 Toepassingsmogelijkheden CobiT kan op verschillende manieren worden toegepast. CobiT kan het management behulpzaam zijn bij het afstemmen van de beheersing van de IT-processen op een voor hen aanvaardbaar geacht risiconiveau. CobiT kan door gebruikers als referentiekader worden gebruikt bij het maken van afspraken, zoals veelal vastgelegd in de zogenaamde Service Level Agreements, over de gewenste kwaliteit van IT-diensten. Auditors kunnen CobiT gebruiken voor het opstellen van het audit plan, de onderbouwing van hun oordeel en bij het formuleren van hun aanbevelingen. 4.2.7 Cobit4 In december 2005 is de nieuwe versie van Cobit gelanceerd. Een belangrijke verbetering t.o.v. de voorgaande versie is een expliciete link tussen de bedrijfsdoelstellingen, it-doelstellingen en itprocesdoelstellingen. Gemeenten moeten op basis van concrete vragen of behoeften uit COBIT halen wat relevant is. Om hierbij te helpen biedt COBIT een zeer belangrijke leidraad: een cascade van hoe bedrijfsdoelstellingen zich vertalen in concrete IT-doelstellingen die op hun beurt zijn gekoppeld aan IT- (en COBIT-) processen.

24 Versie: 1.0


DEEL 3: Praktijkonderzoek

25 Versie: 1.0


5 Casestudies In dit hoofdstuk worden resultaten van de analyse van de casestudies weergegeven. Er wordt begonnen met een inleiding, met daarin een verantwoording van de methode. Vervolgens worden de resultaten van de casestudies geanalyseerd. Het hoofdstuk eindigt met een conclusie waarin eveneens een samenvatting wordt gegeven van de belangrijkste bevindingen. 5.1 Uitvoeren van casestudies Het uitvoeren van casestudies heeft als doel het onderzoeken van bepaalde risico’s die van belang zijn voor de invoering van de basisregistraties. De casestudies richten zich op personen die betrokken en medeverantwoordelijk zijn bij de invoering van de basisregistraties binnen de gemeente. De aanpak voor het uitvoeren van de casestudies bestaat uit het afnemen van een diepte-interview. De interviews worden aangevuld met het bestuderen van enkele specifieke documenten. Een gestructureerde vragenlijst vormde de basis voor de mondelinge gesprekken (zie bijlage III). Zo hebben de interviews een open karakter gehouden en bleven ze toch gestructureerd door het kader van de vragenlijst. 5.2 Case gemeente Zaanstad Zaanstad is een gemeente in de provincie Noord-Holland. Per 1 januari 2007 had de gemeente Zaanstad 140.368 inwoners (Bron: Afdeling Statistiek & Onderzoek). De gemeente is in 1974 ontstaan door samenvoeging van de gemeenten Krommenie, Wormerveer, Assendelft, Westzaan, Zaandijk, Koog aan de Zaan en Zaandam. 5.2.1 Programma basisregistraties Gemeente Zaanstad heeft een aantal activiteiten beschreven die zijn ingericht om te komen tot een elektronische overheid. Er zijn een aantal projecten opgestart onder het programma basisregistraties met als doel de invoering van wettelijke verplichte ontwikkelingen met impact op de gegevenshuishouding. Dit zijn □ □ □ □ □

de Basisregistratie Adressen en Gebouwen, de wet Kenbaarheid Publiekrechtelijke Beperkingen, de invoering van het Burgerservicenummer en het aansluiten op de landelijke modernisering van de GBA (waarbinnen GBA als basisregistratie personen is gepositioneerd). Verder is het project GTIS (gegevenshuishouding en technische infrastructuur) ondergebracht bij het programma om de gegevensuitwisseling tussen applicaties te regelen.

Doelstellingen De doelstellingen voor de gemeente zijn het bereiken van efficiënt gegevensbeheer, het waarborgen van beheerbaarheid en flexibiliteit in de digitale dienstverlening en optimale ondersteuning van werkprocessen met juiste, volledige en actuele gegevens. De doelstellingen van het programma zijn: • De gemeente Zaanstad voldoet aan de eisen van de wet publiekrechtelijke beperkingen per 1 januari 2007 • De gemeente hanteert per medio 2006 het burgerservicenummer zoals wettelijk is voorgeschreven voor zover het communicatie met burgers betreft. In 2007 is de interne gegevensuitwisseling daadwerkelijk voorzien van het burgerservicenummer (streven) • Voor de basisregistratie adressen en gebouwen zijn zodanige voorbereidingen getroffen dat de gemeente aan de wettelijke eisen voldoet in 2009 • Er is een flexibele beheerbare technische omgeving die gegevensuitwisseling regelt (onderdelen van het midoffice)

26 Versie: 1.0


•

• •

De gemeente Zaanstad sluit aan op de landelijke ontwikkeling modernisering GBA. Onderdeel hiervan is verplicht gebruik van de basisregistratie personen door binnengemeentelijke afnemers. De gemeente Zaanstad sluit aan op het landelijke basis bedrijvenregister (“nieuw Handelsregister”) Vernieuwing van de koppeling met Kadaster (De zogenaamde “was/wordt”-mutaties ontvangt de gemeente met hogere frequentie)

