Nota Misbruik en oneigenlijk gebruik 2023-2026 gemeente Buren

1. Inleiding

Met de invoering van de nieuwe rechtmatigheidsverantwoording wordt de toets op misbruik en oneigenlijk gebruik een van de voorwaarden waaraan het college de uitvoering van haar taken toetst op rechtmatigheid. Daarmee komt dit onderwerp nog nadrukkelijker op de agenda van college en gemeenteraad. Dit overkoepelend beleid is daarmee een onderdeel van het toetsingskader bij de uit te voeren interne audits. De accountant doet bij de controle nog wel een uitspraak in hoeverre misbruik en oneigenlijk gebruik wordt voorkomen en bestreden en of de getroffen maatregelen werken.

Deze nota misbruik en oneigenlijk gebruik gaat over het geheel van maatregelen dat we als organisatie nemen om misbruik en oneigenlijk gebruik van wet- en regelgeving zoveel mogelijk te voorkomen en de gevolgen ervan te beperken. Deze maatregelen hebben betrekking op wet- en regelgeving, voorlichting, controlebeleid, sancties en evaluatie. Gemeentelijke regelingen zijn gevoelig voor misbruik en oneigenlijk gebruik. Gevoeligheid treedt bijvoorbeeld op:

• -

  Wanneer iemand aanspraak maakt op een uitkering;

• -

  wanneer iemand de verplichting heeft om een heffing te betalen;

• -

  wanneer de hoogte van een uitkering of heffing afhankelijk is van gegevens die een belanghebbende zelf moet verstrekken.

Maar ook functionarissen van een organisatie kunnen in de verleiding of positie komen om handelingen te verrichten of juist na te laten om daarmee persoonlijk gewin te behalen. Hierbij kan sprake zijn van fraude. Daarom moeten we door het treffen van bepaalde maatregelen zoveel mogelijk voorkomen dat misbruik en oneigenlijk gebruik plaatsvindt en/of dat we dit tijdig ontdekken. Onjuist gebruik van gemeentelijke regelingen vindt overigens niet altijd bewust plaats. In veel gevallen is onjuist gebruik het gevolg van gebrekkige kennis van de regels en processen.

Deze nota moet u zien als een soort paraplu over het bestaande beleid. De uitwerking vindt namelijk plaats binnen de specifieke regelingen en bijbehorende verordeningen en processen. De meeste regelingen zelf al gebonden aan wettelijke eisen en minimumnormen voor het nemen van maatregelen ter bestrijding van fraude en misbruik. Wij moeten vanzelfsprekend aan deze wettelijke eisen voldoen. Maar wij moeten ook voldoen aan overkoepelende wettelijke eisen zoals de privacywetgeving, die beperkend kunnen werken.

Een adequate inrichting en uitvoering van dit beleid draagt bij aan een goede interne beheersing en aan het in control zijn van de organisatie. Bij het vastleggen van de processen in Engage[1] bepalen we aan welk beleid (intensiteit) we moeten voldoen en we toetsen hier jaarlijks via de (verbijzonderde) interne controle op.

Deze nota actualiseren we eens in de vier jaar of eerder als daar specifieke aanleiding voor is. Actualiseren is van belang voor het op orde houden van de maatregelen ter bestrijding van misbruik en oneigenlijk gebruik en voor het alert houden van de organisatie.

[1] Softwarepakket waar we onze procesbeschrijvingen in vastleggen.

Leeswijzer

Hoofdstuk twee betreft een beschrijving van relevante begrippen, de uitgangspunten en de doelstellingen. In hoofdstuk drie gaan we in op de relatie met rechtmatigheid en integriteit. Vervolgens geeft hoofdstuk vier inzicht in de mogelijke beheersmaatregelen en schetsen we in hoofdstuk vijf een beeld hoe we het beleid waarborgen, uitvoeren en verantwoorden. In hoofdstuk zes geven we een overzicht van de specifieke risicogebieden in Buren. Ook het verschil in intensiteit van de maatregelen wordt uitgelegd en hoe we deze toepassen op de specifieke risicogebieden. Tot slot gaan we in hoofdstuk 7 verder in op de privacy en gegevensbeveiliging. Misbruik en oneigenlijk gebruik heeft niet alleen betrekking op misbruik van middelen. Het kan ook gaan om misbruik van data.

2. Definities, afbakening, doelstellingen en uitgangspunten

Definities

De commissie BBV[2] heeft in de kadernota Rechtmatigheid de volgende definities van misbruik en oneigenlijk gebruik (M&O) opgenomen. De commissie zorgt voor eenduidige uitvoering en toepassing van het BBV door decentrale overheden.

[2] De regelgeving voor de begroting en de jaarstukken is vastgelegd in het Besluit begroting en verantwoording. De commissie heeft als doel nadere duiding te geven aan deze regelgeving.

Misbruik

Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens. Het doel is ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of het niet of minder betalen van heffingen aan de overheid.

Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van informatie betreft een bewuste misleiding om een onrechtmatig of onwettig voordeel te behalen. Misbruik kan gelijk worden gesteld met het plegen van fraude om zich onrechtmatig overheidsgelden toe te eigenen. Niet elke misstap (fout) geldt als misbruik. Bij het maken van fouten is er meestal geen sprake van een opzettelijke handeling. Daarnaast is het begrip misleiding van betekenis in deze definitie. Misleiding heeft betrekking op het bewust verborgen houden van het misbruik.

Oneigenlijk gebruik

Het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen. Maar ook het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid wat wel in overeenstemming is met de bewoordingen van de regelgeving. Beide zijn dan in strijd met het doel en de strekking daarvan.

Bij oneigenlijk gebruik wordt feitelijk gehandeld in overeenstemming met wet- en regelgeving. Daarmee zijn dergelijke handelingen niet onrechtmatig. Wel is sprake van het in strijd handelen met het doel en de strekking ervan. Indien de wet- en regelgeving oneigenlijk gebruik mogelijk maakt (de “mazen van de wet”) is het blijkbaar noodzakelijk dat de wet- en regelgeving wordt aangepast en/of duidelijker moet worden toegelicht.

