Tussentijdse beleidsevaluatie Kadernota ICT-beleid

Tussentijdse beleidsevaluatie Kadernota ICT-beleid 2013-2015 Rapport

Datum

31 oktober 2014

Inhoudsopgave 1

MANAGEMENTSAMENVATTING ........................................................................................................ 5 1.1 1.2 1.3

2

ONDERZOEK .................................................................................................................................... 13 2.1 2.2 2.3 2.4 2.5 2.6

3

INLEIDING ........................................................................................................................................... 5 IS HET BELEID EFFECTIEF EN EFFICIËNT UITGEVOERD? ................................................................................... 5 AANBEVELINGEN ................................................................................................................................ 12

AANLEIDING ...................................................................................................................................... 13 DOELSTELLING/ONDERZOEKSVRAAG....................................................................................................... 13 ONDERZOEKSOBJECTEN ....................................................................................................................... 14 TOETSINGSKADER ............................................................................................................................... 14 AANPAK ONDERZOEK .......................................................................................................................... 14 RAPPORTAGE .................................................................................................................................... 14

BEVINDINGEN .................................................................................................................................. 15 3.1 INLEIDING ......................................................................................................................................... 15 3.2 I-VISIE: INSPELEN OP EXTERNE EN INTERNE ONTWIKKELINGEN ..................................................................... 15 3.2.1 Open overheid/open data ......................................................................................................... 15 3.2.2 Overheidsloketten ..................................................................................................................... 15 3.2.3 Basisregistraties ........................................................................................................................ 16 3.3 SAMENWERKING ................................................................................................................................ 17 3.3.1 Interprovinciaal ......................................................................................................................... 17 3.3.2 Brabant regio (gemeenten, waterschappen, kennisinstituten, etc.) ......................................... 17 3.4 ARCHITECTUUR EN BEVEILIGING ............................................................................................................ 17 3.4.1 Werken onder architectuur ....................................................................................................... 17 3.4.2 Beveiliging ................................................................................................................................. 18 3.4.3 Bevindingen en aanbevelingen accountant .............................................................................. 22 3.5 PROJECTEN EN BEHEER (VAN PROJECTEN) ................................................................................................ 23 Projectbewaking .................................................................................................................................... 23 3.5.1 Beheer ICT infrastructuur .......................................................................................................... 25 3.6 MIDDELEN EN BESTURING .................................................................................................................... 26 3.6.1 Middelen ................................................................................................................................... 26 3.6.2 Besturing ................................................................................................................................... 27 3.7 SPEERPUNTEN 2013-2015 ................................................................................................................. 29 3.7.1 Digitaal werken ......................................................................................................................... 30 3.7.2 Technische basis op orde .......................................................................................................... 30 3.8 INFORMATIEVOORZIENING PS EN OPVOLGING AANBEVELINGEN ZRK ............................................................ 32 3.8.1 Begroting, jaarstukken en tussentijdse verantwoordingsdocumenten ..................................... 33 3.8.2 Opvolging aanbevelingen ZRK .................................................................................................. 33

BIJLAGEN ................................................................................................................................................. 35 BIJLAGE 1 GERAADPLEEGDE DOCUMENTEN ............................................................................................. 37

Tussenevaluatie Kadernota ICT-beleid 2013-2015

3/3

BIJLAGE 2 GERAADPLEEGDE PERSONEN ................................................................................................... 39 BIJLAGE 3 CHECKLIST EVALUATIE-RAPPORTAGE (STUREN MET KADERS) ................................................. 41 BIJLAGE 4 STATENVOORSTEL 15/13 A ...................................................................................................... 45 BIJLAGE 5 STRATEGISCH INFORMATIEBELEID PROVINCIE NOORD-BRABANT: AANBEVELINGEN ZUIDELIJKE REKENKAMER (6 FEBRUARI 2012) ............................................................................................................ 47 BIJLAGE 6 INSTRUCTIE BIJ GEHEIM DOSSIER ............................................................................................ 49 BIJLAGE 7 INSTRUCTIE VERTROUWELIJKE INFORMATIE ........................................................................... 51 BIJLAGE 8 ONDERWERPEN BRABANT DATABANK (OKT 2014) .................................................................. 53 BIJLAGE 9 OPEN DATA .............................................................................................................................. 55 BIJLAGE 10 EVALUATIE GEBRUIK BERICHTENBOX VOOR BEDRIJVEN DOOR GEMEENTEN ......................... 61 BIJLAGE 11 OPMERKINGEN ACCOUNTANT EN REACTIE GS MET BETREKKING TOT ICT ............................. 65 BIJLAGE 12 BEGROTING EN JAARSTUKKEN ICT ......................................................................................... 75 BIJLAGE 13 BESPARINGEN N.A.V. LICENTIEBEHEER .................................................................................. 79 BIJLAGE 14 HOOFDCONCLUSIES RAPPORT TELEFONIE ASSESSMENT ........................................................ 81 BIJLAGE 15 ROUTEKAART ......................................................................................................................... 83


4/4

1

Managementsamenvatting

1.1 Inleiding In de Kadernota ICT 2013-2015 is de ICT-ambitie van de provincie Noord-Brabant voor de periode 2013 tot en met 2015 weergegeven. Gedurende het proces van vaststelling van de Kadernota, is met Provinciale Staten (PS) afgesproken dat in de tweede helft van 2014 een verslag over de voortgang van de realisatie van het ICT-beleid wordt aangeboden. Het door PS gewenste ambitieniveau is als volgt omschreven: ‘eerst basis op orde en dan actief volger van ICT-ontwikkelingen op specifieke onderdelen mits onderbouwd door een goede business case’. Als speerpunten zijn benoemd: ‘de basis op orde’ en ‘digitaal werken’. In de Statenmededeling van 1 september jongstleden heeft GS de kernvraag en deelvragen voor dit onderzoek geformuleerd: Kernvraag: · Is het beleid effectief en efficiënt uitgevoerd? Deelvragen: · Hoe is er omgegaan met de uitgangspunten uit de Kadernota ICT-beleid 2013-2015? · Hoe is invulling gegeven aan de speerpunten uit de Kadernota ICT-beleid 2013-2015? 1. ICT Basis op orde; 2. Digitaal werken; · Hoe wordt invulling gegeven aan IT Governance (besturing ‘I-kolom’)? · Op welke wijze wordt Informatiebeveiliging toegepast? · Hoe wordt invulling gegeven aan projectbeheersing? · Hoe is er ingespeeld op ontwikkelingen? In aanvulling op voorgaande achten we het van belang om aan te geven hoe de informatievoorziening aan PS is vormgegeven. Daarbij wordt tevens ingegaan op de aanbevelingen van de Zuidelijke Rekenkamer (ZRK) naar aanleiding van haar onderzoek naar strategisch informatiebeleid. Afdeling Auditing en Procesmanagement is gevraagd om vanuit haar onafhankelijke rol het onderzoek uit te voeren en hierover te rapporteren. Hieronder worden de gestelde vragen beantwoord en aanbevelingen gedaan voor het vervolg van het beleid en de uitvoering daarvan.

1.2 Is het beleid effectief en efficiënt uitgevoerd? De in de kadernota genoemde speerpunten ‘basis op orde’ en ‘digitaal werken’ zijn voortvarend opgepakt en de verwachting is dat de in de bijbehorende routekaart opgenomen projecten binnen de toegekende budgetten voor de zomer 2015 zijn uitgevoerd. De doelstellingen van de kadernota zijn daarmee grotendeels bereikt. Het op orde brengen van de technische basis wordt binnen afzienbare tijd afgerond. Medewerkers kunnen beschikken over


5/5

de nodige hard- en software én trainingen om digitaal te kunnen werken; steeds meer plaatsen tijdonafhankelijk. De organisatie is aangescherpt op de sturing op ICT, die duidelijk verankert is op cluster en directieniveau. Neemt niet weg dat er nog wel enkele wezenlijke kanttekeningen zijn te maken. Deze worden met de beantwoording van de deelvragen weergegeven. Hoe is omgegaan met de uitgangs- en speerpunten uit de Kadernota ICT-beleid 2013-2015? In de kadernota zijn als belangrijke uitgangspunten geformuleerd: · de basis moet op orde; · er wordt zoveel mogelijk gebruik gemaakt van bewezen technologie; · voorrang wordt gegeven aan oplossingen die efficiency bevorderen en verouderde ICTvoorzieningen vervangen; · na 2014 wordt gekeken waar de provincie de rol van actieve volger kan innemen (best practices met een korte terugverdientijd); · als speerpunten zijn benoemd ICT basis op orde en digitaal werken. De uitgangs- en speerpunten zijn uitgewerkt in een routekaart met projecten. De provincie is actief op het gebied van open overheid/open data. Voorbeelden hiervan zijn de open-data site en de databank van de provincie. Ook op het gebied van overheidsloketten, basisregistraties en samenwerking op IPO- en Brabant-niveau heeft de provincie invulling gegeven aan de doelstellingen zoals opgenomen in de kadernota. Door de toename van het aantal sites en uitbreiding en vernieuwing van licenties zijn de beheerkosten structureel hoger. Architectuur neemt een meer prominente plek in dan voorheen bij het beoordelen van de aanvragen van nieuwe projecten en het in gebruik nemen van applicaties. Daarmee is geborgd dat nieuwe applicaties niet verstorend werken voor het netwerk en andere applicaties. De architectuur is beschreven en het wijzigings- en configuratiebeheer is ingericht. Licentiebeheer is eveneens meer onder de aandacht, hetgeen tot kostenbesparingen leidt. Wel wordt opgemerkt dat het afhankelijk is van de projectleider of en in welke stadium licentiebeheer wordt betrokken. Uit de beschikbare informatie en gesprekken is duidelijk geworden dat veel verouderde ICTvoorzieningen zijn vervangen. Dit is echter niet goed in aantallen uit te drukken vanwege onduidelijke definities van applicaties en versies daarvan. Het huidige applicatielandschap biedt wel goed inzicht in de bestaande applicaties en versies. Nieuwe informatievragen en vragen naar applicaties worden getoetst op al aanwezige informatiedragers/applicaties en waar mogelijk worden direct bestaande applicaties gesaneerd. Verder is aangegeven dat het aantal applicaties als gevolg van de implementatie van Windows 7 nog verder kan dalen. Voor de projecten die onderdeel uitmaken van de basis op orde is een routekaart opgesteld. Geconcludeerd kan worden dat de routekaart ook daadwerkelijk als routekaart functioneert. Voor de periode 2013 en 2014 zijn de afzonderlijke projecten allemaal opgepakt en is het programma


6/6

grotendeels afgerond of dusdanig ver in ontwikkeling dat afronding nog in 2014 of uiterlijk 2015 kan plaatsvinden. De · · ·

projecten die zijn afgerond zijn: migratie naar Office 2010; migratie naar Outlook; migratie naar Active Directory van Microsoft.

De projecten die nog doorlopen zijn: · installatie nieuwe telefooncentrale (in afrondende fase); · migratie naar Windows 7 in combinatie met Citrix/Thin clients (voor plaatsen tijdonafhankelijk werken); · verhuizing en modernisering serverpark; · migratie naar Oracle 11; · Corsa Nxt voor o.a. kwaliteitsverbetering op het gebied van besluit-, dossiervorming en archivering. De doorlooptijd van een aantal van de projecten is langer dan aanvankelijk gepland. Dat neemt niet weg dat aangegeven wordt dat de projecten met het bestaande budget kunnen worden uitgevoerd, waarbij de kanttekening wordt gemaakt dat het definitieve financiële plaatje voor de afronding van Corsa nog niet in beeld is. De resterende projecten worden naar verwachting voor de zomer 2015 afgerond. De afgeronde projecten kenden geen noemenswaardige problemen in de uitvoering. Bij de projecten die nog doorlopen moet worden opgemerkt dat de nieuwe telefooncentrale in gebruik is genomen, waarna forse problemen naar voren zijn gekomen met betrekking tot bereikbaarheid en kwaliteit. Hierop zijn noodmaatregelen getroffen en is een aanvullend project gestart om de problemen te verhelpen. Naar verwachting zijn voor het eind van het jaar alle problemen verholpen en wordt de telefooncentrale definitief in beheer genomen. De belangrijkste leerpunten hebben betrekking op: · beter betrekken van de gebruikers; · beter gehoor geven aan signalen/kanttekeningen die tekortkomingen/risico’s aangeven. Verder wordt opgemerkt dat het project Rationaliseren van het applicatielandschap meer een structureel karakter heeft gekregen. Hier zijn geen expliciete doelstellingen voor geformuleerd en ook de te saneren applicaties zijn niet expliciet benoemd. Het programma Digitaal werken heeft zich actief op de medewerkers gericht langs drie lijnen: 1. I/ICT voorzieningen op peil Ingevoerd of vernieuwd zijn: een samenwerkingsplatform voor diverse beleidstrajecten, videobellen/conferencing, Skype-voorzieningen, functionele ICT- eisen voor de nieuwe werkplekken, Bring Your Own Phone/Tablet (BYOP/BYOT), notepads voor opleidingsdoeleinden, Brain extern toegankelijk en uitbreiding van de Telegids. 2. Leren


7/7

De medewerkers zijn actief opgezocht met: wekelijkse inloopsessies digitaal werken, workshops MS Office 2010, workshops in het kader van de Zomer Academie, instructiekaarten en handleidingen op Brain, Yammer-sessies, trainingen Social Media, gebruik Ipads/tablets en SharePoint. 3. Ondersteuning Hiertoe zijn diverse activiteiten gestart: verbetering samenwerking Dienstenplein en ICT, verbetering informatie op Brain, een heldere ondersteuningsstructuur voor complexe, concernbrede applicaties zoals Corsa en SAP, ontwikkeling van een dienstverleningsconcept vanuit ICT ten behoeve van een meer flexibele en klantgerichte ondersteuning en verbetering van de sturing op verbeteringen en beheer van Corsa. Consequentie is dan ook dat nieuwe ontwikkelingen snel zijn omarmd door de organisatie en ook veelvuldig worden gebruikt. Hoe wordt invulling gegeven aan IT Governance (besturing i-kolom)? De organisatiestructuur is vormgegeven zoals in de kadernota is opgenomen. Er is een nieuwe directeur bedrijfsvoering/CIO in dienst getreden per 1 september 2013 en per 1 mei 2014 ook een nieuwe clustermanager ICT en Informatiemanagement. Deze functie werd daarvoor door een externe ingevuld. Daarmee is ICT geborgd op directieniveau en op centraal management team niveau. Doordat de directeur bedrijfsvoering/CIO ook deelneemt aan de AAC Middelen is ICT ook op het niveau van het IPO voldoende gezekerd. De CIO en de clustermanager kennen een direct hiërarchische lijn en hebben frequent overleg. Het goed doortrekken van deze sturings- en verantwoordingslijn tot op medewerkerniveau behoeft nog wel de nodige aandacht. Voor de besluitvorming over projecten is in het verleden gewerkt met een concernbrede projectenportfolio. Met de komst van de kadernota is een routekaart opgesteld met de nadruk op ICT basis op orde en digitaal werken. Momenteel wordt gewerkt aan een nieuwe Kennis en informatiestrategie en wordt gedacht aan het invoeren van een I-board met als doel de projecten te prioriteren, vergelijkbaar met de vroegere projectenportfolio afweging. De I-board zal sterk worden bezet met de ‘business’, onder meer op het niveau van clusterdirecteur(en). De IT-controller is organisatorisch geplaatst binnen de I-kolom vanwege het belang om goed zicht te houden op activiteiten en de uitvoering daarvan. De IT-controller is voor wat betreft het risicomanagement aangesloten bij concerncontrol. In de kadernota wordt gesproken over het invullen van sleutelposities met eigen mensen. Daarbij wordt gesproken over o.a. projectleiders en informatieanalisten. In de praktijk zien we dat inderdaad interne medewerkers zijn aangesteld als projectleider respectievelijk informatieanalist. Deze medewerkers krijgen de nodige (externe) begeleiding en ondersteuning om in hun functies te groeien. De meningen over de definitie van sleutelposities en de daarbij behorende aantallen lopen uiteen. Dit gebrek aan eenduidigheid zorgt ervoor dat er geen heldere aanpak is om de functies intern in te vullen. Daarbij lijken er de nodige functies kwetsbaar, omdat deze worden ingevuld zonder goede achtervang. Op welke wijze wordt Informatiebeveiliging toegepast?


8/8

Informatiebeveiliging heeft de afgelopen jaren veel aandacht gekregen en zal dit ook blijven krijgen. Er is een informatiebeveiligingsbeleid en jaarlijks wordt een informatiebeveiligingsplan opgesteld. Er wordt voldaan aan NEN ISO normen en IPO kaders. Om te bepalen in hoeverre onze organisatie voldoet aan de gestelde normen, wordt jaarlijks een quickscan uitgevoerd en een actieplan opgesteld en in uitvoer genomen. De provincie neemt deel aan een pilot met IBD-gemeenten (informatiebeveiligingsdienst gemeenten). In lijn met de doelstellingen op nationaal (taskforce IBD) en lokaal niveau om het bewustwordingsniveau op het gebied van de informatiebeveiliging te verhogen, is een mystery guest onderzoek uitgevoerd en worden naar aanleiding daarvan de nodige maatregelen genomen. Die maatregelen hebben betrekking op: · fysieke toegang; · technische omgeving; · veiligheid Bring Your Own Device (BYOD) en open WIFI gebruik; · Bewustwording (Phishing-onderzoek). Recent (september 2014) is aanvullend een penetratietest uitgevoerd op de website van de provincie (www.brabant.nl). Hierbij kon geen ongeautoriseerde toegang tot systemen of data worden verkregen, maar zijn wel een aantal belangrijke verbeterpunten vastgesteld. De verbeterpunten laten zich als volgt samenvatten: · besteed meer aandacht aan het veilig ontwikkelen van web applicaties, specifiek ook op het gebied van invoervalidatie; · besteed meer aandacht aan het veilig configureren van de web applicaties en systemen waar de web applicaties op worden gehost en verwijder overbodige functionaliteiten; · dwing (waar nodig) versleuteling van het http-verkeer af voor de website en configureer dit op een veilige manier. Ook deze acties worden opgepakt. De organisatie Fox-IT die de penetratietest heeft uitgevoerd merkt op, dat de beveiliging van de website globaal genomen op het gemiddelde niveau ligt, van wat zij aantreffen in de publieke sector. Verder wordt door de accountant opgemerkt dat het niveau van general IT controls en application controls van voldoende niveau is om automatische gegevensverwerking te waarborgen. Wel wijst de accountant al wat langer op kwetsbaarheden in toegang tot SAP en vastlegging en monitoring van wijzigingen. Inmiddels is, als onderdeel van de kadernota, integraal wijzigingsbeheer ingericht. Hoe wordt invulling gegeven aan projectbeheersing? ICT projecten kennen besluitvorming door een stuurgroep en door het ICT-kernteam (IKT). Het IKT bepaalt of met haalbaarheidsstudie kan worden gestart en de stuurgroep of de oplossing die uit de haalbaarheidsstudie volgt acceptabel is. Vervolgens wordt er een project start document


9/9

opgesteld dat eveneens wordt geaccordeerd door zowel de stuurgroep als het IKT. Pas dan kan begonnen worden met de uitvoeringsfase van het project. De bewaking van de projecten in termen van tijd, geld, kwaliteit en dergelijke wordt primair bewaakt door de stuurgroep en komt periodiek ook terug in het IKT. Daar ligt de nadruk wat meer op aspect geld en ogenschijnlijk wat minder op de andere aspecten. Overigens worden de afhankelijkheden van de onderlinge projecten wel nadrukkelijk bewaakt zodat deze goed op elkaar worden afgestemd. We merken op dat niet alle projecten langs het IKT komen. Een voorbeeld daarvan is de ontwikkeling van Corsa Nxt. Het IKT is niet bij alle fasen van dit project betrokken geweest. Als argumentatie wordt meegegeven dat dergelijke projecten meer programmatisch worden aangestuurd waardoor de toegevoegde waarde van de standaard projectbenadering beperkter zou zijn. Ook wordt opgemerkt dat hierdoor sneller gehandeld kan worden. Verder wordt opgemerkt dat in de standaard werkwijze vanuit het IKT een projectleider wordt toegewezen die zich vooral bezighoudt met de technische implicaties van de projecten. De business wordt geacht zelf zorg te dragen voor de overige en meer organisatorische aspecten. Ook projecten die zich vrijwel uitsluitend binnen de I-kolom afspelen komen niet altijd op de IKTagenda. Bij een aantal projecten (o.a. nieuwe telefooncentrale en SAP grants) zien we dat de nadruk is komen te liggen op de technische aspecten daar waar de impact op gebruikers groot is. Bij deze projecten is de gebruikerskant van het project onvoldoende georganiseerd, heeft in de uitvoering onvoldoende aandacht gekregen en zijn de kritische signalen vanuit het project te gemakkelijk genegeerd. Dit vraagt zowel iets van zowel I-kolom als van de ‘business’ zelf. Consequenties daarvan zijn evident: ontevreden gebruikers en flinke aanvullende inspanningen en kosten om de projecten tot een goed einde te brengen. SAP-grants voorziet in het invullen van een duidelijke behoefte om het subsidieproces in een robuuste omgeving vast te leggen. Dit is een SAP module die niet kan worden bestempeld als ‘bewezen technologie’ omdat er geen vergelijkbare omgevingen zijn waar de module al in gebruik is genomen. Toch is vanwege het belang besloten om het project doorgang te laten vinden en aldus af te wijken van de uitgangspunten van de kadernota. De doorontwikkeling van Corsa borduurt voort op bestaande programmatuur maar moet meer voldoen aan de behoefte die door de provincie is gedefinieerd. Daarmee wordt toegewerkt naar een eigen ‘best practice’ met de risico’s van maatwerk en hogere beheer(s)lasten. Een totaaloverzicht van lopende en afgesloten projecten met de fase waarin deze zich bevinden wordt driemaandelijks gerapporteerd aan het IKT. Deze informatie wordt niet gedeeld met het centraal management team, de directie of het college. Hoe is er ingespeeld op ontwikkelingen? De routekaart zoals die is vastgelegd maakt een groot deel uit van de projectenportefeuille, maar niet alles. Nieuwe projecten krijgen de ruimte, mits deze voldoen aan de gestelde criteria,


