Het doel van de bedrijfsvoering is het zo goed mogelijk ondersteunen en uitvoeren van de programma’s. Concreet gaat het om een goede dienstverlening aan de inwoners en het gemeentebestuur door:
Organisatieontwikkeling
Aan hand van het ontwikkelprogramma Nuenen ontwikkelt Door (NOD) is verder invulling gegeven aan de doorontwikkeling van de organisatie zowel vanuit cultuur als structuur. Er zijn ervaringen opgedaan met de gewijzigde organisatie inrichting. Aan de hand van de ervaringen wordt de organisatie inrichting geëvalueerd. Daarnaast is geïnvesteerd in teamontwikkeling en is de formatie herijkt in relatie tot de operationele taken. Een medewerkersonderzoek is uitgevoerd waarvan de uitkomsten zowel worden betrokken bij de evaluatie van de organisatie inrichting als bij de vertaling naar de benodigde vervolgacties gericht op cultuur.
Strategisch HRM-beleid
In het (strategisch) HRM-plan 2022 - 2025 zijn de onderdelen HRM-visie en - beleid uitgewerkt voor de vier Dommelvallei organisaties. Daarnaast is een matrix opgesteld die als basis dient voor de verdere afstemming en invulling op organisatie niveau. Er is een start gemaakt met de herijking van de gesprekscyclus.
Hybride werken
Gezien de maatschappelijke trend zal enige vorm van hybride werken blijven bestaan. In het afgelopen jaar is bij wijze van pilot vanuit wens en noodzaak om met elkaar in verbinding te blijven invulling gegeven aan de afspraak dat iedereen vooralsnog tenminste 50% van zijn of haar werktijd op kantoor aanwezig is. Een evaluatie heeft inmiddels plaatsgevonden en daarin komt ook naar voren dat een andere inrichting van het gemeentekantoor nodig is. De afspraak over aanwezigheid op kantoor wordt voortgezet.
De verdere doorontwikkeling van de digitale HR-service is een permanent proces. Vanaf 1 januari 2022 werken we vanuit een e-HRM systeem waardoor HR-gerelateerde managementinformatie op elk moment geautomatiseerd beschikbaar is (Management Self Service). Dit proces wordt verder geoptimaliseerd.
Uitvoering informatieplan 2022
De uitvoering van het informatieplan 2022, het jaarlijkse uitvoeringsplan op basis van informatiebeleid Dommelvallei 2021-2025, stond onder druk, door:
Alhoewel er projecten in de planning verschoven zijn is het gros van de projecten in uitvoering of in voorbereiding. Maar door de druk op het portfolio, beveiligings- en capaciteitsissues bij systeembeheer zijn achterstanden in vooral technische projecten en reguliere hardware-vervangingen ontstaan. Eind 2022 gaf Dienst Dommelvallei hierover een noodsignaal af. Op basis daarvan zijn in het informatieplan 2023 noodzakelijk onderhoud, beveiliging en modernisering van de ICT-omgeving samen onder de noemer "basis op orde" als prioriteit gesteld en is er aandacht gevraagd voor de ondercapaciteit bij systeembeheer. Nieuwe wensen voor functionaliteit en ambities uit 2022 die niet in uitvoering of voorbereiding zijn, kregen de status optioneel. Deze worden alleen opgepakt indien er naast de basis-op-orde capaciteit bij systeembeheer overblijft.
IT-regieorganisatie
Dienst Dommelvallei zette de eerste stappen in de inrichting van IT-servicemanagement en wijzigingsbeheer. Daardoor zijn ze meer "in control". Ze kregen meer zicht op hoeveel tijd er nodig is om de afgesproken diensten te leveren en de infrastructuur te onderhouden. De tijd die nodig is voor informatieveiligheid neemt toe. Systeembeheer voert alleen wijzigingen in infrastructuur en applicatielandschap door die een vastgesteld proces volgen en als de planning van het regulier beheer dit toelaat. Dit heeft gevolgen voor het aantal uit te voeren projecten. Daarbij is Dienst Dommelvallei beter in staat reële verwachtingen van doorlooptijd te geven. In het verlengde hiervan stelden we samen een ontwikkelplan functioneel beheer en applicatiebeheer op om op dit gebied te professionaliseren met als hoofddoel de digitale mogelijkheden beter uit te nutten en continuïteit en veiligheid te borgen.
