Vooronderzoek naar het beleid, de organisatie en de uitvoering van ...

Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond

Colofon Samenstelling Rekenkamercommissie Externe leden De heer mr. P.M.B. Schrijvers (voorzitter) De heer ir. N. op de Laak De heer drs. R.G.L. Peeters RA Raadsleden Mevrouw A.P.H. Waajen-Crins Mevrouw P.T.G.J. Beeren-Adriaans De heer H.M. Hutjens Secretariaat Rekenkamercommissie Ambtelijk secretaris De heer A.H.C. Vestjens Adres Postbus 900 Telefoonnummer 0475 - 35 94 60 E-mail [email protected] Website www.roermond.nl November 2012


Inhoudsopgave: 1. Aanleiding en doelstelling. 2. Afbakening, onderzoeksopzet en -methodiek. 3. Conclusies en aanbevelingen. Bijlagen: I Bestuurlijk hoor en wederhoor:

a. Reactie college van burgemeester en wethouders van Roermond

op de rapportage van de Rekenkamercommissie.

b. Nawoord Rekenkamercommissie.

II. Onderzoeksrapport van VKA: “Quick scan Informatievoorziening”.


1. Aanleiding en doel van het onderzoek.

De rekenkamercommissie (RKC) heeft op 5 maart 2012 de start van het vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT in de gemeente Roermond aangekondigd. De rekenkamercommissie heeft een onafhankelijke positie binnen de ge-meente. Dit betekent dat de rekenkamercommissie zelf bepaalt welke on-derwerpen worden onderzocht en hoe het onderzoek wordt ingericht. Zij maakt daarbij echter wel gebruik van eventuele verzoeken en suggesties van gemeenteraad, raadsfracties en derden. In dat kader doet zij ook oproe-pen aan alle raadsfracties om mogelijke onderzoeksonderwerpen aan te dragen. Mede gelet op de ontwikkelingen bij de gemeente Roermond m.b.t. het dienstverleningsconcept en de I-visie, het recent toetreden tot het samen-werkingsverband DIMPACT en ook de relatie tot de snelle ontwikkelingen van en de eisen aan de E-overheid, was dit onderzoeksonderwerp naar het oordeel van de RKC relevant. ICT-beleid is weliswaar in hoge mate uitvoering (een middel om bepaalde beleidsdoelstellingen te helpen realiseren) en dientengevolge in hoge mate een college-aangelegenheid (en een MT-ambtelijke aangelegenheid) maar (indirect) zeer cruciaal voor de doeltreffendheid en doelmatigheid van ge-meentelijk beleid als zodanig. Bovendien gaat ICT-beleid met grote beste-dingen gepaard. Ook die moeten voldoen aan de criteria van doelmatigheid, doeltreffendheid en rechtmatigheid. Daarmee behoren de bestuurlijke infor-matievoorziening en de bepaling van het ICT beleid als ondersteuning daar-van ook tot het raadsdomein. De rekenkamercommissie heeft ervoor gekozen om, gelet op de aard van het onderwerp, eerst een vooronderzoek uit te (laten) voeren naar het ‘het beleid, de organisatie en uitvoering van de ICT in de gemeente Roermond”. Dit vooronderzoek dient als het ware een foto van het gemeentelijk ICT-beleid op te leveren. Dat heeft op zichzelf al waarde. Het eigenlijke doel van het vooronderzoek is echter om op basis van de uitkomsten, als rekenka-mercommissie te kunnen beoordelen of (eventueel) aanvullend -meer ver-diepend- onderzoek (m.b.t. een of meer aspecten van het beleid c.q. van specifieke ICT-projecten) noodzakelijk is.


2. Afbakening, onderzoeksopzet en –methodiek. Het vooronderzoek kent de volgende afbakeningen: • Het vooronderzoek heeft het karakter van een quick scan met vooral oog

voor de breedte en compleetheid en met een beperkte diepgang; • Het onderzoeksgebied wordt gevormd door drie clusters: 1) informatie-

beleid, 2) besturing en organisatie van de informatievoorziening, informa-tiebeveiliging en projecten en 3) beheer en exploitatie van de informatie-voorziening en ICT;

• De te onderzoeken periode is vanaf 2007 naar de huidige situatie en vooruitkijkend naar relevante interne en externe ontwikkelingen.

De RKC heeft zich bij dit vooronderzoek laten ondersteunen door advies- en onderzoeksbureau Verdonck, Klooster & Associates b.v. (VKA). Voor deze quick scan heeft VKA uitgebreid documentenonderzoek gedaan (zie bijlage B bij het onderzoeksrapport van VKA). Dit onderzoek is aange-vuld met een zevental interviews met mensen op verschillende posities in de organisatie. De lijst met te interviewen personen is afgestemd met de RKC (zie bijlage C bij het onderzoeksrapport van VKA). Van alle interviews is een verslag gemaakt dat ter verificatie is verzonden aan de geïnterviewden. Na verwerking van commentaar en aanvullingen is een definitieve versie van het verslag in PDF-vorm toegezonden aan de ge-interviewden. De bevindingen zijn gerelateerd aan het normenkader en aan de informatie uit een benchmark. Op die manier ontstaat een beeld waar Roermond staat ten opzichte van het normenkader, en waar Roermond staat ten opzichte van andere gemeenten.


3. Conclusies en aanbevelingen. Hoofdconclusie. Het vooronderzoek geeft voor de rekenkamercommissie geen aanleiding tot nader vervolgonderzoek. Het beeld dat uit de rapportage naar voren komt laat zien dat de gemeente Roermond met de goede dingen bezig is, en haar zaken op hoofdlijnen goed voor elkaar heeft. Daarnaast heeft de gemeente een aantal ontwikkelingen in gang gezet, zoals het centraliseren van het ap-plicatiebeheer en de ontwikkeling van een referentiearchitectuur, die op kor-te termijn zullen bijdragen aan een (nog) betere beheersbaarheid van de informatievoorziening en ICT. Specifieke conclusies. In de rapportage van VKA worden per onderzoekscluster (“informatiebeleid”, “besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten” en “het beheer en exploitatie van de informatievoorziening en ICT”) de specifieke conclusies weergegeven. De rekenkamercommissie on-derschrijft deze conclusies. Aanbevelingen. De Rekenkamercommissie onderschrijft ook de aanbevelingen zoals weer-gegeven in de rapportage van VKA. De belangrijkste aanbeveling is om de betrokkenheid van de Raad bij het beleid rond informatievoorziening en ICT te versterken. De reden daarvoor is dat in de huidige tijd significante onderdelen van de informatievoorziening en ICT niet langer uitsluitend als bedrijfsvoering kunnen worden gezien. Zij spe-len in toenemende mate een belangrijke rol in het contact van de gemeente met de buitenwereld, en als primair productiemiddel in het realiseren van maatschappelijke doelen. Naarmate de gemeentelijke organisatie IV/ICT meer gaat inzetten in activiteiten die direct de samenleving raken, wordt be-trokkenheid van de Raad van groter belang. Daarnaast is ook de kwets-baarheid van organisaties toegenomen door activiteiten van hackers en cy-bercriminelen. Ook dit aspect rechtvaardigt een sterke betrokkenheid van de Raad vanuit haar kaderstellende en controlerende taak. De door de rekenkamercommissie onderschreven conclusies en aanbeve-lingen treft u in de onderzoeksrapportage (bijlage II) op twee plaatsen aan. In hoofdstuk 4 van het onderzoeksrapport vindt u de conclusies en aanbeve-lingen als afsluiting van elke cluster. In bijlage A vindt u een overzicht van alle conclusies en aanbevelingen.


Bijlage I a.

Reactie college van burgemeester en wethouders van Roermond op de rapportage van de Rekenkamercommissie.

uw nummer RKC/2012/12 Rekenkamercommissie van de gemeente

Roermond

de tieer mr. P.IVI.B.Schrijvers

Postbus 900

6040 AX ROERIVIOND

uw datum 24 september 2012

onze datum verzonden

ons nummer 2012/uit/44294 15 oktober 2012

inlichtingen bij sector/afdeling doorkiesnr.

Dhr. W. Kaldenhoven SECR/Secretaris 0475-359 618

bijlage(n) betreffende

rapportage RKC Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT in Bestuurlijk wederhoor vooronderzoek naar het beleid, de organisatie en uitvoering van de ICT

Geachte heer Schrijvers,

Op 24 september 2012 heeft de Rekenkamercommissie van de gemeente Roermond (RKC) het

rapport aangaande het "Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT

van de gemeente Roermond" aan ons college voorgelegd voor wederhoor. Onderstaand ontvangt u

onze reactie.

Wij hebben met genoegen kennis genomen van uw conclusie, deze luidt: "Het beeld dat uit de

rapportage naar voren komt laat zien dat de gemeente met de goede dingen bezig is, en haar zaken

op hoofdlijnen goed voor elkaar heeft". In uw conclusie vermeldt u ook dat" Daarnaast heeft de

gemeente een aantal ontwikkelingen in gang gezet, zoals het centraliseren van het applicatiebeheer

en de ontwikkeling van een referentiearchitectuur, die op korte termijn zullen bijdragen aan een (nog)

betere beheersbaarheid van de informatievoorziening en ICT". Het vooronderzoek geeft geen

aanleiding om tot vervolgonderzoek over te gaan. Wij beschouwen uw conclusie als een bevestiging

dat wij de goede weg zijn ingeslagen en zullen op deze weg voortgaan.

In uw onderzoek heeft u bij de beantwoording van de onderzoeksvragen een relatie gelegd tussen de

mate waarin de gemeente Roermond aan het door u opgestelde normenkader voldoet en de mate

waarin een aantal 100.000+ gemeente voldoet aan dit normenkader. De onderzoekers zijn zich

bewust dat onze gemeente ca. 56.000 inwoners telt en daarmee aanzienlijk kleiner is dan de

benchmarkgemeenten. U geeft aan dat bij de interpretatie van de onderzoeksgegevens hiermee

rekening dient te worden gehouden. Uit uw rapport blijkt dat Roermond, als relatief kleine gemeente,

gelijk of nagenoeg gelijk scoort met de 100.000+ gemeenten. Opgemerkt wordt dat Nijmegen, als

grootste benchmarkgemeente, 164.000 inwoners telt en Delft, als kleinste benchmarkgemeente,

98.000 inwoners heeft. Wij beschouwen deze constatering als een compliment voor het gevoerde

beleid, de uitvoering van dit beleid en voor de functionarissen die hierbij zijn betrokken.

De belangrijkste aanbeveling uit uw onderzoek is: "de betrokkenheid van de Raad bij het beleid rond

informatievoorziening en ICT te versterken". De samenleving is de laatste jaren sterk veranderd.

Burgers en bedrijven venwachten een effectieve en efficiënte dienstverlening die 24/7 bereikbaar is.

stadhuis | IVlarkt 31 6041 EM | PostbusSOO 6040 AX Roermond | T 0475 35S SSS | F 0475 332 137 | Rabobank 1272.86.179

Ons nummer Pagina 2

Echter zijn wij van mening dat de manier waarop met behulp van ICT invulling wordt gegeven aan

deze digitale dienstverlening een bedrijfsvoeringsaspect is en daarmee een primaire aangelegenheid

is van het college en het ambtelijk apparaat. Dit sluit aan bij de huidige rolverdeling tussen de Raad,

B&W en de ambtelijke organisatie. Uiteraard zijn wij van mening dat de Raad voldoende geïnformeerd

moet worden om haar kaderstellende taak omtrent de digitale dienstverlening in voldoende mate uit te

kunnen oefenen.

Het rapport geeft tevens aanbevelingen omtrent de rolverdeling tussen het College en het ambtelijk

apparaat. Daarnaast worden aanbevelingen gedaan zoals het prioriteren van werkzaamheden en de

manier waarop projecten, strategie en beleid tot stand komen. Wij herkennen ons in deze

aanbevelingen. Wij zullen dan ook kritisch bekijken in welke mate wij uitvoering kunnen geven aan

deze aanbevelingen, zonder de huidige pragmatische insteek te verliezen. Deze werkt immers goed

en wordt ook onderschreven in uw onderzoek. Uiteraard met daarbij de aantekening dat dit binnen het

bestaande formatieve 'vierkant' dient te geschieden.

Burgemeester en wethouders van Roermond,

De secretaris, fi-, De wnd. burgemeester.

stadhuis | IVlarl<t31 6041 ElVl | Postbus 900 6040 AX Roermond | T 0475 359 999 | F 0475 332 137 | Rabobank 1272.86.179


Bijlage I b. Nawoord Rekenkamercommissie op de reactie van het college van burgemeester en wethouders. Naar aanleiding van de reactie van het college van burgemeester en wet-houders van 15 oktober 2012 (nummer 2012/uit/44294).

Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond Roermond

Nawoord Rekenkamercommissie naar aanleiding van de reactie van het college van burgemeester en wethouders. Naar aanleiding van het schrijven van het college van burgemeester en wet-houders van 15 oktober (nummer 2012/uit/44294) met de reactie op de conclusies en aanbevelingen van ons vooronderzoek merkt de Rekenka-mercommissie het navolgende op: De Rekenkamercommissie heeft kennis genomen van de bestuurlijke reactie op haar rapportage. In zijn reactie geeft het college aan zich in de aanbevelingen omtrent de rol-verdeling tussen het College en het ambtelijk apparaat en het prioriteren van werkzaamheden en de manier waarop projecten, strategie en beleid tot stand komen te herkennen. Deze reactie wordt vanzelfsprekend door de Rekenkamercommissie verwel-komd. Met betrekking tot de aanbeveling om de betrokkenheid van de raad bij het beleid rond informatievoorziening en ICT te versterken, neemt het college afstand in de zin dat zij stelt dat de manier waarop met behulp van ICT invul-ling wordt gegeven aan digitale dienstverlening een bedrijfsvoeringsaspect is. Het betreft naar het oordeel van het college primair een aangelegenheid van het college en het ambtelijk apparaat.

De Rekenkamercommissie ziet het niet als louter een vraagstuk van be-drijfsvoering. Natuurlijk zijn er bedrijfsvoeringaspecten, maar ICT is vandaag de dag een instrument dat in belangrijke mate het gevolg is van een ant-woord op de vraag: "Wat voor soort gemeente willen wij nu eigenlijk zijn". De Rekenkamercommissie wil -nogmaals- benadrukken dat informatievoorzie-ning en ICT van dusdanig groot belang zijn bij het realiseren van diverse maatschappelijke doelen dat dit een versterking van betrokkenheid van de Raad (in het kader van haar kaderstellende en controlerende rol) rechtvaar-digt. ICT geeft invulling aan de wijze waarop de rol van de gemeente wordt uitgevoerd. En dat is ook "van de Raad".

In dat licht is ook de aanbeveling te zien om (als college) jaarlijks een inte-graal informatieplan op te stellen voorzien van planningen, projectenportfolio en benodigde middelen en de raad hierover te informeren.


Bijlage II. Onderzoeksrapport. In opdracht van de Rekenkamercommissie is het vooronderzoek uitgevoerd en het onderzoeksrapport opgesteld door: Verdonck, Klooster & Associates b.v. Baron de Coubertinlaan 1 2719 EN Zoetermeer Onderzoekers: - De heer Leon Sonnenschein. - De heer John Buiting.

QUICK SCAN INFORMATIEVOORZIENING

Vooronderzoek voor de Rekenkamercommissie Roermond

3/97

QUICK SCAN INFORMATIEVOORZIENING

Vooronderzoek voor de Rekenkamercommissie Roermond

Léon Sonnenschein en John Buiting

DATUM 10 september 2012

STATUS Definitieve versie voor bestuurlijk wederhoor

VERSIE 1.0

Copyright © 2012 Verdonck, Klooster & Associates B.V.

Alle rechten voorbehouden. Niets van deze uitgave mag worden verveelvoudigd, opgeslagen in een

geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij

elektronisch, mechanisch, door fotokopieën, opnamen, of enige andere manier, zonder voorafgaande

schriftelijke toestemming van de auteursrechthebbende.

Definitieve versie voor bestuurlijk wederhoor

Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond

Copyright © 2012 Verdonck, Klooster & Associates B.V. 4/97




INHOUDSOPGAVE

1 inleiding 7 1.1 Aanleiding 7 1.2 Doel van het vooronderzoek 8 1.3 Afbakening van de opdracht 8

2 De quick scan 11 2.1 Te onderzoeken clusters 11 2.2 Bepaling potentiële onderwerpen voor nader onderzoek 12 2.3 Onderzoeksmethode 13 2.4 De Benchmark 13

3 Leeswijzer 15 3.1 Opbouw van de clusterbeschrijvingen 15

4 Bevindingen conclusies en aanbevelingen 17 4.1 Cluster 1: het beleid rondom de informatievoorziening 17 4.2 Cluster 2a: Besturing en organisatie van de informatievoorziening 29 4.3 Cluster 2b: Besturing en organisatie van de informatiebeveiliging 46 4.4 Cluster 2c: Besturing en organisatie van de projecten 55 4.5 Cluster 3: Beheer en exploitatie van de informatievoorziening 64

A Conclusies en aanbevelingen op een rij 74

B Geraadpleegde documentatie 89

C Lijst geïnterviewde personen 91

D MISSIE DOELEN EN STRATEGISCHE KEUZES UIT DE I-VISIE 93

E BEKNOPTE OMSCHRIJVING VAN DE ONTWIKKELINGEN BESCHREVEN IN DE I-

VISIE 95

F RELEVANTE WET- EN REGELGEVING BEVEILIGINGSBELEID 97




1 INLEIDING

De Rekenkamercommissie van de gemeente Roermond (verder: RKC) heeft als taak de

doelmatigheid, de doeltreffendheid en de rechtmatigheid te onderzoeken van het door het

gemeentebestuur gevoerde bestuur. Het doel van deze onderzoeken is verbeterpunten aan te

dragen voor de politieke en ambtelijke organisatie ten einde daarvan te kunnen leren. De RKC ziet

het als haar missie om het volgende zichtbaar te maken:

• Waar de gemeente Roermond haar geld aan besteedt;

• Wat er van die bestedingen terecht komt in de zin van resultaat en maatschappelijke

effecten;

• Hoe dat zich verhoudt tot het beleid dat de gemeenteraad vooraf heeft geformuleerd.

De RKC heeft VKA opdracht gegeven een vooronderzoek uit te voeren naar het "het beleid, de

organisatie en uitvoering van de ICT in de gemeente Roermond”. De uitkomsten van dit

vooronderzoek kunnen later (mogelijk) de basis vormen voor een verdiepend onderzoek naar één

of meer aspecten van dit beleid c.q. van specifieke ICT-projecten.

De resultaten van dit vooronderzoek dat het karakter heeft van een quick scan vindt u in de

voorliggende rapportage.

1.1 Aanleiding

De aanleiding voor het vooronderzoek heeft de RKC als volgt verwoord in haar offerteaanvraag:

De uitvoering van praktisch alle gemeentelijke taken is niet meer goed mogelijk zonder de

ondersteuning van een adequaat ICT systeem. De wetgever vereist bij de uitvoering van de taken

een geautomatiseerd proces (van aanvraag tot en met besluit).

De afhankelijkheid van de geautomatiseerde informatievoorziening roept vele kwesties op, zoals:

Deskundigheid op gemeentelijk niveau (informatiemanagement, kennis van software);

• “State of the art” van de hardware en software;

• “match” tussen het gemeentelijk beleid en de geautomatiseerde informatievoorziening;

• beveiliging en privacybescherming;

• financiële beheersbaarheid.

Voorbereiding, uitvoering en controle van beleid en bestuur zijn niet meer goed mogelijk zonder

geautomatiseerde ondersteuning. De recente problematiek rond DIGINOTAR geeft aan hoe snel en

hoe groot risico’s voor het functioneren van het openbaar bestuur intern en extern (dienstverlening

aan burgers) kunnen opdoemen.

Mede gelet op de huidige ontwikkelingen in Roermond m.b.t. het dienstverleningsconcept en de I-

visie, het recent toetreden tot het samenwerkingsverband DIMPACT en ook de relatie tot de snelle

ontwikkelingen van en de eisen aan de e-overheid, lijkt dit onderzoeksonderwerp de RKC relevant.




ICT-beleid is weliswaar in hoge mate uitvoering (een middel om bepaalde beleidsdoelstellingen te

helpen realiseren) en dientengevolge in hoge mate een collegeaangelegenheid (en een MT-

ambtelijke aangelegenheid) maar (indirect) zeer cruciaal voor de doeltreffendheid en

doelmatigheid van gemeentelijk beleid als zodanig. Bovendien gaat ICT-beleid met grote

bestedingen gepaard. Ook die moeten voldoen aan de criteria van doelmatigheid, doeltreffendheid

en rechtmatigheid.

1.2 Doel van het vooronderzoek

De Rekenkamercommissie heeft opdracht gegeven tot het uitvoeren van een vooronderzoek

(quick scan) waarbij - terugkijkend op een bepaalde periode (vanaf 2007) en vooruitkijkend in het

licht van relevante interne en externe ontwikkelingen- in eerste instantie een aantal zaken op een

rij gezet kunnen worden. Dit onderzoek dient als het ware een foto van het gemeentelijk ICT-

beleid op te leveren.

In dit vooronderzoek zou in ieder geval meegenomen dienen te worden:

• hoe is het ICT-beleid in de organisatie ingebed (bevoegdheden/verantwoordelijkheden);

• schets van de belangrijkste ontwikkelingen / ICT-activiteiten/ ICT-projecten;

• schets van de belangrijkste opgaven in relatie tot ICT (wettelijke vereisten, eisen Rijk, interne

wensen);

• de wijze van vormgeving van de informatiebeveiliging;

• ICT-bestedingen in kaart brengen (wellicht met globale benchmark, vergelijking kengetallen);

• hoe verlopen besluitvormingstrajecten m.b.t. ICT(investeringen);

• hoe verloopt de bestuurlijke sturing rondom ICT / wat is de betrokkenheid van de Raad;

• welke (mogelijke) knelpunten worden waargenomen.

Voor de RKC heeft het vooronderzoek op zich al waarde. Er wordt in één document overzicht van

en inzicht verschaft in de status van het ICT-beleid binnen de gemeente Roermond. Beleidsmatige,

organisatorische en financiële knelpunten kunnen zo zichtbaar gemaakt worden.

Het onderzoek is (in deze fase) niet bedoeld om als RKC een definitief standpunt en/of

waardeoordeel te kunnen vellen omtrent het gevoerde ICT-beleid. De RKC dient wel op basis van

het vooronderzoek te kunnen beoordelen of er een verdiepend onderzoek met betrekking tot een

of meer specifieke aspecten binnen het ICT-beleid opgezet dient te worden, al dan niet in relatie

tot bepaalde projecten/trajecten.

1.3 Afbakening van de opdracht

Dit onderzoek kent de volgende afbakeningen:

• Het vooronderzoek heeft het karakter van een quick scan met vooral oog voor de breedte en

compleetheid en met een beperkte diepgang;

• Het onderzoeksgebied wordt gevormd door drie clusters: 1) informatiebeleid, 2) besturing en

organisatie van de informatievoorziening, informatiebeveiliging en projecten en 3) beheer en

exploitatie van de informatievoorziening en ICT;




• De te onderzoeken periode is vanaf 2007 naar de huidige situatie en vooruitkijkend naar

relevante interne en externe ontwikkelingen.




2 DE QUICK SCAN

Om te bepalen op welke gebieden een verdiepend vervolgonderzoek gaat plaatsvinden, vraagt de

RKC om een zo compleet mogelijk beeld van het beleid, de organisatie en uitvoering van ICT in de

gemeente Roermond.

2.1 Te onderzoeken clusters

Hiervoor heeft VKA een quick scan uitgevoerd waarbij de volgende clustering is gehanteerd:

• het beleid rondom de informatievoorziening;

• de besturing en organisatie van informatievoorziening, informatiebeveiliging en

projecten;

• het beheer en de exploitatie van de informatievoorziening en ICT.

Aan de hand van een aantal vragen komt VKA tot een beeld dat de essenties weergeeft hoe

Roermond er per cluster voor staat. In het onderstaande zijn de clusters beknopt beschreven.