10/10

kwaliteitseisen en binnen de bestaande budgetten kunnen worden opgepakt. Vooral doorontwikkeling op bestaande applicaties zoals SAP en Corsa maken hier onderdeel van uit. Informatiebeveiliging heeft een structureel karakter gekregen en toetsing daarvan wordt naar de laatste inzichten uitgevoerd. Ontwikkelingen in samenwerking, zoals op IPO-niveau, worden actief gevolgd. Daarnaast neemt de provincie deel aan enkele samenwerkingsverbanden. Momenteel wordt gewerkt aan de strategische opgave Kennis en informatiestrategie. Daarin moet een vernieuwde toekomstvisie worden vastgelegd met de doelen van de Agenda van Brabant als uitgangspunt. Daarbij wordt ook gekeken naar het opnieuw vormgeven van de projectenportfolioafweging en bijbehorende gremia voor besluitvorming en bewaking. Informatievoorziening aan PS en opvolging aanbevelingen ZRK PS worden via de reguliere planning & control cyclus geïnformeerd over de doelstellingen en de uitvoering van het ICT-beleid. Daarnaast is er met een Statenmededeling gecommuniceerd over het Regiepunt Regeldruk en Dienstverlening en de daarin opgenomen voortgang met betrekking tot open data, berichtenbox en interprovinciale samenwerking. Verdere informatievoorziening is niet aangetroffen. In de rapportage over het strategisch informatiebeleid heeft de ZRK aan GS aanbevelingen gedaan over het opstellen van een strategische visie, het invullen van een programmatische aanpak van de ambities, het verankeren van de CIO rol op directieniveau, het zwaarder vormgeven van het interne risicomanagement en het uitvoeren van beleidsevaluaties. Deze aanbevelingen zijn door GS geïmplementeerd. Het benoemen en beter organiseren van strategische en kwetsbare posities is nog een aandachtspunt. De ZRK spreekt ook over het nadrukkelijker benoemen van beleids- en bedrijfsrisico’s die samenhangen met de uitvoering van het provinciale informatiebeleid. Deze zijn niet expliciet opgenomen in de informatievoorziening aangezien deze -tot op heden- niet noemenswaardig zijn gebleken. In de begroting en jaarrekening wordt gefocust op de meest belangwekkende risico’s/risico’s met grootste impact. De aanbeveling aan PS om de paragraaf bedrijfsvoering in de begroting en jaarrekening ook in te richten langs de drie w-vragen (wat willen we bereiken, wat gaan we daarvoor doen en wat mag dat kosten) is geïmplementeerd. Daarin is tevens het ICT-beleid opgenomen. De tweede aanbeveling heeft betrekking op het laten rapporteren door de accountant over informatiebeveiliging, wijzigingsbeheer en back-up en recovery. Hier is door PS in samenspraak met de accountant invulling aan gegeven zoals blijkt uit de Boardletters en Accountantsverslagen die zijn gerapporteerd.


11/11

1.3 Aanbevelingen Op basis van de bevindingen en beantwoording van de onderzoeksvragen komen we tot een aantal aanbevelingen: 1. Zorg dat de resterende werkzaamheden uit de kadernota worden uitgevoerd. 2. Zorg voor een bijgewerkte en aangevulde routekaart voor 2015. Start met het in kaart brengen van de projecten voor de komende jaren. 3. Zorg voor een betere afweging en beheersing van de -toekomstige- projectenportfolio: a. Organiseer de nieuwe projectenportfolio-afweging; de genoemde I-board kan daarvoor het aangewezen gremium zijn. b. Overweeg vanwege het belang van betrokkenheid van de gehele organisatie, de CIO hier voorzitter van te maken. Alternatief is de besluitvorming over de portfolio finaal voor te leggen aan de directie. c. Zorg voor een meer heldere rol van Stuurgroepen, de I-board en het IKT bij de besluitvorming over en de uitvoering van projecten. Behoud daarbij de integrale weging van de ICT-aspecten zoals deze is opgenomen binnen het IKT. d. Zorg dat alle projecten in de projectenportfolio worden meegenomen. Ook de ‘technische’ én de programmatische projecten met wezenlijke ICT-componenten. 4. Zorg dat sanering van applicaties stringenter en eenduidiger wordt opgepakt. Benoem de applicaties die ‘end-of-life’ zijn, wanneer deze gesaneerd worden en wat met de data moet gebeuren. 5. Zorg ervoor dat de ‘business’-eigenaren, de gebruikerswensen en risico’s met betrekking tot kwaliteit een veel nadrukkelijker rol spelen in de beoordeling van de voortgang, het eventueel opschorten daarvan en oplevering van projecten. Hou daar ook rekening mee in de planning van de projecten. Maak daarbij een goede afweging tussen gebruikerswensen en consequenties van de gekozen oplossing. 6. Benoem nadrukkelijker de strategische sleutelposities en geef aan hoe kwetsbaarheden worden voorkomen of gemitigeerd. 7. Tenslotte. Blijf de ontwikkelingen volgen, de basis op orde is geen statisch gegeven maar een dynamische werkelijkheid.


12/12

2

Onderzoek

2.1 Aanleiding In maart 2013 is de Kadernota ICT-beleid 2013-2015 vastgesteld door Provinciale Staten (PS 22 maart 2013; Statenvoorstel 15/13). De kadernota heeft als doel om de ICT-ambitie van de provincie Noord-Brabant voor de periode 2013 t/m 2015 te realiseren. Voor 2013-2014: ICT als basisvoorziening. De provincie doet wat minimaal moet gebeuren of wettelijk verplicht is om ICT als basisvoorziening in te kunnen richten. We maken zoveel mogelijk gebruik van ICT-oplossingen die klaar op de plank liggen: bewezen technologie. Hierbij wordt voorrang gegeven aan oplossingen die efficiency bevorderen, die verouderde ICT-voorzieningen helpen vervangen en die op termijn besparingen ten opzichte van de huidige kosten mogelijk maken. Na 2014: Actieve volger ICT-ontwikkelingen. De provincie wil op onderdelen een actieve volger van ICT-ontwikkelingen zijn. Hierin wordt bovenop scenario 1 extra geïnvesteerd. Het gaat om investeringen in best practices waarvan aantoonbaar is dat ze zich op redelijk korte termijn terugverdienen. Gedurende het proces van vaststelling van de Kadernota, is met Provinciale Staten afgesproken dat in de tweede helft van 2014 een verslag over de voortgang van de realisatie van het ICTbeleid wordt aangeboden. Dit is nog een keer bevestigd in de Kennis- en Onderzoeksagenda provincie Noord-Brabant 2014 – Koersen op Kennis 2.0, die op 22 november is besproken in de Commissie voor Economische Zaken en Bestuur. Daarin is de tussenevaluatie opgenomen als beleidsevaluatieonderzoek ex artikel 217a.

2.2 Doelstelling/onderzoeksvraag Centrale vraag: De tussentijdse evaluatie van het ICT-beleid 2013-2015 concentreert zich op de vraag: Is het beleid effectief en efficiënt uitgevoerd? Deelvragen: Voor het beantwoorden van de centrale vraag worden de volgende deelvragen onderzocht en beantwoord: • Hoe is er omgegaan met de uitgangspunten uit de Kadernota ICT-beleid 2013-2015? • Hoe is invulling gegeven aan de drie speerpunten uit de Kadernota ICT-beleid 2013-2015? 1. ICT Basis op orde (speciale aandacht voor de telefooncentrale); 2. Digitaal werken (speciale aandacht voor programma Huis voor Brabant);


13/13

Doorontwikkeling archief1. Hoe wordt invulling gegeven aan IT Governance (besturing i-kolom)? Op welke wijze wordt Informatiebeveiliging toegepast (speciale aandacht voor Mystery Guest onderzoeken)? • Hoe wordt invulling gegeven aan projectbeheersing en beheer financiën. Hiertoe worden twee projecten in het bijzonder onderzocht? • Hoe is er ingespeeld op ontwikkelingen? Verder wordt er gekeken naar de financiën die gepaard gaan met de realisatie van het ICT-beleid 2013-2015. 3. • •

2.3 Onderzoeksobjecten Kadernota ICT-beleid 2013-2015 + bijlagen (zie ook bijlage 4); · Routekaart ICT-infrastructuur (zie bijlage 15) · Plan van aanpak: Kwaliteitsverbetering dossiervorming en archivering

2.4 Toetsingskader Checklist evaluatie rapportage van de Zuidelijke Rekenkamer zoals vastgelegd in de informatieset Sturen met Kaders. Zie bijlage 3.

2.5 Aanpak onderzoek Onderzoeksopzet en methode: 1. Bestuderen van de documentatie (kadernota, voortgangsrapportages, etc., zie bijlage 1) 2. Interviews ter verificatie en aanvulling van bevindingen 3. Hoor en wederhoor op conceptrapportage Opdrachtgever: Coert Vermeij: clustermanager ICT en informatiemanagement (namens GS) Opdrachtnemer: Nico Sluiter: hoofd Auditing & Procesmanagement Uitvoering: Marc van de Water, Cindy den Otter en Nico Sluiter

2.6 Rapportage Dit rapport is in oktober 2014 in concept aangeboden aan de geraadpleegde personen en MT-I. Reacties zijn meegenomen in uiteindelijke versie. Eindrapport is vervolgens aangeboden aan de opdrachtgever. Waar nodig heeft tekstuele verduidelijking plaatsgevonden.

1

In de Statenmededeling wordt gesproken over een derde speerpunt: doorontwikkeling archief. Deze is niet expliciet als

speerpunt opgenomen in de Kadernota en wordt bovendien door de Zuidelijke Rekenkamer onderzocht. Daarom is besloten dit onderwerp slechts in de marge van dit onderzoek mee te nemen. Het definitieve rapport van de ZRK wordt verwacht op 3 november 2014.


14/14

3

Bevindingen

3.1 Inleiding In dit hoofdstuk zijn de bevindingen vastgelegd. Daarbij hebben we zoveel mogelijk de structuur van de kadernota gevolgd en hebben we tot slot aandacht besteed aan de informatievoorziening richting Provinciale Staten. Het betreft hier generieke informatie over de ICT-omgeving en meer specifieke verantwoording over voortgang van de activiteiten en doelstellingen zoals opgenomen in de kadernota.

3.2 I-Visie: inspelen op externe en interne ontwikkelingen Over de externe ontwikkelingen zoals hieronder weergegeven is gecommuniceerd met PS door Statenmededeling: Punt 47 uitvoeringsagenda "Tien voor Brabant"/Regiepunt Regeldruk en Dienstverlening, voortgangsrapportage. Het betreft brief 26 en bijlage, geagendeerd in vergadering van 20 september 2013. Daarin is opgenomen de voortgang met betrekking tot open data en berichtenbox, maar ook de interprovinciale samenwerking zoals opgenomen in de volgende paragraaf. 3.2.1

Open overheid/open data

Op brabant.nl is in januari 2013 de subsite Open Data live gegaan (http://www.brabant.nl/subsites/open-data.aspx). Op de website wordt in drie categorieën open datasets aangeboden (zie bijlage 9): · algemene open data · financiële open data · geografische open data In aanvulling op de open data biedt de provincie ook statistische data aan via de databank van de provincie Noord-Brabant: http://www.brabant.databank.nl/. Zie bijlage 8 voor onderwerpen. De open data kan door burgers, bedrijven, gemeenten etc. gebruikt en hergebruikt worden. Gemiddeld vinden er ongeveer 200 downloads per maand plaats. Het I-domein heeft aangegeven dat de ontsluiting wat hen betreft nog wel klantvriendelijker kan. Onderzocht wordt hoe dit nader vorm te geven. 3.2.2

Overheidsloketten

De provinciale website is verbonden met Ondernemersplein.nl. Op Ondernemersplein.nl vinden ondernemers alle informatie van de (semi-)overheid over ondernemen. Bijvoorbeeld over personeel, innoveren, exporteren, belastingen, management en investeren. De website leidt ondernemers naar tips, regels, checklists, video’s, webinars, formulieren, cijfers en berichten van (semi-)overheidsorganisaties, zoals Kamer van Koophandel, Belastingdienst, Rijksdienst voor Ondernemend Nederland, Antwoord voor Bedrijven, RDW en Centraal Bureau voor de Statistiek.


15/15

Daarmee voorkomt het Ondernemersplein onnodig zoeken, omdat ondernemers voortaan vanuit één centraal punt de juiste informatie kunnen vinden. Denk aan het aanvragen van provinciale vergunningen, subsidies, nadeelcompensatie, schadevergoedingen en informatie. Met een persbericht is in oktober 2012 bekendgemaakt dat alle zakelijke communicatie met de provincie via de digitale Berichtenbox kan plaatsvinden: “In de Dienstenwet is geregeld dat bedrijven digitaal vergunningen aan kunnen vragen. De wet geldt niet voor alle overheidsproducten en diensten. De provincie Noord-Brabant is het eerste overheidsorgaan in Nederland waar nu alle zakelijk verkeer gedigitaliseerd is. www.brabant.nl/berichtenbox. Met de landelijke Berichtenbox voor Bedrijven konden bedrijven al enkele vergunningen digitaal aanvragen. De provincie Brabant gaat als eerste overheid nu een flinke stap verder. Voortaan kunnen alle bedrijven (ook in het buitenland) bij de Berichtenbox terecht voor álle aanvragen voor Brabant. Van provinciale vergunningen en subsidies tot nadeelcompensatie en informatie. Bedrijven of instellingen die via de Berichtenbox hun zaken regelen, hoeven niet meer naar het loket om hun documenten aan te vragen of op te halen. Een bedrijf of instelling moet alleen maar een account aanmaken op www.antwoordvoorbedrijven.nl/-berichtenbox. Vervolgens kunnen ze per e-mail hun aanvraag doen. De provincie handelt de aanvraag volledig digitaal af, gewaarmerkt en veilig”. Op aangeven van de provincie heeft er een evaluatie van de Berichtenbox plaatsgevonden. PBLQ HEC heeft het onderzoek uitgevoerd en hierover gerapporteerd in augustus 2013. De samenvatting van het onderzoek is als bijlage 10 opgenomen. Naar aanleiding van het onderzoek zijn de volgende acties opgepakt in 2014: · strategie ‘traffic, traffic, traffic’; het stimuleren van andere overheden, particulieren en bedrijven om het kanaal te gebruiken; Zo heeft gedeputeerde Pauli op het het iBestuur Congres 2014 in Den Bosch een workshop geleid met als thema: Wat levert de Berichtenbox voor bedrijven op? · onderzoek naar het aanbieden van meer producten met slimme e-formulieren via de box; · digikoppeling met de box en een definitieve voorziening bij klantcontactcentra (KCC) voor ongestructureerd berichtenverkeer; · interbestuurlijk verkeer via de box. 3.2.3

Basisregistraties

Met betrekking tot de aansluiting van de provinciale organisatie op basisregistraties wordt het volgende opgemerkt: · Vanaf oktober 2013 wordt gebruikt gemaakt van de GBA-V (Gemeentelijke Basis Administratie) voor het controleren en toevoegen van NAW gegevens in Corsa (het zaak- en document management systeem). · De basisregistratie topografie (BRT) en basisregistratie Adressen en Gebouwen (BAG) zijn beschikbaar binnen de provinciale geo-database en worden gebruikt in de werkprocessen. · Provincie Noord-Brabant heeft de 1e levering ten behoeve van de Basisregistratie Grootschalige Topografie (BGT) aan de landelijke voorziening gedaan. Na verwachting zal per 1 januari 2015 alle informatie zijn aangeleverd, waarna de beheerfase in zal gaan.


16/16

·

Om het Kadaster te kunnen raadplegen zijn persoonsgebonden pasjes uitgereikt aan de medewerkers die het Kadaster moeten kunnen raadplegen in het kader van hun werkzaamheden. Deze pasjes worden beheerd door de medewerker Informatiebeveiliging.

3.3

Samenwerking

3.3.1

Interprovinciaal

Op interprovinciaal niveau wordt samengewerkt aan gemeenschappelijke informatievoorziening en beheer. Het meest concreet wordt dit vormgegeven door de Gemeenschappelijke Beheersorganisatie (GBO), het GBO maakt onderdeel uit van BIJ12. Het GBO beheert gemeenschappelijke ICT-informatievoorzieningen voor de provincies en levert een bijdrage aan de ontwikkeling van deze informatievoorzieningen. Volgens de site van het GBO hebben zij op dit moment 16 applicaties in beheer. Zie verder http://www.gbo-provincies.nl/index.html voor de dienstverlening. Het budget van GBO is in de periode 2010 tot en met 2014 gestegen van € 37.000 tot circa € 4,4 miljoen. De begroting laat voor 2015 een lichte stijging zien naar €4,5 miljoen. De extra kosten voor de provincie worden gedekt door ophoging van de budgetten voor beheer (zie 3.6.1).

3.3.2

Brabant regio (gemeenten, waterschappen, kennisinstituten, etc.)

GEOBrabant Samenwerking tussen 8 gemeenten (o.a. ’s-Hertogenbosch, Oss en Roosendaal), 3 Brabantse Waterschappen en provincie Noord-Brabant: · 1e spoor: Ruimtelijk informatie netwerk: gezamenlijk een portaal maken voor het ontsluiten van geo-informatie, pilot is afgerond; · 2e spoor: samenwerken op het gebied van geodesie (landmeten) bleek niet mogelijk omdat de wensen van de verschillende partijen te ver uiteen liepen; · 3e spoor: kennis en onderzoek samen oppakken o.a. met de HAS ligt op dit moment stil. Met een nieuwe projectleider wordt dit verder aangepakt. Overige Samenwerking met de onderwijssector: In 2013 is voornamelijk toenadering gezocht tot AVANSHogeschool, de HAS en het Koning Willem 1 college. Dit heeft tot nu toe geleid tot de invulling van verscheidene stage- en werkervaringsplaatsen.

3.4

Architectuur en beveiliging

3.4.1

Werken onder architectuur

Jaarlijks wordt er een plan opgesteld waarin doelen en boogde resultaten worden vastgelegd. De aanbevelingen uit de architectuurvolwassenheidsscan worden hierin meegenomen. Deze scan is voor het laatst in juni 2012 uitgevoerd. De actualisatie die iedere twee jaar zou worden


17/17

uitgevoerd is doorgeschoven naar 2015, omdat het huidige plan nog voldoende input levert voor verbeteringen. In 2014 is volstaan met het opstellen van een meer algemeen A3-jaarplan. De belangrijkste resultaten voor 2013 tot en met 2014 zijn: · Voor alle projecten waar dit toegevoegde waarde heeft zijn project-start-architecturen opgesteld en begeleid door een projectarchitect. · Er is een nieuwe werkwijze getest voor de voorfase van projecten. Deze werkwijze zorgt ervoor dat op elk project een architect is aangesloten. Uit de evaluatie blijkt dat verdere optimalisaties zijn door te voeren. Gewerkt wordt aan een afwegingskader, waarmee tot een besluit gekomen kan worden om wel of geen project startarchitectuur (PSA) te maken. Het komt er op neer dat men wil kunnen differentiëren i.p.v. een “one size fits all” aanpak. · Het centraal vastleggen van de huidige architectuur is afgerond. Dit is vastgelegd in Aris. Het streven is om de samenhang tussen de diverse applicaties waar mogelijk in beeld te brengen. · De doelarchitectuur is bijgewerkt en uitgebreid met de thema’s ‘Routekaart ICT Basis op Orde’, ‘Zaak en procesgericht werken’ en ‘ICT-dienstverleningsconcept’. · Vanuit architectuur is de samenwerking met het team procesmanagent geïntensiveerd. · Proces wijzigings- en configuratiebeheer is ingericht. 3.4.2

Beveiliging

De kadernota stelt dat de provincie open en transparant wil zijn en gaat uit van het principe: "Alle informatie is openbaar, tenzij...". Dit hoeft niet met informatiebeveiliging op gespannen voet te staan, mits de juiste kaders rond beveiliging worden gehanteerd. Het Nationaal Cyber Security Centre (NCSC) heeft richtlijnen opgesteld voor het ontwikkelen van web applicaties. Er wordt gewerkt cf. NEN ISO 27000 series. Daarnaast wordt uitgegaan van de Baseline, deze is vastgesteld in het CIBO (Centraal Informatiebeveiligingsoverleg IPO). De provincie heeft een normenkader opgesteld op basis van deze richtlijnen. Dit normenkader is in juni 2013 door het MT-i vastgesteld. PS heeft GS in de vergadering van 3 en 4 juli verzocht te onderzoeken of de provincie NoordBrabant, al dan niet in IPO verband, kans ziet om aansluiting te zoeken bij het nationaal Respons Netwerk en PS hierover te informeren. In de reactie, die 31 oktober bij de ingekomen stukken van PS is opgenomen, wordt aangegeven dat de provincie deelneemt aan een pilot met IBDgemeenten (informatiebeveiligingsdienst gemeenten). In die pilot wordt onderzocht hoe de provincies (gezamenlijk) op het NRN kunnen aansluiten. Bij de beveiliging van informatie wordt onderscheid gemaakt naar beschikbaarheid, integriteit en vertrouwelijkheid van informatie: · Beschikbaarheid: geautoriseerde gebruikers hebben op de juiste momenten toegang tot de informatie en de aanverwante bedrijfsmiddelen. · Integriteit: correctheid en volledigheid van de informatie en de informatieverwerking. · Vertrouwelijkheid: de informatie is alleen toegankelijk voor degenen die hiertoe ook daadwerkelijk geautoriseerd zijn.