5.2.2 Interviewresultaten Kwaliteitszorg: Integraal of zelfstandig? Tijdens het onderzoek is de vraag voorgelegd of er binnen de organisatie sprake is van een integrale aanpak van de implementatie van kwaliteitsborging bij het programma Stroomlijning Basisgegevens. Onderzoek toont aan dat in Gemeente Zaanstad de kwaliteitszorg binnen de projecten voor de Basisregistraties nog niet integraal wordt opgepakt. Wel is in Zaanstad het besef ontstaan dat een aantal expertises bij meerdere projecten noodzakelijk zijn en nu versnippert onder de projecten aanwezig zijn. Hierdoor is het idee gekomen om expertise groepen te gaan inrichten. Er is een overzicht gemaakt waar de verschillende projecten, die onder het programma basisregistraties vallen, mee te maken hebben en op basis van dat overzicht worden expertisegroepen ingericht. Onder zo’n expertisegroep zou dan ook de terugmeldplicht kunnen vallen. Dit is allemaal voornamelijk vanuit het financieel aspect. Het is voornamelijk om de efficiency te verhogen en het verlagen van de kosten. Reden hiervoor is dat de capaciteit minimaal is en er toch invulling gegeven moet worden wat door de Rijksoverheid wordt bepaald. Kwaliteitszorg: bekend of onbekend? Tijdens het onderzoek is de vraag voorgelegd om in eigen woorden weer te geven wat verstaan wordt onder het begrip kwaliteitsborging. De antwoorden vertonen een verspreid beeld. Het begrip kwaliteitsborging is in de praktijk onvoldoende bekend. De geïnterviewden zijn op de hoogte van de mogelijkheden van kwaliteitszorg, maar het is in Zaanstad nog niet ingericht. Het bestuur heeft ook geen visie aangeboden aan de organisatie en een bestuurlijk commitment lijkt dus te ontbreken. Binnen Zaanstad is er in het verleden wel eens wat geschreven over INK en wat dit zou kunnen betekenen, maar dit is nooit breed opgepakt en geoperationaliseerd. Kwaliteitszorg: Centraal of decentraal? Tijdens het onderzoek is de vraag voorgelegd hoe de kwaliteitsborging is ingericht? Onderzocht werd welke maatregelen getroffen zijn voor kwaliteitsbewaking. Tevens is de vraag voorgelegd waarom juist voor deze oplossing is gekozen. De geïnterviewden geven aan dat in Zaanstad de kwaliteitsbewaking nog niet is ingericht. Er is geen centrale functie ingericht/beschikbaar gesteld om over de kwaliteitseisen te adviseren en om deze te bewaken. Er is wel een aparte afdeling Concern Control, maar die beschikt niet over de kennis en capaciteit om een adviserende rol in te nemen. Decentraal wordt er incidenteel per project kwaliteitsborging ingericht (rol in de Zaanse Projectmethodiek, welke gebaseerd is op Prince2) Modellen kwaliteitszorg: Bekend of onbekend? Tijdens het onderzoek is de vraag voorgelegd of men bekend is met aanvaarde standaarden/ modellen voor integrale kwaliteitszorg? ISO, INK en ITIl zijn bekend. ITIL is een model wat is ingevoerd binnen de gemeente Zaanstad. Het kwaliteitsmodel INK is bekend binnen Zaanstad. Men weet hoe het model in elkaar zit en dat het een continu proces van verbetering is. Echter het model wordt niet breed gebruikt binnen Zaanstad. Voornamelijk doordat er hieromtrent ook geen visie aan ten grondslag ligt. Een model als Cobit is over het algemeen onbekend onder de geïnterviewden. Eén van de geïnterviewden had er wel eens van gehoord. De noodzaak van een model als Cobit werd niet gezien.

27 Versie: 1.0


Na een korte uitleg over het model werd toch wel duidelijk dat kwaliteitsborging verder ging dan te voldoen aan Nora en de referentie architectuur van EGEM. De modellen INK en Cobit worden binnen Zaanstad niet toegepast binnen de projecten voor de basisregistratie GBA, Wkpb en BAG. Ketengericht of procesgericht? Tijdens het onderzoek is de vraag voorgelegd of er wordt samengewerkt met andere gemeenten of partijen (in de keten) om de kwaliteitszorg in te richten? Binnen Zaanstad wordt niet met andere gemeenten of partijen uit de keten samengewerkt om de kwaliteitszorg in te richten. Wel is net een besluit genomen in het GMT om in het samenwerkingsverband Govunited te participeren. Govunited is een samenwerkingsverband tussen gemeenten. Govunited streeft er naar een grote bijdrage te leveren aan het verbeteren van de dienstverlening van gemeenten in Nederland door intensieve samenwerking en de inzet van moderne, gestandaardiseerde ICT. Door nauwere samenwerking tussen gemeenten zijn hogere kwaliteit van de dienstverlening en een efficiëntere bedrijfsvoering mogelijk. Door de ontwikkelkracht bij gemeenten te bundelen en de realisatie van oplossingen te concentreren kan de snelheid van implementeren omhoog. Door de vele ontwikkelingen waar de gemeente nu voor staat en de beperkte middelen die de gemeente heeft (door bezuinigingen) is gekozen voor samenwerking met anderen gemeenten. Bekendheid met het vakgebied IT-audit? Tijdens het onderzoek is de vraag voorgelegd wat men weet over het vakgebied IT-auditing? Er is niet veel bekend over het vakgebied van de IT-auditor. De IT-auditor wordt voornamelijk gezien als een controle op volledigheid in bepaalde applicaties voor de accountantscontrole. IT-auditor: Toegevoegde waarde of last? Tijdens het onderzoek is de vraag voorgelegd of men van mening is dat de IT-auditor een toegevoegde waarde is als hij vanaf het begin meeloopt en toeziet en adviseert over de kwaliteitseisen. Tijdens de interviews wordt aangegeven dat men niet op de hoogte was van het vakgebied van de ITauditor. Nu de geïnterviewden een idee hebben van wat de IT-auditor zou kunnen betekenen, zien ze het wel als een toegevoegde waarde als de IT-auditor vanuit zijn deskundigheid vanaf het begin van een project en toeziet en adviseert over de kwaliteitseisen. Kennis en gebruik aanbod initiatieven? Tijdens het onderzoek is de vraag voorgelegd in hoeverre de gemeente gebruik maakt van de vanuit Rijksoverheid geboden diverse producten en diensten (zoals standaarden en referentiemodellen) die ondersteuning bieden bij de implementatie? Hulpmiddelen als Nora en de referentie architectuur van EGEM worden gebruikt binnen Zaanstad. Echter is er nog steeds het gevoel dat de gemeenten het allemaal alleen moeten doen. Er zijn wel EGEM-I adviseurs, maar die maken de verwachtingen niet echt waar. Deze wordt nu meer gezien als iemand die kijkt of je wel de juiste formele stappen hebt gedaan, dan iemand die daadwerkelijk kan adviseren en over de schouder mee kan kijken bij de implementatie. En dat is jammer, want dat is juist wat nu gewenst is. 5.3 Case gemeente Alkmaar Alkmaar is een stad en een gemeente in de provincie Noord-Holland. De gemeente ligt globaal op de grens van West-Friesland en Kennemerland. Per 1 januari 2006 had de gemeente Alkmaar 94.477 inwoners. Alkmaar is onder andere bekend van de kaasmarkt die plaatsvindt op vrijdagochtenden tussen april en oktober. Het is een van de vier kaasmarkten die nog gehouden worden in Nederland.