Misbruik is dus onrechtmatig, oneigenlijk gebruik niet.

M&O-beleid

Bij processen, waarbij M&O-gevoeligheden spelen, moeten we voldoende maatregelen nemen om de tijdigheid, juistheid en volledigheid te toetsen van de door belanghebbende verstrekte gegevens. M&O-maatregelen moeten we verankeren in de administratieve organisatie. We moeten weloverwogen keuzes maken over het gebruik van de verschillende instrumenten ter voorkoming van M&O.

M&O-gevoeligheden

Van M&O-gevoeligheid is sprake als we afhankelijk zijn van gegevens van derden. Gegevens van derden kan je definiëren als gegevens afkomstig van natuurlijke of rechtspersonen buiten de gemeentelijke organisatie. Onder een M&O-gevoelige regeling verstaan we een regeling waarbij de aanspraak op een uitkering, de verplichting om een heffing te betalen en/of de hoogte van de heffing of uitkering afhankelijk is van gegevens die door de belanghebbende zelf worden verstrekt. Dit heeft dus met name betrekking op financiële aanspraken en/of lasten.

Binnen een organisatie kunnen zich bij het uitvoeren van M&O-beleid ook integriteitsproblemen voordoen die uiteindelijk tot misbruik en/of fraude leiden. Bijvoorbeeld via samenspanning met de aanbesteder/ aanvrager (familie), steekpenningen en dergelijke. Dit kan in financiële zin hetzelfde effect hebben als bijvoorbeeld een door derden bewust onjuist ingediende subsidieaanvraag.

Fraude

Fraude is een vorm van bedrog. De zaken worden anders voorgesteld dan ze zijn, door op papier of digitaal een onjuiste weergave te geven van de werkelijkheid. 

Afbakening

M&O-beleid is zowel extern als intern gericht. Namelijk op de inwoner, een instelling of organisatie die gebruik maakt van overheidsregelingen en de eigen medewerker. We hanteren een brede definitie van M&O-gevoelige regelingen, namelijk zowel regelingen met directe financiële gevolgen voor derden/belanghebbenden (denk aan subsidies, heffingen/belastingen, uitkeringen), als regelingen die niet directe financiële gevolgen hebben (bijvoorbeeld vergunningen en ontheffingen, identiteitsbewijzen, reisdocumenten en rijbewijzen). Uit deze laatste regelingen kunnen immers op termijn ook financiële gevolgen voortvloeien voor derden/belanghebbenden.

Doelstelling M&O-beleid

Het doel is tweeledig. In eerste instantie is het doel M&O van gemeentelijke regelingen te voorkomen (preventief beleid). In tweede instantie ligt de focus op het achteraf controleren, zo nodig het bijstellen van beleidskaders en het repareren of zelfs bestraffen van M&O (repressief beleid).

Het is van belang om vast te stellen dat we in de bedrijfsvoering effectieve maatregelen treffen om misbruik te voorkomen dan wel tijdig op te sporen en daarnaast dat de wet- en regelgeving duidelijk en te handhaven is. Op dit moment maken specifieke (beheers)maatregelen in het kader van M&O-beleid al onderdeel uit van de diverse processen van de gemeente. Het is wenselijk om overkoepelende algemene kaders vast te leggen in een nota M&O-beleid. De redenen hiervoor zijn:

• -

  Vanuit de financiële verordening volgt het M&O-beleid. Met dit beleid stelt de raad lokaal kaders waarbinnen het college de uitvoering vorm geeft. Het betreft kaders voor de opzet, uitvoering, controle en evaluatie van het M&O-beleid.

• -

  Vastleggen van algemeen M&O-beleid draagt niet alleen bij aan transparantie en consistentie van gemeentelijk beleid. Het is ook behulpzaam bij het maken van afwegingen in hoeverre extra beheersmaatregelen en controles benodigd en tegelijkertijd doeltreffend zijn. Maatregelen die veel geld en energie kosten voorkomen we als ze slechts beperkt financieel nut opleveren.

• -

  De werking van beheersmaatregelen en interne controle is voor een belangrijk deel afhankelijk van de integriteit van medewerkers. Het is mogelijk dat in de contacten tussen medewerkers en belanghebbenden bestaande procedures en interne controles onvoldoende effectief zijn. Het is dan ook goed om in aanvulling op reguliere beheersmaatregelen alert te zijn op deze risico’s.

• -

  Een wettelijk kader voor de invulling en uitvoering van M&O-beleid ontbreekt. Het is alleen een gegeven dat M&O een rechtmatigheidscriterium is en dat wettelijke eisen in specifieke regelingen zijn opgenomen. Wel heeft het Platform Rechtmatigheid Provincies en Gemeenten zwaarwegende adviezen opgesteld. Gemeenten stellen hun eigen beleid vast.

Uitgangspunten

Voor het M&O-beleid gelden de volgende algemene uitgangspunten:

• -

  We werken vanuit een basishouding van vertrouwen in een juiste omgang met gemeentelijke regelingen door inwoners, instellingen/bedrijven en de organisatie van de gemeente.

• -

  Maatregelen die we treffen ter bevordering van een juist gebruik van gemeentelijke regelingen zijn proportioneel. Dat wil zeggen dat zij in verhouding staan tot de risico’s die we lopen.

• -

  De betrouwbaarheid van aangeleverde informatie, afgezet tegen een mogelijk optreden van risico’s, is bepalend voor de mate van controle en sanctionering.

• -

  Voorkomen is beter dan genezen. De inzet van beleid en maatregelen is primair gericht op preventie van M&O van gemeentelijke regelingen.

• -

  De van derden ontvangen gegevens worden indien mogelijk gecontroleerd.

