Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Colofon Samenstelling Rekenkamercommissie Externe leden De heer mr. P.M.B. Schrijvers (voorzitter) De heer ir. N. op de Laak De heer drs. R.G.L. Peeters RA Raadsleden Mevrouw A.P.H. Waajen-Crins Mevrouw P.T.G.J. Beeren-Adriaans De heer H.M. Hutjens Secretariaat Rekenkamercommissie Ambtelijk secretaris De heer A.H.C. Vestjens Adres Postbus 900 Telefoonnummer 0475 - 35 94 60 E-mail [email protected] Website www.roermond.nl November 2012
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Inhoudsopgave: 1. Aanleiding en doelstelling. 2. Afbakening, onderzoeksopzet en -methodiek. 3. Conclusies en aanbevelingen. Bijlagen: I Bestuurlijk hoor en wederhoor:
a. Reactie college van burgemeester en wethouders van Roermond
op de rapportage van de Rekenkamercommissie.
b. Nawoord Rekenkamercommissie.
II. Onderzoeksrapport van VKA: “Quick scan Informatievoorziening”.
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
1. Aanleiding en doel van het onderzoek.
De rekenkamercommissie (RKC) heeft op 5 maart 2012 de start van het vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT in de gemeente Roermond aangekondigd. De rekenkamercommissie heeft een onafhankelijke positie binnen de ge-meente. Dit betekent dat de rekenkamercommissie zelf bepaalt welke on-derwerpen worden onderzocht en hoe het onderzoek wordt ingericht. Zij maakt daarbij echter wel gebruik van eventuele verzoeken en suggesties van gemeenteraad, raadsfracties en derden. In dat kader doet zij ook oproe-pen aan alle raadsfracties om mogelijke onderzoeksonderwerpen aan te dragen. Mede gelet op de ontwikkelingen bij de gemeente Roermond m.b.t. het dienstverleningsconcept en de I-visie, het recent toetreden tot het samen-werkingsverband DIMPACT en ook de relatie tot de snelle ontwikkelingen van en de eisen aan de E-overheid, was dit onderzoeksonderwerp naar het oordeel van de RKC relevant. ICT-beleid is weliswaar in hoge mate uitvoering (een middel om bepaalde beleidsdoelstellingen te helpen realiseren) en dientengevolge in hoge mate een college-aangelegenheid (en een MT-ambtelijke aangelegenheid) maar (indirect) zeer cruciaal voor de doeltreffendheid en doelmatigheid van ge-meentelijk beleid als zodanig. Bovendien gaat ICT-beleid met grote beste-dingen gepaard. Ook die moeten voldoen aan de criteria van doelmatigheid, doeltreffendheid en rechtmatigheid. Daarmee behoren de bestuurlijke infor-matievoorziening en de bepaling van het ICT beleid als ondersteuning daar-van ook tot het raadsdomein. De rekenkamercommissie heeft ervoor gekozen om, gelet op de aard van het onderwerp, eerst een vooronderzoek uit te (laten) voeren naar het ‘het beleid, de organisatie en uitvoering van de ICT in de gemeente Roermond”. Dit vooronderzoek dient als het ware een foto van het gemeentelijk ICT-beleid op te leveren. Dat heeft op zichzelf al waarde. Het eigenlijke doel van het vooronderzoek is echter om op basis van de uitkomsten, als rekenka-mercommissie te kunnen beoordelen of (eventueel) aanvullend -meer ver-diepend- onderzoek (m.b.t. een of meer aspecten van het beleid c.q. van specifieke ICT-projecten) noodzakelijk is.
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
2. Afbakening, onderzoeksopzet en –methodiek. Het vooronderzoek kent de volgende afbakeningen: • Het vooronderzoek heeft het karakter van een quick scan met vooral oog
voor de breedte en compleetheid en met een beperkte diepgang; • Het onderzoeksgebied wordt gevormd door drie clusters: 1) informatie-
beleid, 2) besturing en organisatie van de informatievoorziening, informa-tiebeveiliging en projecten en 3) beheer en exploitatie van de informatie-voorziening en ICT;
• De te onderzoeken periode is vanaf 2007 naar de huidige situatie en vooruitkijkend naar relevante interne en externe ontwikkelingen.
De RKC heeft zich bij dit vooronderzoek laten ondersteunen door advies- en onderzoeksbureau Verdonck, Klooster & Associates b.v. (VKA). Voor deze quick scan heeft VKA uitgebreid documentenonderzoek gedaan (zie bijlage B bij het onderzoeksrapport van VKA). Dit onderzoek is aange-vuld met een zevental interviews met mensen op verschillende posities in de organisatie. De lijst met te interviewen personen is afgestemd met de RKC (zie bijlage C bij het onderzoeksrapport van VKA). Van alle interviews is een verslag gemaakt dat ter verificatie is verzonden aan de geïnterviewden. Na verwerking van commentaar en aanvullingen is een definitieve versie van het verslag in PDF-vorm toegezonden aan de ge-interviewden. De bevindingen zijn gerelateerd aan het normenkader en aan de informatie uit een benchmark. Op die manier ontstaat een beeld waar Roermond staat ten opzichte van het normenkader, en waar Roermond staat ten opzichte van andere gemeenten.
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
3. Conclusies en aanbevelingen. Hoofdconclusie. Het vooronderzoek geeft voor de rekenkamercommissie geen aanleiding tot nader vervolgonderzoek. Het beeld dat uit de rapportage naar voren komt laat zien dat de gemeente Roermond met de goede dingen bezig is, en haar zaken op hoofdlijnen goed voor elkaar heeft. Daarnaast heeft de gemeente een aantal ontwikkelingen in gang gezet, zoals het centraliseren van het ap-plicatiebeheer en de ontwikkeling van een referentiearchitectuur, die op kor-te termijn zullen bijdragen aan een (nog) betere beheersbaarheid van de informatievoorziening en ICT. Specifieke conclusies. In de rapportage van VKA worden per onderzoekscluster (“informatiebeleid”, “besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten” en “het beheer en exploitatie van de informatievoorziening en ICT”) de specifieke conclusies weergegeven. De rekenkamercommissie on-derschrijft deze conclusies. Aanbevelingen. De Rekenkamercommissie onderschrijft ook de aanbevelingen zoals weer-gegeven in de rapportage van VKA. De belangrijkste aanbeveling is om de betrokkenheid van de Raad bij het beleid rond informatievoorziening en ICT te versterken. De reden daarvoor is dat in de huidige tijd significante onderdelen van de informatievoorziening en ICT niet langer uitsluitend als bedrijfsvoering kunnen worden gezien. Zij spe-len in toenemende mate een belangrijke rol in het contact van de gemeente met de buitenwereld, en als primair productiemiddel in het realiseren van maatschappelijke doelen. Naarmate de gemeentelijke organisatie IV/ICT meer gaat inzetten in activiteiten die direct de samenleving raken, wordt be-trokkenheid van de Raad van groter belang. Daarnaast is ook de kwets-baarheid van organisaties toegenomen door activiteiten van hackers en cy-bercriminelen. Ook dit aspect rechtvaardigt een sterke betrokkenheid van de Raad vanuit haar kaderstellende en controlerende taak. De door de rekenkamercommissie onderschreven conclusies en aanbeve-lingen treft u in de onderzoeksrapportage (bijlage II) op twee plaatsen aan. In hoofdstuk 4 van het onderzoeksrapport vindt u de conclusies en aanbeve-lingen als afsluiting van elke cluster. In bijlage A vindt u een overzicht van alle conclusies en aanbevelingen.
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Bijlage I a.
Reactie college van burgemeester en wethouders van Roermond op de rapportage van de Rekenkamercommissie.
uw nummer RKC/2012/12 Rekenkamercommissie van de gemeente
Roermond
de tieer mr. P.IVI.B.Schrijvers
Postbus 900
6040 AX ROERIVIOND
uw datum 24 september 2012
onze datum verzonden
ons nummer 2012/uit/44294 15 oktober 2012
inlichtingen bij sector/afdeling doorkiesnr.
Dhr. W. Kaldenhoven SECR/Secretaris 0475-359 618
bijlage(n) betreffende
rapportage RKC Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT in Bestuurlijk wederhoor vooronderzoek naar het beleid, de organisatie en uitvoering van de ICT
Geachte heer Schrijvers,
Op 24 september 2012 heeft de Rekenkamercommissie van de gemeente Roermond (RKC) het
rapport aangaande het "Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT
van de gemeente Roermond" aan ons college voorgelegd voor wederhoor. Onderstaand ontvangt u
onze reactie.
Wij hebben met genoegen kennis genomen van uw conclusie, deze luidt: "Het beeld dat uit de
rapportage naar voren komt laat zien dat de gemeente met de goede dingen bezig is, en haar zaken
op hoofdlijnen goed voor elkaar heeft". In uw conclusie vermeldt u ook dat" Daarnaast heeft de
gemeente een aantal ontwikkelingen in gang gezet, zoals het centraliseren van het applicatiebeheer
en de ontwikkeling van een referentiearchitectuur, die op korte termijn zullen bijdragen aan een (nog)
betere beheersbaarheid van de informatievoorziening en ICT". Het vooronderzoek geeft geen
aanleiding om tot vervolgonderzoek over te gaan. Wij beschouwen uw conclusie als een bevestiging
dat wij de goede weg zijn ingeslagen en zullen op deze weg voortgaan.
In uw onderzoek heeft u bij de beantwoording van de onderzoeksvragen een relatie gelegd tussen de
mate waarin de gemeente Roermond aan het door u opgestelde normenkader voldoet en de mate
waarin een aantal 100.000+ gemeente voldoet aan dit normenkader. De onderzoekers zijn zich
bewust dat onze gemeente ca. 56.000 inwoners telt en daarmee aanzienlijk kleiner is dan de
benchmarkgemeenten. U geeft aan dat bij de interpretatie van de onderzoeksgegevens hiermee
rekening dient te worden gehouden. Uit uw rapport blijkt dat Roermond, als relatief kleine gemeente,
gelijk of nagenoeg gelijk scoort met de 100.000+ gemeenten. Opgemerkt wordt dat Nijmegen, als
grootste benchmarkgemeente, 164.000 inwoners telt en Delft, als kleinste benchmarkgemeente,
98.000 inwoners heeft. Wij beschouwen deze constatering als een compliment voor het gevoerde
beleid, de uitvoering van dit beleid en voor de functionarissen die hierbij zijn betrokken.
De belangrijkste aanbeveling uit uw onderzoek is: "de betrokkenheid van de Raad bij het beleid rond
informatievoorziening en ICT te versterken". De samenleving is de laatste jaren sterk veranderd.
Burgers en bedrijven venwachten een effectieve en efficiënte dienstverlening die 24/7 bereikbaar is.
stadhuis | IVlarkt 31 6041 EM | PostbusSOO 6040 AX Roermond | T 0475 35S SSS | F 0475 332 137 | Rabobank 1272.86.179
Ons nummer Pagina 2
Echter zijn wij van mening dat de manier waarop met behulp van ICT invulling wordt gegeven aan
deze digitale dienstverlening een bedrijfsvoeringsaspect is en daarmee een primaire aangelegenheid
is van het college en het ambtelijk apparaat. Dit sluit aan bij de huidige rolverdeling tussen de Raad,
B&W en de ambtelijke organisatie. Uiteraard zijn wij van mening dat de Raad voldoende geïnformeerd
moet worden om haar kaderstellende taak omtrent de digitale dienstverlening in voldoende mate uit te
kunnen oefenen.
Het rapport geeft tevens aanbevelingen omtrent de rolverdeling tussen het College en het ambtelijk
apparaat. Daarnaast worden aanbevelingen gedaan zoals het prioriteren van werkzaamheden en de
manier waarop projecten, strategie en beleid tot stand komen. Wij herkennen ons in deze
aanbevelingen. Wij zullen dan ook kritisch bekijken in welke mate wij uitvoering kunnen geven aan
deze aanbevelingen, zonder de huidige pragmatische insteek te verliezen. Deze werkt immers goed
en wordt ook onderschreven in uw onderzoek. Uiteraard met daarbij de aantekening dat dit binnen het
bestaande formatieve 'vierkant' dient te geschieden.
Burgemeester en wethouders van Roermond,
De secretaris, fi-, De wnd. burgemeester.
stadhuis | IVlarl<t31 6041 ElVl | Postbus 900 6040 AX Roermond | T 0475 359 999 | F 0475 332 137 | Rabobank 1272.86.179
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Bijlage I b. Nawoord Rekenkamercommissie op de reactie van het college van burgemeester en wethouders. Naar aanleiding van de reactie van het college van burgemeester en wet-houders van 15 oktober 2012 (nummer 2012/uit/44294).
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond Roermond
Nawoord Rekenkamercommissie naar aanleiding van de reactie van het college van burgemeester en wethouders. Naar aanleiding van het schrijven van het college van burgemeester en wet-houders van 15 oktober (nummer 2012/uit/44294) met de reactie op de conclusies en aanbevelingen van ons vooronderzoek merkt de Rekenka-mercommissie het navolgende op: De Rekenkamercommissie heeft kennis genomen van de bestuurlijke reactie op haar rapportage. In zijn reactie geeft het college aan zich in de aanbevelingen omtrent de rol-verdeling tussen het College en het ambtelijk apparaat en het prioriteren van werkzaamheden en de manier waarop projecten, strategie en beleid tot stand komen te herkennen. Deze reactie wordt vanzelfsprekend door de Rekenkamercommissie verwel-komd. Met betrekking tot de aanbeveling om de betrokkenheid van de raad bij het beleid rond informatievoorziening en ICT te versterken, neemt het college afstand in de zin dat zij stelt dat de manier waarop met behulp van ICT invul-ling wordt gegeven aan digitale dienstverlening een bedrijfsvoeringsaspect is. Het betreft naar het oordeel van het college primair een aangelegenheid van het college en het ambtelijk apparaat.
De Rekenkamercommissie ziet het niet als louter een vraagstuk van be-drijfsvoering. Natuurlijk zijn er bedrijfsvoeringaspecten, maar ICT is vandaag de dag een instrument dat in belangrijke mate het gevolg is van een ant-woord op de vraag: "Wat voor soort gemeente willen wij nu eigenlijk zijn". De Rekenkamercommissie wil -nogmaals- benadrukken dat informatievoorzie-ning en ICT van dusdanig groot belang zijn bij het realiseren van diverse maatschappelijke doelen dat dit een versterking van betrokkenheid van de Raad (in het kader van haar kaderstellende en controlerende rol) rechtvaar-digt. ICT geeft invulling aan de wijze waarop de rol van de gemeente wordt uitgevoerd. En dat is ook "van de Raad".
In dat licht is ook de aanbeveling te zien om (als college) jaarlijks een inte-graal informatieplan op te stellen voorzien van planningen, projectenportfolio en benodigde middelen en de raad hierover te informeren.
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
Bijlage II. Onderzoeksrapport. In opdracht van de Rekenkamercommissie is het vooronderzoek uitgevoerd en het onderzoeksrapport opgesteld door: Verdonck, Klooster & Associates b.v. Baron de Coubertinlaan 1 2719 EN Zoetermeer Onderzoekers: - De heer Leon Sonnenschein. - De heer John Buiting.
Vooronderzoek naar het beleid, de organisatie en de uitvoering van de ICT bij de gemeente Roermond
QUICK SCAN INFORMATIEVOORZIENING
Vooronderzoek voor de Rekenkamercommissie Roermond
2/97
3/97
QUICK SCAN INFORMATIEVOORZIENING
Vooronderzoek voor de Rekenkamercommissie Roermond
Léon Sonnenschein en John Buiting
DATUM 10 september 2012
STATUS Definitieve versie voor bestuurlijk wederhoor
VERSIE 1.0
Copyright © 2012 Verdonck, Klooster & Associates B.V.
Alle rechten voorbehouden. Niets van deze uitgave mag worden verveelvoudigd, opgeslagen in een
geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij
elektronisch, mechanisch, door fotokopieën, opnamen, of enige andere manier, zonder voorafgaande
schriftelijke toestemming van de auteursrechthebbende.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 4/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 5/97
INHOUDSOPGAVE
1 inleiding 7 1.1 Aanleiding 7 1.2 Doel van het vooronderzoek 8 1.3 Afbakening van de opdracht 8
2 De quick scan 11 2.1 Te onderzoeken clusters 11 2.2 Bepaling potentiële onderwerpen voor nader onderzoek 12 2.3 Onderzoeksmethode 13 2.4 De Benchmark 13
3 Leeswijzer 15 3.1 Opbouw van de clusterbeschrijvingen 15
4 Bevindingen conclusies en aanbevelingen 17 4.1 Cluster 1: het beleid rondom de informatievoorziening 17 4.2 Cluster 2a: Besturing en organisatie van de informatievoorziening 29 4.3 Cluster 2b: Besturing en organisatie van de informatiebeveiliging 46 4.4 Cluster 2c: Besturing en organisatie van de projecten 55 4.5 Cluster 3: Beheer en exploitatie van de informatievoorziening 64
A Conclusies en aanbevelingen op een rij 74
B Geraadpleegde documentatie 89
C Lijst geïnterviewde personen 91
D MISSIE DOELEN EN STRATEGISCHE KEUZES UIT DE I-VISIE 93
E BEKNOPTE OMSCHRIJVING VAN DE ONTWIKKELINGEN BESCHREVEN IN DE I-
VISIE 95
F RELEVANTE WET- EN REGELGEVING BEVEILIGINGSBELEID 97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 6/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 7/97
1 INLEIDING
De Rekenkamercommissie van de gemeente Roermond (verder: RKC) heeft als taak de
doelmatigheid, de doeltreffendheid en de rechtmatigheid te onderzoeken van het door het
gemeentebestuur gevoerde bestuur. Het doel van deze onderzoeken is verbeterpunten aan te
dragen voor de politieke en ambtelijke organisatie ten einde daarvan te kunnen leren. De RKC ziet
het als haar missie om het volgende zichtbaar te maken:
• Waar de gemeente Roermond haar geld aan besteedt;
• Wat er van die bestedingen terecht komt in de zin van resultaat en maatschappelijke
effecten;
• Hoe dat zich verhoudt tot het beleid dat de gemeenteraad vooraf heeft geformuleerd.
De RKC heeft VKA opdracht gegeven een vooronderzoek uit te voeren naar het "het beleid, de
organisatie en uitvoering van de ICT in de gemeente Roermond”. De uitkomsten van dit
vooronderzoek kunnen later (mogelijk) de basis vormen voor een verdiepend onderzoek naar één
of meer aspecten van dit beleid c.q. van specifieke ICT-projecten.
De resultaten van dit vooronderzoek dat het karakter heeft van een quick scan vindt u in de
voorliggende rapportage.
1.1 Aanleiding
De aanleiding voor het vooronderzoek heeft de RKC als volgt verwoord in haar offerteaanvraag:
De uitvoering van praktisch alle gemeentelijke taken is niet meer goed mogelijk zonder de
ondersteuning van een adequaat ICT systeem. De wetgever vereist bij de uitvoering van de taken
een geautomatiseerd proces (van aanvraag tot en met besluit).
De afhankelijkheid van de geautomatiseerde informatievoorziening roept vele kwesties op, zoals:
Deskundigheid op gemeentelijk niveau (informatiemanagement, kennis van software);
• “State of the art” van de hardware en software;
• “match” tussen het gemeentelijk beleid en de geautomatiseerde informatievoorziening;
• beveiliging en privacybescherming;
• financiële beheersbaarheid.
Voorbereiding, uitvoering en controle van beleid en bestuur zijn niet meer goed mogelijk zonder
geautomatiseerde ondersteuning. De recente problematiek rond DIGINOTAR geeft aan hoe snel en
hoe groot risico’s voor het functioneren van het openbaar bestuur intern en extern (dienstverlening
aan burgers) kunnen opdoemen.
Mede gelet op de huidige ontwikkelingen in Roermond m.b.t. het dienstverleningsconcept en de I-
visie, het recent toetreden tot het samenwerkingsverband DIMPACT en ook de relatie tot de snelle
ontwikkelingen van en de eisen aan de e-overheid, lijkt dit onderzoeksonderwerp de RKC relevant.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 8/97
ICT-beleid is weliswaar in hoge mate uitvoering (een middel om bepaalde beleidsdoelstellingen te
helpen realiseren) en dientengevolge in hoge mate een collegeaangelegenheid (en een MT-
ambtelijke aangelegenheid) maar (indirect) zeer cruciaal voor de doeltreffendheid en
doelmatigheid van gemeentelijk beleid als zodanig. Bovendien gaat ICT-beleid met grote
bestedingen gepaard. Ook die moeten voldoen aan de criteria van doelmatigheid, doeltreffendheid
en rechtmatigheid.
1.2 Doel van het vooronderzoek
De Rekenkamercommissie heeft opdracht gegeven tot het uitvoeren van een vooronderzoek
(quick scan) waarbij - terugkijkend op een bepaalde periode (vanaf 2007) en vooruitkijkend in het
licht van relevante interne en externe ontwikkelingen- in eerste instantie een aantal zaken op een
rij gezet kunnen worden. Dit onderzoek dient als het ware een foto van het gemeentelijk ICT-
beleid op te leveren.
In dit vooronderzoek zou in ieder geval meegenomen dienen te worden:
• hoe is het ICT-beleid in de organisatie ingebed (bevoegdheden/verantwoordelijkheden);
• schets van de belangrijkste ontwikkelingen / ICT-activiteiten/ ICT-projecten;
• schets van de belangrijkste opgaven in relatie tot ICT (wettelijke vereisten, eisen Rijk, interne
wensen);
• de wijze van vormgeving van de informatiebeveiliging;
• ICT-bestedingen in kaart brengen (wellicht met globale benchmark, vergelijking kengetallen);
• hoe verlopen besluitvormingstrajecten m.b.t. ICT(investeringen);
• hoe verloopt de bestuurlijke sturing rondom ICT / wat is de betrokkenheid van de Raad;
• welke (mogelijke) knelpunten worden waargenomen.
Voor de RKC heeft het vooronderzoek op zich al waarde. Er wordt in één document overzicht van
en inzicht verschaft in de status van het ICT-beleid binnen de gemeente Roermond. Beleidsmatige,
organisatorische en financiële knelpunten kunnen zo zichtbaar gemaakt worden.
Het onderzoek is (in deze fase) niet bedoeld om als RKC een definitief standpunt en/of
waardeoordeel te kunnen vellen omtrent het gevoerde ICT-beleid. De RKC dient wel op basis van
het vooronderzoek te kunnen beoordelen of er een verdiepend onderzoek met betrekking tot een
of meer specifieke aspecten binnen het ICT-beleid opgezet dient te worden, al dan niet in relatie
tot bepaalde projecten/trajecten.
1.3 Afbakening van de opdracht
Dit onderzoek kent de volgende afbakeningen:
• Het vooronderzoek heeft het karakter van een quick scan met vooral oog voor de breedte en
compleetheid en met een beperkte diepgang;
• Het onderzoeksgebied wordt gevormd door drie clusters: 1) informatiebeleid, 2) besturing en
organisatie van de informatievoorziening, informatiebeveiliging en projecten en 3) beheer en
exploitatie van de informatievoorziening en ICT;
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 9/97
• De te onderzoeken periode is vanaf 2007 naar de huidige situatie en vooruitkijkend naar
relevante interne en externe ontwikkelingen.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 10/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 11/97
2 DE QUICK SCAN
Om te bepalen op welke gebieden een verdiepend vervolgonderzoek gaat plaatsvinden, vraagt de
RKC om een zo compleet mogelijk beeld van het beleid, de organisatie en uitvoering van ICT in de
gemeente Roermond.
2.1 Te onderzoeken clusters
Hiervoor heeft VKA een quick scan uitgevoerd waarbij de volgende clustering is gehanteerd:
• het beleid rondom de informatievoorziening;
• de besturing en organisatie van informatievoorziening, informatiebeveiliging en
projecten;
• het beheer en de exploitatie van de informatievoorziening en ICT.
Aan de hand van een aantal vragen komt VKA tot een beeld dat de essenties weergeeft hoe
Roermond er per cluster voor staat. In het onderstaande zijn de clusters beknopt beschreven.
BELEID INFORMATIEVOORZIENING
Voor het Informatiebeleid worden enerzijds de beleidsdoelstellingen als startpunt genomen en
anderzijds de doelstellingen voor de bedrijfsvoering. Er wordt onderzocht in hoeverre er een
verband bestaat tussen gemeentelijke doelstellingen (onder andere op basis van het
Collegeprogramma) en het Informatiebeleid.
Ook wordt gekeken in hoeverre relevante externe ontwikkelingen (zie bijvoorbeeld ‘@genda 2015:
slimme verbindingen gemeentelijke agenda informatiebeleid’ van de VNG waarin de belangrijkste
uitdagingen voor de komende jaren zijn geschetst) zijn verwerkt in het informatiebeleid en hoe dit
afsteekt tegen andere gemeenten. Ten slotte is hier ook de vraag aan de orde in hoeverre de
huidige situatie is meegenomen in het informatiebeleid. Denk hierbij aan de sterktes en zwaktes
van de (ICT) organisatie, de kwaliteit van informatievoorziening, en de mate waarin deze past op
de beoogde voorziening.
BESTURING EN ORGANISATIE VAN DE INFORMATIEVOORZIENING, INFORMATIEBEVEILIGING EN
PROJECTEN
Voor de besturing en organisatie van de informatievoorziening, informatiebeveiliging en projecten
wordt onderzocht op welke wijze de gemeenteraad, het College en het ambtelijk apparaat hun
rollen invullen in de cyclus van beleidsvorming, -bepaling, -uitvoering en -evaluatie. Dit verschaft
inzicht, zeker wanneer dit beschouwd wordt in het licht van een benchmark.
In het normenkader dat de onderzoekers als referentiekader hanteren (zie paragraaf 2.2) wordt
uitgegaan van een sterke betrokkenheid van de Raad. Bij veel gemeenten worden
Informatievoorziening en ICT (IV/ICT) traditioneel gezien als onderdeel van de bedrijfsvoering, en
daarmee als verantwoordelijkheid van het College. In de huidige samenleving spelen significante
onderdelen van de IV/ICT echter in toenemende mate een belangrijke rol in het contact van
gemeenten met de buitenwereld, en als primair productiemiddel in het realiseren van
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 12/97
maatschappelijke doelen. Naarmate de gemeentelijke organisatie IV/ICT meer gaat inzetten in
activiteiten die direct de samenleving raken, wordt betrokkenheid van de Raad van groter belang.
Daarnaast is ook de kwetsbaarheid van organisaties toegenomen door activiteiten van hackers en
cybercriminelen. Ook dit aspect rechtvaardigt een sterke betrokkenheid van de Raad vanuit haar
kaderstellende en controlerende taak.
Daarnaast wordt binnen dit cluster op hoofdlijnen een analyse gemaakt van de ICT-projecten
portfolio, de opbouw en transparantie van de portfolio, de wijze waarop hier sturing plaatsvindt
en de wijze waarop projecten afzonderlijk worden aangestuurd. Tot slot wordt in dit cluster ook
gekeken naar de wijze waarop de besturing van de informatiebeveiliging inhoudelijk en
organisatorisch is vorm gegeven.