BELEID INFORMATIEVOORZIENING

Voor het Informatiebeleid worden enerzijds de beleidsdoelstellingen als startpunt genomen en

anderzijds de doelstellingen voor de bedrijfsvoering. Er wordt onderzocht in hoeverre er een

verband bestaat tussen gemeentelijke doelstellingen (onder andere op basis van het

Collegeprogramma) en het Informatiebeleid.

Ook wordt gekeken in hoeverre relevante externe ontwikkelingen (zie bijvoorbeeld ‘@genda 2015:

slimme verbindingen gemeentelijke agenda informatiebeleid’ van de VNG waarin de belangrijkste

uitdagingen voor de komende jaren zijn geschetst) zijn verwerkt in het informatiebeleid en hoe dit

afsteekt tegen andere gemeenten. Ten slotte is hier ook de vraag aan de orde in hoeverre de

huidige situatie is meegenomen in het informatiebeleid. Denk hierbij aan de sterktes en zwaktes

van de (ICT) organisatie, de kwaliteit van informatievoorziening, en de mate waarin deze past op

de beoogde voorziening.

BESTURING EN ORGANISATIE VAN DE INFORMATIEVOORZIENING, INFORMATIEBEVEILIGING EN

PROJECTEN

Voor de besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten

wordt onderzocht op welke wijze de gemeenteraad, het College en het ambtelijk apparaat hun

rollen invullen in de cyclus van beleidsvorming, -bepaling, -uitvoering en -evaluatie. Dit verschaft

inzicht, zeker wanneer dit beschouwd wordt in het licht van een benchmark.

In het normenkader dat de onderzoekers als referentiekader hanteren (zie paragraaf 2.2) wordt

uitgegaan van een sterke betrokkenheid van de Raad. Bij veel gemeenten worden

Informatievoorziening en ICT (IV/ICT) traditioneel gezien als onderdeel van de bedrijfsvoering, en

daarmee als verantwoordelijkheid van het College. In de huidige samenleving spelen significante

onderdelen van de IV/ICT echter in toenemende mate een belangrijke rol in het contact van

gemeenten met de buitenwereld, en als primair productiemiddel in het realiseren van




maatschappelijke doelen. Naarmate de gemeentelijke organisatie IV/ICT meer gaat inzetten in

activiteiten die direct de samenleving raken, wordt betrokkenheid van de Raad van groter belang.

Daarnaast is ook de kwetsbaarheid van organisaties toegenomen door activiteiten van hackers en

cybercriminelen. Ook dit aspect rechtvaardigt een sterke betrokkenheid van de Raad vanuit haar

kaderstellende en controlerende taak.

Daarnaast wordt binnen dit cluster op hoofdlijnen een analyse gemaakt van de ICT-projecten

portfolio, de opbouw en transparantie van de portfolio, de wijze waarop hier sturing plaatsvindt

en de wijze waarop projecten afzonderlijk worden aangestuurd. Tot slot wordt in dit cluster ook

gekeken naar de wijze waarop de besturing van de informatiebeveiliging inhoudelijk en

organisatorisch is vorm gegeven.

BEHEER EN EXPLOITATIE VAN DE INFORMATIEVOORZIENING EN ICT

Voor beheer en exploitatie wordt onderzocht op welke wijze de ICT middelen worden gemanaged.

De belangrijkste onderwerpen zijn hier:

Zijn de prestatiefactoren waarop gestuurd wordt (service levels) in de gehele keten van beheer

geborgd? Zijn deze in lijn met organisatiedoelstellingen en beleid? Is de beheerorganisatie in staat

te leveren? Zijn de beheerprocessen adequaat ingericht, en komt de kwaliteit van het geleverde

overeen met de doelstellingen?

2.2 Bepaling potentiële onderwerpen voor nader onderzoek

De RKC wenst met het vooronderzoek een basis te hebben om te bepalen op welke onderwerpen

later (mogelijk) een verdiepend onderzoek wordt uitgevoerd. Om te bepalen of, en op welke

onderwerpen, verdiepend onderzoek nodig is hanteert VKA in dit onderzoek twee

referentiekaders. Het eerste referentiekader wordt gevormd door een 'normenkader' dat VKA

hanteert voor quick scans op het gebied van informatievoorziening. Dit kader beschrijft een

ideaaltypische situatie volgens internationaal geaccepteerde standaarden voor IT-governance. De

normen uit dit kader fungeren hier echter nadrukkelijk niet als voorschrijvend, maar, in overleg

met de RKC, als referentiepunten.

Het tweede referentiekader wordt gevormd door benchmarkinformatie waarover VKA beschikt.

Het gaat hier om informatie uit een benchmark uitgevoerd door VKA onder een zestal 100.000+

gemeenten. Ook hier geldt weer dat de benchmark niet als voorschrijvend wordt gehanteerd,

maar vergelijkingsmateriaal. op de onderzochte onderwerpen. situatie in een zestal

Om te bepalen of, en op welke onderdelen vervolgonderzoek nodig is, heeft VKA de volgende

activiteiten uitgevoerd:

• het positioneren van de situatie in de gemeente Roermond ten opzichte van het

normenkader.

• Het positioneren van de situatie in de gemeente Roermond ten opzichte van de situatie in

de benchmarkgemeenten.




Door deze twee stappen te zetten wordt inzichtelijk gemaakt welke positie Roermond inneemt op

de verschillende informatiebeleidsgebieden ten opzichte van a) het normenkader en b) andere

gemeenten. Door significante afwijkingen – die op knelpunten kunnen wijzen – in beeld te

brengen, kan vastgesteld worden welke onderwerpen eventueel aanleiding vormen voor een

verdiepend onderzoek.

2.3 Onderzoeksmethode

Voor deze quick scan heeft VKA uitgebreid documentenonderzoek gedaan (zie bijlage B).

Dit onderzoek is aangevuld met een zevental interviews met mensen op verschillende posities in

de organisatie. De lijst met te interviewen personen is afgestemd met de RKC (zie bijlage C).

Van alle interviews is een verslag gemaakt dat ter verificatie is verzonden aan de geïnterviewden.

Na verwerking van commentaar en aanvullingen is een definitieve versie van het verslag in PDF-

vorm toegezonden aan de geïnterviewden.

De bevindingen zijn gerelateerd aan het normenkader en aan de informatie uit de benchmark. Op

die manier ontstaat een beeld waar Roermond staat ten opzichte van het normenkader, en waar

Roermond staat ten opzichte van andere gemeenten.

2.4 De Benchmark

Om vast te stellen waar de gemeente Roermond staat met haar informatiebeleid ten opzichte van

andere gemeenten zijn de bevindingen gerelateerd aan benchmark informatie waarover VKA

beschikt. Het betreft dus geen specifiek voor dit onderzoek uitgevoerde benchmark.

De benchmark informatie is gebaseerd op:

• een benchmark enquête met 25 open vragen onder 100.000+ gemeenten in stedelijk

gebied: Amersfoort, Delft, Zoetermeer, Zwolle, Dordrecht en Nijmegen (verder te noemen:

benchmarkgemeenten). Deze gemeenten hebben de vragen beantwoord en hun

informatiebeleidsplannen (en in enkele gevallen beschikbare benchmark rapportages)

aangeleverd.

• beschikbare onderzoeksrapportages van benchmarks op het gebied van kosten en

personeel met betrekking tot informatiebeleid in de gemeentelijke sector waar de

deelnemers aan de VKA-benchmark aan hebben deelgenomen en die zij aan VKA ter

beschikking hebben gesteld. Het betreft hier rapportages van Gartner, M&I-partners en

Berenschot.

In deze benchmark is onderzoek gedaan naar drie clusters die onderscheiden worden binnen het

normenkader:

• het beleid rondom de informatievoorziening;

• de besturing en organisatie van informatievoorziening, en projecten

(informatiebeveiliging was wel onderdeel maar geen specifiek item in de benchmark);

• het beheer en de exploitatie van de informatievoorziening en ICT.




De focus van de benchmark lag op de governance rondom het informatiebeleid met daarbinnen

speciale aandacht voor de rolverdeling tussen de Raad en het College. Uitgangspunt van het

benchmark onderzoek was dat de anonimiteit van de deelnemende gemeenten werd

gegarandeerd. De resultaten in hoofdstuk 3 zijn daarom zodanig gepresenteerd dat zij niet één op

één herleidbaar zijn tot een gemeente.

De benchmark informatie betreft 100.000+ gemeenten. De gemeente Roermond telt ca. 56.000

inwoners en is dus aanzienlijk kleiner dan de benchmarkgemeenten. In de interpretatie dient hier

rekening mee gehouden te worden.




3 LEESWIJZER

In hoofdstuk 4 vindt u per cluster de bevindingen, gevolgd door de conclusies en aanbevelingen bij

dat cluster.

3.1 Opbouw van de clusterbeschrijvingen

Elk cluster begint met een korte normatieve omschrijving van het cluster, en de normen voor dat

cluster uit het normenkader. Vervolgens vindt u achtereenvolgens de bevindingen uit de

documentatie, de bevindingen uit de interviews en de bevindingen uit de benchmark. In de

afsluitende paragraaf van elk cluster geven wij de positie aan van de gemeente Roermond ten

opzichte van het normenkader en de benchmark en formuleren aanbevelingen.

Om de leesbaarheid te bevorderen hebben wij bij de bevindingen ervoor gekozen tussenkopjes

toe te voegen die niet geheel de normen volgen. Dit zou leiden tot teveel herhaling en

kunstmatige scheiding van informatie. Naar onze mening reflecteert de wijze waarop de

informatie is weergegeven echter voldoende het normenkader om op logische wijze de conclusies

op basis van het normenkader te kunnen trekken.

Met betrekking tot de bevindingen uit de documentatie hebben wij ervoor gekozen de voor dat

cluster relevante documenten te beschrijven op het niveau van vaststelling (Raad, College, MT,

anders), korte typering van het stuk, de voor dat thema relevante inhoud. Het kan daardoor zo zijn

dat eenzelfde document op meerdere plaatsen in een cluster aan bod komt.




4 BEVINDINGEN CONCLUSIES EN AANBEVELINGEN

4.1 Cluster 1: het beleid rondom de informatievoorziening

Dit cluster heeft betrekking op de inhoudelijke basis van de Informatievoorzieningstrategie.

4.1.1 Omschrijving

De gemeente beschikt over een uitgewerkte en door de gemeenteraad geaccordeerde

informatievoorzieningstrategie. Deze is opgesteld door het College, en afgeleid vanuit de

beleidsdoelen van het College (Coalitieakkoord), de lange termijn strategische visie van de

gemeente, en de financiële vertaling daarvan in de programmabegroting. Voor het beoordelen van

deze informatievoorzieningstrategie worden tevens een aantal normen gehanteerd die ontleend

zijn aan de overheidsbrede beleidskaders voor overheidsdienstverlening en informatievoorziening

en kaders die aangereikt worden door het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Het

College stelt ook de bestuurlijke kaders en de verantwoordelijkheidsverdeling voor de

informatievoorziening op. Dit leidt tot een door de Raad vastgesteld meerjaren

informatievoorzieningstrategie met toekomstgerichte keuzen, onder andere voor te starten

informatievoorzieningprogramma's en/of -projecten. Deze Informatiestrategie sluit qua

tijdshorizon aan op de coalitieperiode.

NORMENKADER

Norm 1: Het College stelt de informatievoorzieningstrategie op waarin de toekomstige behoefte

aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze –

is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente.

Norm 2: Het College werkt op basis van de door de Raad vastgestelde

informatievoorzieningstrategie kaders en richtlijnen uit voor het inrichten van de

informatievoorziening.

Norm 3: Het College vertaalt de informatievoorzieningstrategie naar een Informatieplan met

bijbehorende projectenportfolio en de bijbehorende middelen.

Norm 4: In de informatievoorzieningstrategie van de gemeente Roermond wordt aangesloten bij

landelijke beleidsvisies op dienstverlening en e-overheid zoals vastgelegd in het Nationaal

Uitvoering Programma e-overheid van het Ministerie van BZK, de VNG visie op dienstverlening

'Dienstverlening draait om mensen', 'Het gemeentelijk fundament' van KING, de

architectuurkaders NORA en GEMMA, en de visie van de Bestuurlijke Regiegroep Dienstverlening

en E-overheid waarin ook de VNG zitting heeft: 'Dienstverlening samen doen’:

1. de vraag van burgers, bedrijven en instellingen staat centraal.

2. burgers, bedrijven en instellingen moeten hun zaken snel en zeker kunnen regelen.

3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen hun

organisaties, maar opereert als één overheid.




4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is opgenomen

en informatie die binnen de eigen organisatie beschikbaar is, wordt niet nogmaals

gevraagd.

5. de overheid is transparant en aanspreekbaar.

6. de overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de

behoeften van burgers, bedrijven en instellingen.

Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op het

gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken van het

gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering, DigiMelding,

DigiMachtiging en DigiPoort.

Norm 6: Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op

de informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken,

zoals de (jeugd)zorg, WMO, Werk en inkomen en toezicht en handhaving.

4.1.2 Bevindingen op basis van de documentatie

INFORMATIEVOORZIENINGSTRATEGIE

Relevante documenten: I-visie 2011, I-visie 2007-2011

I-visie 2011

De I-visie 2011 van de gemeente Roermond is op 2 februari 2011 vastgesteld door het

management team en op 15 maart 2011 vastgesteld door het College

De I-Visie 2011 biedt het lange termijn perspectief op informatievoorziening van de gemeente

Roermond, met richtinggevende strategische keuzes in het licht van de huidige en toekomstige

ontwikkelingen. De I-visie 2011 is niet voorzien van een tijdsplanning. Ook wordt in het stuk geen

tijdshorizon genoemd.

De I-visie 2011 is mede gebaseerd op maatschappelijke ontwikkelingen, ICT-ontwikkelingen,

landelijke programma's en wet- en regelgeving op het gebied van de e-overheid, de 'Strategische

visie Roermond 2020', het 'dienstverleningsconcept Beleef Roermond!', het 'Programma

Excellente dienstverlening' van de gemeente Roermond, en interne ontwikkelingen bij de

gemeentelijke organisatie zoals het benutten van ICT voor het efficiënter en effectiever maken van

processen. Deze thema's zijn vertaald naar een missie en doelen voor de informatievoorziening

van de gemeente Roermond en voorzien van strategische keuzes die in de I-visie zelf nader zijn

toegelicht. Aan het eind schetst de I-visie in beknopte vorm het vervolgproces. De missie, doelen

en strategische keuzes vindt u in bijlage C. Een beknopt overzicht van de ontwikkelingen die in de

I-visie zijn meegenomen vindt u in bijlage D.




Van de interne ontwikkelingen zijn een aantal ontwikkelingen is het Collegeprogramma 2010-2014

'Slagvaardig en spaarzaam' niet expliciet meegenomen in de I-visie 2011. De implicaties van onder

andere de taakstelling van 3,2 miljoen euro op de bedrijfsvoering van de gemeente Roermond in

2016. De aanvullende taakstelling van 2,7 miljoen euro uit de begroting van 2012 en de recente

uitkomsten van de kerntakendiscussie die vervat zijn in het zogeheten 'Kerntakenboek', zijn

uiteraard ook nog niet meegenomen. Deze zijn van later datum dan de I-visie. Er heeft geen

bijstelling van de I-visie plaats gevonden naar aanleiding van deze ontwikkelingen. De uitkomst van

de kerntakendiscussie is o.a. dat de gemeente Roermond kiest voor een andere rolopvatting. Niet

meer de rol van probleemoplosser, maar die van regisseur. Dat betekent o.a. dat de gemeente een

deel van de uitvoering wil afstoten.

Een aantal landelijke beleidsvisies komen niet expliciet terug in de I-visie 2011, zoals 'Het

gemeentelijk fundament' van KING en 'Dienstverlening samen doen’ van de Bestuurlijke

Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft. Deels is dat te

verklaren uit het feit dat de ontwikkeling van sommige visies parallel plaats vond aan de

ontwikkeling van de I-visie. Inhoudelijk worden de thema's, ook van deze relatief nieuwe

beleidsvisies echter wel gedekt door de I-visie 2011.

In de I-visie 2011 wordt niet ingegaan op de implicaties voor de informatievoorziening van

ontwikkelingen in de verschillende maatschappelijke beleidssectoren zoals de (jeugd)zorg, WMO,

werk&inkomen, en toezicht en handhaving.

I-visie 2007 – 2011

De I-visie 2007 - 2011 van de gemeente Roermond is niet vastgesteld op het niveau van Raad,

College of MT. Het betreft een interne notitie.

De I-visie 2007 – 2011 verwoordt de visie van de gemeente Roermond op de Informatie-

voorziening voor de periode 2007 – 2011. Zij geeft aan op welke wijze Informatievoorziening de

toekomstige ontwikkelingen van de gemeente optimaal kan ondersteunen. Deze I-visie 2007 –

2011 geeft een beeld van de richting. Zij bevat geen uitgebreide analyse van in- en externe

ontwikkelingen, en van landelijke beleidsvisies. De thema's die in de nota worden geadresseerd

reflecteren wel de ontwikkelingen van dat moment op landelijk niveau met betrekking tot e-

overheid en e-dienstverlening, waaronder de Nederlandse Overheids Referentie Architectuur,

digitale overheid, één loket, en Basisadministraties.

KADERS EN RICHTLIJNEN VOOR DE INRICHTING VAN DE INFORMATIEVOORZIENING

Relevante documenten: Kadernota ICT 2003, Enable U, Quick scan voor de Gemeente Roermond,

Checklist Informatiemanagementbeleid 2010, ICT-beveiligingsbeleid.

Kadernota ICT 2003

De kadernota ICT van de gemeente Roermond is op 9 juli 2003 goedgekeurd door het College en

op 8 september 2003 ter kennisname voorgelegd aan de Commissie AZ&C van de Raad.




De kadernota is destijds op verzoek van de Raad tot stand gekomen. Zij schetst een beeld van de

op dat moment geldende situatie, knelpunten, witte vlekken en toekomstbeeld en bevat een

financiële paragraaf voor benodigde investeringen. De kadernota gaat met name in op hardware,

en systemen die de bedrijfsvoering ondersteunen. De nota heeft meer het karakter van een I-visie

dan van een kadernota, waarin richtinggevende kaders worden vastgelegd.

Enable U, Quick scan voor de Gemeente Roermond

In 2010 heeft de gemeente Roermond een quick scan uit laten voeren naar de I-architectuur

'Enable U, Quick scan voor de Gemeente Roermond'. Doelstelling van het onderzoek was om in

korte tijd een helder beeld te verkrijgen van de huidige situatie, en om de mogelijke en

noodzakelijke verbeteringen aan te geven in de I-architectuur om het programma dienstverlening

een impuls te geven zodat in 2011 tot concrete resultaten gekomen kon worden. De quick scan is

gebaseerd op NORA 3.0 en GEMMA inrichtingsprincipes, best practices en ervaringen van Enable-U

en uitgangspunten uit het programma dienstverlening als ook thema‟s uit het informatie-

management beleidstuk Architectuur. De quick scan heeft geleid tot aanbevelingen ten aanzien

van: werken onder architectuur, front office en mid-office. Daarnaast bevat de rapportage

Programma's van eisen voor een formulierengenerator. een CMS, een mid-office broker en

webservices, Open source CMS en een opzet voor een effectieve service gerichte architectuur voor

de gemeente Roermond.

Checklist Informatiemanagementbeleid 2010

De Checklist Informatiemanagementbeleid is vastgesteld door het MT op 17 maart 2010.

De checklist wordt door de I-adviseurs gebruikt in het overleg met de afdelingshoofden, en wordt

toegepast door de afdelingshoofden bij het nemen van beslissingen ten aanzien van aanschaf

en/of vervanging van applicaties. De checklist is een tijdelijke maatregel in afwachting van een

Roermondse referentiearchitectuur.

ICT-beveiligingsbeleid 2009

Het ICT-beveiligingsbeleid versie 2.1 van de gemeente Roermond is vastgesteld door het College

op 18 augustus 2009. Dit beleid bevat richtlijnen voor de informatievoorziening met betrekking de

beveiliging van informatie en privacybescherming. Op dit beleid wordt uitgebreider ingegaan in

cluster 2b: de besturing en organisatie van de informatiebeveiliging. Het geactualiseerde ICT

beveiligingsbeleid zal op 20 augustus 2012 in het college zal worden behandeld.

INFORMATIEPLAN, PROJECTENPORTFOLIO EN MIDDELEN

Relevante documenten: Programmaplan Excellente Dienstverlening, Uitgangspunten

projectmanagement voor bedrijfsvoeringsprojecten, Voorstel Raad toetreding tot coöperatieve

vereniging Dimpact, KCC-visie

Programmaplan Excellente Dienstverlening

Het Programmaplan Excellente dienstverlening is goedgekeurd door het MT in januari 2010. De

projectenportfolio wordt jaarlijks vastgesteld door het MT.




Het programmaplan Excellente Dienstverlening is de belangrijkste drager voor de implementatie

van de I-visie 2011 en is op haar beurt gebaseerd op de doelstelling voor excellente

dienstverlening uit de strategische visie Roermond 2020.

Het Programmaplan vertaalt het dienstverleningsconcept van de gemeente Roermond naar

concrete bedrijfsvoeringprojecten. Het bestaat uit een groot aantal projecten die ieder op hun

eigen gebied een bijdrage leveren aan het verbeteren van de gemeentelijke dienstverlening. Zo

zijn er projecten gericht op ICT, organisatie van producten/diensten/werkprocessen, HRM en

datadistributie. Uitvoering van deze projecten gebeurt in onderlinge samenhang en in een logische

volgorde. Om de logische volgorde en onderlinge samenhang te waarborgen zijn de projecten

verdeeld over verschillende jaarschijven (plateaus). De horizon van het huidige programmaplan is

2013. Het Programmaplan bevat een uitgebreide projectenportfolio van met name projecten op

het gebied van informatievoorziening, die jaarlijks wordt bijgesteld en vastgesteld door het MT.

Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten

De notitie 'Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten' is op 9 mei 2007

goedgekeurd door het managementteam van de gemeente Roermond.

De notitie geeft een uitgebreid overzicht van de uitgangspunten en randvoorwaarden voor het

projectmanagement van bedrijfsvoeringsprojecten. Aandacht wordt besteed aan o.a. het

afwegingskader voor projecten, de cyclus voor het vaststellen van de projectenkalender, en de

projectrapportages, het eigenaar- en sponsorschap van projecten, de projectleidersrol en de

bijbehorende (budget)bevoegdheden, de contractuele relatie tussen projectleider en

projecteigenaar, bemensing van de projectleidersrol en de personele capaciteit voor projecten, de

variabele beloning van projectleiders, de verhouding tussen afdelingshoofd en projectleider.

De notitie belegt het eigenaarschap van bedrijfsvoeringsprojecten altijd bij het MT. En voor elk

project wordt altijd één MT-lid als sponsor van het project benoemd. In aanvulling op de notitie

zijn er formats voor projectafweging en projectinitiatie ontwikkeld.

Voorstel Raad toetreding tot coöperatieve vereniging Dimpact

De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact.

Dimpact is een samenwerkingsverband van gemeenten op het gebied van e-dienstverlening. Het

besluit van de Raad is onderbouwd met een onderzoek dat het MT heeft laten uitvoeren naar

'Acceleratie van het Programma Excellente Dienstverlening'. Dit onderzoek bevat een business

case, waarin verschillende alternatieven – samenwerking Dimpact, samenwerking GovUnited, zelf

een 'all-inclusive-oplossing' aanschaffen – tegen elkaar worden afgewogen. Conclusie uit het

rapport is dat aansluiting bij Dimpact een belangrijke stap is om op een goede en kostenefficiënte

manier de voorzieningen te realiseren op het gebied van informatievoorziening en ICT, die nodig

zijn om de doelstellingen van het Programma Excellente Dienstverlening versneld te realiseren.




KCC-visie 2011

De KCC-visie 2011 van de gemeente Roermond is op 22 maart 2011 vastgesteld door het college

De KCC-visie geeft verdere uitwerking aan het programmaplan Excellente dienstverlening en gaat

in op doel en functie van het KCC.

