De gemeente in control

Met ingang van het jaar 2023 dient het college van burgemeester en wethouders zelfstandig een oordeel te geven rechtmatig handelen. We hebben evenals voorgaande jaren geïnvesteerd in de versterking van de beheersorganisatie met name in de 1e en 2e lijn. Deze versterking is mede gefaciliteerd door de ingebruikname van een applicatie die realtime inzicht geeft in de actuele stand van de interne beheersorganisatie. De toetsing van de beheersorganisatie gebeurt binnen de reguliere P&C-cyclus. Er zijn drie rapportages opgesteld over de kwaliteit van de beheersorganisatie met aanbevelingen voor verbeteringen van de beheersorganisatie. In 2023 heeft een versterking van de controlomgeving plaatsgevonden, de gemeente is voldoende “in control” om mogelijke onrechtmatigheden tijdig te detecteren en hierop te acteren indien noodzakelijk. De rechtmatigheidsverantwoording is in de Jaarstukken 2023 opgenomen.

Informatiebeveiliging en privacy

Informatiebeveiliging verdient blijvend onze aandacht. Gezien de technologische vooruitgang, steeds grotere dreiging op het gebied van (cyber)security en het in toenemende mate beschikbaar zijn van data en informatie is in control zijn over onze weerbaarheid steeds belangrijker. Ook de wet-en regelgeving volgt deze ontwikkeling en voorziet de komende jaren in dertien nieuwe wet- en regelgevingen waaronder een nieuwe versie van de Baseline Informatiebeveiliging Overheid (BIO) en de nieuwe Network en Information Security-richtlijn (NIS2). De aandacht is gericht op het ‘in control’ komen en blijven van de processen binnen de bestaande informatie- en automatiseringsomgeving van de gemeente en de beschikbaarheid van volledige en integere data.

Informatiebeveiliging is het proces dat de betrouwbare informatievoorziening borgt. Het opnemen van informatiebeveiliging als kwaliteitscriterium is voor de gemeente dan ook noodzakelijk. De normen waaraan we dienen te voldoen staan onder andere beschreven in de BIO en de Algemene Verordening Gegevensbescherming (AVG). Om aan deze wet- en regelgeving te voldoen werken we sinds 2023 actief aan het opbouwen van het information security management system (ISMS) middels het integrale systeem Key Control Dashboard. Deze wordt onder andere gevuld met processen door middel van BBN (Basis Beveiligings Niveau) Toetsen, Baseline Toetsen en Data Protection Impact Assessments (DPIA). De primaire verantwoordelijkheid voor de invulling hiervan ligt bij de proceseigenaar, waarbij de BIO de belangrijkste grondslag is. De AVG, de Archiefwet en de Meldplicht datalekken zijn voorbeelden van wetten die eisen stellen aan de verwerking en opslag van informatie.

In 2023 is het nieuwe strategische informatiebeveiligingsbeleid 2023-2026 (10220927) vastgesteld, waarmee de koers is uitgezet voor de komende jaren. Om mede invulling te geven aan die koers is er in 2023 gestart met een meting op de naleving van het BIO normenkader en is in samenwerking met Berenschot gestart aan het verbeterplan informatiebeveiliging. De uitwerking van het verbeterplan wordt in het tweede kwartaal van 2024 opgeleverd en extra formatie voor informatiebeveiliging en privacy wordt aangevraagd in de Voorjaarsrapportage 2024 om de opgaven blijvend het hoofd te bieden. Ook is er in navolging van de verhoogde aandacht voor informatiebeveiliging en privacy bij de introductiedag voor nieuwe medewerkers in samenwerking met Brooklyn Partners gestart aan het verhogen van de bewustwording op het gebied van informatiebeveiliging en privacy. Het invulling geven aan, inrichten en in stand houden van maatregelen vraagt doorlopend en veel extra inspanning en onderzoek naar benodigde activiteiten. In 2024 zullen we blijven bewaken dat verwerkingen het reguliere proces doorlopen en uitvoering geven aan het plan voor het (risicogericht) oppakken van de eerder genoemde toetsen en DPIA’s. Een belangrijk aspect wat een rol speelt zit in de weerbaarheid is het bewustzijn rondom informatiebeveiliging en privacy van alle medewerkers. Ook hier wordt continue aandacht aan gegeven. Zo zetten we ons doorlopend in om informatiebeveiliging op een hoog niveau te krijgen en houden.