BEHEER EN EXPLOITATIE VAN DE INFORMATIEVOORZIENING EN ICT
Voor beheer en exploitatie wordt onderzocht op welke wijze de ICT middelen worden gemanaged.
De belangrijkste onderwerpen zijn hier:
Zijn de prestatiefactoren waarop gestuurd wordt (service levels) in de gehele keten van beheer
geborgd? Zijn deze in lijn met organisatiedoelstellingen en beleid? Is de beheerorganisatie in staat
te leveren? Zijn de beheerprocessen adequaat ingericht, en komt de kwaliteit van het geleverde
overeen met de doelstellingen?
2.2 Bepaling potentiële onderwerpen voor nader onderzoek
De RKC wenst met het vooronderzoek een basis te hebben om te bepalen op welke onderwerpen
later (mogelijk) een verdiepend onderzoek wordt uitgevoerd. Om te bepalen of, en op welke
onderwerpen, verdiepend onderzoek nodig is hanteert VKA in dit onderzoek twee
referentiekaders. Het eerste referentiekader wordt gevormd door een 'normenkader' dat VKA
hanteert voor quick scans op het gebied van informatievoorziening. Dit kader beschrijft een
ideaaltypische situatie volgens internationaal geaccepteerde standaarden voor IT-governance. De
normen uit dit kader fungeren hier echter nadrukkelijk niet als voorschrijvend, maar, in overleg
met de RKC, als referentiepunten.
Het tweede referentiekader wordt gevormd door benchmarkinformatie waarover VKA beschikt.
Het gaat hier om informatie uit een benchmark uitgevoerd door VKA onder een zestal 100.000+
gemeenten. Ook hier geldt weer dat de benchmark niet als voorschrijvend wordt gehanteerd,
maar vergelijkingsmateriaal. op de onderzochte onderwerpen. situatie in een zestal
Om te bepalen of, en op welke onderdelen vervolgonderzoek nodig is, heeft VKA de volgende
activiteiten uitgevoerd:
• het positioneren van de situatie in de gemeente Roermond ten opzichte van het
normenkader.
• Het positioneren van de situatie in de gemeente Roermond ten opzichte van de situatie in
de benchmarkgemeenten.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 13/97
Door deze twee stappen te zetten wordt inzichtelijk gemaakt welke positie Roermond inneemt op
de verschillende informatiebeleidsgebieden ten opzichte van a) het normenkader en b) andere
gemeenten. Door significante afwijkingen – die op knelpunten kunnen wijzen – in beeld te
brengen, kan vastgesteld worden welke onderwerpen eventueel aanleiding vormen voor een
verdiepend onderzoek.
2.3 Onderzoeksmethode
Voor deze quick scan heeft VKA uitgebreid documentenonderzoek gedaan (zie bijlage B).
Dit onderzoek is aangevuld met een zevental interviews met mensen op verschillende posities in
de organisatie. De lijst met te interviewen personen is afgestemd met de RKC (zie bijlage C).
Van alle interviews is een verslag gemaakt dat ter verificatie is verzonden aan de geïnterviewden.
Na verwerking van commentaar en aanvullingen is een definitieve versie van het verslag in PDF-
vorm toegezonden aan de geïnterviewden.
De bevindingen zijn gerelateerd aan het normenkader en aan de informatie uit de benchmark. Op
die manier ontstaat een beeld waar Roermond staat ten opzichte van het normenkader, en waar
Roermond staat ten opzichte van andere gemeenten.
2.4 De Benchmark
Om vast te stellen waar de gemeente Roermond staat met haar informatiebeleid ten opzichte van
andere gemeenten zijn de bevindingen gerelateerd aan benchmark informatie waarover VKA
beschikt. Het betreft dus geen specifiek voor dit onderzoek uitgevoerde benchmark.
De benchmark informatie is gebaseerd op:
• een benchmark enquête met 25 open vragen onder 100.000+ gemeenten in stedelijk
gebied: Amersfoort, Delft, Zoetermeer, Zwolle, Dordrecht en Nijmegen (verder te noemen:
benchmarkgemeenten). Deze gemeenten hebben de vragen beantwoord en hun
informatiebeleidsplannen (en in enkele gevallen beschikbare benchmark rapportages)
aangeleverd.
• beschikbare onderzoeksrapportages van benchmarks op het gebied van kosten en
personeel met betrekking tot informatiebeleid in de gemeentelijke sector waar de
deelnemers aan de VKA-benchmark aan hebben deelgenomen en die zij aan VKA ter
beschikking hebben gesteld. Het betreft hier rapportages van Gartner, M&I-partners en
Berenschot.
In deze benchmark is onderzoek gedaan naar drie clusters die onderscheiden worden binnen het
normenkader:
• het beleid rondom de informatievoorziening;
• de besturing en organisatie van informatievoorziening, en projecten
(informatiebeveiliging was wel onderdeel maar geen specifiek item in de benchmark);
• het beheer en de exploitatie van de informatievoorziening en ICT.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 14/97
De focus van de benchmark lag op de governance rondom het informatiebeleid met daarbinnen
speciale aandacht voor de rolverdeling tussen de Raad en het College. Uitgangspunt van het
benchmark onderzoek was dat de anonimiteit van de deelnemende gemeenten werd
gegarandeerd. De resultaten in hoofdstuk 3 zijn daarom zodanig gepresenteerd dat zij niet één op
één herleidbaar zijn tot een gemeente.
De benchmark informatie betreft 100.000+ gemeenten. De gemeente Roermond telt ca. 56.000
inwoners en is dus aanzienlijk kleiner dan de benchmarkgemeenten. In de interpretatie dient hier
rekening mee gehouden te worden.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 15/97
3 LEESWIJZER
In hoofdstuk 4 vindt u per cluster de bevindingen, gevolgd door de conclusies en aanbevelingen bij
dat cluster.
3.1 Opbouw van de clusterbeschrijvingen
Elk cluster begint met een korte normatieve omschrijving van het cluster, en de normen voor dat
cluster uit het normenkader. Vervolgens vindt u achtereenvolgens de bevindingen uit de
documentatie, de bevindingen uit de interviews en de bevindingen uit de benchmark. In de
afsluitende paragraaf van elk cluster geven wij de positie aan van de gemeente Roermond ten
opzichte van het normenkader en de benchmark en formuleren aanbevelingen.
Om de leesbaarheid te bevorderen hebben wij bij de bevindingen ervoor gekozen tussenkopjes
toe te voegen die niet geheel de normen volgen. Dit zou leiden tot teveel herhaling en
kunstmatige scheiding van informatie. Naar onze mening reflecteert de wijze waarop de
informatie is weergegeven echter voldoende het normenkader om op logische wijze de conclusies
op basis van het normenkader te kunnen trekken.
Met betrekking tot de bevindingen uit de documentatie hebben wij ervoor gekozen de voor dat
cluster relevante documenten te beschrijven op het niveau van vaststelling (Raad, College, MT,
anders), korte typering van het stuk, de voor dat thema relevante inhoud. Het kan daardoor zo zijn
dat eenzelfde document op meerdere plaatsen in een cluster aan bod komt.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 16/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 17/97
4 BEVINDINGEN CONCLUSIES EN AANBEVELINGEN
4.1 Cluster 1: het beleid rondom de informatievoorziening
Dit cluster heeft betrekking op de inhoudelijke basis van de Informatievoorzieningstrategie.
4.1.1 Omschrijving
De gemeente beschikt over een uitgewerkte en door de gemeenteraad geaccordeerde
informatievoorzieningstrategie. Deze is opgesteld door het College, en afgeleid vanuit de
beleidsdoelen van het College (Coalitieakkoord), de lange termijn strategische visie van de
gemeente, en de financiële vertaling daarvan in de programmabegroting. Voor het beoordelen van
deze informatievoorzieningstrategie worden tevens een aantal normen gehanteerd die ontleend
zijn aan de overheidsbrede beleidskaders voor overheidsdienstverlening en informatievoorziening
en kaders die aangereikt worden door het Kwaliteitsinstituut Nederlandse Gemeenten (KING). Het
College stelt ook de bestuurlijke kaders en de verantwoordelijkheidsverdeling voor de
informatievoorziening op. Dit leidt tot een door de Raad vastgesteld meerjaren
informatievoorzieningstrategie met toekomstgerichte keuzen, onder andere voor te starten
informatievoorzieningprogramma's en/of -projecten. Deze Informatiestrategie sluit qua
tijdshorizon aan op de coalitieperiode.
NORMENKADER
Norm 1: Het College stelt de informatievoorzieningstrategie op waarin de toekomstige behoefte
aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze –
is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente.
Norm 2: Het College werkt op basis van de door de Raad vastgestelde
informatievoorzieningstrategie kaders en richtlijnen uit voor het inrichten van de
informatievoorziening.
Norm 3: Het College vertaalt de informatievoorzieningstrategie naar een Informatieplan met
bijbehorende projectenportfolio en de bijbehorende middelen.
Norm 4: In de informatievoorzieningstrategie van de gemeente Roermond wordt aangesloten bij
landelijke beleidsvisies op dienstverlening en e-overheid zoals vastgelegd in het Nationaal
Uitvoering Programma e-overheid van het Ministerie van BZK, de VNG visie op dienstverlening
'Dienstverlening draait om mensen', 'Het gemeentelijk fundament' van KING, de
architectuurkaders NORA en GEMMA, en de visie van de Bestuurlijke Regiegroep Dienstverlening
en E-overheid waarin ook de VNG zitting heeft: 'Dienstverlening samen doen’:
1. de vraag van burgers, bedrijven en instellingen staat centraal.
2. burgers, bedrijven en instellingen moeten hun zaken snel en zeker kunnen regelen.
3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen hun
organisaties, maar opereert als één overheid.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 18/97
4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is opgenomen
en informatie die binnen de eigen organisatie beschikbaar is, wordt niet nogmaals
gevraagd.
5. de overheid is transparant en aanspreekbaar.
6. de overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de
behoeften van burgers, bedrijven en instellingen.
Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op het
gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken van het
gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering, DigiMelding,
DigiMachtiging en DigiPoort.
Norm 6: Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op
de informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken,
zoals de (jeugd)zorg, WMO, Werk en inkomen en toezicht en handhaving.
4.1.2 Bevindingen op basis van de documentatie
INFORMATIEVOORZIENINGSTRATEGIE
Relevante documenten: I-visie 2011, I-visie 2007-2011
I-visie 2011
De I-visie 2011 van de gemeente Roermond is op 2 februari 2011 vastgesteld door het
management team en op 15 maart 2011 vastgesteld door het College
De I-Visie 2011 biedt het lange termijn perspectief op informatievoorziening van de gemeente
Roermond, met richtinggevende strategische keuzes in het licht van de huidige en toekomstige
ontwikkelingen. De I-visie 2011 is niet voorzien van een tijdsplanning. Ook wordt in het stuk geen
tijdshorizon genoemd.
De I-visie 2011 is mede gebaseerd op maatschappelijke ontwikkelingen, ICT-ontwikkelingen,
landelijke programma's en wet- en regelgeving op het gebied van de e-overheid, de 'Strategische
visie Roermond 2020', het 'dienstverleningsconcept Beleef Roermond!', het 'Programma
Excellente dienstverlening' van de gemeente Roermond, en interne ontwikkelingen bij de
gemeentelijke organisatie zoals het benutten van ICT voor het efficiënter en effectiever maken van
processen. Deze thema's zijn vertaald naar een missie en doelen voor de informatievoorziening
van de gemeente Roermond en voorzien van strategische keuzes die in de I-visie zelf nader zijn
toegelicht. Aan het eind schetst de I-visie in beknopte vorm het vervolgproces. De missie, doelen
en strategische keuzes vindt u in bijlage C. Een beknopt overzicht van de ontwikkelingen die in de
I-visie zijn meegenomen vindt u in bijlage D.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 19/97
Van de interne ontwikkelingen zijn een aantal ontwikkelingen is het Collegeprogramma 2010-2014
'Slagvaardig en spaarzaam' niet expliciet meegenomen in de I-visie 2011. De implicaties van onder
andere de taakstelling van 3,2 miljoen euro op de bedrijfsvoering van de gemeente Roermond in
2016. De aanvullende taakstelling van 2,7 miljoen euro uit de begroting van 2012 en de recente
uitkomsten van de kerntakendiscussie die vervat zijn in het zogeheten 'Kerntakenboek', zijn
uiteraard ook nog niet meegenomen. Deze zijn van later datum dan de I-visie. Er heeft geen
bijstelling van de I-visie plaats gevonden naar aanleiding van deze ontwikkelingen. De uitkomst van
de kerntakendiscussie is o.a. dat de gemeente Roermond kiest voor een andere rolopvatting. Niet
meer de rol van probleemoplosser, maar die van regisseur. Dat betekent o.a. dat de gemeente een
deel van de uitvoering wil afstoten.
Een aantal landelijke beleidsvisies komen niet expliciet terug in de I-visie 2011, zoals 'Het
gemeentelijk fundament' van KING en 'Dienstverlening samen doen’ van de Bestuurlijke
Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft. Deels is dat te
verklaren uit het feit dat de ontwikkeling van sommige visies parallel plaats vond aan de
ontwikkeling van de I-visie. Inhoudelijk worden de thema's, ook van deze relatief nieuwe
beleidsvisies echter wel gedekt door de I-visie 2011.
In de I-visie 2011 wordt niet ingegaan op de implicaties voor de informatievoorziening van
ontwikkelingen in de verschillende maatschappelijke beleidssectoren zoals de (jeugd)zorg, WMO,
werk&inkomen, en toezicht en handhaving.
I-visie 2007 – 2011
De I-visie 2007 - 2011 van de gemeente Roermond is niet vastgesteld op het niveau van Raad,
College of MT. Het betreft een interne notitie.
De I-visie 2007 – 2011 verwoordt de visie van de gemeente Roermond op de Informatie-
voorziening voor de periode 2007 – 2011. Zij geeft aan op welke wijze Informatievoorziening de
toekomstige ontwikkelingen van de gemeente optimaal kan ondersteunen. Deze I-visie 2007 –
2011 geeft een beeld van de richting. Zij bevat geen uitgebreide analyse van in- en externe
ontwikkelingen, en van landelijke beleidsvisies. De thema's die in de nota worden geadresseerd
reflecteren wel de ontwikkelingen van dat moment op landelijk niveau met betrekking tot e-
overheid en e-dienstverlening, waaronder de Nederlandse Overheids Referentie Architectuur,
digitale overheid, één loket, en Basisadministraties.
KADERS EN RICHTLIJNEN VOOR DE INRICHTING VAN DE INFORMATIEVOORZIENING
Relevante documenten: Kadernota ICT 2003, Enable U, Quick scan voor de Gemeente Roermond,
Checklist Informatiemanagementbeleid 2010, ICT-beveiligingsbeleid.
Kadernota ICT 2003
De kadernota ICT van de gemeente Roermond is op 9 juli 2003 goedgekeurd door het College en
op 8 september 2003 ter kennisname voorgelegd aan de Commissie AZ&C van de Raad.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 20/97
De kadernota is destijds op verzoek van de Raad tot stand gekomen. Zij schetst een beeld van de
op dat moment geldende situatie, knelpunten, witte vlekken en toekomstbeeld en bevat een
financiële paragraaf voor benodigde investeringen. De kadernota gaat met name in op hardware,
en systemen die de bedrijfsvoering ondersteunen. De nota heeft meer het karakter van een I-visie
dan van een kadernota, waarin richtinggevende kaders worden vastgelegd.
Enable U, Quick scan voor de Gemeente Roermond
In 2010 heeft de gemeente Roermond een quick scan uit laten voeren naar de I-architectuur
'Enable U, Quick scan voor de Gemeente Roermond'. Doelstelling van het onderzoek was om in
korte tijd een helder beeld te verkrijgen van de huidige situatie, en om de mogelijke en
noodzakelijke verbeteringen aan te geven in de I-architectuur om het programma dienstverlening
een impuls te geven zodat in 2011 tot concrete resultaten gekomen kon worden. De quick scan is
gebaseerd op NORA 3.0 en GEMMA inrichtingsprincipes, best practices en ervaringen van Enable-U
en uitgangspunten uit het programma dienstverlening als ook thema‟s uit het informatie-
management beleidstuk Architectuur. De quick scan heeft geleid tot aanbevelingen ten aanzien
van: werken onder architectuur, front office en mid-office. Daarnaast bevat de rapportage
Programma's van eisen voor een formulierengenerator. een CMS, een mid-office broker en
webservices, Open source CMS en een opzet voor een effectieve service gerichte architectuur voor
de gemeente Roermond.
Checklist Informatiemanagementbeleid 2010
De Checklist Informatiemanagementbeleid is vastgesteld door het MT op 17 maart 2010.
De checklist wordt door de I-adviseurs gebruikt in het overleg met de afdelingshoofden, en wordt
toegepast door de afdelingshoofden bij het nemen van beslissingen ten aanzien van aanschaf
en/of vervanging van applicaties. De checklist is een tijdelijke maatregel in afwachting van een
Roermondse referentiearchitectuur.
ICT-beveiligingsbeleid 2009
Het ICT-beveiligingsbeleid versie 2.1 van de gemeente Roermond is vastgesteld door het College
op 18 augustus 2009. Dit beleid bevat richtlijnen voor de informatievoorziening met betrekking de
beveiliging van informatie en privacybescherming. Op dit beleid wordt uitgebreider ingegaan in
cluster 2b: de besturing en organisatie van de informatiebeveiliging. Het geactualiseerde ICT
beveiligingsbeleid zal op 20 augustus 2012 in het college zal worden behandeld.
INFORMATIEPLAN, PROJECTENPORTFOLIO EN MIDDELEN
Relevante documenten: Programmaplan Excellente Dienstverlening, Uitgangspunten
projectmanagement voor bedrijfsvoeringsprojecten, Voorstel Raad toetreding tot coöperatieve
vereniging Dimpact, KCC-visie
Programmaplan Excellente Dienstverlening
Het Programmaplan Excellente dienstverlening is goedgekeurd door het MT in januari 2010. De
projectenportfolio wordt jaarlijks vastgesteld door het MT.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 21/97
Het programmaplan Excellente Dienstverlening is de belangrijkste drager voor de implementatie
van de I-visie 2011 en is op haar beurt gebaseerd op de doelstelling voor excellente
dienstverlening uit de strategische visie Roermond 2020.
Het Programmaplan vertaalt het dienstverleningsconcept van de gemeente Roermond naar
concrete bedrijfsvoeringprojecten. Het bestaat uit een groot aantal projecten die ieder op hun
eigen gebied een bijdrage leveren aan het verbeteren van de gemeentelijke dienstverlening. Zo
zijn er projecten gericht op ICT, organisatie van producten/diensten/werkprocessen, HRM en
datadistributie. Uitvoering van deze projecten gebeurt in onderlinge samenhang en in een logische
volgorde. Om de logische volgorde en onderlinge samenhang te waarborgen zijn de projecten
verdeeld over verschillende jaarschijven (plateaus). De horizon van het huidige programmaplan is
2013. Het Programmaplan bevat een uitgebreide projectenportfolio van met name projecten op
het gebied van informatievoorziening, die jaarlijks wordt bijgesteld en vastgesteld door het MT.
Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten
De notitie 'Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten' is op 9 mei 2007
goedgekeurd door het managementteam van de gemeente Roermond.
De notitie geeft een uitgebreid overzicht van de uitgangspunten en randvoorwaarden voor het
projectmanagement van bedrijfsvoeringsprojecten. Aandacht wordt besteed aan o.a. het
afwegingskader voor projecten, de cyclus voor het vaststellen van de projectenkalender, en de
projectrapportages, het eigenaar- en sponsorschap van projecten, de projectleidersrol en de
bijbehorende (budget)bevoegdheden, de contractuele relatie tussen projectleider en
projecteigenaar, bemensing van de projectleidersrol en de personele capaciteit voor projecten, de
variabele beloning van projectleiders, de verhouding tussen afdelingshoofd en projectleider.
De notitie belegt het eigenaarschap van bedrijfsvoeringsprojecten altijd bij het MT. En voor elk
project wordt altijd één MT-lid als sponsor van het project benoemd. In aanvulling op de notitie
zijn er formats voor projectafweging en projectinitiatie ontwikkeld.
Voorstel Raad toetreding tot coöperatieve vereniging Dimpact
De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact.
Dimpact is een samenwerkingsverband van gemeenten op het gebied van e-dienstverlening. Het
besluit van de Raad is onderbouwd met een onderzoek dat het MT heeft laten uitvoeren naar
'Acceleratie van het Programma Excellente Dienstverlening'. Dit onderzoek bevat een business
case, waarin verschillende alternatieven – samenwerking Dimpact, samenwerking GovUnited, zelf
een 'all-inclusive-oplossing' aanschaffen – tegen elkaar worden afgewogen. Conclusie uit het
rapport is dat aansluiting bij Dimpact een belangrijke stap is om op een goede en kostenefficiënte
manier de voorzieningen te realiseren op het gebied van informatievoorziening en ICT, die nodig
zijn om de doelstellingen van het Programma Excellente Dienstverlening versneld te realiseren.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 22/97
KCC-visie 2011
De KCC-visie 2011 van de gemeente Roermond is op 22 maart 2011 vastgesteld door het college
De KCC-visie geeft verdere uitwerking aan het programmaplan Excellente dienstverlening en gaat
in op doel en functie van het KCC.
4.1.3 Bevindingen op basis van de interviews
INFORMATIEVOORZIENINGSTRATEGIE
Bestuurlijk gezien was er tot 2010 weinig belangstelling voor Informatiebeleid. De I-visie 2011 is
mede op initiatief van de wethouder, die in april 2010 toetrad tot het College, tot stand gekomen.
De wethouder is nauw betrokken geweest bij de totstandkoming ervan en deze is besproken in het
College. Voor het bestuur ligt het speerpunt van de informatievoorzieningstrategie bij de
dienstverlening aan de burger.
KADERS EN RICHTLIJNEN VOOR DE INRICHTING VAN DE INFORMATIEVOORZIENING
De Kadernota ICT 2003 is geactualiseerd in 2007 in de vorm van de I-visie 2007-2011. Deze is wel
gepresenteerd aan de Commissie Financiën, maar nergens formeel vastgesteld.
De gemeente Roermond beschikt niet over een vastgestelde Informatiearchitectuur die kan dienen
als kader voor beslissingen op het gebied van informatievoorziening en ICT op specifieke
beleidsterreinen. In 2010 heeft de Gemeente Roermond het onderzoek Enable U, Quick scan voor
de Gemeente Roermond laten uitvoeren. Op basis hiervan zijn architectuurproducten in de maak
en worden de komende jaren verder ontwikkeld. M.b.t. I&A wordt wel gestuurd op integraliteit en
standaarden. Er wordt gekeken of een oplossing ook voor andere sectoren van belang is/kan zijn
en, of deze kan worden gerealiseerd met bestaande middelen. De standaarden worden
vastgesteld door het MT.
Roermond wil de landelijke ICT standaarden volgen en zoekt nu actief naar samenwerkingsvormen
met andere gemeenten. De landelijke standaarden hebben betrekking op gezamenlijke keuzes
voor software enof dienstverleningsmodellen. De samenwerkingsvormen met collega-gemeenten
zijn in deze fase meer gericht op de ICT-infrastructuur. Roermond is toegetreden tot het
samenwerkingsverband Dimpact. Door deze samenwerking beschikt zij automatisch over front- en
mid-office systemen die voldoen aan de landelijke standaarden. Door de toetreding tot Dimpact en
de implementatie hiervan zal Roermond voor een belangrijk deel invulling geven aan de
aanbevelingen uit het rapport Enable U.
Er is geen vastgesteld sourcingsbeleid dat kan dienen als kader voor besluitvorming ten aanzien
van uitbesteding of samenwerking op het gebied van informatievoorziening en ICT.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 23/97
Toetreding tot Dimpact
Een belangrijke ontwikkeling met betrekking tot de uit voering van de
Informatievoorzieningstrategie van de gemeente Roermond is de toetreding tot het
samenwerkingsverband Dimpact. Gezien het belang hiervan wordt daar in dit punt uitgebreider bij
stil gestaan.
Het adopteren van de ontwikkelingen binnen Dimpact is een onderdeel van de informatiestrategie
van de gemeente Roermond. Dimpact is daardoor indirect bepalend voor een deel van het
gemeentelijke informatiebeleid. De aansluiting bij Dimpact werkt als kaderstellend ten aanzien
van zaken als sourcing, applicatieontwikeling en architectuur. Veel zaken die Roermond in de oude
situatie zelfstandig zou moeten ontwikkelen, worden nu in het samenwerkingsverband
ontwikkeld. Slechts daar waar nodig zal Roermond nog zelf ontwikkelen (bijvoorbeeld het
beveiligingsbeleid). Dimpact is een coöperatieve vereniging van gemeenten. De deelnemende
gemeenten worden geacht zelf een stevige inbreng te hebben in dit samenwerkingsverband. In de
interviews geven gesprekspartners aan dat Roermond inmiddels bekend staat als een enthousiaste
en actieve partner. De vakwethouder heeft hiervoor tijdens de laatste ledenvergadering
complimenten ontvangen. De samenwerking binnen Dimpact gaat verder dan alleen de
Elektronische Dienstverlening. Samenwerking vindt plaats op dienstverlening in de brede zin, maar
ook ontwikkelingen als de RUD en MBGA worden binnen Dimpact opgepakt.
INFORMATIEPLAN, PROJECTENPORTFOLIO EN MIDDELEN
De projectenportfolio Excellente Dienstverlening wordt jaarlijks bijgesteld. Een vervangings- en
investeringsbudget voor de informatievoorziening, met een doorkijk van vier jaren, wordt jaarlijks
vastgesteld door de Raad via de jaarbegroting. Investeringsbeslissingen worden genomen door het
College.
INHOUD VAN HET INFORMATIEVOORZIENINGSBELEID
Het Informatiebeleid komt tot stand in wisselwerking tussen de vakafdelingen, de informatie-
adviseurs en de ICT-adviseurs, waarbij wordt uitgegaan van landelijke standaards en het
gemeentelijke informatie- en ICT-beleid. Voor de huidige I-visie is een inventarisatie gemaakt in
een ronde langs de sectordirecteuren. Daarnaast maken de I-adviseurs periodiek (2x per jaar) een
ronde langs de afdelingshoofden van de vakafdelingen over ontwikkelingen op hun terrein en de
consequenties daarvan voor ICT/informatievoorziening. De onderwerpen die door de adviseurs
met de sectoren worden besproken hebben echter vooral betrekking op beheersmatige
onderwerpen.