Door het stuklopen van de VNG aanbesteding GGI-veilig was het noodzakelijk om nieuwe diensten en software af te nemen om het proactief detecteren van risico's te implementeren. De verdere implementatie loopt door naar 2023.
Digitaal Stelsel Omgevingswet (DSO)
De invoering van de omgevingswet is uitgesteld naar 1 januari 2024 door problemen met de implementatie van het (landelijke) DSO.
Digitale duurzaamheid
Informatie is duurzaam toegankelijk als die gedurende de vastgestelde bewaartermijn voldoet aan de volgende kenmerken: informatie is vindbaar, beschikbaar, leesbaar, interpreteerbaar, betrouwbaar en toekomstbestendig. Voor iedereen die daar recht op heeft en voor zo lang als noodzakelijk, oftewel volgens wetgeving.
We koppelden de systemen voor burgerzaken, het sociaal domein en vergunningen-toezicht-handhaving (VTH-systeem) aan het zaaksysteem om archiefwaardige documenten hierin op te slaan. Dit blijkt in de praktijk weerbarstig. Koppelingen zijn complex en vragen veel monitoring en beheer op diverse gebieden. In het sociaal domein is tot dusver geen naar behoren werkende koppeling opgeleverd. Daarom is langer analoog archiveren nodig. Door deze ervaringen maakten we een uitzondering op de kaders en richtlijnen zaakgericht werken, door archieffunctionaliteit toe te staan in diverse vakapplicaties. Dit vraagt om een herijking van de architectuur: hoe en waar zullen we informatieobjecten bewaren, vernietigen en beheren. De keuzes die we daarin maken zullen invloed hebben op de uitvoering en daarmee benodigde formatie voor informatiebeheer. Hiermee gaan we in 2023 aan de slag.
Archiefinspectie
In 2022 heeft het Regionaal Historisch Centrum Eindhoven (RHCe) een audit uitgevoerd en hebben we de jaarlijkse rapportage aan het Interbestuurlijk Toezicht van de Provincie (IBT) gestuurd. Het toezichtoordeel van de provincie was ‘Voldoet’. Uit de audit bleek dat het archiefbeheer grotendeels voldoet aan geldende wet- en regelgeving; verbeterpunten worden opgenomen in het verbeterplan voor 2023.
Digitalisering bouw- en milieudossiers
Er was gepland dat dit project in 2022 afgerond zou zijn. Dit is niet gelukt, omdat de voorbewerking van de bouwdossiers iets meer tijd vroeg dan verwacht en de lockdown periode eerder al enige vertraging had opgeleverd.
De planning is dat dit in het voorjaar van 2023 alsnog gebeurt. De bouwvergunningen verleend tot en met 1989 worden dan ook overgedragen naar het RHCe.
Werkplekvoorzieningen en ondersteuning gemeenteraden
Bij de start van de nieuwe raadsperiode in 2022 zijn aan raads-, commissie- en burgercommissieleden digitale voorzieningen (laptop en softwarelicenties) uitgeleverd. Door lange levertijden van hardware zijn laptops voor medewerkers in het kader van hybride werken niet in 2022 maar begin 2023 uitgeleverd.
Basis op orde
Veiligheid eerst
De wachtwoordsterkte is aangescherpt conform de BIO norm. Dit gecombineerd met tweefactor authenticatie verhoogt de bescherming van onze applicaties en devices.
Kwetsbaarheids-/penetratietesten
In 2022 zijn twee kwetsbaarheidsscans op onze systemen uitgevoerd door externe partijen. Maatregelen zijn genomen om de bevindingen met de grootste risico's weg te nemen. Andere te nemen maatregelen zijn ingepland en begroot.
Inrichting risicomanagement
In 2022 is een pilot gestart voor interne controle op autorisaties. Dit heeft betrekking op de proceseigenaren en de toetsing door control.
Zaakgericht werken
De functionarissen gegevensbescherming (FG's) toetsen de inrichting van de vertrouwelijkheid van alle nieuwe zaaktypes. Zo zorgen we er gezamenlijk voor dat de medewerkers in het zaaksysteem alleen die gegevens kunnen raadplegen die ze nodig hebben voor hun taken.