4.1.3 Bevindingen op basis van de interviews


Bestuurlijk gezien was er tot 2010 weinig belangstelling voor Informatiebeleid. De I-visie 2011 is

mede op initiatief van de wethouder, die in april 2010 toetrad tot het College, tot stand gekomen.

De wethouder is nauw betrokken geweest bij de totstandkoming ervan en deze is besproken in het

College. Voor het bestuur ligt het speerpunt van de informatievoorzieningstrategie bij de

dienstverlening aan de burger.


De Kadernota ICT 2003 is geactualiseerd in 2007 in de vorm van de I-visie 2007-2011. Deze is wel

gepresenteerd aan de Commissie Financiën, maar nergens formeel vastgesteld.

De gemeente Roermond beschikt niet over een vastgestelde Informatiearchitectuur die kan dienen

als kader voor beslissingen op het gebied van informatievoorziening en ICT op specifieke

beleidsterreinen. In 2010 heeft de Gemeente Roermond het onderzoek Enable U, Quick scan voor

de Gemeente Roermond laten uitvoeren. Op basis hiervan zijn architectuurproducten in de maak

en worden de komende jaren verder ontwikkeld. M.b.t. I&A wordt wel gestuurd op integraliteit en

standaarden. Er wordt gekeken of een oplossing ook voor andere sectoren van belang is/kan zijn

en, of deze kan worden gerealiseerd met bestaande middelen. De standaarden worden

vastgesteld door het MT.

Roermond wil de landelijke ICT standaarden volgen en zoekt nu actief naar samenwerkingsvormen

met andere gemeenten. De landelijke standaarden hebben betrekking op gezamenlijke keuzes

voor software enof dienstverleningsmodellen. De samenwerkingsvormen met collega-gemeenten

zijn in deze fase meer gericht op de ICT-infrastructuur. Roermond is toegetreden tot het

samenwerkingsverband Dimpact. Door deze samenwerking beschikt zij automatisch over front- en

mid-office systemen die voldoen aan de landelijke standaarden. Door de toetreding tot Dimpact en

de implementatie hiervan zal Roermond voor een belangrijk deel invulling geven aan de

aanbevelingen uit het rapport Enable U.

Er is geen vastgesteld sourcingsbeleid dat kan dienen als kader voor besluitvorming ten aanzien

van uitbesteding of samenwerking op het gebied van informatievoorziening en ICT.




Toetreding tot Dimpact

Een belangrijke ontwikkeling met betrekking tot de uit voering van de

Informatievoorzieningstrategie van de gemeente Roermond is de toetreding tot het

samenwerkingsverband Dimpact. Gezien het belang hiervan wordt daar in dit punt uitgebreider bij

stil gestaan.

Het adopteren van de ontwikkelingen binnen Dimpact is een onderdeel van de informatiestrategie

van de gemeente Roermond. Dimpact is daardoor indirect bepalend voor een deel van het

gemeentelijke informatiebeleid. De aansluiting bij Dimpact werkt als kaderstellend ten aanzien

van zaken als sourcing, applicatieontwikeling en architectuur. Veel zaken die Roermond in de oude

situatie zelfstandig zou moeten ontwikkelen, worden nu in het samenwerkingsverband

ontwikkeld. Slechts daar waar nodig zal Roermond nog zelf ontwikkelen (bijvoorbeeld het

beveiligingsbeleid). Dimpact is een coöperatieve vereniging van gemeenten. De deelnemende

gemeenten worden geacht zelf een stevige inbreng te hebben in dit samenwerkingsverband. In de

interviews geven gesprekspartners aan dat Roermond inmiddels bekend staat als een enthousiaste

en actieve partner. De vakwethouder heeft hiervoor tijdens de laatste ledenvergadering

complimenten ontvangen. De samenwerking binnen Dimpact gaat verder dan alleen de

Elektronische Dienstverlening. Samenwerking vindt plaats op dienstverlening in de brede zin, maar

ook ontwikkelingen als de RUD en MBGA worden binnen Dimpact opgepakt.


De projectenportfolio Excellente Dienstverlening wordt jaarlijks bijgesteld. Een vervangings- en

investeringsbudget voor de informatievoorziening, met een doorkijk van vier jaren, wordt jaarlijks

vastgesteld door de Raad via de jaarbegroting. Investeringsbeslissingen worden genomen door het

College.

INHOUD VAN HET INFORMATIEVOORZIENINGSBELEID

Het Informatiebeleid komt tot stand in wisselwerking tussen de vakafdelingen, de informatie-

adviseurs en de ICT-adviseurs, waarbij wordt uitgegaan van landelijke standaards en het

gemeentelijke informatie- en ICT-beleid. Voor de huidige I-visie is een inventarisatie gemaakt in

een ronde langs de sectordirecteuren. Daarnaast maken de I-adviseurs periodiek (2x per jaar) een

ronde langs de afdelingshoofden van de vakafdelingen over ontwikkelingen op hun terrein en de

consequenties daarvan voor ICT/informatievoorziening. De onderwerpen die door de adviseurs

met de sectoren worden besproken hebben echter vooral betrekking op beheersmatige

onderwerpen.

De huidige I-visie is voornamelijk gebaseerd op landelijke wet- en regelgeving en beleid,

bedrijfsvoeringdoelstellingen, en technische ontwikkelingen. De doelstelling is om zoveel mogelijk

aan te sluiten op landelijke ontwikkelingen, processen en standaards. Veel ruimte voor andere

ontwikkelingen blijft niet over.




Ontwikkelingen als RUD, Jeugdzorg, WMO en de impact daarvan op de informatievoorziening

hebben in de huidige I-visie nog geen plek gekregen. In de I-visie is wel aangegeven dat met dit

soort (landelijke) ontwikkelingen rekening gehouden moet worden. Over ontwikkelingen op

afzonderlijke beleidsvelden (bijvoorbeeld RUD) zijn wel notities verschenen, maar daarin is geen

specifieke aandacht voor informatievoorziening en ICT. Informatievoorziening en ICT worden ook

niet altijd meegenomen in beslissingen. Vaak zijn beleidsinhoudelijke of politieke overwegingen

dominant. Een voorbeeld is de RUD-vorming. Daar was de beslissing voor een netwerk-RUD al

genomen zonder de consequenties voor informatievoorziening daarin te betrekken. In het MT is

informatievoorziening met betrekking tot bijvoorbeeld Jeugdzorg, WMO, RUD nu nog geen

specifiek thema. Dit wordt door de vakafdelingen opgepakt. Het MT komt in beeld als er afdelings-

of sectoroverstijgende implicaties zijn.

Het bestuur ziet de vorming van intergemeentelijke shared services, waarbij het bestuur dicht bij

de burger blijft, als een goede ontwikkeling met het oog op kwaliteitsverbetering en

kostenbesparing. In dat kader wordt momenteel onderzoek gedaan naar ICT-samenwerking met

Weert en Venlo. Door samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert,

verwacht Roermond in de toekomst goed in te kunnen spelen op sectorale ontwikkelingen en de

impact daarvan op het informatiebeleid. Daarnaast zorgt de aansluiting bij Dimpact ervoor dat

Roermond niet zelf het wiel hoeft uit te vinden.

De gemeente kiest voor een pragmatische benadering, geen koploper, geen achterblijver, maar

weloverwogen en in eigen tempo prioriteiten stellen en de goede dingen doen.

4.1.4 Bevindingen uit de Benchmark


Alle benchmarkgemeenten, op één na, beschikken over een integraal document waarin de I-

strategie is vastgelegd. Bij één gemeente ligt dat anders. Daar ligt de informatiestrategie

verscholen in verschillende documenten.


Alle benchmarkgemeenten zijn bezig met het ontwikkelen van een referentiearchitectuur,

gebaseerd op de landelijke standaarden GEMMA en NORA, en met het implementeren van het

principe van 'Werken onder architectuur'. De mate van voortgang levert geen eenduidig beeld op.

Alle benchmarkgemeenten gaan in hun beleid uit van aansluiting bij landelijke standaarden,

gebruik van zoveel mogelijk generieke bouwstenen voor de informatie-infrastructuur.


Vier van de zes benchmarkgemeenten hebben hun Informatiestrategie doorvertaald naar jaarlijkse

informatiejaarplannen en projectenportfolio's. Een gemeente heeft dit ook doorvertaald naar

financiën. Het investeringsbudget dat gemoeid is met projecten wordt bij alle

benchmarkgemeenten vastgesteld via de jaarbegroting.




INHOUD VAN HET INFORMATIEVOORZIENINGSBELEID

Alle benchmarkgemeenten hanteren een tijdshorizon van 3 tot 4 jaar voor hun

informatiestrategie.

Waar het gaat om de inhoud en de basis van het informatiebeleid laten vier van de zes

benchmarkgemeenten een brede oriëntatie zien, waarin wettelijke kaders en landelijk beleid, de

Collegeakkoorden, sectorale ontwikkelingen in het gemeentelijke domein, gemeentelijke ambities

en interne bedrijfsvoering worden meegenomen. Bij twee gemeenten gebeurt dat veel beperkter.

Eén heeft bijvoorbeeld het Collegeprogramma niet als uitgangspunt genomen, en van de sectorale

ontwikkelingen alleen het sociale domein. De andere gemeente besteedt geen expliciete aandacht

aan de bredere ontwikkelingen in het gemeentelijke domein.

De benchmarkgemeenten nemen allemaal het NUP mee in hun I-strategie, evenals thema's als

werken onder architectuur en verwijzen daarbij naar de referentiearchitecturen NORA en/of

GEMMA. Twee baseren zich ook op @genda2015, de gemeentelijke agenda voor Informatiebeleid

van de VNG. Geen van de benchmarkgemeenten verwijst expliciet naar 'fundament van de

gemeente' of 'Dienstverlening samen doen'. Echter alle benchmarkgemeenten hanteren

uitgangspunten vergelijkbaar met de bovengenoemde zes.

Van de zes benchmarkgemeenten kiezen er vier voor een functioneel ambitieniveau. Een

gemeente kiest bewust voor een koploperspositie. De andere voor 'snelle volger'.

4.1.5 Conclusies en aanbevelingen


aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze

– is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente.

De inhoud van de I-visie 2011 relateert de behoefte aan informatievoorziening op herkenbare

wijze aan de beleidsdoelen en bedrijfsvoering van de gemeente. De afstemming op de (recente)

bezuinigingsdoelstellingen en taakstellingen is vooralsnog minder herkenbaar in de I-visie 2011.

Inhoudelijk komt de situatie in Roermond grotendeels overeen met de norm en met de situatie in

de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling de I-visie duidelijker te relateren aan de bezuinigingsdoelstellingen van de gemeente Roermond zowel met betrekking tot de bijdrage die inzet van informatievoorziening en ICT kan leveren aan bezuinigingen als aan de consequenties van bezuinigingen op informatievoorziening en ICT op de prioriteiten uit de I-visie.







De gemeente Roermond beschikt over een Kadernota ICT uit 2003. Daarnaast is met de quick scan

voor architectuur een aanzet gegeven tot het formuleren van een Roermondse

referentiearchitectuur, welke als kaderstellend kan worden gehanteerd.

In afwachting van die Roermondse architectuur hanteert de gemeente momenteel een door het

MT vastgestelde interne Checklist Informatiemanagement, en het Informatiebeveiligingbeleid

vastgesteld door het College. Daarnaast gaat van de samenwerking in Dimpact een kaderstellende

werking uit.

Inhoudelijk komt de situatie in Roermond hier niet geheel overeen met de norm. De situatie in

Roermond wijkt echter niet veel af van de benchmarkgemeenten. Deze zijn allen nog bezig met

het opstellen en implementeren van referentiearchitecturen. Wel bestaat de indruk dat Roermond

hiermee nog niet echt een begin heeft gemaakt en dus iets achterloopt.

Aanbeveling

Het verdient aanbeveling het opstellen van een referentiearchitectuur te versnellen zodat een

duidelijker kader ontstaat voor beslissingen ten aanzien van de inrichting van de




De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende

middelen. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan

de projectenportfolio jaarlijks wordt ge-update en vastgesteld door het MT.

De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks

Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste

benchmarkgemeenten die hun informatievoorzieningstrategie wel hebben uitgewerkt in jaarlijkse

integrale informatieplannen.

Aanbeveling

Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van

planningen en benodigde middelen.




'Dienstverlening draait om burgers', 'Het gemeentelijk fundament' van KING en de visie van de

Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft:

'Dienstverlening samen doen’:

1. de vraag van burgers, bedrijven en instellingen staat centraal





3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen

hun organisaties, maar opereert als één overheid.

4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is

opgenomen en informatie die binnen de eigen organisatie beschikbaar is, wordt niet

nogmaals gevraagd.

5. de overheid is transparant en aanspreekbaar



De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 laat een brede

oriëntatie zien, en sluit goed aan bij bovengenoemde beleidsvisies.

De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar

met de situatie in de benchmarkgemeenten.

Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op

het gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken

van het gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering,

DigiMelding, DigiMachtiging en DigiPoort.

De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 is afgestemd op

de in deze norm genoemde wettelijke taken en geeft daar invulling aan.



Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op de

informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken,


In de I-visie 2011 is geen de aandacht voor ontwikkelingen in de maatschappelijke

beleidsdomeinen van de gemeente die impact kunnen hebben op de informatievoorziening, zoals

(jeugd)zorg, WMO, werk&inkomen, en toezicht en handhaving. Het bestuur verwacht hier veel van

de samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert. Omdat hier in de I-

visie geen aandacht aan wordt gegeven, ontbreekt echter ook een kader om te beoordelen of die

verwachting ook bewaarheid wordt en om eventueel zelf ontwikkelingen bij de

samenwerkingsverbanden te initiëren.

De situatie in de gemeente Roermond wijkt hierin af van de norm, die vraagt om dergelijke

ontwikkelingen expliciet mee te nemen. De gemeente Roermond wijkt hierin ook af van de meeste

benchmarkgemeenten die wel aandacht aan beleidsontwikkelingen in de sectoren, zij het dat de

beschrijving van de implicaties voor de informatievoorziening soms summier is.




Aanbeveling

Het verdient aanbeveling om bij actualisering van de I-visie ook aandacht te geven aan

beleidsontwikkelingen in de sectoren en de impact die deze kunnen hebben op de

informatievoorziening. Er is geen aanleiding om het pragmatische ambitieniveau los te laten.

Overig

De gemeente Roermond is in haar ambitie pragmatisch. Zij kiest ervoor geen koploper te zijn, geen

achterblijver, maar vanuit eigen prioriteiten de goede dingen te doen. Zij sluit daarbij aan en

maakt actief gebruik van anderen. Zij neemt daarin ook een actieve rol in de

samenwerkingsverbanden.

Met de keuze voor deze ambitie volgt de gemeente dezelfde koers als de meeste gemeenten in de

benchmark. Zij is actiever, dan de meeste gemeenten in de benchmark waar het gaat om het

zoeken van samenwerking om zo tegen lagere kosten deze ambitie te kunnen realiseren.

Op die manier werkt zij op een efficiënte en effectieve manier aan het verbeteren van de

informatievoorziening en ICT van de gemeente Roermond.




4.2 Cluster 2a: Besturing en organisatie van de informatievoorziening

Dit cluster heeft betrekking op de governance van de informatievoorziening en de wijze waarop de

kaderstellende en controlerende rol van de Raad ten aanzien van de informatievoorziening is

vorm gegeven.

4.2.1 Omschrijving

Het College stelt de informatievoorzieningstrategie voor de coalitieperiode op, en een daarvan

afgeleid Informatieplan met een tijdshorizon van een à twee jaar, met daarin opgenomen een

projectenportfolio en bijbehorende middelen. De Raad toetst deze plannen op de verhouding

tussen ambitie, budget, tijd en kwaliteit van de informatievoorziening en stelt deze vast. Het

College is verantwoordelijk voor de uitvoering van de strategie en het informatieplan, en legt

daarover verantwoording af aan de Raad. Het College zorgt voor afstemming tussen de vraag naar

informatievoorziening vanuit de organisatie en het aanbod van informatievoorzieningdiensten,

waarbij de kwaliteit op basis van dienstverleningsovereenkomsten tussen lijnorganisatie en de

afdeling die verantwoordelijk is voor de diensten op het gebied van informatievoorziening wordt

bewaakt.

NORMENKADER

Norm 1: De Raad toetst de informatievoorzieningstrategie aan de beleidsvisie van de gemeente,

i.c. Strategische visie Roermond 2020 en het Coalitieakkoord, en stelt deze vast.

Norm 2: De Raad toetst het informatieplan inclusief de projectenportfolio en bijbehorende

middelen, en stelt deze vast.

Norm 3: Het budget voor informatievoorziening is inzichtelijk in de gemeentebegroting en wordt

door de Raad als zelfstandig beleidsveld vastgesteld.

Norm 4: De Raad heeft een norm vastgesteld voor grote projecten en grote risico's. Deze

projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten en

baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk gemaakt.

Norm 5: De Raad stelt het proces voor planning&control en rapportage voor de

informatievoorzieningstrategie en de realisatie daarvan vast.

Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de Raad

vastgelegd en door het College geïmplementeerd. De governance structuur omvat coördinatie- en

stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en verantwoordingslijnen.

Norm 7: Het College laat regelmatig – een of tweejaarlijks – een benchmark uitvoeren naar de

kosten van haar informatievoorziening




Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied van

informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad.

Norm 9: Samenwerking op het gebied van informatievoorziening met partners binnen en buiten

de gemeente is door het College geformaliseerd en vastgelegd

Norm 10: Risico's van projecten en operationele systemen zijn volgens een standaard methodiek

geanalyseerd en door het College voorzien van beheersmaatregelen. Grote risico's worden door

het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld ten

aanzien van wettelijke eisen, continuïteit, beveiliging en kosten).

Norm 11: In de overeenkomsten die het College afsluit met leveranciers op het gebied van

informatievoorziening, zijn zaken als beschikbaarheid en kwaliteit van de dienstverlening smart

gespecificeerd. Er zijn afspraken gemaakt over periodieke rapportages.


BETROKKENHEID VAN DE RAAD T.A.V. DE INFORMATIEVOORZIENINGSTRATEGIE

Relevante documenten: I-visie 2011, I-visie 2007-2011, Programmaplan Excellente

Dienstverlening, KCC-visie 2011, Besluit toetreding tot coöperatieve vereniging Dimpact,

Programmabegrotingen, Kadernota ICT 2003, ICT-beveiligingsbeleid

In deze paragraaf laten wij de belangrijkste documenten van de afgelopen jaren met betrekking tot

de informatievoorzieningstrategie van de gemeente Roermond de revue passeren en geven per

document aan in hoeverre er betrokkenheid is geweest van Raad, College of MT.

I-visie 2011

De I-visie 2011 van de gemeente Roermond is op 2 februari 2011 vastgesteld door het

management team en op 15 maart 2011 vastgesteld door het College

Er is geen betrokkenheid van de Raad geweest bij de I-visie 2011.

I-visie 2007 – 2011

De I-visie 2007 - 2011 van de gemeente Roermond is niet vastgesteld op het niveau van Raad,

College of MT.

De directeur BMO heeft de I-visie 2007-2011 gepresenteerd in de raadscommissie Algemene

Zaken. Deze zag geen aanleiding –de visie te agenderen in de Raad.

Programmaplan Excellente Dienstverlening

Het Programma Excellente Dienstverlening uit 2009, is vastgesteld door de Raad als onderdeel van

de Programmabegroting.

Het Programmaplan Excellente dienstverlening is goedgekeurd door het MT in januari 2010.




Er is geen betrokkenheid van de Raad geweest bij het Programmaplan Excellente Dienstverlening.

Het programmaplan Excellente Dienstverlening is de belangrijkste drager voor de implementatie

van de I-visie 2011 en is op haar beurt gebaseerd op de doelstelling voor excellente

dienstverlening uit de strategische visie Roermond 2020.

KCC-visie 2011

De KCC-visie 2011 van de gemeente Roermond is op 22 maart 2011 vastgesteld door het college.

De KCC-visie geeft verdere uitwerking aan het programmaplan Excellente dienstverlening en gaat

in op doel en functie van het KCC.



Het voorstel voor toetreding tot Dimpact is een belangrijke stap om op een goede en

kostenefficiënte manier de voorzieningen te realiseren op het gebied van informatievoorziening en

ICT, die nodig zijn om de doelstellingen van het Programma Excellente Dienstverlening versneld te

realiseren.

Programmabegrotingen

De programmabegroting is jaarlijks vastgesteld door de Raad.

informatievoorziening is in deze begrotingen onderdeel van de paragrafen over bedrijfsvoering,

dan wel het programma 'de Gemeente'. Inhoudelijke aandacht voor informatievoorziening is met

name gerelateerd aan de doelstelling uit de strategische visie 2020 voor excellente

dienstverlening.

Kadernota ICT 2003

De kadernota ICT van de gemeente Roermond is op 9 juli 2003 goedgekeurd door het College en

op 8 september 2003 ter kennisname voorgelegd aan de Commissie AZ&C van de Raad.

De kadernota schetst een toekomstbeeld met betrekking tot ICT en bevat een financiële paragraaf

voor benodigde investeringen.

ICT-beveiligingsbeleid

Het ICT-beveiligingsbeleid (versie 2.1) van de gemeente Roermond is vastgesteld door het College

op 18 augustus 2009. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het

college worden behandeld.

Het ICT-beveiligingsbeleid bevat richtlijnen voor de informatievoorziening met betrekking de

beveiliging van informatie en privacybescherming.

GOVERNANCE VAN DE INFORMATIEVOORZIENING, BUDGET, PLANNING EN RAPPORTAGE

Relevante documenten: Raadsbesluiten P&C-cyclus, Financiële kadernota's,

Programmabegrotingen, Jaarrekeningen, Kredietrapportages, Herinrichting Sector

Bedrijfsmiddelen en Organisatie 2007, ICT-beveiligingsbeleid




Raadsbesluiten P&C-cycli

De Raad stelt jaarlijks de P&C-cyclus vast. De onderzoekers hebben de besluiten daartoe ingezien.

Er is geen aparte aandacht m.b.t. de P&C van de informatievoorziening.

Financiële Kadernota's

De financiële kadernota's van de gemeente zijn jaarlijks vastgesteld door de Raad.

De onderzoekers hebben de financiële kadernota's ingezien van 2007 t/m 2011.

De financiële kadernota's bevatten geen expliciete aandacht voor de financiële kaders ten aanzien

van informatievoorziening.

Programmabegrotingen

De Programmabegrotingen zijn jaarlijks vastgesteld door de Raad. De onderzoekers hebben de

begrotingen en bijbehorende bijlagen ingezien van 2007 t/m 2011.

De Raad stelt de beschikbare middelen voor informatievoorziening vast via de

Programmabegroting. Hiervoor is een post 'Informatievoorziening' opgenomen in de paragraaf

Bedrijfsvoering, c.q. de begroting van het programma 'De Gemeente'. Er staan geen specifieke

doelstellingen m.b.t. informatievoorziening en ICT in de programmabegrotingen.

informatievoorziening is wel als herkenbare post te vinden in het budget.

In de gemeentebegroting 2012 is een bedrag van 3,2 miljoen euro opgenomen voor

informatievoorziening. In 2009 was dat 2,7 miljoen euro. In 2010 was dat 2,3 miljoen euro (na

wijziging). In 2011 was dit 2,8 miljoen euro.

De jaarbegroting bevat een post voor (vervangings)investeringen op het gebied van

informatievoorziening, met een doorkijk van vier jaar.

In de begroting 2011 heeft de Raad een eenmalige investering goedgekeurd van 1,3 miljoen euro

voor het programmaplan Excellente Dienstverlening. Deze investering moet bijdragen aan een

structurele kostenbesparing van 3,2 miljoen euro in 2016. In de jaarverantwoording 2011 geeft het

College aan deze investering in te zetten voor de noodzakelijke software.

Jaarrekeningen

De jaarrekeningen zijn jaarlijks vastgesteld door de Raad. De onderzoekers hebben de

jaarrekeningen ingezien van 2007 t/m 2011.