De huidige I-visie is voornamelijk gebaseerd op landelijke wet- en regelgeving en beleid,
bedrijfsvoeringdoelstellingen, en technische ontwikkelingen. De doelstelling is om zoveel mogelijk
aan te sluiten op landelijke ontwikkelingen, processen en standaards. Veel ruimte voor andere
ontwikkelingen blijft niet over.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 24/97
Ontwikkelingen als RUD, Jeugdzorg, WMO en de impact daarvan op de informatievoorziening
hebben in de huidige I-visie nog geen plek gekregen. In de I-visie is wel aangegeven dat met dit
soort (landelijke) ontwikkelingen rekening gehouden moet worden. Over ontwikkelingen op
afzonderlijke beleidsvelden (bijvoorbeeld RUD) zijn wel notities verschenen, maar daarin is geen
specifieke aandacht voor informatievoorziening en ICT. Informatievoorziening en ICT worden ook
niet altijd meegenomen in beslissingen. Vaak zijn beleidsinhoudelijke of politieke overwegingen
dominant. Een voorbeeld is de RUD-vorming. Daar was de beslissing voor een netwerk-RUD al
genomen zonder de consequenties voor informatievoorziening daarin te betrekken. In het MT is
informatievoorziening met betrekking tot bijvoorbeeld Jeugdzorg, WMO, RUD nu nog geen
specifiek thema. Dit wordt door de vakafdelingen opgepakt. Het MT komt in beeld als er afdelings-
of sectoroverstijgende implicaties zijn.
Het bestuur ziet de vorming van intergemeentelijke shared services, waarbij het bestuur dicht bij
de burger blijft, als een goede ontwikkeling met het oog op kwaliteitsverbetering en
kostenbesparing. In dat kader wordt momenteel onderzoek gedaan naar ICT-samenwerking met
Weert en Venlo. Door samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert,
verwacht Roermond in de toekomst goed in te kunnen spelen op sectorale ontwikkelingen en de
impact daarvan op het informatiebeleid. Daarnaast zorgt de aansluiting bij Dimpact ervoor dat
Roermond niet zelf het wiel hoeft uit te vinden.
De gemeente kiest voor een pragmatische benadering, geen koploper, geen achterblijver, maar
weloverwogen en in eigen tempo prioriteiten stellen en de goede dingen doen.
4.1.4 Bevindingen uit de Benchmark
INFORMATIEVOORZIENINGSTRATEGIE
Alle benchmarkgemeenten, op één na, beschikken over een integraal document waarin de I-
strategie is vastgelegd. Bij één gemeente ligt dat anders. Daar ligt de informatiestrategie
verscholen in verschillende documenten.
KADERS EN RICHTLIJNEN VOOR DE INRICHTING VAN DE INFORMATIEVOORZIENING
Alle benchmarkgemeenten zijn bezig met het ontwikkelen van een referentiearchitectuur,
gebaseerd op de landelijke standaarden GEMMA en NORA, en met het implementeren van het
principe van 'Werken onder architectuur'. De mate van voortgang levert geen eenduidig beeld op.
Alle benchmarkgemeenten gaan in hun beleid uit van aansluiting bij landelijke standaarden,
gebruik van zoveel mogelijk generieke bouwstenen voor de informatie-infrastructuur.
INFORMATIEPLAN, PROJECTENPORTFOLIO EN MIDDELEN
Vier van de zes benchmarkgemeenten hebben hun Informatiestrategie doorvertaald naar jaarlijkse
informatiejaarplannen en projectenportfolio's. Een gemeente heeft dit ook doorvertaald naar
financiën. Het investeringsbudget dat gemoeid is met projecten wordt bij alle
benchmarkgemeenten vastgesteld via de jaarbegroting.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 25/97
INHOUD VAN HET INFORMATIEVOORZIENINGSBELEID
Alle benchmarkgemeenten hanteren een tijdshorizon van 3 tot 4 jaar voor hun
informatiestrategie.
Waar het gaat om de inhoud en de basis van het informatiebeleid laten vier van de zes
benchmarkgemeenten een brede oriëntatie zien, waarin wettelijke kaders en landelijk beleid, de
Collegeakkoorden, sectorale ontwikkelingen in het gemeentelijke domein, gemeentelijke ambities
en interne bedrijfsvoering worden meegenomen. Bij twee gemeenten gebeurt dat veel beperkter.
Eén heeft bijvoorbeeld het Collegeprogramma niet als uitgangspunt genomen, en van de sectorale
ontwikkelingen alleen het sociale domein. De andere gemeente besteedt geen expliciete aandacht
aan de bredere ontwikkelingen in het gemeentelijke domein.
De benchmarkgemeenten nemen allemaal het NUP mee in hun I-strategie, evenals thema's als
werken onder architectuur en verwijzen daarbij naar de referentiearchitecturen NORA en/of
GEMMA. Twee baseren zich ook op @genda2015, de gemeentelijke agenda voor Informatiebeleid
van de VNG. Geen van de benchmarkgemeenten verwijst expliciet naar 'fundament van de
gemeente' of 'Dienstverlening samen doen'. Echter alle benchmarkgemeenten hanteren
uitgangspunten vergelijkbaar met de bovengenoemde zes.
Van de zes benchmarkgemeenten kiezen er vier voor een functioneel ambitieniveau. Een
gemeente kiest bewust voor een koploperspositie. De andere voor 'snelle volger'.
4.1.5 Conclusies en aanbevelingen
Norm 1: Het College stelt de informatievoorzieningstrategie op waarin de toekomstige behoefte
aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze
– is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente.
De inhoud van de I-visie 2011 relateert de behoefte aan informatievoorziening op herkenbare
wijze aan de beleidsdoelen en bedrijfsvoering van de gemeente. De afstemming op de (recente)
bezuinigingsdoelstellingen en taakstellingen is vooralsnog minder herkenbaar in de I-visie 2011.
Inhoudelijk komt de situatie in Roermond grotendeels overeen met de norm en met de situatie in
de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling de I-visie duidelijker te relateren aan de bezuinigingsdoelstellingen van de gemeente Roermond zowel met betrekking tot de bijdrage die inzet van informatievoorziening en ICT kan leveren aan bezuinigingen als aan de consequenties van bezuinigingen op informatievoorziening en ICT op de prioriteiten uit de I-visie.
Norm 2: Het College werkt op basis van de door de Raad vastgestelde
informatievoorzieningstrategie kaders en richtlijnen uit voor het inrichten van de
informatievoorziening.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 26/97
De gemeente Roermond beschikt over een Kadernota ICT uit 2003. Daarnaast is met de quick scan
voor architectuur een aanzet gegeven tot het formuleren van een Roermondse
referentiearchitectuur, welke als kaderstellend kan worden gehanteerd.
In afwachting van die Roermondse architectuur hanteert de gemeente momenteel een door het
MT vastgestelde interne Checklist Informatiemanagement, en het Informatiebeveiligingbeleid
vastgesteld door het College. Daarnaast gaat van de samenwerking in Dimpact een kaderstellende
werking uit.
Inhoudelijk komt de situatie in Roermond hier niet geheel overeen met de norm. De situatie in
Roermond wijkt echter niet veel af van de benchmarkgemeenten. Deze zijn allen nog bezig met
het opstellen en implementeren van referentiearchitecturen. Wel bestaat de indruk dat Roermond
hiermee nog niet echt een begin heeft gemaakt en dus iets achterloopt.
Aanbeveling
Het verdient aanbeveling het opstellen van een referentiearchitectuur te versnellen zodat een
duidelijker kader ontstaat voor beslissingen ten aanzien van de inrichting van de
informatievoorziening.
Norm 3: Het College vertaalt de informatievoorzieningstrategie naar een Informatieplan met
bijbehorende projectenportfolio en de bijbehorende middelen.
De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende
middelen. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan
de projectenportfolio jaarlijks wordt ge-update en vastgesteld door het MT.
De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks
Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste
benchmarkgemeenten die hun informatievoorzieningstrategie wel hebben uitgewerkt in jaarlijkse
integrale informatieplannen.
Aanbeveling
Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van
planningen en benodigde middelen.
Norm 4: In de informatievoorzieningstrategie van de gemeente Roermond wordt aangesloten bij
landelijke beleidsvisies op dienstverlening en e-overheid zoals vastgelegd in het Nationaal
Uitvoering Programma e-overheid van het Ministerie van BZK, de VNG visie op dienstverlening
'Dienstverlening draait om burgers', 'Het gemeentelijk fundament' van KING en de visie van de
Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft:
'Dienstverlening samen doen’:
1. de vraag van burgers, bedrijven en instellingen staat centraal
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 27/97
2. burgers, bedrijven en instellingen moeten hun zaken snel en zeker kunnen regelen.
3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen
hun organisaties, maar opereert als één overheid.
4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is
opgenomen en informatie die binnen de eigen organisatie beschikbaar is, wordt niet
nogmaals gevraagd.
5. de overheid is transparant en aanspreekbaar
6. de overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de
behoeften van burgers, bedrijven en instellingen.
De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 laat een brede
oriëntatie zien, en sluit goed aan bij bovengenoemde beleidsvisies.
De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar
met de situatie in de benchmarkgemeenten.
Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op
het gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken
van het gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering,
DigiMelding, DigiMachtiging en DigiPoort.
De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 is afgestemd op
de in deze norm genoemde wettelijke taken en geeft daar invulling aan.
De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar
met de situatie in de benchmarkgemeenten.
Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op de
informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken,
zoals de (jeugd)zorg, WMO, Werk en inkomen en toezicht en handhaving.
In de I-visie 2011 is geen de aandacht voor ontwikkelingen in de maatschappelijke
beleidsdomeinen van de gemeente die impact kunnen hebben op de informatievoorziening, zoals
(jeugd)zorg, WMO, werk&inkomen, en toezicht en handhaving. Het bestuur verwacht hier veel van
de samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert. Omdat hier in de I-
visie geen aandacht aan wordt gegeven, ontbreekt echter ook een kader om te beoordelen of die
verwachting ook bewaarheid wordt en om eventueel zelf ontwikkelingen bij de
samenwerkingsverbanden te initiëren.
De situatie in de gemeente Roermond wijkt hierin af van de norm, die vraagt om dergelijke
ontwikkelingen expliciet mee te nemen. De gemeente Roermond wijkt hierin ook af van de meeste
benchmarkgemeenten die wel aandacht aan beleidsontwikkelingen in de sectoren, zij het dat de
beschrijving van de implicaties voor de informatievoorziening soms summier is.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 28/97
Aanbeveling
Het verdient aanbeveling om bij actualisering van de I-visie ook aandacht te geven aan
beleidsontwikkelingen in de sectoren en de impact die deze kunnen hebben op de
informatievoorziening. Er is geen aanleiding om het pragmatische ambitieniveau los te laten.
Overig
De gemeente Roermond is in haar ambitie pragmatisch. Zij kiest ervoor geen koploper te zijn, geen
achterblijver, maar vanuit eigen prioriteiten de goede dingen te doen. Zij sluit daarbij aan en
maakt actief gebruik van anderen. Zij neemt daarin ook een actieve rol in de
samenwerkingsverbanden.
Met de keuze voor deze ambitie volgt de gemeente dezelfde koers als de meeste gemeenten in de
benchmark. Zij is actiever, dan de meeste gemeenten in de benchmark waar het gaat om het
zoeken van samenwerking om zo tegen lagere kosten deze ambitie te kunnen realiseren.
Op die manier werkt zij op een efficiënte en effectieve manier aan het verbeteren van de
informatievoorziening en ICT van de gemeente Roermond.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 29/97
4.2 Cluster 2a: Besturing en organisatie van de informatievoorziening
Dit cluster heeft betrekking op de governance van de informatievoorziening en de wijze waarop de
kaderstellende en controlerende rol van de Raad ten aanzien van de informatievoorziening is
vorm gegeven.
4.2.1 Omschrijving
Het College stelt de informatievoorzieningstrategie voor de coalitieperiode op, en een daarvan
afgeleid Informatieplan met een tijdshorizon van een à twee jaar, met daarin opgenomen een
projectenportfolio en bijbehorende middelen. De Raad toetst deze plannen op de verhouding
tussen ambitie, budget, tijd en kwaliteit van de informatievoorziening en stelt deze vast. Het
College is verantwoordelijk voor de uitvoering van de strategie en het informatieplan, en legt
daarover verantwoording af aan de Raad. Het College zorgt voor afstemming tussen de vraag naar
informatievoorziening vanuit de organisatie en het aanbod van informatievoorzieningdiensten,
waarbij de kwaliteit op basis van dienstverleningsovereenkomsten tussen lijnorganisatie en de
afdeling die verantwoordelijk is voor de diensten op het gebied van informatievoorziening wordt
bewaakt.
NORMENKADER
Norm 1: De Raad toetst de informatievoorzieningstrategie aan de beleidsvisie van de gemeente,
i.c. Strategische visie Roermond 2020 en het Coalitieakkoord, en stelt deze vast.
Norm 2: De Raad toetst het informatieplan inclusief de projectenportfolio en bijbehorende
middelen, en stelt deze vast.
Norm 3: Het budget voor informatievoorziening is inzichtelijk in de gemeentebegroting en wordt
door de Raad als zelfstandig beleidsveld vastgesteld.
Norm 4: De Raad heeft een norm vastgesteld voor grote projecten en grote risico's. Deze
projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten en
baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk gemaakt.
Norm 5: De Raad stelt het proces voor planning&control en rapportage voor de
informatievoorzieningstrategie en de realisatie daarvan vast.
Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de Raad
vastgelegd en door het College geïmplementeerd. De governance structuur omvat coördinatie- en
stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en verantwoordingslijnen.
Norm 7: Het College laat regelmatig – een of tweejaarlijks – een benchmark uitvoeren naar de
kosten van haar informatievoorziening
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 30/97
Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied van
informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad.
Norm 9: Samenwerking op het gebied van informatievoorziening met partners binnen en buiten
de gemeente is door het College geformaliseerd en vastgelegd
Norm 10: Risico's van projecten en operationele systemen zijn volgens een standaard methodiek
geanalyseerd en door het College voorzien van beheersmaatregelen. Grote risico's worden door
het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld ten
aanzien van wettelijke eisen, continuïteit, beveiliging en kosten).
Norm 11: In de overeenkomsten die het College afsluit met leveranciers op het gebied van
informatievoorziening, zijn zaken als beschikbaarheid en kwaliteit van de dienstverlening smart
gespecificeerd. Er zijn afspraken gemaakt over periodieke rapportages.
4.2.2 Bevindingen op basis van de documentatie
BETROKKENHEID VAN DE RAAD T.A.V. DE INFORMATIEVOORZIENINGSTRATEGIE
Relevante documenten: I-visie 2011, I-visie 2007-2011, Programmaplan Excellente
Dienstverlening, KCC-visie 2011, Besluit toetreding tot coöperatieve vereniging Dimpact,
Programmabegrotingen, Kadernota ICT 2003, ICT-beveiligingsbeleid
In deze paragraaf laten wij de belangrijkste documenten van de afgelopen jaren met betrekking tot
de informatievoorzieningstrategie van de gemeente Roermond de revue passeren en geven per
document aan in hoeverre er betrokkenheid is geweest van Raad, College of MT.
I-visie 2011
De I-visie 2011 van de gemeente Roermond is op 2 februari 2011 vastgesteld door het
management team en op 15 maart 2011 vastgesteld door het College
Er is geen betrokkenheid van de Raad geweest bij de I-visie 2011.
I-visie 2007 – 2011
De I-visie 2007 - 2011 van de gemeente Roermond is niet vastgesteld op het niveau van Raad,
College of MT.
De directeur BMO heeft de I-visie 2007-2011 gepresenteerd in de raadscommissie Algemene
Zaken. Deze zag geen aanleiding –de visie te agenderen in de Raad.
Programmaplan Excellente Dienstverlening
Het Programma Excellente Dienstverlening uit 2009, is vastgesteld door de Raad als onderdeel van
de Programmabegroting.
Het Programmaplan Excellente dienstverlening is goedgekeurd door het MT in januari 2010.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 31/97
Er is geen betrokkenheid van de Raad geweest bij het Programmaplan Excellente Dienstverlening.
Het programmaplan Excellente Dienstverlening is de belangrijkste drager voor de implementatie
van de I-visie 2011 en is op haar beurt gebaseerd op de doelstelling voor excellente
dienstverlening uit de strategische visie Roermond 2020.
KCC-visie 2011
De KCC-visie 2011 van de gemeente Roermond is op 22 maart 2011 vastgesteld door het college.
De KCC-visie geeft verdere uitwerking aan het programmaplan Excellente dienstverlening en gaat
in op doel en functie van het KCC.
Voorstel Raad toetreding tot coöperatieve vereniging Dimpact
De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact.
Het voorstel voor toetreding tot Dimpact is een belangrijke stap om op een goede en
kostenefficiënte manier de voorzieningen te realiseren op het gebied van informatievoorziening en
ICT, die nodig zijn om de doelstellingen van het Programma Excellente Dienstverlening versneld te
realiseren.
Programmabegrotingen
De programmabegroting is jaarlijks vastgesteld door de Raad.
informatievoorziening is in deze begrotingen onderdeel van de paragrafen over bedrijfsvoering,
dan wel het programma 'de Gemeente'. Inhoudelijke aandacht voor informatievoorziening is met
name gerelateerd aan de doelstelling uit de strategische visie 2020 voor excellente
dienstverlening.
Kadernota ICT 2003
De kadernota ICT van de gemeente Roermond is op 9 juli 2003 goedgekeurd door het College en
op 8 september 2003 ter kennisname voorgelegd aan de Commissie AZ&C van de Raad.
De kadernota schetst een toekomstbeeld met betrekking tot ICT en bevat een financiële paragraaf
voor benodigde investeringen.
ICT-beveiligingsbeleid
Het ICT-beveiligingsbeleid (versie 2.1) van de gemeente Roermond is vastgesteld door het College
op 18 augustus 2009. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het
college worden behandeld.
Het ICT-beveiligingsbeleid bevat richtlijnen voor de informatievoorziening met betrekking de
beveiliging van informatie en privacybescherming.
GOVERNANCE VAN DE INFORMATIEVOORZIENING, BUDGET, PLANNING EN RAPPORTAGE
Relevante documenten: Raadsbesluiten P&C-cyclus, Financiële kadernota's,
Programmabegrotingen, Jaarrekeningen, Kredietrapportages, Herinrichting Sector
Bedrijfsmiddelen en Organisatie 2007, ICT-beveiligingsbeleid
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 32/97
Raadsbesluiten P&C-cycli
De Raad stelt jaarlijks de P&C-cyclus vast. De onderzoekers hebben de besluiten daartoe ingezien.
Er is geen aparte aandacht m.b.t. de P&C van de informatievoorziening.
Financiële Kadernota's
De financiële kadernota's van de gemeente zijn jaarlijks vastgesteld door de Raad.
De onderzoekers hebben de financiële kadernota's ingezien van 2007 t/m 2011.
De financiële kadernota's bevatten geen expliciete aandacht voor de financiële kaders ten aanzien
van informatievoorziening.
Programmabegrotingen
De Programmabegrotingen zijn jaarlijks vastgesteld door de Raad. De onderzoekers hebben de
begrotingen en bijbehorende bijlagen ingezien van 2007 t/m 2011.
De Raad stelt de beschikbare middelen voor informatievoorziening vast via de
Programmabegroting. Hiervoor is een post 'Informatievoorziening' opgenomen in de paragraaf
Bedrijfsvoering, c.q. de begroting van het programma 'De Gemeente'. Er staan geen specifieke
doelstellingen m.b.t. informatievoorziening en ICT in de programmabegrotingen.
informatievoorziening is wel als herkenbare post te vinden in het budget.
In de gemeentebegroting 2012 is een bedrag van 3,2 miljoen euro opgenomen voor
informatievoorziening. In 2009 was dat 2,7 miljoen euro. In 2010 was dat 2,3 miljoen euro (na
wijziging). In 2011 was dit 2,8 miljoen euro.
De jaarbegroting bevat een post voor (vervangings)investeringen op het gebied van
informatievoorziening, met een doorkijk van vier jaar.
In de begroting 2011 heeft de Raad een eenmalige investering goedgekeurd van 1,3 miljoen euro
voor het programmaplan Excellente Dienstverlening. Deze investering moet bijdragen aan een
structurele kostenbesparing van 3,2 miljoen euro in 2016. In de jaarverantwoording 2011 geeft het
College aan deze investering in te zetten voor de noodzakelijke software.
Jaarrekeningen
De jaarrekeningen zijn jaarlijks vastgesteld door de Raad. De onderzoekers hebben de
jaarrekeningen ingezien van 2007 t/m 2011.
Informatievoorziening is bij de Jaarrekening opgenomen in de paragraaf Bedrijfsvoering, c.q. het
programma 'De Gemeente'. Er wordt niet gerapporteerd op specifieke doelstellingen m.b.t.
informatievoorziening en ICT.
Kredietrapportages
De kredietrapportages zijn periodiek vastgesteld door de Raad. De onderzoekers hebben de
kredietrapportage 2011 ingezien.
De kredietrapportage geeft inzicht in de investeringsplanning en de voortgang van investeringen
waarvoor krediet beschikbaar is gesteld.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 33/97
De kredietrapportage 2011 vermeldt o.a. het doorschuiven van een groot deel van de voor 2011
geplande ICT-investeringen naar 2012, in afwachting van een analyse van alle vervangings- en
uitbreidingsinvesteringen in de toekomst. Deze analyse moet inzicht geven of door herschikking
van de bestaande middelen de bedrijfsvoering voldoende geborgd kan worden en welke
additionele middelen eventueel nodig zijn om de verdergaande digitalisering van de
bedrijfsprocessen vorm te kunnen geven. Het streven is om e.e.a. bij de kadernota 2013 in beeld
te hebben.
Herinrichting Sector Bedrijfsmiddelen en Organisatie 2007
Het voorstel voor herinrichting van de Sector Bedrijfsmiddelen en Organisatie is door het College
vastgesteld op 7 december 2011 en goedgekeurd door het College.
Dit voorstel heeft onder andere betrekking op de wijze waarop ICT en informatievoorziening
worden belegd in de organisatie.
De verantwoordelijkheid voor informatievoorziening ligt op beleidsniveau bij het College, op
uitvoerend niveau bij het MT. In de organisatie is de informatievoorziening belegd bij twee teams.
Een team ICT is verantwoordelijk voor de operationele systemen, en een team informatieadviseurs
is verantwoordelijk voor de advisering over informatievoorziening aan de sectoren. Het team ICT is
onderdeel van de afdeling Facilitaire zaken, en het team organisatie en informatie is onderdeel van
de afdeling Personeel, organisatie en Informatie.
ICT-beveiligingsbeleid
Het ICT-beveiligingsbeleid (versie 2.1) van de gemeente Roermond is vastgesteld door het College
op 18 augustus 2009. Het geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het
college worden behandeld.
In het kader van het informatiebeveiligingsbeleid zijn bevoegdheden en verantwoordelijkheden
beschreven voor o.a. het toekennen van gebruikersaccounts, wijzigingsbeheer, e.d.
Het beleid voorziet in periodieke risicoanalyses van de kritieke processen van de gemeente.
GROTE PROJECTEN, RISICOANALYSES EN GEBRUIK VAN BUSINESS CASES
Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten,
Voorstel Raad toetreding tot coöperatieve vereniging Dimpact, 'Rapport Acceleratie Excellente
Dienstverlening', Projectplan Dimpact, Samenvattend overzicht drempelbedragen
Het belangrijkste document met betrekking tot de governance van grote projecten is de notitie
'Uitgangspunten voor projectmanagement voor bedrijfsvoeringsprojecten. Hierin staan geen
criteria geformuleerd voor risicoanalyses en gebruik van business cases. Wel worden in de
afweging impact op de organisatie en complexiteit meegewogen. De overige hier genoemde
relevante documenten geven wel inzicht in hoe in de praktijk wordt omgegaan met risicoanalyses
en business cases in bij grote projecten.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 34/97
Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten
De notitie 'Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten' is op 9 mei 2007
goedgekeurd door het managementteam van de gemeente Roermond.
De notitie geeft een overzicht van de uitgangspunten en randvoorwaarden voor het
projectmanagement van bedrijfsvoeringsprojecten. Aandacht wordt besteed aan o.a. het
afwegingskader voor projecten, de cyclus voor het vaststellen van de projectenkalender, en de
projectrapportages, het eigenaar- en sponsorschap van projecten, de projectleidersrol en de
bijbehorende (budget)bevoegdheden, de contractuele relatie tussen projectleider en
projecteigenaar, bemensing van de projectleidersrol en de personele capaciteit voor projecten, de
variabele beloning van projectleiders, de verhouding tussen afdelingshoofd en projectleider.
De notitie belegt het eigenaarschap van bedrijfsvoeringsprojecten altijd bij het MT. En voor elk
project wordt altijd één MT-lid als sponsor van het project benoemd. In aanvulling op de notitie
zijn er formats voor projectafweging en projectinitiatie ontwikkeld.
Voorstel Raad toetreding tot coöperatieve vereniging Dimpact
De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve vereniging Dimpact.
Met toetreding tot Dimpact wil Roermond de benodigde informatievoorzieningen realiseren in het
kader van het Programma Excellente Dienstverlening. Het voorstel aan de Raad was o.a. voorzien
van het 'Onderzoeksrapport Acceleratie Excellente Dienstverlening'. Dit onderzoeksrapport bevat
de kwalitatieve en kwantitatieve business case voor het realiseren van de benodigde
informatievoorzieningen voor het Programma Excellente Dienstverlening en een risicoanalyse.
Projectplan Dimpact
Het projectplan Dimpact is op 26 oktober 2011 vastgesteld door het MT.
Het projectplan is gericht op de implementatie van de toetreding tot Dimpact.
Het projectplan bevat naast de opzet, deelprojecten, en planning, een uitgebreide risicoparagraaf
met een beheersmaatregelen.
Samenvattend overzicht drempelbedragen
De gemeente hanteert drempelbedragen ten aanzien van de beslissingsbevoegdheid voor
aanbesteding van leveringen en diensten. Daarbij is ook aangegeven op welke wijze deze
aanbesteed moeten worden. Tot €50.000,- is de beslisser het College/mandaat sectordirecteur.
Tussen de €50.000,- en €200.000,- is de beslisser het College/mandaat portefeuillehouder en
akkoord plv. portefeuillehouder. Boven de €200.000,- beslist het College. De Raad wordt nooit
inhoudelijk betrokken in de besluitvorming rondom de ICT projecten.
De samenvatting van de drempelbedragen is gebaseerd op de notitie Aanbestedingsbeleid bij
laagconjunctuur die het College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de
gewijzigde bedragen geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en
eveneens zijn vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een
raadsinformatiebrief geïnformeerd.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 35/97
DEELNAME AAN BENCHMARKS
Relevante Documentatie: Rapporten Waar staat je gemeente 2008 en 2010
'Waar staat je gemeente' is geen specifieke benchmark voor informatievoorziening en ICT. De
gemeente Roermond neemt verder niet deel aan specifieke benchmarks op het gebied van ICT of
informatievoorziening m.b.t. kosten of personeel. Wel neemt Roermond deel aan de door de
overheid respectievelijk KING georganiseerde monitors op het gebied van e-overheid, eerst
Overheidsmonitor.nl, en nu de opvolger 'E-overheid in beeld'. Overheidsmonitor.nl betrof een
ranglijst met betrekking tot de kwaliteit van de websites van gemeenten. Deze maakt ook
onderdeel uit van 'Waar staat je gemeente'. Overheidsmonitor.nl is per 22 juni 2011 gestopt en
vervangen door de monitor 'E-overheid in beeld' van KING. Deze nieuwe monitor brengt de
voortgang van gemeenten in beeld met betrekking tot de implementatie van het NUP en de
benutting van de bouwstenen van het NUP.