18/18

Informatiebeveiligingsbeleid In het informatiebeveiligingsbeleid, dat in juni 2013 door het Concern Management Team (CMT) is geaccordeerd, wordt rekening gehouden met bovenstaande aandachtsgebieden. Met een jaarlijkse quickscan (zie hieronder) zijn de aandachtsgebieden voor de provincie in beeld gebracht. Dit heeft als input gediend voor het jaarlijks op te stellen Informatiebeveiligingsplan, waarin wordt beschreven aan welke beveiligingsmaatregelen zal worden/wordt gewerkt en waarom voor de betreffende maatregelen is gekozen. Quickscan In september 2013 is er een QuickScan uitgevoerd om te bepalen in hoeverre de provincie voldoet aan de eisen van de baseline informatiebeveiliging zoals deze is vastgesteld in het CIBO. De onderstaande grafiek geeft de uitkomsten weer.

Uit de QuickScan is naar voren gekomen dat op het gebied van informatiebeveiliging een tweetal aandachtsgebieden zijn die extra aandacht behoeven. Deze aandachtsgebieden zijn Bedrijfscontinuïteitsbeheer en Beveiliging van Personeel. Beide aandachtsgebieden zijn in het informatiebeveiligingsplan 2014 opgenomen. In de bijlage van het plan zijn 9 securityaudits beschreven. Samen met een aantal provincies wordt momenteel gewerkt aan het herijken van de baseline informatiebeveiliging (basis beveiligingsniveau). Deze baseline wordt opgesteld conform de ISO 27000 serie. De stappen die tot op heden zijn doorlopen staan hieronder weergegeven: 1. Bepalen processen voor het uitvoeren van een kwalitatieve risicoanalyse. Het doel van deze selectie is te waarborgen dat alle aspecten van informatiebeveiliging zijn geraakt. Geselecteerd zijn de volgende processen: Burgemeester benoemingen, BIBOB, In- en Uitdiensttreding, Inkoop, Subsidies en Ruimtelijke plannen.


19/19

2. Het houden van een impact interviews met de betrokken medewerkers om te bepalen wat de grootst mogelijke "schades" zijn die op kunnen treden binnen de verschillende processen. 3. In kaart brengen welke onderdelen er binnen het proces van belang zijn. Deze zijn doormiddel van een VISIO tekening vervolgens geplot op de provinciale omgeving en architectuur. 4. Op basis van de uitkomsten van de bovenstaande stappen zijn vervolgens dreiging en kwetsbaarheid workshops gehouden met de verschillende betrokkenen. Buiten de afdelingen die verantwoordelijk zijn voor de hierboven genoemde processen zijn ook workshops gehouden bij: Medewerkers Huisvesting Medewerkers Fysieke beveiliging Beheerders SAP / Oracle Beheerders technische infrastructuur Beheerders telefonie Beheerders BYO Beheerders Netwerk 5. Op basis van de verzamelde gegevens wordt op dit moment een risicoprofiel opgesteld. Dit profiel zal als input dienen voor de eerste opzet van de hernieuwde baseline en de bijbehorende maatregelen. 6. Nadat de hernieuwde baseline is opgesteld zal een gap-analyse worden uitgevoerd. Dit om te bepalen waar nog geen afdoende maatregelen zijn genomen. Op basis hiervan kan dan in overleg met de CIO worden bepaald welke zaken in 2015 worden opgepakt. Deze zaken komen vervolgens terug in het beveiligingsjaarplan 2015. Andere beveiligingsmaatregelen: in het inkoopproces en de ‘standaard’ SLA (Service Level Agreement) zijn extra beveiligingsrichtlijnen opgenomen voor de aanbesteding van web applicaties. Vertrouwelijkheid Een van de aandachtspunten bij beveiliging is hoe om te gaan met vertrouwelijke gegevens/ informatie. Binnen de provincie wordt gestreefd naar transparantie en betere interne toegankelijkheid van informatie, zodat we integraal en clusteroverstijgend kunnen werken. 'Intern is niets vertrouwelijk', is het uitgangspunt. Er blijven slechts een handvol vaste en tijdelijke vertrouwelijkheden over. Hiervoor is een werkinstructie opgesteld die is gecommuniceerd en op Brain is geplaatst, zie bijlage 7. Naar aanleiding van het dossier Voorbereidingsbesluit zorgvuldige veehouderij is de procedure voor vertrouwelijke dossiers nog een keer beoordeeld. Dit heeft geleid tot een procedure voor geheime dossiers. Deze procedure is met het Presidium afgestemd en in de ambtelijke organisatie geïmplementeerd. Voor de volledigheid is de procedure opgenomen in bijlage 6. ‘Mystery guest’-onderzoek Vanwege een aantal landelijke informatiebeveiligingslekken heeft de Minister van Binnenlandse Zaken en Koninkrijkrelaties (BZK) een speciale Taskforce in het leven geroepen, Bestuur en


20/20

Informatieveiligheid Dienstverlening (BID). Een van de taken van de Taskforce BID is om binnen de overheid het bewustzijn op het gebied van informatiebeveiliging te verhogen, bij zowel het management als de medewerkers. In lijn met de doelstellingen van deze Taskforce BID en om vast te kunnen stellen wat het huidige bewustzijnsniveau (nulmeting) binnen onze organisatie is, heeft de CIO opdracht gegeven om een mystery guest onderzoek uit te voeren. Het onderzoek dat in de periode van 13-16 mei 2014 is uitgevoerd door Fox-IT, bestond uit de volgende onderdelen: · Fysieke toegang: het achterhalen van eventuele zwakke plekken op het gebied van informatiebeveiliging in zowel het publieke als afgeschermde gedeelten van het provinciehuis; · Veiligheid Bring Your Own Device (BYOD) & WIFI: in hoeverre kent het gebruik van de BYOD in combinatie met het binnen het provinciehuis aanwezige draadloze netwerk problemen op het gebied van informatiebeveiliging; · Phishing: in hoeverre zijn medewerkers bereid (bewust of onbewust) om potentieel kwaadaardige software te laten uitvoeren die wordt aangeboden per emailbericht. Voor de belangrijkste bevindingen uit het onderzoek heeft de CIO verbeteracties vastgesteld. Deze zijn inmiddels uitgevoerd of worden binnenkort conform door Fox-IT voorgestelde adviezen uitgevoerd. Daarbij wordt als uitgangspunt genomen, dat de kosten van de voorgestelde maatregelen in verhouding staan tot het te lopen risico (schade). Via Brain en Yammer zijn de medewerkers over het onderzoek en de te nemen maatregelen ingelicht. Concrete maatregelen worden genomen ten aanzien van: · Fysieke toegang: Vervangen mechanische sloten door elektronische sloten met een paslezer (enkele ruimtes) Aanpassing proces pasuitgifte; Legitimatie bij aanvraag tijdelijke pas; Vooraf aanmelden bezoek via Facilitor, bezoek begeleiden van en naar openbare ruimten; Leveranciers dienen zich te melden bij de expeditie ingang; Uitvoeren bewustwordingsplan “Bewust veilig digitaal werken”; Bespreken onderzoeksresultaten binnen de verschillende disciplines. · Technische omgeving: Inhaalslag om belangrijke updates op de werkstations en servers te installeren, tevens start gemaakt met inrichten update-management proces voor o.a. werkstations, servers en actieve netwerkapparatuur. Inrichten van een hardeningsproces voor o.a. servers en actieve netwerkapparatuur. Dit proces zorgt er voor dat overbodige diensten en services die een extra risico vormen worden uitgeschakeld. · Veiligheid BYOD & WIFI: Medewerkers worden op de hoogte gebracht van gevaren bij gebruik open WIFI netwerken; Samen met Fox-IT wordt advies opgesteld voor veilig gebruik van WIFI en BYOD · Phishing: Automatisch uitvoeren van zogenaamde macro’s in Word uitschakelen;


21/21

-

Medewerkers instrueren om melding te maken bij het dienstenplein als er bij het openen van e-mailberichten zich vreemde zaken voordoen; Medewerkers krijgen handreikingen om phishing berichten te kunnen herkennen. · Penetratietest In opdracht van de provincie heeft Fox-IT in september 2014 een penetratietest uitgevoerd op de website van de provincie (www.Brabant.nl). Hierbij kon geen ongeautoriseerde toegang tot systemen of data worden verkregen, maar zijn wel een aantal belangrijke verbeterpunten vastgesteld. De verbeterpunten laten zich als volgt samenvatten: Besteed meer aandacht aan het veilig ontwikkelen van web applicaties, specifiek ook op het gebied van invoervalidatie; Besteed meer aandacht aan het veilig configureren van de web applicatie en systemen waar de applicaties op worden gehost en verwijder overbodige functionaliteiten; Dwing (waar nodig) versleuteling van het http-verkeer af voor de website en configureer dit op een veilige manier. In totaal zijn 10 bevindingen gedaan, waarvan 1 met een hoog risico, 3 met een gemiddeld risico en 6 met een laag risico. Fox-IT concludeert dat de beveiliging van de website van de provincie globaal genomen op het gemiddelde niveau ligt van wat zij bij hun werkzaamheden in de publieke sector aantreffen. 3.4.3

Bevindingen en aanbevelingen accountant

De bevindingen van de accountant zijn opgenomen in bijlage 11 en hieronder in het kort weergegeven inclusief de reactie van GS. Opgemerkt wordt dat de accountant zich vooral richt op zogeheten ‘general IT controls’ en verder ‘application controls’ die relevant zijn voor de controle op de jaarrekening. General IT Controls zijn de algemene beheersmaatregelen die van belang zijn om de betrouwbaarheid van de geautomatiseerde gegevensverwerking te kunnen waarborgen. De maatregelen hebben o.a. betrekking op de continuïteit, beveiliging, capaciteits- en performance management, change management en ondersteuning. Application Controls zijn controles die zijn ingebouwd in de software, bijvoorbeeld in de applicatie zelf of de onderliggende database. Functies zijn onder meer: · controle op invoerverzorging; · bestaanbaarheidscontroles (identificatie, datum, check digits); · redelijkheidscontroles (limiet, tolerantie); · verbandscontroles. Een belangrijk aandachtspunt is of de application controls configureerbaar of hardcoded in de software zijn opgenomen. Configureerbare controls kunnen door de gebruikers zelf worden aangepast. Hardcoded controles kunnen alleen door een wijziging in de programmatuur worden aangepast.


22/22

Door de jaren heen concludeert de accountant dat zowel op het niveau van general IT controls als application controls voldoende niveau is om automatische gegevensverwerking te waarborgen. Wel geeft de accountant adviezen mee om betrouwbaarheid te verhogen en eventuele risico’s te verminderen. Deze adviezen hebben op beide controls betrekking en worden door GS herkend, erkend en actiegericht opgepakt. Zie verder bijlage 11. 3.5 Projecten en beheer (van projecten) Nieuwe werkwijze voorfase projecten Er is een nieuwe werkwijze voor de voorfase van projecten geïntroduceerd. Deze is bij vier pilotprojecten getest. De evaluatie van de pilots heeft eind 2013 plaatsgevonden. De werkwijze zorgt ervoor dat de I-kolom meer in gezamenlijkheid met de klant op zoek gaat naar een gedragen oplossing. Wat onder andere uit de evaluatie naar voren komt is dat de lange doorlooptijd van het proces als knelpunt wordt ervaren en dat er behoefte is aan een “light” versie. Architectuur is ter invulling hiervan een afwegingskader aan het ontwikkelen om te bepalen in welke gevallen een project start architectuur (PSA) moet worden opgesteld. Programmering en besluitvorming over projecten De start is een prospect welke wordt ingebracht bij het ICT-kernteam (IKT). Het IKT bestaat uit een dwarsdoorsnede van de I-kolom en wordt voorgezeten door de clustermanager I&I. Het IKT bepaald of met een haalbaarheidsstudie kan worden gestart. Met de haalbaarheidsstudie wordt bepaald wat de aard van het probleem en de beste oplossingsrichting is voor het vraagstuk. Na instemming van de stuurgroep met de resultaten van de haalbaarheidsstudie, gaat deze naar het IKT. Vervolgens worden de eisen en wensen gespecificeerd en wordt een projectplan opgesteld die goedkeuring behoeft van het IKT. Na goedkeuring wordt de realisatie- en opleveringsfase opgestart. Het IKT neemt op alle voorgeschreven momenten de besluiten over de voortgang en over afstemming met andere projecten, dit op basis van advisering vanuit architectuur, projectbureau en IT-control en uiteraard klantbelangen. Een uitzondering hierop is Corsa Nxt. De redenen die hiervoor worden aangegeven is dat dergelijke projecten meer programmatisch zijn aangestuurd waardoor de toegevoegde waarde van de standaard projectbenadering minder aanwezig zou zijn en ook om sneller te kunnen handelen. Projectbewaking Driemaandelijks wordt de voortgang van projecten besproken in het IKT. Daarvoor wordt een voortgangsverslag opgesteld, bestaande uit: 1) IKT-projecten: doorlopend 2) Uitvoering Haalbaarheidsstudies IKT 3) Projecten Programma ‘Basis op Orde’ 4) Projecten afgerond in het lopend jaar. Het verslag bouwt voort op eerdere verslagen, waarbij mutaties en aanvullingen ten opzichte van het verslag uit het vorige kwartaal, cursief zijn weergegeven. Bij het verslag is een totaaloverzicht gevoegd van lopende en afgesloten projecten met de fase waarin deze zich bevinden.


23/23

Wat opvalt en ook wordt ondersteund met bevindingen uit onze interviews, is dat de focus vooral ligt op budgetsturing. Veel projecten worden niet binnen de afgesproken termijnen opgeleverd, wat een ongunstig effect kan hebben op de medewerkerscapaciteit voor andere projecten. Tijdens de interviews worden meerdere oorzaken aangehaald waarmee de vertragingen worden verklaard: uitvraag is onvoldoende specifiek geweest, kwaliteit van de stuurgroepen laat soms te wensen over, er is sprake van afhankelijkheden (bv jaareinde), er worden te veel projecten tegelijkertijd opgepakt. Projectleiders komen vanuit de I maar bij projecten waar veel gebruikers bij betrokken zijn, is daarnaast voor gebruikers gerelateerde zaken behoefte aan een projectleider vanuit de business (klant). Grip/sturing Om meer grip te krijgen op de uitvoering van ICT-projecten is het van belang om meer eigen mensen op sleutelposities (o.a. projectleiders en informatieanalisten) te positioneren. Overigens is er geen definitie van wat onder een sleutelpositie moet worden verstaan. We hebben vastgesteld dat reeds in 2012 de keuze is gemaakt om een aantal fte intern op te vullen. Het betreft hier projectleiders (2,66 fte) en informatieanalisten (4,43 fte) Aangetekend wordt dat voor mensen die intern geworven zijn en geen IT-achtergrond hebben het vaak 2 tot 3 jaar duurt voordat ze op voldoende niveau zijn gebracht met behulp van externe inhuur. Dit vraagt dus een flinke investering. Verder stellen wij de volgende kwetsbaarheden vast: · meerdere belangrijke rollen zijn belegd bij twee interne medewerkers; · voor twee belangrijke systemen (Microsoft en Citrix) geldt dat maar één interne medewerker deel uitmaakt van het beheerteam. Buiten de deur Een aantal projecten is als opdracht buiten de deur gezet, waarbij het uitgangspunt was dat de regie in eigen hand wordt gehouden. Voorbeelden hiervan zijn SAP Real Estate, SAP Grants (project Subsidie 3.0), Treasury, Opleidingshuis en MS Office (deels). Wij stellen vast dat de “interne” projectleider die regie moet voeren soms extern wordt ingehuurd. Een concreet voorbeeld hiervan is SAP Grants. Overigens wordt opgemerkt dat het project SAP Grants niet geheel naar wens verloopt. Na een eerste fase is de verdere ontwikkeling ‘on hold’ gezet. Door de vml. clustermanager ICT en Informatiemanagement is aan PWC advisory gevraagd aan te geven hoe het project verder vorm te geven. De betrokkenheid van de business was onvoldoende gebleken én er was behoefte aan extra zekerheid met betrekking tot een goede implementatie. Dit laatste omdat er sprake is van een relatief nieuwe oplossing, die niet als bewezen technologie kan worden aangemerkt. Uit de analyse kwam naar voren dat de governance, de projectaanpak en de veranderaanpak niet goed aansloten op de doelstelling én context van het project (nieuwe toepassing, nieuwe functionaliteit en beperkte uitwerking van eisen vooraf). Naar aanleiding van de analyse is het


24/24

project doorgestart met andere aanpak, waar ‘de business’ nadrukkelijker de regie voert over het project. 3.5.1

Beheer ICT infrastructuur

Applicatielandschap Er is een tool aangeschaft (SNOW) die er voor gezorgd heeft dat het inzicht in het applicatielandschap flink verbeterd is. De tool is gekoppeld aan een database met wereldwijd bekende applicaties, dit betekent echter wel dat hij maatwerkoplossingen niet herkent. Voor alle bij ICT bekende applicaties zijn de functionaliteit van de toepassing en een aanspreekpunt in beeld. Verder zijn binnen het applicatielandschap de belangrijkste relaties tussen toepassingen verder in kaart gebracht en vastgelegd in de applicatie Aris. Sanering van het applicatielandschap zorgt voor de uitfasering van toepassingen die niet meer gebruikt worden, maar nog wel op de systemen van de provincie draaien. Door niet gebruikte applicaties uit te zetten en uiteindelijk van het netwerk te verwijderen worden de beheerkosten verlaagd en licentiekosten verminderd. Uit de van ICT ontvangen overzichten is niet eenduidig op te maken met welke omvang het applicatielandschap is afgenomen. Er is gesaneerd, maar doordat er geen eenduidige definitie wordt gehanteerd van applicaties, versies en dergelijke is een goede vergelijk niet mogelijk. Overigens levert niet iedere gesaneerde applicatie een besparing op omdat in het verleden licenties vaak werden afgekocht en ook niet voor iedere applicatie licentiekosten betaald hoeven worden. Overgang naar Windows 7 levert veel potentieel aan te saneren ‘applicaties’ op (tot zo’n 40% van de huidige 350). Licentiebeheer Licentiebeheer zorgt er voor dat rechtmatig gebruik wordt gemaakt van de toepassingen die binnen het provinciehuis draaien. Gebleken is dat er in het algemeen meer aandacht is voor licentiebeheer, maar dat het afhankelijk is van de projectleider of en in welke stadium licentiebeheer wordt betrokken. Het wordt ook als instrument ingezet in de onderhandelingen met leveranciers om tot een zo goed mogelijk contract te komen. Voor de top 25 van de licenties waar het meeste budget naartoe gaat zijn inmiddels contracten gesloten die hebben geleid tot besparingen op aanschaf en jaarlijks onderhoud en extra’s zoals gratis trainingen voor de medewerkers. Een nieuwe contractvorm die wordt toegepast is het subscription contract. Dit houdt in dat betaald wordt op basis van werkelijk gebruik, ook dit heeft besparingen opgeleverd. Desondanks is het budget voor licentiebeheer gelijk gebleven en zijn er bij de voorjaarsnota extra middelen gevraagd. Aangegeven is dat deze middelen nodig zijn voor uitbreiding en vernieuwing van licenties. Licentiebeheer adviseert vanuit meerdere invalshoeken, waarbij de focus minder ligt op het aspect beveiliging van informatie. Microsoft geeft bijvoorbeeld korting als we meer gebruik maken van cloudoplossingen. Vanuit de standaard beoordeling bekeken is het advies dan: doen. Wat betekent dit echter voor de veiligheid van (vertrouwelijke) informatie? Het advies van licentiebeheer landt niet altijd in het IKT en daarnaast blijken er afspraken buiten licentiebeheer om te worden gemaakt met leveranciers.


25/25

Licentiebeheer levert ongevraagd, niet volgens een vast stramien, rapportages aan budgethouders. Voor concreet gerealiseerde besparingen op licentiebeheer verwijzen wij naar de bijlage 13. Beheerprocessen Er zijn nieuwe processen voor configuratie- en wijzigingsbeheer ingericht. Wij hebben vastgesteld dat sprake is van een handboek Configuratiemanagement en een procesbeschrijving Wijzigingsbeheer.