• -

  Eventuele overtredingen worden na melding of signalering zo snel mogelijk (nader) onderzocht door de verantwoordelijk medewerker. Het overtreden mag niet lonen. Na constatering van een overtreding herstellen we de onrechtmatige situatie zo snel mogelijk. Ook wordt het financieel voordeel weggenomen en indien mogelijk een boete opgelegd.

• -

  Er is aandacht voor de menselijke maat. Het toepassen van de menselijke maat en het maken van uitzonderingen is mogelijk. We leggen dan uit waarom de menselijke maat is toegepast.

• -

  Voor de activiteiten van het domein/team is de manager primair verantwoordelijk voor het nemen van maatregelen ter voorkoming van M&O van regelingen en de controle.

• -

  De manager legt verantwoording af aan de algemeen directeur over de wijze waarop het M&O-beleid wordt uitgevoerd en nageleefd. De algemeen directeur ziet erop toe dat de managers deze taak oppakken en dat de risico’s tijdig worden besproken.

• -

  Op kritische processen voeren we verbijzonderde interne controles uit, waarbij we de genomen beheersingsmaatregelen toetsen.

• -

  De nota actualiseren we iedere vier jaar vanwege gewijzigde wetgeving en onze ervaringen.

3. Relatie met rechtmatigheid en integriteit

Rechtmatigheid

M&O is één van de drie criteria van rechtmatigheid. Het heeft een relatie met rechtmatigheid, in die zin dat misbruik een onrechtmatige handeling is, maar bij oneigenlijk gebruik is dat niet het geval. Bij oneigenlijk gebruik wordt feitelijk gehandeld in overeenstemming met wet- en regelgeving. Daarmee zijn dergelijke handelingen niet onrechtmatig. Wel is sprake van handelen in strijd met het doel en de strekking van de wet- en regelgeving.

Integriteit

Bij M&O gaat het om derden van buiten de organisatie die gebruik maken van regelingen en/ of bezittingen van de gemeente en is dus extern gericht. Integriteit richt zich op de eigen organisatie en medewerkers en is intern gericht. Bij de interne gerichtheid kijken we naar ons eigen handelen en maken we gebruik van ons Integriteitsbeleid en de ambtseed inclusief gedragscode.

Ons integriteitsbeleid

Dit beleid is vastgelegd in ons Integriteitsbeleid gemeente Buren 2021. Integriteit in onze gemeente betekent voor onze medewerkers zorgvuldig, uitlegbaar en standvastig handelen:

• -

  Zorgvuldig betekent dat je jezelf steeds blijft afvragen of je het juiste doet. Je kijkt hierbij kritisch naar jezelf en naar jouw verantwoordelijkheden.

• -

  Uitlegbaar betekent dat je kunt uitleggen dat wat jij doet, het juiste is. Daarmee bedoelen we dat het past bij je verantwoordelijkheden en taken en bij de kernwaarden, regels, wetten en andere bindende voorschriften van de gemeente.

• -

  Standvastig betekent dat je ook de juiste keuzes maakt als dat moeilijk is. Als de verleiding groot is om een oogje dicht te knijpen. Of als je veel weerstand merkt op jouw beslissingen.

Om dat te bereiken is het belangrijk dat iedereen weet wat er van hem of haar wordt verwacht. En dat we zorgvuldig om gaan met situaties waarin mensen zich niet integer gedragen. Dit alles staat in eerder genoemd integriteitsbeleid. Instrumenten die het integriteitsbeleid ondersteunen zijn:

Aanspreken en handhaven

Een integriteitsbeleid alleen is niet voldoende. Beleid uitdragen, draagvlak maken en handhaven is minstens zo belangrijk. Het gaat erom dat we allemaal bewust blijven van onze integriteit. Hierin heeft iedereen zijn eigen verantwoordelijkheid.

We doen het volgende om te zorgen dat dit onder de aandacht blijft.

• -

  We bespreken integriteit met medewerkers die de ambtseed afleggen;

• -

  we besteden er aandacht aan in het cultuurtraject: Het huis van Buren;

• -

  managers bespreken het integriteitsbeleid met hun domein of team;

• -

  managers spreken met medewerkers over integriteitskwesties in de gesprekscyclus;

• -

  jaarlijks plaats HR een bericht op intranet.

Niet-integer handelen kan grote gevolgen hebben. Houdt een medewerker zich niet aan het integriteitbeleid? Of worden andere regels overtreden door niet-integer handelen? Dan kunnen we een arbeidsrechtelijke maatregel opleggen, waaronder ontslag. Dit kan ook gebeuren door dingen die in privétijd worden gedaan. Wordt een wet overtreden? Dan doen we hiervan altijd aangifte bij de politie.

Melden Vermoeden Misstand (voorheen: klokkenluiden)

Als er een vermoeden is van een misstand die niet in een cultuur van openheid besproken kan worden, dan vragen we de medewerker dit kenbaar te maken of bij zijn/haar manager, vervangend manager of bij de vertrouwenspersoon, maar het hoe dan ook op tafel te leggen. We promoten het intern melden. Extern kan ook. We zijn aangesloten bij het onderzoeksbureau Huis voor Klokkenluiders via de VNG.

4. Beheersmaatregelen

Bepaalde regelingen en processen (of onderdelen daarvan) kunnen het risico van M&O met zich meedragen. Dat is in het bijzonder het geval als er sprake is van afhankelijkheid van gegevens die derden aan de gemeente verstrekken. Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van fraude en misbruik te treffen. Dat zijn maatregelen uit landelijke wetgeving en lokale regelgeving die sowieso worden ingezet. Daarnaast zijn extra beheersmaatregelen denkbaar die het risico van M&O verder terugdringen.