Rapporten Waar staat je gemeente 2008 en 2010
De Rapportages zijn vastgesteld door het College op 29 juli 2008, respectievelijk 4 maart 2011. De
rapportage 2008 is op 29 augustus 2008 via een Informatiebrief aan de Raad gemeld. De
rapportage 2010 is op 18 maart 2011 via een informatiebrief aan de Raad gemeld.
'Waar staat je gemeente' is een landelijke benchmark voor gemeenten waarbij burgers gevraagd
worden hun mening over de gemeente vanuit verschillende rollen. In 2008 en 2010 heeft de
gemeente Roermond meegedaan. Op de onderdelen bij de stelling 'De informatie die de gemeente
geeft is voldoende en begrijpelijk' scoorde de gemeente Roermond in 2008 en 2010 steeds rond
het landelijk gemiddelde voor 50.000+ gemeenten (7,1). In de laatste ranglijst van
Overheidsmonitor.nl bekleedde de gemeente Roermond plaats 139, tussen de gemeenten Epe
(138) en Bergeijk (140), met een score van 53,21%. In de voorlaatste ranglijst bekleedde Roermond
nog plaats 126, met eenzelfde score van 53,21%.
E-overheid in beeld
Uit het overzicht op de website van e-overheid in beeld dd. 22 augustus 2012 blijkt dat Roermond
rond de 40% scoort met betrekking tot de implementatie van de NUP-bouwstenen. Dit is
vergelijkbaar met de meeste andere gemeenten.
SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS
Relevante documenten: Voorstel Raad toetreding tot coöperatieve vereniging Dimpact
De gemeente beschikt niet over een sourcingstrategie met betrekking tot informatievoorziening
en ICT. De samenwerking met Dimpact kan als vorm van sourcing worden beschouwd.
Voorstel Raad toetreding tot coöperatieve vereniging Dimpact
De gemeenteraad is middels de wensen en bedenkingen-procedure over de samenwerking met
Dimpact geïnformeerd. In deze procedure legt het college een voorgenomen besluit voor aan de
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 36/97
gemeenteraad De Raad heeft op 11 juli 2011 ingestemd met toetreding tot coöperatieve
vereniging Dimpact. Dit voorstel bevatte o.a. het model samenwerkingscontract met Dimpact.
4.2.3 Bevindingen op basis van de interviews
BETROKKENHEID VAN DE RAAD T.A.V. DE INFORMATIEVOORZIENINGSTRATEGIE
De I-visie wordt beschouwd als een invulling van de Strategische Visie Roermond 2020 en
daarmee als een zaak van het College. In die visie staat de ambitie van Excellente dienstverlening
genoemd. De I-visie is niet besproken in de Raad en niet ter kennisname aan de Raad gestuurd.
Informatiebeleid is geen item voor de Raad. Er worden weinig vragen over gesteld. De Raad toetst
niet echt of Roermond qua dienstverlening wel op het goede spoor zit. De Raad schikt zich in de
positie van het College dat ICT en Informatiebeleid een aspect van bedrijfsvoering is en derhalve
tot de bevoegdheden van het College behoort. Er zijn tot nu toe geen aanleidingen voor de Raad
om zich intensiever met het Informatiebeleid te bemoeien. De Raad heeft ooit aangegeven de
bespreking van beleid ten aanzien van ICT en informatievoorziening vooral via de jaarstukken te
willen doen. M.b.t. ICT en informatievoorziening gebeurt dat via de plannen en verantwoording
over het programma 'de Gemeente'.
Wethouders en gemeentesecretaris zien het als hun taak de Raad mee te nemen in belangrijke
beslissingen rondom bedrijfsvoering en informatievoorziening. Het huidige niveau van
betrokkenheid van de Raad werkt goed. Die betrokkenheid is vooral in de controlerende zin
middels reguliere rapportages en in sommige gevallen in de zin van 'input leveren' voor nieuw
beleid.
GOVERNANCE VAN DE INFORMATIEVOORZIENING, BUDGET, PLANNING EN RAPPORTAGE
Van het budget voor informatievoorziening/ICT is ca. 80% van de kosten centraal en 20%
decentraal belegd. Het gaat dan om de automatiseringskosten. Dit zijn de kosten die inzichtelijk
zijn in de begroting onder de post informatievoorziening. De kosten voor applicaties liggen vaker
decentraal in de organisatie. Deze zijn centraal niet volledig inzichtelijk als kosten voor
informatievoorziening of ICT, maar zijn onderdeel van de exploitatie van de betreffende sectoren.
Deze financiële informatie is echter wel te genereren. Kosten op het punt van
automatisering/informatievoorziening worden uniform gecodeerd, zodat deze over alle
begrotingsposten heen inzichtelijk kunnen worden gemaakt. De kosten voor projecten zijn wel
centraal beheerd. Kosten voor onderhoud komen in de exploitatie terecht.
De investeringsplanning is gesplitst in beleidsgevoelige en niet beleidsgevoelige investeringen. De
gemeenteraad vindt dat nog te veel investeringen (ook in ICT) worden gezien als beleidsgevoelig.
De kredietaanvraag van niet beleidsgevoelige investeringen hoeft niet via de Raad te lopen. Dit
onderschrijft de opvatting van de Raad dat zij automatisering ziet als een onderdeel van de
bedrijfsvoering. Pas als de dienstverlening naar de burger onvoldoende is (de norm ligt vast in de
programmabegroting) wordt dit item bestuurlijk voor de gemeenteraad interessant.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 37/97
De gemeenteraad wil in het algemeen actief geïnformeerd worden. Dit gebeurt onder andere via
de Burap. De focus daarbij ligt, op verzoek van de Raad, op een afwijkingenrapportage
(beleidsafwijkingen en financiële afwijkingen). Zolang het goed gaat, hoeft de Raad niet
geïnformeerd te worden. Voor ICT en informatievoorziening gebeurt dat als onderdeel van
bedrijfsvoering/programma 'de Gemeente'. Raadsinformatie- en Commissie-informatiebrieven zijn
andere verschijningsvormen van actieve informatieverstrekking. De frequentie van de Burap wordt
verhoogd van 1x pj naar 2 pj (31/3 cijfers en 30/6 cijfers en in de toekomst ook 30/9 cijfers). De
jaarrekening is de laatste rapportage over het verslagjaar. Burap’s worden ter vaststelling naar de
gemeenteraad gestuurd, vaak worden deze , 'als hamerstuk', vastgesteld door de Raad. De burap
wordt wel in alle commissies behandeld en hier worden door raads- en commissieleden vragen
gesteld. Aanvullend op de Burap wordt bij grote afwijkingen op een beleidsterrein apart
gerapporteerd aan de Raad. Op die manier komt het onderwerp ook inhoudelijk aan bod en kan de
Raad het betreffende beleid, financiële budgetten of planningen bijstellen. Over ICT en
Informatievoorziening wordt niet op projectniveau gerapporteerd aan de Raad.
Besluitvorming over zaken op het gebied van ICT en informatievoorziening die
'afdelingoverstijgend' zijn, vindt plaats in het MT. Beheer en exploitatie van de systemen is
grotendeels gecentraliseerd. Deze wordt uitgevoerd door het team ICT. Het functionele
applicatiebeheer ligt nog voor een groot deel decentraal. Bij beslissingen over vervanging of
vernieuwing wordt een checklist gebruikt om integraliteit te waarborgen. De
beslissingsbevoegdheid over de aanschaf van nieuwe applicaties die niet afdelingsoverstijgend zijn,
ligt (nu nog) bij de vakafdelingen of sectoren. De functioneel beheerders in de lijn kunnen echter
niet zelfstandig applicaties installeren. Daarvoor zijn ze afhankelijk van het team ICT.
GROTE PROJECTEN, RISICOANALYSES EN GEBRUIK VAN BUSINESS CASES
De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom ICT projecten. Over
informatievoorziening wordt niet op projectniveau gerapporteerd aan de Raad ook niet voor grote
projecten en ook niet als daar grote risico's aan verbonden kunnen zijn. Roermond heeft geen
specifieke norm gesteld voor 'grote projecten' en 'grote risico's'. Roermond maakt niet standaard
gebruik van business cases bij de opstart van nieuwe projecten. Afhankelijk van de zwaarte wordt
een business case opgesteld. Hier is geen specifieke norm voor. In de praktijk gebeurt dit alleen bij
hele grote operaties, zoals de toetreding tot Dimpact en het nu lopende onderzoek naar de
samenwerking met Weert en Venlo.
Als projectmethodiek hanteert Roermond een methodiek van een extern bureau – AMI - die
afgeleid is van Prince2. Het zwaartepunt daarvan ligt bij de Project start-up (PSU), waarbij het
team in een werkconferentie van een of twee dagen het projectplan definieert, inclusief
omgevingsanalyse, risicoanalyse en benoemen van beheersmaatregelen. Projectplannen worden
vastgesteld door het MT. Voor projecten uit het programma Excellente dienstverlening en bij de
technische vernieuwingsprojecten wordt standaard een risicoanalyse gemaakt. Voor
vervangingsprojecten is dit niet altijd het geval.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 38/97
DEELNAME AAN BENCHMARKS
Roermond doet niet mee aan Benchmarks op het gebied van informatievoorziening en ICT. Zij
heeft ooit meegedaan aan de EGEM I-scan en in 2003 aan de Berenschot Benchmark. Er vindt
voornamelijk een vorm van informele collegiale toetsing plaats via uitwisseling tussen collega-
directeuren. Inzicht verkrijgt men op dit moment via de samenwerking met Dimpact, en in het
kader van het onderzoek naar de ICT-samenwerking met Venlo en Weert wordt momenteel een
kostenvergelijking gemaakt. Directeur Middelen is van mening dat de ICT/IV in Roermond al 'lean'
is georganiseerd. Daarnaast neemt Roermond deel aan de door de overheid respectievelijk KING
georganiseerde monitors op het gebied van e-overheid, eerst Overheidsmonitor.nl, en nu de
opvolger 'E-overheid in beeld'(zie ook pag 25).
SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS
Roermond heeft geen expliciete sourcingstrategie. Over sourcing wordt besloten als zich iets
aandient.
In de Raad heeft een kerntakendiscussie plaats gevonden. Hier zijn twee leidende begrippen uit
voort gekomen. De gemeente als regisseur richting de samenleving, en de gemeente als 'tijdrijder'
waar het gaat om de eigen organisatie. Met dat laatste wordt bedoeld het streven naar een
organisatie die lean en mean is. Vanuit dit streven wordt ook expliciet gekeken naar vormen van
sourcing. Daarnaast wordt op MT-niveau gediscussieerd over de besturing van de organisatie aan
de hand van een zogeheten “vlekkenmodel”. Daarin wordt de organisatie beschouwd langs drie
vlekken: dienstverlening aan de burger en bedrijf, bedrijfsvoering (dienstverlening intern) en
bestuur (beleidsafdelingen). Vanuit dit vlekkenplan wordt ook per onderdeel gekeken naar wat de
meest efficiënte vorm van organiseren is, en wat mogelijk in aanmerking komt voor uitbesteding
en wat niet. Als voorbeeld van mogelijkheid voor uitbesteden wordt genoemd samenwerking op
het gebied van belastingen.
Voor de front- en mid-office systemen is Roermond toegetreden tot Dimpact. Daarnaast loopt er
nu een onderzoek naar samenwerking met Venlo en Weert. Met deze beide gemeenten is een
business case ontwikkeld voor een gezamenlijk ‘wegennet’ (technische infrastructuur). Er wordt
gewerkt aan een plan voor 2 rekencentra (in Roermond en in Venlo). Dit plan moet besparingen
gaan opleveren. De samenwerking met Dimpact is via een informatiebrief goedgekeurd door de
Raad.
Het bestuur ziet samenwerking op I&A-gebied zoals met Dimpact en Weert/Venlo als een strategie
om kwetsbaarheid op te heffen en kosten te besparen. Omdat de trekkersrol veelal bij Roermond
komt te liggen vanwege haar kennis, kunde en ambitie op dit terrein, brengt dit ook extra
inspanningen en verantwoordelijkheden met zich mee. Doordat Roermond in het verleden goede
contracten heeft afgesloten op het gebied van I&A zijn de besparingen van samenwerking voor
Roermond waarschijnlijk minder groot dan voor Venlo en Weert.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 39/97
4.2.4 Bevindingen uit de Benchmark
BETROKKENHEID VAN DE RAAD T.A.V. DE INFORMATIEVOORZIENINGSTRATEGIE
Slechts één benchmarkgemeente laat de informatiestrategie als zelfstandig beleidsonderdeel door
de Raad vaststellen. Een gemeente laat de informatiestrategie als zelfstandig beleidsveld
vaststellen door het College en stuurt dit ter kennisname aan de Raad. Bij een gemeente wordt
deze als zelfstandig beleidsveld vastgesteld door het MT, en ter kennisname aan het College
gestuurd. Deze gemeente geeft aan in de toekomst de informatiestrategie vast te laten stellen
door het College, met toezending ter kennisname aan de Raad. De drie andere gemeenten laten
het informatiebeleid niet als zelfstandig beleid vaststellen door College of Raad, maar als
onderdeel van begroting, of als onderdeel van de bedrijfsvoering.
GOVERNANCE VAN DE INFORMATIEVOORZIENING, BUDGET, PLANNING EN RAPPORTAGE
Met betrekking tot de besturing en verantwoording van de informatiestrategie, zijn er twee
benchmarkgemeenten die de verantwoordelijkheidsverdeling tussen Raad en College expliciet
hebben laten vaststellen door de Raad. Bij de andere benchmarkgemeenten is dit niet het geval.
Daar loopt het rapportageproces voor het toetsen van de voortgang en de kosten als onderdeel
van de reguliere P&C-cyclus via het beleidsveld waar informatievoorziening deel van uitmaakt. De
frequenties variëren van een tot vier keer per jaar.
Vier van de zes benchmarkgemeenten hebben hun Informatiestrategie doorvertaald naar jaarlijkse
informatiejaarplannen en projectenportfolio's. Een gemeente heeft dit ook doorvertaald naar
financiën. Het investeringsbudget dat gemoeid is met projecten wordt bij alle
benchmarkgemeenten vastgesteld via de jaarbegroting.
Slechts één gemeente heeft een integraal overzicht van haar kosten voor informatievoorziening in
haar begroting opgenomen en laat deze als zelfstandig beleidsveld vaststellen door de Raad. Deze
bedragen ca. 12 miljoen per jaar (ca. 145.000 inwoners). Een gemeente geeft aan dit integrale
overzicht wel intern beschikbaar te hebben. Inclusief kapitaallasten, procesadvisering, onderzoek
en statistiek, en exclusief functioneel applicatiebeheer, gaat het om ca. 11 mln per jaar (ca.
120.000 inwoners). De andere benchmarkgemeenten hebben dit overzicht niet beschikbaar. De
kosten van ICT systemen en infrastructuur die organisatiebreed worden gebruikt hebben zij
meestal wel in beeld. De financiën die gemoeid zijn met de ICT die decentraal wordt ingezet niet.
Deze maken veelal deel uit van decentrale programmakosten.
GROTE PROJECTEN, RISICOANALYSES EN GEBRUIK VAN BUSINESS CASES
Alle benchmarkgemeenten werken met business cases. Enkele gemeenten doen dit structureel
voor alle projecten. De meeste gemeenten doen dit alleen bij de grote projecten. Geen enkele
gemeente heeft een norm vastgesteld voor wat onder 'grote projecten' moet worden verstaan.
Alle benchmarkgemeenten geven aan dat risicomanagement een wezenlijk onderdeel vormt van
alle projecten. Afhankelijk van de omvang van een project wordt hier in meer of mindere mate
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 40/97
aandacht aangegeven. De teneur lijkt dat dit aandachtsveld de afgelopen jaren een toenemende
belangstelling heeft gekregen.
De meeste benchmarkgemeenten geven aan dat het vaststellen van doelen en risico’s door de
Raad en rapportages aan de Raad over afzonderlijke projecten alleen op gaat voor zeer
omvangrijke projecten. Over de gangbare projecten wordt bij geen enkele benchmarkgemeente
afzonderlijk gerapporteerd aan de Raad.
DEELNAME AAN BENCHMARKS
Vier van de benchmarkgemeenten nemen periodiek deel aan een benchmark op kosten. Eén
gemeente heeft het bureau Berenschot een actuele benchmark laten doen op de overhead in
aantallen FTE’s, maar beschikt niet over een actuele benchmark op kosten. Een gemeente neemt
op dit moment niet deel aan een benchmark. Zij nam deel aan een benchmark op kosten van de
ICT/IV. Zij is hier enige tijd mee gestopt omdat vanwege de vele ontwikkelingen deelname niet
zinvol wordt geacht. Deze gemeente geeft aan over enkele jaren zeker weer mee te zullen gaan
doen.
SOURCINGSTRATEGIE, SAMENWERKING MET PARTNERS EN OVEREENKOMSTEN MET
LEVERANCIERS
Eén gemeente heeft een expliciete sourcingstrategie ten aanzien van ICT/IV, via haar regionale
samenwerkingsverband. Eén gemeente heeft wel een algemene sourcingstrategie vanuit de wens
om een regiegemeente te zijn, maar niet specifiek voor informatiebeleid. Eén gemeente heeft zijn
front- en mid-office 'uitbesteed' aan Dimpact en onderzoekt verdergaande samenwerking op het
gebied van ICT/IV met andere gemeenten en de provincie.
4.2.5 Conclusies en aanbevelingen
Norm 1: De Raad toetst de informatievoorzieningstrategie aan de beleidsvisie van de gemeente,
i.c. Strategische visie Roermond 2020 en het Coalitieakkoord, en stelt deze vast.
Behalve in het geval van de Kadernota ICT uit 2003 heeft de Raad in Roermond geen toetsende
enof besluitvormende rol bij de inhoud van het beleid voor informatievoorziening.
Informatievoorziening wordt gezien als onderdeel van de bedrijfsvoering en derhalve als
verantwoordelijkheid van het College. De informatievoorzieningstrategie is wel vastgesteld door
het College.
De situatie in Roermond komt niet overeen met de norm.
De situatie in Roermond wijkt niet wezenlijk af van de situatie bij de meeste benchmark-
gemeenten. Bij de meeste van hen is informatievoorziening vastgesteld via de begroting als
onderdeel van de bedrijfsvoering en worden de beleidsplannen vastgesteld door het MT of het
College.
Aanbeveling
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 41/97
Het verdient aanbeveling de betrokkenheid van de Raad bij het beleid ten aanzien van
informatievoorziening te vergroten met name daar waar informatievoorziening en ICT een
belangrijkere rol gaan spelen in het contact van de gemeente met de buitenwereld en de realisatie
van maatschappelijke doelen.
Norm 2: De Raad toetst het informatieplan inclusief de projectenportfolio en bijbehorende
middelen, en stelt deze vast.
De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende
middelen. Deze worden dus ook niet vastgesteld door de Raad. Het dichtst in de buurt komt het
Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt ge-
update en vastgesteld door het MT.
De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks
Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste
benchmarkgemeenten die hun informatievoorzieningsstrategie wel hebben uitgewerkt in jaarlijkse
integrale informatieplannen.
Aanbeveling
Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van
planningen, projectenportfolio en benodigde middelen, deze vast te laten stellen door het College,
en de Raad tenminste te informeren hierover.
Norm 3: Het budget voor informatievoorziening is inzichtelijk in de gemeentebegroting en wordt
door de Raad als zelfstandig beleidsveld vastgesteld.
De Raad stelt het budget voor informatievoorziening en het investeringsbudget vast als onderdeel
van de programmabegroting van het Programma 'De gemeente'. Het budget voor
informatievoorziening is hier apart vermeld, maar een deel van de kosten voor applicaties ligt
(nog) verscholen in exploitatiekosten van de sectoren. De gemeente heeft een start gemaakt met
het verder centraliseren van applicatiebeheer, waardoor ook het inzicht in de budgetten die
gemoeid zijn met de totale informatievoorziening beter inzichtelijk zullen worden.
De situatie in Roemond wijkt hierin af van de norm. Roermond wijkt hier niet af van de meeste
benchmarkgemeenten. Slechts een gemeente laat de informatievoorziening als zelfstandig
beleidsveld vast stellen door de Raad. Er is ook slechts een gemeente in de benchmark die een
integraal overzicht van de kosten voor informatievoorziening (automatisering en applicaties) kan
laten zien. Daarnaast heeft Roermond een beweging in gang gezet om het functioneel
applicatiebeheer te centraliseren en zodoende ook de daarmee gemoeide budgetten inzichtelijk
te krijgen en te centraliseren. Deze beweging is vergelijkbaar met de beweging die andere
gemeenten maken.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 42/97
Aanbeveling
Het verdient aanbeveling om de in gang gezette centralisering van het functioneel
applicatiebeheer en daarmee de centralisering van de budgetten door te zetten. Op die manier
ontstaat meer inzicht te creëren in de kosten van informatievoorziening en het sturend vermogen
hierop te vergroten. Op die wijze kan ook een voor de Raad beter inzicht ontstaan.
Norm 4: De Raad heeft een norm vastgesteld voor grote projecten en grote risico's. Deze
projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten
en baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk
gemaakt.
De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. Projecten op
het gebied van informatievoorziening worden in het algemeen niet vastgesteld door de Raad,
maar door het MT of het College. In de gemeente Roermond wordt nooit gerapporteerd aan de
Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote
risico's mee gemoeid kunnen zijn. Het voorstel voor toetreding tot Dimpact werd aan de Raad
voorgelegd omdat het toetreding tot een samenwerkingsverband betrof. Projecten worden
incidenteel voorzien van een business case. Het gaat dan om projecten waarvan grote impact
wordt vermoed.
De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een
norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen
enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat
zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer
omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt.
Met betrekking tot het gebruik van business cases wijkt de situatie in Roermond af van de
sommige benchmarkgemeenten, die wel structureel met business cases werken. De meeste
gemeenten doen dit echter net als Roermond alleen bij de grote projecten.
Aanbeveling
Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten
en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden. Ook
verdient het aanbeveling om voor projecten boven die norm altijd met business cases te werken.
Voorts verdient aanbeveling het werken met business cases uit te breiden, zodat betere
afwegingen gemaakt kunnen worden ten aanzien van investeringen.
Norm 5: De Raad stelt het proces voor planning&control en rapportage voor de
informatievoorzieningstrategie en de realisatie daarvan vast.
In Roermond stelt de Raad de P&C-cyclus vast. Rapportage over informatievoorziening vindt plaats
via de reguliere P&C-cyclus. Op verzoek van de Raad wordt de Raad voornamelijk geïnformeerd
aan de hand van afwijkingrapportages. De frequentie van de rapportages wordt op verzoek van de
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 43/97
Raad verhoogd naar 3x per jaar. Grote afwijkingen worden apart aan de Raad gerapporteerd. Hier
is geen norm voor vastgesteld.
De situatie in Roermond wijkt hierin niet af van de norm en ook niet van de situatie in de
benchmarkgemeenten.
Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de
Raad vastgelegd en door het College geïmplementeerd. De governance structuur omvat
coördinatie- en stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en
verantwoordingslijnen.
De governance van de informatievoorziening is niet neergelegd in een apart document, maar volgt
de reguliere governance van de gemeente. In het ICT-beveiligingsbeleid en gerelateerde stukken
zijn de taken, verantwoordelijkheden en bevoegdheden wel specifiek vastgelegd.
De situatie in de gemeente Roermond wijkt hiermee af van de norm, die stelt dat de governance
van de informatievoorziening in een apart document wordt vastgelegd en vastgesteld door de
Raad. De situatie in de gemeente Roermond wijkt echter niet af van de benchmarkgemeenten.
Aanbeveling
Het verdient aanbeveling governance ten aanzien van informatievoorziening vast te leggen in en
document en vast te laten stellen door de Raad.
Norm 7: Het College laat regelmatig – een of tweejaarlijks – een benchmark uitvoeren naar de
kosten van haar informatievoorziening
De gemeente Roermond neemt deel aan verschillende landelijke monitors die de voortgang van de
implementatie van de e-overheid bijhouden. Zij neemt niet del aan specifieke benchmarks op het
gebied van kosten enof personele inzet op het gebied van informatievoorziening en ICT.
De situatie in Roermond wijkt hierin af van de norm. De meeste benchmarkgemeenten nemen wel
deel aan benchmarks, met name op het gebied van kosten van de informatievoorziening. Een van
de benchmarkgemeenten die dit niet doet heeft is voornemens dit in de toekomst weer te gaan
doen.
Aanbeveling
Benchmarking is een belangrijk instrument om zicht te houden op kosten en kwaliteit van de
informatievoorziening, en om te leren van anderen. Het verdient aanbeveling om periodiek deel te
nemen aan benchmarks op het gebied van kosten van de informatievoorziening.
Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied
van informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad.
De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van
informatievoorziening en ICT. Wel leeft de wens om op meer terreinen samen te werken, en met
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 44/97
name op het gebied van de back-office te outsourcen als de mogelijkheid zich voordoet. Onder
invloed van de kerntakendiscussie en onder invloed van een discussie in het managementteam
over de besturing van de organisatie wordt nu wel gesproken over taken die voor sourcing in
aanmerking komen.
De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste
benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete
sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende
benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om
kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de
samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de
mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een
belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening.
Aanbeveling
Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de
samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof
implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een
sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad.
Norm 9: Samenwerking op het gebied van informatievoorziening met partners binnen en buiten
de gemeente is door het College geformaliseerd en vastgelegd
Daar waar het toetreding tot samenwerking betreft met andere gemeenten, of deelnemingen in
een andere organisatie is de gemeente Roermond aan de wettelijke verplichtingen daaromtrent.
De onderzoekers hebben niet specifiek onderzocht in hoeverre de gemeente zich daaraan houdt.
In het geval van Dimpact is dat wel gebeurd.
De situatie in Roermond wijkt niet af van de norm en ook niet van de situatie in andere
benchmarkgemeenten.
Norm 10: Risico's van projecten en operationele systemen zijn volgens een standaard methodiek
geanalyseerd en door het College voorzien van beheersmaatregelen. Grote risico's worden door
het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld
ten aanzien van wettelijke eisen, continuïteit, beveiliging en kosten).
De gemeente Roermond hanteert geen gestandaardiseerde methodiek ten aanzien van
risicoanalyses. In de gemeente Roermond wordt niet gerapporteerd aan de Raad over
operationele risico's.
De situatie in Roermond wijkt hierin af van de norm. Zij wijkt niet af van de situatie in de meeste
benchmarkgemeenten die geen specifieke methodiek hanteren voor het analyseren van risico's
van operationele systemen. en daarover ook niet standaard rapporteren aan de Raad.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 45/97
Aanbeveling
Het verdient aanbeveling om de risico's van operationele systemen te analyseren volgens een
geaccepteerde standaard en om rapportages in samenvattende vorm aan de Raad ter beschikking
te stellen.