28 Versie: 1.0


5.3.1 Programma basisregistraties Gemeente Alkmaar heeft een aantal activiteiten beschreven die zijn ingericht om te komen tot een elektronische overheid. De volgende projecten zijn reeds opgestart of gereed: □ □ □ □ □ □

de Basisregistratie Adressen en Gebouwen, de wet Kenbaarheid Publiekrechtelijke Beperkingen, de invoering van het Burgerservicenummer en de invoering van DigiD Internet kassa Elektronisch loket

5.3.2 Interviewresultaten Kwaliteitszorg: Integraal of zelfstandig? Tijdens het onderzoek is de vraag voorgelegd of er binnen de organisatie sprake is van een integrale aanpak van de implementatie van kwaliteitsborging bij het programma Stroomlijning Basisgegevens. Het beeld wat is ontstaan n.a.v. de interviews is dat in Gemeente Alkmaar de kwaliteitsborging binnen de projecten voor de Basisregistraties nog niet integraal wordt opgepakt. Het GBA wordt wel jaarlijks getoetst door een externe partij. Maar van een integrale aanpak is geen sprake. Kwaliteitszorg: bekend of onbekend? Tijdens het onderzoek is de vraag voorgelegd om in eigen woorden weer te geven wat verstaan wordt onder het begrip kwaliteitsborging. Kwaliteitszorg wordt gezien als bijvoorbeeld de afspraken die gemaakt worden omtrent de uniformering van gegevens van bestanden. Een samenspel van afspraken betreffende de integriteit en kwaliteit van gegevens. Dit wordt in Alkmaar vastgelegd in een beheernotitie. Deze beheernotitie bestaat uit de procesgang, de eisen t.a.v. tijdigheid, schrijfwijze en authenticiteit, het logische datamodel en de betrokken applicaties. Een aantal geïnterviewden zien kwaliteitszorg meer als het reageren op de geplande audit. Dus het leveren van inspanning om te zorgen dat alles weer op orde komt wanneer een audit gepland is. Zodra de audit geweest is valt de aandacht voor kwaliteitszorg weer terug. Eén van de geïnterviewden merkt op dat risicomanagement samenhangt met kwaliteit. Het bestuur heeft ook geen visie aangeboden aan de organisatie. Dit wordt niet als vervelend ervaren omdat de ervaring is dat beleid vaak gemaakt wordt zonder het betrekken van de praktijk, waardoor het beleid nooit uitvoerbaar is. Deze opmerkingen dat het beleid onuitvoerbaar is komen nooit terug bij het bestuur. Het bestuur zorgt er ook niet voor dat er continu bijsturing plaatsvindt op basis van opgedane ervaring en aanwezige deskundigheid. Kwaliteitszorg: Centraal of decentraal? Tijdens het onderzoek is de vraag voorgelegd hoe de kwaliteitsborging is ingericht? Onderzocht werd welke maatregelen getroffen waren voor kwaliteitsbewaking. Tevens is de vraag voorgelegd waarom juist voor deze oplossing is gekozen. Binnen Alkmaar is de kwaliteitsborging niet ingericht. Er is sinds medio 2006 wel een centrale functie ingericht in de vorm van een afdeling Concerncontrol, om over de kwaliteitseisen Gemeentebreed te adviseren en om deze te bewaken. Tevens is er een aparte afdeling Interne Controle en Procesanalyse (ICPA), maar deze richt zich meer op audits naar processen en minder op ICT.. Aangegeven wordt dat de verschillende sectoren binnen Gemeente Alkmaar wel zoekende (niet actief) zijn naar een partij die ze kan adviseren omtrent het omzetten van beleid naar praktijk. Modellen kwaliteitszorg: Bekend of onbekend? Tijdens het onderzoek is de vraag voorgelegd of men bekend is met aanvaarde standaarden/ modellen voor integrale kwaliteitszorg? ISO, INK, SDM en ITIl zijn bekend. Getracht wordt om ITIL nu in te voeren binnen de gemeente Alk-

29 Versie: 1.0


maar. Men heeft wel eens van INK gehoord, maar weet niet wat dit kan betekenen voor de organisatie en hoe dit ingevoerd moet worden. Een model als Cobit is onder de geïnterviewden geheel onbekend binnen Alkmaar. Ook de noodzaak van een model als Cobit wordt niet gezien. Deze modellen worden binnen Alkmaar dan ook niet toegepast binnen de projecten betreffende de basisregistratie GBA, Wkpb en BAG. Ketengericht of procesgericht? Tijdens het onderzoek is de vraag voorgelegd of er wordt samengewerkt met andere gemeenten of partijen (in de keten) om de kwaliteitszorg in te richten? De belangrijkste afnemers zijn in kaart gebracht en worden die betrokken bij de projecten. Binnen Alkmaar wordt niet met andere gemeenten gewerkt. Er is wel contact met andere gemeenten, maar dit is ongestructureerd en vrijblijvend. Bekendheid met het vakgebied IT-audit? Tijdens het onderzoek is de vraag voorgelegd wat men weet over het vakgebied IT-auditing? Er is wat bekendheid over het vakgebied van de IT-auditor. Een van de geïnterviewde heeft op internet informatie opgezocht n.a.v. ons geplande interview. De andere heeft een familielid die jarenlang in het vakgebied heeft gewerkt. Tevens wordt wordt eens per drie jaar het GBA systeem geaudit door door het ministerie van BPR/BZK. Doorgaans laat Puza enkele maanden voorafgaand aan de audit zelf een audit uitvoeren door een exteren bureau, om te zien of aan de eisen van de echte audit voldaan zal worden en zoniet om in te grijpen. Daarnaast voert de afd. I&A jaarlijks samen met Puza een uitwijktest uit, om te constateren of het backupsysteem van de GBA en alle nodige verbindingen nog steeds goed werken. Er is kennis binnen de afdeling ICPA in de vorm van een IT-auditor, maar deze wordt zeer beperkt ingezet op ICT-trajecten en geautomatiseerde systemen.. Dit is waarschijnlijk ook een kwestie van prioriteiten vanuit het management IT-auditor: Toegevoegde waarde of last? Tijdens het onderzoek is de vraag voorgelegd of men van mening is dat de IT-auditor een toegevoegde waarde heeft als hij vanaf het begin meeloopt en toeziet en adviseert over de kwaliteitseisen. Tijdens het interview wordt aangegeven dat het waarschijnlijk toch wel een toegevoegde waarde heeft als een IT-auditor vanuit zijn deskundigheid vanaf het begin meeloopt en toeziet en adviseert over de kwaliteitseisen. Door een geïnterviewde wordt aangegeven dat dit voor de praktijk niet wenselijk is. De I-adviseurs houden door hun kennis en ervaring rekening met kwaliteitsaspecten en passen dit toe in de praktijk. Het gevoel is dat als het vakgebied IT-audit er ook nog bij betrokken moet worden, er nooit een werkbare oplossing tot stand komt. Dit wordt niet als efficiënt ervaren. Dus het standpunt van de I-adviseur is dat het beter is om hen vanuit hun eigen kennis en ervaring oplossingen te laten bedenken. Zodra de oplossing in productie gaat draaien kan vervolgens de IT-auditor toetsen of aan de eisen en normen voldaan is Kennis en gebruik aanbod initiatieven? Tijdens het onderzoek is de vraag voorgelegd in hoeverre maakt de gemeente gebruik maakt van de vanuit Rijksoverheid geboden diverse producten en diensten (zoals standaarden en referentiemodellen) die ondersteuning bieden bij de implementatie? Hulpmiddelen van EGEM en VROM zijn bekend. Er wordt zo veel mogelijk gebruik gemaakt van standaarden van EGEM. Echter Alkmaar huurt kennis in bij externe partijen zoals Inter Access en Vicrea om te adviseren en bij te staan bij de ontwikkelingen. Wel worden de bijeenkomsten die o.a. door EGEM en door het ministerie worden georganiseerd goed bezocht. Ze vinden het jammer dat de Rijksoverheid wel allerlei wetten opstelt en hulpmiddelen aanreikt, maar dat ze niet een applicatie laten bouwen die door de 458 gemeenten gebruikt kan worden. Men is van 30 Versie: 1.0