Informatievoorziening is bij de Jaarrekening opgenomen in de paragraaf Bedrijfsvoering, c.q. het

programma 'De Gemeente'. Er wordt niet gerapporteerd op specifieke doelstellingen m.b.t.

informatievoorziening en ICT.

Kredietrapportages

De kredietrapportages zijn periodiek vastgesteld door de Raad. De onderzoekers hebben de

kredietrapportage 2011 ingezien.

De kredietrapportage geeft inzicht in de investeringsplanning en de voortgang van investeringen

waarvoor krediet beschikbaar is gesteld.




De kredietrapportage 2011 vermeldt o.a. het doorschuiven van een groot deel van de voor 2011

geplande ICT-investeringen naar 2012, in afwachting van een analyse van alle vervangings- en

uitbreidingsinvesteringen in de toekomst. Deze analyse moet inzicht geven of door herschikking

van de bestaande middelen de bedrijfsvoering voldoende geborgd kan worden en welke

additionele middelen eventueel nodig zijn om de verdergaande digitalisering van de

bedrijfsprocessen vorm te kunnen geven. Het streven is om e.e.a. bij de kadernota 2013 in beeld

te hebben.

Herinrichting Sector Bedrijfsmiddelen en Organisatie 2007

Het voorstel voor herinrichting van de Sector Bedrijfsmiddelen en Organisatie is door het College

vastgesteld op 7 december 2011 en goedgekeurd door het College.

Dit voorstel heeft onder andere betrekking op de wijze waarop ICT en informatievoorziening

worden belegd in de organisatie.

De verantwoordelijkheid voor informatievoorziening ligt op beleidsniveau bij het College, op

uitvoerend niveau bij het MT. In de organisatie is de informatievoorziening belegd bij twee teams.

Een team ICT is verantwoordelijk voor de operationele systemen, en een team informatieadviseurs

is verantwoordelijk voor de advisering over informatievoorziening aan de sectoren. Het team ICT is

onderdeel van de afdeling Facilitaire zaken, en het team organisatie en informatie is onderdeel van

de afdeling Personeel, organisatie en Informatie.


Het ICT-beveiligingsbeleid (versie 2.1) van de gemeente Roermond is vastgesteld door het College

op 18 augustus 2009. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het

college worden behandeld.

In het kader van het informatiebeveiligingsbeleid zijn bevoegdheden en verantwoordelijkheden

beschreven voor o.a. het toekennen van gebruikersaccounts, wijzigingsbeheer, e.d.

Het beleid voorziet in periodieke risicoanalyses van de kritieke processen van de gemeente.

GROTE PROJECTEN, RISICOANALYSES EN GEBRUIK VAN BUSINESS CASES

Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten,

Voorstel Raad toetreding tot coöperatieve vereniging Dimpact, 'Rapport Acceleratie Excellente

Dienstverlening', Projectplan Dimpact, Samenvattend overzicht drempelbedragen

Het belangrijkste document met betrekking tot de governance van grote projecten is de notitie

'Uitgangspunten voor projectmanagement voor bedrijfsvoeringsprojecten. Hierin staan geen

criteria geformuleerd voor risicoanalyses en gebruik van business cases. Wel worden in de

afweging impact op de organisatie en complexiteit meegewogen. De overige hier genoemde

relevante documenten geven wel inzicht in hoe in de praktijk wordt omgegaan met risicoanalyses

en business cases in bij grote projecten.







De notitie geeft een overzicht van de uitgangspunten en randvoorwaarden voor het












Met toetreding tot Dimpact wil Roermond de benodigde informatievoorzieningen realiseren in het

kader van het Programma Excellente Dienstverlening. Het voorstel aan de Raad was o.a. voorzien

van het 'Onderzoeksrapport Acceleratie Excellente Dienstverlening'. Dit onderzoeksrapport bevat

de kwalitatieve en kwantitatieve business case voor het realiseren van de benodigde

informatievoorzieningen voor het Programma Excellente Dienstverlening en een risicoanalyse.

Projectplan Dimpact

Het projectplan Dimpact is op 26 oktober 2011 vastgesteld door het MT.

Het projectplan is gericht op de implementatie van de toetreding tot Dimpact.

Het projectplan bevat naast de opzet, deelprojecten, en planning, een uitgebreide risicoparagraaf

met een beheersmaatregelen.

Samenvattend overzicht drempelbedragen

De gemeente hanteert drempelbedragen ten aanzien van de beslissingsbevoegdheid voor

aanbesteding van leveringen en diensten. Daarbij is ook aangegeven op welke wijze deze

aanbesteed moeten worden. Tot €50.000,- is de beslisser het College/mandaat sectordirecteur.

Tussen de €50.000,- en €200.000,- is de beslisser het College/mandaat portefeuillehouder en

akkoord plv. portefeuillehouder. Boven de €200.000,- beslist het College. De Raad wordt nooit

inhoudelijk betrokken in de besluitvorming rondom de ICT projecten.

De samenvatting van de drempelbedragen is gebaseerd op de notitie Aanbestedingsbeleid bij

laagconjunctuur die het College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de

gewijzigde bedragen geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en

eveneens zijn vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een

raadsinformatiebrief geïnformeerd.




DEELNAME AAN BENCHMARKS

Relevante Documentatie: Rapporten Waar staat je gemeente 2008 en 2010

'Waar staat je gemeente' is geen specifieke benchmark voor informatievoorziening en ICT. De

gemeente Roermond neemt verder niet deel aan specifieke benchmarks op het gebied van ICT of

informatievoorziening m.b.t. kosten of personeel. Wel neemt Roermond deel aan de door de

overheid respectievelijk KING georganiseerde monitors op het gebied van e-overheid, eerst

Overheidsmonitor.nl, en nu de opvolger 'E-overheid in beeld'. Overheidsmonitor.nl betrof een

ranglijst met betrekking tot de kwaliteit van de websites van gemeenten. Deze maakt ook

onderdeel uit van 'Waar staat je gemeente'. Overheidsmonitor.nl is per 22 juni 2011 gestopt en

vervangen door de monitor 'E-overheid in beeld' van KING. Deze nieuwe monitor brengt de

voortgang van gemeenten in beeld met betrekking tot de implementatie van het NUP en de

benutting van de bouwstenen van het NUP.

Rapporten Waar staat je gemeente 2008 en 2010

De Rapportages zijn vastgesteld door het College op 29 juli 2008, respectievelijk 4 maart 2011. De

rapportage 2008 is op 29 augustus 2008 via een Informatiebrief aan de Raad gemeld. De

rapportage 2010 is op 18 maart 2011 via een informatiebrief aan de Raad gemeld.

'Waar staat je gemeente' is een landelijke benchmark voor gemeenten waarbij burgers gevraagd

worden hun mening over de gemeente vanuit verschillende rollen. In 2008 en 2010 heeft de

gemeente Roermond meegedaan. Op de onderdelen bij de stelling 'De informatie die de gemeente

geeft is voldoende en begrijpelijk' scoorde de gemeente Roermond in 2008 en 2010 steeds rond

het landelijk gemiddelde voor 50.000+ gemeenten (7,1). In de laatste ranglijst van

Overheidsmonitor.nl bekleedde de gemeente Roermond plaats 139, tussen de gemeenten Epe

(138) en Bergeijk (140), met een score van 53,21%. In de voorlaatste ranglijst bekleedde Roermond

nog plaats 126, met eenzelfde score van 53,21%.

E-overheid in beeld

Uit het overzicht op de website van e-overheid in beeld dd. 22 augustus 2012 blijkt dat Roermond

rond de 40% scoort met betrekking tot de implementatie van de NUP-bouwstenen. Dit is

vergelijkbaar met de meeste andere gemeenten.

SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS

Relevante documenten: Voorstel Raad toetreding tot coöperatieve vereniging Dimpact

De gemeente beschikt niet over een sourcingstrategie met betrekking tot informatievoorziening

en ICT. De samenwerking met Dimpact kan als vorm van sourcing worden beschouwd.


De gemeenteraad is middels de wensen en bedenkingen-procedure over de samenwerking met

Dimpact geïnformeerd. In deze procedure legt het college een voorgenomen besluit voor aan de




gemeenteraad De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve

vereniging Dimpact. Dit voorstel bevatte o.a. het model samenwerkingscontract met Dimpact.



De I-visie wordt beschouwd als een invulling van de Strategische Visie Roermond 2020 en

daarmee als een zaak van het College. In die visie staat de ambitie van Excellente dienstverlening

genoemd. De I-visie is niet besproken in de Raad en niet ter kennisname aan de Raad gestuurd.

Informatiebeleid is geen item voor de Raad. Er worden weinig vragen over gesteld. De Raad toetst

niet echt of Roermond qua dienstverlening wel op het goede spoor zit. De Raad schikt zich in de

positie van het College dat ICT en Informatiebeleid een aspect van bedrijfsvoering is en derhalve

tot de bevoegdheden van het College behoort. Er zijn tot nu toe geen aanleidingen voor de Raad

om zich intensiever met het Informatiebeleid te bemoeien. De Raad heeft ooit aangegeven de

bespreking van beleid ten aanzien van ICT en informatievoorziening vooral via de jaarstukken te

willen doen. M.b.t. ICT en informatievoorziening gebeurt dat via de plannen en verantwoording

over het programma 'de Gemeente'.

Wethouders en gemeentesecretaris zien het als hun taak de Raad mee te nemen in belangrijke

beslissingen rondom bedrijfsvoering en informatievoorziening. Het huidige niveau van

betrokkenheid van de Raad werkt goed. Die betrokkenheid is vooral in de controlerende zin

middels reguliere rapportages en in sommige gevallen in de zin van 'input leveren' voor nieuw

beleid.


Van het budget voor informatievoorziening/ICT is ca. 80% van de kosten centraal en 20%

decentraal belegd. Het gaat dan om de automatiseringskosten. Dit zijn de kosten die inzichtelijk

zijn in de begroting onder de post informatievoorziening. De kosten voor applicaties liggen vaker

decentraal in de organisatie. Deze zijn centraal niet volledig inzichtelijk als kosten voor

informatievoorziening of ICT, maar zijn onderdeel van de exploitatie van de betreffende sectoren.

Deze financiële informatie is echter wel te genereren. Kosten op het punt van

automatisering/informatievoorziening worden uniform gecodeerd, zodat deze over alle

begrotingsposten heen inzichtelijk kunnen worden gemaakt. De kosten voor projecten zijn wel

centraal beheerd. Kosten voor onderhoud komen in de exploitatie terecht.

De investeringsplanning is gesplitst in beleidsgevoelige en niet beleidsgevoelige investeringen. De

gemeenteraad vindt dat nog te veel investeringen (ook in ICT) worden gezien als beleidsgevoelig.

De kredietaanvraag van niet beleidsgevoelige investeringen hoeft niet via de Raad te lopen. Dit

onderschrijft de opvatting van de Raad dat zij automatisering ziet als een onderdeel van de

bedrijfsvoering. Pas als de dienstverlening naar de burger onvoldoende is (de norm ligt vast in de

programmabegroting) wordt dit item bestuurlijk voor de gemeenteraad interessant.




De gemeenteraad wil in het algemeen actief geïnformeerd worden. Dit gebeurt onder andere via

de Burap. De focus daarbij ligt, op verzoek van de Raad, op een afwijkingenrapportage

(beleidsafwijkingen en financiële afwijkingen). Zolang het goed gaat, hoeft de Raad niet

geïnformeerd te worden. Voor ICT en informatievoorziening gebeurt dat als onderdeel van

bedrijfsvoering/programma 'de Gemeente'. Raadsinformatie- en Commissie-informatiebrieven zijn

andere verschijningsvormen van actieve informatieverstrekking. De frequentie van de Burap wordt

verhoogd van 1x pj naar 2 pj (31/3 cijfers en 30/6 cijfers en in de toekomst ook 30/9 cijfers). De

jaarrekening is de laatste rapportage over het verslagjaar. Burap’s worden ter vaststelling naar de

gemeenteraad gestuurd, vaak worden deze , 'als hamerstuk', vastgesteld door de Raad. De burap

wordt wel in alle commissies behandeld en hier worden door raads- en commissieleden vragen

gesteld. Aanvullend op de Burap wordt bij grote afwijkingen op een beleidsterrein apart

gerapporteerd aan de Raad. Op die manier komt het onderwerp ook inhoudelijk aan bod en kan de

Raad het betreffende beleid, financiële budgetten of planningen bijstellen. Over ICT en

Informatievoorziening wordt niet op projectniveau gerapporteerd aan de Raad.

Besluitvorming over zaken op het gebied van ICT en informatievoorziening die

'afdelingoverstijgend' zijn, vindt plaats in het MT. Beheer en exploitatie van de systemen is

grotendeels gecentraliseerd. Deze wordt uitgevoerd door het team ICT. Het functionele

applicatiebeheer ligt nog voor een groot deel decentraal. Bij beslissingen over vervanging of

vernieuwing wordt een checklist gebruikt om integraliteit te waarborgen. De

beslissingsbevoegdheid over de aanschaf van nieuwe applicaties die niet afdelingsoverstijgend zijn,

ligt (nu nog) bij de vakafdelingen of sectoren. De functioneel beheerders in de lijn kunnen echter

niet zelfstandig applicaties installeren. Daarvoor zijn ze afhankelijk van het team ICT.


De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom ICT projecten. Over

informatievoorziening wordt niet op projectniveau gerapporteerd aan de Raad ook niet voor grote

projecten en ook niet als daar grote risico's aan verbonden kunnen zijn. Roermond heeft geen

specifieke norm gesteld voor 'grote projecten' en 'grote risico's'. Roermond maakt niet standaard

gebruik van business cases bij de opstart van nieuwe projecten. Afhankelijk van de zwaarte wordt

een business case opgesteld. Hier is geen specifieke norm voor. In de praktijk gebeurt dit alleen bij

hele grote operaties, zoals de toetreding tot Dimpact en het nu lopende onderzoek naar de

samenwerking met Weert en Venlo.

Als projectmethodiek hanteert Roermond een methodiek van een extern bureau – AMI - die

afgeleid is van Prince2. Het zwaartepunt daarvan ligt bij de Project start-up (PSU), waarbij het

team in een werkconferentie van een of twee dagen het projectplan definieert, inclusief

omgevingsanalyse, risicoanalyse en benoemen van beheersmaatregelen. Projectplannen worden

vastgesteld door het MT. Voor projecten uit het programma Excellente dienstverlening en bij de

technische vernieuwingsprojecten wordt standaard een risicoanalyse gemaakt. Voor

vervangingsprojecten is dit niet altijd het geval.





Roermond doet niet mee aan Benchmarks op het gebied van informatievoorziening en ICT. Zij

heeft ooit meegedaan aan de EGEM I-scan en in 2003 aan de Berenschot Benchmark. Er vindt

voornamelijk een vorm van informele collegiale toetsing plaats via uitwisseling tussen collega-

directeuren. Inzicht verkrijgt men op dit moment via de samenwerking met Dimpact, en in het

kader van het onderzoek naar de ICT-samenwerking met Venlo en Weert wordt momenteel een

kostenvergelijking gemaakt. Directeur Middelen is van mening dat de ICT/IV in Roermond al 'lean'

is georganiseerd. Daarnaast neemt Roermond deel aan de door de overheid respectievelijk KING

georganiseerde monitors op het gebied van e-overheid, eerst Overheidsmonitor.nl, en nu de

opvolger 'E-overheid in beeld'(zie ook pag 25).

SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS

Roermond heeft geen expliciete sourcingstrategie. Over sourcing wordt besloten als zich iets

aandient.

In de Raad heeft een kerntakendiscussie plaats gevonden. Hier zijn twee leidende begrippen uit

voort gekomen. De gemeente als regisseur richting de samenleving, en de gemeente als 'tijdrijder'

waar het gaat om de eigen organisatie. Met dat laatste wordt bedoeld het streven naar een

organisatie die lean en mean is. Vanuit dit streven wordt ook expliciet gekeken naar vormen van

sourcing. Daarnaast wordt op MT-niveau gediscussieerd over de besturing van de organisatie aan

de hand van een zogeheten “vlekkenmodel”. Daarin wordt de organisatie beschouwd langs drie

vlekken: dienstverlening aan de burger en bedrijf, bedrijfsvoering (dienstverlening intern) en

bestuur (beleidsafdelingen). Vanuit dit vlekkenplan wordt ook per onderdeel gekeken naar wat de

meest efficiënte vorm van organiseren is, en wat mogelijk in aanmerking komt voor uitbesteding

en wat niet. Als voorbeeld van mogelijkheid voor uitbesteden wordt genoemd samenwerking op

het gebied van belastingen.

Voor de front- en mid-office systemen is Roermond toegetreden tot Dimpact. Daarnaast loopt er

nu een onderzoek naar samenwerking met Venlo en Weert. Met deze beide gemeenten is een

business case ontwikkeld voor een gezamenlijk ‘wegennet’ (technische infrastructuur). Er wordt

gewerkt aan een plan voor 2 rekencentra (in Roermond en in Venlo). Dit plan moet besparingen

gaan opleveren. De samenwerking met Dimpact is via een informatiebrief goedgekeurd door de

Raad.

Het bestuur ziet samenwerking op I&A-gebied zoals met Dimpact en Weert/Venlo als een strategie

om kwetsbaarheid op te heffen en kosten te besparen. Omdat de trekkersrol veelal bij Roermond

komt te liggen vanwege haar kennis, kunde en ambitie op dit terrein, brengt dit ook extra

inspanningen en verantwoordelijkheden met zich mee. Doordat Roermond in het verleden goede

contracten heeft afgesloten op het gebied van I&A zijn de besparingen van samenwerking voor

Roermond waarschijnlijk minder groot dan voor Venlo en Weert.




4.2.4 Bevindingen uit de Benchmark


Slechts één benchmarkgemeente laat de informatiestrategie als zelfstandig beleidsonderdeel door

de Raad vaststellen. Een gemeente laat de informatiestrategie als zelfstandig beleidsveld

vaststellen door het College en stuurt dit ter kennisname aan de Raad. Bij een gemeente wordt

deze als zelfstandig beleidsveld vastgesteld door het MT, en ter kennisname aan het College

gestuurd. Deze gemeente geeft aan in de toekomst de informatiestrategie vast te laten stellen

door het College, met toezending ter kennisname aan de Raad. De drie andere gemeenten laten

het informatiebeleid niet als zelfstandig beleid vaststellen door College of Raad, maar als

onderdeel van begroting, of als onderdeel van de bedrijfsvoering.


Met betrekking tot de besturing en verantwoording van de informatiestrategie, zijn er twee

benchmarkgemeenten die de verantwoordelijkheidsverdeling tussen Raad en College expliciet

hebben laten vaststellen door de Raad. Bij de andere benchmarkgemeenten is dit niet het geval.

Daar loopt het rapportageproces voor het toetsen van de voortgang en de kosten als onderdeel

van de reguliere P&C-cyclus via het beleidsveld waar informatievoorziening deel van uitmaakt. De

frequenties variëren van een tot vier keer per jaar.

Vier van de zes benchmarkgemeenten hebben hun Informatiestrategie doorvertaald naar jaarlijkse

informatiejaarplannen en projectenportfolio's. Een gemeente heeft dit ook doorvertaald naar

financiën. Het investeringsbudget dat gemoeid is met projecten wordt bij alle

benchmarkgemeenten vastgesteld via de jaarbegroting.

Slechts één gemeente heeft een integraal overzicht van haar kosten voor informatievoorziening in

haar begroting opgenomen en laat deze als zelfstandig beleidsveld vaststellen door de Raad. Deze

bedragen ca. 12 miljoen per jaar (ca. 145.000 inwoners). Een gemeente geeft aan dit integrale

overzicht wel intern beschikbaar te hebben. Inclusief kapitaallasten, procesadvisering, onderzoek

en statistiek, en exclusief functioneel applicatiebeheer, gaat het om ca. 11 mln per jaar (ca.

120.000 inwoners). De andere benchmarkgemeenten hebben dit overzicht niet beschikbaar. De

kosten van ICT systemen en infrastructuur die organisatiebreed worden gebruikt hebben zij

meestal wel in beeld. De financiën die gemoeid zijn met de ICT die decentraal wordt ingezet niet.

Deze maken veelal deel uit van decentrale programmakosten.


Alle benchmarkgemeenten werken met business cases. Enkele gemeenten doen dit structureel

voor alle projecten. De meeste gemeenten doen dit alleen bij de grote projecten. Geen enkele

gemeente heeft een norm vastgesteld voor wat onder 'grote projecten' moet worden verstaan.

Alle benchmarkgemeenten geven aan dat risicomanagement een wezenlijk onderdeel vormt van

alle projecten. Afhankelijk van de omvang van een project wordt hier in meer of mindere mate




aandacht aangegeven. De teneur lijkt dat dit aandachtsveld de afgelopen jaren een toenemende

belangstelling heeft gekregen.

De meeste benchmarkgemeenten geven aan dat het vaststellen van doelen en risico’s door de

Raad en rapportages aan de Raad over afzonderlijke projecten alleen op gaat voor zeer

omvangrijke projecten. Over de gangbare projecten wordt bij geen enkele benchmarkgemeente

afzonderlijk gerapporteerd aan de Raad.


Vier van de benchmarkgemeenten nemen periodiek deel aan een benchmark op kosten. Eén

gemeente heeft het bureau Berenschot een actuele benchmark laten doen op de overhead in

aantallen FTE’s, maar beschikt niet over een actuele benchmark op kosten. Een gemeente neemt

op dit moment niet deel aan een benchmark. Zij nam deel aan een benchmark op kosten van de

ICT/IV. Zij is hier enige tijd mee gestopt omdat vanwege de vele ontwikkelingen deelname niet

zinvol wordt geacht. Deze gemeente geeft aan over enkele jaren zeker weer mee te zullen gaan

doen.

SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS EN OVEREENKOMSTEN MET

LEVERANCIERS

Eén gemeente heeft een expliciete sourcingstrategie ten aanzien van ICT/IV, via haar regionale

samenwerkingsverband. Eén gemeente heeft wel een algemene sourcingstrategie vanuit de wens

om een regiegemeente te zijn, maar niet specifiek voor informatiebeleid. Eén gemeente heeft zijn

front- en mid-office 'uitbesteed' aan Dimpact en onderzoekt verdergaande samenwerking op het

gebied van ICT/IV met andere gemeenten en de provincie.




Behalve in het geval van de Kadernota ICT uit 2003 heeft de Raad in Roermond geen toetsende

enof besluitvormende rol bij de inhoud van het beleid voor informatievoorziening.

Informatievoorziening wordt gezien als onderdeel van de bedrijfsvoering en derhalve als

verantwoordelijkheid van het College. De informatievoorzieningstrategie is wel vastgesteld door

het College.

De situatie in Roermond komt niet overeen met de norm.

De situatie in Roermond wijkt niet wezenlijk af van de situatie bij de meeste benchmark-

gemeenten. Bij de meeste van hen is informatievoorziening vastgesteld via de begroting als

onderdeel van de bedrijfsvoering en worden de beleidsplannen vastgesteld door het MT of het

College.

Aanbeveling




Het verdient aanbeveling de betrokkenheid van de Raad bij het beleid ten aanzien van

informatievoorziening te vergroten met name daar waar informatievoorziening en ICT een

belangrijkere rol gaan spelen in het contact van de gemeente met de buitenwereld en de realisatie

van maatschappelijke doelen.




middelen. Deze worden dus ook niet vastgesteld door de Raad. Het dichtst in de buurt komt het

Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt ge-

update en vastgesteld door het MT.



benchmarkgemeenten die hun informatievoorzieningsstrategie wel hebben uitgewerkt in jaarlijkse


Aanbeveling


planningen, projectenportfolio en benodigde middelen, deze vast te laten stellen door het College,

en de Raad tenminste te informeren hierover.



De Raad stelt het budget voor informatievoorziening en het investeringsbudget vast als onderdeel

van de programmabegroting van het Programma 'De gemeente'. Het budget voor

informatievoorziening is hier apart vermeld, maar een deel van de kosten voor applicaties ligt

(nog) verscholen in exploitatiekosten van de sectoren. De gemeente heeft een start gemaakt met

het verder centraliseren van applicatiebeheer, waardoor ook het inzicht in de budgetten die

gemoeid zijn met de totale informatievoorziening beter inzichtelijk zullen worden.

