Kerntaak 10 is gewijd aan de bedrijfsvoering van de provincie Overijssel. Zonder een goede bedrijfsvoering kunnen wij niet goed presteren. Denk bijvoorbeeld aan de getrouwheid van onze informatiesystemen, de beheersing van juridische risico’s of de betrokkenheid/professionaliteit van onze medewerkers. Wij werken continu aan de verbetering van onze bedrijfsvoering. Dat vraagt vooral om slim e ...
10. Bedrijfsvoering
Wij zorgen voor doelmatig en duurzaam faciliteren en adviseren van het bestuur en het uitvoeren van controltaken om onze doelstellingen te bereiken.
Inleiding
Privacy (AVG)
De Algemene Verordening Gegevensbescherming (AVG) is sinds 2018 van kracht en heeft het onderwerp privacy onmiskenbaar op de kaart gezet. De AVG zorgt voor een versterking en uitbreiding van de privacy-rechten van burgers en brengt daarmee meer plichten en verantwoordelijkheden voor ons als provincie.
Vanuit AVG-perspectief was 2019 een boeiend en beweeglijk jaar. We zijn meerdere malen op de proef gesteld door een aantal significante datalekken. Alhoewel elk incident te betreuren is, zijn deze datalekken over het algemeen goed afgehandeld en hebben we daar belangrijke lessen uit getrokken.
Ook ons signaleringsvermogen is aanzienlijk verbeterd. Ten opzichte van 2018 hebben we namelijk vier keer zoveel (24 t.o.v. 6) datalekken gesignaleerd en afgehandeld. Dat aantal is, in tegenstelling tot de voorgaande jaren, daadwerkelijk passend en representatief voor een organisatie van deze omvang.
Ons verwerkingsregister (dat al onze verwerkingen van persoonsgegevens dient te bevatten) is in 2019 naar een hoger niveau getild. Dit bleek een cruciale ontwikkeling. Voor het eerst hebben we namelijk concreet in beeld welke persoonsgegevens we verwerken en dus verantwoordelijk voor zijn.
Daardoor is het ook veel duidelijker geworden op welke punten we wel, deels, of (nog) niet voldoen aan de AVG. Dat laatste wordt op dit moment vervat in een jaarverslag, waar u binnenkort kennis van kunt nemen.
Een van de belangrijkste ontwikkelingen van 2019 was dat medewerkers zich meer verantwoordelijk zijn gaan voelen voor het onderwerp privacy.
Dat blijkt onder andere uit het feit dat de functionaris gegevensbescherming, een onafhankelijke adviseur op het gebied van privacywetgeving die we medio 2018 hebben geworven, met grote regelmaat wordt benaderd door medewerkers met vragen over de AVG. Die vragen kwamen vanuit alle hoeken van de organisatie.
Onze medewerkers toonden zich daarnaast – meer dan ooit tevoren – in staat om risico’s en onrechtmatigheden te herkennen en te signaleren. Dankzij alerte medewerkers zijn er in 2019 een aantal AVG-overtredingen aan het licht gekomen, waar we vervolgens op hebben kunnen acteren. We bouwen in 2020 op deze positieve ontwikkeling voort door middel van een uitgebreid bewustwordingstraject (in de vorm van e-learning modules voor privacy en informatiebeveiliging) voor nieuwe en bestaande medewerkers.
Informatieveiligheid
Voor het realiseren van onze doelen verwerken we veel informatie. Deze informatie is kwetsbaar. Informatieveiligheid heeft tot doel de bedreigingen voor onze informatie in beeld te krijgen en om vervolgens passende maatregelen te nemen om een negatieve impact te beperken.
Naar aanleiding van de bevindingen uit het interne Art. 217 A onderzoek (2018) en het advies van de Rekenkamer Oost-Nederland (2019) heeft de ambtelijke organisatie de opdracht gekregen om opvolging te geven aan de aanbevelingen die zijn gedaan.
We verwachten dat in het voorjaar van 2020 alle aanbevelingen zijn opgevolgd. Er is een kwaliteitssysteem voor informatiebeveiliging opgezet en geïmplementeerd. Daarin zijn alle rollen en verantwoordelijkheden belegd op bestuurlijk, management en operationeel niveau. Het kwaliteitssysteem gaat uit van risicomanagement en de plan-do-check-act-cyclus. Risico’s zijn inzichtelijk gemaakt, hierover wordt gerapporteerd en management stuurt hierop.
