Paragraaf 5 Bedrijfsvoering

De bedrijfsvoering wordt vanaf 1 januari 2014 door de BAR-organisatie uitgevoerd. Voor een toelichting op de bedrijfsvoering verwijzen wij u naar de jaarrekening 2022 van de BAR-organisatie.
De bijdrage aan onze organisatie voor de bedrijfsvoering wordt getoond in onderstaande tabel.

• Programma 1 Bestuur en (overheids)participatie (€ 1.743.540)
• Programma 2 Veiligheid (€ 95.292)
• Programma 4 Economische zaken (€ 168.444)
• Programma 9 Ruimtelijke ontwikkeling, wonen en maatschappelijk vastgoed (€ 235.500)
• Niet in de programma's opgenomen baten en lasten (€ 541.125)
• Investeringen (€ 729.180)

Het begrotingscriterium is een criterium van rechtmatigheid dat betrekking heeft op de grenzen van de baten en lasten in de door de raad geautoriseerde begroting van exploitatie en investeringskredieten en de hiermee samenhangende programma’s, waarbinnen de financiële beheershandelingen tot stand moeten zijn gekomen.

De begrotingsrechtmatigheid wordt beoordeeld op het niveau waarop de begroting door de raad is geautoriseerd. Volgens de financiële verordening 2017 is dat op programmaniveau. Daarnaast is er het Controleprotocol voor de accountantscontrole op de jaarrekening 2021-2024 met duidelijke en concrete spelregels met betrekking tot het begrotingscriterium.

Op basis van bovenstaande is er geen rechtmatigheid geconstateerd. Dit is een "geschoond" saldo. Alle individuele posten zijn bekeken en langs de spelregels gehouden om te zien wat als rechtmatig of als onrechtmatig bestempeld wordt.

Programma 2 Veiligheid
De lasten van dit programma zijn overschreden met € 95.292. Onderwerpen die deel uitmaken van de overschrijding zijn de bijdrage aan de Veiligheidsregio Rotterdam-Rijnmond (VRR), incidenten, lasten voor leges en vergunningen APV, SPUK naleving controle CTB 2022 en de toerekening van de BAR-bijdrage naar programma's.

De overschrijdingen op de bijdrage aan de VRR (€ 10.514) en de post incidenten (werkzaamheden voor een drugsdumping, € 13.104) betreffen activiteiten die binnen het beleid passen. De overschrijding is door de raad geaccordeerd. Het zijn, volgens het Controleprotocol voor de accountantscontrole op de jaarrekening 2021 - 2024, daarmee rechtmatige begrotingsafwijkingen. Ditzelfde geldt voor de post leges en vergunningen APV. Hier is ook sprake van bestaand beleid en is de overschrijding geaccordeerd door de raad.
Tegenover de overschrijding van de lasten SPUK Naleving controle CTB 2022 (€ 41.445) staan direct gerelateerde opbrengsten. Volgens het Controleprotocol voor de accountantscontrole op de jaarrekening 2021 - 2024 is dit een kostenoverschrijding die geheel of grotendeels wordt gecompenseerd door direct gerelateerde opbrengsten en daarmee een rechtmatige begrotingsafwijking. Ditzelfde geldt voor de posten Participatiebudget besturen en Secretarieleges Burgerzaken. Ook hier staat een opbrengst tegenover de last en is een rechtmatige begrotingsafwijking.
De toerekening van de BAR-bijdrage naar programma's is een verplichting en over het geheel budgettair neutraal. Deze verdeling valt onder het geformuleerde beleid en is volgens het controleprotocol een rechtmatige begrotingsafwijking.

Programma 4 Economische zaken
De lasten van dit programma zijn overschreden met € 168.444. Onderwerpen die deel uitmaken van de overschrijding zijn omzetheffing benzinestations, overige gebouwen, gemeentewerf P.C. Hooftstraat, marktinitiatieven en de toerekening van de BAR-bijdrage naar programma's.