De situatie in Roemond wijkt hierin af van de norm. Roermond wijkt hier niet af van de meeste

benchmarkgemeenten. Slechts een gemeente laat de informatievoorziening als zelfstandig

beleidsveld vast stellen door de Raad. Er is ook slechts een gemeente in de benchmark die een

integraal overzicht van de kosten voor informatievoorziening (automatisering en applicaties) kan

laten zien. Daarnaast heeft Roermond een beweging in gang gezet om het functioneel

applicatiebeheer te centraliseren en zodoende ook de daarmee gemoeide budgetten inzichtelijk

te krijgen en te centraliseren. Deze beweging is vergelijkbaar met de beweging die andere

gemeenten maken.




Aanbeveling

Het verdient aanbeveling om de in gang gezette centralisering van het functioneel

applicatiebeheer en daarmee de centralisering van de budgetten door te zetten. Op die manier

ontstaat meer inzicht te creëren in de kosten van informatievoorziening en het sturend vermogen

hierop te vergroten. Op die wijze kan ook een voor de Raad beter inzicht ontstaan.


projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten

en baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk

gemaakt.

De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. Projecten op

het gebied van informatievoorziening worden in het algemeen niet vastgesteld door de Raad,

maar door het MT of het College. In de gemeente Roermond wordt nooit gerapporteerd aan de

Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote

risico's mee gemoeid kunnen zijn. Het voorstel voor toetreding tot Dimpact werd aan de Raad

voorgelegd omdat het toetreding tot een samenwerkingsverband betrof. Projecten worden

incidenteel voorzien van een business case. Het gaat dan om projecten waarvan grote impact

wordt vermoed.

De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een

norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen

enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat

zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer

omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt.

Met betrekking tot het gebruik van business cases wijkt de situatie in Roermond af van de

sommige benchmarkgemeenten, die wel structureel met business cases werken. De meeste

gemeenten doen dit echter net als Roermond alleen bij de grote projecten.

Aanbeveling

Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten

en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden. Ook

verdient het aanbeveling om voor projecten boven die norm altijd met business cases te werken.

Voorts verdient aanbeveling het werken met business cases uit te breiden, zodat betere

afwegingen gemaakt kunnen worden ten aanzien van investeringen.



In Roermond stelt de Raad de P&C-cyclus vast. Rapportage over informatievoorziening vindt plaats

via de reguliere P&C-cyclus. Op verzoek van de Raad wordt de Raad voornamelijk geïnformeerd

aan de hand van afwijkingrapportages. De frequentie van de rapportages wordt op verzoek van de




Raad verhoogd naar 3x per jaar. Grote afwijkingen worden apart aan de Raad gerapporteerd. Hier

is geen norm voor vastgesteld.

De situatie in Roermond wijkt hierin niet af van de norm en ook niet van de situatie in de

benchmarkgemeenten.

Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de

Raad vastgelegd en door het College geïmplementeerd. De governance structuur omvat

coördinatie- en stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en

verantwoordingslijnen.

De governance van de informatievoorziening is niet neergelegd in een apart document, maar volgt

de reguliere governance van de gemeente. In het ICT-beveiligingsbeleid en gerelateerde stukken

zijn de taken, verantwoordelijkheden en bevoegdheden wel specifiek vastgelegd.

De situatie in de gemeente Roermond wijkt hiermee af van de norm, die stelt dat de governance

van de informatievoorziening in een apart document wordt vastgelegd en vastgesteld door de

Raad. De situatie in de gemeente Roermond wijkt echter niet af van de benchmarkgemeenten.

Aanbeveling

Het verdient aanbeveling governance ten aanzien van informatievoorziening vast te leggen in en

document en vast te laten stellen door de Raad.



De gemeente Roermond neemt deel aan verschillende landelijke monitors die de voortgang van de

implementatie van de e-overheid bijhouden. Zij neemt niet del aan specifieke benchmarks op het

gebied van kosten enof personele inzet op het gebied van informatievoorziening en ICT.

De situatie in Roermond wijkt hierin af van de norm. De meeste benchmarkgemeenten nemen wel

deel aan benchmarks, met name op het gebied van kosten van de informatievoorziening. Een van

de benchmarkgemeenten die dit niet doet heeft is voornemens dit in de toekomst weer te gaan

doen.

Aanbeveling

Benchmarking is een belangrijk instrument om zicht te houden op kosten en kwaliteit van de

informatievoorziening, en om te leren van anderen. Het verdient aanbeveling om periodiek deel te

nemen aan benchmarks op het gebied van kosten van de informatievoorziening.

Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied

van informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad.

De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van

informatievoorziening en ICT. Wel leeft de wens om op meer terreinen samen te werken, en met




name op het gebied van de back-office te outsourcen als de mogelijkheid zich voordoet. Onder

invloed van de kerntakendiscussie en onder invloed van een discussie in het managementteam

over de besturing van de organisatie wordt nu wel gesproken over taken die voor sourcing in

aanmerking komen.

De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste

benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete

sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende

benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om

kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de

samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de

mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een

belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening.

Aanbeveling

Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de

samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof

implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een

sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad.



Daar waar het toetreding tot samenwerking betreft met andere gemeenten, of deelnemingen in

een andere organisatie is de gemeente Roermond aan de wettelijke verplichtingen daaromtrent.

De onderzoekers hebben niet specifiek onderzocht in hoeverre de gemeente zich daaraan houdt.

In het geval van Dimpact is dat wel gebeurd.

De situatie in Roermond wijkt niet af van de norm en ook niet van de situatie in andere

benchmarkgemeenten.



het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld

ten aanzien van wettelijke eisen, continuïteit, beveiliging en kosten).

De gemeente Roermond hanteert geen gestandaardiseerde methodiek ten aanzien van

risicoanalyses. In de gemeente Roermond wordt niet gerapporteerd aan de Raad over

operationele risico's.

De situatie in Roermond wijkt hierin af van de norm. Zij wijkt niet af van de situatie in de meeste

benchmarkgemeenten die geen specifieke methodiek hanteren voor het analyseren van risico's

van operationele systemen. en daarover ook niet standaard rapporteren aan de Raad.




Aanbeveling

Het verdient aanbeveling om de risico's van operationele systemen te analyseren volgens een

geaccepteerde standaard en om rapportages in samenvattende vorm aan de Raad ter beschikking

te stellen.




Deze norm wordt behandeld bij par 4.5, cluster 3: Beheer en exploitatie van de





4.3 Cluster 2b: Besturing en organisatie van de informatiebeveiliging

Dit cluster heeft betrekking op de governance van de informatievoorziening: de wijze waarop de

kaderstellende en controlerende rol van de Raad ten aanzien van de organisatie van de

informatiebeveiliging.

4.3.1 Omschrijving

De gemeente beschikt over een beleid voor informatiebeveiliging en privacy, dat is vastgesteld

door de Raad. Dit beleid wordt actief gecommuniceerd en is regelmatig onderdeel van

werkoverleggen en managementoverleggen. De gemeente hanteert instrumenten om dit beleid

vorm te geven bij de ontwikkeling, het beheer en exploitatie van informatievoorzieningen. Er vindt

periodieke monitoring plaats.

NORMENKADER

Norm 1: De gemeente heeft een beleid voor informatiebeveiliging en privacybescherming dat

richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving en

dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot

privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers.

Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad vastgesteld.

Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen in

de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in

managementoverleggen.

Norm 4: Het College toetst periodiek de verleende toegangsrechten tot

informatie/informatiesystemen. Van alle uitgegeven en actieve identiteiten (accounts) wordt

gecontroleerd of deze toebehoren aan personen die inderdaad voor de organisatie werken. Van

elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten heeft.

Norm 5: De status van de technische beveiliging van ICT systemen wordt jaarlijks door een

(onafhankelijke) partij getoetst.

Norm 6: De effectiviteit van de afscherming van systemen wordt gemonitord zodat ongewenst

verkeer en indringers kan worden gedetecteerd. Rapportage hierover vindt plaats via de

rapportagecyclus van dienstverleningsovereenkomsten.

Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie en

privacy te detecteren en er is een organisatie om die te behandelen.

Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de risico's

geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden afspraken

gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van de




beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en

rapportage van performance en beveiliging (incl. incidenten); melding en behandeling van

incidenten; de bewerkingen in het kader van de wettelijke verplichtingen voor

privacybescherming.


INFORMATIEBEVEILIGINGSBELEID EN ROL VAN DE RAAD

Relevante documenten: ICT-beveiligingsbeleid 2.1 (2009), ICT-beveiligingsplan versie 2.3 (2010),

Continuïteitsplan versie 2.2 (2012), een Uitwijkplan GBA en BAG 2.4 (2012)


Het ICT-beveiligingsbeleid (versie 2.1) is door het College vastgesteld op 18 augustus 2009. Het

geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het college worden behandeld.

Het ICT-beveiligingsbeleid legt de uitgangspunten en doelstellingen voor de ICT-beveiliging van de

gemeente Roermond vast. Tevens wordt de relatie met andere aspecten van beveiliging

geïdentificeerd en hun wederzijdse afhankelijkheid. Het ICT-beveiligingsbeleid vormt het

uitgangspunt voor het ICT-beveiligingsplan van de gemeente Roermond. Het doel van het ICT-

beveiligingsbeleid is het waarborgen van de verschillende elementen van beveiliging, zijnde

vertrouwelijkheid, integriteit en beschikbaarheid, binnen de processen en de informatiesystemen

die deze processen ondersteunen dan wel uitvoeren.

Voor het ICT-beveiligingsbeleid is de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007

(editie november 2007) als uitgangspunt en richtlijn gehanteerd. Daarnaast is relevante wet- en

regelgeving in acht genomen (zie bijlage E). Het beleid beschrijft de verschillende aspecten die bij

Informatiebeveiliging een rol spelen en de eisen die daaraan gesteld worden. Het

beleidsdocument geldt als richtinggevend voor:

• De inrichting van de organisatie van de ICT-beveiligingsfunctie

• De verantwoordelijkheden en bevoegdheden inzake ICT- beveiliging

• De aanpak en inrichting van het beveiligingsplan

• De registratie van incidenten

• De aanpak en realisering van de bewustwording

ICT-beveiligingsplan

Het ICT-beveiligingsplan (versie 2.3) is vastgesteld door het College op 25 januari 2010.

Dit plan is een nadere uitwerking van het ICT-beveiligingsbeleid. In het plan zijn de

verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging vastgelegd.

Continuïteitsplan

Het Continuïteitsplan (versie 2.2) is vastgesteld door het MT in maart 2012.




Hierin zijn de taken, verantwoordelijkheden en bevoegdheden vastgelegd die noodzakelijk zijn bij

grootschalige uitval van ICT en/of elektriciteit. Het plan bestaat uit twee delen. Het eerste deel

gaat in op het opstarten van de crisisorganisatie bij uitval van ICT en elektriciteit. Het tweede deel

gaat in op het continueren van de kernactiviteiten van de organisatie. In het plan zijn taken, te

nemen maatregelen, benodigde applicaties en werkplekken, en prioriteiten beschreven.

Uitwijkplan GBA en BAG

Het Uitwijkplan GBA en BAG Roermond (versie 2.4) dateert uit januari 2012. Dit is op 10 januari

2012 vastgesteld door het hoofd Publiekszaken, het hoofd Facilitaire Zaken en de Adviseur

Centrale Gegevensvoorziening. Het is (nog) niet vastgesteld door het College of MT.

Dit plan bevat de procedure, taken, verantwoordelijkheden en bevoegdheden in het geval dat de

uitvoering van de GBA/BAG langdurig verstoord wordt door calamiteiten, waardoor uitgeweken

moet worden naar de uitwijklocatie om de continuïteit te garanderen. De gemeente Roermond

beschikt over een uitgebreide uitwijkfaciliteit, waar de gehele relevante IT infrastructuur

beschikbaar is in het geval van een ernstige calamiteit. De uitwijklocatie beschikt over een

volledige 'kopie' van de noodzakelijke faciliteiten op het stadhuis. Het uitwijkplan GBA en BAG is

een wettelijke verplichting.

UITDRAGEN VAN HET INFORMATIEBEVEILIGINGSBELEID,

Relevante documentatie: ICT-beveiligingsbeleid en ICT-beveiligingsplan

ICT-beveiligingsbeleid en ICT-beveiligingsplan

Het ICT-beveiligingsbeleid en het ICT-beveiligingsplan bevatten hoofdstukken over

beveiligingsbewustzijn en borging. Hierin is aandacht voor de informatie aan (nieuwe)

medewerkers, scholing voor beheerders, melden van incidenten en sancties bij overtredingen.

TOEGANGSBEHEER, TOETSING EN MONITORING VAN DE BEVEILIGING, EN INCIDENTENPROCEDURE

Relevante documentatie: ICT-beveiligingsbeleid, Management letter interim-controle 2011


Het ICT-beveiligingsbeleid bevat een paragraaf over het logisch toegangsbeheer. Hierin zijn de

uitgangspunten beschreven voor de formele procedure voor het registreren en afmelden van

gebruikers van de ICT-faciliteiten. Daarnaast beschrijft de paragraaf de wijze waarop de

autorisaties worden beheerd en gecontroleerd. Het beleid voorziet erin dat de ICT-

beheerorganisatie het lijnmanagement jaarlijks de geldigheid en rechtmatigheid van de verleende

gebruikersidentificaties, toegangsrechten en bevoegdheden op besturingssystemen laat

controleren, dat het applicatiebeheer hetzelfde doet voor de haar toevertrouwde applicaties, en

dat deze maatregelen in periodieke onafhankelijke audits worden getoetst.

Het ICT-beveiligingsbeleid bevat tevens een hoofdstuk waarin het risicomanagementproces binnen

de gemeente Roermond is beschreven. Dit voorziet erin dat voor elk bedrijfsproces en

informatiesysteem een risicoanalyse wordt uitgevoerd. De resultaten worden vastgelegd in het




Informatiebeveiligingsplan. Het beleid voorziet in monitoring door geautoriseerde medewerkers,

en een jaarlijkse onafhankelijke audit namens het College van B&W. Het beleid voorziet ook in een

incidentenprocedure voor melding en rapportage, die is opgenomen in het ICT-beveiligingsplan.

Het lijnmanagement van de directie Middelen rapporteert jaarlijks aan de Directeur over de aard,

omvang en afhandeling van incidenten.

Management letter Interim controle 2011

De Management Letter bij de Interim Controle 2011 is opgesteld door Ernst&Young. Deze is op 25

november 2011 verzonden aan het College.

In de management letter wordt ingegaan op diverse beveiligingsaspecten die in de ogen van

Ernst&Young aandacht behoeven:

Een procedure voor logische toegangsbeveiliging ontbreekt. Gebruikersaccounts voor het netwerk

worden aangemaakt op formeel verzoek van leidinggevenden. Echter gebruikersaccounts voor

applicaties worden aangemaakt op informele verzoeken van leidinggevenden.

Het wachtwoordbeheer van een applicatie (Decade) is niet in orde.

Er is geen procedure aanwezig waarin het wijzigingsbeheer is omschreven. Niet voor alle

wijzigingen in applicaties worden testwerkzaamheden verricht en gedocumenteerd alvorens de

wijziging in productie te nemen. Daarnaast signaleert Ernst&Young dat niet in alle gevallen een

vastlegging beschikbaar is van de goedkeuring van de eindverantwoordelijke om wijzigingen door

te voeren in de productieomgeving.

Naar aanleiding hiervan zijn op 23 januari 2012 de wachtwoordinstellingen voor Decade

aangepast. De overige opmerkingen zijn binnen de organisatie opgepakt en de genoemde

procedures worden in het 3e of 4

e kwartaal 2012 opgesteld en ingevoerd.

ONTWIKKELING EN ONTWERP VAN SYSTEMEN, EISEN BIJ UITBESTEDING

Relevante documentatie: ICT-beveiligingsbeleid, ICT-beveiligingsplan, Management Letter

Interim Controle 2011


In het ICT-beveiligingsbeleid wordt aandacht besteed aan de eisen ten aanzien van de uitbesteding

en ontwikkeling van software, en de acceptatie van hardware en software. Deze voorzien onder

andere in het maken van risico-inschattingen en het uitvoeren van testen. Deze worden verder

uitgewerkt in het ICT-beveiligingsplan.

Management letter Interim controle 2011

In de Management Letter van 25 november 2011 wordt ingegaan op diverse beveiligingsaspecten

die in de ogen van Ernst&Young aandacht behoeven, o.a. m.b.t. het wijzigingsbeheer:

Er is geen procedure aanwezig waarin het wijzigingsbeheer is omschreven. Niet voor alle

wijzigingen in applicaties worden testwerkzaamheden verricht en gedocumenteerd alvorens de

wijziging in productie te nemen. Daarnaast signaleert Ernst&Young dat niet in alle gevallen een

vastlegging beschikbaar is van de goedkeuring van de eindverantwoordelijke om wijzigingen door




te voeren in de productieomgeving. (zie ook hierboven onder 'Toegangsbeheer, toetsing en

monitoring van de beveiliging, en incidentenprocedure').


In de interviews zijn de onderzoekers alleen ingegaan op de enkele specifiek onderdelen van het

beveiligingsbeleid ter toetsing. Hierin komen niet alle onderdelen uit de vorige paragraaf terug,

omdat daar geen nadere toelichting op nodig was.

INFORMATIEBEVEILIGINGSBELEID EN DE ROL VAN RAAD

Er zijn tot nu toe geen concrete aanleidingen/signalen voor de Raad om zich te bemoeien met het

informatiebeleid. Media-aandacht voor recente incidenten elders, zoals Lektober (beveiliging ICT

bij gemeenten) en de financiële overschrijdingen bij ICT-projecten, hebben niet geleid tot vragen

van de Raad omdat Roermond bij deze incidenten niet betrokken was.

Binnenkort wordt een geactualiseerde versie van het ICT-beveiligingsbeleid aangeboden ter

goedkeuring aan het College. In deze geactualiseerde versie zijn onder andere veranderingen op

het gebied van wet- en regelgeving meegenomen.

TOEGANGSBEHEER, TOETSING EN MONITORING VAN DE BEVEILIGING, EN INCIDENTENPROCEDURE

Het ICT-beveiligingsbeleid wordt jaarlijks getoetst (ook op koppelingen). In het kader van de GBA is

de gemeente Roermond verplicht vijfjaarlijks een GBA-audit uit te laten voeren. De gemeente

beschikt over deze GBA audit rapportage. Het uitwijkplan (GBA, BAG) wordt jaarlijks getest.

Uitwijkfaciliteiten zijn intern ingericht op gescheiden locaties. De locaties zijn identieke kopieën

van elkaar. De twee datacenters zijn gesitueerd in het Stadhuis en het Stadskantoor.

Tweejaarlijks vinden er risicoanalyses plaats op kritische bedrijfsprocessen en de daarbij

behorende informatiesystemen. Security scans (en penetratietesten) worden periodiek

uitgevoerd. De gemeente Roermond beschikt niet over intrusion detection (continue monitoring

van pogingen tot hacking).

In 2009 en 2010 hebben de jaarlijkse audits op de ICT-beveiliging plaats gevonden. De audit voor

2011 heeft deels plaatsgevonden in 2011 en wordt deels in 2012 uitgevoerd. De reden hiervoor

was dat het i.v.m. de verhuizing niet mogelijk was de audit geheel in 2011 te voltooien.

Jaarlijks wordt er samenvattend gerapporteerd over incidenten aan het afdelingshoofd FZ en aan

het College van B&W. Incidenten worden intern besproken, er vindt geen inhoudelijke rapportage

plaats.

Meldingen van incidenten m.b.t. beveiliging worden behandeld door de 1e lijn (twee

medewerkers) en daar waar nodig toegewezen aan het team Huisvesting & Services, de I-

adviseurs, de 2e en 3

e lijns ICT medewerkers, projectleider ICT en teamleider ICT.




Prioriteit op gebied van Informatiebeveiliging ligt bij het herschrijven van het uitwijkplan GBA en

BAG n.a.v. de recente verhuizing naar het nieuwe Stadskantoor waar nu het 2e datacenter in

gevestigd is.

4.3.4 Bevindingen uit de benchmark:

De benchmark gaat alleen in op de betrokkenheid van de Raad bij beveiligingsbeleid.

Alle deelnemende gemeenten doen systematisch aan risicomanagement. Alleen grote risico’s

worden gemeld aan de Raad, zij het soms op een zeer hoog abstractieniveau. Waar het gaat om

exploitatie en beveiliging, is er geen enkele benchmarkgemeente die daarover op reguliere basis

rapporteert aan de Raad, alleen bij incidenten.



richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving

en dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot

voor privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers.

De gemeente Roermond beschikt over een ICT-beveiligingsbeleid, dat overeenstemt met het hier

bedoelde ICT-beveiligingsbeleid. Het ICT-beveiligingsbeleid van de gemeente Roermond is

gebaseerd op de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007 (editie november 2007)

en op gerelateerde wet- en regelgeving. In de geactualiseerde versie die binnenkort wordt

voorgelegd aan het College worden relevante wetswijzigingen meegenomen. Het ICT-

beveiligingsbeleid bevat de vastlegging van verantwoordelijkheden en bevoegdheden met

betrekking tot privacybescherming en informatiebeveiliging. Het beleid is verder uitgewerkt in een

ICT-beveiligingsplan, continuïteitsplan en uitwijkplan GBA/BAG.

De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie

beschikbaar.

Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad

vastgesteld.

Het beleid voor ICT-beveiligingsbeleid van de gemeente Roermond is vastgesteld door het College,

niet door de Raad. Dit geldt ook voor het gerelateerde ICT-beveiligingsplan, Continuïteitsplan en

Uitwijkplan GBA en BAG.

De situatie in Roermond wijkt hiermee af van de norm. Hierover is geen benchmarkinformatie

beschikbaar.

Aanbeveling

Het verdient aanbeveling om de betrokkenheid van de Raad bij het ICT-beveiligingsbeleid te

vergroten, dan wel tenminste te informeren over de wijze waarop de gemeente haar beveiliging




heeft geregeld. Dit gezien het toenemende belang van informatievoorziening voor de continuïteit

van de organisatie, en de toenemende dreigingen op het gebied van cybercriminaliteit, en hacking.

Grotere betrokkenheid zal ook leiden tot bewustwording bij de Raad op dit vlak.

Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen

in de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in


In het ICT-beveiligingsbeleid en ICT-beveiligingsplan besteedt de gemeente Roermond aandacht

aan de bewustwording en borging van het veiligheidsbewustzijn. Het is niet duidelijk geworden in

hoeverre dit ook actief gebeurt in de zin zoals hierboven bedoeld.

De situatie in Roermond wijkt hierin, in ieder geval in formele zin, niet af van de norm. Hierover is

geen benchmarkinformatie beschikbaar.

Aanbeveling

Om dezelfde reden als bij norm 2 verdient het aanbeveling, om medewerkers periodiek te

informeren en betrekken bij beveiligingsbeleid en hen ook te informeren als er zich ernstige

incidenten hebben voorgedaan. Dit om het veiligheidsbewustzijn te vergroten en te onderhouden.




elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten

heeft.

Het beleid voorziet in periodieke toetsing van de gebruikersregistraties. De Management Letter

Interim Controle 2011 constateert echter enige tekortkomingen in het toegangsbeheer met

betrekking tot de applicaties. Hierop is actie ondernomen, en enkele acties staan in de planning.

Het applicatiebeheer is nog grotendeels decentraal georganiseerd in Roermond. Roermond heeft

de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de

stuurbaarheid m.b.t. beveiligingsbeleid verbeteren. Daarnaast heeft

Het beleid in Roermond voldoet aan de norm. De Management Letter Controle 2011 laat zien dat

het belangrijk is om alert te blijven op een strikte uitvoering in deze. Tegelijkertijd laat de reactie

van de organisatie op de constateringen uit de Management Letter Controle 2011 zien dat zij in

staat is om adequaat te reageren. Hierover is geen benchmarkinformatie beschikbaar.

Aanbeveling

Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICT-

beveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College.






