Verstrikt in compliancy in de digital decade?


Gemeenten krijgen te maken met steeds meer wet- en regelgeving. Een aantal wetten met veel impact zijn inmiddels al van kracht, zoals de Wet open overheid (Woo), de AI Verordening en de Omgevingswet. Andere wet- en regelgeving zijn in aantocht, waaronder de vernieuwde Archiefwet, de NIS2 en de Wet modernisering elektronisch bestuurlijk verkeer (Wmebv). Al deze wetten hebben een groot digitaal component; daarom worden de komende jaren ook wel de digital decade genoemd. Hoewel deze wet- en regelgeving allemaal andere, en vaak nieuwe, kwaliteitseisen met zich meebrengen voor gemeenten, hebben ze één deler gemeen: kennis van de (primaire) processen is van belang om deze wetten goed te kunnen implementeren binnen de eigen organisatie.

Wetgevingsradar

Steeds meer specialisten

Vanwege deze gigantische toename in wet- en regelgeving zien we ook een toename in specialistenrollen bij gemeenten, mede omdat het soms ook een wettelijke eis is om deze rollen aan te stellen. Deze specialisten houden zich expliciet bezig met een deel van de wet- en regelgeving. Zo zijn er niet alleen meer juristen in dienst, maar bijvoorbeeld ook een CISO, privacy officer, ENSIA-coördinator en Woo-coördinator. Ook zijn er binnen afdelingen meer specialismes bijgekomen: Communicatie buigt zich niet langer alleen over goede communicatie, maar ook over de toegankelijkheid daarvan. En de informatie-afdeling dijt steeds verder uit met specialisten op bijvoorbeeld het gebied van datamanagement en leveranciersmanagement.

Deze specialisten stellen allemaal “hun” eigen pakket van wettelijke eisen op, dat zij vervolgens bij de business neerleggen. Helaas zijn deze kwaliteitseisen vaak niet goed geïntegreerd in de bestaande processen; ze zijn los van de primaire processen ontstaan. Hierdoor ontstaat er een kloof tussen de specialisten, die wet- en regelgeving vertalen naar kwaliteitseisen binnen de organisatie, en de afdelingen die de eisen moeten uitvoeren. Dit kan leiden tot verschillende negatieve patronen:

  • De afdeling doet haar best om te voldoen aan alle eisen, maar slaagt hier niet in. Ze verliest het overzicht en ziet haar processen uitdijen en projecten uitlopen, omdat er met allerlei kaders rekening gehouden moet worden. Het werk wordt steeds ingewikkelder, administratiever en onoverzichtelijker. Processen kunnen meer tijd kosten doordat er met meer verschillende eisen rekening moet worden gehouden. Dit kan zorgen voor een verhoogde werkdruk en verlamming op de werkvloer.
  • Of de afdeling haakt juist af en probeert de specialisten zoveel mogelijk te negeren. Wanneer er vragen komen van de specialisten, legt de afdeling de bal terug: de specialisten moeten hun eigen problemen oplossen. De specialisten raken op hun beurt gefrustreerd of zelfs overwerkt, omdat ze veel te veel hooi op hun vork nemen.

Samenwerking is de sleutel

Als gemeenten op de huidige voet verder blijven gaan, zal dit probleem enkel accelereren. Er komen de komende jaren nog meer nieuwe wetten met nieuwe eisen en nieuwe specialisten die deze eisen gaan uitdragen. Tegelijkertijd is de verwachting dat gemeenten over minder financiële middelen gaan beschikken. Kortom, gemeenten staan voor een grote uitdaging. Wat kun je nog doen om de nieuwe ontwikkelingen in wet- en regelgeving bij te benen en de kwaliteit van je informatie over de hele linie te verbeteren?