3.6

Middelen en besturing

3.6.1

Middelen

De beschikbare middelen binnen het I-domein liggen vast in drie ICT-budgetten; • Budget voor basisinfrastructuur en licenties • ICT-Projectenbudget • Budget voor applicatiebeheer Budget voor basisinfrastructuur en licenties Dit budget bestaat uit een regulier budget wat jaarlijks ongeveer €4 mln. bedraagt en een reserve die gebruikt wordt voor vernieuwingen/vervangingen waarbij extra middelen nodig zijn. Volgens de oorspronkelijke kostenraming voor de Basis op orde zou het programma over de periode 2013-2015 volledig gefinancierd kunnen worden uit het reguliere budget + reserve. De reserve duurzame productiemiddelen voor het I-onderdeel zal volledig worden aangewend. Voor de projecten “Basis op orde” vindt enige overschrijding plaats. Deze overschrijding kan worden opgevangen binnen het projectenbudget. ICT-Projectenbudget De projectenportefeuille is tot op heden binnen budgettaire kaders uitgevoerd. In de kadernota is aangeven dat de Basis op orde er toe zou leiden, dat er in de periode 2013-2015 minder ruimte is voor projecten waarin informatiebehoeften vanuit de business worden opgepakt. Dit neemt niet weg, dat er toch nog de nodige andere projecten zijn uitgevoerd. De hogere kosten voor het project Subsidie 3.0 (SAP grants) worden gecompenseerd door lagere kosten voor het project Vervanging MS Office. Bij begroting 2015 wordt voorgesteld om het ICT- projectenbudget in 2016 en verder structureel te korten voor een bedrag van circa € 700.000 ter financiering van de kosten van de omgevingsdiensten. Budget voor applicatiebeheer In de Kadernota is opgemerkt dat er meer grip gekregen moet worden op de exploitatielasten. Ook werd aangegeven dat in de business-cases van projecten meer aandacht moet komen voor de gevolgen voor beheer.


26/26

Het budget voor licentiebeheer is tot nu toe toereikend geweest. Bij de Voorjaarsnota zijn vanaf 2015 extra structurele middelen gevraagd voor uitbreiding en vernieuwing van licenties, continuering van BYO, de gestegen kosten van het GBO en de verwachte toename van de beheerlasten. Hiervoor wordt structureel € 500.000 op jaarbasis geraamd. 3.6.2

Besturing

Organisatie De organisatie wordt geleid door de directie, onder leiding van de algemeen directeur. De directie zet strategische kaders uit, houdt overzicht, stuurt het concern en zorgt voor een effectieve samenwerking binnen de organisatie en met onze partners. De directeur Bedrijfsvoering/CIO is binnen de directie ondermeer verantwoordelijk voor de ICT en geeft in die hoedanigheid ook leiding aan de manager van het Cluster Informatiemanagement & ICT. Dit cluster bestaat sinds 1 juli 2013 uit de afdelingen: · Documentaire informatiesystemen: zorgt voor toegankelijkheid en beheer van provinciale documentaire informatie, zowel analoog als digitaal; · Geografische informatie: beheert en ontsluit geodata; · Informatiesystemen: verantwoordelijk voor het ontwikkelen en beheren van provinciale applicaties; · Informatietechniek: draagt zorg voor het technisch beheer van de Pc’s op de werkplekken en de achterliggende computers, het netwerk en de servers; · Informatiemanagement: zorgt voor overzicht en regie op de informatievoorziening van de provincie en adviseert beleidsdirecties hierover. ICT valt onder de portefeuille van gedeputeerde B. Pauli.

CIO-functie In de Kadernota is de volgende taakomschrijving aan de CIO-functie meegegeven, de CIO:


27/27

· · · · · · · ·

denkt van buiten naar binnen; heeft oog voor interne en externe ontwikkelingen; zorgt voor eigen bijdrage van medewerkers van de provincie aan projecten; formuleert kaders en zorgt voor het uitvoeren daarvan; bestuurt de projectportfolio; zorgt voor het verlenen van ICT-dienstverlening zoals afgesproken; is verantwoordelijk voor planning en control van budget; is verantwoordelijk voor beveiligingsbeleid en de uitvoering daarvan.

Per 1 september 2013 is de nieuwe directeur bedrijfsvoering/CIO formeel in dienst getreden. De CIO is zowel lid van de directie als het CMT. De clustermanager I&I neemt namens haar deel aan het beleidsoverleg Financiën en koppelt terug. De CIO blijft op de hoogte van ontwikkelingen op ICT gebied door een tweewekelijks overleg met de clustermanager I&I. In dit overleg komt de dagelijkse praktijk aan de orde. De clustermanager I&I heeft meerdere voorzitterstaken (o.a. MTi, IKT, Architectuurboard, enkele stuurgroepen). Hij laat zich tevens adviseren door zijn managers. Vanwege personele bewegingen zijn momenteel veel taken bij één van de managers ondergebracht. Tevens zijn er bedrijfsvoeringsoverleggen met de drie clustermanagers. Bij speciale issues, bijvoorbeeld onderzoek van de Zuidelijke Rekenkamer of onderzoek “mystery guest”, schakelt de CIO met vakinhoudelijke medewerkers. Er is geen sprake van een gestructureerd overleg met de inhoudelijke I-disciplines. De CIO neemt tevens deel aan het AAC Middelen overleg van het IPO dat 6x per jaar bij elkaar komt. Inhoudelijke specialisten leveren de CIO annotaties en ontvangen terugkoppeling na besluitvorming in AAC-Middelen. Bij verhindering laat CIO zich vervangen door clustermanager Bedrijfsvoering. Toekomstvisie CIO De CIO zet vooral in op de relatie met de business. Het hoofd Informatiemanagement heeft de opdracht gekregen om een strategische opgave ‘Kennis en informatiestrategie’ vorm te geven. Om de missie en visie te bepalen, wordt gekeken naar de doelen uit de Agenda van Brabant. De strategische agenda zal ter vaststelling aan het bestuur worden voorgelegd. Zodra de strategische agenda gereed is, zullen ook de strategische functies in beeld worden gebracht. Om de business te betrekken bij strategische afwegingen, wordt gedacht aan het instellen van een I-board. In het verlengde hiervan is het de bedoeling om projectportfolio management her in te voeren. De I-board krijgt o.a. als taak om juiste prioritering aan te brengen in de projectenportfolio. Een eerste opzet zal in november 2014 klaar zijn. De bemensing moet voor minimaal de helft uit de business komen, waaronder minimaal 2 clusterdirecteuren.


28/28

Daarnaast is ook een dienstverleningsconcept opgesteld, waarin het I-domein aangeeft hoe zij de organisatie gaat bedienen. Het stuk is nog niet definitief gemaakt en nog niet uitgedragen naar de business. Beleving sturing Tijdens de interviews zijn kritische opmerkingen geplaatst over de sturing van de I-kolom. Verwezen wordt naar opvolging van de bevindingen uit de medewerkerstevredenheidsmonitor van 2012. Het gevoel bestaat dat anno 2014 nog onvoldoende aandacht is besteed aan de opmerkingen uit deze monitor. De inhoudelijk specialisten geven daarnaast aan meer betrokken te willen worden bij het opstellen van het beleid. Wij hebben vernomen dat niet alle afdelingen een (gestructureerd) werkoverleg hebben. Hierdoor kan er informatieachterstand optreden, wat een negatieve uitwerking kan hebben op het teamgevoel en/of de onderlinge samenhang en samenwerking binnen de I-kolom. Uit de gesprekken hebben wij opgemaakt dat niet voor een ieder duidelijk is of en hoe de CIO is aangehaakt bij het I-domein. Hier ligt een opgave voor het nieuwe clusterhoofd die jongstleden mei in dienst is getreden. Deze opgave wordt projectmatig aangepakt als onderdeel van de transitie van het I-domein. ICT-Control Medio 2013 is er een plan voor ICT-Control voor 2013 tot en met 2015 opgesteld. Met de uitvoering van dit plan wordt aandacht besteed aan o.a. risicomanagement, auditing, beleggen van evaluaties, het afleggen van verantwoording over het ICT-beleid en kwaliteitsverbetering van processen binnen het I-domein. De IT controller is aangesloten bij concerncontrol op het gebied van risicomanagement. De ICT controller rapporteert over de voortgang van ICT-agenda, de uitvoering van de kadernota en doet onderzoek naar doelmatigheid en kwaliteit. ICT-Control is onder meer trekker geweest van: · benchmark ICT-kosten; · pré-audit en evaluatie change- en configuratiemanagement ; · tussentijdse rapportage voortgang Kadernota ; · evaluatie voorfase projecten (projectportfoliomanagement). Daarnaast heeft de ICT-controller zitting in het IKT, en levert hij input aan diverse beleidsdocumenten en de planning & control cyclus.

3.7 Speerpunten 2013-2015 In de kadernota zijn twee speerpunten vastgelegd: 1. Programma digitaal werken 2. Technische basis op orde Deze worden in de volgende sub-paragrafen verder uitgewerkt.


29/29

3.7.1

Digitaal werken

In navolging van en in lijn met het traject Organisatie Ontwikkeling en de verbouwing van het Provinciehuis is halverwege 2012 een start gemaakt met het Programma Digitaal Werken. Nieuwe manieren van werken in een nieuwe werkomgeving vragen om goede digitale voorzieningen die altijd en overal voor medewerkers beschikbaar zijn. Het Programma is georganiseerd langs drie lijnen: 1. Lijn 1 - I/ICT voorzieningen op peil Deze lijn hangt nauw samen met speerpunt 2: technische basis op orde. In deze lijn zijn diverse digitale voorzieningen ingevoerd of vernieuwd, waaronder: een samenwerkingsplatform voor diverse beleidstrajecten, videobellen/conferencing, Skypevoorzieningen, functionele ICT- eisen voor de nieuwe werkplekken, Bring Your Own Phone/Tablet (BYOP/BYOT), notepads voor opleidingsdoeleinden, Brain extern toegankelijk en uitbreiding van de Telegids. 2. Leren Deze lijn richt zich op medewerkers die willen leren om digitaal te werken. Hiertoe zijn diverse activiteiten opgezet, waaronder: wekelijkse inloopsessies digitaal werken, workshops MS Office 2010, workshops in het kader van de Zomer Academie, instructiekaarten en handleidingen op Brain, Yammer-sessies, en trainingen Social Media. Maar ook gebruik Ipads/tablets en SharePoint. 3. Ondersteuning Deze lijn gaat over een efficiëntere ondersteuningsorganisatie voor medewerkers. Hiertoe zijn diverse activiteiten gestart: verbetering samenwerking Dienstenplein en ICT, verbetering informatie op Brain, een heldere ondersteuningsstructuur voor complexe, concernbrede applicaties zoals Corsa en SAP, ontwikkeling van een dienstverleningsconcept vanuit ICT ten behoeve van een meer flexibele en klantgerichte ondersteuning en verbetering van de sturing op verbeteringen en beheer van Corsa. In 2014 is ingezet op een drietal onderwerpen: · bewustwordingscampagne betreffende informatiebeveiliging (afgerond); · office 365 samenwerkingsplatform (deels geïmplementeerd); · opstellen Dienstverleningsconcept (nog niet geïmplementeerd). Het programma eindigt per 31 december 2014. De Programmamanager pleit ervoor dat de thematiek van het Programma Digitaal Werken continue zorg en aandacht krijgt en bij voorkeur belegd wordt in het primaire proces. Indien dat (nog) niet mogelijk is, dan zou de thematiek ook ingepast kunnen worden in bestaande programma’s zoals Programma Effectief Samenwerken. 3.7.2

Technische basis op orde

De technische basis op orde wordt gerealiseerd langs een aantal projecten. Deze zijn hieronder weergegeven inclusief de status op het moment (oktober 2014). Migratie van Office 2003 naar Office 2010


30/30

Bij de Provincie Noord-Brabant werd Microsoft Office XP gebruikt ten behoeve van de kantoorautomatisering. De ondersteuning hiervan is door Microsoft gestopt en diende daarom te worden ge-upgrade naar Office versie 2010. Het project is uiteindelijk afgerond met een evaluatie in juni 2013. Daaruit komen als belangrijkste aanbevelingen naar voren, het verbeteren van de voorbereiding en meer werken vanuit gezamenlijk belang. De uitrol is verder zonder noemenswaardige problemen verlopen.

Nieuwe telefooncentrale Het project waarin de telefooncentrale wordt vervangen verkeert in de eindfase. Na eerste oplevering zijn forse problemen naar voren gekomen. Voornamelijk op gebied van bereikbaarheid en kwaliteit van de verbinding. Voor de bereikbaarheid van gedeputeerden en CdK is een noodmaatregel genomen door te migreren naar een nieuw telefoonabonnement (april 2014). Voor een meer robuuste aanpak van de problemen heeft de directeur Bedrijfsvoering een onderzoek ingesteld. In juni 2014 heeft adviesbureau Strict het rapport ‘Telefonie Assessment’ opgeleverd. Dit rapport is gebruikt om een opdracht te formuleren hoe de verbeterpunten aan te pakken. Adviesbureau Strict is vervolgens gevraagd de uitvoering hiervan ter hand te nemen. Oplevering aan beheerorganisatie is voorzien eind 2014. In bijlage 14 hebben we de drie hoofdconclusies uit het rapport opgenomen. Migratie van Groupwise naar Outlook De migratie van GroupWise naar Exchange is afgerond per maart 2014. De uitrol is zonder noemenswaardige incidenten ingevoerd in de organisatie. Er is aandacht geweest voor zowel technische als organisatorische aspecten van de overgang. Veel is geïnvesteerd in opleidingen en inloopsessies, communicatie via Brain en de Quick Reverence Cards. Bij de live-gang was de nodige capaciteit beschikbaar van Outlookers (zogeheten floorwalkers) die snel een oplossing konden zoeken voor praktische problemen. Project is binnen budget uitgevoerd. Belangrijkste aanbeveling zit in voldoende aandacht voor die onderdelen die meeste impact hebben op gebruikers. Nieuwe plaatsen tijdonafhankelijke werkplek gebaseerd op Windows 7/Citrix Het project Windows 7 in combinatie met Citrix/Thin clients loopt. Er is sprake van een kritische opleverdatum, zowel wegens het belang van de verwachtingen die zijn geuit m.b.t. Huis van Brabant en daarnaast vanwege toekomstige extra kosten voor in stand houden Windows XP (vanaf februari 2015). Uitrol Windows 7 is voorzien in de periode begin november tot eind december 2014, met een afronding van het project in het 1 e kwartaal 2015. Er moeten nog beheerafspraken gemaakt worden. De huidige Citrix telewerk-omgeving is uitgebreid en deels heringericht om deze geschikt te maken voor bredere inzet met virtuele desk-tops. Overstap naar het gebruik van het product Active Directory (Microsoft) Het project Herstructurering Active Directory is afgerond in oktober 2013 met het in gebruik nemen van de nieuwe Active Directory. Het geheel is binnen budget, maar -in goed overleg- niet binnen de afgesproken tijd opgeleverd. Dit heeft verder ook niet tot problemen geleid. Uit de


31/31

evaluatie vloeien aanbevelingen voort met betrekking tot betere werkverdeling, samenwerking, kennisdeling en aandacht voor communicatie, groepsdynamica en andere soft skills. Verhuizing en modernisering van het serverpark De bouw van de nieuwe serverruimte is nagenoeg opgeleverd. Deels is deze al in productie genomen, zo draait telewerken al in de nieuwe ruimte. De fysieke verhuizing is verschoven naar het 1e kwartaal 2015, omdat prioriteit wordt gegeven aan de uitrol van Windows 7.

Migratie van Oracle 10 naar Oracle 11 Dit is een periodiek terugkerend upgrade-project, dat instrumenteel is voor verschillende informatiesystemen, waaronder SAP. Afronding huidige upgrade wordt verwacht in december 2014. De provincie biedt voor het pakket MPM nog ondersteuning aan Omgevingsdiensten. Per 1 januari 2015 wordt met deze ondersteuning gestopt. Bekend is, dat nog niet alle omgevingsdiensten een operationeel alternatief hebben. Rationalisering van het applicatielandschap Het applicatielandschap en de onderlinge verbanden tussen de belangrijkste applicaties is in beeld gebracht. Hier moet voortdurend aandacht voor blijven en is daarom geborgd in processen. Zie ook 3.5.1. Kwaliteitsverbetering op het gebied van besluit-, dossiervorming en archivering Met de fabrikant wordt de standaard applicatie doorontwikkeld onder de naam Corsa Nxt om zaakgericht te kunnen werken. Dit project heeft vertraging opgelopen, naar verwachting vindt uitrol nog binnen de huidige bestuursperiode plaats. Randvoorwaardelijke projecten Naast de projecten die zorgen voor de introductie van de nieuwe producten is er nog een aantal projecten die nodig zijn om deze nieuwe producten te kunnen implementeren en/of gebruiken, zoals: · uitbreiding SAN (afgerond): Verschillende projecten vragen een uitbreiding van beschikbare opslagcapaciteit. Dit deelproject staat hiervoor borg. · File- & Printservices (afgerond): Verhuizing data en printer-aansturing van Novell- naar Microsoft-platform. · uitbreiding VMWare (afgerond): Ten behoeve van het Citrix-project en normale uitbreiding/ vervangingswerkzaamheden. · IDM-koppeling SAP-Microsoft (nog niet gestart): Start van dit project is pas mogelijk na afronding alle andere Microsoft-gerelateerde projecten. Start mogelijkerwijs 2e kwartaal 2015.

3.8

Informatievoorziening PS en opvolging aanbevelingen ZRK


32/32

3.8.1

Begroting, jaarstukken en tussentijdse verantwoordingsdocumenten

De planning en verantwoording van activiteiten worden met respectievelijk de begroting en de jaarstukken bij PS ter besluitvorming gelegd. In bijlage 12 wordt voor jaarstukken 2012 en 2013 en voor begroting 2013, 2014 en 2015 weergegeven welke informatie in de planning & control cyclus opgenomen is geweest met betrekking tot de ICT-agenda. 3.8.2

Opvolging aanbevelingen ZRK

In de rapportage over het strategisch informatiebeleid heeft de ZRK aan GS aanbevelingen gedaan over het opstellen van een strategische visie, het invullen van een programmatische aanpak van de ambities, het verankeren van de CIO rol op directieniveau, het zwaarder vormgeven van het interne risicomanagement en het uitvoeren van beleidsevaluaties. Deze aanbevelingen zijn door GS geïmplementeerd. Eén aanbeveling is ten dele geïmplementeerd. Het betreft het benoemen en beter organiseren van strategische en kwetsbare posities. De ZRK spreekt ook over het nadrukkelijker benoemen van beleids- en bedrijfsrisico’s die samenhangen met de uitvoering van het provinciale informatiebeleid. Deze zijn niet expliciet opgenomen in de informatievoorziening aangezien deze -tot op heden- niet noemenswaardig zijn gebleken. De aanbeveling aan PS om de paragraaf bedrijfsvoering in de begroting en jaarrekening ook in te richten langs de drie w-vragen (wat willen we bereiken, wat gaan we daarvoor doen en wat mag dat kosten) is geïmplementeerd. Daarin is tevens het ICT-beleid opgenomen. De tweede aanbeveling heeft betrekking over het laten rapporteren door de accountant over informatiebeveiliging, wijzigingsbeheer en back-up en recovery. Hier is door PS in samenspraak met de accountant invulling aan gegeven zoals blijkt uit de Boardletters en Accountantsverslagen die zijn gerapporteerd.