Het ICT-beveiligingsbeleid voorziet in een jaarlijkse audit namens het College. Deze audit wordt

ook uitgevoerd, zij het dat de audit van 2011 gespreid is over 2011 en 2012 i.v.m. de verhuizing.

De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar.


verkeer en indringers kunnen worden gedetecteerd. Rapportage hierover vindt plaats via de


Het ICT-beveiligingsbeleid voorziet in periodieke toetsing en monitoring van de afscherming van

systemen. Hierover wordt eens per jaar samenvattend gerapporteerd aan het College.

De situatie in Roermond wijkt hierin af van de norm. In de zin dat slechts één keer per jaar wordt

gerapporteerd aan het College.

Aanbeveling

Het verdient aanbeveling om via de rapportagecyclus van de dienstverleningsovereenkomsten te

rapporteren over incidenten.

Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie

en privacy te detecteren en er is een organisatie om die te behandelen.

Het ICT-beveiligingsbeleid in een calamiteitenprocedure bij beveiligingsincidenten. Hier is ook een

organisatie voor aanwezig met als eerste aanspreekpunt de helpdesk.


beschikbaar.

Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de

risico's geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden

afspraken gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van

de beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en


incidenten; de bewerkerovereenkomsten in het kader van de wettelijke verplichtingen voor

privacybescherming.

Het ICT-beveiligingsbeleid voorziet in het borgen van de beveiliging bij uitbesteding en

ontwikkeling van software, de acceptatie van hardware en software en het maken van afspraken

met leveranciers. De Management Letter Interim Controle 2011 constateert echter enige

tekortkomingen in het wijzigingsbeheer van de applicaties. Testen worden niet altijd uitgevoerd,

en soms ontbreekt de vastlegging van de goedkeuring van de eindverantwoordelijke om een

applicatie in productie te nemen. Hierop is actie ondernomen, en enkele acties staan in de

planning. Roermond heeft daarnaast de beweging in gang gezet om het applicatiebeheer te

centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren.




Het beleid in Roermond voldoet aan de norm, echter in de uitvoering schiet de organisatie nog

tekort. Hierover is geen benchmarkinformatie beschikbaar.

Aanbeveling






4.4 Cluster 2c: Besturing en organisatie van de projecten

Dit cluster heeft betrekking op de besturing van de informatievoorzieningen ICT-projecten.

4.4.1 Omschrijving

Projecten en programma's worden door de ambtelijke organisatie beheerst volgens algemeen

geaccepteerde principes voor project en programma management. Daarbij valt te denken aan

methoden als MSP (Managing Successful Programs), Prince II (Projects IN Controlled

Environment), of vergelijkbare methoden. Er is kennis in de organisatie van belangrijke rapporten

binnen de overheid op het gebied van het beheersen van risico's van grote ICT-projecten, zoals het

Rekenkamerrapport 'Lessen uit ICT-projecten bij de overheid' en de zogenaamde 'Gateway

reviews' die het Rijk heeft laten uitvoeren naar grote ICT-projecten. Deze kennis wordt ook benut

in de planning en organisatie van grote projecten.

NORMENKADER

Norm 1: Projecten zijn zowel op opdrachtgevend als uitvoerend niveau verankerd in de

organisatie: de (ambtelijke) opdrachtgeverrol en opdrachtnemerrol zijn gedefinieerd, in de

opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn vanuit

hun functie bevoegd tot het uitvoeren van de opdrachtgeverrol, c.q. opdrachtnemerrol.

Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur op

basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in beeld zijn

gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de organisatie

betrokken.

Norm 3: De uiteindelijke oplossingsrichting via een project sluit aan op de beleidskaders van de

gemeente. Het principe daarbij is: Pas-toe-of-verklaar.

Norm 4: Binnen de gemeente wordt een vaste methodiek voor de planning, uitvoering en

beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op de

standaarden van de organisatie en Quality control is binnen het project ingericht.

Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in herkenbare

termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct

verbetervoorstellen gedaan, dan wel beheersmaatregelen in gang gezet.

Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote projecten

rapporteert het College de grote risico's aan de Raad.





PROJECTVERANTWOORDELIJKHEDEN EN ROLVERDELING


powerpoint sheets Project Start-Up (2011), Projectplannen Accelleratie Excellente

Dienstverlening, projectimplementatie Dimpact




De notitie geeft een overzicht van de uitgangspunten en randvoorwaarden voor het










Project Start-Up (2011)

Deze presentatie geeft een introductie in projectmanagement. Zij besteedt gaat met name in op

de operationele kant ervan, niet aan rollen en verantwoordelijkheden.

Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact

In de projectplannen die de onderzoekers hebben ingezien, het onderzoek 'Acceleratie Excellente

Dienstverlening' en het projectimplementatieplan Dimpact, treedt het MT op als opdrachtgever,

en zijn de (deel)projectleidersrollen toegewezen, zonder uitgebreid in te gaan op

verantwoordelijkheden en bevoegdheden. De rollen van medewerkers in de organisatie die

bijdragen aan het project zijn eveneens benoemd en voorzien van kwantificering van hun inzet.

BESLUITVORMING


Overzicht drempelbedragen.

Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Zie de beschrijving hierboven onder het kopje 'Projectverantwoordelijkheden en rolverdeling'. In

de notitie wordt ook aandacht besteed aan de afwegingscriteria.




Samenvattend overzicht drempelbedragen

Niveau van besluitvorming: onbekend.

Daar waar het gaat om projecten die investeringen vergen, en/of contracten met leveranciers,

gelden de drempelbedragen voor besluitvorming. Tot €50.000,- is de beslisser het

College/mandaat sectordirecteur. Tussen de €50.000,- en €200.000,- is de beslisser het

College/mandaat portefeuillehouder en akkoord plaatsvervangend portefeuillehouder. Boven de

€200.000,- beslist het College.

De samenvatting van de drempelbedragen is gebaseerd op de notitie Aanbestedingsbeleid bij

laagconjunctuur die het College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de

gewijzigde bedragen geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en

eveneens zijn vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een


Bij de projectplannen die de onderzoekers hebben ingezien, vond de besluitvorming plaats door

het management team. Het besluit om toe te treden tot Dimpact was goedgekeurd door de Raad.

AANSLUITING OP BELEIDSKADERS

Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten


dit document en het bijbehorende format voor projectafweging wordt de opstellers van

projectvoorstellen expliciet gevraagd naar hoe het project zich verhoudt tot relevante

beleidskaders.

PROJECTMETHODIEK

Relevante documenten: powerpoint sheets Project Start-Up (2011)


Roermond maakt gebruik van een projectmethodiek van het externe bureau AMI. De

documentatie die hierover beschikbaar is bevat een format voor een 'Project start-up'. Zij bevat

vooral aandacht voor de opzet van het projectplan. Er is geen/nauwelijks aandacht voor de

governance van projecten.

RISICOBEHEERSING


powerpoint sheets Project Start-Up (2011), Projectplannen Accelleratie Excellente

Dienstverlening, projectimplementatie Dimpact


dit document en het bijbehorende format voor projectafweging wordt geen expliciete aandacht

besteed aan risicobeheersing.





In de presentatie over Project Start Up wordt risicoanalyse wel genoemd maar niet uitgewerkt.

Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact

In de projectplannen die de onderzoekers hebben ingezien zijn risicoanalyses gemaakt en

beheersmaatregelen benoemd.

RAPPORTAGE AAN DE RAAD

Relevante documenten: er zijn relevante geen rapportages beschikbaar, er wordt niet op

projectniveau gerapporteerd aan de Raad.



Het management team monitort het programmaplan excellente dienstverlening, de vervangings-

projecten en soms (afhankelijk van de omvang) ook sectorspecifieke projecten.

Informatievoorziening/ICT-projecten zijn geen vast agendapunt voor het management team.

Het opdrachtgeverschap wordt voor sectoroverstijgende projecten ingevuld door het management

team, voor sectorspecifieke projecten ligt het opdrachtgeverschap bij de betreffende sector.

Vervangingsprojecten worden soms binnen een sector uitgevoerd maar zijn vaak

sectoroverstijgend waardoor het managementteam dan als opdrachtgever optreedt.

De projectleidersrollen voor vervangingsprojecten en sectorspecifieke projecten worden vanuit de

sector ingevuld. Als een project betrekking heeft op meerdere sectoren, treedt het

managementteam op als opdrachtgever met één van de sectordirecteuren als trekker. Voor het

Programma Excellente Dienstverlening ligt het opdrachtgeverschap bij het management team, er

is een programmamanager die als opdrachtnemer fungeert en de uitvoering coördineert. Deze

programmamanager doet voorstellen voor projecten aan het management team. Het

managementteam neemt vervolgens een beslissing en bepaalt waar het opdrachtgeverschap komt

te liggen. De projectleidersrollen voor de projecten uit dit Programma Excellente Dienstverlening

worden met name door de I-adviseurs ingevuld. Deze projectleiders rapporteren aan de

programmamanager die op zijn beurt verantwoording aflegt aan het management team en aan de

stuurgroep excellente dienstverlening. Deze stuurgroep bestaat uit de verantwoordelijk

wethouder, een vertegenwoordiging van het management team en de OR.

BESLUITVORMING

De gemeente Roermond beschikt niet standaard over een business case bij de opstart van elk

project. Afhankelijk van de projectzwaarte wordt een business case opgesteld. Er is hiervoor geen

specifieke norm gesteld bij welke projectomvang wel/niet een business case moet worden

uitgewerkt. In de praktijk gebeurt dit alleen bij de hele grote projecten zoals het Dimpact project




en het lopende onderzoeksproject rondom de samenwerking met Venlo en Weert (gezamenlijke

technische infrastructuur met twee rekencentra: in Roermond en in Venlo).

De besluitvorming over de gunning in aanbestedingstrajecten is afhankelijk van de geraamde

aanbestedingssom. Afhankelijk van deze som is de beslisser: 1) College van B&W mandaat

sectordirecteur of 2) College van B&W mandaat portefeuillehouder en akkoord plaatsvervangend

portefeuillehouder of 3) College van B&W. Besluitvorming in deze trajecten door het College is het

hoogste. De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom de ICT

projecten.

De Raad is niet betrokken geweest bij het Programma Excellente Dienstverlening, de opdracht

voor dit programma vloeit voort uit de strategische visie van Roermond 2020.

Per project wordt een budget vastgesteld, dit wordt een jaar vooruit gepland. Dit betekent dus dat

het budget voor de gehele projectenportfolio voor het komende jaar reeds in beeld is. Bij

vervangingsprojecten wordt 4 jaar vooruit gekeken. De informatievoorziening/ICT projectkosten

worden vooral centraal gebudgetteerd.


Excellente dienstverlening is de kapstok voor het bepalen van programma’s en projecten.

Hiernaast zijn er ook de landelijke programma’s (zoals Antwoord, GEMMA en NORA) die een

kapstok vormen voor het bepalen welke bedrijfsvoeringprojecten in welke jaarschijven gepland

worden.

Daarnaast zijn er nog de diverse vervangingsprojecten. De I-adviseurs inventariseren de

informatievoorzieningen ICT-behoeften bij de diverse sectoren. Deze afstemmingen hebben

vooral betrekking op beheersmatige onderwerpen en minder op nieuwe sectorontwikkelingen

(behalve veranderingen in wet- en regelgeving). De vervangingsprojecten vormen geen onderdeel

van het Programma Excellente Dienstverlening. De lijst van bedrijfsvoeringprojecten wordt

uiteindelijk door het management team bepaald.

PROJECTMETHODIEK

Als projectmethodiek hanteert Roermond een methodiek van een extern bureau - AMI - die

afgeleid is van Prince2. De projectmethodiek die gehanteerd wordt voor de projecten die

betrekking hebben op de technische ICT infrastructuur, is vaak afhankelijk van de

leveranciersmethodiek. Deze projecten worden zowel intern als in samenspraak met leveranciers

geëvalueerd. Projectdossiers worden volledig opgeslagen in het DMS.

Informatievoorziening/ICT projectkosten zijn vooral centraal gebudgetteerd. Projecten die te

maken hebben met de technische ICT infrastructuur en een budget van 50.000 te boven gaan,

vallen onder de besluitvorming van het College (de Raad wordt niet betrokken bij deze projecten).




RISICOBEHEERSING

Het zwaartepunt van de Roermondse projectmethodiek ligt bij de Project start-up (PSU) waarbij

het projectteam in een werkconferentie van één of twee dagen het projectplan definieert, een

omgevingsanalyse en een risicoanalyse uitvoert en beheersmaatregelen benoemt.

De procesmatige en communicatieve onderdelen van het projectenmanagement laat te wensen

over. Een voorbeeld is het Programma Excellente Dienstverlening dat bij de gehele organisatie

bekend was maar waarbij slechts enkele afdelingen in beeld hadden wat dit voor de betreffende

afdeling betekende. Gaandeweg verloopt dit nu beter. Dit neemt niet weg dat de communicatie

rondom projecten een aandachtspunt is. Een ander voorbeeld is dat de scope van de

projectbezetting soms beperkt is tot vooral inhoudelijke onderwerpen waardoor onderwerpen

soms te lang binnen een projectgroep blijft hangen. Het management team zou eigenlijk eerder in

positie moet worden gebracht om knopen door te hakken of besluiten te nemen. Het

management team zelf zou nog consequenter haar opdrachten kunnen verlenen en daarmee

zichzelf in een positie brengen om pro-actiever besluiten te kunnen nemen.


Afgelopen jaren zijn er geen grote projectoverschrijdingen in Roermond. De overschrijdingen die

er zijn, hebben te maken met de inzet van mensen en zijn niet van budgettaire aard.

4.4.4 Bevindingen uit de benchmark


Bijna alle benchmarkgemeenten (op één na) geven aan dat het opdrachtgeverschap van projecten

vrijwel altijd in de lijn ligt. Bij deze gemeenten vallen alleen grote, meer infrastructurele projecten

onder de verantwoordelijkheid van de afdeling ICT of informatie.

Ten aanzien van de projectuitvoering is het beeld ambivalent: bij sommige gemeenten ligt de

uitvoering overwegend in de lijn, bij andere gemeenten bij de ICT-afdeling. Veel

benchmarkgemeenten die deze verantwoordelijkheid wel in de lijn beleggen, beschikken over een

pool van projectleiders bij de I&A afdeling die ingehuurd kunnen worden door de lijn.

BESLUITVORMING

Alle benchmarkgemeenten werken met business cases. Enkele gemeenten doen dit structureel

voor alle projecten. De meeste gemeenten doen dit voor alleen de grote projecten.


Bij alle benchmarkgemeenten zijn vooral de landelijke programma’s een uitgangspunt voor de

projectenportfolio. Daarnaast wordt bij elk van de benchmarkgemeenten geïnventariseerd wat

vanuit de lijn behoeften zijn op het gebied van informatievoorziening en ICT. Dit ligt voornamelijk

op het niveau van vervangingsinvesteringen of verplichtingen als gevolg van veranderende wet- en

regelgeving. Een meer strategische analyse waarin vanuit gemeentelijke doelstellingen




(bijvoorbeeld gemeentelijk beleid op sociaal/maatschappelijk vlak) een vertaalslag wordt gemaakt

naar informatievoorziening- of ICT projecten ontbreekt meestal.

PROJECTMETHODIEK

Alle benchmarkgemeenten hanteren de projectmanagement methodiek Prince2 of een daarvan

afgeleide methodiek. Met betrekking tot het inzicht in grote projecten is het beeld gemengd.

Verder meldt één gemeente een overschrijding van meer dan 50% op één groot projectencluster.

Twee andere gemeenten geven aan dat de overschrijding niet zo zeer plaats vindt in geld, maar

melden wel overschrijdingen van meer dan 25% en 50% op enkele grote projecten. De andere

benchmarkgemeenten geven aan geen actueel overzicht te hebben.

RISICOBEHEERSING

Alle benchmarkgemeenten geven aan dat risicomanagement een wezenlijk onderdeel vormt van

alle projecten. Afhankelijk van de omvang van een project wordt hier in meer of mindere mate

aandacht aan gegeven. De teneur lijkt dat dit aandachtsveld de afgelopen jaren een toenemende

belangstelling heeft gekregen.



omvangrijke projecten.




omvangrijke projecten. Over de gangbare projecten wordt bij geen enkele benchmarkgemeente

afzonderlijk gerapporteerd aan de Raad.




opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn

vanuit hun functie bevoegd tot het uitvoeren van de opdrachtgeversrol, c.q. opdrachtnemerrol.

De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook

niet af van de situatie bij de benchmarkgemeenten.

Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur

op basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in

beeld zijn gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de

organisatie betrokken.

Het uitwerken van business case gebeurt alleen bij de hele grote projecten.




De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt ook af van enkele

benchmarkgemeenten die wel structureel met business cases werken. De meeste

benchmarkgemeenten doen dit echter net als Roermond alleen bij de grote projecten.

Aanbeveling


waarbij altijd een business case gemaakt moet worden. Op die manier kunnen beter

onderbouwde afwegingen gemaakt worden ten aanzien van investeringen en in de besluitvorming

rond projecten. In het algemeen is het goed om medewerkers vertrouwd te maken met het maken

van (globale) business cases voor projecten.




niet af van de situatie in de meeste benchmarkgemeenten.


beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op

de standaarden van de organisatie en Quality Control is binnen het project ingericht.

De gemeente hanteert een vaste projectmethodiek die aansluit op de standaarden van de

organisatie.

De situatie in Roermond wijkt hierin niet af van de norm. Deze wijkt ook niet af van de situatie in


Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in

herkenbare termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct


In de projectmethodiek die de onderzoekers hebben ingezien (de AMI-methode) wordt summier

aandacht besteed aan een risicoanalyse én beheersmaatregelen. In de technische ICT projecten is

een risicoanalyse altijd een standaard onderdeel van het project implementatie document. Bij de

grote projecten die de onderzoekers hebben ingezien zijn dergelijke risicoanalyses en

beheersmaatregelen ook gemaakt en benoemd.

Met betrekking tot de risicoanalyse en het benoemen van beheersmaatregelen wijkt de formele

situatie in Roermond af van de norm, maar de praktijksituatie niet. Deze situatie wijkt af van de

situatie in de meeste benchmarkgemeenten die gebruik maken van PRINCE2 als projectmethodiek

waarin veel aandacht is voor risicoanalyses en beheersmaatregelen.

Aanbeveling




Het verdient aanbeveling om de formele situatie in dit geval meer in overeenstemming te brengen

met de praktijk zoals hierboven beschreven.

Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote

projecten rapporteert het College de grote risico's aan de Raad.

De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. In de

gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook

niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn.






Aanbeveling


en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden.




4.5 Cluster 3: Beheer en exploitatie van de informatievoorziening

Dit cluster heeft betrekking op de manier waarop de informatievoorziening wordt beheerd en

gemanaged.

4.5.1 Omschrijving

Op ambtelijk niveau worden de dagelijkse werkzaamheden rondom de informatievoorziening op

elkaar afgestemd, zoals het afhandelen van incidenten en het doorvoeren van wijzigingen in de

informatievoorziening en informatiesystemen, zodanig dat dit de continuïteit van de

bedrijfsprocessen optimaal ondersteunt.

Normenkader

Norm 1: Er is een helpdesk die gebruikers ondersteunt in het dagelijks gebruik van systemen (w.o.

voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van

dienstverlening door de helpdesk zijn vastgelegd in dienstverleningsovereenkomsten tussen de

directie middelen en de lijnorganisatie.

Norm 2: Er is een norm vastgesteld voor de dagelijkse performance/beschikbaarheid van

systemen. Deze wordt gemonitord en bij afwijkingen bijgestuurd.

Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorziening/ICT diensten

beschikbaar.

Norm 4: Er is een expliciet vastgesteld sourcingbeleid en –strategie, de uitvoering hiervan wordt

gemanaged.


HELPDESK EN DIENSTVERLENINGSOVEREENKOMSTEN

Relevante documenten: Geen documentatie beschikbaar

De onderzoekers hebben geen documenten ingezien die betrekking hebben op beheerprocessen

en interne dienstverleningsovereenkomsten.

BESCHIKBAARHEID VAN SYSTEMEN

Relevante documenten: Lijst met applicaties (2011), Schaatsen op dun ijs, doorlichting van

organisatie en inrichting van gegevens- en applicatiebeheer van de gemeente Roermond (2010),

ICT beveiligingsbeleid (2009), ICT-beveiligingsplan (2010), Continuïteitsplan ICT en elektriciteit

gemeente Roermond (2012), Uitwijkplan Gemeentelijke BasisAdministraties en Basisregistraties

Adressen en Gebouwen (2012).




Lijst met applicaties

Eind 2011 is er een lijst opgesteld van beschikbare applicaties. Roermond blijkt te beschikken over

circa 235 softwarepakketten. Wijze van vaststelling is onbekend. Deze lijst is opgesteld in het kader

van het onderzoek 'Schaatsen op dun ijs' (zie hieronder).

Schaatsen op dun ijs

In de notitie ‘Schaatsen op dun ijs, doorlichting van organisatie en inrichting van gegevens- en

applicatiebeheer van de gemeente Roermond’ (29 augustus 2010, Assista Onderzoek en beleid)

wordt vastgesteld dat beleidsvisies en verbeterplannen ontbreken op het terrein van gegevens- en

applicatiebeheer. Het rapport doet verder als belangrijke bevinding dat vanuit doelmatigheid en

doeltreffendheid een centralisatie van het gegevens- en applicatiebeheer gewenst is. Op 15

februari 2012 heeft het MT het projectplan 'Centralisatie van gegevens- en applicatiebeheer'

opgestart goedgekeurd. Dit project beoogt invulling te geven aan de aanbevelingen uit 'Schaatsen

op dun ijs'.

ICT beveiligingsbeleid

Het ICT-beveiligingsbeleid (versie 2.1) is door het College vastgesteld op 18 augustus 2009.

Het ICT-beveiligingsbeleid legt de uitgangspunten en doelstellingen voor de ICT-beveiliging van de

gemeente Roermond vast.

In het ICT-beveiligingsbeleid wordt aandacht besteed aan de bescherming ten aanzien van externe

dreigingen. Daarnaast besteedt het beleid aandacht aan de eisen ten aanzien van leveranciers en

ontwikkelaars van hardware en software en voor het in gebruik nemen van nieuwe hard- en

software. Deze worden verder uitgewerkt in het ICT-beveiligingsplan.

ICT-beveiligingsplan

Het ICT-beveiligingsplan (versie 2.3) is vastgesteld door het College op 25 januari 2010.

Dit plan is een nadere uitwerking van het ICT-beveiligingsbeleid. In het plan zijn de

verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging vastgelegd.

Continuïteitsplan ICT en elektriciteit gemeente Roermond

Het Continuïteitsplan (versie 2.2) is vastgesteld door het MT in maart 2012.

Hierin zijn de taken, verantwoordelijkheden en bevoegdheden vastgelegd die noodzakelijk zijn bij

grootschalige uitval van ICT en/of elektriciteit. Het plan bestaat uit twee delen. Het eerste deel

gaat in op het opstarten van de crisisorganisatie bij uitval van ICT en elektriciteit. Het tweede deel

gaat in op het continueren van de kernactiviteiten van de organisatie. In het plan zijn taken, te

nemen maatregelen, benodigde applicaties en werkplekken, en prioriteiten beschreven.

Uitwijkplan Gemeentelijke BasisAdministraties en Basisregistraties Adressen en Gebouwen

Het Uitwijkplan GBA en BAG Roermond (versie 2.4) dateert uit januari 2012. Dit is op 10 januari

2012 vastgesteld door het hoofd Publiekszaken, het hoofd Facilitaire Zaken en de Adviseur

Centrale Gegevensvoorziening. Het is (nog) niet vastgesteld door het College of MT.




Dit plan bevat de procedure, taken, verantwoordelijkheden en bevoegdheden in het geval dat de

uitvoering van de GBA/BAG langdurig verstoord wordt door calamiteiten, waardoor uitgeweken

moet worden naar de uitwijklocatie om de continuïteit te garanderen. De gemeente Roermond

beschikt over een uitgebreide uitwijkfaciliteit waar de gehele relevante IT infrastructuur

beschikbaar is in het geval van een ernstige calamiteit. De uitwijklocatie beschikt over een

volledige 'kopie' van de noodzakelijke faciliteiten op het stadskantoor. Het uitwijkplan GBA en BAG

is een wettelijke verplichting.