Wanneer een risico manifest wordt, zoals bij de webmailhack in de zomer van 2019, dan dient een evaluatie plaats te vinden om te leren van incidenten die zich hebben voorgedaan. Ten aanzien van de webmailhack heeft een digitaal forensisch bureau onderzoek gedaan, heeft een evaluatie plaatsgevonden en zijn de eerste verbetermaatregelen geïmplementeerd.
Daarnaast is een systematiek ontwikkeld om informatiebeveiliging in de keten te waarborgen, waarbij op leveranciers wordt toegezien dat zij risico’s voor de provincie passend beheersen. Verder hebben diverse activiteiten plaatsgevonden om het bewustzijn van medewerkers te verhogen. De effectieve werking van ons kwaliteitssysteem maken wij aantoonbaar door het in 2020 te laten certificeren op basis van de norm NEN-ISO 27001.
Integriteit
2019 stond in het teken van de voorbereiding op de Wet normalisering rechtspositie ambtenaren (Wnra) met annex de nieuwe Ambtenarenwet 2017. Beide zijn per 1 januari 2020 in werking getreden. Alle integriteitsregelingen hebben een –verplichte- plek gekregen in het nieuwe Personeelshandboek. Gebleken is toen ook dat enkele regelingen nog een actualisatieslag behoeven. Dat gaat van start in 2020 in samenwerking met de Ondernemingsraad.
In het najaar is er een brede integriteit enquête gehouden onder alle medewerkers van de provincie, vast of ingehuurd. Medio december was de uitslag bekend. De bevindingen – van de 901 deelnemers- waren positief: 78% is bekend met het beleid en de regels van de provincie, en 71% oordeelde beleid en regelgeving positief.
Nog hoger scoorde het voorbeeldgedrag van bestuur, directie en leidinggevenden, dat respectievelijk door 89%, 95% en 90% als positief is beoordeeld. Een waarschuwende vinger was er ook: 71% was het eens met de stelling dat er binnen zijn of haar team functies zijn met een risico’s op ondermijning of beïnvloeding.
Integriteit en de rol vertrouwenspersonen
In de organisatie zijn 4 vertrouwenspersonen benoemd: 2 voor integriteitszaken en 2 voor ongewenste omgangsvormen. Wanneer een medewerker vertrouwelijk wil praten over één van deze twee onderwerpen –of een melding van een schending wil doen- kan hij of zij bij de vertrouwenspersoon terecht. In 2019 zijn in dat kader 33 gesprekken gevoerd: 15 door de vertrouwenspersonen ongewenst gedrag, en 18 door de vertrouwenspersonen integriteit. Maar soms is de scheidslijn daartussen flinterdun. Er is uiteindelijk geen formele melding van een vermoeden van integriteitschending gedaan.
Aanpak Agressie en Geweld
Agressie en geweld is nauw verweven met integriteit. Daarom is er een Protocol voor de aanpak van agressie en geweld voor het geval een medewerker te maken krijgt met agressie en geweld bij de uitoefening van zijn of haar functie. Dat geldt ook voor de bestuurder. Een voorval van een agressieve uiting, verbaal of non-verbaal, heeft meer impact dan menigeen vooraf kan bedenken. In de jaren 2014 (startjaar van het protocol) t/m 2018 zijn er 30 meldingen geweest. In 2019 is 6x een melding gedaan door een medewerker. Dat loopt uiteen van een onheuse bejegening (opsteken middelvinger) tot verbaal geweld, met een bedreiging en éénmaal een dreigbrief van een actiegroep.
Ontwikkelingen
Ontwikkelingen
Kerntaak 10 is gewijd aan de bedrijfsvoering van de provincie Overijssel. Zonder een goede bedrijfsvoering kunnen wij niet goed presteren. Denk bijvoorbeeld aan de getrouwheid van onze informatiesystemen, de beheersing van juridische risico’s of de betrokkenheid/professionaliteit van onze medewerkers. Wij werken continu aan de verbetering van onze bedrijfsvoering. Dat vraagt vooral om slim en wendbaar organiseren.