Beheersmaatregelen die intern zijn gericht zijn ook relevant. Het gaat dan om zaken zoals functiescheiding, toegangsrechten tot applicaties, regelmatige controle daarvan, het vastleggen van gebeurtenissen in logins, en rapportages over deze maatregelen. We maken hierbij een onderscheid tussen preventieve en repressieve maatregelen (of een mix daarvan).

4.1 Preventieve maatregelen

Preventieve maatregelen zijn maatregelen die liggen vóór het moment van beschikken, betalen of ontvangen van een voorziening, vergunning of uitkering. De preventieve maatregelen betreffen regelgeving, voorlichting en controle vooraf.

Regelgeving

De ruimte voor M&O van regelingen beperken we via het vaststellen van heldere en eenduidige regelgeving zoals verordeningen, nadere regels, beleidsregels en richtlijnen van de gemeente. Goede handhaving op regelgeving is een belangrijke beheersmaatregel.

Daarbij zijn een aantal aandachtspunten van belang:

• -

  Eenvoud, inzichtelijkheid en begrijpelijkheid;

• -

  formuleer heldere, eenduidige definities en duidelijke bepalingen;

• -

  voorkom mogelijke tegenstrijdigheden en overbodige bepalingen;

• -

  rechten, plichten en voorwaarden zijn opgenomen;

• -

  probeer de afhankelijkheid van gegevens die afkomstig zijn van derden te verminderen;

• -

  omschrijf nauwkeurig het doel en de doelgroep van de regeling;

• -

  repareer regelgeving als blijkt dat oneigenlijk gebruik mogelijk is;

• -

  neem een verwijzing op naar controle- en sanctiebeleid in de regelgeving;

• -

  ingangsdata en overgangsregels zijn in de regeling opgenomen.

Voorlichting

Via voorlichting brengen we inwoners, bedrijven en instellingen op de hoogte van het bestaan en de inhoud en toepassing van gemeentelijke regelgeving. Voorlichting bevat ook informatie over de consequenties van misbruik en fraude, inclusief mogelijke sancties. Op deze wijze draagt voorlichting bij aan het voorkomen van M&O. Actieve voorlichting over het M&O-beleid via de gemeentesite en doelgroepgerichte brochures werkt stimulerend op de naleving van regelgeving. Ook interne voorlichting en communicatie over integriteitbeleid en gedragscodes helpt misbruik en fraude te voorkomen.

Controle vooraf

Controle in de uitvoering is een middel om te signaleren of er sprake is van M&O. Mogelijke M&O- gevallen nemen we zo vroegtijdig waar. Controle vooraf van gegevens wordt uitgevoerd tot aan het moment van betaling of verlening van de beschikking en is een preventieve maatregel.

Controle vooraf richt zich op het toetsen van gegevens die door belanghebbenden zijn verstrekt. Zo gaan we na of inwoners, bedrijven of instellingen aan de voorwaarden voldoen van bijvoorbeeld een subsidie of een vergunning. Hierbij geldt het vier-ogen-principe.

Controles vooraf hebben een belangrijke "poortwachterfunctie" en leiden tot het verkleinen van het risico op M&O. De meeste aandacht geven we aan de regelingen en processtappen waar de risico’s het grootst zijn. Het uitvoeren van een risicoanalyse is behulpzaam bij de bepaling daarvan. Overigens maken preventieve controles ook onderdeel uit van de reguliere werkprocessen.

4.2 Repressieve maatregelen

Repressieve maatregelen zijn maatregelen die we nemen na het moment van beschikken, betalen of ontvangen. Het gaat hierbij om controle achteraf waarbij we M&O kunnen vaststellen en de te nemen sanctie.

Controle achteraf

Controle achteraf wordt uitgevoerd na het uitkeren/innen van bedragen, dan wel verstrekken van een beschikking. Controle achteraf is een repressieve maatregel. In het kader van M&O-beleid richt controle zich op het toetsen van gegevens die door belanghebbenden zijn verstrekt door bijvoorbeeld inspecties, waarnemingen, cijferanalyses, verzoek om inlichtingen en dergelijke.

Interne controles vallen hier ook onder. Hierbij wordt periodiek beoordeeld of we conform de interne procedures werken en of transacties getrouw en rechtmatig tot stand zijn gekomen. In de verbijzonderde interne controle (VIC) is expliciet aandacht voor M&O.

De invulling van de repressieve controle is afhankelijk van verschillende factoren, zoals aard en omvang van de doelgroep en het mogelijke risico op M&O. Bij M&O-gevoelige regelingen is inzicht in de controleresultaten via adequate vastlegging van de controleresultaten van belang. De resultaten van de controle leiden zonodig tot aanpassing van het controlebeleid of de regelgeving.

Sanctionering

Sancties moeten voldoen aan de norm van redelijkheid en billijkheid. Dat wil onder andere zeggen dat de opgelegde sanctie niet te hoog is in relatie tot het vergrijp. Het uitgangspunt is dat we tenminste het behaalde voordeel terugvorderen en indien nodig een boete opleggen. Dat betekent terugvordering van teveel betaalde bedragen, naheffing van ten onrechte gederfde ontvangsten en intrekking van een onterecht verstrekte vergunning. In geval van misbruik doen we aangifte.

Van sanctionering gaat een afschrikeffect uit en het draagt bij aan het voorkomen en beperken van misbruik van gemeentelijke regelingen.

5. Waarborgen in beleid, uitvoering en verantwoording

Voor activiteiten die vatbaar zijn voor M&O geven we hieronder handvatten om in verschillende stadia in processen waarborgen in te richten, ter voorkoming of vermindering van het risico op M&O. Onder andere beleidsmakers, beleidsuitvoerders, juristen, inkopers en adviseurs hanteren dit als richtsnoer bij hun werkzaamheden.

We kiezen dus voor een procesmatige benadering. Hierbij wordt een aansluiting gezocht bij de Plan, Do, Check, Act (PDCA) cyclus. Deze cyclus is gericht op continue verbetering. We onderkennen in pro- cessen zeven stappen ter voorkoming van M&O, te weten:

• 1.

