Nijmegen en omstreken digitaal niet ‘in control’

Gemeenten in de regio Nijmegen zijn digitaal kwetsbaar. Er wordt te weinig getest, goed uitgewerkte plannen ontbreken en de raden kunnen de boel niet controleren. Tot die conclusie komen de rekenkamer(commissie)s van Nijmegen, Wijchen, Beuningen en Berg en Dal in een gezamenlijk onderzoek. De colleges kunnen en moeten meer doen.

Kosten en moeite

De gemeenten werken hard aan informatiebeveiliging en privacybescherming, maar de inspanningen zijn niet genoeg om aan de normen te voldoen. Ze lopen volgens de onderzoekers ‘niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad.’

‘Goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal.’ Er is overkoepelend beleid, maar op veel onderdelen ontbreekt de tactische uitwerking, ‘wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau’. Geen van de gemeenten heeft bijvoorbeeld beleid vastgesteld voor logging (het registreren van gebeurtenissen in systemen).

‘In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.’

Dagelijkse gang van zaken

De betreffende colleges zijn zich bewust van de kwetsbaarheid, maar ‘kunnen en moeten’ meer doen. ‘Als zij het belang voortdurend benadrukken, ruimte scheppen en rugdekking bieden aan de medewerkers die ermee bezig zijn, dan maakt dat verschil.’ De gemeenten hebben hiervoor principes in het beleid opgenomen, ‘maar de meeste bestuurders geven aan de principes in de praktijk niet te hanteren’.

De onderzoekers van Nijmegen zien dit terug in de dagelijkse aansturing van de eigen gemeente: weinig besluiten over essentiële zaken zoals risicomanagement en wat daarvoor nodig is. ‘En er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat.’

‘Op relatief grote afstand van deze dagelijkse gang van zaken staan de gemeenteraden.’ Dat hoeft niet erg te zijn, maar raadsleden moeten hun controlerende taak kunnen waarmaken en ‘dat gebeurt nu echt onvoldoende.’

Onvolwassen

Het volwassenheidsniveau van Nijmegen schatten de onderzoekers tussen de 2 en 3 en van de andere gemeenten tussen de 1,5 en 2. Om in control te zijn moet dat minimaal niveau 3 zijn. ‘Overigens geldt voor de meeste gemeenten in Nederland dat ze nog niet op volwassenheidsniveau 3 (of hoger) zitten.’

Een belangrijke verklaring voor de lage niveaus is dat de gemeenten slecht scoren op de beoordelingsnormen die aansluiten bij landelijke kaders. De onderzoekers vragen zich expliciet af of het reëel is om gemeenten ‘en zeker kleinere gemeenten’ aan die norm te toetsen. ‘Het antwoord daarop is een volmondig ‘ja’.’