Norm 11: In de overeenkomsten die het College afsluit met leveranciers op het gebied van
informatievoorziening, zijn zaken als beschikbaarheid en kwaliteit van de dienstverlening smart
gespecificeerd. Er zijn afspraken gemaakt over periodieke rapportages.
Deze norm wordt behandeld bij par 4.5, cluster 3: Beheer en exploitatie van de
informatievoorziening.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 46/97
4.3 Cluster 2b: Besturing en organisatie van de informatiebeveiliging
Dit cluster heeft betrekking op de governance van de informatievoorziening: de wijze waarop de
kaderstellende en controlerende rol van de Raad ten aanzien van de organisatie van de
informatiebeveiliging.
4.3.1 Omschrijving
De gemeente beschikt over een beleid voor informatiebeveiliging en privacy, dat is vastgesteld
door de Raad. Dit beleid wordt actief gecommuniceerd en is regelmatig onderdeel van
werkoverleggen en managementoverleggen. De gemeente hanteert instrumenten om dit beleid
vorm te geven bij de ontwikkeling, het beheer en exploitatie van informatievoorzieningen. Er vindt
periodieke monitoring plaats.
NORMENKADER
Norm 1: De gemeente heeft een beleid voor informatiebeveiliging en privacybescherming dat
richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving en
dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot
privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers.
Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad vastgesteld.
Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen in
de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in
managementoverleggen.
Norm 4: Het College toetst periodiek de verleende toegangsrechten tot
informatie/informatiesystemen. Van alle uitgegeven en actieve identiteiten (accounts) wordt
gecontroleerd of deze toebehoren aan personen die inderdaad voor de organisatie werken. Van
elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten heeft.
Norm 5: De status van de technische beveiliging van ICT systemen wordt jaarlijks door een
(onafhankelijke) partij getoetst.
Norm 6: De effectiviteit van de afscherming van systemen wordt gemonitord zodat ongewenst
verkeer en indringers kan worden gedetecteerd. Rapportage hierover vindt plaats via de
rapportagecyclus van dienstverleningsovereenkomsten.
Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie en
privacy te detecteren en er is een organisatie om die te behandelen.
Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de risico's
geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden afspraken
gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van de
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 47/97
beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en
rapportage van performance en beveiliging (incl. incidenten); melding en behandeling van
incidenten; de bewerkingen in het kader van de wettelijke verplichtingen voor
privacybescherming.
4.3.2 Bevindingen op basis van de documentatie
INFORMATIEBEVEILIGINGSBELEID EN ROL VAN DE RAAD
Relevante documenten: ICT-beveiligingsbeleid 2.1 (2009), ICT-beveiligingsplan versie 2.3 (2010),
Continuïteitsplan versie 2.2 (2012), een Uitwijkplan GBA en BAG 2.4 (2012)
ICT-beveiligingsbeleid
Het ICT-beveiligingsbeleid (versie 2.1) is door het College vastgesteld op 18 augustus 2009. Het
geactualiseerde ICT beveiligingsbeleid zal op 20 augustus 2012 in het college worden behandeld.
Het ICT-beveiligingsbeleid legt de uitgangspunten en doelstellingen voor de ICT-beveiliging van de
gemeente Roermond vast. Tevens wordt de relatie met andere aspecten van beveiliging
geïdentificeerd en hun wederzijdse afhankelijkheid. Het ICT-beveiligingsbeleid vormt het
uitgangspunt voor het ICT-beveiligingsplan van de gemeente Roermond. Het doel van het ICT-
beveiligingsbeleid is het waarborgen van de verschillende elementen van beveiliging, zijnde
vertrouwelijkheid, integriteit en beschikbaarheid, binnen de processen en de informatiesystemen
die deze processen ondersteunen dan wel uitvoeren.
Voor het ICT-beveiligingsbeleid is de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007
(editie november 2007) als uitgangspunt en richtlijn gehanteerd. Daarnaast is relevante wet- en
regelgeving in acht genomen (zie bijlage E). Het beleid beschrijft de verschillende aspecten die bij
Informatiebeveiliging een rol spelen en de eisen die daaraan gesteld worden. Het
beleidsdocument geldt als richtinggevend voor:
• De inrichting van de organisatie van de ICT-beveiligingsfunctie
• De verantwoordelijkheden en bevoegdheden inzake ICT- beveiliging
• De aanpak en inrichting van het beveiligingsplan
• De registratie van incidenten
• De aanpak en realisering van de bewustwording
ICT-beveiligingsplan
Het ICT-beveiligingsplan (versie 2.3) is vastgesteld door het College op 25 januari 2010.
Dit plan is een nadere uitwerking van het ICT-beveiligingsbeleid. In het plan zijn de
verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging vastgelegd.
Continuïteitsplan
Het Continuïteitsplan (versie 2.2) is vastgesteld door het MT in maart 2012.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 48/97
Hierin zijn de taken, verantwoordelijkheden en bevoegdheden vastgelegd die noodzakelijk zijn bij
grootschalige uitval van ICT en/of elektriciteit. Het plan bestaat uit twee delen. Het eerste deel
gaat in op het opstarten van de crisisorganisatie bij uitval van ICT en elektriciteit. Het tweede deel
gaat in op het continueren van de kernactiviteiten van de organisatie. In het plan zijn taken, te
nemen maatregelen, benodigde applicaties en werkplekken, en prioriteiten beschreven.
Uitwijkplan GBA en BAG
Het Uitwijkplan GBA en BAG Roermond (versie 2.4) dateert uit januari 2012. Dit is op 10 januari
2012 vastgesteld door het hoofd Publiekszaken, het hoofd Facilitaire Zaken en de Adviseur
Centrale Gegevensvoorziening. Het is (nog) niet vastgesteld door het College of MT.
Dit plan bevat de procedure, taken, verantwoordelijkheden en bevoegdheden in het geval dat de
uitvoering van de GBA/BAG langdurig verstoord wordt door calamiteiten, waardoor uitgeweken
moet worden naar de uitwijklocatie om de continuïteit te garanderen. De gemeente Roermond
beschikt over een uitgebreide uitwijkfaciliteit, waar de gehele relevante IT infrastructuur
beschikbaar is in het geval van een ernstige calamiteit. De uitwijklocatie beschikt over een
volledige 'kopie' van de noodzakelijke faciliteiten op het stadhuis. Het uitwijkplan GBA en BAG is
een wettelijke verplichting.
UITDRAGEN VAN HET INFORMATIEBEVEILIGINGSBELEID,
Relevante documentatie: ICT-beveiligingsbeleid en ICT-beveiligingsplan
ICT-beveiligingsbeleid en ICT-beveiligingsplan
Het ICT-beveiligingsbeleid en het ICT-beveiligingsplan bevatten hoofdstukken over
beveiligingsbewustzijn en borging. Hierin is aandacht voor de informatie aan (nieuwe)
medewerkers, scholing voor beheerders, melden van incidenten en sancties bij overtredingen.
TOEGANGSBEHEER, TOETSING EN MONITORING VAN DE BEVEILIGING, EN INCIDENTENPROCEDURE
Relevante documentatie: ICT-beveiligingsbeleid, Management letter interim-controle 2011
ICT-beveiligingsbeleid en ICT-beveiligingsplan
Het ICT-beveiligingsbeleid bevat een paragraaf over het logisch toegangsbeheer. Hierin zijn de
uitgangspunten beschreven voor de formele procedure voor het registreren en afmelden van
gebruikers van de ICT-faciliteiten. Daarnaast beschrijft de paragraaf de wijze waarop de
autorisaties worden beheerd en gecontroleerd. Het beleid voorziet erin dat de ICT-
beheerorganisatie het lijnmanagement jaarlijks de geldigheid en rechtmatigheid van de verleende
gebruikersidentificaties, toegangsrechten en bevoegdheden op besturingssystemen laat
controleren, dat het applicatiebeheer hetzelfde doet voor de haar toevertrouwde applicaties, en
dat deze maatregelen in periodieke onafhankelijke audits worden getoetst.
Het ICT-beveiligingsbeleid bevat tevens een hoofdstuk waarin het risicomanagementproces binnen
de gemeente Roermond is beschreven. Dit voorziet erin dat voor elk bedrijfsproces en
informatiesysteem een risicoanalyse wordt uitgevoerd. De resultaten worden vastgelegd in het
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 49/97
Informatiebeveiligingsplan. Het beleid voorziet in monitoring door geautoriseerde medewerkers,
en een jaarlijkse onafhankelijke audit namens het College van B&W. Het beleid voorziet ook in een
incidentenprocedure voor melding en rapportage, die is opgenomen in het ICT-beveiligingsplan.
Het lijnmanagement van de directie Middelen rapporteert jaarlijks aan de Directeur over de aard,
omvang en afhandeling van incidenten.
Management letter Interim controle 2011
De Management Letter bij de Interim Controle 2011 is opgesteld door Ernst&Young. Deze is op 25
november 2011 verzonden aan het College.
In de management letter wordt ingegaan op diverse beveiligingsaspecten die in de ogen van
Ernst&Young aandacht behoeven:
Een procedure voor logische toegangsbeveiliging ontbreekt. Gebruikersaccounts voor het netwerk
worden aangemaakt op formeel verzoek van leidinggevenden. Echter gebruikersaccounts voor
applicaties worden aangemaakt op informele verzoeken van leidinggevenden.
Het wachtwoordbeheer van een applicatie (Decade) is niet in orde.
Er is geen procedure aanwezig waarin het wijzigingsbeheer is omschreven. Niet voor alle
wijzigingen in applicaties worden testwerkzaamheden verricht en gedocumenteerd alvorens de
wijziging in productie te nemen. Daarnaast signaleert Ernst&Young dat niet in alle gevallen een
vastlegging beschikbaar is van de goedkeuring van de eindverantwoordelijke om wijzigingen door
te voeren in de productieomgeving.
Naar aanleiding hiervan zijn op 23 januari 2012 de wachtwoordinstellingen voor Decade
aangepast. De overige opmerkingen zijn binnen de organisatie opgepakt en de genoemde
procedures worden in het 3e of 4
e kwartaal 2012 opgesteld en ingevoerd.
ONTWIKKELING EN ONTWERP VAN SYSTEMEN, EISEN BIJ UITBESTEDING
Relevante documentatie: ICT-beveiligingsbeleid, ICT-beveiligingsplan, Management Letter
Interim Controle 2011
ICT-beveiligingsbeleid en ICT-beveiligingsplan
In het ICT-beveiligingsbeleid wordt aandacht besteed aan de eisen ten aanzien van de uitbesteding
en ontwikkeling van software, en de acceptatie van hardware en software. Deze voorzien onder
andere in het maken van risico-inschattingen en het uitvoeren van testen. Deze worden verder
uitgewerkt in het ICT-beveiligingsplan.
Management letter Interim controle 2011
In de Management Letter van 25 november 2011 wordt ingegaan op diverse beveiligingsaspecten
die in de ogen van Ernst&Young aandacht behoeven, o.a. m.b.t. het wijzigingsbeheer:
Er is geen procedure aanwezig waarin het wijzigingsbeheer is omschreven. Niet voor alle
wijzigingen in applicaties worden testwerkzaamheden verricht en gedocumenteerd alvorens de
wijziging in productie te nemen. Daarnaast signaleert Ernst&Young dat niet in alle gevallen een
vastlegging beschikbaar is van de goedkeuring van de eindverantwoordelijke om wijzigingen door
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 50/97
te voeren in de productieomgeving. (zie ook hierboven onder 'Toegangsbeheer, toetsing en
monitoring van de beveiliging, en incidentenprocedure').
4.3.3 Bevindingen op basis van de interviews
In de interviews zijn de onderzoekers alleen ingegaan op de enkele specifiek onderdelen van het
beveiligingsbeleid ter toetsing. Hierin komen niet alle onderdelen uit de vorige paragraaf terug,
omdat daar geen nadere toelichting op nodig was.
INFORMATIEBEVEILIGINGSBELEID EN DE ROL VAN RAAD
Er zijn tot nu toe geen concrete aanleidingen/signalen voor de Raad om zich te bemoeien met het
informatiebeleid. Media-aandacht voor recente incidenten elders, zoals Lektober (beveiliging ICT
bij gemeenten) en de financiële overschrijdingen bij ICT-projecten, hebben niet geleid tot vragen
van de Raad omdat Roermond bij deze incidenten niet betrokken was.
Binnenkort wordt een geactualiseerde versie van het ICT-beveiligingsbeleid aangeboden ter
goedkeuring aan het College. In deze geactualiseerde versie zijn onder andere veranderingen op
het gebied van wet- en regelgeving meegenomen.
TOEGANGSBEHEER, TOETSING EN MONITORING VAN DE BEVEILIGING, EN INCIDENTENPROCEDURE
Het ICT-beveiligingsbeleid wordt jaarlijks getoetst (ook op koppelingen). In het kader van de GBA is
de gemeente Roermond verplicht vijfjaarlijks een GBA-audit uit te laten voeren. De gemeente
beschikt over deze GBA audit rapportage. Het uitwijkplan (GBA, BAG) wordt jaarlijks getest.
Uitwijkfaciliteiten zijn intern ingericht op gescheiden locaties. De locaties zijn identieke kopieën
van elkaar. De twee datacenters zijn gesitueerd in het Stadhuis en het Stadskantoor.
Tweejaarlijks vinden er risicoanalyses plaats op kritische bedrijfsprocessen en de daarbij
behorende informatiesystemen. Security scans (en penetratietesten) worden periodiek
uitgevoerd. De gemeente Roermond beschikt niet over intrusion detection (continue monitoring
van pogingen tot hacking).
In 2009 en 2010 hebben de jaarlijkse audits op de ICT-beveiliging plaats gevonden. De audit voor
2011 heeft deels plaatsgevonden in 2011 en wordt deels in 2012 uitgevoerd. De reden hiervoor
was dat het i.v.m. de verhuizing niet mogelijk was de audit geheel in 2011 te voltooien.
Jaarlijks wordt er samenvattend gerapporteerd over incidenten aan het afdelingshoofd FZ en aan
het College van B&W. Incidenten worden intern besproken, er vindt geen inhoudelijke rapportage
plaats.
Meldingen van incidenten m.b.t. beveiliging worden behandeld door de 1e lijn (twee
medewerkers) en daar waar nodig toegewezen aan het team Huisvesting & Services, de I-
adviseurs, de 2e en 3
e lijns ICT medewerkers, projectleider ICT en teamleider ICT.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 51/97
Prioriteit op gebied van Informatiebeveiliging ligt bij het herschrijven van het uitwijkplan GBA en
BAG n.a.v. de recente verhuizing naar het nieuwe Stadskantoor waar nu het 2e datacenter in
gevestigd is.
4.3.4 Bevindingen uit de benchmark:
De benchmark gaat alleen in op de betrokkenheid van de Raad bij beveiligingsbeleid.
Alle deelnemende gemeenten doen systematisch aan risicomanagement. Alleen grote risico’s
worden gemeld aan de Raad, zij het soms op een zeer hoog abstractieniveau. Waar het gaat om
exploitatie en beveiliging, is er geen enkele benchmarkgemeente die daarover op reguliere basis
rapporteert aan de Raad, alleen bij incidenten.
4.3.5 Conclusies en aanbevelingen
Norm 1: De gemeente heeft een beleid voor informatiebeveiliging en privacybescherming dat
richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving
en dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot
voor privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers.
De gemeente Roermond beschikt over een ICT-beveiligingsbeleid, dat overeenstemt met het hier
bedoelde ICT-beveiligingsbeleid. Het ICT-beveiligingsbeleid van de gemeente Roermond is
gebaseerd op de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007 (editie november 2007)
en op gerelateerde wet- en regelgeving. In de geactualiseerde versie die binnenkort wordt
voorgelegd aan het College worden relevante wetswijzigingen meegenomen. Het ICT-
beveiligingsbeleid bevat de vastlegging van verantwoordelijkheden en bevoegdheden met
betrekking tot privacybescherming en informatiebeveiliging. Het beleid is verder uitgewerkt in een
ICT-beveiligingsplan, continuïteitsplan en uitwijkplan GBA/BAG.
De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie
beschikbaar.
Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad
vastgesteld.
Het beleid voor ICT-beveiligingsbeleid van de gemeente Roermond is vastgesteld door het College,
niet door de Raad. Dit geldt ook voor het gerelateerde ICT-beveiligingsplan, Continuïteitsplan en
Uitwijkplan GBA en BAG.
De situatie in Roermond wijkt hiermee af van de norm. Hierover is geen benchmarkinformatie
beschikbaar.
Aanbeveling
Het verdient aanbeveling om de betrokkenheid van de Raad bij het ICT-beveiligingsbeleid te
vergroten, dan wel tenminste te informeren over de wijze waarop de gemeente haar beveiliging
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 52/97
heeft geregeld. Dit gezien het toenemende belang van informatievoorziening voor de continuïteit
van de organisatie, en de toenemende dreigingen op het gebied van cybercriminaliteit, en hacking.
Grotere betrokkenheid zal ook leiden tot bewustwording bij de Raad op dit vlak.
Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen
in de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in
managementoverleggen.
In het ICT-beveiligingsbeleid en ICT-beveiligingsplan besteedt de gemeente Roermond aandacht
aan de bewustwording en borging van het veiligheidsbewustzijn. Het is niet duidelijk geworden in
hoeverre dit ook actief gebeurt in de zin zoals hierboven bedoeld.
De situatie in Roermond wijkt hierin, in ieder geval in formele zin, niet af van de norm. Hierover is
geen benchmarkinformatie beschikbaar.
Aanbeveling
Om dezelfde reden als bij norm 2 verdient het aanbeveling, om medewerkers periodiek te
informeren en betrekken bij beveiligingsbeleid en hen ook te informeren als er zich ernstige
incidenten hebben voorgedaan. Dit om het veiligheidsbewustzijn te vergroten en te onderhouden.
Norm 4: Het College toetst periodiek de verleende toegangsrechten tot
informatie/informatiesystemen. Van alle uitgegeven en actieve identiteiten (accounts) wordt
gecontroleerd of deze toebehoren aan personen die inderdaad voor de organisatie werken. Van
elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten
heeft.
Het beleid voorziet in periodieke toetsing van de gebruikersregistraties. De Management Letter
Interim Controle 2011 constateert echter enige tekortkomingen in het toegangsbeheer met
betrekking tot de applicaties. Hierop is actie ondernomen, en enkele acties staan in de planning.
Het applicatiebeheer is nog grotendeels decentraal georganiseerd in Roermond. Roermond heeft
de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de
stuurbaarheid m.b.t. beveiligingsbeleid verbeteren. Daarnaast heeft
Het beleid in Roermond voldoet aan de norm. De Management Letter Controle 2011 laat zien dat
het belangrijk is om alert te blijven op een strikte uitvoering in deze. Tegelijkertijd laat de reactie
van de organisatie op de constateringen uit de Management Letter Controle 2011 zien dat zij in
staat is om adequaat te reageren. Hierover is geen benchmarkinformatie beschikbaar.
Aanbeveling
Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICT-
beveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College.
Norm 5: De status van de technische beveiliging van ICT systemen wordt jaarlijks door een
(onafhankelijke) partij getoetst.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 53/97
Het ICT-beveiligingsbeleid voorziet in een jaarlijkse audit namens het College. Deze audit wordt
ook uitgevoerd, zij het dat de audit van 2011 gespreid is over 2011 en 2012 i.v.m. de verhuizing.
De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar.
Norm 6: De effectiviteit van de afscherming van systemen wordt gemonitord zodat ongewenst
verkeer en indringers kunnen worden gedetecteerd. Rapportage hierover vindt plaats via de
rapportagecyclus van dienstverleningsovereenkomsten.
Het ICT-beveiligingsbeleid voorziet in periodieke toetsing en monitoring van de afscherming van
systemen. Hierover wordt eens per jaar samenvattend gerapporteerd aan het College.
De situatie in Roermond wijkt hierin af van de norm. In de zin dat slechts één keer per jaar wordt
gerapporteerd aan het College.
Aanbeveling
Het verdient aanbeveling om via de rapportagecyclus van de dienstverleningsovereenkomsten te
rapporteren over incidenten.
Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie
en privacy te detecteren en er is een organisatie om die te behandelen.
Het ICT-beveiligingsbeleid in een calamiteitenprocedure bij beveiligingsincidenten. Hier is ook een
organisatie voor aanwezig met als eerste aanspreekpunt de helpdesk.
De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie
beschikbaar.
Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de
risico's geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden
afspraken gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van
de beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en
rapportage van performance en beveiliging (incl. incidenten); melding en behandeling van
incidenten; de bewerkerovereenkomsten in het kader van de wettelijke verplichtingen voor
privacybescherming.
Het ICT-beveiligingsbeleid voorziet in het borgen van de beveiliging bij uitbesteding en
ontwikkeling van software, de acceptatie van hardware en software en het maken van afspraken
met leveranciers. De Management Letter Interim Controle 2011 constateert echter enige
tekortkomingen in het wijzigingsbeheer van de applicaties. Testen worden niet altijd uitgevoerd,
en soms ontbreekt de vastlegging van de goedkeuring van de eindverantwoordelijke om een
applicatie in productie te nemen. Hierop is actie ondernomen, en enkele acties staan in de
planning. Roermond heeft daarnaast de beweging in gang gezet om het applicatiebeheer te
centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 54/97
Het beleid in Roermond voldoet aan de norm, echter in de uitvoering schiet de organisatie nog
tekort. Hierover is geen benchmarkinformatie beschikbaar.
Aanbeveling
Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICT-
beveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 55/97
4.4 Cluster 2c: Besturing en organisatie van de projecten
Dit cluster heeft betrekking op de besturing van de informatievoorziening- en ICT-projecten.
4.4.1 Omschrijving
Projecten en programma's worden door de ambtelijke organisatie beheerst volgens algemeen
geaccepteerde principes voor project en programma management. Daarbij valt te denken aan
methoden als MSP (Managing Successful Programs), Prince II (Projects IN Controlled
Environment), of vergelijkbare methoden. Er is kennis in de organisatie van belangrijke rapporten
binnen de overheid op het gebied van het beheersen van risico's van grote ICT-projecten, zoals het
Rekenkamerrapport 'Lessen uit ICT-projecten bij de overheid' en de zogenaamde 'Gateway
reviews' die het Rijk heeft laten uitvoeren naar grote ICT-projecten. Deze kennis wordt ook benut
in de planning en organisatie van grote projecten.
NORMENKADER
Norm 1: Projecten zijn zowel op opdrachtgevend als uitvoerend niveau verankerd in de
organisatie: de (ambtelijke) opdrachtgeverrol en opdrachtnemerrol zijn gedefinieerd, in de
opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn vanuit
hun functie bevoegd tot het uitvoeren van de opdrachtgeverrol, c.q. opdrachtnemerrol.
Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur op
basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in beeld zijn
gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de organisatie
betrokken.
Norm 3: De uiteindelijke oplossingsrichting via een project sluit aan op de beleidskaders van de
gemeente. Het principe daarbij is: Pas-toe-of-verklaar.
Norm 4: Binnen de gemeente wordt een vaste methodiek voor de planning, uitvoering en
beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op de
standaarden van de organisatie en Quality control is binnen het project ingericht.
Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in herkenbare
termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct
verbetervoorstellen gedaan, dan wel beheersmaatregelen in gang gezet.
Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote projecten
rapporteert het College de grote risico's aan de Raad.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 56/97
4.4.2 Bevindingen op basis van de documentatie
PROJECTVERANTWOORDELIJKHEDEN EN ROLVERDELING
Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten,
powerpoint sheets Project Start-Up (2011), Projectplannen Accelleratie Excellente
Dienstverlening, projectimplementatie Dimpact
Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten
De notitie 'Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten' is op 9 mei 2007
goedgekeurd door het managementteam van de gemeente Roermond.
De notitie geeft een overzicht van de uitgangspunten en randvoorwaarden voor het
projectmanagement van bedrijfsvoeringsprojecten. Aandacht wordt besteed aan o.a. het
afwegingskader voor projecten, de cyclus voor het vaststellen van de projectenkalender, en de
projectrapportages, het eigenaar- en sponsorschap van projecten, de projectleidersrol en de
bijbehorende (budget)bevoegdheden, de contractuele relatie tussen projectleider en
projecteigenaar, bemensing van de projectleidersrol en de personele capaciteit voor projecten, de
variabele beloning van projectleiders, de verhouding tussen afdelingshoofd en projectleider.
De notitie belegt het eigenaarschap van bedrijfsvoeringsprojecten altijd bij het MT. En voor elk
project wordt altijd één MT-lid als sponsor van het project benoemd. In aanvulling op de notitie
zijn er formats voor projectafweging en projectinitiatie ontwikkeld.
Project Start-Up (2011)
Deze presentatie geeft een introductie in projectmanagement. Zij besteedt gaat met name in op
de operationele kant ervan, niet aan rollen en verantwoordelijkheden.
Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact
In de projectplannen die de onderzoekers hebben ingezien, het onderzoek 'Acceleratie Excellente
Dienstverlening' en het projectimplementatieplan Dimpact, treedt het MT op als opdrachtgever,
en zijn de (deel)projectleidersrollen toegewezen, zonder uitgebreid in te gaan op
verantwoordelijkheden en bevoegdheden. De rollen van medewerkers in de organisatie die
bijdragen aan het project zijn eveneens benoemd en voorzien van kwantificering van hun inzet.
BESLUITVORMING
Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten,
Overzicht drempelbedragen.
Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Zie de beschrijving hierboven onder het kopje 'Projectverantwoordelijkheden en rolverdeling'. In
de notitie wordt ook aandacht besteed aan de afwegingscriteria.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 57/97
Samenvattend overzicht drempelbedragen
Niveau van besluitvorming: onbekend.
Daar waar het gaat om projecten die investeringen vergen, en/of contracten met leveranciers,
gelden de drempelbedragen voor besluitvorming. Tot €50.000,- is de beslisser het
College/mandaat sectordirecteur. Tussen de €50.000,- en €200.000,- is de beslisser het
College/mandaat portefeuillehouder en akkoord plaatsvervangend portefeuillehouder. Boven de
€200.000,- beslist het College.
De samenvatting van de drempelbedragen is gebaseerd op de notitie Aanbestedingsbeleid bij
laagconjunctuur die het College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de
gewijzigde bedragen geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en
eveneens zijn vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een
raadsinformatiebrief geïnformeerd.
Bij de projectplannen die de onderzoekers hebben ingezien, vond de besluitvorming plaats door
het management team. Het besluit om toe te treden tot Dimpact was goedgekeurd door de Raad.
AANSLUITING OP BELEIDSKADERS
Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten
Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Zie de beschrijving hierboven onder het kopje 'Projectverantwoordelijkheden en rolverdeling'. In
dit document en het bijbehorende format voor projectafweging wordt de opstellers van
projectvoorstellen expliciet gevraagd naar hoe het project zich verhoudt tot relevante
beleidskaders.
PROJECTMETHODIEK
Relevante documenten: powerpoint sheets Project Start-Up (2011)
Project Start-Up (2011)
Roermond maakt gebruik van een projectmethodiek van het externe bureau AMI. De
documentatie die hierover beschikbaar is bevat een format voor een 'Project start-up'. Zij bevat
vooral aandacht voor de opzet van het projectplan. Er is geen/nauwelijks aandacht voor de
governance van projecten.