33/33


34/34

Bijlagen


35/35


36/36

Bijlage 1 Geraadpleegde documenten Strategisch Informatiebeleid en Kadernota ZRK: rapport Strategisch informatiebeleid Provincie Noord-Brabant (06-02-2012) ZRK: uitgave boek ‘Een toekomstig bestendig informatiebeleid’ (2012) Verordening doeltreffendheid en doelmatigheid (mrt 2013) Statenvoorstel 15/13 kadernota ICT-beleid 2013-2015 (22-03-2013) Uitwerking Kadernota en speerpunten ICT-beleid 2013-2015 incl. routekaart (22-03-2013) Tussentijdse evaluatie ICT-beleid Tussentijdse ICT rapportage van I-controller (t/m sept 2013) PBLQ HEC: tussentijdse beoordeling uitvoering Kadernota ICT-beleid 2013-2015 (dec 2013) Statenmededeling Kennis en Onderzoeksagenda 2014 (22-10-2013) Memo onderzoeksplan tussentijdse evaluatie ICT-beleid 2013-2015 (aug 2014) GS beslisdocument onderzoeksplan tussentijdse evaluatie ICT-beleid 2013-2015 (01-09-2014) Statenmededeling tussentijdse evaluatie ICT-beleid 2013-2015 (01-09-2014) Programma digitaal werken Memo ‘Programmaplan Digitaal Werken’ (juli 2012) GS-beslisdocument ‘duurzaam archief en informatiebeheer’ (18-06-2013) ZRK: Startnotitie Digitalisering en duurzame toegankelijkheid van informatie (25-04-2014) ZRK: Concept RvB ‘Digitalisering en duurzame toegankelijkheid van Informatie’ (03-09-2014) BCT: Highlight Report juni 2014 ‘Implementatie MyCorsaNxt Provincie Noord-Brabant’ Memo: ‘programma afronding Corsa bijgesteld’ (okt 2014) Informatiebeveiliging: Informatiebeveiligingsbeleid Provincie Noord-Brabant (sept 2013) QuickScan informatiebeveiliging (sept 2013) Informatiebeveiligingsplan 2014 Provincie Noord-Brabant (jan 2014) Nota Bewust veilig digitaal samenwerken, campagne 2014 (febr 2014) Referentieproces interne verantwoording informatiebeveiliging (april 2014) Fox-IT: penetratietest Provincie Noord-Brabant (sept 2014) Statenmededeling: aansluiten Nationaal Response Netwerk (motie 15) Berichtenbox PBLQ HEC: Onderzoek gebruik berichtenbox voor bedrijven door gemeenten in PNB (aug 2013) Publicatie iBestuur: B. Pauli ‘Berichtenbox voor bedrijven, kosten en baten van digitaal zaken doen’ (sept 2013) Projecten Memo Rol en bezetting ICT Kernteam (2010) Procesbeschrijving Portfoliomanagement (versie 0.9, 2012) Memo ‘betere aansluiting voorfasen projecten’ (jan 2013) Nota Doelarchitectuur PNB Toekomstig gewenste informatievoorziening (mrt 2013)


37/37

Rapport evaluatie haalbaarheidsfase ICT projecten (jan 2014) Procesbeschrijving wijzigingsbeheer (febr 2014) PWC Advisory: Transparantie in subsidies: quickscan subsidieproces (28-03-2014) Proceskaart Straat 2.0 (apr 2014) Verdiepingsnota zes principes voor digitale duurzaamheid (april 2014) Memo ‘Resultaten Team Leveranciersmanagement 1januari 2014 t/m 31 juli 2014’ Voortgang uitvoeringsprojecten IKT (sept 2014) Overzicht applicatielandschap (2014) IKT-besluitenlijsten 2014 Handboek Configuratiebeheer v 2.0 (okt 2014) ICT-control: Audit Change Management proces Provincie Noord-Brabant (2014?) Opleveringsrapporten: Eindrapport migratie MS Office 2010 (juni 2013) Eindrapport project herstructurering Active Directory (okt 2013) Telefonieproject Adviesbureau Strict: eindrapport Telefonie Assessment (juni 2014) GS-beslisdocument: Onderzoeksrapport Strict rondom telefooncentrale implementatie en voorgesteld vervolgtraject (24-06-2014) Governance: Medewerkers tevredenheid onderzoek 2011 (jan 2012) I-agenda’s 2012 tot en met 2014 (A-3 jaarplannen) Memo IT-Governance Board en Dienstverleningsconcept (jan 2014) Start programmaplan ‘transitie informatiemanagement ICT’ (okt 2014) Financiën Provincie Noord-Brabant: begrotingen 2012 tot en met 2015 en jaarrekeningen 2012 en 2013 Bestedingsvoorstellen Cluster I&I Basisinfrastructuur en ICT Projecten (apr 2014) Unipartners: Benchmarkstudie ICT-budgetten (okt 2014) Begroting 2015 GBO Provincies (onderdeel van BIJ 12) Boardletters en accountantsverslagen 2012-2014


38/38

Bijlage 2 Geraadpleegde personen Marian Zoodsma-de Vries: Coert Vermeij: Onno Vollinga: Sabine van Rijn: Martin Kuijl: Louk Hoefnagels: Ron Lenting: Peter van de Boogaard: Rob Hootsmans: Theo van der Sanden: Arie van Nistelrooij: Emile Heesters: Kirsten ten Cate: Coos Arensman: Paul Jansen in de Wal: Jacco Peter Hooiveld: Peter Hordijk:


Directeur Bedrijfsvoering/CIO Clustermanager ICT en Informatiemanagement Hoofd Informatietechniek a.i. Programmamanager digitaal werken Teamleider informatietechniek Teamleider provinciale applicaties-innovatie IT controller Beleidsmedewerker informatiebeveliging Hoofd Informatiemanagement Adviseur informatiemanagement Informatiearchitect Contractmanager ICT Hoofd Documentaire informatievoorziening Senior projectmedewerker Corsa Projectleider Hoofd Geo-informatie Vml. Clustermanager ICT en Informatiemanagement

39/39


40/40

Bijlage 3 Checklist evaluatie-rapportage (Sturen met Kaders) Definitie

Functie Rol GS Rol PS

Een evaluatierapportage is een rapportage over uitgevoerd systematisch onderzoek naar de effecten van ingezet beleid, de wijze waarop het beleid is/wordt uitgevoerd en/of naar de kosten en kwaliteit van geleverde producten en diensten; e.e.a. i.r.t. ex artikel 217a Provinciewet. Uitgebreide, onafhankelijke beoordeling van activiteiten, resultaten en effecten; tussentijds en/of ex post Draagt zorg voor adequate en tijdige evaluatie; doet voorstellen voor voortzetting, wijziging of beëindiging van het betreffende beleid Informeert zich; toetst de resultaten aan het beleidskader; voert debat en neemt beslissing over vervolg

Hoofdstuk Samenvatting

Inleiding

Evaluatie Probleemstelling; doel en vraagstelling *

Onderzoeksopzet *

Onderzoeksorganisatie *

Handvatten/toelichting Uit dit deel moet duidelijk blijken waar de evaluatierapportage in samenvattende zin over gaat (samenvatting) en wat het doel en de setting van de rapportage is (inleiding). Uit dit deel blijkt de context waarin de evaluatie-rapportage is geplaatst en is te beschouwen en welk doel de evaluatie in algemene zin beoogt. Uit dit deel moet duidelijk blijken hoe de evaluatie feitelijk is uitgevoerd · er is sprake van een helder geformuleerde vraagstelling; · er is sprake van een helder geformuleerde doelstelling; · de relevantie van het probleem/de vraag is helder aangegeven; · het onderzoek is voldoende afgebakend; · bij uitbesteding van onderzoek is sprake van een heldere opdrachtformulering die aansluit bij de vraagstelling en doelstelling. · er is vooraf helder geformuleerd wat de aanleiding voor beleidsevaluaties is; · er is vooraf aangegeven of de evaluatie deel uitmaakt van een onderzoeksplan of dat het een eenmalige activiteit betreft; · er is vooraf helder geformuleerd wat het gebruiksdoel is; · de opdrachtformulering sluit aan bij het gebruiksdoel; · er is helder geformuleerd op welke wijze de uitkomsten van het onderzoek vastgelegd dienen te worden; · de wijze waarop de ambtelijke aansturing (procesbewaking) plaatsvindt, is vastgelegd; · de wijze waarop de bestuurlijke aansturing plaatsvindt, is vastgelegd; · de onafhankelijkheid van de onderzoeker(s) en de uitvoering van het evaluatieonderzoek is gewaarborgd; · de instelling van een begeleidingscommissie is onderbouwd afgewogen;


41/41

Onderzoeksvragen*

Onderzoekseenheden *

Onderzoeksstrategie *

Onderzoeksinstrumenten *

Resultaten Bevindingen

Beoordeling Positie PS/GS

de vraagstelling is nader uitgewerkt in helder geformuleerde onderzoeksvragen; · de onderzoeksvragen zijn logisch afleidbaar uit de probleemstelling; · de onderzoeksvragen zijn toetsbaar en zodanig geformuleerd dat bij pogingen om ze te beantwoorden de verkregen informatie maximaal bruikbaar is; · kernbegrippen zijn geoperationaliseerd. · de onderzoekseenheden zijn op adequate wijze geselecteerd; · het aantal respondenten is voldoende om de vraagstelling adequaat te kunnen beantwoorden; · indien van toepassing is sprake van een goed evenwicht tussen de verschillende subgroepen in de steekproef; · indien van toepassing zijn bij het selecteren van respondenten de juiste selectiecriteria gehanteerd; · de onderzoeksresultaten zijn bij voorkeur generaliseerbaar. · er is sprake van een onderbouwde keuze ten aanzien van de gehanteerde onderzoeksstrategie; · de gehanteerde onderzoeksstrategie is helder verwoord en besproken; · de gehanteerde onderzoeksstrategie is geschikt voor de aard van het probleem en de vraag; · de onderzoeksstrategie is logisch gerelateerd aan het probleem; · de onderzoeksstrategie is adequaat uitgevoerd. · er is sprake van een onderbouwde keuze ten aanzien van de gehanteerde instrumenten; · het onderzoek is valide; · het onderzoek is betrouwbaar – in termen van interne consistentie, van stabiliteit gedurende een tijdsverloop en algemene toepasbaarheid; · de gehanteerde vragenlijsten zijn beschikbaar; · er is zoveel mogelijk gebruik gemaakt van onafhankelijk gegevensbronnen Uit dit deel moet duidelijk blijken wat het onderzoek heeft opgeleverd en hoe die bevindingen beoordeeld kunnen worden. · Heeft het beleid op een efficiënte wijze bijgedragen aan het oplossen van het probleem of het tot stand brengen van de gewenste situatie? · Op welke wijze heeft effectmeting in termen van effectindicatoren plaats gevonden ? · Is het al dan niet bereiken van de beoogde resultaten toe te schrijven aan het ontwikkelde beleid, aan de uitvoering van het ontwikkeld beleid, aan beide of aan onverwachte externe factoren? · Wat kunnen verbeteringen zijn in de beleidsinhoud? · Wat kunnen verbeteringen zijn in de beleidsuitvoering? · Heeft de provincie met het voeren van dit beleid de gewenste bestuurlijke rol vervuld en de juiste verantwoordelijkheden op zich ·


42/42

genomen? Heeft het door GS uitgevoerde beleid bij gedragen aan de beoogde doelen en effecten? · Op welke wijze zijn interne/externe partners betrokken bij het onderzoek en de vinding van resultaten van het evaluatieonderzoek ? · Welke positie hebben de interne/externe partners in het vervolg van de resultaten ? · Op welke wijze is de externe/interne informatievoorziening nodig/geregeld bij de beleidsevaluatie? · Hoe is de communicatie rondom beleidsevaluatie georganiseerd/geregeld ? Uit dit deel moet duidelijk blijken op welke wijze welke onderzoeksresultaten worden gebruikt t.b.v. beleidswijziging, aanpassing of –vernieuwing. · de conclusies en aanbevelingen sluiten aan bij het gebruiksdoel; · keuzes ten aanzien van de follow-up vinden weloverwogen plaats. · GS nemen een weloverwogen besluit over de wijze waarop de uitkomsten van het onderzoek worden benut; · GS communiceren duidelijk over vervolgacties naar betrokkenen; · GS nemen een weloverwogen besluit met betrekking tot het overnemen van conclusies en aanbevelingen; · GS communiceren duidelijk over hun besluit ten aanzien van het overnemen van conclusies en aanbevelingen. · Welk besluit moet ambtelijk (DR, platform) worden genomen ? · Welk besluit moet GS nemen ? · Welk besluit moet de Statencommissie nemen ? · Welk besluit moet PS nemen ? · Welke externe partners moeten welke besluiten nemen? ·

Betrokkenheid (extern en intern)

Toepassing

Bruikbaarheid * Benutting *

Besluit

* Conform voorgeschreven ‘Checklist voor Evaluatieonderzoek’ n.a.v. Focus op Beleid d.d. 15 september 2006 Besluit PS inzake Sturen met Kaders: “…en dragen Gedeputeerde Staten op om in kaderstellende nota’s het moment op te nemen waarop de kaderstellende nota’s geëvalueerd worden volgens de door de Zuidelijke Rekenkamer in het rapport Focus op Beleid opgenomen checklist”


43/43


44/44

Bijlage 4 Statenvoorstel 15/13 A Onderwerp Kadernota ICT-beleid 2013-2015 Aan Provinciale Staten van Noord-Brabant, Samenvatting De kadernota ICT-beleid 2013 – 2015 beschrijft de belangrijkste sturingskaders die nodig zijn om de in belang toenemende informatievoorziening te ondersteunen met de juiste informatietechnologie, aangevuld met de ICT-speerpunten voor 2013-2015. De kaders zijn afgestemd op het door u gewenste ambitieniveau: “eerst basis op orde en dan actief volger van ICT-ontwikkelingen op specifieke onderdelen mits onderbouwd door een goede business case”. 1. Inleiding Voor u ligt de ‘Kadernota ICT-beleid 2013-2015’ alsmede een meer gedetailleerde uitwerking van die kadernota (‘Uitwerking kadernota en speerpunten ICT-beleid 2013-2015’ met enkele bijlagen). De uitwerking stelt u in staat kennis te nemen van de belangrijkste voornemens met betrekking tot de uitvoering. Dit impliceert dat er geen noodzaak is om aanvullend nog uitvoeringsprogramma’s voor te leggen. In de tweede helft van 2014 zullen wij de commissie Economische Zaken en Bestuur verslag doen over de voortgang en actualisatie met betrekking tot de uitvoering. Achtergrond De Zuidelijke Rekenkamer heeft in 2011 het Strategisch Informatiebeleid van de provincie NoordBrabant onderzocht en diverse verbeterpunten geconstateerd. Het rapport van de Zuidelijke Rekenkamer is op 2 maart 2012 aangeboden aan het College van GS en op 11 mei 2012 door u besproken. Wij hebben in onze reactie aangegeven de aanbevelingen van de Rekenkamer over te nemen. Deze aanbevelingen zijn meegenomen in de nu opgestelde kadernota ICT-beleid 2013 – 2015. In september 2012 heeft de commissie Economische Zaken en Bestuur een startnotitie over het ICT-beleid besproken en is GS gevraagd deze kadernota op te doen stellen in lijn met de startnotitie en de op grond van die notitie door u geformuleerde uitgangspunten. De focus is – zoals ook afgesproken in de startnotitie - expliciet gericht op het ICT-beleid, dit in het volle besef dat ICT-beleid deel uitmaakt van het grotere geheel van informatiebeleid en bedrijfsvoering. Belang kadernota ICT-beleid 2013 - 2015 In de samenleving gaat de informatisering, de digitalisering van informatie, razendsnel. Die toenemende informatisering is een gegeven. Voor de provincie is het de opgave daar op de juiste wijze mee om te gaan, conform de doelstellingen uit de Agenda van Brabant. Een aantal toezichts- en uitvoeringstaken verschuiven naar omgevingsdiensten en gemeenten. Financiële druk vraagt om verhoogde inzet van informatievoorziening voor bedrijfsvoering en efficiency.


45/45

En niet in de laatste plaats speelt de informatievoorziening een belangrijke rol om het werken in het nieuwe Huis voor Brabant gemakkelijk en plezierig te maken. Om die in belang toenemende informatievoorziening te ondersteunen met de juiste informatietechnologie zijn sturingskaders nodig - net zoals die nodig zijn voor personeel en financiën. Niet alleen omdat het bij informatietechnologie om dikwijls grote investeringen met langjarige exploitatieconsequenties gaat, maar ook omdat die toenemende informatisering ook toenemende risico’s voor misbruik oplevert. Inhoud kadernota ICT-beleid 2013 - 2015 Deze kadernota gaat in op die sturingskaders en beschrijft achtereenvolgens meer in detail onze visie op hoe wij moeten inspelen op de verschillende externe en interne ontwikkelingen en samenwerkingsvormen, en vervolgens kaders voor architectuur en beveiliging, kaders voor projecten en beheer, de middelen en de besturing. De kaders zijn afgestemd op het in de commissie Economische Zaken en Bestuur besproken scenario 2 (“eerst basis op orde en dan actief volger van ICT-ontwikkelingen op specifieke onderdelen mits onderbouwd door een goede business case”). In het hoofdstuk over de besturing wordt het profiel van de CIO op directieniveau beschreven. Die positionering (gekoppeld aan de functie van directeur Bedrijfsvoering en Financiën in de nieuwe organisatiestructuur) onderstreept het toenemende belang dat de provincie hecht aan de besturing van de informatisering. Tot slot wordt ook de inrichting van de ICT-control functie beschreven: om verantwoording af te kunnen leggen over de voortgang en bereikte resultaten zal over diverse aspecten van het ICT-beleid in de reguliere jaarstukken worden gerapporteerd. 2. Het voorstel Wij stellen u voor · kennis te nemen van de ‚Uitwerking van de kadernota en speerpunten ICT-beleid 20132015‛; · met betrekking tot de ‚Kadernota ICT-beleid 2013-2015‛ te besluiten conform bijgaand ontwerpbesluit. Gedeputeerde Staten van Noord-Brabant, de voorzitter prof. dr. W.B.H.J. van de Donk

de secretaris drs. W.G.H.M. Rutten

Auteur: dr.ir. R.M. Hootsmans toestel (073) 680 84 33 Bijgevoegd treft u de volgende bijlagen aan: 1. Kadernota ICT-beleid 2013 - 2015 2. Uitwerking kadernota en speerpunten ICT-beleid 2013 - 2015 (incl. bijlagen)


46/46

Bijlage 5 Strategisch Informatiebeleid provincie NoordBrabant: aanbevelingen Zuidelijke Rekenkamer (6 februari 2012) Aanbevelingen aan GS 1. Leg zo spoedig mogelijk een kaderstellende strategische visie op het provinciale informatiebeleid aan PS voor. Formuleer in deze visie de provinciale ambities voor een samenhangende ontwikkeling van de informatievoorziening en de inzet van ICT binnen de provincie. Geef daarbij aan op welke wijze hiervoor afstemming is gezocht met andere overheden. 2. Formuleer op basis van de strategische visie in meerjarig perspectief de financiële en personele middelen die nodig zijn om de in de visie verwoorde ambities te realiseren. 3. Geef aan welke expertise binnen de provinciale organisatie permanent aanwezig dient te zijn en stem de tijdelijke inhuur van externe ICT-kennis en -ervaring daar op af. Zorg ervoor dat op strategische posities de afhankelijkheid van externe expertise zo gering mogelijk is. 4. Overweeg de verankering van de rol van CIO op directieniveau, met verantwoordelijkheid voor de organisatiebrede uitvoering van het informatiebeleid. 5. Rapporteer met ingang van 2011 in de Jaarstukken over de beleids- en bedrijfsrisico’s die samenhangen met de uitvoering van het provinciale informatiebeleid en voer ten behoeve van die rapportage stelselmatig risicoanalyses uit. 6. Zorg vooraf voor een goede ‘afsluiting’ van de beleidscyclus door het programmeren van evaluatie(s) van het informatiebeleid. Aanbevelingen aan PS 1. Verzoek GS om met ingang van 2012 in de paragraaf Bedrijfsvoering van de Jaarstukken te rapporteren over de uitvoering van het provinciale informatiebeleid en daarbij langs de lijn van de drie ‘W-vragen’ (wat wilden we bereiken, wat gingen we daarvoor doen en wat mocht dat kosten?) aandacht te besteden aan de volgende aspecten: · de mate waarin de provincie beschikt over een strategisch informatiebeleid dat in de pas loopt met recente ontwikkelingen op dit gebied; · de interne sturing en beheersing van de ICT-voorziening van de provinciale organisatie; · het (externe) toezicht op de ICT-voorziening van de organisatie. Vraag van GS op dit punt een bestendige rapportagelijn. 2. Leg in het controleprotocol voor de accountantscontrole vast dat de accountant met ingang van 2012 stelselmatig aan PS zijn bevindingen rapporteert over de stand van zaken rondom informatiebeveiliging. Daarbij dient in ieder geval aandacht geschonken te worden aan logistieke toegangsbeveiliging, wijzigingsbeheer en back-up & recovery.


47/47


48/48

Bijlage 6 Instructie bij geheim dossier Gedeputeerde en/of opdrachtgever bepalen dat een bepaald dossier geheim is. Dit gebeurt op basis van vooraf gedefinieerde criteria en/of indien een wettelijke basis daaraan ten grondslag ligt. Gedeputeerde en/of opdrachtgever bepalen tevens vooraf de duur van de geheimhouding. Deze geheimhouding kan gelden gedurende de uitvoering van een onderzoek, gedurende het besluitvormingsproces, gedurende een vooraf bepaalde periode danwel voor onbepaalde tijd. Na de besluitvorming over de geheimhouding van een dossier wordt een plan van aanpak opgesteld waarin onderstaande aandachtspunten (personen, werkomgeving, besluitvorming) gedetailleerd uitgewerkt worden. Tevens wordt een communicatieplan opgesteld om voorbereid te zijn op mogelijke publiciteit met betrekking tot een geheim dossier. Personen: a. Borg dat alleen de strikt noodzakelijke personen op de hoogte zijn van een dossier door bij de start de status ‘geheim’ aan te brengen en vervolgens de bijbehorende procedure te volgen. Let daarbij op mogelijk conflicterende belangen met betrekking tot de bij het dossier betrokken actoren en personen. b. Gedeputeerde, opdrachtgever en opdrachtnemer stellen vooraf vast welke personen aan het geheime dossier mogen werken. Wijs een eigenaar van het dossier aan. Deze is tevens verantwoordelijks voor de bewaring en opslag van het dossier na afronding van het onderzoek en het besluitvormingsproces. c. Communiceer vooraf met deze personen over het belang van geheimhouding en de risico’s en gevolgen van uitlekken. d. Vraag deze personen om een geheimhoudingsverklaring te tekenen. e. Stel voorafgaande aan het project een risicoanalyse op, waaruit duidelijk wordt wie belanghebbenden (kunnen) zijn en pas hierop zo nodig geheimhoudingsstrategie aan. Werkomgeving/systemen: a. Hanteer een neutrale codenaam voor het project. b. Vraag via het Dienstenplein een aparte map aan op de G-schijf onder deze codenaam, waarvoor alleen de personen die aan het dossier werken worden geautoriseerd en bewaar alleen op deze G-schijf de bestanden. c. De toegelaten autorisaties worden via Dienstenplein vastgelegd. d. Neem het dossier nog niet in Corsa op. Doe dit pas na afronding van het dossier. Als het dossier langer dan 1 jaar loopt, overleg dan met de algemeen directeur of er tussentijds in Corsa gearchiveerd moet worden. e. Verzend stukken in een gesloten envelop. Geen verzending per externe post doch uitsluitend per koerier of bode. In principe geen verzending per email vanwege de risico’s van ‘meelezers’. Indien verzending per e-mail toch noodzakelijk is, dan alleen op basis van vertrouwelijkheidscategorie ‘strikt vertrouwelijk’: binnen Outlook kan de ontvanger de betreffende mail dan niet doorsturen.


