Nijmegen en omstreken digitaal niet ‘in control’
‘Er is niet of nauwelijks aandacht voor het toetsen’ en de gemeenteraden staan op grote afstand.
Gemeenten in de regio Nijmegen zijn digitaal kwetsbaar. Er wordt te weinig getest, goed uitgewerkte plannen ontbreken en de raden kunnen de boel niet controleren. Tot die conclusie komen de rekenkamer(commissie)s van Nijmegen, Wijchen, Beuningen en Berg en Dal in een gezamenlijk onderzoek. De colleges kunnen en moeten meer doen.
Kosten en moeite
De gemeenten werken hard aan informatiebeveiliging en privacybescherming, maar de inspanningen zijn niet genoeg om aan de normen te voldoen. Ze lopen volgens de onderzoekers ‘niet alleen het risico dat veel extra inspanningen en geld nodig zijn als er problemen ontstaan, maar ook dat de dienstverlening aan inwoners en bedrijven wordt gehinderd of zelfs onderbroken, en dat de belangen van inwoners en ondernemers worden geschaad.’
‘Goed uitgewerkte uitvoeringsplannen en jaarplannen ontbreken veelal.’ Er is overkoepelend beleid, maar op veel onderdelen ontbreekt de tactische uitwerking, ‘wat weer onvoldoende basis biedt voor werkinstructies op operationeel niveau’. Geen van de gemeenten heeft bijvoorbeeld beleid vastgesteld voor logging (het registreren van gebeurtenissen in systemen).
‘In alle gemeenten wordt onvoldoende getest, vastgelegd en geëvalueerd (Check) en daarmee ook onvoldoende bijgestuurd (Act). De cyclus wordt dus niet afgemaakt en herhaald. Daarmee maken de gemeenten zich kwetsbaar.’
Dagelijkse gang van zaken
De betreffende colleges zijn zich bewust van de kwetsbaarheid, maar ‘kunnen en moeten’ meer doen. ‘Als zij het belang voortdurend benadrukken, ruimte scheppen en rugdekking bieden aan de medewerkers die ermee bezig zijn, dan maakt dat verschil.’ De gemeenten hebben hiervoor principes in het beleid opgenomen, ‘maar de meeste bestuurders geven aan de principes in de praktijk niet te hanteren’.
De onderzoekers van Nijmegen zien dit terug in de dagelijkse aansturing van de eigen gemeente: weinig besluiten over essentiële zaken zoals risicomanagement en wat daarvoor nodig is. ‘En er is niet of nauwelijks aandacht voor het toetsen, controleren en evalueren, om te weten hoe je er als gemeente voor staat.’
‘Op relatief grote afstand van deze dagelijkse gang van zaken staan de gemeenteraden.’ Dat hoeft niet erg te zijn, maar raadsleden moeten hun controlerende taak kunnen waarmaken en ‘dat gebeurt nu echt onvoldoende.’
Onvolwassen
Het volwassenheidsniveau van Nijmegen schatten de onderzoekers tussen de 2 en 3 en van de andere gemeenten tussen de 1,5 en 2. Om in control te zijn moet dat minimaal niveau 3 zijn. ‘Overigens geldt voor de meeste gemeenten in Nederland dat ze nog niet op volwassenheidsniveau 3 (of hoger) zitten.’
Een belangrijke verklaring voor de lage niveaus is dat de gemeenten slecht scoren op de beoordelingsnormen die aansluiten bij landelijke kaders. De onderzoekers vragen zich expliciet af of het reëel is om gemeenten ‘en zeker kleinere gemeenten’ aan die norm te toetsen. ‘Het antwoord daarop is een volmondig ‘ja’.’
Moeten we niet veel meer toe naar het centraal doen van de dingen die centraal met en voor gemeenten geregeld zouden kunnen worden? Door een gedeeld gemeentelijk "bedrijf" waar mensen met de juiste expertise dit werk kunnen doen voor ruim 340 gemeenten?
Ja, de gemeentelijke autonomie is belangrijk, maar vooral op beleidsmatig en bestuurlijk vlak, en m.i. minder als het gaat om techniek. Welke stappen kunnen we zetten om dit vanuit de gemeentebesturen te gaan verkennen? Want dat we tegen onze grenzen aanlopen is voor mij wel duidelijk. Benieuwd hoe anderen hier tegenaan kijken....