RISICOBEHEERSING
Relevante documenten: Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten,
powerpoint sheets Project Start-Up (2011), Projectplannen Accelleratie Excellente
Dienstverlening, projectimplementatie Dimpact
Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten Zie de beschrijving hierboven onder het kopje 'Projectverantwoordelijkheden en rolverdeling'. In
dit document en het bijbehorende format voor projectafweging wordt geen expliciete aandacht
besteed aan risicobeheersing.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 58/97
Project Start-Up (2011)
In de presentatie over Project Start Up wordt risicoanalyse wel genoemd maar niet uitgewerkt.
Projectplannen Accelleratie Excellente Dienstverlening, projectimplementatie Dimpact
In de projectplannen die de onderzoekers hebben ingezien zijn risicoanalyses gemaakt en
beheersmaatregelen benoemd.
RAPPORTAGE AAN DE RAAD
Relevante documenten: er zijn relevante geen rapportages beschikbaar, er wordt niet op
projectniveau gerapporteerd aan de Raad.
4.4.3 Bevindingen op basis van de interviews
PROJECTVERANTWOORDELIJKHEDEN EN ROLVERDELING
Het management team monitort het programmaplan excellente dienstverlening, de vervangings-
projecten en soms (afhankelijk van de omvang) ook sectorspecifieke projecten.
Informatievoorziening/ICT-projecten zijn geen vast agendapunt voor het management team.
Het opdrachtgeverschap wordt voor sectoroverstijgende projecten ingevuld door het management
team, voor sectorspecifieke projecten ligt het opdrachtgeverschap bij de betreffende sector.
Vervangingsprojecten worden soms binnen een sector uitgevoerd maar zijn vaak
sectoroverstijgend waardoor het managementteam dan als opdrachtgever optreedt.
De projectleidersrollen voor vervangingsprojecten en sectorspecifieke projecten worden vanuit de
sector ingevuld. Als een project betrekking heeft op meerdere sectoren, treedt het
managementteam op als opdrachtgever met één van de sectordirecteuren als trekker. Voor het
Programma Excellente Dienstverlening ligt het opdrachtgeverschap bij het management team, er
is een programmamanager die als opdrachtnemer fungeert en de uitvoering coördineert. Deze
programmamanager doet voorstellen voor projecten aan het management team. Het
managementteam neemt vervolgens een beslissing en bepaalt waar het opdrachtgeverschap komt
te liggen. De projectleidersrollen voor de projecten uit dit Programma Excellente Dienstverlening
worden met name door de I-adviseurs ingevuld. Deze projectleiders rapporteren aan de
programmamanager die op zijn beurt verantwoording aflegt aan het management team en aan de
stuurgroep excellente dienstverlening. Deze stuurgroep bestaat uit de verantwoordelijk
wethouder, een vertegenwoordiging van het management team en de OR.
BESLUITVORMING
De gemeente Roermond beschikt niet standaard over een business case bij de opstart van elk
project. Afhankelijk van de projectzwaarte wordt een business case opgesteld. Er is hiervoor geen
specifieke norm gesteld bij welke projectomvang wel/niet een business case moet worden
uitgewerkt. In de praktijk gebeurt dit alleen bij de hele grote projecten zoals het Dimpact project
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 59/97
en het lopende onderzoeksproject rondom de samenwerking met Venlo en Weert (gezamenlijke
technische infrastructuur met twee rekencentra: in Roermond en in Venlo).
De besluitvorming over de gunning in aanbestedingstrajecten is afhankelijk van de geraamde
aanbestedingssom. Afhankelijk van deze som is de beslisser: 1) College van B&W mandaat
sectordirecteur of 2) College van B&W mandaat portefeuillehouder en akkoord plaatsvervangend
portefeuillehouder of 3) College van B&W. Besluitvorming in deze trajecten door het College is het
hoogste. De Raad wordt nooit inhoudelijk betrokken in de besluitvorming rondom de ICT
projecten.
De Raad is niet betrokken geweest bij het Programma Excellente Dienstverlening, de opdracht
voor dit programma vloeit voort uit de strategische visie van Roermond 2020.
Per project wordt een budget vastgesteld, dit wordt een jaar vooruit gepland. Dit betekent dus dat
het budget voor de gehele projectenportfolio voor het komende jaar reeds in beeld is. Bij
vervangingsprojecten wordt 4 jaar vooruit gekeken. De informatievoorziening/ICT projectkosten
worden vooral centraal gebudgetteerd.
AANSLUITING OP BELEIDSKADERS
Excellente dienstverlening is de kapstok voor het bepalen van programma’s en projecten.
Hiernaast zijn er ook de landelijke programma’s (zoals Antwoord, GEMMA en NORA) die een
kapstok vormen voor het bepalen welke bedrijfsvoeringprojecten in welke jaarschijven gepland
worden.
Daarnaast zijn er nog de diverse vervangingsprojecten. De I-adviseurs inventariseren de
informatievoorziening- en ICT-behoeften bij de diverse sectoren. Deze afstemmingen hebben
vooral betrekking op beheersmatige onderwerpen en minder op nieuwe sectorontwikkelingen
(behalve veranderingen in wet- en regelgeving). De vervangingsprojecten vormen geen onderdeel
van het Programma Excellente Dienstverlening. De lijst van bedrijfsvoeringprojecten wordt
uiteindelijk door het management team bepaald.
PROJECTMETHODIEK
Als projectmethodiek hanteert Roermond een methodiek van een extern bureau - AMI - die
afgeleid is van Prince2. De projectmethodiek die gehanteerd wordt voor de projecten die
betrekking hebben op de technische ICT infrastructuur, is vaak afhankelijk van de
leveranciersmethodiek. Deze projecten worden zowel intern als in samenspraak met leveranciers
geëvalueerd. Projectdossiers worden volledig opgeslagen in het DMS.
Informatievoorziening/ICT projectkosten zijn vooral centraal gebudgetteerd. Projecten die te
maken hebben met de technische ICT infrastructuur en een budget van 50.000 te boven gaan,
vallen onder de besluitvorming van het College (de Raad wordt niet betrokken bij deze projecten).
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 60/97
RISICOBEHEERSING
Het zwaartepunt van de Roermondse projectmethodiek ligt bij de Project start-up (PSU) waarbij
het projectteam in een werkconferentie van één of twee dagen het projectplan definieert, een
omgevingsanalyse en een risicoanalyse uitvoert en beheersmaatregelen benoemt.
De procesmatige en communicatieve onderdelen van het projectenmanagement laat te wensen
over. Een voorbeeld is het Programma Excellente Dienstverlening dat bij de gehele organisatie
bekend was maar waarbij slechts enkele afdelingen in beeld hadden wat dit voor de betreffende
afdeling betekende. Gaandeweg verloopt dit nu beter. Dit neemt niet weg dat de communicatie
rondom projecten een aandachtspunt is. Een ander voorbeeld is dat de scope van de
projectbezetting soms beperkt is tot vooral inhoudelijke onderwerpen waardoor onderwerpen
soms te lang binnen een projectgroep blijft hangen. Het management team zou eigenlijk eerder in
positie moet worden gebracht om knopen door te hakken of besluiten te nemen. Het
management team zelf zou nog consequenter haar opdrachten kunnen verlenen en daarmee
zichzelf in een positie brengen om pro-actiever besluiten te kunnen nemen.
RAPPORTAGE AAN DE RAAD
Afgelopen jaren zijn er geen grote projectoverschrijdingen in Roermond. De overschrijdingen die
er zijn, hebben te maken met de inzet van mensen en zijn niet van budgettaire aard.
4.4.4 Bevindingen uit de benchmark
PROJECTVERANTWOORDELIJKHEDEN EN ROLVERDELING
Bijna alle benchmarkgemeenten (op één na) geven aan dat het opdrachtgeverschap van projecten
vrijwel altijd in de lijn ligt. Bij deze gemeenten vallen alleen grote, meer infrastructurele projecten
onder de verantwoordelijkheid van de afdeling ICT of informatie.
Ten aanzien van de projectuitvoering is het beeld ambivalent: bij sommige gemeenten ligt de
uitvoering overwegend in de lijn, bij andere gemeenten bij de ICT-afdeling. Veel
benchmarkgemeenten die deze verantwoordelijkheid wel in de lijn beleggen, beschikken over een
pool van projectleiders bij de I&A afdeling die ingehuurd kunnen worden door de lijn.
BESLUITVORMING
Alle benchmarkgemeenten werken met business cases. Enkele gemeenten doen dit structureel
voor alle projecten. De meeste gemeenten doen dit voor alleen de grote projecten.
AANSLUITING OP BELEIDSKADERS
Bij alle benchmarkgemeenten zijn vooral de landelijke programma’s een uitgangspunt voor de
projectenportfolio. Daarnaast wordt bij elk van de benchmarkgemeenten geïnventariseerd wat
vanuit de lijn behoeften zijn op het gebied van informatievoorziening en ICT. Dit ligt voornamelijk
op het niveau van vervangingsinvesteringen of verplichtingen als gevolg van veranderende wet- en
regelgeving. Een meer strategische analyse waarin vanuit gemeentelijke doelstellingen
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 61/97
(bijvoorbeeld gemeentelijk beleid op sociaal/maatschappelijk vlak) een vertaalslag wordt gemaakt
naar informatievoorziening- of ICT projecten ontbreekt meestal.
PROJECTMETHODIEK
Alle benchmarkgemeenten hanteren de projectmanagement methodiek Prince2 of een daarvan
afgeleide methodiek. Met betrekking tot het inzicht in grote projecten is het beeld gemengd.
Verder meldt één gemeente een overschrijding van meer dan 50% op één groot projectencluster.
Twee andere gemeenten geven aan dat de overschrijding niet zo zeer plaats vindt in geld, maar
melden wel overschrijdingen van meer dan 25% en 50% op enkele grote projecten. De andere
benchmarkgemeenten geven aan geen actueel overzicht te hebben.
RISICOBEHEERSING
Alle benchmarkgemeenten geven aan dat risicomanagement een wezenlijk onderdeel vormt van
alle projecten. Afhankelijk van de omvang van een project wordt hier in meer of mindere mate
aandacht aan gegeven. De teneur lijkt dat dit aandachtsveld de afgelopen jaren een toenemende
belangstelling heeft gekregen.
De meeste benchmarkgemeenten geven aan dat het vaststellen van doelen en risico’s door de
Raad en rapportages aan de Raad over afzonderlijke projecten alleen op gaat voor zeer
omvangrijke projecten.
RAPPORTAGE AAN DE RAAD
De meeste benchmarkgemeenten geven aan dat het vaststellen van doelen en risico’s door de
Raad en rapportages aan de Raad over afzonderlijke projecten alleen op gaat voor zeer
omvangrijke projecten. Over de gangbare projecten wordt bij geen enkele benchmarkgemeente
afzonderlijk gerapporteerd aan de Raad.
4.4.5 Conclusies en aanbevelingen
Norm 1: Projecten zijn zowel op opdrachtgevend als uitvoerend niveau verankerd in de
organisatie: de (ambtelijke) opdrachtgeverrol en opdrachtnemerrol zijn gedefinieerd, in de
opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn
vanuit hun functie bevoegd tot het uitvoeren van de opdrachtgeversrol, c.q. opdrachtnemerrol.
De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook
niet af van de situatie bij de benchmarkgemeenten.
Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur
op basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in
beeld zijn gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de
organisatie betrokken.
Het uitwerken van business case gebeurt alleen bij de hele grote projecten.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 62/97
De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt ook af van enkele
benchmarkgemeenten die wel structureel met business cases werken. De meeste
benchmarkgemeenten doen dit echter net als Roermond alleen bij de grote projecten.
Aanbeveling
Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten
waarbij altijd een business case gemaakt moet worden. Op die manier kunnen beter
onderbouwde afwegingen gemaakt worden ten aanzien van investeringen en in de besluitvorming
rond projecten. In het algemeen is het goed om medewerkers vertrouwd te maken met het maken
van (globale) business cases voor projecten.
Norm 3: De uiteindelijke oplossingsrichting via een project sluit aan op de beleidskaders van de
gemeente. Het principe daarbij is: Pas-toe-of-verklaar.
De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook
niet af van de situatie in de meeste benchmarkgemeenten.
Norm 4: Binnen de gemeente wordt een vaste methodiek voor de planning, uitvoering en
beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op
de standaarden van de organisatie en Quality Control is binnen het project ingericht.
De gemeente hanteert een vaste projectmethodiek die aansluit op de standaarden van de
organisatie.
De situatie in Roermond wijkt hierin niet af van de norm. Deze wijkt ook niet af van de situatie in
de benchmarkgemeenten.
Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in
herkenbare termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct
verbetervoorstellen gedaan, dan wel beheersmaatregelen in gang gezet.
In de projectmethodiek die de onderzoekers hebben ingezien (de AMI-methode) wordt summier
aandacht besteed aan een risicoanalyse én beheersmaatregelen. In de technische ICT projecten is
een risicoanalyse altijd een standaard onderdeel van het project implementatie document. Bij de
grote projecten die de onderzoekers hebben ingezien zijn dergelijke risicoanalyses en
beheersmaatregelen ook gemaakt en benoemd.
Met betrekking tot de risicoanalyse en het benoemen van beheersmaatregelen wijkt de formele
situatie in Roermond af van de norm, maar de praktijksituatie niet. Deze situatie wijkt af van de
situatie in de meeste benchmarkgemeenten die gebruik maken van PRINCE2 als projectmethodiek
waarin veel aandacht is voor risicoanalyses en beheersmaatregelen.
Aanbeveling
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 63/97
Het verdient aanbeveling om de formele situatie in dit geval meer in overeenstemming te brengen
met de praktijk zoals hierboven beschreven.
Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote
projecten rapporteert het College de grote risico's aan de Raad.
De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. In de
gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook
niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn.
De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een
norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen
enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat
zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer
omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt.
Aanbeveling
Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten
en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 64/97
4.5 Cluster 3: Beheer en exploitatie van de informatievoorziening
Dit cluster heeft betrekking op de manier waarop de informatievoorziening wordt beheerd en
gemanaged.
4.5.1 Omschrijving
Op ambtelijk niveau worden de dagelijkse werkzaamheden rondom de informatievoorziening op
elkaar afgestemd, zoals het afhandelen van incidenten en het doorvoeren van wijzigingen in de
informatievoorziening en informatiesystemen, zodanig dat dit de continuïteit van de
bedrijfsprocessen optimaal ondersteunt.
Normenkader
Norm 1: Er is een helpdesk die gebruikers ondersteunt in het dagelijks gebruik van systemen (w.o.
voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van
dienstverlening door de helpdesk zijn vastgelegd in dienstverleningsovereenkomsten tussen de
directie middelen en de lijnorganisatie.
Norm 2: Er is een norm vastgesteld voor de dagelijkse performance/beschikbaarheid van
systemen. Deze wordt gemonitord en bij afwijkingen bijgestuurd.
Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorziening/ICT diensten
beschikbaar.
Norm 4: Er is een expliciet vastgesteld sourcingbeleid en –strategie, de uitvoering hiervan wordt
gemanaged.
4.5.2 Bevindingen op basis van de documentatie
HELPDESK EN DIENSTVERLENINGSOVEREENKOMSTEN
Relevante documenten: Geen documentatie beschikbaar
De onderzoekers hebben geen documenten ingezien die betrekking hebben op beheerprocessen
en interne dienstverleningsovereenkomsten.
BESCHIKBAARHEID VAN SYSTEMEN
Relevante documenten: Lijst met applicaties (2011), Schaatsen op dun ijs, doorlichting van
organisatie en inrichting van gegevens- en applicatiebeheer van de gemeente Roermond (2010),
ICT beveiligingsbeleid (2009), ICT-beveiligingsplan (2010), Continuïteitsplan ICT en elektriciteit
gemeente Roermond (2012), Uitwijkplan Gemeentelijke BasisAdministraties en Basisregistraties
Adressen en Gebouwen (2012).
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 65/97
Lijst met applicaties
Eind 2011 is er een lijst opgesteld van beschikbare applicaties. Roermond blijkt te beschikken over
circa 235 softwarepakketten. Wijze van vaststelling is onbekend. Deze lijst is opgesteld in het kader
van het onderzoek 'Schaatsen op dun ijs' (zie hieronder).
Schaatsen op dun ijs
In de notitie ‘Schaatsen op dun ijs, doorlichting van organisatie en inrichting van gegevens- en
applicatiebeheer van de gemeente Roermond’ (29 augustus 2010, Assista Onderzoek en beleid)
wordt vastgesteld dat beleidsvisies en verbeterplannen ontbreken op het terrein van gegevens- en
applicatiebeheer. Het rapport doet verder als belangrijke bevinding dat vanuit doelmatigheid en
doeltreffendheid een centralisatie van het gegevens- en applicatiebeheer gewenst is. Op 15
februari 2012 heeft het MT het projectplan 'Centralisatie van gegevens- en applicatiebeheer'
opgestart goedgekeurd. Dit project beoogt invulling te geven aan de aanbevelingen uit 'Schaatsen
op dun ijs'.
ICT beveiligingsbeleid
Het ICT-beveiligingsbeleid (versie 2.1) is door het College vastgesteld op 18 augustus 2009.
Het ICT-beveiligingsbeleid legt de uitgangspunten en doelstellingen voor de ICT-beveiliging van de
gemeente Roermond vast.
In het ICT-beveiligingsbeleid wordt aandacht besteed aan de bescherming ten aanzien van externe
dreigingen. Daarnaast besteedt het beleid aandacht aan de eisen ten aanzien van leveranciers en
ontwikkelaars van hardware en software en voor het in gebruik nemen van nieuwe hard- en
software. Deze worden verder uitgewerkt in het ICT-beveiligingsplan.
ICT-beveiligingsplan
Het ICT-beveiligingsplan (versie 2.3) is vastgesteld door het College op 25 januari 2010.
Dit plan is een nadere uitwerking van het ICT-beveiligingsbeleid. In het plan zijn de
verantwoordelijkheden en bevoegdheden ten aanzien van informatiebeveiliging vastgelegd.
Continuïteitsplan ICT en elektriciteit gemeente Roermond
Het Continuïteitsplan (versie 2.2) is vastgesteld door het MT in maart 2012.
Hierin zijn de taken, verantwoordelijkheden en bevoegdheden vastgelegd die noodzakelijk zijn bij
grootschalige uitval van ICT en/of elektriciteit. Het plan bestaat uit twee delen. Het eerste deel
gaat in op het opstarten van de crisisorganisatie bij uitval van ICT en elektriciteit. Het tweede deel
gaat in op het continueren van de kernactiviteiten van de organisatie. In het plan zijn taken, te
nemen maatregelen, benodigde applicaties en werkplekken, en prioriteiten beschreven.
Uitwijkplan Gemeentelijke BasisAdministraties en Basisregistraties Adressen en Gebouwen
Het Uitwijkplan GBA en BAG Roermond (versie 2.4) dateert uit januari 2012. Dit is op 10 januari
2012 vastgesteld door het hoofd Publiekszaken, het hoofd Facilitaire Zaken en de Adviseur
Centrale Gegevensvoorziening. Het is (nog) niet vastgesteld door het College of MT.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 66/97
Dit plan bevat de procedure, taken, verantwoordelijkheden en bevoegdheden in het geval dat de
uitvoering van de GBA/BAG langdurig verstoord wordt door calamiteiten, waardoor uitgeweken
moet worden naar de uitwijklocatie om de continuïteit te garanderen. De gemeente Roermond
beschikt over een uitgebreide uitwijkfaciliteit waar de gehele relevante IT infrastructuur
beschikbaar is in het geval van een ernstige calamiteit. De uitwijklocatie beschikt over een
volledige 'kopie' van de noodzakelijke faciliteiten op het stadskantoor. Het uitwijkplan GBA en BAG
is een wettelijke verplichting.
BESCHIKBAARHEID PRODUCT DIENSTEN CATALOGUS
Relevante documenten: Product-dienstencatalogus voor burgers en bedrijven; Product-
dienstencatalogus intern (facilitair)
De eerste is beschikbaar via de internetsite van de Gemeente Roermond. De tweede is alleen via
intranet beschikbaar. De onderzoekers hebben deze niet in kunnen zien.
SOURCING
Relevante documenten: Contractenbeheer in de gemeente Roermond, Service Level Agreement
datatransport en toegevoegde waarde diensten Gemnet b.v., Projectplan Implementatie IP
Telefonie (2011), Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze
aannemer/leverancier/bureau (2012).
Behalve de eigen inkoopvoorwaarden is er geen documentatie over een vastgesteld sourcingbeleid
en/of –strategie. Er worden wel SLA’s afgesloten met leveranciers van de technische
infrastructuur, bijvoorbeeld met Gemnet b.v.
Contractenbeheer in de gemeente Roermond
Op 20-1-2010 en 5-8-2010 heeft het MT twee voorstellen geaccordeerd m.b.t. contractbeheer in
de gemeente Roermond. Het eerste betreft 'Contractenbeheer in de gemeente Roermond', het
tweede betreft het voorstel voor de ingebruikneming van Axxerion, een systeem dat het
contractenbeheer faciliteert.
Doel van het beleidsdocument 'Contractenbeheer in de gemeente Roermond', is om tot beter
contractbeheer te komen, zodat centraal beter inzicht bestaat in lopende en aflopende
contracten, ongewilde verlengingen worden voorkomen, beter gebruik kan worden gemaakt van
schaalvoordelen bij het aangaan van nieuwe enof te verlengen contracten.
Service Level Agreement datatransport en toegevoegde waarde diensten Gemnet b.v.
In deze SLA is de door Gemnet na te komen kwaliteit van dienstverlening vastgelegd. De kwaliteit
van dienstverlening komt tot uitdrukking in afspraken over beschikbaarheid, doorvoersnelheid,
responstijd, ondersteuning en veiligheid. De SLA geeft een beschrijving van de inhoud,
procesafspraken en het kwaliteitsniveau van de dienstverlening.
De Service Level Agreement is een bijlage van de Algemene Voorwaarden Gemnet
(Datacommunicatie en Toegevoegde Waarde Diensten). Bij de opdrachtverstrekking voor het
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 67/97
aansluiten op het Gemnet netwerk is de gemeente Roermond akkoord gegaan met deze Algemene
Voorwaarden inclusief bijlage SLA.
Het document is vanuit de gemeente niet ondertekend. Onduidelijk is wat de status is van dit
document.
Projectplan Implementatie IP Telefonie
Het implementatieplan IP telefonie illustreert dat er gedurende de voorbereiding van een project
veel wordt afgestemd en vastgelegd met de leverancier en dat taken en verantwoordelijkheden
helder zijn in de projectorganisatie. Verder laat het plan zien dat de gemeente Roermond door een
vertegenwoordiging in de stuurgroep stevig aan het roer zit zodat sturing kan worden gegeven aan
het project en daarmee aan de activiteiten van de leverancier.
De auteur van dit implementatieplan is de leverancier. De gemeente Roermond wordt geacht
formeel haar goedkeuring te geven aan het implementatieplan.
Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze aannemer/leverancier/bureau Niveau van besluitvorming: onbekend.
De gemeente hanteert drempelbedragen ten aanzien van de beslissingsbevoegdheid voor
aanbesteding van leveringen en diensten. Daarbij is ook aangegeven op welke wijze deze
aanbesteed moeten worden. Tot €50.000,- is de beslisser het College/mandaat sectordirecteur.
Tussen de €50.000,- en €200.000,- is de beslisser het College/mandaat portefeuillehouder en
akkoord plaatsvervangend portefeuillehouder. Boven de €200.000,- beslist het College. De Raad
wordt nooit inhoudelijk betrokken in de besluitvorming rondom de ICT projecten.
De drempelbedragen zijn gebaseerd op de notitie Aanbestedingsbeleid bij laagconjunctuur die het
College in december 2010 heeft vastgesteld. In 2011 en 2012 zijn de gewijzigde bedragen
geactualiseerd (o.a. zijn aangepast aan Europese aanbestedingsgrenzen) en eveneens zijn
vastgesteld door het college. Na besluitvorming is de gemeenteraad middels een
raadsinformatiebrief geïnformeerd.
4.5.3 Bevindingen op basis van de interviews
HELPDESK EN DIENSTVERLENINGSOVEREENKOMSTEN
In 2009 is een scan uitgevoerd op de beheerprocessen. Momenteel is er een concept SLA
beschikbaar. De beheersprocessen (ITIL-processen) en de SLA moeten formeel nog worden
vastgesteld. Het configuratie management en het incident- en wijzigingsbeheer wordt
ondersteund door het softwarepakket Axxerion. Meldingen worden behandeld door 1e
lijnsmedewerkers en daar waar nodig toegewezen aan de I-adviseurs, de 2e en 3
e lijns ICT
medewerkers, projectleider ICT en teamleider ICT.
Het technisch applicatiebeheer is ondergebracht bij het team ICT en werkt nauw samen met het
functioneel beheer dat meestal in de lijn ligt.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 68/97
BESCHIKBAARHEID VAN SYSTEMEN
Per systeem wordt over vijf jaar afgeschreven. Daarna wordt steeds gekeken of er wordt
overgegaan tot vervanging of tot een update. Door de toetreding tot Dimpact is de noodzaak voor
een groot aantal investeringen vervallen omdat de Gemeente Roermond door toetreding tot
Dimpact in een keer toegang kreeg tot de bedoelde voorzieningen. Het project Dimpact is
gefinancierd uit de hierdoor vrijvallende investeringen en extra middelen die door de Raad
beschikbaar waren gesteld in het kader van Excellente Dienstverlening. Gezien de uitdagingen die
er nog liggen op het gebied van informatievoorziening en ICT is de inschatting in de organisatie dat
er in de toekomst meer investeringen nodig zijn.
Er is een ICT-beveiligingsbeleid en –plan en een GBA audit rapportage. Jaarlijks wordt het ICT-
beveiligingsbeleid getoetst (ook op koppelingen).
Uitwijkfaciliteiten zijn intern ingericht op gescheiden locaties. De twee datacenters zijn gesitueerd
in het stadhuis en het stadskantoor. Elke locatie heeft 9 fysieke servers t.b.v. de virtuele
omgevingen en 1 fysieke server t.b.v. back-up. Op het stadhuis draaien 98 virtuele servers en op
het stadskantoor 97 virtuele servers. Het uitwijkplan GBA en BAG wordt jaarlijks getest. Dit plan
beschrijft de acties die ondernomen moeten worden als een calamiteit of verstoring optreedt
waardoor het voeren van de GBA en/of BAG langdurig verstoord wordt.
Begin 2012 is het ‘continuïteitsplan ICT en elektriciteit gemeente Roermond’ vastgesteld (op basis
van de richtlijnen van het ministerie van BZK). Security scans (en penetratietesten) worden
uitgevoerd. Tweejaarlijks vinden er risicoanalyses plaats op de kritische bedrijfsprocessen en de
daarbij behorende informatiesystemen.
BESCHIKBAARHEID PDC
Een producten/dienstengids is via het intranet beschikbaar voor de gebruikers.