Wij adviseren binnen de gemeente met drie zaken te starten om steeds beter te worden in de omgang met wet- en regelgeving bij digitalisering:

  1. Eigenaarschap voor compliancy op de juiste plek
  2. Meer samenwerking tussen de specialisten
  3. De informatiemanager als brugfunctie

Eigenaarschap op de juiste plek

Het implementeren van wet- en regelgeving moet uiteindelijk gebeuren op de werkvloer. Daarbij is honderd procent compliancy een utopie; de organisatie heeft immers maar beperkt middelen en wet- en regelgeving kunnen elkaar tegenspreken. Gemeenten zullen daarom moeten besluiten welke risico’s zij wel en niet willen lopen en welke maatregelen zij moeten nemen.

Deze risico’s moeten worden bepaald in de context van de werkvloer. Risico’s zijn immers niet theoretisch; kennis van de dagelijkse gang van zaken is essentieel. Daarom moet het eigenaarschap voor het risicomanagement bij het management van deze gemeentelijke processen worden gelegd. Zij zijn de aangewezen personen om goed overzicht te hebben en houden van de risico’s van hun processen en hierop te (laten) handelen.

Betekent dat dat de specialist alles ‘over de schutting’ mag gooien? Nee, dat werkt niet, om twee belangrijke redenen:

  1. Afdelingsmanagers hebben in het begin vaak hulp en kennis nodig om risico’s in hun processen te onderkennen. Het ontbreekt hen aan bewustzijn. Specialisten helpen hen met bewustwording: samen met de werkvloer brengen ze de risico’s in kaart. Ook kunnen ze helpen met uitleggen welke maatregelen er al op organisatieniveau bestaan, bijvoorbeeld vanuit de ICT-voorzieningen.
  2. Afdelingsmanagers zullen niet continu op de hoogte kunnen blijven van nieuwe ontwikkelingen. Nieuwe kennis en externe ontwikkelingen op het terrein van bijvoorbeeld algoritmes, privacy en informatiehuishouding kunnen specialisten delen met de eigenaren om nieuwe risico’s te onderkennen en af te wenden. 

Overigens is het belangrijk om te beseffen dat eigenaren soms het eigenaarschap niet goed kunnen pakken, omdat ze onvoldoende mandaat of ruimte hebben om dit te doen. Ze kunnen ook bang zijn om afgerekend te worden op hun keuzes door de onveilige cultuur van een gemeente. Eigenaarschap op de juiste plek leggen begint dus niet bij de specialisten, maar bij het creëren van de juiste cultuur.

Meer samenwerking tussen de specialisten – en de aanjagende rol van de CIO

De eigenaren hebben dus hulp nodig van de specialisten. Hiervoor is het belangrijk dat er een multidisciplinaire samenwerking ontstaat tussen alle specialisten van de gemeente. De eigenaren hebben namelijk eenduidige richtlijnen nodig voor alle kwaliteitseisen waar zij mee te maken hebben, en die kunnen pas ontstaan op het moment dat specialisten over de grenzen van hun eigen vakgebied heen kijken en met elkaar het gesprek aangaan om de overeenkomsten te vinden. Dat betekent ook dat ze belangenafwegingen moeten maken: soms moeten ze hun eigen specialisme aan de kant zetten voor het grotere goed.

Digitaal leiderschap is hierbij extreem belangrijk, bijvoorbeeld door de CIO. De CIO is immers de aanjager van de digitale transitie binnen de organisatie over de hele linie, dus ook over alle kwaliteitsaspecten. De CIO heeft binnen de hierboven beschreven uitdaging drie taken:

  1. Het uitdragen van eenduidig, volledig beleid rondom alle digitaliseringsaspecten in de organisatie.
  2. Het stimuleren en organiseren van samenwerking tussen specialisten.
  3. Het neerzetten van de informatiemanager in de rol van brugfunctie tussen de specialisten en de business.

De specialisten moeten samenwerken om het werk van het primaire proces makkelijk te maken, zodat zij het “in één keer” goed kunnen doen. Zorgen voor goed ingerichte ondersteunde processen die voldoen aan wet- en regelgeving is dus een gezamenlijk doel van de specialisten.