Frauderisicoanalyse

Wij kennen diverse instrumenten en regelingen ter voorkoming van fraude en misbruik en oneigenlijk gebruik. Er is een notitie Misbruik & Oneigenlijk gebruik (2020.000423). In 2024 zal een actualisatie plaatsvinden van deze notitie, waarin nader wordt ingegaan op risico’s en preventiemaatregelen omtrent misbruik en oneigenlijk gebruik. Tenslotte heeft de gemeente Haarlemmermeer een gedragscode en een regeling integriteitmeldingen. Jaarlijks wordt een jaarverslag integriteit opgesteld. Ook in de processen, procedures en interne controles is er aandacht voor de voorkoming van fraude en misbruik en oneigenlijk gebruik en er is aandacht voor risicomanagement in brede zin.

Wij hebben in 2023 de frauderisicoanalyse 2022 geactualiseerd. Deze analyse dient als aanvulling op de eerder genoemde instrumenten en regelingen. Bij de totstandkoming van de actualisatie hebben inhoudelijk gesprekken met management en directie plaatsgevonden. Deze gesprekken hadden enerzijds als doel om te komen tot een actualisatie van de rapportage en anderzijds om het bewustzijn voor frauderisico’s binnen de organisatie te vergroten en continue aandacht hiervoor te borgen.

De actualisatie van de uitgevoerde frauderisicoanalyse geeft geen directe aanleiding tot herprioritering van de frauderisico’s en beheersmaatregelen, zoals opgenomen in de frauderisicoanalyse 2022. Het algemene beeld is, dat de aanvullende beheersmaatregelen door de organisatie zijn opgepakt en dat de naleving hiervan wordt getoetst door de Verbijzonderde interne controle (VIC). Naast de ‘harde’ beheersmaatregelen ter voorkoming van fraude, is ook nadrukkelijk aandacht gevraagd voor de inzet op soft controls, bewustwording en blijvende aandacht voor frauderisico’s. In dat kader is het van belang om juist ook aandacht te geven aan soft controls. In de organisatie wordt hier al op verschillende wijzen aandacht aan gegeven. In 2023 is geen medewerkersfraude geconstateerd.

Onzekerheid geleverde prestaties zorgverleners

De gemeente heeft in 2024 de overeenkomsten met twee zorgverleners beëindigd. Dit besluit is ingegeven naar aanleiding van de uitkomsten van een gedegen onderzoek naar de dienstverlening van beide zorgaanbieders. Tijdens dit onderzoek zijn zowel formele als materiële tekortkomingen in de dienstverlening geconstateerd. De formele tekortkomingen strekken tot het niet zichtbaar kunnen aantonen dat medewerkers voldoen aan de vereiste kwalificaties voor de dienstverlening. De materiële tekortkomingen strekken tot het niet zichtbaar kunnen aantonen van geleverde dienstverlening in relatie tot verantwoorde uren. De totale cumulatieve omvang van de geleverde zorg van beide zorgverleners was circa € 700.000.

De gemeente hecht een zeer hoge waarde aan een goede en betrouwbare dienstverlening van zorgaanbieders. Vanuit dit perspectief zijn regelmatig contacten met aanbieders om de kwalitatieve dienstverlening te blijven handhaven en mogelijk nog te verbeteren. Ingevolge deze contacten zijn signalen van de materiële en formele tekortkomingen gedetecteerd. De gememoreerde contractontbinding wordt binnen ons totale zorglandschap beschouwd als een incident. Ter voorkoming van vergelijkbare incidenten in de toekomst worden in 2024 de aanwezige interne beheersmaatregelen geëvalueerd en mogelijk nog verder aangescherpt. Mogelijke voorbeelden in dit kader is de verdere intensivering van contractmanagement of controles op de juistheid van de urenregistraties van zorgverleners.