SOURCING
Roermond heeft geen vastgesteld sourcingbeleid of expliciete sourcingstrategie. De gemeente
heeft geen documentatie over haar contractmanagement anders dan de eigen
inkoopvoorwaarden.
De gemeente wil outsourcen op het gebied van de back-office om de beheerlasten naar beneden
te brengen, hier wordt over besloten als zich mogelijkheden aandienen.
Roermond probeert kwetsbaarheid te reduceren en te anticiperen op IV/ICT ontwikkelingen door
samenwerking te zoeken zoals met Dimpact en de samenwerking met Venlo en Weert (op gebied
van de ICT infrastructuur). De keuze voor Dimpact is ondermeer gemaakt om het risico van ‘niet-
pratende-systemen’ op te lossen (hiermee worden risico’s gereduceerd van kosten ten aanzien
van koppelvlakken). De applicatiearchitectuur van Dimpact draait vanaf eind april 2012 buiten de
deur.
De huidige technische infrastructuur is via een leasecontract geregeld, dit levert een stabiel
financieel plaatje op.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 69/97
Via het contractmanagement zijn alle contracten in beeld (wordt vastgelegd in het softwarepakket
Axxerion). Rapportages over het contractmanagement zijn mogelijk, bijvoorbeeld over het
contractverloop.
4.5.4 Bevindingen uit de benchmark
HELPDESK EN DIENSTVERLENINGSOVEREENKOMSTEN
Alle benchmarkgemeenten gebruiken de methodiek ITIL om hun beheersprocessen vorm te geven.
Sommige gemeenten vullen dit aan met de methodieken ASL en BISL. Vijf van deze zes gemeenten
hebben een structurele afstemming met gebruikers over de performance en helpdesk
georganiseerd. Slechts één gemeente geeft aan dit nog niet goed op orde te hebben, zij is nog
bezig met de professionalisering hiervan. Één gemeente doet dat alleen voor enkele kritische
systemen.
BESCHIKBAARHEID VAN SYSTEMEN
Alle benchmarkgemeenten monitoren de exploitatie van de ICT systemen en stemmen daarover af
met de gebruikersorganisatie. Alle gemeenten maken gebruik van SLA's, bij de ene gemeente zijn
er meer dienstverleningsafspraken met de gebruikersorganisatie dan de andere gemeente. Één
gemeente heeft alleen SLA’s voor enkele kritische systemen.
Één van de zes benchmarkgemeenten rapporteert op regelmatige basis aan de Raad over
continuïteit van de systemen. De andere benchmarkgemeenten doen dit alleen bij incidenten.
Waar het gaat om exploitatie en beveiliging, is er geen enkele benchmarkgemeente die daarover
op reguliere basis rapporteert aan de Raad. Zij doen dit alleen bij incidenten.
BESCHIKBAARHEID PDC
Alle benchmarkgemeenten hebben een ICT producten/dienstencatalogus beschikbaar gesteld aan
hun gebruikersorganisatie.
SOURCING
Drie van de zes benchmarkgemeenten hebben een duidelijke uitbestedings- (sourcing-)strategie
met betrekking tot informatievoorziening en ICT: één vanuit de wens om een regiegemeente te
zijn, de andere twee als uitvloeisel van regionale samenwerking. Een andere benchmarkgemeente
onderzoekt momenteel wel zo'n strategie, o.a. in het licht van samenwerkingsverbanden.
4.5.5 Conclusies en aanbevelingen
Norm 1: Er is een helpdesk die gebruikers ondersteund in het dagelijks gebruik van systemen
(w.o. voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van
dienstverlening door de helpdesk zijn vastgelegd in dienstverleningsovereenkomsten tussen de
directie middelen en de lijnorganisatie.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 70/97
Roermond maakt gebruik van de internationaal geaccepteerde standaard ITIL voor de inrichting
van haar beheer processen. Deze zijn ingericht en worden ondersteund met een softwarepakket.
De documentatie rondom de beheerprocessen en betreffende dienstverleningsovereenkomsten is
nog in ontwikkeling en moet nog formeel worden vastgesteld.
Met betrekking tot de inrichting van de beheerprocessen wijkt Roermond niet af van de norm. Zij
wijkt hierin ook niet af van de benchmarkgemeenten die ook allemaal hun beheerprocessen
volgens ITIL hebben ingericht. De situatie wijkt wel af van de norm en van de situatie in de
benchmarkgemeenten waar het gaat om de formalisering van de beheerprocessen en de
bijbehorende dienstverleningsovereenkomsten.
Aanbeveling
Het verdient aanbeveling om zo spoedig mogelijk de afstemming met de gebruikersorganisatie te
komen tot formalisering van de beheerprocessen en de gerelateerde interne
dienstverleningsovereenkomsten (SLA's).
Norm 2: Er is een norm vastgesteld voor de dagelijkse performance/beschikbaarheid van
systemen. Deze wordt gemonitord en bij afwijkingen bijgestuurd.
Uit de beschikbare informatie wordt niet duidelijk of er een expliciete norm is voor de
performance/beschikbaarheid van systemen. Wellicht is hier een en ander over opgenomen in het
nog vast te stellen SLA. Wat wel duidelijk is, is dat Roermond de beschikbaarheid van systemen
vanuit het oogpunt van informatiebeveiliging en uitwijk integraal georganiseerd heeft.
De (meeste) benchmarkgemeenten hebben interne dienstverleningsovereenkomsten waarin een
en ander is vastgelegd over de beschikbaarheid en de performance van de meest bedrijfskritische
applicaties
Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorzieningdiensten
beschikbaar.
Er is een producten/dienstencatalogus beschikbaar via het interne intranet ten behoeve van de
gebruikersorganisatie.
De situatie in de gemeente Roermond wijkt hierin niet af van de norm. Zij wijkt ook niet af van de
situatie bij de benchmarkgemeenten die allemaal ook een PDC beschikbaar hebben gesteld aan
hun gebruikersorganisatie.
Norm 4: Er is een expliciet vastgesteld sourcingbeleid en –strategie, de uitvoering hiervan wordt
gemanaged.
De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van
informatievoorziening en ICT.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 71/97
De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste
benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete
sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende
benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om
kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de
samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de
mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een
belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening.
Aanbeveling
Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de
samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof
implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een
sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 72/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 73/97
BIJLAGEN
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 74/97
A Conclusies en aanbevelingen op een rij
Conclusies en aanbevelingen Cluster 1
Norm 1: Het College stelt de informatievoorzieningstrategie op waarin de toekomstige behoefte
aan informatievoorziening (al of niet geautomatiseerd) – op een voor de Raad herkenbare wijze
– is afgestemd op de beleidsdoelen en de bedrijfsvoering van de gemeente.
De inhoud van de I-visie 2011 relateert de behoefte aan informatievoorziening op herkenbare
wijze aan de beleidsdoelen en bedrijfsvoering van de gemeente. De afstemming op de (recente)
bezuinigingsdoelstellingen en taakstellingen is vooralsnog minder herkenbaar in de I-visie 2011.
Inhoudelijk komt de situatie in Roermond grotendeels overeen met de norm en met de situatie in
de benchmarkgemeenten. Aanbeveling Het verdient aanbeveling de I-visie duidelijker te relateren aan de bezuinigingsdoelstellingen van de gemeente Roermond zowel met betrekking tot de bijdrage die inzet van informatievoorziening en ICT kan leveren aan bezuinigingen als aan de consequenties van bezuinigingen op informatievoorziening en ICT op de prioriteiten uit de I-visie.
Norm 2: Het College werkt op basis van de door de Raad vastgestelde
informatievoorzieningstrategie kaders en richtlijnen uit voor het inrichten van de
informatievoorziening.
De gemeente Roermond beschikt over een Kadernota ICT uit 2003. Daarnaast is met de quick scan
voor architectuur een aanzet gegeven tot het formuleren van een Roermondse
referentiearchitectuur, welke als kaderstellend kan worden gehanteerd.
In afwachting van die Roermondse architectuur hanteert de gemeente momenteel een door het
MT vastgestelde interne Checklist Informatiemanagement, en het Informatiebeveiligingbeleid
vastgesteld door het College. Daarnaast gaat van de samenwerking in Dimpact een kaderstellende
werking uit.
Inhoudelijk komt de situatie in Roermond hier niet geheel overeen met de norm. De situatie in
Roermond wijkt echter niet veel af van de benchmarkgemeenten. Deze zijn allen nog bezig met
het opstellen en implementeren van referentiearchitecturen. Wel bestaat de indruk dat Roermond
hiermee nog niet echt een begin heeft gemaakt en dus iets achterloopt.
Aanbeveling
Het verdient aanbeveling het opstellen van een referentiearchitectuur te versnellen zodat een
duidelijker kader ontstaat voor beslissingen ten aanzien van de inrichting van de
informatievoorziening.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 75/97
Norm 3: Het College vertaalt de informatievoorzieningstrategie naar een Informatieplan met
bijbehorende projectenportfolio en de bijbehorende middelen.
De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende
middelen. Het dichtst in de buurt komt het Programmaplan Excellente Dienstverlening waarvan
de projectenportfolio jaarlijks wordt ge-update en vastgesteld door het MT.
De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks
Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste
benchmarkgemeenten die hun informatievoorzieningstrategie wel hebben uitgewerkt in jaarlijkse
integrale informatieplannen.
Aanbeveling
Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van
planningen en benodigde middelen.
Norm 4: In de informatievoorzieningstrategie van de gemeente Roermond wordt aangesloten bij
landelijke beleidsvisies op dienstverlening en e-overheid zoals vastgelegd in het Nationaal
Uitvoering Programma e-overheid van het Ministerie van BZK, de VNG visie op dienstverlening
'Dienstverlening draait om burgers', 'Het gemeentelijk fundament' van KING en de visie van de
Bestuurlijke Regiegroep Dienstverlening en E-overheid waarin ook de VNG zitting heeft:
'Dienstverlening samen doen’:
1. de vraag van burgers, bedrijven en instellingen staat centraal
2. burgers, bedrijven en instellingen moeten hun zaken snel en zeker kunnen regelen.
3. de overheid valt burgers, bedrijven en instellingen niet lastig met de verschillen tussen
hun organisaties, maar opereert als één overheid.
4. de overheid stelt geen overbodige vragen. Informatie die in basisregistraties is
opgenomen en informatie die binnen de eigen organisatie beschikbaar is, wordt niet
nogmaals gevraagd.
5. de overheid is transparant en aanspreekbaar
6. de overheid richt de dienstverlening zo efficiënt mogelijk in, met inachtneming van de
behoeften van burgers, bedrijven en instellingen.
De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 laat een brede
oriëntatie zien, en sluit goed aan bij bovengenoemde beleidsvisies.
De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar
met de situatie in de benchmarkgemeenten.
Norm 5: De informatievoorzieningstrategie sluit aan op de wettelijke taken van gemeenten op
het gebied van informatievoorziening, i.c. de Basisregistraties, en is gericht op het versterken
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 76/97
van het gebruik van de stelselvoorzieningen uit het NUP, zoals Digikoppeling, Digilevering,
DigiMelding, DigiMachtiging en DigiPoort.
De informatievoorzieningstrategie van de gemeente Roemond, i.c. de I-visie 2011 is afgestemd op
de in deze norm genoemde wettelijke taken en geeft daar invulling aan.
De situatie in de gemeente Roermond is hierbij in overeenstemming met de norm en vergelijkbaar
met de situatie in de benchmarkgemeenten.
Norm 6: In de informatievoorzieningstrategie wordt aandacht besteed aan de impact op de
informatievoorziening van belangrijke ontwikkelingen op het gebied van gemeentelijke taken,
zoals de (jeugd)zorg, WMO, Werk en inkomen en toezicht en handhaving.
In de I-visie 2011 is geen de aandacht voor ontwikkelingen in de maatschappelijke
beleidsdomeinen van de gemeente die impact kunnen hebben op de informatievoorziening, zoals
(jeugd)zorg, WMO, werk&inkomen, en toezicht en handhaving. Het bestuur verwacht hier veel van
de samenwerking in Dimpact en in de toekomst wellicht met Venlo en Weert. Omdat hier in de I-
visie geen aandacht aan wordt gegeven, ontbreekt echter ook een kader om te beoordelen of die
verwachting ook bewaarheid wordt en om eventueel zelf ontwikkelingen bij de
samenwerkingsverbanden te initiëren.
De situatie in de gemeente Roermond wijkt hierin af van de norm, die vraagt om dergelijke
ontwikkelingen expliciet mee te nemen. De gemeente Roermond wijkt hierin ook af van de meeste
benchmarkgemeenten die wel aandacht aan beleidsontwikkelingen in de sectoren, zij het dat de
beschrijving van de implicaties voor de informatievoorziening soms summier is.
Aanbeveling
Het verdient aanbeveling om bij actualisering van de I-visie ook aandacht te geven aan
beleidsontwikkelingen in de sectoren en de impact die deze kunnen hebben op de
informatievoorziening. Er is geen aanleiding om het pragmatische ambitieniveau los te laten.
Overig
De gemeente Roermond is in haar ambitie pragmatisch. Zij kiest ervoor geen koploper te zijn, geen
achterblijver, maar vanuit eigen prioriteiten de goede dingen te doen. Zij sluit daarbij aan en
maakt actief gebruik van anderen. Zij neemt daarin ook een actieve rol in de
samenwerkingsverbanden.
Met de keuze voor deze ambitie volgt de gemeente dezelfde koers als de meeste gemeenten in de
benchmark. Zij is actiever, dan de meeste gemeenten in de benchmark waar het gaat om het
zoeken van samenwerking om zo tegen lagere kosten deze ambitie te kunnen realiseren.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 77/97
Op die manier werkt zij op een efficiënte en effectieve manier aan het verbeteren van de
informatievoorziening en ICT van de gemeente Roermond.
Conclusies en aanbevelingen cluster 2a
Norm 1: De Raad toetst de informatievoorzieningstrategie aan de beleidsvisie van de gemeente,
i.c. Strategische visie Roermond 2020 en het Coalitieakkoord, en stelt deze vast.
Behalve in het geval van de Kadernota ICT uit 2003 heeft de Raad in Roermond geen toetsende
enof besluitvormende rol bij de inhoud van het beleid voor informatievoorziening.
Informatievoorziening wordt gezien als onderdeel van de bedrijfsvoering en derhalve als
verantwoordelijkheid van het College. De informatievoorzieningstrategie is wel vastgesteld door
het College.
De situatie in Roermond komt niet overeen met de norm.
De situatie in Roermond wijkt niet wezenlijk af van de situatie bij de meeste benchmark-
gemeenten. Bij de meeste van hen is informatievoorziening vastgesteld via de begroting als
onderdeel van de bedrijfsvoering en worden de beleidsplannen vastgesteld door het MT of het
College.
Aanbeveling
Het verdient aanbeveling de betrokkenheid van de Raad bij het beleid ten aanzien van
informatievoorziening te vergroten met name daar waar informatievoorziening en ICT een
belangrijkere rol gaan spelen in het contact van de gemeente met de buitenwereld en de realisatie
van maatschappelijke doelen.
Norm 2: De Raad toetst het informatieplan inclusief de projectenportfolio en bijbehorende
middelen, en stelt deze vast.
De gemeente Roermond beschikt niet over een integraal jaarlijks informatieplan met bijbehorende
middelen. Deze worden dus ook niet vastgesteld door de Raad. Het dichtst in de buurt komt het
Programmaplan Excellente Dienstverlening waarvan de projectenportfolio jaarlijks wordt ge-
update en vastgesteld door het MT.
De situatie in de gemeente Roermond wijkt hierin af van de norm die vraagt om een jaarlijks
Informatieplan met bijbehorende middelen. Zij wijkt hierin ook af van de meeste
benchmarkgemeenten die hun informatievoorzieningsstrategie wel hebben uitgewerkt in jaarlijkse
integrale informatieplannen.
Aanbeveling
Het verdient aanbeveling om jaarlijks een integraal informatieplan op te stellen voorzien van
planningen, projectenportfolio en benodigde middelen, deze vast te laten stellen door het College,
en de Raad tenminste te informeren hierover.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 78/97
Norm 3: Het budget voor informatievoorziening is inzichtelijk in de gemeentebegroting en wordt
door de Raad als zelfstandig beleidsveld vastgesteld.
De Raad stelt het budget voor informatievoorziening en het investeringsbudget vast als onderdeel
van de programmabegroting van het Programma 'De gemeente'. Het budget voor
informatievoorziening is hier apart vermeld, maar een deel van de kosten voor applicaties ligt
(nog) verscholen in exploitatiekosten van de sectoren. De gemeente heeft een start gemaakt met
het verder centraliseren van applicatiebeheer, waardoor ook het inzicht in de budgetten die
gemoeid zijn met de totale informatievoorziening beter inzichtelijk zullen worden.
De situatie in Roemond wijkt hierin af van de norm. Roermond wijkt hier niet af van de meeste
benchmarkgemeenten. Slechts een gemeente laat de informatievoorziening als zelfstandig
beleidsveld vast stellen door de Raad. Er is ook slechts een gemeente in de benchmark die een
integraal overzicht van de kosten voor informatievoorziening (automatisering en applicaties) kan
laten zien. Daarnaast heeft Roermond een beweging in gang gezet om het functioneel
applicatiebeheer te centraliseren en zodoende ook de daarmee gemoeide budgetten inzichtelijk
te krijgen en te centraliseren. Deze beweging is vergelijkbaar met de beweging die andere
gemeenten maken.
Aanbeveling
Het verdient aanbeveling om de in gang gezette centralisering van het functioneel
applicatiebeheer en daarmee de centralisering van de budgetten door te zetten. Op die manier
ontstaat meer inzicht te creëren in de kosten van informatievoorziening en het sturend vermogen
hierop te vergroten. Op die wijze kan ook een voor de Raad beter inzicht ontstaan.
Norm 4: De Raad heeft een norm vastgesteld voor grote projecten en grote risico's. Deze
projecten worden door de Raad apart vastgesteld, waarbij kwalitatieve en kwantitatieve kosten
en baten voor de gemeente en de samenleving aan de hand van businesscases inzichtelijk
gemaakt.
De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. Projecten op
het gebied van informatievoorziening worden in het algemeen niet vastgesteld door de Raad,
maar door het MT of het College. In de gemeente Roermond wordt nooit gerapporteerd aan de
Raad over afzonderlijke projecten. Ook niet als het zeer grote projecten betreft en hier grote
risico's mee gemoeid kunnen zijn. Het voorstel voor toetreding tot Dimpact werd aan de Raad
voorgelegd omdat het toetreding tot een samenwerkingsverband betrof. Projecten worden
incidenteel voorzien van een business case. Het gaat dan om projecten waarvan grote impact
wordt vermoed.
De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een
norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen
enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 79/97
zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer
omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt.
Met betrekking tot het gebruik van business cases wijkt de situatie in Roermond af van de
sommige benchmarkgemeenten, die wel structureel met business cases werken. De meeste
gemeenten doen dit echter net als Roermond alleen bij de grote projecten.
Aanbeveling
Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten
en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden. Ook
verdient het aanbeveling om voor projecten boven die norm altijd met business cases te werken.
Voorts verdient aanbeveling het werken met business cases uit te breiden, zodat betere
afwegingen gemaakt kunnen worden ten aanzien van investeringen.
Norm 5: De Raad stelt het proces voor planning&control en rapportage voor de
informatievoorzieningstrategie en de realisatie daarvan vast.
In Roermond stelt de Raad de P&C-cyclus vast. Rapportage over informatievoorziening vindt plaats
via de reguliere P&C-cyclus. Op verzoek van de Raad wordt de Raad voornamelijk geïnformeerd
aan de hand van afwijkingrapportages. De frequentie van de rapportages wordt op verzoek van de
Raad verhoogd naar 3x per jaar. Grote afwijkingen worden apart aan de Raad gerapporteerd. Hier
is geen norm voor vastgesteld.
De situatie in Roermond wijkt hierin niet af van de norm en ook niet van de situatie in de
benchmarkgemeenten.
Norm 6: De governancestructuur voor de organisatie van de informatievoorziening is door de
Raad vastgelegd en door het College geïmplementeerd. De governance structuur omvat
coördinatie- en stuurmechanismen, rollen, verantwoordelijkheden, functiescheiding en
verantwoordingslijnen.
De governance van de informatievoorziening is niet neergelegd in een apart document, maar volgt
de reguliere governance van de gemeente. In het ICT-beveiligingsbeleid en gerelateerde stukken
zijn de taken, verantwoordelijkheden en bevoegdheden wel specifiek vastgelegd.
De situatie in de gemeente Roermond wijkt hiermee af van de norm, die stelt dat de governance
van de informatievoorziening in een apart document wordt vastgelegd en vastgesteld door de
Raad. De situatie in de gemeente Roermond wijkt echter niet af van de benchmarkgemeenten.
Aanbeveling
Het verdient aanbeveling governance ten aanzien van informatievoorziening vast te leggen in en
document en vast te laten stellen door de Raad.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 80/97
Norm 7: Het College laat regelmatig – een of tweejaarlijks – een benchmark uitvoeren naar de
kosten van haar informatievoorziening
De gemeente Roermond neemt deel aan verschillende landelijke monitors die de voortgang van de
implementatie van de e-overheid bijhouden. Zij neemt niet del aan specifieke benchmarks op het
gebied van kosten enof personele inzet op het gebied van informatievoorziening en ICT.
De situatie in Roermond wijkt hierin af van de norm. De meeste benchmarkgemeenten nemen wel
deel aan benchmarks, met name op het gebied van kosten van de informatievoorziening. Een van
de benchmarkgemeenten die dit niet doet heeft is voornemens dit in de toekomst weer te gaan
doen.
Aanbeveling
Benchmarking is een belangrijk instrument om zicht te houden op kosten en kwaliteit van de
informatievoorziening, en om te leren van anderen. Het verdient aanbeveling om periodiek deel te
nemen aan benchmarks op het gebied van kosten van de informatievoorziening.
Norm 8: Het College stelt een sourcingstrategie op met betrekking tot diensten op het gebied
van informatievoorziening en ICT, en legt deze ter accordering voor aan de Raad.
De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van
informatievoorziening en ICT. Wel leeft de wens om op meer terreinen samen te werken, en met
name op het gebied van de back-office te outsourcen als de mogelijkheid zich voordoet. Onder
invloed van de kerntakendiscussie en onder invloed van een discussie in het managementteam
over de besturing van de organisatie wordt nu wel gesproken over taken die voor sourcing in
aanmerking komen.
De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste
benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete
sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende
benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om
kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de
samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de
mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een
belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening.
Aanbeveling
Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de
samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof
implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een
sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad.
Norm 9: Samenwerking op het gebied van informatievoorziening met partners binnen en buiten
de gemeente is door het College geformaliseerd en vastgelegd
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 81/97
Daar waar het toetreding tot samenwerking betreft met andere gemeenten, of deelnemingen in
een andere organisatie is de gemeente Roermond aan de wettelijke verplichtingen daaromtrent.
De onderzoekers hebben niet specifiek onderzocht in hoeverre de gemeente zich daaraan houdt.
In het geval van Dimpact is dat wel gebeurd.
De situatie in Roermond wijkt niet af van de norm en ook niet van de situatie in andere
benchmarkgemeenten.
Norm 10: Risico's van projecten en operationele systemen zijn volgens een standaard methodiek
geanalyseerd en door het College voorzien van beheersmaatregelen. Grote risico's worden door
het College tijdig aan de Raad gemeld. Grote risico’s zijn als zodanig gedefinieerd (bijvoorbeeld
ten aanzien van wettelijke eisen, continuïteit, beveiliging en kosten).
De gemeente Roermond hanteert geen gestandaardiseerde methodiek ten aanzien van
risicoanalyses. In de gemeente Roermond wordt niet gerapporteerd aan de Raad over
operationele risico's.
De situatie in Roermond wijkt hierin af van de norm. Zij wijkt niet af van de situatie in de meeste
benchmarkgemeenten die geen specifieke methodiek hanteren voor het analyseren van risico's
van operationele systemen. en daarover ook niet standaard rapporteren aan de Raad.
Aanbeveling
Het verdient aanbeveling om de risico's van operationele systemen te analyseren volgens een
geaccepteerde standaard en om rapportages in samenvattende vorm aan de Raad ter beschikking
te stellen.
Norm 11: In de overeenkomsten die het College afsluit met leveranciers op het gebied van
informatievoorziening, zijn zaken als beschikbaarheid en kwaliteit van de dienstverlening smart
gespecificeerd. Er zijn afspraken gemaakt over periodieke rapportages.
Deze norm wordt behandeld bij par 4.5, cluster 3: Beheer en exploitatie van de
informatievoorziening
Conclusies en aanbevelingen cluster 2b
Norm 1: De gemeente heeft een beleid voor informatiebeveiliging en privacybescherming dat
richting geeft aan invulling van algemene standaarden (bv ISO 27001) en/of wet- en regelgeving
en dat de vastlegging van verantwoordelijkheden en bevoegdheden bevat met betrekking tot
voor privacybescherming en informatiebeveiliging van Bestuur, management en medewerkers.
De gemeente Roermond beschikt over een ICT-beveiligingsbeleid, dat overeenstemt met het hier
bedoelde ICT-beveiligingsbeleid. Het ICT-beveiligingsbeleid van de gemeente Roermond is
gebaseerd op de Code voor Informatiebeveiliging NEN-ISO/IEC 27002:2007 (editie november 2007)
en op gerelateerde wet- en regelgeving. In de geactualiseerde versie die binnenkort wordt
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 82/97
voorgelegd aan het College worden relevante wetswijzigingen meegenomen. Het ICT-
beveiligingsbeleid bevat de vastlegging van verantwoordelijkheden en bevoegdheden met
betrekking tot privacybescherming en informatiebeveiliging. Het beleid is verder uitgewerkt in een
ICT-beveiligingsplan, continuïteitsplan en uitwijkplan GBA/BAG.
De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie
beschikbaar.
Norm 2: Het beleid voor informatiebeveiliging en privacybescherming is door de Raad
vastgesteld.
Het beleid voor ICT-beveiligingsbeleid van de gemeente Roermond is vastgesteld door het College,
niet door de Raad. Dit geldt ook voor het gerelateerde ICT-beveiligingsplan, Continuïteitsplan en
Uitwijkplan GBA en BAG.
De situatie in Roermond wijkt hiermee af van de norm. Hierover is geen benchmarkinformatie
beschikbaar.
Aanbeveling
Het verdient aanbeveling om de betrokkenheid van de Raad bij het ICT-beveiligingsbeleid te
vergroten, dan wel tenminste te informeren over de wijze waarop de gemeente haar beveiliging
heeft geregeld. Dit gezien het toenemende belang van informatievoorziening voor de continuïteit
van de organisatie, en de toenemende dreigingen op het gebied van cybercriminaliteit, en hacking.
Grotere betrokkenheid zal ook leiden tot bewustwording bij de Raad op dit vlak.
Norm 3: Het beleid voor informatiebeveiliging en privacybescherming wordt actief uitgedragen
in de organisatie, onder andere via communicatiecampagnes, in werkoverleggen, en in
managementoverleggen.