49/49

f.

Tijdens werkoverleggen over het geheim dossier alleen genummerde en op naam staande gekopieerde stukken gebruiken en deze stukken weer innemen (en evt. vernietigen) door opdrachtnemer. Een exemplaar wordt opgeborgen in een afgesloten kast of lade door opdrachtnemer onder aantekening van datum bespreking. g. Gebruik de codenaam voor het onderwerp van de vergadering in de agenda’s. h. Gebruik kasten die op slot kunnen en let bij vergaderingen op de gehorigheid van kamers. Besluitvorming: a. Behandel geheim dossier niet in Beleidsoverleg (BO), maar in een aparte vergadering, zodat het dossier alleen bij de eerder bepaalde groep blijft. b. Behandeling in GS: 1. GS-leden krijgen genummerde stukken op naam en in gesloten envelop aangeboden; 2. op vertrouwelijke agenda, waarbij registratie wordt geanonimiseerd behandeling in vertrouwelijk gedeelte van de vergadering: GS besluiten tot opleggen van geheimhouding t.a.v. het behandelde tijdens die vergadering (grondslag: artikel 55, eerste lid, Provinciewet; 3. geanonimiseerd besluit op vertrouwelijke besluitenlijst. c. Behandeling in PS of commissie PS: onder oplegging van geheimhouding verstrekken aan PS of een commissie. Er worden de volgende stappen doorlopen: 1. GS leggen geheimhouding op grond van belang genoemd in artikel 10 van de WOB (grondslag ligt in art. 25 en 91 van de Provinciewet) op; 2. Optioneel: GS verzoeken leden geheimhoudingsverklaring te ondertekenen (bijvoorbeeld als externe partij dit als extra eis verlangt naast geheimhouding o.g.v. Provinciewet). Dit is niet afdwingbaar, PS leden kunnen dit weigeren; 3. Commissieleden c.q. PS-leden ontvangen de stukken: i. genummerd op naam en in gesloten envelop. Of ii. ter inzage bij de griffie. 4. Indien geagendeerd voor PS-vergadering, dan wordt gevraagd om de geheimhouding te bekrachtigen (art 25, derde lid, Provinciewet regelt dat geheimhouding in eerstvolgende vergadering wordt bekrachtigd door PS en anders komt te vervallen). In andere gevallen duurt geheimhouding voort totdat GS of PS haar opheffen (art. 25, vierde lid, en art. 91, tweede lid, Provinciewet). Na besluitvorming a. Bied na besluitvorming door GS of PS de tot dan toe geheime informatie aan voor vastlegging in Corsa conform de spelregels zoals beschreven in het document ‘Informatie en nadere instructie voor de screening’. NB. Sommige informatie is blijvend geheim, maar wordt niettemin vertrouwelijk in Corsa opgenomen.


50/50

Bijlage 7 Instructie vertrouwelijke informatie

De komende periode worden veel oude vertrouwelijkheden uit Corsa verwijderd om aan deze nieuwe stelregels te voldoen. Dat wat je in Corsa kan vinden mag je echter niet zomaar openbaar maken, ook al is het niet als vertrouwelijk aangemerkt. Bovenstaand plaatje maakt dit duidelijk. Wees je bewust van wat je wel en niet kunt delen en met wie. Als je zelf een document in Corsa aanmaakt, sta hier dan ook bij stil en overleg indien nodig. Interne vertrouwelijkheid De interne (ambtelijke) vertrouwelijkheid is altijd aan de orde bij: · Kabinetszaken · Personeelszaken · Bijzondere onderwerpen zoals verkoop aandelen Essent en BIBO · Bestuurlijk politiek gevoelige aangelegenheden zoals grote aanbestedingen en benoemingen Aanleiding vertrouwelijkheden Het is voor het provinciaal bestuur en de directie essentieel dat dossiers en documenten die vertrouwelijk zijn, óók vertrouwelijk blijven. De organisatie moet er dan ook zorg voor dragen dat het risico dat informatie in handen komt van onbevoegdheden zo klein mogelijk is. Dat betekent dat stukken per definitie niet openbaar zijn, behalve als door of namens GS hierover expliciet is besloten. Voor dossiers die (ook intern) geheim moeten blijven, is een extra zorgvuldige procedure in het leven geroepen. WOB-verzoeken Bij verzoeken om informatie met een beroep op de WOB is het noodzakelijk dat je de betreffende documenten opnieuw tegen het licht houdt. Er zijn weliswaar gronden om een dergelijk verzoek te weigeren, maar wees je ervan bewust dat ook vertrouwelijke documenten door een WOB-verzoek openbaar gemaakt kunnen worden. Overleg hierbij goed met de auteur, zijn opvolger of leidinggevende en vraag hulp bij de WOB-experts. Lees hier meer over WOB-verzoeken. Big Brother Veilig omgaan met informatie betekent bewust, zorgvuldig en integer handelen. Hier zal op worden toegezien door o.a. controle in Corsa. Hierin zijn alle handelingen te achterhalen, zoals het raadplegen, bewerken en verwijderen van documenten en cases. Steekproefsgewijs bekijkt DIV of cases en documenten door ‘logische’ gebruikers zijn bekeken. Waar nodig of gewenst zal het eigen afdelingshoofd uitleg vragen aan de desbetreffende medewerker.


51/51


52/52

Bijlage 8 Onderwerpen Brabant Databank (okt 2014) Thema's Bevolking en wonen • Bevolking • Huishoudens • Woningvoorraad • Woningdichtheid • Prognoses

Economie en Energie • Bedrijvigheid • Economische groei • Opwekking duurzame energie • Innovatie

Welzijn en Zorg • Welzijn • Zorg

Verkeer en Vervoer • Verkeersgegevens • Personenvervoer • Goederenvervoer • Verkeersveiligheid

Cultuur, Sport en Recreatie • Musea, Theater en Recreatie • Toerisme • Afstand tot Bos/Natuur • Zwemwater • Sport Onderwijs en Werk • Leerlingen • Geslaagden • Arbeidsmarkt • Inkomen • Sociale zekerheid

Landgebruik en Milieu • Bodem(gebruik) • Water • Landbouw • Landschap en Natuur • Milieu Veiligheid • Buurt • Verkeer • Overige risico's Noord-Brabant Internationaal • Patenten totaal • Online aankopen • Werkloosheidspercentage • Bevolking naar leeftijd


53/53


54/54

Bijlage 9 Open data Algemene open data Bestand Nieuws Overige RSS-bronnen Producten en Diensten Bekendmakingen Regelingen Manifest ruimtelijke plannen

Omschrijving Het provinciale nieuws van www.brabant.nl/nieuws Overzicht van RSS-bronnen waaronder nieuws vanuit beleidsdossiers Producten en diensten van de provincie Noord-Brabant Bekendmakingen van de provincie Noord-Brabant. Regelingen van de provincie Noord-Brabant. RO-Online is het online loket waarmee de overheid digitale ruimtelijke plannen ontsluit. Alle ruimtelijke plannen van overheden zijn via RO-Online op te vragen.

Financiële data De provincie Noord-Brabant biedt haar begroting en realisatie over de jaren 2009 tot en met heden aan in Iv3-formaat. Deze datasets bevatten de begroting en realisatie (financiële verantwoording) van de provincie Noord-Brabant zoals die periodiek wordt aangeleverd aan het CBS in het Iv3-formaat. Iv3 staat voor ‘Informatie voor Derden’. De Iv3-bestanden zijn Excel-bestanden. De Iv3-bestanden zijn vanaf 2009 te downloaden en betreffen. Begroting 2009 Realisatie 2009 Begroting 2010 Realisatie 2010 Begroting 2011 Realisatie 2011 Begroting 2012 Realisatie 2011 Begroting 2013 Realisatie 2013 Begroting 2014 Realisatie 2014 (kwartaal 1 en 2) Geografische data Bestand Aardkundige monumenten

Aardkundige waarden – geharmoniseerd t.b.v. INSPIRE


Omschrijving Op sommige plaatsen hebben de (fossiele) verschijnselen van de niet-levende natuur nog een gave vorm of zijn aardkundige processen actief. Dan is sprake van aardkundige waarden. Dit bestand is gebaseerd op het Aardkundige Waardevolle Gebieden bestand van de Verordening ruimte Noord-Brabant 2011. NIET het authentieke, gewaarmerkte planbestand.

55/55

Archeologische landschappen

Bedrijventerreinen Bodemkundige eenheden Breuken Broedgevallen van roofvogels

Broedgevallen vogels

Carnavals-namen dorpen en steden Complexen van cultuurhistorisch belang

Cultuur-historische landschappen

Cultuur-historische vlakken

Deelwater-systemen

Ganzen-fourageer-gebieden Geluidsbelasting wegverkeer Lden

Geluidsbelasting wegverkeer Lnight


Archeologische landschappen die representatief zijn voor Noord-Brabant en - in potentie - voor de Brabantse geschiedenis tot en met de late middeleeuwen (1500 AD). Bedrijventerreinen in Noord-Brabant 2009 met extra gekoppelde statistische gegevens. Vereenvoudigde versie van de digitale bodemkaart van Nederland voor Noord-Brabant (schaal 1:50.000). Lijnenbestand met breuklijnen. Een breuklijn is de snijlijn van een geologische breuk met het aardoppervlak. De nestlocaties van roofvogels zijn op grond van hun vervolgingsgevoeligheid (vergiftiging, doorschieten van nesten, roven van jongen) vervaagd tot km-hokken (1x1 km). De gegevens zijn afkomstig uit de periode 1985 tot en met 2009 en verzameld bij het vlakdekkende vogelonderzoek Bestand met dorpen en steden verrijkt met de naam van de kom in carnavalstijd De complexen van cultuurhistorisch belang zijn (voormalige) kloosters, industriële complexen en landgoederen waarvan de waarde van provinciale betekenis is. De Cultuurhistorische Landschappen zijn gebieden met concentraties van samenhangende cultuurhistorische kenmerken en waarden De Cultuurhistorische vlakken vormen de kernen binnen de Cultuurhistorische Landschappen. De Cultuurhistorische vlakken zijn de meest kenmerkende deelgebieden van de Cultuurhistorische Landschappen. Afwateringsgebieden (gereguleerd/bemalen) en stroomgebieden (vrij afwaterend) met berekende waterontvangst gegevens. Onderdeel van het Natuurbeheerplan 2010. Geluidcontouren Lden van provinciale wegen NoordBrabant welke geheel of gedeeltelijk voldoen aan de criteria van de EU-richtlijn omgevingslawaai (1ste en 2de tranche) Geluidcontouren Lnight van provinciale wegen NoordBrabant welke geheel of gedeeltelijk voldoen aan de criteria van de EU-richtlijn omgevingslawaai (1ste en 2de tranche)

56/56

Grondwater-beschermings-gebieden

Hectometrering provinciale wegen Historisch stedenbouwkundige structuren

Historische bouwkunst

Historische geografie (lijnen)

Historische groenstructuren

Historische vlakken buiten landschappen

Historische zichtrelaties (lijn) Historische zichtrelaties (vlak) Kantoorlocaties

Kwetsbare gebieden ongezuiverde lozingen 2004

Monumentale bomen

Nationale Landschappen - geharmoniseerd t.b.v. INSPIRE


Dit bestand is een combinatie van de 4 verschillende zones van grondwaterbeschermingsgebieden zoals deze zijn vastgesteld in de Provinciale milieuverordening. Dwarslijnen bestand hectometrering van provinciale weg (met annotatie). Historische stedenbouw is de combinatie van de historisch gegroeide ruimtelijke structuur en de historische bebouwing. Met historische bouwkunst worden 'onroerende zaken' bedoeld. Voorbeelden zijn: boerderijen, woonhuizen, fabrieken, molens, kerken en kastelen. Historische lijnen zijn bijvoorbeeld dijken, dammen, wallen, paden, wegen (waaronder zandwegen, klinkerwegen en kasseiwegen), spoorwegen, kanalen en sloten. Inventarisatie van historische groenstructuren in het landschap. De groenelementen en structuren zijn veelal door ingrepen van de mens ontstaan Inventarisatie van historisch belangrijke gebieden buiten de landschappen. Historische geografie is de ruimtelijke neerslag van de aanpassingen die de mens in de loop der eeuwen heeft gedaan aan de natuurlijke omgeving Inventarisatie van historische zichtrelaties, zoals molenbiotopen en schootsvelden Inventarisatie van historische zichtrelaties, zoals molenbiotopen en schootsvelden Bestand met daarin de contouren van de terreinen voor kantoorlocaties in Noord-Brabant van het jaar 2008 en een tabel met extra gegevens De gebieden die meer of minder kwetsbaar zijn voor verontreinigingen als gevolg van ongezuiverde lozingen van afvalwater van huishoudens en bedrijven. Solitaire bomen die een cultuurhistorische betekenis hebben, minimaal 90 jaar oud zijn en in goede gezondheid verkeren. Provinciale begrenzing van de in de Nota Ruimte aangeduide Nationale Landschappen, Het Groene Woud en het zuidelijke deel van de Nieuwe Hollandse Waterlinie voor zover gelegen in Noord-Brabant.

57/57

Natte natuurparels

Natuur-beheergebied Ambitiekaart

Ontgrondingen 1950-1998 Planologische Ecologische hoofdstructuur - geharmoniseerd t.b.v. INSPIRE

Planten-waarnemingen

Planten-waarnemingen (lijnen) Planten-waarnemingen (punten) Planten-waarnemingen (vlakken) Provinciegrens

Reconstructie-grenzen Risicokaart

Stiltegebieden - geharmoniseerd t.b.v. INSPIRE Veehouderijbedrijven Vennen Verblijfs-recreatie-terreinen

Voormalige stortplaatsen


Begrenzing van de Natte natuurparels weer op perceelsniveau. Deze gebieden zijn aangewezen als TOPgebieden, waar de verdrogingsaanpak met voorrang moet plaatsvinden. Kaart waarop de provinciale Ambitie (het einddoel) is aangegeven en getypeerd volgens de Index Natuur en Landschap Ontgrondinglocaties waarvoor door de provincie vergunning is verleend tussen 1950 en 1998.

Bevat gebieden waar de belangrijkste natuurwaarden aanwezig zijn met als doel deze te beschermen en te ontwikkelen. Waarnemingen van planten in Noord-Brabant die op grond van een lijst met uitsteekgevoelige planten van Floron (www.floron.nl) zijn vervaagd tot het niveau van km-hok (1x1 km). Waarnemingen van planten in Noord-Brabant in de periode van 1987 tot en met 2009. Waarnemingen van planten in Noord-Brabant in de periode van 1987 tot en met 2009. Waarnemingen van planten in Noord-Brabant in de periode van 1987 tot en met 2009. Provinciegrens van provincie Noord-Brabant op basis van kadastrale percelen over het jaar 2007, 2008, 2009 en 2010. Gebiedsbegrenzing reconstructieplan 2005 en gebiedsplan 2005 De risicokaart laat de locatie van risicobronnen zien waardoor mensen direct letsel kunnen oplopen, bijvoorbeeld door gevaarlijke stoffen Gebied waarin het geluidniveau in de kern niet hoger is dan 40 decibel. Samenvatting van gegevens uit milieuvergunningen van veehouderijbedrijven. Locatie van vennen Inventarisatie verblijfs-recreatieterreinen i.v.m. onderzoek naar permanente bewoning uitgevoerd door de afdeling Ruimtelijke Ordening. De stortplaatsen die in deze dataset zijn opgenomen voldoen alle aan de onderzoeksdefinitie zoals gehanteerd in de Nota Hergebruik Stortplaatsen.

58/58

Waterschaps-grenzen WAV gebieden - geharmoniseerd t.b.v. INSPIRE Wegassen provinciale wegen Zwemwater en zwemplassen


Grenzen gebieden waterschappen Aa en Maas, Rivierenland, De Dommel en Brabantse Delta Zeer kwetsbare gebieden conform Wet ammoniak en veehouderij. Overzicht van assen van de provinciale wegen. "Informatie aan burgers en belanghebbenden over zwemmen in oppervlaktewater en circulatiebaden die vallen onder de Wet hygiëne en veiligheid badinrichtingen zwemgelegenheden (Whvbz). Informatie dateert uit 2006."

59/59


60/60

Bijlage 10 Evaluatie gebruik Berichtenbox voor bedrijven door gemeenten Samenvatting De provincie Noord Brabant voert een actief beleid om de elektronische dienstverlening aan bedrijven binnen haar provincie optimaal vorm te geven. Deze dienstverlening is de afgelopen jaren juridisch stevig verankerd als gevolg van de invoering van de Europese Dienstenrichtlijn, getransponeerd via de Nederlandse Dienstenwet. Eén van de centrale elementen in deze juridische kaders is de verplichting voor overheden om langs één landelijk digitaal loket te kunnen communiceren met zowel nationale als Europese bedrijven. In Nederland heeft deze verplichting vorm gekregen via de berichtenbox voor bedrijven. Dit is een faciliteit waarmee bedrijven transacties met overheden langs een digitale en beveiligde wijze kunnen afhandelen. In Nederland is deze berichtenbox in het kader van de implementatie van de Dienstenrichtlijn landelijk ontwikkeld, en zijn alle overheden die vallen onder het bijbehorende dienstenregime verplicht aangesloten op deze faciliteit. Het systeem is onder tijdsdruk tot stand gekomen en is om die reden basaal ontworpen als digitale postbus zonder uitgebreide functionaliteiten. De provincie Noord Brabant heeft middels dit onderzoek laten nagaan wat de stand van zaken is betreffende het huidig gebruik van de berichtenbox voor bedrijven onder de gemeenten. Op basis van de uitkomsten van dit onderzoek wil de provincie bekijken of de berichtenbox voor bedrijven ook in te zetten is voor interbestuurlijk verkeer. Het onderzoek is uitgevoerd door PBLQ HEC, in de periode mei tot en met augustus 2013. Het onderzoek heeft zich gericht op alle (N=67) gemeenten van de provincie. Kern van het onderzoek was een “mysterymail” met een informatieverzoek over vergunningen die via de berichtenbox aan alle gemeenten via de berichtenbox is verzonden, plus daaropvolgend vijftien telefonische en vijf face-to-face interviews met gemeenten. In het onderzoek is gekeken naar het gebruik van de berichtenbox bij gemeenten, niet naar het gebruik bij bedrijven. Er is hierbij gekeken naar de huidige functionaliteiten en er is geen rekening gehouden met geplande toekomstige functionaliteiten. Ook zijn de ervaringen van de provincie zelf (als gebruiker van de berichtenbox) buiten beschouwing gelaten, hoewel men aangaf de ervaringen van de gemeenten in het algemeen te herkennen. Respondenten in het onderzoek waren vooral de mensen die in praktische zin betrokken zijn bij het gebruik en beheer van de berichtenbox. De hoofdbevindingen van dit onderzoek luiden als volgt:


61/61

-

-

-

-

-

-

-

Het gebruik van de berichtenbox is (zeer) beperkt. Ongeveer de helft (46%) van de gemeenten heeft een reactie gegeven op het verzoek dat werd gedaan via de berichtenbox. Ongeveer een derde (31%) heeft een adequaat antwoord gegeven. Gemeenten geven aan zelden of nooit een bericht van een bedrijf te ontvangen. Om die reden is de aandacht voor het gebruik van de berichtenbox beperkt, en zakken procedures weg die horen bij regulier gebruik (men raakt bijvoorbeeld inlogcodes kwijt en weet niet wat precies de status is van een verzoek via de berichtenbox). De beperkte bekendheid bij bedrijven lijkt een direct gevolg van het feit dat er landelijk weinig ruchtbaarheid is gegeven aan het bestaan en de toegevoegde waarde van de berichtenbox. De organisatorische borging van de berichtenbox binnen gemeenten varieert. Er zijn verschillende modellen zichtbaar waarlangs gemeenten werken. Daarnaast zijn er verschillende afdelingen “eigenaar” van de berichtenbox, variërend van de postkamer, tot economische zaken, of het bedrijvenloket. Slechts in een kwart van de gevallen is er specifiek aandacht besteed aan interne implementatie van de berichtenbox. Gemeenten ervaren de functionaliteit van de berichtenbox als suboptimaal. Dit wordt voor een belangrijk deel veroorzaakt door het feit dat het gaat om een standalone beveiligd systeem, dat weinig gebruikersvriendelijk is. In de huidige inrichting moeten gemeenten om toegang te krijgen telkens opnieuw inloggen, ze kunnen berichten niet doorsturen e.d. Aanpassing van deze werkwijze is mogelijk, doch vergt extra investeringen aan de kant van de gemeenten. Gemeenten geven aan de berichtenbox voor bedrijven als het zoveelste digitale loket te ervaren. Er zijn al diverse andere landelijke digitale loketten voor bedrijven (ondernemingsdossier, ondernemersplein, omgevingsloket online etc.) zodat het lastig wordt de samenhang nog te zien. Daarnaast is er ook nog eens een andere berichtenbox: de berichtenbox voor burgers. Gemeenten geven aan de berichtenbox voor bedrijven in zekere zin als een “concurrent” te zien voor bestaande wijze van contact tussen bedrijven en gemeenten. Gemeenten hebben hun eigen, gemeentelijke portalen, waarlangs bedrijven contact kunnen zoeken met de gemeente. Bovendien geven de meeste gemeenten aan fysiek en telefonisch contact te prefereren boven digitaal contact. Gemeenten staan in het algemeen positief ten opzichte van hergebruik van de berichtenbox voor bedrijven ten behoeve van een berichtenbox voor interbestuurlijk verkeer. Wel moet daarbij met de huidige manco’s in gebruik en functionaliteit rekening worden gehouden.