  Beleidsvoorbereiding

• 2.

  Regelgeving

• 3.

  Uitvoering

• 4.

  Verbijzonderde interne controle (VIC)

• 5.

  Maatregelen en/of sancties

• 6.

  Verantwoording

• 7.

  Evaluatie/ bijsturen

Hieronder worden de stappen verder toegelicht.

Beleidsvoorbereiding

In de planfase stellen we beleid op en bereiden we verordeningen of regelingen (regelgeving) voor. Medewerkers moeten zich in dit stadium van het beleidsproces al afvragen of er sprake is van een voor M&O gevoelig beleidsterrein. In ons zaakregistratiesysteem bouwen we hier een checklist voor in. Bij het opstellen van de verordeningen en regelingen zorgen we ervoor dat we de kans op M&O zo klein mogelijk maken.

Regelgeving

Regelgeving moet dus zo min mogelijk ruimte bieden voor M&O. Dit bereiken we door heldere definities, een nauwkeurige omschrijving van doel en doelgroep en het opnemen van rechten, plichten en voorwaarden. In de regelgeving nemen we ook op welke maatregelen en/of sancties worden toegepast bij het vaststellen van M&O. Vervolgens dienen in beschikkingen of bijlagen hierbij altijd (indien van toepassing) de volgende punten te worden vermeld: rechten, plichten, voorwaarden en mogelijke maatregelen of sancties. Een verwijzing naar de verordening en/of regeling mag ook.

Uitvoering

M&O speelt met name bij die activiteiten waarbij de informatie van derden/ belanghebbenden van groot belang is voor het verlenen of vaststellen van uitkeringen, subsidies, vergunningen, heffingen en belastingen. Processen waarbij gevoeligheden spelen, moeten voldoende maatregelen bevatten om de tijdigheid, juistheid, volledigheid en prestatielevering te toetsen van de door belanghebbende verstrekte gegevens. Hoe we dit organiseren leggen we vast in procesbeschrijvingen. Regelmatig wordt door verantwoordelijken getoetst of wordt gewerkt conform de procesbeschrijvingen. Deze checks worden zichtbaar vastgelegd.

We zorgen ervoor dat een medewerker goed nagaat of aan de toetsingsvoorwaarden is voldaan. De ter toetsing aangeleverde gegevens worden – indien mogelijk – gecontroleerd aan andere bronnen. Deze toetsing wordt ook vastgelegd. Voordat wordt beschikt en/of uitbetaald, controleert een andere medewerker of deze werkzaamheden zichtbaar, volledig en juist zijn uitgevoerd (vier-ogen-principe).

Op deze wijze worden toereikende controles uitgevoerd op het waarborgen van de getrouwheid en rechtmatigheid.

Verbijzonderde interne controle (VIC)

Zoals hierboven beschreven zijn de belangrijkste beheersmaatregelen opgenomen in de dagelijkse uitvoering van het management en monitoring daarvan. In controltermen praten we dan over de eerstelijns control. De VIC toetst daarnaast periodiek in de tweede lijn de opzet, het bestaan en de werking van interne beheersmaatregelen ter voorkoming van M&O. Dit doen we op basis van een risico gedreven controleaanpak. Basis hiervoor is het door het college jaarlijks vast te stellen auditplan, waarin duidelijk aandacht is voor M&O. Over de uitvoering van het auditplan wordt jaarlijks gerapporteerd aan managementteam en college. De bevindingen en aanbevelingen die ontstaan uit de onderzoeken monitoren we per kwartaal via de verbeteragenda.

Maatregelen en/ of sancties

Om te kunnen reageren op geconstateerd M&O, is een toereikend pakket aan maatregelen en sancties vereist dat aansluit op de regelgeving. Als norm hierbij hanteren we dat minimaal het behaalde voordeel wordt weggenomen. Afhankelijk van de ernst van de situatie, doen we in voorkomende gevallen aangifte. Door voorlichting over en het strikt toepassen van maatregelen en/of sancties bereiken we een preventieve werking.

Verantwoording

Om inzicht te krijgen in de wijze waarop we het M&O-beleid uitvoeren en naleven, leggen we verantwoording af. Dit realiseren we door aan te sluiten bij de reguliere planning- en controlcyclus. De raad stelt hierbij de verantwoordingsgrenzen vast. De accountant betrekt de verantwoording/verklaring, inclusief de nadere toelichting in de paragraaf bedrijfsvoering, in zijn oordeel over de getrouwheid van de jaarstukken. In het kader van de verantwoording nemen we in ieder geval de volgende stappen:

• -

  In de jaarrekening nemen we de rechtmatigheidsverantwoording/-verklaring op.

• -

  In de paragraaf Bedrijfsvoering in de begroting nemen we informatie op over het M&O-beleid.

• -

  In de jaarrekening nemen we verantwoordingsinformatie op over het M&O-beleid.

• -

  Bij het verrichten van interne controles en audits besteden we aandacht aan het M&O-beleid.

• -

  Bij het opstellen van procesbeschrijvingen houden we rekening met M&O-gevoelige aspecten.

Evaluatie/bijsturen

We gebruiken de bevindingen en aanbevelingen in de VIC rapportages en het accountantsverslag om van te leren en het beleid en uitvoering hiervan verder te verbeteren. M&O-gevoelige regelingen en deze nota evalueren we in ieder geval eenmaal per vier jaar.

6. Risicogebieden ingedeeld naar risico-indeling

M&O-beleid passen we toe bij regelingen waar een risico bestaat op M&O. Bij de VIC moet een volledig en actueel overzicht aanwezig zijn van de M&O-gevoelige verordeningen, regelingen en processen. De VIC is het meest aangewezen organisatieonderdeel om dit overzicht te beheren, omdat dit onderdeel uitmaakt van het interne controleplan en de uitvoering daarvan. Afhankelijk van de misbruikgevoeligheid van een regeling bepalen we de intensiteit van de inzet van beheersmaatregelen. In dit hoofdstuk benoemen en onderbouwen we de intensiteit van de inzet van M&O-beleid. Daarna beschrijven we de risicogebieden (processen) waarop M&O-beleid van toepassing is en welke intensiteit we toepassen.

