Article

Op weg naar volwassenheid in IT-beheersing

Belangrijke thema's voor raadsleden

Gemeenten hebben te maken met een snelle digitalisering van diensten en processen. Dat biedt grote voordelen, maar ook grote nadelen. Hoe zorg je bijvoorbeeld voor een beheersing van de risico’s? Welke plek heeft privacy? En wie beheert de regierol? Jan-Harmen de Vries, Director Risk Advisory, en Frank Smilde, Director Audit Advisory Public bij Deloitte, geven uitleg.

“Op het gebied van IT zijn gemeenten druk bezig met de functionaliteiten en kosten. Wat kan IT en wat kost het? Er moet echter sprake zijn van een driehoek. Ook de vraag ‘Hoe beheren we IT?’ is belangrijk om te beantwoorden”, zegt De Vries. “Het controleplan hoeft niet direct perfect zijn, maar er moeten wel snel stappen gezet worden om de IT daadwerkelijk naar een volwassen stadium te krijgen. Afwegingen moeten expliciet en transparant gemaakt worden. En een gekozen koers moet regelmatig geëvalueerd worden. Blijven doorstapelen is geen optie.” “Maar denk ook aan de informatievoorziening”, vult Smilde aan. “Hoe wordt de raad geïnformeerd over het op orde hebben van de beheersing? Consistent rapporteren is belangrijk, niet slechts één keer maar ieder half jaar. Wordt er daadwerkelijk getoetst of de maatregelen goed werken om bijvoorbeeld de privacy te waarborgen? En zijn de rollen en verantwoordelijkheden hieromtrent goed geregeld?”

Twee kanten van een medaille

De snelle digitalisering heeft ongelooflijk veel positieve kanten. Voor de organisatie, medewerkers en burgers zijn er volop voordelen. Denk aan het makkelijk online regelen van toestemming om kinderen van een nieuw paspoort te voorzien. Het digitaal melden van iets dat gemaakt of opgeruimd moet worden in de openbare ruimte. Of het online doorgeven van een verhuizing. “Maar er is sprake van een medaille met twee kanten”, vertelt De Vries. “Kan wel iedere burger meedoen? Blijft persoonlijk contact mogelijk? En hoe zit het met privacy en security? Het is de uitdaging om aan de ene kant de vruchten van de voordelen van IT te plukken en tegelijkertijd de nadelen en risico’s te bewaken.”

Smilde: “IT is de laatste jaren in een stroomversnelling terechtgekomen. De functionaliteit van applicaties nam sterk toe. Maar het gevaar is nu dat gemeenten in een traditionele controlehouding blijven hangen. Inmiddels is de uitvoerende kant vaak veel verder dan de controlerende, ondersteunende kant. Zo zie je dat er bijvoorbeeld slimme oplossingen worden bedacht om geld op te halen, maar dat de bedrijfsvoerende kant nog niet voldoende is ingericht op het gebruikmaken van de data die daarmee gepaard gaat. Laat staan het bewaken van de privacy. Het is een mismatch die op dit moment bij veel gemeenten speelt.”
 

Blijven testen en controleren

Goed omgaan met privacy en security is echter van groot belang, gaat Smilde verder. “Hacking is daadwerkelijk een risico voor gemeenten. En een datalek is niet alleen heel vervelend voor de betrokken burgers en medewerkers, het kan ook echt de bedrijfsvoering direct raken.” De Vries: “Komen de gegevens van medewerkers op straat te liggen, dan levert dat naast stress ook veel extra werk op om bijvoorbeeld nieuwe paspoorten en dergelijke te verzorgen. En dat kan betekenen dat de dienstverlening richting burgers voor minstens een aantal weken stil komt te liggen.”

“Blijven testen en blijven controleren, is daarom het devies”, aldus Smilde. “Niet denken dat de privacy en security in opzet goed geregeld zijn en daarmee vast en zeker goed functioneren. De rollen en verantwoordelijkheden moeten duidelijk zijn. Wie is verantwoordelijk en hoe wordt er gemonitord? Daar wil je als raad actief vanaf weten en niet pas als het uit de bocht is gevlogen. En naast de zogeheten hard controls moet er ook aandacht zijn voor de soft controls, de beheersinstrumenten die invloed hebben op het gewenste menselijke gedrag rondom privacy. Worden wachtwoorden onderling gedeeld of tikt het secretariaat weleens een e-mail uit naam van de baas? Als de soft controls niet goed op orde zijn, dan zijn de hard controls ook weinig meer waard.”
 

Andere rol, andere competenties

Een bijkomende uitdaging is de veranderende rol van gemeenten. “Vroeger hadden alle gemeenten IT in eigen beheer. Nu wordt er om de kosten te drukken veel samengewerkt. Niet alleen met andere gemeenten en provincies, maar ook met IT-leveranciers. Dat levert soms een waaier aan belangen op en het maakt de beheersing niet zelden lastig”, vertelt De Vries. “Het regiemodel vereist andere competenties.” Smilde: “Een regisseursrol is iets anders dan zelf het beleid uitstippelen, het beleid uitvoeren en tussentijds een beetje corrigeren. Het betekent vooraf duidelijke afspraken maken en bedenken hoe er tussentijds gemonitord dient te worden. Daar op sturen bij een derde partij, vraagt een andere aanpak dan gaandeweg collega’s van feedback voorzien. De regierol is een zwaardere functie. Als gemeente moet je immers het volledige speelveld overzien.” “De data zit in een keten van organisaties en de gemeente is daar een schakel in”, knikt De Vries. “Dat goed beheersen, met misschien wel een onderling verschil in kwaliteit, functionaliteit en veiligheid, is een ingewikkeld vraagstuk. Hoe volwassener je echter bent, hoe beter je de verschillende rollen kunt vervullen als gemeente. En hoe beter je de risico’s kunt beheersen.”

Blijf op de hoogte van onze updates voor Raadsleden

Did you find this useful?