De overschrijdingen op de posten omzetheffing benzinestations (€ 42.000), gemeentewerf P.C. Hooftstraat (€ 44.029) en marktinitiatieven (€  91.818) zijn activiteiten die binnen het beleid passen. De overschrijding is door de raad geaccordeerd. Het zijn, volgens het Controleprotocol voor de accountantscontrole op de jaarrekening 2021 - 2024, daarmee rechtmatige begrotingsafwijkingen.
De overschrijding op de lasten op Overige gebouwen staan opbrengsten tegenover. Het Controleprotocol geeft aan dat kostenoverschrijdingen die geheel worden gecompenseerd door directe opbrengsten als rechtmatig beschouwd worden.
De toerekening van de BAR-bijdrage naar programma's is een verplichting en over het geheel budgettair neutraal. Deze verdeling valt onder het geformuleerde beleid en is volgens het controleprotocol een rechtmatige begrotingsafwijking.

Programma 9 Ruimtelijke ontwikkeling, wonen en maatschappelijk vastgoed
De lasten van dit programma zijn inclusief reserves overschreden met € 235.500. Onderwerpen die deel uitmaken van de overschrijding zijn het zwembad en sportaccommodaties, marktinitiatieven, Gemeenschappelijke regeling Nieuw Reijerwaard en de toerekening van de BAR-bijdrage naar programma's.

Tegenover de overschrijding van de post Zwembaden en sportaccommodaties staan opbrengsten van de specifieke uitkering IJsbanen en Zwembaden en specifieke uitkering Sport. Volgens het Controleprotocol voor de accountantscontrole op de jaarrekening 2021 - 2024 is dit een kostenoverschrijding die geheel of grotendeels wordt gecompenseerd door direct gerelateerde opbrengsten en daarmee een rechtmatige begrotingsafwijking.
Ook de overschrijding op de posten begraafplaatsen en gemeenschappelijke regeling Nieuw Reijerwaard heeft een opbrengst tegenover zich staan. Hiervoor geldt ook dat dit een rechtmatige begrotingsafwijking is, volgens het hiervoor genoemde protocol.
Er zijn facturen binnengekomen voor een btw-correctie over de jaren 2020 tot en met 2022 voor sportaccommodaties. Deze kostenoverschrijding, geconstateerd na het verantwoordingsjaar, betreffen activiteiten welke achteraf als onrechtmatig moeten worden beschouwd, omdat hier door de belastingdienst nog nader onderzoek naar is gedaan. Volgens het Controleprotocol wordt deze overschrijding als rechtmatig beschouwd.
Er zijn kosten (€ 83.355) voor de tijdelijke sporthal gemaakt, voor onderhoud aan groene sportvelden (€ 98.501), die voortvloeien uit beleid en kosten die gemaakt zijn voor marktinitiatieven (€ 431.137). De overschrijdingen zijn geaccordeerd door de raad. Het zijn, volgens het Controleprotocol voor de accountantscontrole op de jaarrekening 2021 - 2024, daarmee rechtmatige begrotingsafwijkingen.
De toerekening van de BAR-bijdrage naar programma's is een verplichting en over het geheel budgettair neutraal. Deze verdeling valt onder het geformuleerde beleid en is volgens het controleprotocol een rechtmatige begrotingsafwijking.

 Niet in de programma's opgenomen baten en lasten
De lasten van de niet in de programma 's opgenomen baten en lasten zijn overschreden met € 541.125. Onderwerpen die deel uitmaken van de overschrijding zijn dubieuze debiteuren , juridische zaken en overhead vanuit de BAR-organisatie.

De overschrijding wordt voornamelijk veroorzaakt door de benodigde toevoeging aan de voorziening dubieuze belastingdebiteuren voor het op peil brengen van deze voorziening en afboeking van oude vorderingen  op belastingdebiteuren vanwege oninbaarheid. Het betreft een kostenoverschrijding met een open karakter in het kader van het opmaken van de jaarrekening waarbij de overschrijding niet eerder werd geconstateerd. Volgens het Controleprotocol voor de accountantscontrole op de jaarrekening 2021-2024 is het een rechtmatige begrotingsafwijkingen.
De overschrijding op overhead vanuit de BAR-organisatie is toegelicht onder de algemene toelichting BAR-bijdrage incl. overhead. Deze verdeling valt onder het geformuleerde beleid en is volgens het controleprotocol een rechtmatige afwijking.