mening dat de uitwerking van standaarden te vroeg stopt. Er ligt niets concreets. EGEM zou hulpmiddelen moeten aanbieden waar elke gemeente direct mee aan de slag kan. Nu moeten al deze gemeenten het allemaal zelfstandig gaan uitvinden en met het risico dat het allemaal door verschillende leveranciers wordt gebouwd, met alle aanverwante risico's en problemen. Het kost te veel moeite en capaciteit om alles zelf te bedenken. Dit is zeker niet efficiënt als alle 458 gemeenten dit moeten bedenken. 5.4 Nabeschouwing De twee onderzochte gemeenten trachten ieder op hun eigen manier invulling te geven aan de eisen die door de rijksoverheid worden gesteld. Naar aanleiding van het onderzoek wat ik heb uitgevoerd ben ik tot een aantal punten gekomen die cruciaal zijn voor de inrichting van kwaliteitszorg binnen gemeenten. Onvoldoende sturing Het ontbreekt binnen de twee onderzochte gemeenten aan bestuurlijk aandacht. Er is geen visie op taken, processen, informatievoorziening en ICT-dienstverlening. Er is dus geen afstemming tussen business en IT. Kwaliteitszorg heeft onvoldoende aandacht Doordat een project als de basisregistraties veelal gestuurd wordt vanuit de ICT en doordat de perceptie van medewerkers op kwaliteit en kwaliteitsbeheersing binnen de projecten als de basisregistraties zeer eng is, is kwaliteitszorg geen onderdeel van de systeemontwikkeling. Cobit biedt handvat Cobit biedt de mogelijkheid om IT-governance in kaart te brengen en de «blinde vlekken» op te sporen. Het biedt een handvat om verbetermaatregelen te identificeren en in te voeren. Gemeenten zijn onvoldoende ingericht Zoals al door het ‘Absorptievermogen rapport’ werd vastgesteld zijn ook de gemeenten Zaanstad en Alkmaar onvoldoende ingericht om alle vernieuwingen te absorberen.

31 Versie: 1.0


6 Toetsing aan Cobit Uit de interviews is duidelijk geworden dat Cobit niet bekend is binnen de gemeenten. Om vast te stellen dat het ook daadwerkelijk niet wordt toegepast heb ik een onderdeel van Cobit getoetst aan de situatie binnen de gemeente Zaanstad. Op basis van de gesprekken binnen de gemeente Alkmaar concludeer ik dat de antwoorden in Alkmaar niet veel zullen afwijken van de antwoorden van de gemeente Zaanstad. Indien op de vragen aangegeven is dat een component is ingevuld zijn, is niet beoordeeld hoe deze is ingevuld. Hieronder vind u een toets aan een aantal activiteiten die vallen onder de beheersdoelstellingen van het domein Planning en Organisatie (“P&O”)

PO1 bepaal een Strategisch Plan van IT Is er een connectie tussen de organisatiedoelstellingen en de IT doelstellingen.

PO6 Deel de Doelstellingen en de Richting van het Beheer mee +/ -

Is er een IT control raamwerk?

-

Is er een strategisch IT plan opgesteld?

+/ -

+

Is er een tactisch IT plan opgesteld?

+/ -

Is er een IT beleid? Is het IT control raamwerk en de IT doelstellingen en de richting van IT helder gecommuniceerd naar de medewerkers?

-

PO7 beheer het menselijk potentieel van IT

PO2 Bepaal de Informatie architectuur Is er een organisatie informatiemodel

+

Is er een regeling voor de classificatie van de gegevens.

-

Zijn de benodigde vaardigheden, functiebeschrijvingen, salarisschalen en persoonlijke ontwikkelplannen van personeel (met oog op toekomst) geïdentificeerd?

+/ -

Hebben gegevenseigenaars de beschikking over procedures en hulpmiddelen om informatiesystemen te classificeren.

-

Wordt het HR beleid en HR procedures toegespitst (specifiek) op IT, voor de benodigde capaciteit in de toekomst?

-

Worden het informatiemodel en de classificatieregeling gebruikt om de organisatiesystemen te optimaliseren

-

PO8 Beheer Kwaliteit Is er een kwaliteitsbewakingssysteem opgezet?

PO3 Bepaal Technologische Richting Is er een technisch infrastructuurplan

+ +

-

Is er een kwaliteitsplan opgesteld voor continu verbetering?

-

Wordt de naleving van de kwaliteitsnormen gemeten en gemonitoord?

+/ -

Zijn er technische normen. + Worden de nieuwe technologieën in de gaten gehouden

PO9 beoordeel en beheer de Risico's van IT

+ Wordt (toekomst) (strategisch) gebruik van nieuwe technologie bepaald

PO4 Bepaal de IT Processen, de Organisatie en de Verhoudingen Zijn de systeemeigenaren geïdentificeerd?