Op basis van deze bevindingen is de slotconclusie onontkoombaar, dat er nog het nodige schort aan het gebruik van de berichtenbox voor bedrijven door gemeenten. In de kern samengevat draait het om: - Betere bekendheid, zowel bij bedrijven als bij de gemeenten; - Betere functionaliteit van de berichtenbox; - Betere (technische) integratie met andere gemeentelijke systemen. - Betere (organisatorische) implementatie, binnen de gemeenten. Wat betreft toekomstig interbestuurlijk gebruik van de berichtenbox, is er een aantal bestuurlijke aandachtspunten:


62/62

-

-

De huidige berichtenbox voor bedrijven valt onder de bestuurlijke verantwoordelijkheid van het ministerie van EZ. Bij brede toepassing voor interbestuurlijk verkeer lijkt ook een rol weggelegd voor het ministerie van BZK. Andere provincies hebben ook een rol in verdere toepassing van de berichtenbox. Hun betrokkenheid is een aandachtspunt als het gaat om verdere opschaling. Mogelijke alternatieven voor het faciliteren van interbestuurlijk verkeer zijn in dit onderzoek niet onderzocht. Wel is duidelijk dat er alternatieven bestaan. Het verdient aanbeveling vanuit een landelijk optiek te onderzoeken of het interbestuurlijk verkeer (tussen alle bestuurslagen) kan worden gefaciliteerd met de huidige berichtenbox voor bedrijven, danwel dat er andere opties voorhanden zijn.


63/63


64/64

Bijlage 11 Opmerkingen accountant en reactie GS met betrekking tot ICT Boardletter PwC 2012 ICT-onderzoek Zuidelijke Rekenkamer vertaald in de startnotitie Strategisch IT Beleid Uit de onderzoeken van de Zuidelijke Rekenkamer en HEC komt naar voren dat de governance van IT binnen de provincie in onvoldoende mate geborgd is. De organisatie erkent de uitkomsten en heeft op basis daarvan de startnotitie Strategisch IT Beleid opgesteld. De startnotitie gaat in op de te maken keuzes in de rol van IT voor de toekomst van de organisatie. De startnotitie is door u vastgesteld. U hebt gekozen voor het basisscenario. De uitwerking van het basisscenario volgt in een kaderstellende nota. De positionering van IT Beleid is ook onderdeel van organisatieontwikkeling. In lijn met de startnotitie heeft de provincie al stappen genomen om de functie van CIO binnen de organisatie vorm te geven, en daarmee IT op managementniveau te borgen. IT-omgeving van voldoende niveau om automatische gegevensverwerking te waarborgen. Wij hebben in ons verslag aandacht besteed aan de bevindingen met betrekking tot de betrouwbaarheid en continuïteit van de geautomatiseerde gegevensverwerking. Wij hebben in samenwerking met onze EDP-auditors de IT-omgeving beoordeeld. Hierbij hebben wij voor de SAP-omgeving relevant voor de jaarrekeningcontrole 2012 de volgende domeinen beoordeeld: · Program change & development. · Access to programs & data. · Computer operations. Dit sluit tevens aan bij de aanbevelingen die de Zuidelijke Rekenkamer aan PS heeft gedaan. In het rapport van de Zuidelijke Rekenkamer is de aanbeveling opgenomen om in het controleprotocol voor de accountantscontrole vast te leggen dat de accountant met ingang van 2012 stelselmatig aan PS zijn bevindingen rapporteert over de stand van zaken rondom informatiebeveiliging. Daarbij dient in ieder geval aandacht geschonken te worden aan logistieke toegangsbeveiliging, wijzigingsbeheer en back-up & recovery. Onze bevindingen treft u aan in dit document. De provincie maakt gebruikt van gestandaardiseerde IT-beheerprocessen en bewaakt deze processen. Wij zien echter wel mogelijkheden tot verdere verbetering van de IT-omgeving, alsmede voor het benutten van controlemogelijkheden die systemen als SAP bieden namelijk: · Het consequent naleven en documenteren van de geformaliseerde procedures en werkwijzen. · Optimalisatie van het inkoopproces, waarbij meer gebruik gemaakt kan gaan worden van geautomatiseerde controles. Voorbeelden hiervan zijn automatische controle of blokkade bij


65/65

een budgetoverschrijding, alsmede het geautomatiseerd afdwingen dat mutaties op stamgegevens (zoals inkoopprijzen en leveranciers) niet mogelijk zijn voor reguliere gebruikers. Reactie GS Ook uw IT aanbevelingen met betrekking tot de procedure en de registratie en documentatie van de wat eenvoudigere en telefonische wijzigingen nemen wij over en zijn per 1 januari 2013 geïmplementeerd. Accountantsverslag PwC 2013 Er zijn geen bevindingen ten aanzien van uw IT Wij hebben in samenwerking met onze EDP-auditors de IT-omgeving beoordeeld. Daarbij zijn wij van mening dat de IT-omgeving binnen uw organisatie van voldoende niveau is om de continuïteit van de geautomatiseerde gegevensverwerking te waarborgen. Voor een andere uiteenzetting van onze bevindingen zie onze Boardletter. Significante impact door invoering SEPA SEPA (Single Euro Payments Area) zal een groot effect hebben op het betalingsverkeer en cash management van organisaties. Hoewel SEPA al in 2006 is geïntroduceerd door de European Payments Council is pas in februari 2012 de einddatum voor de migratie vastgesteld op 1 februari 2014. SEPA introduceert nieuwe betaalproducten die de voornaamste lokale betaalproducten zullen vervangen. De lokale betaalformaten zullen niet meer ondersteund worden door de banken vanaf 1 februari 2014. SEPA zal invloed hebben op onder andere: · de betaalproducten die de organisaties gebruiken; · het afletteren van betalingen; · incassomachtigingenbeheer; · de informatie die nodig is om betalingen uit te voeren; en · alle (ERP-)systemen die klantinformatie bevatten. De benodigde tijd voor een SEPA-migratieproject wordt beïnvloed door verscheidende factoren. Zo beïnvloedt het aantal IT-systemen, de geografische ‘footprint’ in Europa, de huidige gebruikte betaalproducten, bestandsformaten en stamdata van klanten en leveranciers de implementatietijd. Een SEPAmigratieproject duurt gemiddeld tussen de zes en twaalf maanden, maar de praktijk laat zien dat incassogrootgebruikers zelfs tot twee jaar nodig hebben om te voldoen aan de SEPAeisen. Het risico van een onjuiste of onvolledige migratie kan leiden tot grote verstoringen in het geautomatiseerd verwerken van betalingen. Dit kan zowel de inkomende als de uitgaande betalingen negatief beïnvloeden en grote inefficiëntie met zich meebrengen. Reactie GS Red: geen aanvullende reactie opgenomen naar aanleiding van voorgaande.


66/66

Boardletter EY 2013 Verbeter positie automatisering binnen de processen Ten aanzien van de uitvoering van de interne controle en de verbijzonderde interne controle, merken wij ook op dat nog zeer beperkt gebruik wordt gemaakt van automatisering. Momenteel worden de beheersingsmaatregelen nog veelal rondom de automatisering getest. Veel van de beheersingsmaatregelen zijn echter geautomatiseerd of kunnen worden geautomatiseerd. Daarnaast is het automatiseringsproces binnen een organisatie als de provincie van cruciaal belang. Gebruik van automatisering leidt ertoe dat de controlewerkzaamheden efficiënter en effectiever kunnen worden uitgevoerd. Wij adviseren u dan ook te analyseren op welke wijze gesteund kan worden op de automatisering bij uitvoering van de interne controlewerkzaamheden. Toets IT-beheersingsmaatregelen door middel van EDP-audit Tevens adviseren wij u om ook de generieke IT-beheersmaatregelen, zoals versiebeheer, logische toegangsbeveiliging en back-up en recoveryprocedures, nadrukkelijk te toetsen door middel van interne (EDP-)audits. ICT-strategie en governance bepaald, formalisering uitvoering in beginfase Een belangrijke voorwaarde voor effectieve ICT-governance is dat de ICT-strategie is afgestemd op de organisatiebrede strategie en doelstellingen. Dit beleid moet worden vertaald naar maatregelen om de doelstellingen te kunnen bewerkstelligen. Wij constateren dat de rol van ICT binnen de provincie Noord-Brabant steeds duidelijker wordt gedefinieerd. Naar aanleiding van een startnotitie door de Zuidelijke Rekenkamer heeft de provincie een kadernota vastgesteld, waarin de ICT-strategie is beschreven. Hierbij is het doel om eerst de basis op orde te brengen en daarna de rol van actieve volger aan te nemen, mits onderbouwd met een goede business case. Uitgangspunt hierbij is dat er gebruik wordt gemaakt van bewezen technologie en indien deze niet beschikbaar is om samenwerking met andere partijen te zoeken. Een ander uitvloeisel van de kadernota is dat de rol van CIO inmiddels is belegd. Wij zien deze kadernota als een positieve ontwikkeling in de professionalisering van ICT binnen de provincie. Gebruik van informatietechnologie In onze kennismaking met de ICT-verantwoordelijken hebben wij besproken dat de provincie verder bouwt aan het uitbreiden van het bestaande SAP-systeem. Wij hebben begrepen dat de provincie voornemens is om per januari 2014 een module van SAP in gebruik te nemen voor het proces van subsidieverstrekking. Wij begrijpen de keuze om het subsidieproces in te richten in het reeds in gebruik zijnde SAP-systeem, maar begrijpen ook dat u daarmee de eerste in Nederland bent die van deze functionaliteit binnen SAP gebruik gaat maken. We adviseren de provincie om het implementatietraject zorgvuldig uit te voeren met aandacht voor tests op de functionaliteit en performance, conversiecontroles, inrichting van autorisaties en opleiding van gebruikers. IT-beheerprocessen en geprogrammeerde controles


67/67

Wij hebben de indruk dat de beheerprocessen, die onder uw verantwoordelijkheid vallen, deels voldoen aan de daaraan gestelde eisen. Hieronder lichten wij kort toe wat de punten ter verbetering zijn. · Wijzigingsbeheer: wijzigingen worden niet altijd conform een generiek wijzigingsproces geïmplementeerd. De provincie heeft aangegeven dat de vastlegging van testwerkzaamheden en het akkoord voor in productie name van wijzigingen niet altijd wordt gedocumenteerd. · Toegangsbeveiliging: de provincie beschikt over een door de directie goedgekeurde informatiebeveiligingsbeleidsplan. Momenteel wordt gewerkt aan een uitvoeringsplan dat hierop aansluit. In het kader van informatiebeveiliging wordt bij voorkeur gebruik gemaakt van algemeen geaccepteerde standaarden, bijvoorbeeld de normenkaders van het NCSC. · Continuïteit: wij hebben begrepen dat uw organisatie voldoende maatregelen heeft ingericht op het gebied van continuïteitsmanagement. In oktober 2013 zullen wij inhoudelijke testwerkzaamheden uitvoeren op de relevante IT-beheerprocessen. Tevens zullen wij hierin de aanwezige geprogrammeerde controles in kaart brengen en beoordelen. ICT-beveiliging, de vraagstelling EY gaat in haar verslag van bevindingen nader in op haar visie ten aanzien van de ICTbeveiliging bij de provincie Noord-Brabant. Specifiek wordt hierbij aandacht besteed aan de opvolging van de aanbevelingen van de voorgaande accountant. Formaliseer het provinciale beleid ten aanzien van ICT-beveiliging Op basis van onze eerste kennismaking met de ICT-verantwoordelijken binnen de provincie constateren wij dat de rol van ICT binnen de provincie Noord-Brabant steeds duidelijker wordt gedefinieerd. Naar aanleiding van een startnotitie door de Zuidelijke Rekenkamer heeft de provincie een kadernota vastgesteld waarin de ICT-strategie is beschreven. Ten aanzien van de ICT-beveiliging constateren wij dat de provincie beschikt over een informatie beveiligingsbeleid plan, momenteel wordt gewerkt aan een uitvoeringsplan dat hierop aansluit. In het kader van informatiebeveiliging wordt bij voorkeur gebruik gemaakt van algemeen geaccepteerde standaarden, bijvoorbeeld de normenkaders van het NCSC (Nationaal Cyber Security Centrum). In een later stadium voeren wij nadere testwerkzaamheden ten aanzien van onder andere de ICTbeveiliging uit, op dat moment kunnen wij ook een oordeel geven omtrent de bevindingen van de voorgaande accountant. Wij rapporteren onze bevindingen hieromtrent in ons verslag van bevindingen. Certificering DigiD loopt Op 31 december 2013 moeten alle gebruikers van een DigiD-koppeling verantwoording over de beveiliging van deze koppeling aan Logius hebben afgelegd. Op basis van de vele DigiDassessments die EY uitvoert, stellen wij vast dat overheidsinstanties nog een flink aantal verbeteringen op het gebied van beveiliging moeten doorvoeren om te kunnen voldoen aan de standaard. De verantwoordelijkheid voor het DigiD-beveiligingsassessment ligt bij GBO-P (Gemeenschappelijk Beheer Organisatie – Provincies). Zij zijn verantwoordelijk voor het beheer van diverse producten en diensten die interprovinciaal worden gebruikt. CIBO (Centraal Informatie Beveiligings Overleg)


68/68

is een interprovinciaal overleg van medewerkers informatiebeveiliging van de verschillende provincies. De medewerkers informatiebeveiliging van GBO-P maken deel uit van dit overleg. De provincie Noord-Brabant laat zelf ook een DigiD-beveiligingsassessment uitvoeren om zeker te voldoen aan de standaard. Op het moment van onze bespreking heeft u aangegeven dat u tijdig bent gestart met de voorbereidingen om het DigiD-beveiligingsassessment met goed gevolg af te ronden. Stappen ten aanzien van DigiD kunnen de provincie helpen bij het opstellen van algemeen beveiligingsbeleid Wij willen de aandacht vragen voor het onderwerp “Informatiebeveiliging”. De norm van Logius is een goede eerste stap, maar het betreft een selecte set van beveiligingsmaatregelen. Wij adviseren u te inventariseren welke kritieke gegevens u opslaat en verwerkt binnen uw organisatie en hier afdoende beveiligingsmaatregelen rondom in te richten. Ook geldt dat de huidige ontwikkelingen in de markt, zoals het gebruik van tablets en de inzet van Social Media, resulteren in nieuwe risico’s die de aandacht vragen om problemen ten aanzien van de beschikbaarheid van systemen, maar ook het imago van de provincie Noord-Brabant te voorkomen. Invoering SEPA ligt op schema Sinds maandag 1 juli 2013 kunnen consumenten al een papieren IBAN-acceptgiro ontvangen. Na 31 december 2013 mogen organisaties de oude acceptgiro al niet meer versturen. Op 1 februari 2014 moet het elektronische betalingsverkeer voldoen aan de SEPA-standaarden. Uit onderzoeken die zijn uitgevoerd, blijkt dat de deadline bij overheidsinstanties in Nederland in gevaar kan komen. In relatief korte tijd moeten veel systemen worden aangepast. U heeft aangegeven al enige tijd te voldoen aan de SEPA-standaarden. Dit is een goede zaak, want de implementatie, het testen en het oplossen van eventuele problemen binnen de betreffende systemen kosten namelijk behoorlijk wat tijd. Reactie GS Geadviseerd wordt om ook te analyseren op welke wijze gesteund kan worden op de automatisering bij de uitvoering van de interne controlewerkzaamheden en om de generieke ITbeheersmaatregelen nadrukkelijk te toetsen door middel van interne (EDP)-audits. Afdeling Concerncontrol & Auditing gaat in overleg met afdeling ICT kijken wat in deze moet worden opgepakt en wat haalbaar is. Voor een aantal zaken vinden er al onderzoeken/audits plaats. Zo is er voor informatiebeveiliging in september 2013 een quickscan uitgevoerd. Zoals hiervoor al beschreven is de provincie voornemens om een module van SAP in gebruik te nemen voor het proces subsidieverstrekking. U adviseert de provincie om het implementatietraject van de module zorgvuldig uit te voeren. De aandachtspunten die u noemt krijgen bij alle ICTprojecten de nodige aandacht tijdens het implementatietraject maar zijn nogmaals onder de aandacht gebracht bij de projectleider van het project Subsidie 3.0 en de teamleider van het SAP serviceteam. U geeft verder aan dat het wijzigingsbeheer verbeterd kan worden. Wijzigingen worden niet altijd conform een generiek wijzigingsproces geïmplementeerd. Er vindt op dit moment een herinrichting


69/69

plaats van de processen voor wijzigingsbeheer en configuratiebeheer. Deze herinrichting komt voort uit de ‘Kadernota ICT-beleid 2013-2015’. De planning is dat de inrichting van configuratiebeheer en wijzigingsbeheer in december 2013 is afgerond. Tevens adviseert u om het provinciale beleid ten aanzien van ICT-beveiliging vanuit het informatiebeleidsplan verder uit te werken. Het beleid voor informatiebeveiliging is reeds opgesteld. Voor de zomer is het informatiebeveiligingsbeleidsplan goedgekeurd door CMT. Momenteel wordt er gewerkt aan een uitvoeringsplan voor informatiebeveiliging. Dit plan wordt in oktober 2013 afgerond. U vraagt bij het onderwerp informatiebeveiliging ook aandacht voor huidige ontwikkelingen in de markt zoals het gebruik van tablets en de inzet van social media. Deze ontwikkelingen resulteren in nieuwe risico’s die aandacht vragen om problemen ten aanzien van de beschikbaarheid van systemen maar ook ten aanzien van het imago van de provincie te voorkomen. Voor de interne opslag en verwerking van gegevens zijn de beveiligingsmaatregelen geregeld. Voor externe media zoals Pleio, Dropbox, Projectplace, Hyves en Facebook is dit niet geregeld. De provincie heeft weinig grip wat er op deze media wordt geplaatst. Wel zijn er acties ondernomen om de medewerkers op de risico’s te wijzen. Op Brain (Intranet) wordt aandacht besteed aan de risico’s van het gebruik van social media, tablets en smartphones, medewerkers die deelnemen aan BringYourOwn regelingen worden op de risico’s gewezen en binnen het programma Digitaal Werken wordt er bij trainingen aandacht aan besteed. Accountantsverslag EY 2013 Automatisering In het kader van de controle van de jaarrekening brengt de accountant ook verslag uit omtrent zijn bevindingen met betrekking tot de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking. Onze controle was niet primair gericht op het doen van een uitspraak omtrent de continuïteit en betrouwbaarheid van (delen van) de geautomatiseerde gegevensverwerking en wij hebben daartoe ook geen opdracht van het management ontvangen. Om de betrouwbaarheid van de gegevensverwerking te borgen vindt jaarlijks een toetsing plaats op en rondom de IT-systemen. Hiervoor hebben wij de algemene IT beheersmaatregelen getest voor de applicatie SAP, welke van materieel belang is voor de jaarrekeningcontrole. De jaarrekeningcontrole heeft geen materiële tekortkomingen in de continuïteit en betrouwbaarheid van de geautomatiseerde gegevensverwerking aan het licht gebracht. In onze boardletter hebben we enkele aanbevelingen ten aanzien van het wijzigingsbeheer en de logische toegangsbeveiliging gedaan. In het hoofdstuk speerpunten van Provinciale Staten gaan wij nader in op uw aandachtspunt aangaande de continuïteit van de geautomatiseerde organisatie. ICT- beveiliging De provinciale processen worden voor een belangrijk deel ondersteund door het SAP platform. De interne controle van de bedrijfsprocessen hangt daarmee sterk samen met een goede beheersing van de SAP systemen. Ook draagt dit bij aan een integere inrichting van geautomatiseerde controlemaatregelen in SAP.