Kader: specialisten lijken meer op elkaar dan gedacht
Veel gemeenten zien onderwerpen als informatiebeveiliging, Woo, privacy en informatiebeheer als aparte takken van sport die om een eigen specialisme en een eigen aanpak vragen. Er zijn echter heel veel overeenkomsten!

- Het specialisme gaat over bepaalde kwaliteitseisen die de digitalisering en informatievoorziening raken.
- Bewustwording en (toenemende) zelfredzaamheid van medewerkers en management zijn essentieel.
- Risico’s en maatregelen moeten binnen de processen bepaald en uitgevoerd worden.
- De specialisten moeten adviserend, faciliterend en/of toetsend optreden, maar zijn expliciet niet operationeel.
- Het werk van de specialist is nooit klaar: er zijn continue ontwikkelingen, nieuwe risico’s en afwegingen om te maken.
- Het echte gesprek dat de specialist heeft, gaat over waarden: wat vind de organisatie belangrijk? Het gaat niet over informatiebeveiliging, maar over bedrijfscontinuïteit; niet over de AVG, maar over het beschermen van de gegevens van inwoners; niet over de Woo, maar over het belang van een transparante overheid.

De informatiemanager als brugfunctie

De afstand tussen de specialisten en de business kan groot zijn, ook als de specialisten meer gaan samenwerken. Zij hebben iemand nodig die die afstand kan overbruggen en de vertaalslag goed kan maken. Steeds meer overheidsorganisaties stellen hiervoor informatiemanagers of -adviseurs aan. Zij zijn de brug tussen IT, de specialisten en de afdelingen. Vaak zijn informatiemanagers gekoppeld aan één domein, waar zij adviseren over de hele breedte van informatievoorziening en ICT. Zij gebruiken het integrale, eenduidige beleid dat onder de CIO door de specialisten is ontwikkeld. Wanneer nodig schakelen de informatiemanagers specialisten binnen de organisatie in, bijvoorbeeld wanneer een project met nieuwe technologie vraagt om een nieuw beleid op het gebied van privacy, informatiebeveiliging en AI.

Doordat de specialisten beter zijn gaan samenwerken, zullen zij geen tegenstrijdige eisen opleggen aan de afdelingsmanagers. En als dat tóch een keer gebeurd, kan de informatiemanager de rol van bemiddelaar op zich nemen om op zoek te gaan naar een oplossing die werkt voor de verschillende specialisten en de afdeling. Door de organisatie op deze manier in te richten blijft de verantwoordelijkheid bij de lijn liggen, maar wordt zij geholpen met de onderwerpen waar haar kennis beperkt over is: het voldoen aan de steeds groter en specifieker wordende hoeveelheid wet- en regelgeving.

Voorbereid de digital decade in

Bij veel gemeenten en intergemeentelijke organisaties, van klein tot groot, zijn de specialisten een geïsoleerde groep met een grote afstand tot het primair proces. De nadelen hiervan zijn inmiddels bekend, en de effecten hiervan zullen enkel vergroten in de digital decade. Het is daarom tijd om een nieuwe organisatorische basis te leggen waar nieuwe wet- en regelgeving succesvol op kan worden geïmplementeerd.

De veranderingen die wij hierboven beschrijven zullen niet vandaag of morgen zijn ingevoerd. Toch dringen we gemeenten aan om snel te beginnen met deze organisatieverandering. In de komende jaren zal de druk om kwaliteit goed in te bedden binnen de organisatie alleen nog maar hoger worden. Start dus nog vandaag het gesprek met de specialisten en de proceseigenaren: hoe gaan wij de uitdagingen aan die de digital decade met zich meebrengt? Door vandaag te beginnen, garandeer je de kwaliteit van morgen!



Terug naar het overzicht

Krijg grip op uw ICT-project of -programma met de Risico Radar

De Risico Radar maakt u bewust van mogelijke faalfactoren én biedt u passend advies en handreikingen om tijdig bij te sturen.

Naar de Risico Radar

Gerelateerde publicaties