6.1 Risico-indeling M&O-beleid 

Basis M&O-beleid

Wanneer sprake is van basis M&O-beleid zijn geen aanvullende maatregelen noodzakelijk ter bestrijding van risico’s rond M&O. Een voorwaarde hierbij is dat reguliere maatregelen op het gebied van de administratieve organisatie en interne controle (AO/IC)[3] toereikend zijn en goed functioneren. Basisbeleid wil vanzelfsprekend niet zeggen dat we geen standaard controles op M&O doen.

Gematigd M&O-beleid

Er is sprake van gematigd M&O-beleid als enige waakzaamheid bij een regeling geboden is. Gematigd beleid leidt tot het nemen van aanvullende maatregelen in de preventieve en voorwaardenscheppende sfeer. Een voorbeeld is het (extra) kritisch beoordelen van de onderbouwing van informatie die door een aanvrager is aangeleverd en de herkomst van door derden aangeleverde gegevens.

Streng M&O-beleid

Bij streng M&O-beleid volstaan reguliere maatregelen op het gebied van de AO/IC niet. Reguliere maatregelen zijn bijvoorbeeld het aanbrengen van functiescheidingen binnen processen en het uitvoeren van periodieke interne controles. Voor regelingen die vallen onder streng beleid zijn ter bestrijding van het risico van M&O specifieke en aanvullende (controle)maatregelen noodzakelijk. Aan de ene kant gaat het om maatregelen in de preventieve en voorwaardenscheppende sfeer. Aan de andere kant betreft het maatregelen in de repressieve sfeer, zoals het frequenter uitvoeren van steekproeven en strikter handhaven.

[3] De administratieve organisatie bestaat uit de processen, procedures, werkinstructies en taken, verantwoordelijkheden en bevoegdheden binnen onze organisatie. In de Interne Controle bekijken we alle onderdelen: kloppen ze nog wel? Lopen we niet te veel risico? En hoe kunnen we risico’s afvangen?

6.2 Risicogebieden

Het risico op M&O is vooral aanwezig bij regelingen en activiteiten waarbij de informatie van andere partijen dan de gemeente bepalend is voor het verlenen en vaststellen van (de hoogte van) voorzieningen, subsidies, heffingen, belastingen en vergunningen.

Daarnaast is het M&O-beleid ook gericht op de interne werking en uitvoering van ingestelde M&O-maatregelen. Bij de uitvoering van het M&O-beleid kunnen zich namelijk ook binnen de organisatie- problemen voordoen die uiteindelijk tot fraude kunnen leiden. M&O door medewerkers van de gemeente kunnen in financiële zin tenminste dezelfde effecten hebben als bijvoorbeeld een bewust onjuist ingediende subsidieaanvraag.

In de gemeente Buren is een aantal aandachtsgebieden of processen aangemerkt als M&O-gevoelig, op basis van de geschetste interne en externe risicofactoren. Dat wil zeggen dat het voorkomen van M&O specifiek op dat gebied van belang wordt geacht. Het betreft regelingen waarbij derden een aanmerkelijk (financieel) belang hebben en waarbij we in grote mate afhankelijk zijn van door diezelfde derden verstrekte gegevens. Het betreft de volgende aandachtsgebieden:

Verstrekken van uitkeringen (streng M&O beleid)

Risico: verstrekking van een uitkering aan een cliënt die hier geheel of gedeeltelijk geen recht op heeft.

Inkomensoverdrachten vinden plaats in het kader van werk en inkomen[4] (Participatiewet en aanverwante regelingen[5]). Het betreft openeinderegelingen waarbij een cliënt die aan de voorwaarden voldoet de gevraagde uitkering of dienstverlening verkrijgt. Het risico van een onbetrouwbare gegevensverstrekking is groot vanwege de sterke persoonlijke belangen van iemand bij de uitkering of de dienstverlening. Dit terwijl de gegevensverstrekking bepalend is voor het vaststellen van het recht op en de hoogte en duur van de inkomenscompensatie. Om die reden geldt ten aanzien van inkomensoverdrachten een streng M&O-beleid.

Verstrekken voorzieningen Wmo en Jeugdwet (streng M&O beleid)

Risico: een zorgaanbieder die geen of minder zorg levert dan op de inkoopfactuur is opgenomen.

Met de Wet maatschappelijk ondersteuning (Wmo) en de Jeugdwet verstrekken we individuele voorzieningen wanneer de cliënt aan bepaalde voorwaarden voldoet. Ook zorgspecialisten, huisartsen en gecertificeerde instellingen (jeugdbescherming/reclassering) verstrekken voorzieningen die wij vervolgens betalen. Dit zijn open-einde-regelingen. De informatieverstrekking door de belanghebbende is van belang voor het vaststellen van recht, hoogte en duur van de voorziening. Ook zijn we afhankelijk van informatie van zorgaanbieders over door hen geleverde zorg. Voor deze uitvoering is streng M&O-beleid van toepassing. Beide regelingen betreffen gemeentelijke taken waarmee veel geld is gemoeid.

Verstrekken van subsidies (gematigd M&O beleid)

Risico: subsidieontvanger krijgt geld waar geheel of gedeeltelijk geen recht op is en/of waarvoor de afgesproken prestaties geheel of gedeeltelijk niet zijn geleverd.