Verwerkers- en samenwerkingsovereenkomsten
In het verwerkingenregister staan alle verwerkingen van persoonsgegevens die in een organisatie plaatsvinden. Voorheen hielden we deze registers bij in een Excelbestand. Dit jaar zijn de verwerkingenregisters voor de gemeente vanuit Excel overgezet in ons Privacy Management Systeem (PMS). Daarmee kunnen we de verwerkingen op een meer gestructureerde manier bijhouden.
Bedrijfscontinuïteit
Werken in de cloud / Veilig mailen en veilig bestanden uitwisselen
Na een succesvolle pilot is de organisatie brede implementatie van Zivver gestart waarmee op een veilige manier kan worden gecommuniceerd.
Crisisbeheersing
De crisisorganisatie is in de praktijk getoetst bij incidenten. Dit jaar is een aanpak van beveiligingsincidenten met als doelgroep systeembeheer opgesteld.
Bewustwording
28 januari is de Europese Dag van de Privacy. Op deze dag wordt internationaal extra aandacht gegeven aan het belang van een goede bescherming van persoonsgegevens. Privacy officers, FG's en CISO zijn hierop aangehaakt. In de week van 28 januari hebben zij dagelijks op intranet aandacht besteed aan een specifiek onderwerp dat verband houdt met privacy en informatiebeveiliging. De week werd afgesloten met een quiz, waar veel medewerkers aan mee deden.
Phishingmailactie
Aan het eind van het jaar hebben CISO en FG's een nep phishingmail uit laten sturen. Zij wilden daarmee toetsen of de medewerkers een phishingmail kunnen herkennen, of zij bekend zijn met het proces rondom het melden van een phishingmail en wilden het bewustzijn bij de medewerkers vergroten. De actie was geslaagd. CISO en FG's hebben daarna voor iedereen op intranet een e-learning beschikbaar gesteld waarin zij meer konden leren over het herkennen van een phishingmail en het meldproces. De directeuren zijn over de resultaten van de actie geïnformeerd.
Rondgang door de gebouwen
In 2019 heeft een mystery guest de gemeentelijke gebouwen bezocht om bij de Dommelvallei-organisaties de informatieveiligheid te toetsen. CISO en FG's wilden onderzoeken of de aanbevelingen die de mystery guest destijds heeft gedaan, door de organisaties zijn opgevolgd. Daarvoor hebben zij in juli en augustus een rondgang door de gebouwen gemaakt. CISO en FG's constateerden veel verbeteringen en hebben aan de directeuren ook een aantal verbetervoorstellen gedaan.
Overig
Eenduidige Normatiek Single Information Audit (ENSIA)
Met ENSIA leggen gemeenten in één keer verantwoording af over het (veilig) gebruik van acht verantwoordingsstelsels en applicaties. Het betreft de verantwoordingsprocedure voor de Basisregistratie Personen, Reisdocumenten, Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen, Basisregistratie Grootschalige Topografie, Basisregistratie Ondergrond, Structuur uitvoeringsorganisatie Werk en Inkomen (Suwinet) en Wet Waardering Onroerende Zaken. De DigiD en Suwinet onderdelen zijn door een IT-auditor gecontroleerd, we voldeden voor deze stelsels aan alle normen. De uitkomsten van de IT-audit en de andere zelfevaluaties (met waar nodig verbeterplannen) zijn vastgesteld in de colleges en gedeeld met de verticale toezichthouders.
Externe audit Wet politiegegevens
Een IT-auditor heeft bij de gemeente Nuenen de wettelijk verplichte audit uitgevoerd op de verwerking van politiegegevens (persoonsgegevens die worden verwerkt voor de opsporing van strafbare feiten). De resultaten zijn tijdig bij de Autoriteit Persoonsgegevens aangeleverd. De organisatie gaat met de aanbevelingen aan de slag.
Datalekken
In 2022 is er binnen de gemeente Nuenen 1 datalek gemeld. Dit hebben we gemeld bij de Autoriteit Persoonsgegevens en we hebben de betrokkene op de hoogte gesteld.