+

Zijn de gegevenseigenaren geïdentificeerd

-

Is er een ontwerp van rollen en de verantwoordelijkheden van IT, met inbegrip van supervisie en scheiding van verantwoordelijkheden

+

PO5 Beheer de IT Investering + Is er een IT budgetting proces. +

Is er invulling gegeven aan risicomanagement toegespitst op IT?

+/ -

Worden de organisatiedoelstellingen gekoppeld aan de IT doelstellingen?

+/ -

Zijn de mogelijke risico’s verbonden aan doelstellingen

+/ -

Worden getroffen beheersmaatregelen geevalueerd? Worden de te nemen acties gepriotiseerd en is er een plan van aanpak om de activiteiten op te pakken?

+/ -

PO10 beheer Projecten Is er een kader van het portefeuille beheer voor de IT investeringen opgesteld? Worden projectcontrollers ingezet om de resultaten van de projecten te bewaken?

+

Is er een efficiënte controle op projecten en projectveranderingen.

-

Worden de IT investeringen beheerst en bewaakt?

32 Versie: 1.0

+

-


Hieronder vind u een toets aan een aantal activiteiten die vallen onder de beheersdoelstellingen van het domein Deliver and support (DS). DS8 Beheer service desk en Incidenten DS3 Beheer Prestaties en Capaciteit Worden de prestaties en capaciteit van IT middelen gemonitoord? Worden gap analyses uitgevoerd om mismatches te identificeren? Tussen planning en werkelijkheid) Worden continu de beschikbaarheid, de prestaties en de capaciteit van IT gemonitoord en gerappoteerd?

Zijn er classificatie en escalatieprocedures opgesteld? + -

Worden incidenten tijdig ontdekt en geregistreerd Worden incidenten geclassificeerd,onderzocht en een diagnose voor gesteld?

+

Worden incidenten opgelost en afgesloten?

+ + + +

DS9 Beheer de Configuratie

DS4 Verzeker de continuiteit van de Dienst Is er een IT continuïteitskader?

-

Zijn er IT continuïteitsplannen? Worden wijzigingsbeheer procedures uitgevoerd om te verzekeren het de IT continuïteitsplan up-to-date is.

-

Zijn planningsprocedures voor configuratiebeheer opgesteld? Worden configuraties geverifieerd en gecontroleerd? (omvat ook opsporing van onbevoegde software).

+ +

+ DS10 Beheer Problemen

DS5 Verzeker de veiligheid van Systemen

Worden problemen geïdentificeerd en geclassificeerd?

Is er een IT beveiligingsplan opgesteld ? (op basis van Code of Practise)

+/ -

Word de statussen van de problemen gemonitoord?

Wordt het IT beveiligingsplan strikt gehandhaafd?

-

Is er een proces voor het beheren van identiteiten (users)? (toewijzen en afmelden, speciale rechten en wachtwoordbeheer) Worden potentiële en daadwerkelijke de veiligheidsincidenten gemonitoord? Worden gebruikerstoegangsrechten en bevoegdheden periodiek herzien? Worden regelmatig kwetsbaarheids controles uitgevoerd?

+ +

+/ -

DS11 Beheer Gegevens Worden eisen voor gegevensopslag bewaarvereisten vertaald naar procedures?

+/ -

-

Worden de backups gedraaid volgens een standaard regeling.

+

+/ +

Zijn er procedures voor het herstel van data/gegevens? (datarecovery)

+

Zijn er procedures voor migraties/ conversies

+/ -

Worden deze procedures gehandhaafd?

+/ -

33 Versie: 1.0


7 Theorie versus praktijk (knelpunten) De belangrijkste bevindingen voor de kwaliteit van gegevens en beheer op kwaliteit Wat is de huidige stand van zaken van ontwikkelde hulpmiddelen en standaarden? •

•

•

Vanuit de rijksoverheid worden de gemeenten niet gestimuleerd om Cobit te gebruiken en om kwaliteitsborging van IT-processen binnen de basisregistratie in te richten. Er worden door de rijksoverheid geen initiatieven ontplooid om Cobit te implementeren bij gemeenten. Hierdoor is binnen gemeenten weinig tot geen kennis over bestaande normen en raamwerken. Het ontbreken van deze kennis is een risico voor de beschikbaarheid en de betrouwbaarheid van de gegevens in de basisregistraties doordat het mogelijk is dat o.a. procedures omtrent gebruikersbeheer, continuïteitsmanagement, etc niet juist (of helemaal niet) worden uitgevoerd. COBIT is een IT-audit standaard en is nog niet gemeente specifiek gemaakt. NOREA heeft niet veel gedaan om deze standaard bekend te maken onder de gemeenten. Doordat er nog niets specifieks is aangeleverd zal elke gemeente dus de beveiligingsmaatregelen specifiek moeten maken en is er dus voor alle 350 gemeenten sprake van maatwerk. Het risico is dat elke gemeente het anders oppakt. Dit maakt het mogelijk dat gemeenten (onbewust) niet de juiste maatregelen nemen, waardoor de beschikbaarheid en de betrouwbaarheid van de landelijke voorziening niet gewaarborgd kunnen worden. En ander risico is dat een mogelijk gevolg is dat modellen en normenkaders opgesteld gaan worden terwijl deze al geruime tijd zijn ontwikkeld door specialisten in het vakgebied IT-audit. Ook is er weinig tot geen kennis van het vakgebied IT-audit, zodat de waarde van de ITauditor voorafgaand aan implementatie nauwelijks op waarde geschat kan worden. De landelijke programma’s wijzen ook niet op het specialistisch vakgebied van IT audit. Het risico is dat de IT-auditor pas na de implementatie wordt betrokken om een audit uit te voeren en vervolgens met een overzicht van tekortkomingen komt. Hierdoor dienen achteraf alsnog de nodige kwaliteitsmaatregelen getroffen te worden. De kosten hiervan zullen vele malen hoger zijn dan wanneerde IT-auditor direct aan het begin van de ontwikkeling betrokken zou zijn. Dit is dus een groot risico voor de efficiëntie.