BESCHIKBAARHEID PRODUCT DIENSTEN CATALOGUS

Relevante documenten: Product-dienstencatalogus voor burgers en bedrijven; Product-

dienstencatalogus intern (facilitair)

De eerste is beschikbaar via de internetsite van de Gemeente Roermond. De tweede is alleen via

intranet beschikbaar. De onderzoekers hebben deze niet in kunnen zien.

SOURCING

Relevante documenten: Contractenbeheer in de gemeente Roermond, Service Level Agreement

datatransport en toegevoegde waarde diensten Gemnet b.v., Projectplan Implementatie IP

Telefonie (2011), Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze

aannemer/leverancier/bureau (2012).

Behalve de eigen inkoopvoorwaarden is er geen documentatie over een vastgesteld sourcingbeleid

en/of –strategie. Er worden wel SLA’s afgesloten met leveranciers van de technische

infrastructuur, bijvoorbeeld met Gemnet b.v.

Contractenbeheer in de gemeente Roermond

Op 20-1-2010 en 5-8-2010 heeft het MT twee voorstellen geaccordeerd m.b.t. contractbeheer in

de gemeente Roermond. Het eerste betreft 'Contractenbeheer in de gemeente Roermond', het

tweede betreft het voorstel voor de ingebruikneming van Axxerion, een systeem dat het

contractenbeheer faciliteert.

Doel van het beleidsdocument 'Contractenbeheer in de gemeente Roermond', is om tot beter

contractbeheer te komen, zodat centraal beter inzicht bestaat in lopende en aflopende

contracten, ongewilde verlengingen worden voorkomen, beter gebruik kan worden gemaakt van

schaalvoordelen bij het aangaan van nieuwe enof te verlengen contracten.

Service Level Agreement datatransport en toegevoegde waarde diensten Gemnet b.v.

In deze SLA is de door Gemnet na te komen kwaliteit van dienstverlening vastgelegd. De kwaliteit

van dienstverlening komt tot uitdrukking in afspraken over beschikbaarheid, doorvoersnelheid,

responstijd, ondersteuning en veiligheid. De SLA geeft een beschrijving van de inhoud,

procesafspraken en het kwaliteitsniveau van de dienstverlening.

De Service Level Agreement is een bijlage van de Algemene Voorwaarden Gemnet

(Datacommunicatie en Toegevoegde Waarde Diensten). Bij de opdrachtverstrekking voor het




aansluiten op het Gemnet netwerk is de gemeente Roermond akkoord gegaan met deze Algemene

Voorwaarden inclusief bijlage SLA.

Het document is vanuit de gemeente niet ondertekend. Onduidelijk is wat de status is van dit

document.

Projectplan Implementatie IP Telefonie

Het implementatieplan IP telefonie illustreert dat er gedurende de voorbereiding van een project

veel wordt afgestemd en vastgelegd met de leverancier en dat taken en verantwoordelijkheden

helder zijn in de projectorganisatie. Verder laat het plan zien dat de gemeente Roermond door een

vertegenwoordiging in de stuurgroep stevig aan het roer zit zodat sturing kan worden gegeven aan

het project en daarmee aan de activiteiten van de leverancier.

De auteur van dit implementatieplan is de leverancier. De gemeente Roermond wordt geacht

formeel haar goedkeuring te geven aan het implementatieplan.

Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze aannemer/leverancier/bureau Niveau van besluitvorming: onbekend.

De gemeente hanteert drempelbedragen ten aanzien van de beslissingsbevoegdheid voor

aanbesteding van leveringen en diensten. Daarbij is ook aangegeven op welke wijze deze

aanbesteed moeten worden. Tot €50.000,- is de beslisser het College/mandaat sectordirecteur.

Tussen de €50.000,- en €200.000,- is de beslisser het College/mandaat portefeuillehouder en

akkoord plaatsvervangend portefeuillehouder. Boven de €200.000,- beslist het College. De Raad

wordt nooit inhoudelijk betrokken in de besluitvorming rondom de ICT projecten.

De drempelbedragen zijn gebaseerd op de notitie Aanbestedingsbeleid bij laagconjunctuur die het

College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de gewijzigde bedragen

geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en eveneens zijn

vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een




In 2009 is een scan uitgevoerd op de beheerprocessen. Momenteel is er een concept SLA

beschikbaar. De beheersprocessen (ITIL-processen) en de SLA moeten formeel nog worden

vastgesteld. Het configuratie management en het incidenten wijzigingsbeheer wordt

ondersteund door het softwarepakket Axxerion. Meldingen worden behandeld door 1e

lijnsmedewerkers en daar waar nodig toegewezen aan de I-adviseurs, de 2e en 3

e lijns ICT

medewerkers, projectleider ICT en teamleider ICT.

Het technisch applicatiebeheer is ondergebracht bij het team ICT en werkt nauw samen met het

functioneel beheer dat meestal in de lijn ligt.





Per systeem wordt over vijf jaar afgeschreven. Daarna wordt steeds gekeken of er wordt

overgegaan tot vervanging of tot een update. Door de toetreding tot Dimpact is de noodzaak voor

een groot aantal investeringen vervallen omdat de Gemeente Roermond door toetreding tot

Dimpact in een keer toegang kreeg tot de bedoelde voorzieningen. Het project Dimpact is

gefinancierd uit de hierdoor vrijvallende investeringen en extra middelen die door de Raad

beschikbaar waren gesteld in het kader van Excellente Dienstverlening. Gezien de uitdagingen die

er nog liggen op het gebied van informatievoorziening en ICT is de inschatting in de organisatie dat

er in de toekomst meer investeringen nodig zijn.

Er is een ICT-beveiligingsbeleid en –plan en een GBA audit rapportage. Jaarlijks wordt het ICT-

beveiligingsbeleid getoetst (ook op koppelingen).

Uitwijkfaciliteiten zijn intern ingericht op gescheiden locaties. De twee datacenters zijn gesitueerd

in het stadhuis en het stadskantoor. Elke locatie heeft 9 fysieke servers t.b.v. de virtuele

omgevingen en 1 fysieke server t.b.v. back-up. Op het stadhuis draaien 98 virtuele servers en op

het stadskantoor 97 virtuele servers. Het uitwijkplan GBA en BAG wordt jaarlijks getest. Dit plan

beschrijft de acties die ondernomen moeten worden als een calamiteit of verstoring optreedt

waardoor het voeren van de GBA en/of BAG langdurig verstoord wordt.

Begin 2012 is het ‘continuïteitsplan ICT en elektriciteit gemeente Roermond’ vastgesteld (op basis

van de richtlijnen van het ministerie van BZK). Security scans (en penetratietesten) worden

uitgevoerd. Tweejaarlijks vinden er risicoanalyses plaats op de kritische bedrijfsprocessen en de

daarbij behorende informatiesystemen.

BESCHIKBAARHEID PDC

Een producten/dienstengids is via het intranet beschikbaar voor de gebruikers.

SOURCING

Roermond heeft geen vastgesteld sourcingbeleid of expliciete sourcingstrategie. De gemeente

heeft geen documentatie over haar contractmanagement anders dan de eigen

inkoopvoorwaarden.

De gemeente wil outsourcen op het gebied van de back-office om de beheerlasten naar beneden

te brengen, hier wordt over besloten als zich mogelijkheden aandienen.

Roermond probeert kwetsbaarheid te reduceren en te anticiperen op IV/ICT ontwikkelingen door

samenwerking te zoeken zoals met Dimpact en de samenwerking met Venlo en Weert (op gebied

van de ICT infrastructuur). De keuze voor Dimpact is ondermeer gemaakt om het risico van ‘niet-

pratende-systemen’ op te lossen (hiermee worden risico’s gereduceerd van kosten ten aanzien

van koppelvlakken). De applicatiearchitectuur van Dimpact draait vanaf eind april 2012 buiten de

deur.

De huidige technische infrastructuur is via een leasecontract geregeld, dit levert een stabiel

financieel plaatje op.




Via het contractmanagement zijn alle contracten in beeld (wordt vastgelegd in het softwarepakket

Axxerion). Rapportages over het contractmanagement zijn mogelijk, bijvoorbeeld over het

contractverloop.

4.5.4 Bevindingen uit de benchmark


Alle benchmarkgemeenten gebruiken de methodiek ITIL om hun beheersprocessen vorm te geven.

Sommige gemeenten vullen dit aan met de methodieken ASL en BISL. Vijf van deze zes gemeenten

hebben een structurele afstemming met gebruikers over de performance en helpdesk

georganiseerd. Slechts één gemeente geeft aan dit nog niet goed op orde te hebben, zij is nog

bezig met de professionalisering hiervan. Één gemeente doet dat alleen voor enkele kritische

systemen.


Alle benchmarkgemeenten monitoren de exploitatie van de ICT systemen en stemmen daarover af

met de gebruikersorganisatie. Alle gemeenten maken gebruik van SLA's, bij de ene gemeente zijn

er meer dienstverleningsafspraken met de gebruikersorganisatie dan de andere gemeente. Één

gemeente heeft alleen SLA’s voor enkele kritische systemen.

Één van de zes benchmarkgemeenten rapporteert op regelmatige basis aan de Raad over

continuïteit van de systemen. De andere benchmarkgemeenten doen dit alleen bij incidenten.

Waar het gaat om exploitatie en beveiliging, is er geen enkele benchmarkgemeente die daarover

op reguliere basis rapporteert aan de Raad. Zij doen dit alleen bij incidenten.

BESCHIKBAARHEID PDC

Alle benchmarkgemeenten hebben een ICT producten/dienstencatalogus beschikbaar gesteld aan

hun gebruikersorganisatie.

SOURCING

Drie van de zes benchmarkgemeenten hebben een duidelijke uitbestedings- (sourcing-)strategie

met betrekking tot informatievoorziening en ICT: één vanuit de wens om een regiegemeente te

zijn, de andere twee als uitvloeisel van regionale samenwerking. Een andere benchmarkgemeente

onderzoekt momenteel wel zo'n strategie, o.a. in het licht van samenwerkingsverbanden.


Norm 1: Er is een helpdesk die gebruikers ondersteund in het dagelijks gebruik van systemen

(w.o. voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van






Roermond maakt gebruik van de internationaal geaccepteerde standaard ITIL voor de inrichting

van haar beheer processen. Deze zijn ingericht en worden ondersteund met een softwarepakket.

De documentatie rondom de beheerprocessen en betreffende dienstverleningsovereenkomsten is

nog in ontwikkeling en moet nog formeel worden vastgesteld.

Met betrekking tot de inrichting van de beheerprocessen wijkt Roermond niet af van de norm. Zij

wijkt hierin ook niet af van de benchmarkgemeenten die ook allemaal hun beheerprocessen

volgens ITIL hebben ingericht. De situatie wijkt wel af van de norm en van de situatie in de

benchmarkgemeenten waar het gaat om de formalisering van de beheerprocessen en de

bijbehorende dienstverleningsovereenkomsten.

Aanbeveling

Het verdient aanbeveling om zo spoedig mogelijk de afstemming met de gebruikersorganisatie te

komen tot formalisering van de beheerprocessen en de gerelateerde interne

dienstverleningsovereenkomsten (SLA's).



Uit de beschikbare informatie wordt niet duidelijk of er een expliciete norm is voor de

performance/beschikbaarheid van systemen. Wellicht is hier een en ander over opgenomen in het

nog vast te stellen SLA. Wat wel duidelijk is, is dat Roermond de beschikbaarheid van systemen

vanuit het oogpunt van informatiebeveiliging en uitwijk integraal georganiseerd heeft.

De (meeste) benchmarkgemeenten hebben interne dienstverleningsovereenkomsten waarin een

en ander is vastgelegd over de beschikbaarheid en de performance van de meest bedrijfskritische

applicaties

Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorzieningdiensten

beschikbaar.

Er is een producten/dienstencatalogus beschikbaar via het interne intranet ten behoeve van de

gebruikersorganisatie.

De situatie in de gemeente Roermond wijkt hierin niet af van de norm. Zij wijkt ook niet af van de

situatie bij de benchmarkgemeenten die allemaal ook een PDC beschikbaar hebben gesteld aan



gemanaged.














Aanbeveling








BIJLAGEN




A Conclusies en aanbevelingen op een rij

Conclusies en aanbevelingen Cluster 1


aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze

– is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente.

De inhoud van de I-visie 2011 relateert de behoefte aan informatievoorziening op herkenbare

wijze aan de beleidsdoelen en bedrijfsvoering van de gemeente. De afstemming op de (recente)

bezuinigingsdoelstellingen en taakstellingen is vooralsnog minder herkenbaar in de I-visie 2011.

Inhoudelijk komt de situatie in Roermond grotendeels overeen met de norm en met de situatie in

de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling de I-visie duidelijker te relateren aan de bezuinigingsdoelstellingen van de gemeente Roermond zowel met betrekking tot de bijdrage die inzet van informatievoorziening en ICT kan leveren aan bezuinigingen als aan de consequenties van bezuinigingen op informatievoorziening en ICT op de prioriteiten uit de I-visie.




De gemeente Roermond beschikt over een Kadernota ICT uit 2003. Daarnaast is met de quick scan

voor architectuur een aanzet gegeven tot het formuleren van een Roermondse

referentiearchitectuur, welke als kaderstellend kan worden gehanteerd.

In afwachting van die Roermondse architectuur hanteert de gemeente momenteel een door het

MT vastgestelde interne Checklist Informatiemanagement, en het Informatiebeveiligingbeleid

vastgesteld door het College. Daarnaast gaat van de samenwerking in Dimpact een kaderstellende

werking uit.

Inhoudelijk komt de situatie in Roermond hier niet geheel overeen met de norm. De situatie in

Roermond wijkt echter niet veel af van de benchmarkgemeenten. Deze zijn allen nog bezig met

het opstellen en implementeren van referentiearchitecturen. Wel bestaat de indruk dat Roermond

hiermee nog niet echt een begin heeft gemaakt en dus iets achterloopt.

Aanbeveling

Het verdient aanbeveling het opstellen van een referentiearchitectuur te versnellen zodat een

duidelijker kader ontstaat voor beslissingen ten aanzien van de inrichting van de








middelen. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan

de projectenportfolio jaarlijks wordt ge-update en vastgesteld door het MT.



benchmarkgemeenten die hun informatievoorzieningstrategie wel hebben uitgewerkt in jaarlijkse


Aanbeveling


planningen en benodigde middelen.




'Dienstverlening draait om burgers', 'Het gemeentelijk fundament' van KING en de visie van de

Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft:

'Dienstverlening samen doen’:

1. de vraag van burgers, bedrijven en instellingen staat centraal


3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen

hun organisaties, maar opereert als één overheid.

4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is

opgenomen en informatie die binnen de eigen organisatie beschikbaar is, wordt niet

nogmaals gevraagd.

5. de overheid is transparant en aanspreekbaar



De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 laat een brede

oriëntatie zien, en sluit goed aan bij bovengenoemde beleidsvisies.



Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op

het gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken




van het gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering,

DigiMelding, DigiMachtiging en DigiPoort.

De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 is afgestemd op

de in deze norm genoemde wettelijke taken en geeft daar invulling aan.



Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op de

informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken,


In de I-visie 2011 is geen de aandacht voor ontwikkelingen in de maatschappelijke

beleidsdomeinen van de gemeente die impact kunnen hebben op de informatievoorziening, zoals

(jeugd)zorg, WMO, werk&inkomen, en toezicht en handhaving. Het bestuur verwacht hier veel van

de samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert. Omdat hier in de I-

visie geen aandacht aan wordt gegeven, ontbreekt echter ook een kader om te beoordelen of die

verwachting ook bewaarheid wordt en om eventueel zelf ontwikkelingen bij de

samenwerkingsverbanden te initiëren.

De situatie in de gemeente Roermond wijkt hierin af van de norm, die vraagt om dergelijke

ontwikkelingen expliciet mee te nemen. De gemeente Roermond wijkt hierin ook af van de meeste

benchmarkgemeenten die wel aandacht aan beleidsontwikkelingen in de sectoren, zij het dat de

beschrijving van de implicaties voor de informatievoorziening soms summier is.

Aanbeveling

Het verdient aanbeveling om bij actualisering van de I-visie ook aandacht te geven aan

beleidsontwikkelingen in de sectoren en de impact die deze kunnen hebben op de

informatievoorziening. Er is geen aanleiding om het pragmatische ambitieniveau los te laten.

Overig

De gemeente Roermond is in haar ambitie pragmatisch. Zij kiest ervoor geen koploper te zijn, geen

achterblijver, maar vanuit eigen prioriteiten de goede dingen te doen. Zij sluit daarbij aan en

maakt actief gebruik van anderen. Zij neemt daarin ook een actieve rol in de

samenwerkingsverbanden.

Met de keuze voor deze ambitie volgt de gemeente dezelfde koers als de meeste gemeenten in de

benchmark. Zij is actiever, dan de meeste gemeenten in de benchmark waar het gaat om het

zoeken van samenwerking om zo tegen lagere kosten deze ambitie te kunnen realiseren.




Op die manier werkt zij op een efficiënte en effectieve manier aan het verbeteren van de

informatievoorziening en ICT van de gemeente Roermond.

Conclusies en aanbevelingen cluster 2a



Behalve in het geval van de Kadernota ICT uit 2003 heeft de Raad in Roermond geen toetsende

enof besluitvormende rol bij de inhoud van het beleid voor informatievoorziening.

Informatievoorziening wordt gezien als onderdeel van de bedrijfsvoering en derhalve als

verantwoordelijkheid van het College. De informatievoorzieningstrategie is wel vastgesteld door

het College.

De situatie in Roermond komt niet overeen met de norm.

De situatie in Roermond wijkt niet wezenlijk af van de situatie bij de meeste benchmark-

gemeenten. Bij de meeste van hen is informatievoorziening vastgesteld via de begroting als

onderdeel van de bedrijfsvoering en worden de beleidsplannen vastgesteld door het MT of het

College.

Aanbeveling

Het verdient aanbeveling de betrokkenheid van de Raad bij het beleid ten aanzien van

informatievoorziening te vergroten met name daar waar informatievoorziening en ICT een

belangrijkere rol gaan spelen in het contact van de gemeente met de buitenwereld en de realisatie

van maatschappelijke doelen.




middelen. Deze worden dus ook niet vastgesteld door de Raad. Het dichtst in de buurt komt het

Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt ge-

update en vastgesteld door het MT.



benchmarkgemeenten die hun informatievoorzieningsstrategie wel hebben uitgewerkt in jaarlijkse


Aanbeveling


planningen, projectenportfolio en benodigde middelen, deze vast te laten stellen door het College,

en de Raad tenminste te informeren hierover.






De Raad stelt het budget voor informatievoorziening en het investeringsbudget vast als onderdeel

van de programmabegroting van het Programma 'De gemeente'. Het budget voor

informatievoorziening is hier apart vermeld, maar een deel van de kosten voor applicaties ligt

(nog) verscholen in exploitatiekosten van de sectoren. De gemeente heeft een start gemaakt met

het verder centraliseren van applicatiebeheer, waardoor ook het inzicht in de budgetten die

gemoeid zijn met de totale informatievoorziening beter inzichtelijk zullen worden.

De situatie in Roemond wijkt hierin af van de norm. Roermond wijkt hier niet af van de meeste

benchmarkgemeenten. Slechts een gemeente laat de informatievoorziening als zelfstandig

beleidsveld vast stellen door de Raad. Er is ook slechts een gemeente in de benchmark die een

integraal overzicht van de kosten voor informatievoorziening (automatisering en applicaties) kan

laten zien. Daarnaast heeft Roermond een beweging in gang gezet om het functioneel

applicatiebeheer te centraliseren en zodoende ook de daarmee gemoeide budgetten inzichtelijk

te krijgen en te centraliseren. Deze beweging is vergelijkbaar met de beweging die andere

gemeenten maken.

Aanbeveling

Het verdient aanbeveling om de in gang gezette centralisering van het functioneel

applicatiebeheer en daarmee de centralisering van de budgetten door te zetten. Op die manier

ontstaat meer inzicht te creëren in de kosten van informatievoorziening en het sturend vermogen

hierop te vergroten. Op die wijze kan ook een voor de Raad beter inzicht ontstaan.


projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten

en baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk

gemaakt.

De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. Projecten op

het gebied van informatievoorziening worden in het algemeen niet vastgesteld door de Raad,

maar door het MT of het College. In de gemeente Roermond wordt nooit gerapporteerd aan de

Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote

risico's mee gemoeid kunnen zijn. Het voorstel voor toetreding tot Dimpact werd aan de Raad

voorgelegd omdat het toetreding tot een samenwerkingsverband betrof. Projecten worden

incidenteel voorzien van een business case. Het gaat dan om projecten waarvan grote impact

wordt vermoed.









Met betrekking tot het gebruik van business cases wijkt de situatie in Roermond af van de

sommige benchmarkgemeenten, die wel structureel met business cases werken. De meeste

gemeenten doen dit echter net als Roermond alleen bij de grote projecten.

Aanbeveling


en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden. Ook

verdient het aanbeveling om voor projecten boven die norm altijd met business cases te werken.

Voorts verdient aanbeveling het werken met business cases uit te breiden, zodat betere

afwegingen gemaakt kunnen worden ten aanzien van investeringen.



In Roermond stelt de Raad de P&C-cyclus vast. Rapportage over informatievoorziening vindt plaats

via de reguliere P&C-cyclus. Op verzoek van de Raad wordt de Raad voornamelijk geïnformeerd

aan de hand van afwijkingrapportages. De frequentie van de rapportages wordt op verzoek van de

Raad verhoogd naar 3x per jaar. Grote afwijkingen worden apart aan de Raad gerapporteerd. Hier

is geen norm voor vastgesteld.

De situatie in Roermond wijkt hierin niet af van de norm en ook niet van de situatie in de

benchmarkgemeenten.

Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de

Raad vastgelegd en door het College geïmplementeerd. De governance structuur omvat

coördinatie- en stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en

verantwoordingslijnen.

De governance van de informatievoorziening is niet neergelegd in een apart document, maar volgt

de reguliere governance van de gemeente. In het ICT-beveiligingsbeleid en gerelateerde stukken

zijn de taken, verantwoordelijkheden en bevoegdheden wel specifiek vastgelegd.

De situatie in de gemeente Roermond wijkt hiermee af van de norm, die stelt dat de governance

van de informatievoorziening in een apart document wordt vastgelegd en vastgesteld door de

Raad. De situatie in de gemeente Roermond wijkt echter niet af van de benchmarkgemeenten.

Aanbeveling

Het verdient aanbeveling governance ten aanzien van informatievoorziening vast te leggen in en

document en vast te laten stellen door de Raad.






De gemeente Roermond neemt deel aan verschillende landelijke monitors die de voortgang van de

implementatie van de e-overheid bijhouden. Zij neemt niet del aan specifieke benchmarks op het

gebied van kosten enof personele inzet op het gebied van informatievoorziening en ICT.

De situatie in Roermond wijkt hierin af van de norm. De meeste benchmarkgemeenten nemen wel

deel aan benchmarks, met name op het gebied van kosten van de informatievoorziening. Een van

de benchmarkgemeenten die dit niet doet heeft is voornemens dit in de toekomst weer te gaan

doen.

Aanbeveling

Benchmarking is een belangrijk instrument om zicht te houden op kosten en kwaliteit van de

informatievoorziening, en om te leren van anderen. Het verdient aanbeveling om periodiek deel te

nemen aan benchmarks op het gebied van kosten van de informatievoorziening.

Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied

van informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad.


informatievoorziening en ICT. Wel leeft de wens om op meer terreinen samen te werken, en met

name op het gebied van de back-office te outsourcen als de mogelijkheid zich voordoet. Onder

invloed van de kerntakendiscussie en onder invloed van een discussie in het managementteam

over de besturing van de organisatie wordt nu wel gesproken over taken die voor sourcing in

aanmerking komen.