Investeringen

Programma 3 Verkeer, vervoer en wegen
Het investeringskrediet voor de Snelfietsroute F15 IJsselmonde is overschreden door prijsstijgingen en cofinanciering. De activiteiten passen binnen het beleid. De overschrijding is door de raad geaccordeerd. Het zijn, volgens het Controleprotocol voor de accountantscontrole op de jaarrekening 2021 - 2024, daarmee rechtmatige begrotingsafwijkingen.
Het investeringskrediet HOV Populierenlaan-Verbindingsweg is overschreden door extra voorbereidingskosten. De kosten voor de werkzaamheden vallen binnen het beschikbaar gestelde krediet. Hierdoor kan deze kostenoverschrijding, volgens het Controleprotocol, als rechtmatig worden beschouwd.

Programma 6 Sport, cultuur en groen
Het investeringskrediet voor Reijerpark kunstgrasveld betreft een gecombineerd krediet. De overschrijding op het ene onderdeel wordt opgeheven door een onderschrijding op een ander onderdeel. De kosten voor de werkzaamheden vallen binnen het beschikbaar gestelde krediet. Hierdoor kan deze kostenoverschrijding, volgens het Controleprotocol, als rechtmatig worden beschouwd.

Het voorwaardencriterium is het criterium van rechtmatigheid, dat betrekking heeft op de eisen die worden gesteld bij de uitvoering van de financiële beheershandelingen. De eisen/voorwaarden zijn afkomstig uit diverse wet- en regelgeving en hebben betrekking op aspecten als doelgroep, termijn, grondslag, administratieve bepalingen, normbedragen, bevoegdheden, bewijsstukken, recht, hoogte en duur. Uit het rapport van bevindingen van de Verbijzonderde Interne Controle (VIC) en bij de controle ten behoeve van de jaarstukken 2022 zijn geen (financiële) onrechtmatigheden met betrekking tot het voorwaardencriterium ontdekt.

Het misbruik en oneigenlijk gebruik-criterium is het criterium van rechtmatigheid, dat betrekking heeft op het voorkomen, detecteren en corrigeren van misbruik en oneigenlijk gebruik van overheidsgelden en gemeentelijke eigendommen bij financiële beheershandelingen. Uit het rapport van bevindingen van de Verbijzonderde Interne Controle (VIC) en controle ten behoeve van de jaarstukken 2022 zijn geen bevindingen met betrekking tot het M&O-criterium.

Begrotingscriterium

Binnen de bestaande processen voor het budgetbeheer en de planning en control cyclus is veel aandacht voor de budgetoverschrijdingen. Het doorontwikkelen van de rapportages en het verbeteren van de informatie met prognoses moet bijdragen aan een eerdere signalering van begrotingsonrechtmatigheden door overschrijdingen. Hier zal de komende tijd meer aandacht aan worden besteed.

Inleiding/aanleiding:

• VNG resolute "Informatieveiligheid, randvoorwaarde voor de professionele gemeente"
  Met de VNG resolute "Informatieveiligheid, randvoorwaarde voor de professionele gemeente" van 2013hebben de gemeenten afgesproken de Baseline Informatieveiligheid Gemeenten (BIG) te implementeren. De BIG is de kern van de verantwoording over informatieveiligheid aan de gemeenteraad. De horizontale verantwoording bestaat uit de zelfevaluatie, en IT-audit, en verklaring van het college van burgemeester en wethouders en een passage over informatieveiligheid in het jaarverslag.
  Van BIG naar BIO
  Vanaf 1 januari 2020 is de Baseline Informatiebeveiliging Overheid (BIO) van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies. Van BIG, BIR, BIR2017, IBI en BIWA naar BIO. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO normatiek.
• Verantwoordingsverplichting ENSIA
  Om aan te tonen dat de gemeente Ridderkerk werkt in overeenstemming met de geldende wet- en regelgeving, interne regels en gedragscodes worden gemeenten sinds 2017 jaarlijks onderworpen aan de ENSIA (Eenduidige Normatiek Single Information) audit. Deze ENSIA-audit bestaat uit een zelfevaluatie over de mate waarin de gemeente voldoet aan de afspraken in de BIO, en horizontale verantwoording aan de gemeenteraad en een verticale verantwoording aan de landelijke toezichthouders zoals LOGIUS (DigiD) en het ministerie (inspectie) van Sociale Zaken en Werkgelegenheid (Suwinet).

IB-beleid, doelstellingen en afspraken

Gemeenten beschikken over uiterst gevoelige informatie van burgers en hebben zowel de wettelijke als morele plicht om daar zorgvuldig mee om te gaan. Het college van burgemeesters en wethouders van de gemeente Ridderkerk draagt als eigenaar van gemeentelijke informatieprocessen en (informatie)systemen de politieke verantwoordelijkheid voor en passend niveau van informatieveiligheid en privacybescherming. 100%-veilig bestaat niet. Risico's worden doelbewust en proactief geaccepteerd en beheerst. Het college van burgemeester en wethouders van de gemeente Ridderkerk stelt, op basis van landelijke en Europese wet- en regelgeving en landelijke normenkaders zoals de BIO, de kaders ten aanzien van informatieveiligheid en privacybescherming voor de gemeente vast. De belangrijkste gemeentelijke informatiebeveiligingsdoelstellingen zijn:

• Het zorgvuldig omgaan met informatie en deze gegevens beschermen ten onrechtmatige toegang en/ of misbruik en/of manipulatie.
• Het waarborgen van de beschikbaarheid, integriteit en vertrouwelijkheid van deze (persoons)gegevens en de continuïteit van de dienstverlening van de gemeente Ridderkerk.
• Het voldoen aan wet- en regelgeving.
• Het beheersen van risico's.

Het informatiebeveiligingsbeleid van de gemeente Ridderkerk bevat de kaders voor het treffen en onderhouden van en samenhangend pakket van maatregelen teneinde de betrouwbaarheid (beschikbaarheid, integriteit, vertrouwelijkheid en controleerbaarheid) van de informatievoorziening te waarborgen.

Het informatiebeveiligingsbeleid van de gemeente Ridderkerk is gebaseerd op de Baseline Informatiebeveiliging Overheid (BIO).

Algemeen beeld en resultaten afgelopen periode

Informatieveiligheid reikt veel verder dan het implementeren van technische informatiebeveiligingsmaatregelen. Het is namelijk een groot misverstand om te denken dat informatieveiligheid iets technisch is.

Beheersmaatregelen IB

Hieronder wordt een overzicht gegeven van de belangrijkste beheersmaatregelen die bijdragen aan het realiseren van de IB-doelstellingen van de gemeente Ridderkerk:

• Creëren van Opzet op de BIO-normering en op delen het Bestaan.
• Verbeterplan BMC (onder andere beschikbaar stellen van structureel budget en opzetten en inrichten van een team Informatieveiligheid en Privacy (I&P).
• Het creëren van bewustzijn binnen de organisatie door regelmatig op intranet te communiceren over informatieveiligheid.
• In 2022 hebben de CPO, ISO en Privacy Officer meerdere verwerkingsovereenkomsten beoordeeld/opgesteld, inclusief het voeren van de gesprekken met leveranciers en externe partijen hierover.
• Het adviseren bij en het opstellen van het pakket van eisen rondom informatieveiligheid en privacybescherming bij inkoop trajecten.
• Wet Politie Gegevens (WPG)-audit.
• Verbeterplan opgesteld naar aanleiding van audit Suwinet.
• Bewustwordingsprogramma 2023.
• Beleid Incidentmanagement vastgesteld.
• Beleid op Logging en Monitoring vastgesteld.
• Beleid Logische Toegangsbeveiliging vastgesteld.
• Authenticatiebeleid vastgesteld.
• Wijzigingsbeleid (Changemanagement) vastgesteld.
• Op technisch gebied veel maatregelen genomen.
• Acht puntenplan van het Nationaal Cyber Security Centrum (NCSC).
• IT Audit Deloitte op Key2Financien.