Normalisering rechtspositie
Komend jaar staat vooral in het teken van de normalisering van de rechtspositie van onze medewerkers. Dat is het gevolg van de Wet normalisering rechtspositie ambtenaren (WNRA) die op 1 januari 2020 in werking treedt. Concreet betekent het dat (a) het private arbeidsrecht van toepassing wordt tussen provincie en medewerker, (b) daarmee bezwaar/beroep in ambtenarenzaken komen te vervallen en (c) specifieke regels voor het arbeidsvoorwaardenoverleg worden vervangen door regulier CAO recht.
Betekenisvolle P&C cyclus
In 2018 zijn wij gestart met de heroriëntatie op onze P&C cyclus via het traject van de 'Betekenisvolle P&C'. Met ingang van de nieuwe bestuursperiode zal de P&C cyclus, op basis van de resultaten van de 'Betekenisvolle P&C' respectievelijk de bespreking hiervan met Provinciale Staten, opnieuw worden ingericht. Bij de behandeling van de Begroting 2019 zal een eerste voorzet ter bespreking aan PS worden voorgelegd. De begroting 2020 (opgesteld in 2019) zal via het nieuwe format worden vormgegeven.
Bewegingen in het informatiedomein
De aan het Shared Service Centrum gerelateerde kosten verschuiven van incidenteel naar structureel. Op aanwijzing van de accountant kunnen investeringen namelijk alleen worden opgevoerd indien het product duidelijk/direct aan Overijssel is toe te wijzen. Door steeds meer samen te werken (en daardoor synergievoordelen te behalen) verwachten wij dat dit steeds moeilijker zal worden. Het Shared Service Centrum neemt de investering daarom voor zijn rekening en rekent maandelijks kosten aan ons door.
Doelmatigheid
In 2019 verrichten wij het jaarlijkse onderzoek naar de doelmatigheid en doeltreffendheid van het gevoerde bestuur dat de provinciewet van ons verlangt. De kaders daarvoor heeft u vastgelegd in de ‘Verordening voor 217a onderzoek’. Ons College stelt daarvoor het onderzoek(-splan) vast. Wij zullen u over de resultaten van het onderzoek in het jaarverslag 2019 informeren.
Rechtmatigheid
Wij voeren de verbijzonderde interne controle (VIC) uit. Het gaat met het uitvoeren van de VIC om het continu verbeteren van interne controlemaatregelen in onze organisatie om financieel rechtmatig te handelen. Daarnaast steunt de accountant bij zijn controlewerkzaamheden op de werkzaamheden en bevindingen van de VIC. Het ministerie van BZK heeft het voornemen om de verantwoordelijkheid van ons College voor het rechtmatig financieel beheer duidelijker in de regelgeving te markeren. Waar nu de accountant in zijn controleverklaring een oordeel velt over de rechtmatigheid van de baten, lasten en balansmutaties in de jaarrekening, is het de bedoeling dat wij deze verantwoordelijkheid overnemen met ingang van het verslagjaar 2021. Het Ministerie van BZK zal de commissie BBV, het IPO, de VNG en de Nederlandse Beroepsorganisatie van Accountants betrekken bij het nader uitwerken van deze verantwoordelijkheidsverschuiving, waarbij ook de administratieve lasten in ogenschouw worden genomen. Wij zorgen, door actief te investeren in de doorontwikkeling van de VIC, dat we goed voorbereid zijn om deze taak van de accountant over te nemen.
De Digitale Provincie
Onze omgeving blijft de komende jaren in hoog tempo veranderen als gevolg van nieuwe digitale technologie. Deze ‘vierde industriële revolutie’, biedt kansen om nieuwe middelen in te zetten. Digitale middelen en data helpen ons bovendien om maatschappelijke vraagstukken op een innovatieve manier aan te pakken. Wij starten eind 2018 met het bepalen van onze koers en de digitaliseringstrajecten die daarbij horen. De ambities van Overijssel en ontwikkelingen zoals Wet Digitale Overheid (Wdo), de Agenda Digitale Overheid, de Nederlandse Cyber Security Agenda, de Omgevingswet en Wet Open Overheid geven richting daarbij.