Wat is de huidige wijze van invulling aan kwaliteitsborging bij verschillende gemeenten •

•

•

•

Als er al invulling wordt gegeven aan kwaliteitsborging, dan zal dit zich beperken tot de grote gemeenten. Bij de kleinere zal naar verwachting helemaal geen of weinig kennis zijn van kwaliteitsborging en van de bestaande normen en raamwerken. Het ontbreken van deze kennis is een risico voor de beschikbaarheid en de betrouwbaarheid van de gegevens in de basisregistraties doordat het mogelijk is dat o.a. procedures omtrent gebruikersbeheer, continuïteitsmanagement, etc niet juist (of helemaal niet) worden uitgevoerd. Door het gebrek aan bestuurlijke aandacht is er geen afstemming tussen business en IT, zodat ICT alleen als ondersteunend (middel) gezien wordt en niet als mogelijkheid om de doelstellingen te behalen (instrument). Risico hierbij is dat de kans bestaat dat de keuze voor ICT niet aansluit op de doelstellingen van de organisatie en kwaliteitsborging niet de aandacht krijgt die het eigenlijk nodig heeft. Doordat een project als de basisregistraties getrokken wordt door voornamelijk de ICT afdeling, ontbreekt vaak de kennis en deskundigheid van een IT-auditor. Dit is ook een gevolg van het feit dat er een grote hoeveelheid van ICT vernieuwingen op gemeenten afkomt en er onvoldoende capaciteit en beperkte deskundigheid beschikbaar binnen gemeenten. Beheersmaatregelen zullen dan getroffen worden op basis van ervaring van ICT specialisten. Risico hierbij is dat niet de juiste maatregelen getroffen worden, waardoor de beschikbaarheid en de betrouwbaarheid van de landelijke voorziening niet gewaarborgd kunnen worden. Door het ontbreken van een IT plan, ontbreekt vaak de samenhang tussen ICT projecten en bestaat de mogelijkheid dat vraagstukken van de projecten betreffende de basisregistraties (zoals terugmeldplicht) niet uniform worden opgepakt, maar kiest ieder project zijn eigen oplossing. Doordat iedereen zijn eigen oplossing bedenkt en doordat dit tevens niet volgens standaard normenkaders wordt gedaan is het goed mogelijk dat niet de juiste maatregelen getroffen worden. Risico’s voor kwaliteit is dat niet de juiste beveiligingsmaatregelen worden

34 Versie: 1.0


•

ingericht (bijvoorbeeld de procedures omtrent deze melding zijn niet goed ingericht en dekken niet de risico’s), waardoor de beschikbaarheid en de betrouwbaarheid niet gewaarborgd kan worden. Geen (weinig) sprake van ketenbenadering. Om bepaalde doelen te behalen van het collegeprogramma, dienen verschillende partijen in de keten met elkaar samen te werken. Gegevens die bij gemeenten geregistreerd worden dienen gebruikt te worden door de verschillende uitvoeringsorganisaties en vice versa. Indien de fasen niet op elkaar aansluiten zal de samenwerking achterblijven. Hierdoor kan een ririsico worden gelopen met betrekking tot de kwaliteit (tijdigheid, juistheid) van de implementatie.

Wat zijn de huidige gehanteerde kwaliteitsmaatregelen of beheersingsmaatregelen? •

De perceptie van medewerkers op kwaliteit en kwaliteitsbeheersing is binnen de projecten als de basisregistraties zeer ‘eng’. Het voldoen aan de eisen die opgelegd worden door de rijksoverheid (over bijvoorbeeld processen en objecten binnen BAG) wordt gezien als het behalen en beheersen van kwaliteit. Het risico hierbij is dat de general IT controls niet worden ingevoerd.

35 Versie: 1.0


DEEL 4: Conclusies en Aanbevelingen

36 Versie: 1.0


8 Conclusies van het onderzoek Deze scriptie vormt geen sluitstuk, maar juist het begin van een nieuw traject waarin de kwaliteitsborging van de gemeentelijk basisregistraties het belangrijkste speerpunt is. Het advies is dit te doen in nauw overleg met betrokken partijen zoals EGEM. De samenwerking met EGEM kan op meerdere terreinen een belangrijke toegevoegde waarde hebben voor de projectorganisaties van het ministerie van VROM in haar rol van ondersteuner richting gemeenten. De vraag die in dit onderzoek centraal stond was: Op welke wijze wordt de kwaliteitsborging van authentieke basisregistraties binnen het gemeentelijke domein op uniforme en integrale wijze gerealiseerd en getoetst ? Op basis van de genoemde bevindingen heb ik de volgende conclusies getroffen: 1.

Op dit moment wordt er door de verschillende projecten en EGEM weinig tot niets opgeleverd m.b.t. kwaliteitsborging. Er is wel een EGEM quickscan ontwikkeld, maar gemeenten hebben niet de kennis en capaciteit om dit verder uit te werken en in te voeren. Tevens is dit niet specifiek gericht op het beheer van de kwaliteit van de IT omgeving.

2.

De huidige invulling van kwaliteitsborging laat veel te wensen over. Er wordt geen gebruik gemaakt van algemeen aanvaarde standaarden. De huidige wijze van kwaliteitsborging is zeker niet toereikend om de kwaliteit (en de kwaliteitsaspecten) van de basisregistraties te kunnen waarborgen.

37 Versie: 1.0


8.1 Aanbevelingen Beantwoording van onderzoeksvraag 5 Op welke wijze kan er voor worden gezorgd dat de gemeenten de kwaliteit op de juiste wijze kunnen borgen? De kwaliteit van de basisregistraties is voor een belangrijk deel afhankelijk van de inspanningen van samenwerkende ketenpartners. Kwaliteitszorg is een gedeelde verantwoordelijkheid van registerhouder, afnemers en burgers. De overheid heeft hierin een leidende rol vanuit haar taak als registerhouder en draagt de eindverantwoordelijkheid voor het register. Er dient gestreefd te worden naar een landelijk, uniform basiskwaliteitsniveau. Dit niveau (de ondergrens) dient door gemeenten en afnemers gezamenlijk geformuleerd te worden. Partijen dragen ieder hun aandeel bij om het gewenste basiskwaliteitsniveau tot stand te brengen. Het is aan gemeenten via welke processen men vervolgens het minimale kwaliteitsniveau bereikt en of men daarnaast extra maatregelen wil nemen ter verhoging van de kwaliteit van de basisregistraties.[werkgroep kwaliteit GBA, 2005] Cobit is naar mijn mening een zeer geschikt middel om de kwaliteit van de basisregistraties te borgen. Aanbeveling 1: Cobit Het CobiT framework is gebaseerd op de ‘beste praktijk’ voor de beheersing van IT-processen en zorgt ervoor dat belangrijke elementen niet over het hoofd worden gezien. CobiT kan echter niet worden gebruikt als een 'kookboek' met pasklare oplossingen en/of adviezen voor het verbeteren van de algehele kwaliteit van de IT. De algemene guidelines van COBIT, dienen nog organisatie- en situatiespecifiek gemaakt te worden. Kortom; CobiT biedt geen ‘one size fits all’ maar vereist degelijke en inhoudelijke tuning naar de specifieke organisatie en autistsituatie. Hieruit kunnen de volgende aanbevelingen worden afgeleid: • •

EGEM en NOREA dienen gezamenlijk een actievere communicatie in te richten over de rol die CobiT zou kunnen invullen. Publicaties en presentaties op informatiedagen. Er dient een manier gevonden te worden om CobiT zo veel mogelijk ‘one size fits all’ te maken. Er dient een samenhangend pakket van maatregelen ter waarborging van de kwaliteit van de informatievoorziening te worden opgesteld (een standaard toetsingskader).