Subsidies verstrekken we alleen op basis van de geldende subsidieverordening(en). We zijn hierbij grotendeels afhankelijk van de betrouwbaarheid van de door instellingen verstrekte gegevens. Gelet op het aanmerkelijke financiële belang dat soms met subsidieverlening is gemoeid (we verstrekken namelijk een paar hoge subsidiebedragen), voeren we gematigd M&O-beleid uit.

[4] Schuldhulpverlening valt hier niet onder. Er is geen risico op M&O, omdat er geen gemeentelijk geld aan te pas komt. Om toezicht te houden passen we wel een VIC toe. Het betreft meer een kwaliteitscontrole op de processen in plaats van een risicoafdekking.

[5] Besluit bijstandverlening zelfstandigen (Bbz), minima-regelingen, de IOAZ en de IOAW e.d.

Inkoop en aanbesteding (gematigd M&O beleid)

Risico:

- bestelling van een zaak door medewerker voor eigen gebruik voor rekening van de gemeente.

- bestelling voor een te hoge prijs door medewerker bij een voor hem/ haar bekende partij.

Bij inkoop en aanbesteding is meestal sprake van een aanzienlijk financieel belang. In het gemeentelijk inkoopbeleid besteden we aandacht aan specifieke M&O-maatregelen, zoals criteria voor eerlijke mededinging. Verder zijn in het beleid kaders, drempelwaarden en daaraan gekoppelde procedures vastgesteld. Elementen op het gebied van de AO/IC nemen we hierin eveneens op. We nemen in ons inkoopbeleid de algemene beginselen van behoorlijk bestuur in acht.

Het inkoopproces voeren we uit via het ‘gecoördineerde inkoopmodel’. Lijnverantwoordelijken zijn binnen de afgesproken kaders qua budget en procedurekeuze verantwoordelijk voor de eigen inkoop en aanbesteding. We hebben inkoopondersteuners die kunnen helpen bij het inkoopproces. Een aanbestedingsjurist bij de Regio Rivierenland kunnen we benaderen voor juridische ondersteuning. Op basis van bovenstaande voeren we gematigd M&O-beleid.

Integriteit rond relaties (gematigd M&O beleid)

Risico: medewerker/ bestuurder gunt iets aan derden om er zelf (privé) beter van te worden.

De integriteit van medewerkers en bestuurders in de contacten met belanghebbenden is een punt van aandacht. Het integriteitbeleid inclusief gedragscode is behulpzaam bij het voorkomen van integriteit-schendingen en biedt handvatten voor medewerkers in de omgang en samenwerking met relaties van de gemeente. In de preventieve sfeer zijn aanvullende maatregelen genomen en in de organisatie ingebed. Extern doet een bureau een integriteitsonderzoek bij de aanstelling van een nieuw college. Bij nieuwe raadsleden vragen we een VOG op (= wettelijk). Vanwege de impact van integriteitschendingen gaan we niet over tot basisbeleid.

Vergunningverlening en handhaving (gematigd M&O-beleid)

Risico:

- het verstrekken van onjuiste informatie of het beïnvloeden van de beoordelende ambtenaar.

- belangenverstrenging vanwege de relatief kleine gemeente en medewerkers die in de gemeente werken/wonen.

We hebben de uitvoering van dit proces neergelegd bij Omgevingsdienst Rivierenland (ODR). Wij hebben zelf nog wel een rol bij gevoelige dossiers. Denk hierbij aan het wijzigen van bestemmings-plannen of de afweging om wel of niet te handhaven. Het proces vergunningverlening en handhaving is M&O-gevoelig. Bij dit proces kan sprake zijn van grote publieke belangen met mogelijk (indirect) financiële gevolgen. Ook heeft een aanvrager een sterke afhankelijkheid ten opzichte van de gemeente voor het verkrijgen van een vergunning. De financiële stroom die met vergunningverlening gepaard gaat is echter in het algemeen minder groot. De ODR voert zelf de controle uit op de berekende leges. Wij voeren een controle uit op de jaarlijkse totaalopbrengst van de leges.

Toezicht en handhaving van de APV voeren we zelf uit. Hier is de gevoeligheid voor M&O beperkt. Op grond van bovenstaande informatie komen we tot het voeren van gematigd M&O-beleid.

Identiteitsbewijzen, reisdocumenten en rijbewijzen (gematigd M&O beleid)

Risico: ontvreemden van reis- en/of waardedocumenten. 

Bij de verstrekking van identiteitsbewijzen, reisdocumenten en rijbewijzen maken we gebruik van de gegevens uit de Basisregistratie Personen (BRP). De gegevens in het BRP moeten juist zijn, mede om M&O van genoemde documenten te voorkomen. Een gematigd M&O-beleid is derhalve nodig.

Belastinginkomsten (gematigd M&O-beleid)

Risico:  

- ondernemers dragen bewust te weinig verblijfsbelasting af.

- kwijtschelding aan een cliënt/oninbaar verklaren vordering van een burger die hier geheel of gedeeltelijk geen recht op heeft.

Heffing en invordering van belastingen en rechten vindt plaats op basis van objectieve gegevens die we bijvoorbeeld verkrijgen via het bevolkingsregister, het kadaster en taxateurs. Functiescheiding als interne maatregel vormt een waarborg tegen M&O. Bij bepaalde belastingen zijn we wel afhankelijk van gegevensverstrekking door belanghebbenden (verblijfsbelasting). Ook de procedure van kwijtschelding is risicogevoelig, omdat we hier sterk afhankelijk zijn van de juistheid van inkomensregelingen. Hier zijn aanvullende M&O-maatregelen nodig en daarmee een gematigd M&O-beleid.

Leerlingenvervoer (gematigd M&O beleid)

Risico: onterechte vergoeding, omdat het kind niet in de gemeente verblijft en ouders die kinderen in de praktijk minder naar school brengen met de auto dan opgegeven.

