KPI verslag

Met de wet Revitalisering Generiek Toezicht (RGT) vanaf 1 oktober 2012  veranderde het toezichtregime inzake de Archiefwet. De invoering van deze wet betekende een forse verandering in van het interbestuurlijk toezicht op de uitvoering door gemeenten van onder meer de Archiefwet 1995. Het specifieke toezicht door de provincies is vervangen door generiek toezicht op de gemeentelijke archiefketen op basis van de Gemeentewet. Het sturende toezicht vooraf is vervangen door een meer terughoudend toezicht achteraf. Dit noemt men ‘horizontale verantwoording’: het college van B en W moet zich in de eerste plaats verantwoorden voor de uitvoering van taken aan de gemeenteraad. De provincies maken gebruik van dezelfde informatie bij de uitoefening van het toezicht.

Gemeenten kunnen kiezen voor een jaarlijkse of tweejaarlijkse cyclus, een keuze die wordt vastgelegd in de Archiefverordening. Hiervoor wordt een KPI verslag opgesteld. Deze VNG handreiking biedt meer informatie.

ENSIA

Vermindering van interbestuurlijke toezichtlasten was ook de insteek om het project ENSIA op te starten. in de VNG-resolutie ‘Informatieveiligheid, randvoorwaarde voor de professionele gemeente’ hebben de gemeenten ook een oproep gedaan aan de rijksoverheid om de verantwoordingslast over informatieveiligheid te verminderen. De ministeries van BZK, SZW, I&M en de VNG organiseren samen het verantwoordingsstelsel over informatieveiligheid volgens het ENSIA-principe (Eenduidige Normatiek Single Information Audit). Met ENSIA zijn de afzonderlijke audits en verantwoording voor Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling (PUN), Digitale persoonsregistratie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (Suwi) opgenomen in één verantwoordingssystematiek. Deze gaat uit van de BIG en aansluiting bij de gemeentelijke P&C-cyclus. Het gemeentebestuur heeft hierdoor meer inzicht in de stand van zaken van de informatieveiligheid, kan beter sturen op informatieveiligheid en kan er verantwoording overafleggen aan de gemeenteraad. Gemeenten zijn geïnformeerd met een ledenbrief in maart 2017.

Op hoofdlijnen ziet het ENSIA-verantwoordingsproces er  als volgt uit:

• Gemeenten voeren vanaf juli 2017 een zelfevaluatie informatieveiligheid uit;
• Het college stelt een collegeverklaring op;
• Een IT-auditor controleert de collegeverklaring en stelt een assurance-rapport op;
• Het college van B&W rapporteert in een paragraaf van het jaarverslag over 2017 over de informatieveiligheid;
• De gemeenteraad controleert de informatieveiligheid van de gemeente en stelt de jaarstukken vast in 2018.

Overeenkomsten tussen KPI verslag en ENSIA

Beide werkwijzen zijn voortgekomen om de toezichtlasten vanuit de provincie en rijk voor gemeenten te verminderen en de rol van de gemeenteraad te versterken. Naast deze overeenkomst is er ook een overlap tussen hoofdstuk 3.9 van het KPI verslag en de verantwoording van ENSIA.

Het kan raadzaam zijn om voor de opstellers, de ENSIA coördinator en de gemeentearchivaris/archiefinspecteur vooraf af te stemmen. Althans dat is  de werkwijze waarvoor wij zelf hebben gekozen.

Maar er leiden meerdere wegen naar Rome, dus ervaringen zijn welkom.