In het ICT-beveiligingsbeleid en ICT-beveiligingsplan besteedt de gemeente Roermond aandacht
aan de bewustwording en borging van het veiligheidsbewustzijn. Het is niet duidelijk geworden in
hoeverre dit ook actief gebeurt in de zin zoals hierboven bedoeld.
De situatie in Roermond wijkt hierin, in ieder geval in formele zin, niet af van de norm. Hierover is
geen benchmarkinformatie beschikbaar.
Aanbeveling
Om dezelfde reden als bij norm 2 verdient het aanbeveling, om medewerkers periodiek te
informeren en betrekken bij beveiligingsbeleid en hen ook te informeren als er zich ernstige
incidenten hebben voorgedaan. Dit om het veiligheidsbewustzijn te vergroten en te onderhouden.
Norm 4: Het College toetst periodiek de verleende toegangsrechten tot
informatie/informatiesystemen. Van alle uitgegeven en actieve identiteiten (accounts) wordt
gecontroleerd of deze toebehoren aan personen die inderdaad voor de organisatie werken. Van
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 83/97
elke gebruiker wordt periodiek gecontroleerd of deze de juiste (beperkte) toegangsrechten
heeft.
Het beleid voorziet in periodieke toetsing van de gebruikersregistraties. De Management Letter
Interim Controle 2011 constateert echter enige tekortkomingen in het toegangsbeheer met
betrekking tot de applicaties. Hierop is actie ondernomen, en enkele acties staan in de planning.
Het applicatiebeheer is nog grotendeels decentraal georganiseerd in Roermond. Roermond heeft
de beweging in gang gezet om het applicatiebeheer te centraliseren. Dit zal mede de
stuurbaarheid m.b.t. beveiligingsbeleid verbeteren. Daarnaast heeft
Het beleid in Roermond voldoet aan de norm. De Management Letter Controle 2011 laat zien dat
het belangrijk is om alert te blijven op een strikte uitvoering in deze. Tegelijkertijd laat de reactie
van de organisatie op de constateringen uit de Management Letter Controle 2011 zien dat zij in
staat is om adequaat te reageren. Hierover is geen benchmarkinformatie beschikbaar.
Aanbeveling
Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICT-
beveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College.
Norm 5: De status van de technische beveiliging van ICT systemen wordt jaarlijks door een
(onafhankelijke) partij getoetst.
Het ICT-beveiligingsbeleid voorziet in een jaarlijkse audit namens het College. Deze audit wordt
ook uitgevoerd, zij het dat de audit van 2011 gespreid is over 2011 en 2012 i.v.m. de verhuizing.
De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie beschikbaar.
Norm 6: De effectiviteit van de afscherming van systemen wordt gemonitord zodat ongewenst
verkeer en indringers kunnen worden gedetecteerd. Rapportage hierover vindt plaats via de
rapportagecyclus van dienstverleningsovereenkomsten.
Het ICT-beveiligingsbeleid voorziet in periodieke toetsing en monitoring van de afscherming van
systemen. Hierover wordt eens per jaar samenvattend gerapporteerd aan het College.
De situatie in Roermond wijkt hierin af van de norm. In de zin dat slechts één keer per jaar wordt
gerapporteerd aan het College.
Aanbeveling
Het verdient aanbeveling om via de rapportagecyclus van de dienstverleningsovereenkomsten te
rapporteren over incidenten.
Norm 7: Er is een calamiteitenprocedure om beveiligingsincidenten ten aanzien van informatie
en privacy te detecteren en er is een organisatie om die te behandelen.
Het ICT-beveiligingsbeleid in een calamiteitenprocedure bij beveiligingsincidenten. Hier is ook een
organisatie voor aanwezig met als eerste aanspreekpunt de helpdesk.
De situatie in Roermond wijkt hierin niet af van de norm. Hierover is geen benchmarkinformatie
beschikbaar.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 84/97
Norm 8: Bij de ontwikkeling, ontwerp van systemen en uitbesteding worden standaard de
risico's geanalyseerd en de eisen aan de beveiliging gedefinieerd. In een plan van eisen worden
afspraken gemaakt over: beveiligingsstandaarden, en eisen voor de ontwikkeling en testen van
de beveiliging; beveiligingsstandaarden en eisen voor beheer van systemen; monitoring en
rapportage van performance en beveiliging (incl. incidenten); melding en behandeling van
incidenten; de bewerkerovereenkomsten in het kader van de wettelijke verplichtingen voor
privacybescherming.
Het ICT-beveiligingsbeleid voorziet in het borgen van de beveiliging bij uitbesteding en
ontwikkeling van software, de acceptatie van hardware en software en het maken van afspraken
met leveranciers. De Management Letter Interim Controle 2011 constateert echter enige
tekortkomingen in het wijzigingsbeheer van de applicaties. Testen worden niet altijd uitgevoerd,
en soms ontbreekt de vastlegging van de goedkeuring van de eindverantwoordelijke om een
applicatie in productie te nemen. Hierop is actie ondernomen, en enkele acties staan in de
planning. Roermond heeft daarnaast de beweging in gang gezet om het applicatiebeheer te
centraliseren. Dit zal mede de stuurbaarheid m.b.t. beveiligingsbeleid verbeteren.
Het beleid in Roermond voldoet aan de norm, echter in de uitvoering schiet de organisatie nog
tekort. Hierover is geen benchmarkinformatie beschikbaar.
Aanbeveling
Het verdient aanbeveling om alert te blijven op een strikte implementatie van het ICT-
beveiligingsbeleid en deze implementatie op te nemen in rapportages aan het College.
Conclusies en aanbevelingen cluster 2c
Norm 1: Projecten zijn zowel op opdrachtgevend als uitvoerend niveau verankerd in de
organisatie: de (ambtelijke) opdrachtgeverrol en opdrachtnemerrol zijn gedefinieerd, in de
opdracht zijn bevoegdheden en verantwoordelijkheden van beiden vastgelegd. Beiden zijn
vanuit hun functie bevoegd tot het uitvoeren van de opdrachtgeversrol, c.q. opdrachtnemerrol.
De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook
niet af van de situatie bij de benchmarkgemeenten.
Norm 2: Alternatieve oplossingsrichtingen zijn door de opdrachtgever afgewogen, bij voorkeur
op basis van business cases, waarbij zowel kwantitatieve als kwalitatieve kosten en baten in
beeld zijn gebracht en onderbouwd. In die afwegingen is ook het verandervermogen van de
organisatie betrokken.
Het uitwerken van business case gebeurt alleen bij de hele grote projecten.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 85/97
De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt ook af van enkele
benchmarkgemeenten die wel structureel met business cases werken. De meeste
benchmarkgemeenten doen dit echter net als Roermond alleen bij de grote projecten.
Aanbeveling
Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten
waarbij altijd een business case gemaakt moet worden. Op die manier kunnen beter
onderbouwde afwegingen gemaakt worden ten aanzien van investeringen en in de besluitvorming
rond projecten. In het algemeen is het goed om medewerkers vertrouwd te maken met het maken
van (globale) business cases voor projecten.
Norm 3: De uiteindelijke oplossingsrichting via een project sluit aan op de beleidskaders van de
gemeente. Het principe daarbij is: Pas-toe-of-verklaar.
De situatie in Roermond wijkt hierin niet af van de norm. De situatie in Roermond wijkt hierin ook
niet af van de situatie in de meeste benchmarkgemeenten.
Norm 4: Binnen de gemeente wordt een vaste methodiek voor de planning, uitvoering en
beheersing van projecten gehanteerd, de financiële controle en verantwoording sluiten aan op
de standaarden van de organisatie en Quality Control is binnen het project ingericht.
De gemeente hanteert een vaste projectmethodiek die aansluit op de standaarden van de
organisatie.
De situatie in Roermond wijkt hierin niet af van de norm. Deze wijkt ook niet af van de situatie in
de benchmarkgemeenten.
Norm 5: De risico's en de te treffen beheersmaatregelen zijn voor de opdrachtgever in
herkenbare termen uitgewerkt. Zodra een risico zich daadwerkelijk voordoet, worden ook direct
verbetervoorstellen gedaan, dan wel beheersmaatregelen in gang gezet.
In de projectmethodiek die de onderzoekers hebben ingezien (de AMI-methode) wordt summier
aandacht besteed aan een risicoanalyse én beheersmaatregelen. In de technische ICT projecten is
een risicoanalyse altijd een standaard onderdeel van het project implementatie document. Bij de
grote projecten die de onderzoekers hebben ingezien zijn dergelijke risicoanalyses en
beheersmaatregelen ook gemaakt en benoemd.
Met betrekking tot de risicoanalyse en het benoemen van beheersmaatregelen wijkt de formele
situatie in Roermond af van de norm, maar de praktijksituatie niet. Deze situatie wijkt af van de
situatie in de meeste benchmarkgemeenten die gebruik maken van PRINCE2 als projectmethodiek
waarin veel aandacht is voor risicoanalyses en beheersmaatregelen.
Aanbeveling
Het verdient aanbeveling om de formele situatie in dit geval meer in overeenstemming te brengen
met de praktijk zoals hierboven beschreven.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 86/97
Norm 6: Grote risico's en afwijkingen worden aan het College gerapporteerd. Voor grote
projecten rapporteert het College de grote risico's aan de Raad.
De gemeente Roermond hanteert geen norm voor grote projecten en grote risico's. In de
gemeente Roermond wordt nooit gerapporteerd aan de Raad over afzonderlijke projecten. Ook
niet als het zeer grote projecten betreft en hier grote risico's mee gemoeid kunnen zijn.
De situatie in Roermond wijkt hierin af van de norm. Met betrekking tot het hanteren van een
norm voor grote projecten en risico's wijkt Roermond niet af van de benchmarkgemeenten. Geen
enkele gemeente hanteert zo'n norm. Echter: de meeste benchmarkgemeenten geven wel aan dat
zij de Raad betrekken bij het vaststellen van doelen en risico’s, en bij rapportages, bij zeer
omvangrijke projecten. Zij hebben echter geen norm, bij welke omvang dat gebeurt.
Aanbeveling
Het verdient aanbeveling om normen te introduceren ten aanzien van de omvang van projecten
en projectrisico's, waarbij op College en eventueel raadsniveau gerapporteerd moet worden.
Conclusies en aanbevelingen cluster 3
Norm 1: Er is een helpdesk die gebruikers ondersteund in het dagelijks gebruik van systemen
(w.o. voorlichting, afhandelen vragen/incidentmeldingen). De beschikbaarheid en kwaliteit van
dienstverlening door de helpdesk zijn vastgelegd in dienstverleningsovereenkomsten tussen de
directie middelen en de lijnorganisatie.
Roermond maakt gebruik van de internationaal geaccepteerde standaard ITIL voor de inrichting
van haar beheer processen. Deze zijn ingericht en worden ondersteund met een softwarepakket.
De documentatie rondom de beheerprocessen en betreffende dienstverleningsovereenkomsten is
nog in ontwikkeling en moet nog formeel worden vastgesteld.
Met betrekking tot de inrichting van de beheerprocessen wijkt Roermond niet af van de norm. Zij
wijkt hierin ook niet af van de benchmarkgemeenten die ook allemaal hun beheerprocessen
volgens ITIL hebben ingericht. De situatie wijkt wel af van de norm en van de situatie in de
benchmarkgemeenten waar het gaat om de formalisering van de beheerprocessen en de
bijbehorende dienstverleningsovereenkomsten.
Aanbeveling
Het verdient aanbeveling om zo spoedig mogelijk de afstemming met de gebruikersorganisatie te
komen tot formalisering van de beheerprocessen en de gerelateerde interne
dienstverleningsovereenkomsten (SLA's).
Norm 2: Er is een norm vastgesteld voor de dagelijkse performance/beschikbaarheid van
systemen. Deze wordt gemonitord en bij afwijkingen bijgestuurd.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 87/97
Uit de beschikbare informatie wordt niet duidelijk of er een expliciete norm is voor de
performance/beschikbaarheid van systemen. Wellicht is hier een en ander over opgenomen in het
nog vast te stellen SLA. Wat wel duidelijk is, is dat Roermond de beschikbaarheid van systemen
vanuit het oogpunt van informatiebeveiliging en uitwijk integraal georganiseerd heeft.
De (meeste) benchmarkgemeenten hebben interne dienstverleningsovereenkomsten waarin een
en ander is vastgelegd over de beschikbaarheid en de performance van de meest bedrijfskritische
applicaties
Norm 3: Voor gebruikers is een overzicht van beschikbare informatievoorzieningdiensten
beschikbaar.
Er is een producten/dienstencatalogus beschikbaar via het interne intranet ten behoeve van de
gebruikersorganisatie.
De situatie in de gemeente Roermond wijkt hierin niet af van de norm. Zij wijkt ook niet af van de
situatie bij de benchmarkgemeenten die allemaal ook een PDC beschikbaar hebben gesteld aan
hun gebruikersorganisatie.
Norm 4: Er is een expliciet vastgesteld sourcingbeleid en –strategie, de uitvoering hiervan wordt
gemanaged.
De gemeente Roermond beschikt niet over een sourcingstrategie op het gebied van
informatievoorziening en ICT.
De situatie in Roermond wijkt hierin af van de norm. De situatie wijkt echter niet af van de meeste
benchmarkgemeenten. Van de benchmarkgemeenten beschikt er slechts één over een expliciete
sourcingstrategie op het gebied van informatievoorziening. Wel zijn verschillende
benchmarkgemeenten net als Roermond, actief op zoek naar samenwerkingsmogelijkheden om
kosten te besparen, kwetsbaarheid te verminderen en kwaliteit te verbeteren. Met de
samenwerking met Dimpact heeft de gemeente Roermond een belangrijke stap gezet. Met de
mogelijke samenwerking met Venlo en Weert, zet zij binnen afzienbare tijd wellicht weer een
belangrijke stap met betrekking tot de organisatie van haar ICT en informatievoorziening.
Aanbeveling
Het verdient aanbeveling nu eerst de samenwerking met Dimpact goed te implementeren, en de
samenwerking met Venlo en Weert te onderzoeken. Nadat daar besluitvorming enof
implementatie heeft plaatsgevonden, is het verstandig vanuit de nieuwe situatie een
sourcingstrategie te ontwikkelen en deze te laten vaststellen door de Raad.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 88/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 89/97
B Geraadpleegde documentatie
Aanpassing Europese Drempelbedragen van het aanbestedingsbeleid, voorstel voor de
B&W-vergadering van 23 december 2011
Aanpassing van het gemeentelijk aanbestedingsbeleid, voorstel voor de B&W-vergadering
van 23 november 2010
Aansluitprocedure & opstartplan acceleratie programmaplan ED, Roermond, juni 2011
Accountantsverslag 2010, gemeente Roermond
Afdelingsplan facilitaire zaken gemeente Roermond, 2012
Begrotingen 2007-2012, gemeente Roermond
Beleef Roermond! Dienstverleningsconcept gemeente Roermond
Bijlagenboek begroting 2012, gemeente Roermond
Centralisatie applicatie- en gegevensbeheer, voorstel voor het managementteam van 15
februari 2012
Checklist informatiemanagement beleid gemeenten Roermond, 11-02-2010
Coalitieakkoord 2010 – 2014, slagvaardig en spaarzaam
College Uitvoeringsprogramma 2007 – 2010, thema’s 1 t/m 6
Continuïteitsplan ICT en electriciteit gemeente Roermond, versie 2.2, maart 2012
Contractenbeheer in de gemeente Roermond, 6 maart 2009
Doorelichting van organisatie en inrichting van gegevens- en applicatiebeheer van de
gemeente Roermond 2011
EnableU, Quick scan voor de gemeente Roermond, november 2010
Evaluatienotitie vernieuwen telefonie, gemeente Roermond, 09-12-2011
Financiële kadernota’s 2007 - 2011, gemeente Roermond
Format Project Initiatie Document, datum onbekend
Format voor projectafweging, datum onbekend
H3 Budgettaire kaders, 3.1 uitgangspunten meerjarenbegroting 2008-2011
Herinrichting sector BMO 2007
ICT beveiligingsbeleid, versie 2.1, gemeente Roermond, juni 2009
ICT-beveiligingsplan, versie 2.3, gemeente Roermond, januari 2010
Ingebruikneming contractenmodule FMIS in Axxerion, voorstel aan het managementteam
5 augustus 2010
Inventarisatiedocument mogelijkheden Navigus (inclusief kopie van timetable en evaluatie
implementatie Navigus), versie 2.0, gemeente Roermond
I-visie 2011 gemeente Roermond, 02-03-2011, versie 1.3
I-visie 2007-2011 gemeente Roermond
Jaarrekeningen 2007 – 2010, gemeente Roermond
Kadernota ICT 2003, afdeling Informatievoorziening gemeente Roermond, juni 2003
KCC-visie 2011
Kredietrapportage 2011 + bijlagen
Lijst met applicaties, 01-12-2011
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 90/97
Managementletter Interimcontroles 2010 – 2011, gemeente Roermond
Onderzoeksrapport Acceleratie programmaplan ED gemeente Roermond, maart 2011
Overzicht voor wijze van aanbesteden en wie beslist over eindkeuze
aannemer/leverancier/bureau, gemeente Roermond, 01-01-2012
Planning & Control cyclus 2009 – 2012, gemeente Roermond
Product-dienstenaanbod voor burgers en bedrijven op de website van de gemeente
Roermond
Programmabegrotingen 2007 t/m 2012, gemeente Roermond
Programmaplan excellente dienstverlening, gemeente Roermond, januari 2010
Project start-up 15 April 2011 (powerpoint sheets)
Projectplan 'Accelleratie Excellente Dienstvelening
Projectplanproject implementatie Dimpact
Projectplan Implementatie IP telefonie, versie 1.0, gemeente Roermond, 15 maart 2011
Projectplanning Roermond, 22-09-2011
Raadsbesluiten P&C-cyclus periode 2007-2012
Raadsinformatiebrief inzake aanpassing van het gemeentelijk aanbestedingsbeleid, 24
november 2010
Schaatsen op dun ijs, doorlichting van organisatie en inrichting van gegevens- en
applicatiebeheer van de gemeente Roermond, inclusief aanbevelingen, 29 augustus 2010
Service Level Agreement datatransport en toegevoegde waarde diensten Gemnet b.v.
SLA Baas Telemica, 3 november 2003
Strategische visie Roermond 2020, Roermond investeert in haar toekomst
Testplan telefonie, versie 0.1, gemeente Roermond, 14-09-2011
Totaaloverzicht ontwikkeling Programmaplan Excellente Dienstverlening
Uitgangspunten projectmanagement voor bedrijfsvoeringsprojecten, voorstel aan het
managementteam 9 mei 2007
Uitkomsten gemeentemonitor “Waar staat je gemeente.nl”
Uitwijkplan gemeentelijke BasisAdministraties en Basisregistraties Adressen en Gebouwen,
versie 2.4, gemeente Roermond, 9 januari 2012
Visie Klant Contact, gemeente Roermond, 7 januari 2011
Voorstel aan het Managementteam van de afdeling BMO/POI, second opinion ED, 17 juni
2011
Voorstel Raadtoetreding tot coöperatieve vereniging Dimpact, 11 juli 2011
Waar staat je gemeente, rapportage 2008 en 2010
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 91/97
C Lijst geïnterviewde personen
Dhr. V. Zwijnenberg, wethouder
Dhr. H. Geraedts, Gemeentesecretaris
Dhr. J. Vervuurt, Griffier
Dhr. F. Laumen en dhr. G. Gootzen, teamleider, respectievelijk projectleider ICT
Dhr. J.W. Koppers, B. Claassen en J. Hendrix, Programmaleider Excellente Dienstverlening,
respectievelijk adviseur Informatiemanagement en teamleider bedrijfsvoering sociale zaken.
Dhr. U. Weyergraf, Directeur Sector Bedrijfsmiddelen en Organisatie
Dhr. W. Kaldenhoven en G. Huijs, concerncontroller, respectievelijk adviseur
informatiemanagement
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 92/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 93/97
D MISSIE DOELEN EN STRATEGISCHE KEUZES UIT DE I-VISIE
Missie
Zorg dragen voor een efficiënte, kwalitatief hoogwaarde informatievoorziening die voorbereid is
op toekomstige ontwikkelingen.
Doelen
• Een efficiënte en effectieve informatievoorziening
• Een toegankelijke informatievoorziening
• Een kwalitatief hoogwaardige informatievoorziening
• Een professionele informatievoorziening
• Een stabiele en veilige informatievoorziening
• Een klant- en gebruiksvriendelijke informatievoorziening
Strategische keuzes
De I-visie kent 13 strategische keuzes:
1. De gemeente Roermond conformeert zich aan de doelstellingen van de landelijke
programma’s zoals NUP, Antwoord© en NOIV en conformeert zich aan de uitgangspunten en
doelstellingen van de landelijke sturingsprogramma’s NORA en EGEM;
2. De gemeente Roermond biedt transparantie van zaken door zaakgericht werken;
3. De gemeente Roermond biedt op een efficiënte en effectieve wijze uniforme dienstverlening
aan via verschillende kanalen;
4. De gemeente Roermond ontwikkelt zich tot dé poort van de overheid;
5. De gemeente Roermond sluit aan op e-overheidsvoorzieningen (volgens NUP);
6. De gemeente Roermond werkt procesgericht en maakt daarbij gebruik van de
standaardprocessen die binnen GEMMA zijn ontwikkeld en door KING worden ondersteund;
7. De gemeente Roermond ondersteunt tijd- en plaatsonafhankelijk werken;
8. De gemeente Roermond beveiligt haar informatievoorziening volgens het beginsel van
zorgvuldig en rechtmatig gebruik;
9. De gemeente Roermond sluit aan op het stelsel van basisregistraties en zorgt daarmee voor
ontsluiting en gebruik van basisgegevens;
10. De gemeente Roermond gaat voor maximaal digitaal en 24/7 dienstverlening;
11. De gemeente Roermond hanteert voor haar gegevenshuishouding enkelvoudige inwinning (bij
de bron), meervoudig (verplicht) gebruik;
12. De gemeente Roermond gaat voor samenwerking op het gebied van informatievoorziening;
13. De gemeente Roermond sluit aan bij moderne en gangbare ICT technologieën.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 94/97
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 95/97
E BEKNOPTE OMSCHRIJVING VAN DE ONTWIKKELINGEN
BESCHREVEN IN DE I-VISIE
In de I-visie worden de volgende ontwikkelingen meegenomen:
Maatschappelijke ontwikkelingen zoals toename van informatie, behoefte aan plaats- en
tijdonafhankelijke dienstverlening, de vorming van nieuwe sociale structuren, veranderende
communicatie, toenemende verwachtingen van de burger t.a.v. dienstverlening, de verwachting
van de burger dat overheidsinformatie betrouwbaar is, en de veranderende rol van de lokale
overheid, die steeds vaker in samenwerking met anderen haar doelen zal moeten realiseren.
ICT-ontwikkelingen zoals 'software as a service' (SAAS), waarbij de organisatie gebruik maakt van
software die elders wordt gehost, en betaalt voor het gebruik; cloudcomputing waarbij via het
internet gebruik wordt gemaakt van zowel hard- als software van derden; service oriented
architecture (SOA) gegevens makkelijker door verschillende systemen kunnen worden gebruikt;
toename van het gebruik van social media als bron van informatie en manier om informatie te
delen; de toename van het gebruik van apps op mobiele telefoons en tablets voor
dienstverlening; virtualisatie, een techniek om het gebruik van technische bronnen te
optimaliseren; het standaardiseren en generiek maken van systemen t.b.v. gegevensuitwisseling
met name binnen de overheid; toenemend gebruik van open source en open standaarden
waardoor de afhankelijkheid van leveranciers afneemt; het creëren van gegevensmodellen en
voorzieningen om 24/7 dienstverlening te faciliteren.
Landelijke programma's op het gebied van de e-overheid zoals het Nationaal
Uitvoeringsprogramma voor de e-overheid (NUP); Antwoord@, gericht op het stroomlijnen van de
overheidsinformatievoorziening; het NOiV, het landelijk programma dat zich richt op het
stimuleren van open standaarden en open source software door overheden; en de
referentiearchitecturen NORA en GEMMA voor het inrichten van de informatievoorziening.
Visie op dienstverlening van de gemeente Roermond: In haar Strategische visie Roermond 2020
geeft de gemeente aan te streven naar 'Excellente dienstverlening'. Dit streven is vertaald in het
dienstverleningsconcept Beleef Roermond!, en een Programma Excellente Dienstverlening. Het
dienstverleningsconcept en het programma “Excellente Dienstverlening” stellen eisen aan de
informatievoorziening en de ontwikkeling hiervan. In de I-visie zijn de zes 6 kernprincipes van het
dienstverleningsconcept vertaald naar de gevolgen voor de informatievoorziening. Het gaat om de
kernprincipes: 'toegankelijk', 'op maat', 'ontvankelijk', 'geïntegreerd', 'eigentijds', en 'met
garanties'.
Interne ontwikkelingen zoals het mogelijk maken van plaats- en tijdonafhankelijk werken voor
medewerkers; verbeteren van privacy en beveiliging; het benutten van ICT voor het efficiënter en
effectiever maken van processen; het introduceren van tools om medewerkers van dienst te zijn
bij het vinden van hun weg in de al maar toenemende hoeveelheid informatie; zorgen voor
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 96/97
voldoende kennis op het gebied van informatievoorziening; de toenemende behoefte aan
samenwerking tussen gemeenten op zowel het gebied van ICT, als andere beleidsterreinen; en de
inzet van Business Intelligence tools om informatie op een voor de gebruiker relevante manier te
ontsluiten en presenteren.
Deze ontwikkelingen zijn vertaald naar de volgende missie en doelen voor de
informatievoorziening van de gemeente Roermond en voorzien van strategische keuzes die in het
stuk nader worden toegelicht. Aan het eind van de I-visie wordt kort ingegaan op het
vervolgproces.
Definitieve versie voor bestuurlijk wederhoor
Quick scan informatievoorziening Vooronderzoek voor de Rekenkamercommissie Roermond
Copyright © 2012 Verdonck, Klooster & Associates B.V. 97/97
F RELEVANTE WET- EN REGELGEVING BEVEILIGINGSBELEID
Het beveiligingsbeleid dient te voldoen aan wetgeving en bijbehorende uitvoeringsbepalingen.
Wet- en regelgeving die gehanteerd zijn als uitgangspunt en richtlijn voor het beveiligingsbeleid
zijn:
• Wet Bescherming Persoonsgegevens
• Wet GBA (Gemeentelijke Basis Administratie)
• Archiefwet 1995
• Archiefbesluit 1995
• Regeling geordende en toegankelijke staat en archiefbescheiden
• Regeling duurzaamheid van archiefbescheiden
• Archiefverordening gemeente Roermond 2007
• Besluit Informatiebeheer Roermond 2007
• Wet Computer Criminaliteit 2006
• Auteurswet
• Wet Openbaarheid van Bestuur (WOB)
• Algemene Wet Bestuursrecht (AWB)
• Besluit Begroten en Verantwoorden (BBV) uit 2003
• Regeling Arbeidsvoorwaarden gemeente Roermond (RAGR)
• Wet Basisregistraties adressen en gebouwen