Realisatie doelstellingen IB-beleid (effectiviteit beheersmaatregelen en risico's)

Hieronder wordt en overzicht gegeven van de belangrijkste IB-doelstellingen die zijn gerealiseerd:

• De Baseline Informatiebeveiliging Overheid (BIO) is in 2022 verder geïmplementeerd binnen de gemeente Ridderkerk, op gebied van de Opzet.
• Het beoordelen en afhandelen van datalekmeldingen en informatiebeveiligingsincidenten (inclusief de vertrouwelijke cyberdreigingen overeenkomstig het Traffic Light Protocol (TLP4) afkomstig van de informatiebeveiligingsdienst voor gemeenten" (IBD).
• Het adviseren van het (lijn)management/proceseigenaren over de implementatie van informatiebeveiligings- en privacybeschermende beheersmaatregelen voor hun verantwoordelijkheidsgebieden.
• De ISO/Coördinator ENSIA heeft samen met de domeindeskundige medewerkers van de verschillende afdelingen (ICT, HRM, Backoffice, Sociaal Domein, informatiemanagement) over het jaar 2022 de zelfevaluatie ENSIA uitgevoerd.

Incidenten(afhandeling)

Cybercriminaliteit heeft de laatste jaren en grote vlucht genomen en geen enkele overheidsorganisatie ontkomt aan pogingen van onbevoegden o informatie buit te maken of om de bedrijfsvoering te verstoren. Cybercriminaliteit is inmiddels "BIG business" en een serieus verdienmodel voor criminelen. Daarmee is een permanente wedloop ontstaan tussen het implementeren en in stand houden van informatiebeveiligingsmaatregelen en de innovatie in het hacken van organisaties. Ook gemeenten worden hiervan het slachtoffer en staan bloot aan deze cyberdreigingen. We ervaren binnen de gemeente Ridderkerk een toename van het aantal cybercrime dreigingen/aanvallen. Helaas betreft het voorkomen van onrechtmatige toegang (door cyberaanvallen/hacking/fraude/ondermijnende activiteiten) tot onze gegevens en het treffen van passende beveiligingsmaatregelen en bewegend doel, waardoor we nooit "klaar" zijn. De dreigingen, kwetsbaarheden en technische mogelijkheden veranderen namelijk constant.

Doorkijk prioriteiten voor 2023 informatieveiligheid

Hieronder wordt een overzicht gegeven van de belangrijkste IB-doelstelling voor 2023. Voor informatieveiligheid zijn de prioriteiten:

• Ontvlechting BAR-organisatie: op 150 applicaties inzet en capaciteit leveren vanuit Informatiebeveiliging en Privacy.
• Bewustwordingsprogramma 2023 uit te voeren acties (onder andere Cyber barometer).
• Implementatie Multi-Factor Authenticatie (MFA) en Mobile Device Management (MDM).
• NIS2 (Netwerk- en informatiesystemen/Europese Wetgeving).
• Maken Cyberplan Digitaal 2023-2025).
• Nieuwe BIO 2.0 Implementeren en de ENSIA-gevolgen en Audit.
• Ondersteunen werkgroepen ‘Nieuwe organisaties 2024’op het gebied van I&P.
• Borgen van I&P in ‘Nieuwe Organisaties 2024’.
• Wet Digitale Overheid (WDO) en verplichtingen op Audit informatiebeveiliging organisatiebreed.
• De uitvoering van de ENSIA-cyclus voor de verantwoording over het jaar 2023. 
• Enz.