Aanbeveling 2: De afstemming tussen business en IT Zorg dat de keuze voor de IT ondersteuning aansluit met de doelstellingen van de organisatie en stem hierop de IT besturing af. De vraag vanuit de organisatie en aanbod door de ICT-dienstverlening dienen goed op elkaar te worden afgestemd. Enkele oplossingsrichtingen ter ondersteuning van de IT besturing zijn: 1. beschouw IT uitgaven als investeringen die bijdragen aan de businessstrategie, neem deze op in een IT portfolio en gebruik dit als basis voor de besluitvorming; 2. ontwikkel een architectuur en gebruik deze als referentiekader; 3. maak de business strategie meetbaar door deze te vertalen naar kritieke succesfactoren en prestatie-indicatoren en gebruik de meetresultaten als basis voor de besluitvorming; 4. vertaal de business strategie naar een IT strategie en gebruik deze als referentiekader. Aanbeveling 3: Nulmeting IT-Governance Gemeenten kunnen een nulmeting (laten) uitvoeren door it-auditors voor het vaststellen van de uitgangssituatie. Deze nulmeting verschaft inzicht in de mate waarin de organisatie haar kwaliteitsborging heeft ingericht. Deze nulmeting wordt uitgevoerd aan de hand van een (standaard) toetsingskader op basis van algemeen geaccepteerde criteria. Indien uit deze nulmeting hiaten blijken, worden gerichte verbeteracties door de auditors aanbevolen. Op basis van deze aanbevelingen wordt een verbetertraject gestart, dat nauw wordt gerelateerd aan het de elektronische overheid, waarvoor de resultaten van de

38 Versie: 1.0


audit als input dienen. Tijdens een verbetertraject kunnen op basis van tussenevaluaties adviezen over opzet en bestaan worden verstrekt. IT-auditors hebben hierin een adviserende rol en een toetsende rol. Zij kunnen vanuit hun achtergrond ook een faciliterende en adviserende rol vervullen bij het ontwerpen en inrichten van een ITGovernance raamwerk dan wel onderdelen hiervan. De IT-auditor moet zich bij het vervullen van zijn rol(len) altijd bedacht zijn op het risico van belangenverstrengeling, wanneer hij combinaties van rollen gelijktijdig vervult De IT-auditor kan een toegevoegde waarde leveren in het efficiënt en effectief toepassen van Cobit. Aanbeveling 4: Draagvlak creëren bij het bestuur Maak duidelijk wat de voordelen kunnen zijn betreffende tijd geld en kwaliteit en maak duidelijk dat ICT niet alleen ondersteunend is, maar dat het kan helpen de doelen van de organisatie te bereiken Informatisering zou in een gemeentebreed standaard overleg moeten terugkeren. De ICT vernieuwingen kunnen aan het collegeprogramma (aan de politieke agenda) gekoppeld worden. Maak duidelijk wat de invoering kan betekenen voor de doelstellingen van het bestuur. Wat betekent de invoering van de basisregistraties voor maatschappelijke ondersteuning of jeugd en onderwijs. Door deze centrale belangstelling zal de effectiviteit en doelmatigheid van de ICT toepassingen verbeteren. Maak duidelijk aan bestuurders hoe belangrijk het is en hoe inefficiënt er nu gewerkt wordt binnen de gemeente. Laat zien wat een gezamenlijke aanpak kan betekenen en wat de basisregistraties voor rol hebben daarin. Betere zorg, snellere doorlooptijden, betere/striktere controle mogelijk op aanvragen Aanbeveling 5: Beschikbare capaciteit en deskundigheid Indien kennis niet in huis is om de verschillende inventarisaties te maken zoek dan gemeentes op die deze kennis wel hebben en/of deze inventarisatie al succesvol gedaan hebben en leer van hun ervaringen. Zoek eventueel gemeentes op die die deskundigheid of capaciteit ook niet in huis hebben, zodat gezamenlijk ingehuurd kan worden. Aanbeveling 6: Handboek betreffende de beheersmaatregelen voor de basisregistraties EGEM zou in samenwerking met IT-auditors een handboek met beheersmaatregelen (general ITcontrols) specifiek voor de basisregistraties kunnen opstellen die gemeenten kunnen gebruiken bij het invoeren en beheersen van de integriteit van de basisregistraties.