Aanbeveling










Daar waar het toetreding tot samenwerking betreft met andere gemeenten, of deelnemingen in

een andere organisatie is de gemeente Roermond aan de wettelijke verplichtingen daaromtrent.

De onderzoekers hebben niet specifiek onderzocht in hoeverre de gemeente zich daaraan houdt.

In het geval van Dimpact is dat wel gebeurd.

De situatie in Roermond wijkt niet af van de norm en ook niet van de situatie in andere

benchmarkgemeenten.



het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld

ten aanzien van wettelijke eisen, continuïteit, beveiliging en kosten).

De gemeente Roermond hanteert geen gestandaardiseerde methodiek ten aanzien van

risicoanalyses. In de gemeente Roermond wordt niet gerapporteerd aan de Raad over

operationele risico's.

De situatie in Roermond wijkt hierin af van de norm. Zij wijkt niet af van de situatie in de meeste

benchmarkgemeenten die geen specifieke methodiek hanteren voor het analyseren van risico's

van operationele systemen. en daarover ook niet standaard rapporteren aan de Raad.

Aanbeveling

Het verdient aanbeveling om de risico's van operationele systemen te analyseren volgens een

geaccepteerde standaard en om rapportages in samenvattende vorm aan de Raad ter beschikking

te stellen.




Deze norm wordt behandeld bij par 4.5, cluster 3: Beheer en exploitatie van de

informatievoorziening

Conclusies en aanbevelingen cluster 2b


richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving

en dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot

voor privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers.

De gemeente Roermond beschikt over een ICT-beveiligingsbeleid, dat overeenstemt met het hier

bedoelde ICT-beveiligingsbeleid. Het ICT-beveiligingsbeleid van de gemeente Roermond is

gebaseerd op de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007 (editie november 2007)

en op gerelateerde wet- en regelgeving. In de geactualiseerde versie die binnenkort wordt




voorgelegd aan het College worden relevante wetswijzigingen meegenomen. Het ICT-

beveiligingsbeleid bevat de vastlegging van verantwoordelijkheden en bevoegdheden met

betrekking tot privacybescherming en informatiebeveiliging. Het beleid is verder uitgewerkt in een

ICT-beveiligingsplan, continuïteitsplan en uitwijkplan GBA/BAG.


beschikbaar.

Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad

vastgesteld.

Het beleid voor ICT-beveiligingsbeleid van de gemeente Roermond is vastgesteld door het College,

niet door de Raad. Dit geldt ook voor het gerelateerde ICT-beveiligingsplan, Continuïteitsplan en

Uitwijkplan GBA en BAG.

De situatie in Roermond wijkt hiermee af van de norm. Hierover is geen benchmarkinformatie

beschikbaar.

Aanbeveling

Het verdient aanbeveling om de betrokkenheid van de Raad bij het ICT-beveiligingsbeleid te

vergroten, dan wel tenminste te informeren over de wijze waarop de gemeente haar beveiliging

heeft geregeld. Dit gezien het toenemende belang van informatievoorziening voor de continuïteit

van de organisatie, en de toenemende dreigingen op het gebied van cybercriminaliteit, en hacking.

Grotere betrokkenheid zal ook leiden tot bewustwording bij de Raad op dit vlak.

Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen

in de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in


In het ICT-beveiligingsbeleid en ICT-beveiligingsplan besteedt de gemeente Roermond aandacht

aan de bewustwording en borging van het veiligheidsbewustzijn. Het is niet duidelijk geworden in

hoeverre dit ook actief gebeurt in de zin zoals hierboven bedoeld.

De situatie in Roermond wijkt hierin, in ieder geval in formele zin, niet af van de norm. Hierover is

geen benchmarkinformatie beschikbaar.

Aanbeveling

Om dezelfde reden als bij norm 2 verdient het aanbeveling, om medewerkers periodiek te

informeren en betrekken bij beveiligingsbeleid en hen ook te informeren als er zich ernstige

incidenten hebben voorgedaan. Dit om het veiligheidsbewustzijn te vergroten en te onderhouden.







elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten

heeft.

Het beleid voorziet in periodieke toetsing van de gebruikersregistraties. De Management Letter

Interim Controle 2011 constateert echter enige tekortkomingen in het toegangsbeheer met

betrekking tot de applicaties. Hierop is actie ondernomen, en enkele acties staan in de planning.

Het applicatiebeheer is nog grotendeels decentraal georganiseerd in Roermond. Roermond heeft

de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de

stuurbaarheid m.b.t. beveiligingsbeleid verbeteren. Daarnaast heeft

Het beleid in Roermond voldoet aan de norm. De Management Letter Controle 2011 laat zien dat

het belangrijk is om alert te blijven op een strikte uitvoering in deze. Tegelijkertijd laat de reactie

van de organisatie op de constateringen uit de Management Letter Controle 2011 zien dat zij in

staat is om adequaat te reageren. Hierover is geen benchmarkinformatie beschikbaar.

Aanbeveling





Het ICT-beveiligingsbeleid voorziet in een jaarlijkse audit namens het College. Deze audit wordt

ook uitgevoerd, zij het dat de audit van 2011 gespreid is over 2011 en 2012 i.v.m. de verhuizing.

De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar.


verkeer en indringers kunnen worden gedetecteerd. Rapportage hierover vindt plaats via de


Het ICT-beveiligingsbeleid voorziet in periodieke toetsing en monitoring van de afscherming van

systemen. Hierover wordt eens per jaar samenvattend gerapporteerd aan het College.

De situatie in Roermond wijkt hierin af van de norm. In de zin dat slechts één keer per jaar wordt

gerapporteerd aan het College.

Aanbeveling

Het verdient aanbeveling om via de rapportagecyclus van de dienstverleningsovereenkomsten te

rapporteren over incidenten.

Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie

en privacy te detecteren en er is een organisatie om die te behandelen.

Het ICT-beveiligingsbeleid in een calamiteitenprocedure bij beveiligingsincidenten. Hier is ook een

organisatie voor aanwezig met als eerste aanspreekpunt de helpdesk.


beschikbaar.




Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de

risico's geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden

afspraken gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van

de beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en


incidenten; de bewerkerovereenkomsten in het kader van de wettelijke verplichtingen voor

privacybescherming.

Het ICT-beveiligingsbeleid voorziet in het borgen van de beveiliging bij uitbesteding en

ontwikkeling van software, de acceptatie van hardware en software en het maken van afspraken

met leveranciers. De Management Letter Interim Controle 2011 constateert echter enige

tekortkomingen in het wijzigingsbeheer van de applicaties. Testen worden niet altijd uitgevoerd,

en soms ontbreekt de vastlegging van de goedkeuring van de eindverantwoordelijke om een

applicatie in productie te nemen. Hierop is actie ondernomen, en enkele acties staan in de

planning. Roermond heeft daarnaast de beweging in gang gezet om het applicatiebeheer te

centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren.

Het beleid in Roermond voldoet aan de norm, echter in de uitvoering schiet de organisatie nog

tekort. Hierover is geen benchmarkinformatie beschikbaar.

Aanbeveling



Conclusies en aanbevelingen cluster 2c



opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn

vanuit hun functie bevoegd tot het uitvoeren van de opdrachtgeversrol, c.q. opdrachtnemerrol.


niet af van de situatie bij de benchmarkgemeenten.

Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur

op basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in

beeld zijn gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de

organisatie betrokken.

Het uitwerken van business case gebeurt alleen bij de hele grote projecten.




De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt ook af van enkele

benchmarkgemeenten die wel structureel met business cases werken. De meeste

benchmarkgemeenten doen dit echter net als Roermond alleen bij de grote projecten.

Aanbeveling


waarbij altijd een business case gemaakt moet worden. Op die manier kunnen beter

onderbouwde afwegingen gemaakt worden ten aanzien van investeringen en in de besluitvorming

rond projecten. In het algemeen is het goed om medewerkers vertrouwd te maken met het maken

van (globale) business cases voor projecten.




niet af van de situatie in de meeste benchmarkgemeenten.


beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op

de standaarden van de organisatie en Quality Control is binnen het project ingericht.

De gemeente hanteert een vaste projectmethodiek die aansluit op de standaarden van de

organisatie.

De situatie in Roermond wijkt hierin niet af van de norm. Deze wijkt ook niet af van de situatie in


Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in

herkenbare termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct


In de projectmethodiek die de onderzoekers hebben ingezien (de AMI-methode) wordt summier

aandacht besteed aan een risicoanalyse én beheersmaatregelen. In de technische ICT projecten is

een risicoanalyse altijd een standaard onderdeel van het project implementatie document. Bij de

grote projecten die de onderzoekers hebben ingezien zijn dergelijke risicoanalyses en

beheersmaatregelen ook gemaakt en benoemd.

Met betrekking tot de risicoanalyse en het benoemen van beheersmaatregelen wijkt de formele

situatie in Roermond af van de norm, maar de praktijksituatie niet. Deze situatie wijkt af van de

situatie in de meeste benchmarkgemeenten die gebruik maken van PRINCE2 als projectmethodiek

waarin veel aandacht is voor risicoanalyses en beheersmaatregelen.

Aanbeveling

Het verdient aanbeveling om de formele situatie in dit geval meer in overeenstemming te brengen

met de praktijk zoals hierboven beschreven.




Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote

projecten rapporteert het College de grote risico's aan de Raad.

De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. In de

gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook

niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn.






Aanbeveling


en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden.

Conclusies en aanbevelingen cluster 3

Norm 1: Er is een helpdesk die gebruikers ondersteund in het dagelijks gebruik van systemen

(w.o. voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van



Roermond maakt gebruik van de internationaal geaccepteerde standaard ITIL voor de inrichting

van haar beheer processen. Deze zijn ingericht en worden ondersteund met een softwarepakket.

De documentatie rondom de beheerprocessen en betreffende dienstverleningsovereenkomsten is

nog in ontwikkeling en moet nog formeel worden vastgesteld.

Met betrekking tot de inrichting van de beheerprocessen wijkt Roermond niet af van de norm. Zij

wijkt hierin ook niet af van de benchmarkgemeenten die ook allemaal hun beheerprocessen

volgens ITIL hebben ingericht. De situatie wijkt wel af van de norm en van de situatie in de

benchmarkgemeenten waar het gaat om de formalisering van de beheerprocessen en de

bijbehorende dienstverleningsovereenkomsten.

Aanbeveling

Het verdient aanbeveling om zo spoedig mogelijk de afstemming met de gebruikersorganisatie te

komen tot formalisering van de beheerprocessen en de gerelateerde interne

dienstverleningsovereenkomsten (SLA's).






Uit de beschikbare informatie wordt niet duidelijk of er een expliciete norm is voor de

performance/beschikbaarheid van systemen. Wellicht is hier een en ander over opgenomen in het

nog vast te stellen SLA. Wat wel duidelijk is, is dat Roermond de beschikbaarheid van systemen

vanuit het oogpunt van informatiebeveiliging en uitwijk integraal georganiseerd heeft.

De (meeste) benchmarkgemeenten hebben interne dienstverleningsovereenkomsten waarin een

en ander is vastgelegd over de beschikbaarheid en de performance van de meest bedrijfskritische

applicaties

Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorzieningdiensten

beschikbaar.

Er is een producten/dienstencatalogus beschikbaar via het interne intranet ten behoeve van de

gebruikersorganisatie.

De situatie in de gemeente Roermond wijkt hierin niet af van de norm. Zij wijkt ook niet af van de

situatie bij de benchmarkgemeenten die allemaal ook een PDC beschikbaar hebben gesteld aan



gemanaged.











Aanbeveling








B Geraadpleegde documentatie

Aanpassing Europese Drempelbedragen van het aanbestedingsbeleid, voorstel voor de

B&W-vergadering van 23 december 2011

Aanpassing van het gemeentelijk aanbestedingsbeleid, voorstel voor de B&W-vergadering

van 23 november 2010

Aansluitprocedure & opstartplan acceleratie programmaplan ED, Roermond, juni 2011

Accountantsverslag 2010, gemeente Roermond

Afdelingsplan facilitaire zaken gemeente Roermond, 2012

Begrotingen 2007-2012, gemeente Roermond

Beleef Roermond! Dienstverleningsconcept gemeente Roermond

Bijlagenboek begroting 2012, gemeente Roermond

Centralisatie applicatie- en gegevensbeheer, voorstel voor het managementteam van 15

februari 2012

Checklist informatiemanagement beleid gemeenten Roermond, 11-02-2010

Coalitieakkoord 2010 – 2014, slagvaardig en spaarzaam

College Uitvoeringsprogramma 2007 – 2010, thema’s 1 t/m 6

Continuïteitsplan ICT en electriciteit gemeente Roermond, versie 2.2, maart 2012

Contractenbeheer in de gemeente Roermond, 6 maart 2009

Doorelichting van organisatie en inrichting van gegevens- en applicatiebeheer van de

gemeente Roermond 2011

EnableU, Quick scan voor de gemeente Roermond, november 2010

Evaluatienotitie vernieuwen telefonie, gemeente Roermond, 09-12-2011

Financiële kadernota’s 2007 - 2011, gemeente Roermond

Format Project Initiatie Document, datum onbekend

Format voor projectafweging, datum onbekend

H3 Budgettaire kaders, 3.1 uitgangspunten meerjarenbegroting 2008-2011

Herinrichting sector BMO 2007

ICT beveiligingsbeleid, versie 2.1, gemeente Roermond, juni 2009

ICT-beveiligingsplan, versie 2.3, gemeente Roermond, januari 2010

Ingebruikneming contractenmodule FMIS in Axxerion, voorstel aan het managementteam

5 augustus 2010

Inventarisatiedocument mogelijkheden Navigus (inclusief kopie van timetable en evaluatie

implementatie Navigus), versie 2.0, gemeente Roermond

I-visie 2011 gemeente Roermond, 02-03-2011, versie 1.3

I-visie 2007-2011 gemeente Roermond

Jaarrekeningen 2007 – 2010, gemeente Roermond

Kadernota ICT 2003, afdeling Informatievoorziening gemeente Roermond, juni 2003

KCC-visie 2011

Kredietrapportage 2011 + bijlagen

Lijst met applicaties, 01-12-2011




Managementletter Interimcontroles 2010 – 2011, gemeente Roermond

Onderzoeksrapport Acceleratie programmaplan ED gemeente Roermond, maart 2011

Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze

aannemer/leverancier/bureau, gemeente Roermond, 01-01-2012

Planning & Control cyclus 2009 – 2012, gemeente Roermond

Product-dienstenaanbod voor burgers en bedrijven op de website van de gemeente

Roermond

Programmabegrotingen 2007 t/m 2012, gemeente Roermond

Programmaplan excellente dienstverlening, gemeente Roermond, januari 2010

Project start-up 15 April 2011 (powerpoint sheets)

Projectplan 'Accelleratie Excellente Dienstvelening

Projectplanproject implementatie Dimpact

Projectplan Implementatie IP telefonie, versie 1.0, gemeente Roermond, 15 maart 2011

Projectplanning Roermond, 22-09-2011

Raadsbesluiten P&C-cyclus periode 2007-2012

Raadsinformatiebrief inzake aanpassing van het gemeentelijk aanbestedingsbeleid, 24

november 2010

Schaatsen op dun ijs, doorlichting van organisatie en inrichting van gegevens- en

applicatiebeheer van de gemeente Roermond, inclusief aanbevelingen, 29 augustus 2010

Service Level Agreement datatransport en toegevoegde waarde diensten Gemnet b.v.

SLA Baas Telemica, 3 november 2003

Strategische visie Roermond 2020, Roermond investeert in haar toekomst

Testplan telefonie, versie 0.1, gemeente Roermond, 14-09-2011

Totaaloverzicht ontwikkeling Programmaplan Excellente Dienstverlening

Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, voorstel aan het

managementteam 9 mei 2007

Uitkomsten gemeentemonitor “Waar staat je gemeente.nl”

Uitwijkplan gemeentelijke BasisAdministraties en Basisregistraties Adressen en Gebouwen,

versie 2.4, gemeente Roermond, 9 januari 2012

Visie Klant Contact, gemeente Roermond, 7 januari 2011

Voorstel aan het Managementteam van de afdeling BMO/POI, second opinion ED, 17 juni

2011

Voorstel Raadtoetreding tot coöperatieve vereniging Dimpact, 11 juli 2011

Waar staat je gemeente, rapportage 2008 en 2010




C Lijst geïnterviewde personen

Dhr. V. Zwijnenberg, wethouder

Dhr. H. Geraedts, Gemeentesecretaris

Dhr. J. Vervuurt, Griffier

Dhr. F. Laumen en dhr. G. Gootzen, teamleider, respectievelijk projectleider ICT

Dhr. J.W. Koppers, B. Claassen en J. Hendrix, Programmaleider Excellente Dienstverlening,

respectievelijk adviseur Informatiemanagement en teamleider bedrijfsvoering sociale zaken.

Dhr. U. Weyergraf, Directeur Sector Bedrijfsmiddelen en Organisatie

Dhr. W. Kaldenhoven en G. Huijs, concerncontroller, respectievelijk adviseur

informatiemanagement




D MISSIE DOELEN EN STRATEGISCHE KEUZES UIT DE I-VISIE

Missie

Zorg dragen voor een efficiënte, kwalitatief hoogwaarde informatievoorziening die voorbereid is

op toekomstige ontwikkelingen.

Doelen

• Een efficiënte en effectieve informatievoorziening

• Een toegankelijke informatievoorziening

• Een kwalitatief hoogwaardige informatievoorziening

• Een professionele informatievoorziening

• Een stabiele en veilige informatievoorziening

• Een klant- en gebruiksvriendelijke informatievoorziening

Strategische keuzes

De I-visie kent 13 strategische keuzes:

1. De gemeente Roermond conformeert zich aan de doelstellingen van de landelijke

programma’s zoals NUP, Antwoord© en NOIV en conformeert zich aan de uitgangspunten en

doelstellingen van de landelijke sturingsprogramma’s NORA en EGEM;

2. De gemeente Roermond biedt transparantie van zaken door zaakgericht werken;

3. De gemeente Roermond biedt op een efficiënte en effectieve wijze uniforme dienstverlening

aan via verschillende kanalen;

4. De gemeente Roermond ontwikkelt zich tot dé poort van de overheid;

5. De gemeente Roermond sluit aan op e-overheidsvoorzieningen (volgens NUP);

6. De gemeente Roermond werkt procesgericht en maakt daarbij gebruik van de

standaardprocessen die binnen GEMMA zijn ontwikkeld en door KING worden ondersteund;

7. De gemeente Roermond ondersteunt tijd- en plaatsonafhankelijk werken;

8. De gemeente Roermond beveiligt haar informatievoorziening volgens het beginsel van

zorgvuldig en rechtmatig gebruik;

9. De gemeente Roermond sluit aan op het stelsel van basisregistraties en zorgt daarmee voor

ontsluiting en gebruik van basisgegevens;

10. De gemeente Roermond gaat voor maximaal digitaal en 24/7 dienstverlening;

11. De gemeente Roermond hanteert voor haar gegevenshuishouding enkelvoudige inwinning (bij

de bron), meervoudig (verplicht) gebruik;

12. De gemeente Roermond gaat voor samenwerking op het gebied van informatievoorziening;

13. De gemeente Roermond sluit aan bij moderne en gangbare ICT technologieën.




E BEKNOPTE OMSCHRIJVING VAN DE ONTWIKKELINGEN

BESCHREVEN IN DE I-VISIE

In de I-visie worden de volgende ontwikkelingen meegenomen:

Maatschappelijke ontwikkelingen zoals toename van informatie, behoefte aan plaatsen

tijdonafhankelijke dienstverlening, de vorming van nieuwe sociale structuren, veranderende

communicatie, toenemende verwachtingen van de burger t.a.v. dienstverlening, de verwachting

van de burger dat overheidsinformatie betrouwbaar is, en de veranderende rol van de lokale

overheid, die steeds vaker in samenwerking met anderen haar doelen zal moeten realiseren.

ICT-ontwikkelingen zoals 'software as a service' (SAAS), waarbij de organisatie gebruik maakt van

software die elders wordt gehost, en betaalt voor het gebruik; cloudcomputing waarbij via het

internet gebruik wordt gemaakt van zowel hard- als software van derden; service oriented

architecture (SOA) gegevens makkelijker door verschillende systemen kunnen worden gebruikt;

toename van het gebruik van social media als bron van informatie en manier om informatie te

delen; de toename van het gebruik van apps op mobiele telefoons en tablets voor

dienstverlening; virtualisatie, een techniek om het gebruik van technische bronnen te

optimaliseren; het standaardiseren en generiek maken van systemen t.b.v. gegevensuitwisseling

met name binnen de overheid; toenemend gebruik van open source en open standaarden

waardoor de afhankelijkheid van leveranciers afneemt; het creëren van gegevensmodellen en

voorzieningen om 24/7 dienstverlening te faciliteren.

Landelijke programma's op het gebied van de e-overheid zoals het Nationaal

Uitvoeringsprogramma voor de e-overheid (NUP); Antwoord@, gericht op het stroomlijnen van de

overheidsinformatievoorziening; het NOiV, het landelijk programma dat zich richt op het

stimuleren van open standaarden en open source software door overheden; en de

referentiearchitecturen NORA en GEMMA voor het inrichten van de informatievoorziening.

Visie op dienstverlening van de gemeente Roermond: In haar Strategische visie Roermond 2020

geeft de gemeente aan te streven naar 'Excellente dienstverlening'. Dit streven is vertaald in het

dienstverleningsconcept Beleef Roermond!, en een Programma Excellente Dienstverlening. Het

dienstverleningsconcept en het programma “Excellente Dienstverlening” stellen eisen aan de

informatievoorziening en de ontwikkeling hiervan. In de I-visie zijn de zes 6 kernprincipes van het

dienstverleningsconcept vertaald naar de gevolgen voor de informatievoorziening. Het gaat om de

kernprincipes: 'toegankelijk', 'op maat', 'ontvankelijk', 'geïntegreerd', 'eigentijds', en 'met

garanties'.

Interne ontwikkelingen zoals het mogelijk maken van plaatsen tijdonafhankelijk werken voor

medewerkers; verbeteren van privacy en beveiliging; het benutten van ICT voor het efficiënter en

effectiever maken van processen; het introduceren van tools om medewerkers van dienst te zijn

bij het vinden van hun weg in de al maar toenemende hoeveelheid informatie; zorgen voor




voldoende kennis op het gebied van informatievoorziening; de toenemende behoefte aan

samenwerking tussen gemeenten op zowel het gebied van ICT, als andere beleidsterreinen; en de

inzet van Business Intelligence tools om informatie op een voor de gebruiker relevante manier te

ontsluiten en presenteren.

Deze ontwikkelingen zijn vertaald naar de volgende missie en doelen voor de

informatievoorziening van de gemeente Roermond en voorzien van strategische keuzes die in het

stuk nader worden toegelicht. Aan het eind van de I-visie wordt kort ingegaan op het

vervolgproces.




F RELEVANTE WET- EN REGELGEVING BEVEILIGINGSBELEID

Het beveiligingsbeleid dient te voldoen aan wetgeving en bijbehorende uitvoeringsbepalingen.

Wet- en regelgeving die gehanteerd zijn als uitgangspunt en richtlijn voor het beveiligingsbeleid

zijn:

• Wet Bescherming Persoonsgegevens

• Wet GBA (Gemeentelijke Basis Administratie)

• Archiefwet 1995

• Archiefbesluit 1995

• Regeling geordende en toegankelijke staat en archiefbescheiden

• Regeling duurzaamheid van archiefbescheiden

• Archiefverordening gemeente Roermond 2007

• Besluit Informatiebeheer Roermond 2007

• Wet Computer Criminaliteit 2006

• Auteurswet

• Wet Openbaarheid van Bestuur (WOB)

• Algemene Wet Bestuursrecht (AWB)

• Besluit Begroten en Verantwoorden (BBV) uit 2003

• Regeling Arbeidsvoorwaarden gemeente Roermond (RAGR)

• Wet Basisregistraties adressen en gebouwen

Vooronderzoek naar het beleid, de organisatie en de uitvoering van ...

Documents

Transcript of Vooronderzoek naar het beleid, de organisatie en de uitvoering van ...