Een melding bij de AP betekent niet ook automatisch een melding bij de betrokkenen en andersom. Of we een datalek melden bij de AP en/of de betrokkenen is altijd een individuele afweging. Dit is afhankelijk van het privacyrisico voor de betrokkenen. De FG's en de privacy officer stemmen in overleg met de verantwoordelijken af welke datalekken bij wie gemeld worden.
De datalekken zijn in vrijwel alle gevallen het gevolg van een incidentele menselijke fout. Meestal gaat het om een mail die per abuis is verstuurd naar een verkeerde ontvanger. We wijzen medewerkers erop om de juistheid van het mailadres goed te controleren. Omdat de mens hierin de zwakste schakel is en blijft, nemen wij dit thema continu mee in onze bewustwordingscampagne.
Beveiligingsincidenten
In 2022 zijn er in de vier Dommelvallei-organisaties 19 beveiligingsincidenten (geen phishing/spam meldingen) gemeld bij de CISO. Dit jaar zijn er (door verbeterde mail inrichting en beveiliging) geen phishing/spam meldingen geweest. Het aantal beveiligingsincidenten (niet phishing/spam) is 3 maal zo hoog als vorig jaar, vorig jaar waren er 6 beveiligingsincidenten (niet phishing/spam) en 67 phishing/spam incidenten.
Het grootste incident was een kwetsbaarheid op een nieuwe server, waardoor er een (ethical-) hacker is binnengedrongen. Deze kwetsbaarheid is meteen weggenomen en nader forensisch onderzoek heeft geen andere inbreuken aangetoond.
Rechtmatigheidsverantwoording
De rechtmatigheidsverantwoording door het college gaat in vanaf het boekjaar 2023, in plaats van vanaf 2022. De noodzakelijke wetswijziging is eind september 2022 definitief vastgesteld in de Eerste Kamer. Het college geeft vanaf het boekjaar 2023 zelf een verantwoording af over de rechtmatigheid.
Aan de hand van de beschikbare informatie hebben we ons in 2022 voorbereid, zodat de eerste rechtmatigheidsverantwoording afgegeven kan worden bij de jaarrekening 2023.
Data-analyses
De opzet van de verbijzonderde interne controle verandert. In plaats van voornamelijk repressieve controles op basis van deelwaarnemingen, worden aantallen/resultaten, ontwikkelingen binnen het vakgebied en financiële ontwikkelingen steeds meer de basis van het nieuwe control framework. Op deze manier kan risicogericht toezicht worden gehouden. Niet alleen meer achteraf. Data-analyse speelt hierbij een cruciale rol. Voor de processen inkoop, personeel en belastingen is hier in 2022 voor het eerst gebruik van gemaakt.
De huisvesting van de ambtelijke organisatie en het bestuur is momenteel als volgt:
Naast de eigen organisatie zijn in het gemeentehuis ook de bibliotheek en de politie gehuisvest.
(peildatum 31-12-2022)
| Verdeling man/vrouw en fulltime/parttime | Fulltime | Parttime | Totaal |
| Mannen | 40 | 9 | 49 |
| Vrouwen | 19 | 41 | 60 |
| Totaal | 59 | 50 | 109 |
| Verhouding man / vrouw 2022: 45% / 55% | |||
| Verhouding man / vrouw in vergelijkbare gemeenteklasse voor 2021: 46% / 54% |
| Formatie | Factor | 31-12-2022 |
| Directie en Staf | fte | 6,88 |
| Afd. Ontwikkeling | fte | 41,38 |
| Afd. Realisatie | fte | 51,79 |
| Totale formatie | fte | 100,05 |
| Gemiddelde leeftijd | 2022 | 2021 |
| Mannen | 47,8 | 47,9 |
| Vrouwen | 48,7 | 46,8 |
| Totaal | 48,3 | 47,1 |
| Gemiddelde leeftijd landelijk binnen gemeenten in 2021: 48,0 jaar |
| Ziekteverzuim | 2022 | 2021 |
| Verzuimpercentage | 5,65 | 4,81 |
| Verzuimfrequentie | 1,01 | 0,74 |
| Ziekteverzuimpercentage in vergelijkbare gemeenteklasse voor 2021: 5,8 |