We voeren met leerlingenvervoer een gematigd M&O-beleid. Op grond van de Verordening Leerlingenvervoer worden (individuele) bijdragen verstrekt voor vervoer. In deze verordening leggen we vast aan welke voorwaarden derden moeten voldoen en welke informatie men moet overleggen. De beoordeling van informatie en toetsing aan de voorwaarden vindt plaats bij de beoordeling van de aanvraag. Indien nodig vragen we aanvullende informatie op. Om misbruik van de regeling te voorkomen, voeren we diverse controles uit zoals verblijfplaats check en functiescheiding bij toekenning.

Personeelslasten (basis M&O beleid)

Risico: opvoeren fictieve medewerker, opvoeren hoger salaris, onjuiste declaratie etcetera.

Het proces personeelslasten controleren we via de interne controle. Belangrijke onderdelen daarbij zijn de controle op een kopie ID en het aangaan van formele arbeidsovereenkomsten, inclusief vaststelling van het salaris door de gemandateerde medewerker. Voor (on)kostenvergoedingen ligt dat genuanceerder, maar is in het algemeen het financiële belang beperkt. Met betrekking tot personeels-lasten wordt daarom geen specifiek M&O-beleid noodzakelijk geacht; het basisbeleid volstaat.

Facturatie/ betalingsproces (basis M&O beleid)

Risico:

- betaling inkoopfactuur, waarvoor geen aantoonbare prestatie is geleverd (nepfactuur).

- medewerker boekt geld over naar eigen rekening of die van een tussenpersoon.

Facturatie controleren we via de interne controle. Belangrijke controles zijn: gegevens van de (nieuwe) crediteur en volledigheid factuur. We hebben organisatiebreed bepaald op welke taken we een prestatieverklaring willen zien. Vanwege de kleine omvang van het team voeren we een bankenanalyse uit op alle betalingen. Mits de organisatie op orde is, zijn geen bijzondere risico’s aan de orde. Daarom vinden we specifiek M&O-beleid niet noodzakelijk; basisbeleid volstaat.

7. Privacy en gegevensbeveiliging

M&O heeft niet alleen betrekking op misbruik van middelen. Het kan ook gaan om misbruik van data. Dit kan inbreuk op privacy betreffen met identiteitsfraude als meest vergaande vorm. Het kan gaan om het lekken van vertrouwelijke informatie of persoonsgegevens.

Algemene Verordening Gegevensbescherming (AVG)

Om persoonsgegevens van de inwoners binnen Europa beter te beschermen, is vanaf 25 mei 2018 een nieuwe Europese privacywet van kracht, namelijk de Algemene Verordening Gegevensbescherming (AVG). Voorbeelden van persoonsgegevens zijn: naam, adres, geboortedatum, BSN, medische informatie en geloofsovertuiging. De AVG legt vast dat persoonsgegevens alleen verzameld en bewaard mogen worden als daar een wettelijke grondslag voor is en zo lang dat strikt noodzakelijk is. We houden een register bij met een beschrijving van de gemeentelijke processen en de persoonsgegevens die we daarin verwerken. Als andere organisaties persoonsgegevens verwerken in opdracht van ons maken we hierover afspraken en leggen we dit vast in een (verwerkers)overeenkomst. Voor nieuwe of gewijzigde processen kunnen we een data protection impact assessment (dpia) uitvoeren.

We hebben een functionaris gegevensbescherming aangesteld, evenals een privacy officer en een Chief Information Security Officer (CISO).

Baseline Informatiebeveiliging Overheid (BIO)

Informatiebeveiliging is de verzamelnaam voor de processen die ingericht worden om de betrouwbaarheid van gemeentelijke processen, de gebruikte informatiesystemen en de daarin opgeslagen gegevens te beschermen tegen M&O. Hierbij is de Baseline Informatiebeveiliging Overheid (BIO) het belangrijkste kader. Vanaf 1 januari 2020 is deze van kracht. De BIO vervangt de bestaande baselines informatieveiligheid voor Gemeenten, Rijk, Waterschappen en Provincies: de BIG, BIR, BIR2017, IBI en BIWA zijn allen vervangen door de BIO. Hiermee ontstaat één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op de internationaal erkende en actuele ISO-normatiek. De uitwerking van dit kader is vastgelegd in het gemeentelijk informatiebeveiligingsbeleid.

8. Wet bevordering integriteitsbeoordelingen door het openbaar bestuur (Bibob) 

Middels de Wet Bibob kunnen we voorkomen dat we onbedoeld medewerking verlenen aan misbruik van vergunningen, subsidies, vastgoedtransacties of bijvoorbeeld aanbestedingsopdrachten. Met een Bibob-onderzoek beoordelen we wat de kans is dat er strafbare feiten gepleegd gaan worden of dat de vergunning gebruikt wordt om met strafbare feiten verdiend geld wit te wassen. Garantie dat de aanvrager toch van plan is om de vergunning te misbruiken is er nooit. De toepassing van deze wet is uitgewerkt in een Bibob beleidsregel gemeente Buren.

9. Ondermijning

Een bijzondere vorm van misbruik is ondermijnende criminaliteit. Een exacte definitie is moeilijk in een zin samen te vatten. Grofweg betekent het de vermenging van de onderwereld en de bovenwereld, de sluipende bedreiging van de integriteit van het openbaar bestuur, overheidsambtenaren en bedrijfsleven, bedreigde bestuurders en ambtenaren, afpersingspraktijken, de innesteling van criminele elementen in buurten en woonwijken en/of het ontstaan van ‘vrijplaatsen’. In de gemeente Buren zetten we ons samen met onze ketenpartners in om ondermijnende criminaliteit tegen te gaan. Per casus bekijken we welke instrumenten van welke partner we het beste kunnen inzetten om het gestelde doel te bereiken. In samenwerking met ketenpartners werpen we daarnaast barrières op om georganiseerde criminaliteit te bestrijden. We verwijzen verder naar het Integraal Veiligheidsbeleid 2020-2023 Samen voor Veiligheid van de gemeente Buren.