70/70

EY heeft eind vorig jaar de beheersingsmaatregelen omtrent SAP beoordeeld. Er is een aantal aandachtspunten met betrekking tot de beheersingsmaatregelen die wij graag benadrukken: · De aanwezigheid van 139 gebruiker accounts die langer dan 90 dagen niet zijn gebruikt om in te loggen. · Een vijftal gebruikersaccounts met een ontwikkelsleutel binnen de productieomgeving. · Zes gebruikersaccounts met ongelimiteerde rechten binnen de SAP omgeving. · Beveiligings-, parameter- en wachtwoordinstellingen die onvoldoende bijdragen aan een betrouwbare inrichting. Bovenstaande bevindingen zijn door de provincie onderkend en zijn een bewuste keuze die voortvloeien uit eerdere procesafspraken, waarbij in een aantal gevallen mitigerende controlemaatregelen zijn genomen. Het risico op eventueel oneigenlijk gebruik van deze situaties schatten wij dan ook in als lager. Wel vragen wij uw aandacht voor de bestaande processen te evalueren om tot een nog betrouwbaardere beheersing van de systemen te komen. Voor de korte termijn raden we aan om het aantal gebruikers met ontwikkelsleutel in de productieomgeving te reduceren, inactieve accounts te verwijderen, de gewenste password parameters op te nemen in het informatiebeveiligingsplan voor 2014 en het systeem hierop in te richten. Op de lange termijn adviseren wij om procedurele en operationele vooruitgang te maken met het gebruikersbeheer en wijzigingsbeheer. We constateren dat hier, mede naar aanleiding van onze aanbevelingen al een aantal acties op zijn genomen. Reactie GS ICT-beveiliging (blz. 29) De accountant meldt nog een aantal aandachtspunten met betrekking tot de beheersmaatregelen t.b.v. de ICT-beveiliging en adviseert: · voor de korte termijn om het aantal gebruikers met ontwikkelsleutel SAP te reduceren · voor de lange termijn om voortgang te maken met het gebruikersbeheer en wijzigingsbeheer. Deze adviezen betrekken wij bij de uitvoering van het informatiebeveiligingsplan. Boardletter EY 2014 ICT binnen de controle van de jaarrekening Voor de jaarrekeningcontrole wordt elk jaar in toenemende mate gesteund op informatie beheerd in of afkomstig uit IT-systemen. Om op die informatie te kunnen steunen is het van groot belang dat de betrouwbaarheid van de gegevensverwerking in de IT-systemen is gewaarborgd. Indien dat het geval is dan levert dat voordelen op voor de provincie Noord-Brabant doordat de informatiehuishouding efficiënter en, daarmee meer kostenbesparend, wordt uitgevoerd. Om de betrouwbaarheid van de gegevensverwerking te borgen vindt jaarlijks door EY een toetsing plaats op en rondom deze IT-systemen. Daarbij vindt een toetsing plaats op applicaties die van materieel belang zijn voor de jaarrekeningcontrole. Ten tijde van de interim-controle 2014 hebben wij de applicatie SAP (Financieel) beoordeeld.


71/71

Voor SAP hebben wij de IT-beheerprocessen wijzigingsbeheer en toegangsbeveiliging onderzocht. Daarnaast hebben wij ook de continuïteit van de gegevensverwerking getoetst. Onze detailbevindingen ten aanzien van SAP hebben wij in een separate rapportage aan de CIO van de provincie Noord-Brabant uitgebracht. De belangrijkste bevindingen en aanbevelingen hieruit zijn onderstaand opgenomen. Gebruik van informatietechnologie Op basis van onze uitgevoerde IT-auditwerkzaamheden en gevoerde gesprekken, stellen wij vast dat de provincie Noord-Brabant diverse trajecten in gang heeft gezet voor het verhogen van de volwassenheid van de IT-beheersing. Deze trajecten hebben met name betrekking op de beveiliging van IT-systemen, de beveiligingsbewustzijn richting medewerkers en het beheer van gebruikers. Wel merken wij op dat als wij ingaan op de operationele beheersing van en toegang tot de IT-systemen wij enkele verbeterpunten hebben geconstateerd. Doordat er ook aanvullende interne controlemaatregelen buiten de geautomatiseerde omgeving om aanwezig zijn, leiden deze bevindingen niet direct tot een acuut risico voor de provincie. Wel kunnen de bevindingen gevolgen hebben voor de beschikbaarheid en betrouwbare werking van IT-systemen, daarmee achten wij het ook belangrijk deze te melden. Deze hebben betrekking op: · Wijzigingsbeheer: het ontbreken van een beoordeling van de cumulatieve impact van het groot aantal wijzigingen dat maandelijks in SAP wordt doorgevoerd op de beschikbaarheid en betrouwbare werking van SAP. · Toegangsbeveiliging: de aanwezigheid van een groot aantal niet-persoonsgebonden accounts dat beschikt over alle rechten. Verder merken wij op dat uitgevoerde (test)werkzaamheden niet altijd worden vastgelegd waardoor wij niet kunnen vaststellen of deze werkzaamheden, gericht op de IT-beheersing, conform de opgestelde procedures en afspraken worden uitgevoerd. Informatiebeveiliging Het belang om informatiebeveiliging op orde te brengen is in de afgelopen jaren toegenomen door belangrijke ontwikkelingen als zaakgericht werken, ketensamenwerking en wijzigingen in privacy- en regelgeving. Ook is de bewustwording van burgers over informatieveiligheid verhoogd, mede veroorzaakt door beveiligingsincidenten als Diginotar, Lektober en Dorifel. Informatiebeveiliging positioneert zich hierdoor als een belangrijk bedrijfsrisico in de informatiehuishouding van gemeenten en provincies. Wij hebben vastgesteld dat de provincie Noord-Brabant, mede naar aanleiding van de onderzoeken van de Zuidelijke Rekenkamer, in 2013 en in 2014 diverse acties in gang heeft gezet voor het structureren van de aanpak en daarmee het verscherpen van de informatiebeveiliging binnen de organisatie. Eén van de belangrijkste acties betreft het afsluiten van een raamovereenkomst met een externe beveiligingsorganisatie die audits uitvoert en die de provincie scherp houdt op trends en ontwikkelingen die van invloed kunnen zijn op de beveiliging binnen de provincie. Andere belangrijke ontwikkelingen op het gebied van informatiebeveiliging binnen de provincie Noord-Brabant betreffen onder meer:


72/72

►Het vergroten van de beveiligingsbewustzijn bij medewerkers aan de hand van trainingen en het uitvoeren van audits en zogeheten mystery guest bezoeken. ►Het verplicht opnemen van informatiebeveiliging bij alle (IT gerelateerde) projecten zoals BYOD en het aanbieden van Wifi voor bezoekers. ►De betrokkenheid van de CIO als het gaat om informatiebeveiliging binnen de organisatie. ►Het uitvoeren van een risico- en kwetsbaarheidsanalyse op de primaire bedrijfsprocessen, zoals subsidieverlening en inkopen, om na te gaan of de ingerichte beveiligingsmaatregelen en – procedures voldoende toereikend zijn. Wij onderschrijven het nut en de noodzaak voor de verhoogde aandacht van informatiebeveiliging en beveiligingsbewustzijn binnen uw organisatie. Reactie GS Op basis van door u uitgevoerde IT auditwerkzaamheden en gevoerde gesprekken, stelt u vast dat de provincie Noord-Brabant diverse trajecten in gang heeft gezet voor het verhogen van de volwassenheid van de IT beheersing. Deze trajecten hebben met name betrekking op de beveiliging van IT systemen, het beveiligingsbewustzijn richting medewerkers en het beheer van gebruikers. U geeft helder weer welke acties zijn ondernomen en dat u nut en noodzaak daarvan onderschrijft. Wel merkt u daarbij op dat er in de operationele beheersing van en toegang tot de IT systemen enkele verbeterpunten zijn. · U adviseert maandelijks een cumulatieve impact analyse op wijzigingen die worden doorgevoerd in SAP. Voor technische upgrades wordt altijd een regressietest uitgevoerd die de cumulatieve impact beoordeelt. Voor kleinere aanpassingen achten wij de bestaande testprocedures toereikend. Wel zal mede op uw aangeven de documentatie van de wijzigingen en de uitkomsten van het testen stringenter ter hand worden genomen. · Het interne SAP service team beschikt over een groot aantal niet persoonsgebonden accounts met verregaande rechten. De traceerbaarheid van handelingen is daardoor niet geborgd. Wij onderkennen dit vraagstuk en stellen de niet persoonsgebonden accounts buiten werking. Voor calamiteiten richten wij een noodprocedure in. Daarbij kunnen tijdelijk verhoogde toegangsrechten (SAP_ALL rechten) worden aangevraagd om problemen in de productieomgeving op te lossen.


73/73


74/74

Bijlage 12 Begroting en jaarstukken ICT Begroting 2013 Informatiestrategie (Speerpunt GS + UA 46 ); budget € 8 miljoen In 2012 is door PS de startnotitie vastgesteld, die begin 2013 zal leiden tot een kaderstellende nota. Daarin worden mede de aanbevelingen vanuit o.a. het rapport van de Zuidelijke Rekenkamer (2012) opgenomen. Thema’s hierbij zijn: Digitaal werken (o.a. tijd- en plaatsonafhankelijk werken), Samenwerken (o.a. samenwerkingsverbanden) en Open Overheid, (o.a. uniform overheidsloket, e-participatie). Maar daarnaast vooral ook het op orde brengen van de enigszins verouderde basisinfrastructuur en verbeteren van de gebruiksvriendelijkheid van belangrijke bedrijfsvoeringssystemen zoals Corsa (documentmanagementsysteem). In 2013-2015 vindt uitvoering plaats (onder de bredere paraplu van Organisatieontwikkeling). Over de voortgang van de uitvoering zullen in 2013 en 2014 tussentijdse voortgangsrapportages aan PS plaatsvinden. Verder wordt opgemerkt dat er een Reserve ICT-basisinfrastructuur en duurzame productiemiddelen (nr.1880 PS 60/10 PS 47/11) is. Deze reserve is bedoeld om de aanschafkosten en onderhoudskosten van hard- en software te dekken, alsmede de periodieke vervanging van facilitaire productiemiddelen met beperkte financiële omvang. De omvang van de reserve bedraagt begin 2013 circa 4,7 miljoen. Deze loopt af naar circa 2,1 miljoen eind 2015. Ø

Een tussentijdse voortgangsrapportage hebben we in 2013 niet aangetroffen. De huidige verslaglegging in de vorm van deze evaluatie beschouwen we maar even als voortgangsrapportage in 2014.

Jaarstukken 2012 Ten slotte keken we in 2012 kritisch naar onze ICT. De startnotitie en Kadernota ICT zijn inmiddels in de commissie EZB besproken. Hierin zijn digitaal werken en ‘technische basis op orde’ de twee speerpunten. De CIO-functie is gepositioneerd. Een impuls voor het Nieuwe Werken gaven we door de regeling Bring Your Own Tablet te introduceren. De toren heeft inmiddels overal Wi-Fi en we kregen een nieuwe intranet: BRAIN. Verder wordt opgemerkt dat de invoering van de Bring Your Own Tablet regeling na Bestuursrapportage II heeft plaatsgevonden en als zodanig het budget niet is bijgewerkt. Dit heeft geleid tot een kleine € 65.000 (0,8%) overschrijding op de ICT-budgetten. Begroting 2014 Naast ICT in de bedrijfsvoeringparagraaf komt in de economische paragraaf ook het toepassen van ICT bij het bereiken van maatschappelijke doelen naar voren.

Economische agenda 1. Intensiveren van het gebruik van ICT om de maatschappelijke opgaven van Brabant te realiseren;


75/75

2. Bevorderen en faciliteren van initiatieven bij burgers en maatschappelijke stakeholders met betrekking tot de investering in hoogwaardig breedband en benutten van de mogelijkheden van ICT. Instelling van een Breedbandfonds (onderdeel programma 7 investeringsagenda). In de bedrijfsvoering wordt als mijlpalen opgenomen de volgende onderwerpen uit de Kadernota: technische basis ICT op orde en invulling CIO-functie gerealiseerd.

Informatiestrategie (UA 46); budget € 7,7 miljoen In 2013 is door PS de Kadernota ICT 2013-2015 vastgesteld, inclusief de uitvoeringsplannen m.b.t. “basis op orde” en de digitalisering van het archief. In 2014 wordt het technische gedeelte van “basis op orde” afgerond, zodat de provincie qua ICT is voorbereid op Huis voor Brabant. In het vierde kwartaal van 2013 en in de eerste helft van 2014 wordt invulling gegeven aan de nieuwe functie van CIO, gekoppeld aan die van directeur bedrijfsvoering. In dezelfde periode wordt gestart met de voorbereiding van een informatieplan. Aan de Rekenkamer zal worden gevraagd om in de tweede helft van 2014 een onderzoek uit te voeren m.b.t. de kwaliteit van de dossiervorming en het archief beheer. Eveneens in de tweede helft van 2014 zullen GS de Staten een evaluatierapport. Jaarstukken 2013 In maart 2013 hebben PS de Kadernota ICT 2013-2015 vastgesteld. Mede op basis van de in deze nota vastgelegde uitgangspunten is in 2013 met kracht gewerkt aan de drie afgesproken speerpunten: het op orde brengen van de technische basis van ICT, het bevorderen van digitaal werken in de organisatie en het duurzaam digitaliseren van het archief.

ICT: basis op orde Start- en kadernota opgesteld. Vervolgens uitvoering conform nota. Streefwaarde 2013: kaderstellende nota en uitvoering en voortgangsnotitie voor PS. Gerealiseerd: Ja. In maart 2013 hebben PS de Kadernota ICT 2013-2015 vastgesteld en de uitvoering is gestart: - Verbetering van de kwaliteit van het digitaal werken door aandacht voor training en opleiding, optimalisering van de systemen en een samenhangend geheel van organisatorische maatregelen. - Verbetering basis op orde ten aanzien van de technische basis van de ICT ligt op schema. Medio 2014 zullen de beschikbaarheid van een nieuwe serverruimte, een nieuwe telefooncentrale en een aantal nieuwe voorzieningen (ander mailsysteem, subsidiesysteem, koppeling tussen SAP en GEO) de belangrijkste uitingsvormen daarvan zijn. - De bestaande interprovinciale samenwerking op ICT-gebied met de gemeente Den Bosch en het Waterschap Aa&Maas verloopt goed; - Ten aanzien van veiligheidsbeleid met betrekking tot informatie en ICT zijn concrete acties uitgewerkt. Een voorbeeld van dit laatste is dat wij consequent SAAS-oplossingen (software in de “cloud”) op alle voor ons relevante veiligheidsaspecten laten testen. De ervaring leert dat dit zowel voor ons als voor de betrokken leveranciers toegevoegde waarde heeft. Eind 2013 is de voortgang extern getoetst en positief beoordeeld.


76/76

In de toelichting op financiën wordt opgemerkt dat het versneld uitvoeren van de in de Kadernota ICT 2013-2015 opgenomen programma Basis op Orde zorgt voor hogere dan geplande uitgaven in de beheeromgeving. Het betreft o.a. uitgaven voor ICT-communicatieapparatuur, opslag data en ICT-concernprojecten. Deze hogere kosten worden gedekt uit de reserve Basisinfrastructuur en duurzame productiemiddelen. De lasten zijn binnen de vastgestelde projectbudgetten gebleven. Begroting 2015 Informatiestrategie In 2015 ligt op basis van “Basis op orde” de focus op het verder professionaliseren van de IT-governance. Daarnaast zullen de laatste ICT-ontwikkelingen nauwgezet worden gevolgd en zal er ingezet worden op het faciliteren en stimuleren van samenwerking tussen (semi)overheden op het gebied van informatie/innovatie technologie voor zowel binnen (eigen organisatie) als buiten (met de organisatie mee het beleidsveld in).

Activiteiten en prestaties 2015 - In 2015 ligt de focus op het verder professionaliseren van de IT-governance; - Actief volgen van ICT-ontwikkelingen; - Faciliteren en stimuleren van samenwerking tussen overheden en semioverheden op het gebied van informatie/innovatie technologie voor zowel binnen (eigen organisatie) als buiten (met de organisatie mee het beleidsveld in); - Intensivering van de samenwerking met Kennis en Onderzoek; In de bijbehorende Bestuursrapportage en financiële doorlichting 2014-II wordt voorgesteld de middelen voor ICT-projecten structureel op te nemen in de meerjarenbegroting: “Bestuursrapportage en financiële doorlichting 2014-II Instemmen met continuering Reserve Basisinfrastructuur en duurzame productiemiddelen irt grote ICT-projecten In het instellingsbesluit Reserve Basisinfrastructuur en duurzame productiemiddelen is opgenomen dat voor het onderdeel grote ICT projecten na 4 jaar wordt geëvalueerd of de reserve een geschikte vorm is voor de financiering. Gebleken is dat de Reserve Basisinfrastructuur en duurzame productiemiddelen irt grote ICT projecten gecontinueerd dient te worden om flexibiliteit te handhaven bij de uitvoering van grote ICT projecten. De financiële verwerking was reeds opgenomen in de meerjarenbegroting.” Naast deze bedrijfsvoeringaspecten wordt in hoofdstuk 07.10 Breedbandfonds gesproken over het “Intensiveren van het gebruik van ICT in Brabantse economische clusters” .


77/77


78/78

Bijlage 13 Besparingen n.a.v. licentiebeheer -Omzetkortingen Begin 2013 conform de contracten ca. € 74.171 omzetkorting over 2013 en 2014 van de raamcontractanten teruggevraagd. Het invorderingsproces is afgerond. -BCT, onderhoud Corsa Door onderhandeling een jaarlijks terugkerend voordeel kunnen behalen van ca. € 3.000 op de onderhoudskosten. -SPSS Uit SNOW bleek eerder dat de SPSS licentie structuur te uitgebreid was. Jaarlijkse besparing door licentievermindering pakt hoger uit dan eerder berekend: € 10.000. -Adobe Creative-licenties Jaarlijks € 9.000 besparing op Adobe Creative Licenties door analyse met SNOW. -ROVABU / Novell uitfasering Er is momenteel voor € 8.100 aan contracten opgezegd. -Xs4all In 2006 waren 2 data lijnen opgezegd, tot in 2014 ontving PNB rekeningen en heeft die voldaan. TLM (team licentiemanagement) heeft het teveel betaalde a € 6.000 teruggevorderd. -Applicatie vermindering TLM wil na onderzoek, gericht applicaties uitzetten in Windows 7 om reductie van licentiekosten en besparing op beheer te realiseren. Er waren ruim 350 applicaties. Uit de rapportage uit SNOW blijkt dat ca. 150 applicaties kunnen worden uitgefaseerd. Van overige applicaties is het gebruik in beeld gebracht en vermindering van het aantal licenties hiervan wordt onderzocht. Het exacte besparingsbedrag van deze operatie is daarom nog niet bekend.


79/79


80/80

Bijlage 14 Hoofdconclusies rapport Telefonie Assessment Het bereikbaarheidsbeleid dat uitgaat van alleen 073 toegang onder weglating van 06 toegang is te rigide. Veel medewerkers willen primair bereikbaar zijn onder het door de Provincie verstrekte 06 nummer met eigen voicemail, wat inmiddels in Nederland te doen gebruikelijk is. De organisatie zal op het vaste 073 nummer bereikbaar moeten zijn. Voorgesteld wordt voor de “ontkoppeling” van 073 een nieuw Plan van Aanpak op te stellen, waarbij de gebruikers vanaf het begin worden betrokken. De ontkoppeling van de automatische verbinding tussen 073 en 06nummers is uitgevoerd op 29 september door KPN en Vodafone. ·

· De kwaliteit van de verbinding is van te laag niveau. Met betrokken leveranciers wordt blijvend overleg gevoerd om tot haalbare kwaliteitsverbetering te komen binnen de huidige technische inrichting. KPN is hiervoor primair verantwoordelijk. Opgemerkt wordt dat: ‘Er zijn uitgebreide technische en functionele testen uitgevoerd in een nietoperationele/niet-representatieve omgeving, waarbij de vraagspecificatie leidend was. Er is geen opleveringstest uitgevoerd. Het systeem is in operationeel bedrijf. De Provincie is gewaarschuwd voor de gevaren hiervan in relatie tot serviceverlening van de leveranciers. Dat bij de PoC het concept niet in de organisatie is getest, is een ernstige tekortkoming.’ Bereikbaarheidsverbetering kan alleen worden verkregen door vanaf het begin de gebruikersorganisatie volledig te betrekken. Communicatie MET de gebruikers is in deze een absolute noodzaak voor te behalen successen. Er is meer ruimte in de telefooncentrale voor eisen en wensen van specifieke gebruikersgroepen. Die moet versneld worden benut. Over dit laatste zegt het onderzoeksbureau: ‘Gezien de heftige reacties uit de organisatie op de huidige telefonievoorziening en de vaak gehoorde opmerking dat men niet gehoord is, mag de conclusie duidelijk zijn. De inventarisatie was eenzijdig en te veel op techniek gebaseerd. Het project is aangevlogen als ICT-vervangingsproject. Voor bereikbaarheidsverbetering is de betrokkenheid van mensen nodig. Techniek die dat moet afdwingen zal falen. Gebruikers hadden de reikwijdte van de besluiten onvoldoende door. Dat kan hen niet verweten worden.’ Het rapport geeft aan dat de vervanging van de centrale primair vanuit technisch perspectief is gestart, waarbij de rol van de gebruikers onderbelicht is gebleven. De directieraad heeft geen geïnformeerd besluit kunnen nemen en daardoor de consequenties van bereikbaarheid op 073 in combinatie met BYOD niet in voldoende mate kunnen overzien. ·


81/81


82/82

Bijlage 15 Routekaart


83/83

Tussentijdse beleidsevaluatie Kadernota ICT-beleid

Recommend Documents