39 Versie: 1.0


DEEL 5: Afsluiting

40 Versie: 1.0


9 Epiloog Het proces dat ik heb doorlopen tijdens het opstellen van deze scriptie is een continu verbeterproces geweest. Het begon bij een idee en na een paar gesprekken had ik een probleem gedefinieerd. Nadat ik het probleem gedefinieerd had heb ik lang onderzoek gedaan naar verschillende modellen die mogelijk als theoretisch kader zouden kunnen dienen. Tijdens de zoektocht naar een goed theoretisch kader werd het probleem ook steeds concreter. Hierdoor kon ik keuzes maken tussen bestaande modellen. Naar het voeren van de interviews was ik in staat een keuze te maken tussen de 2 modellen die ik nog over had en kon ik hierdoor ook mijn bevindingen doen. Kort gezegd, was het schrijven van deze scriptie een continu proces van bijstellen zonder direct te weten waar het zou eindigen. Het op een gestructureerde wijze een probleem aanpakken, het verwerken van de informatie uit het onderzoek en deze op een heldere wijze op te schrijven was voor mij een zeer leerzaam proces. Ik heb nu de mogelijkheid gehad om mij te verdiepen in een specifiek onderwerp dat mij erg aansprak en dat ik direct kon toepassen in de praktijk. Het heeft mij laten zien waar de problemen bij gemeenten liggen. Maar niet alleen de problemen die uit dit onderzoek naar voren zijn gekomen, ook voor de problemen in mijn huidige werkzaamheden binnen de gemeente heb ik geleerd om verder (breder) te kijken dan het probleem dat zich in eerste instantie laat blijken. Nu ik Cobit heb getoetst aan de praktijk zie ik ook pas de kracht van het model. Ik begrijp het model nu veel beter (waar ik het voorheen probeerde te leren, begrijp ik het nu). Nu ik het model beter ken, begrijp ik pas echt hoe het model in de praktijk ingezet kan worden en hoe alles met elkaar samenhangt en dat elk onderdeel dat niet meegenomen wordt een risico is voor de kwaliteit van de gegevens. Ik begrijp dat dit nog maar het begin is en dat ik nog een heel proces te gaan heb, om mij echt een deskundige te noemen, maar ik heb nu een onderzoeksproces doorlopen onder begeleiding van twee geweldige begeleiders. Doordat zij mij zo goed hebben geholpen de afgelopen periode heb ik nu voor de toekomst een zeer goed handvat hoe ik toekomstige onderzoeken ga vormgeven en hoe ik mijn kennis verder moet vormgeven. Tevens zie ik nu in dat ik niet alleen mijn eigen kennis verder moet gaan vormgeven en mij meer moet verdiepen op het onderdeel IT-governance, maar na het voeren van de interviews is mij ook duidelijk geworden dat weinig anderen in de organisatie die kennis ook hebben en dat er voor mij een rol is weggelegd om die kennis bekend te maken in de organisatie en het besef en noodzaak duidelijk te maken.

41 Versie: 1.0


BIJLAGEN

42 Versie: 1.0


Bijlage I: Literatuurlijst Titel

Auteur(s)

Op weg naar de elektronische overheid

De Graaf Brinkhorst

Presentatie Gemeenten, architectuur en DIV Vermenigvuldigen door delen, 11 stappen om te komen tot intergemeentelijke ICT-samenwerking

Ralf Meelker

EGEM

december 2006

ZENC

EGEM

Januari 2007

Puzzelen met prioriteit Publicatie Cobit

Duivenboden / Rietdijk Wikipedia

EGEM

Oktober 2005 2006

Wat is total Quality management

Adburdias

Online publicatie

Uitwerkingen van Cobit in een ministeriële omgeving The benefits of standard ITGovernance frameworks IT-Governance, een verkenning

Willemsen

2001

George Spafford

2003 IT-

Norea

2004

Norea Studierapport nr.2 Norea Geschrift nr.1

Werkgroep Oordelen Studiegroep inhoud ITauditing Programmabureau EGEM

Norea Norea

Juni 2003 1998

EGEM

2007

Handreiking Strategie Egemeente Grip op informatievoorziening IT-governance bij ministeries Cobit 4.0

Informatiebrochure INK

Kennidgroep Governance

In opdracht van

Publicatiedatum 2004

Algemene Rekenkamer

2006

IT Governance Institute ISACA (www.isaca.org) INK (www.ink.nl)

2005

Vermenigvuldigen door delen, 11 stappen om te komen tot intergemeentelijke ICT-samenwerking. Een onderzoek door Zenc, in opdracht van EGEM en de VNG.

Havermans en Woudenberg

EGEM en VNG

2007

Binnengemeentelijk gebruik en afname Basisregistraties voor Adressen en Gebouwen Een verkenning van het speelveld

Marcel Rietdijk Tanaquil Arduin Ralf Meelker

VROM

Juli 2006

Afstudeerscriptie “Naar een Succesvolle Invoering van Basisregistraties

W. Dullaart

Atos Consulting

December 2005

43 Versie: 1.0


Beheer van ICT voorzieningen Visie 2015, publieke dienstverlening professionele gemeenten

Th. T. G. Thiadens

2002

VNG Commissie Gemeentelijke Dienstverlening (Commissie Jorritsma)

2005

44 Versie: 1.0


Bijlage II: namen van geïnterviewden

Dhr. R. Gort

Informatiemanager en projectleider BAG

Gemeente Zaanstad

Mevr. B. Smit

Sr. Adviseur Informatiebeleid en programmanager Basisregistraties gemeente Zaanstad

Gemeente Zaanstad

Dhr. R. Harmsma

Afdelingshoofd ICT

Gemeente Zaanstad

Dhr. T. Mak

Afdelingshoofd Wkpb

Dhr. T. Peters

Afdelingshoofd Informatievoorziening

Gemeente Alkmaar

Dhr. R. van der Vlught

I-Adviseur en projectleider BAG

Gemeente Alkmaar

GEO

en

projectleider

Gemeente Alkmaar

45 Versie: 1.0


Bijlage III: Interview vragenlijst

1.

Is er binnen uw gemeente/het programma Stroomlijning Basisgegevens sprake van een integrale aanpak van de implementatie van kwaliteitsborging. (als voorbeeld terugmeldplicht), Of pakt iedereen het zelfstandig op?

2.

Wat verstaat u onder kwaliteitszorg?

3.

Hoe heeft u de kwaliteitsborging ingericht? Welke maatregelen heeft u getroffen voor kwaliteitsbewaking (kwaliteitszorg)

4.

Kunt u toelichten waarom u (uw gemeente) voor juist deze oplossing van kwaliteitsborging

5.

Bent u bekend met aanvaarde standaarden/ modellen voor integrale kwaliteitszorg?

6.

Past u die modellen toe? In hoeverre past u die modellen toe?

7.

Werken jullie samen met andere gemeenten of partijen (in de keten)om de kwaliteitszorg in te richten?

8.

Bent u/Is uw gemeente op de hoogte van de aanvaarde standaarden/modellen voor auditing en past u die ook toe?

9.

Denkt u dat een IT-auditor daar bij kan helpen? Wat weet u over het vakgebied IT-auditing?

10. In hoeverre maakt uw gemeente gebruik van de vanuit Rijksoverheid geboden diverse producten en diensten (zoals standaarden en referentiemodellen) die ondersteuning bieden bij de implementatie? Welke initiatieven kunt u noemen? {EGEM/verschillende projecten} 11. Aan welke ondersteuning (zoals standaarden en referentiemodellen) heeft u behoefte? 12. Zijn er nog facetten die in dit interview niet aan de orde zijn geweest, maar wel aandacht verdienen in dit onderzoek? 13. Heeft u nog documenten die ik kan gebruiken voor mijn onderzoek?

46 Versie: 1.0

Kwaliteitsborging bij gemeentelijke basisregistraties

Recommend Documents