| Organisatie | Zeist |
|---|---|
| Organisatietype | Gemeente |
| Officiële naam regeling | Beleidskader Misbruik en Oneigenlijk gebruik (M&O) |
| Citeertitel | Beleidskader Misbruik en Oneigenlijk gebruik (M&O) |
| Vastgesteld door | college van burgemeester en wethouders |
| Onderwerp | maatschappelijke zorg en welzijn |
| Eigen onderwerp |
Geen
Onbekend
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
|---|---|---|---|---|---|
| 22-12-2023 | nieuwe regeling | 21-11-2023 | 264942 |
1.1 Misbruik en oneigenlijk gebruik als pijler van rechtmatigheid
Rechtmatigheid, het voldoen aan wet -en regelgeving, is één van de kernbegrippen van goed overheidsbestuur. Gemeenten moeten publieke gelden rechtmatig verwerven en besteden.
Het voorkomen en bestrijden van misbruik en oneigenlijk gebruik (M&O) van gemeentelijke regelingen, middelen en eigendommen is één van de drie rechtmatigheidscriteria waarover het college met ingang van boekjaar 2023 verantwoording aflegt in de jaarrekening.
In de Kadernota rechtmatigheid 2023 opgesteld door de commissie BBV1, staat dat het M&O criterium inhoudt dat er een toetsing op juistheid en volledigheid van gegevens plaatsvindt die door derden zijn verstrekt om het voldoen aan voorwaarden aan te tonen. Dit ter voorkoming en bestrijding van misbruik en oneigenlijk gebruik van wet- en regelgeving.
Gemeentelijke regelingen kunnen gevoelig zijn voor misbruik en oneigenlijk gebruik. Dit is bijvoorbeeld het geval wanneer de verplichting om een heffing te betalen of de hoogte van een subsidie of uitkering afhankelijk is van de gegevens die mensen zelf verstrekken. Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen wordt als misbruik beschouwd. Van oneigenlijk gebruik van gemeentelijke regelingen is sprake als weliswaar in overeenstemming met de bewoordingen van de regelgeving, maar in strijd met het doel en de strekking daarvan wordt gehandeld (de 'mazen van de wet').
In de Financiële verordening 2023 welke op 18 april 2023 is vastgesteld door de raad is het volgende opgenomen in artikel 13 lid 2: ‘Het college zorgt voor en legt vast de regels voor het voorkomen van misbruik en oneigenlijk gebruik van gemeentelijke regelingen en eigendommen.’
Zeist werkt vanuit de kernwaarden vertrouwen, nabijheid en kracht. Deze kernwaarden hebben betrekking op hoe wij met onze inwoners, instellingen en bedrijven omgaan alsmede hoe wij verwachten dat zij met ons omgaan. Toch komen er ook situaties van misbruik en oneigenlijk gebruik van overheidsgelden voor. Daarvoor treft de gemeente waarborgen en maatregelen die in verhouding staan tot het risico dat wordt gelopen. Een gemeentelijk M&O beleid biedt hiervoor handvatten.
Hoe de gemeente Zeist haar waarborgen en maatregelen in de praktijk regelt om misbruik en oneigenlijk gebruik in brede zin te voorkomen, wordt in voorliggende nota bepaald. Conform de aanbeveling van de commissie BBV bevat deze nota een filosofie, algemene uitgangspunten, een risicoanalyse en maatregelen ter voorkoming en afdoening. Daarnaast wordt specifiek ingezoomd op het M&O criterium als onderdeel van de Rechtmatigheidsverantwoording.
In hoofdstuk 2 worden de uitgangspunten en doelstellingen van het M&O beleid toegelicht.
Hoofdstuk 3 geeft in algemene zin een overzicht van de te nemen beheersmaatregelen en evaluatie. In hoofdstuk 4 worden de rechtmatigheidsverantwoording en risicogebieden benoemd waarop het beleid betrekking heeft. Hoofdstuk 5 geeft aanvullend weer wat het beleid van de gemeente op het gebied van privacy, databeveiliging en ondermijning is. Bijlage 1 geeft voor de belangrijkste risicovolle processen de specifiek genomen beheersmaatregelen weer. Bijlage 2 geeft het afwegingskader voor de Rechtmatigheidsverantwoording weer.
2 Uitgangspunten en doelstellingen
Het M&O beleid is extern gericht en ziet toe op de publiekrechtelijke taakuitoefening van de gemeente. Dit wordt hieronder kort toegelicht.
M&O beleid is extern gericht, namelijk op de inwoner, instelling of organisatie die via de gemeente gebruik maakt van overheidsregelingen. Interne regelingen vallen niet onder de werking van dit beleid. Interne regelingen worden wat betreft eventueel misbruik en oneigenlijk gebruik onder het gemeentelijke fraude- en integriteitsbeleid geschaard. Hierbij kun je denken aan de 10 gedragsregels, het meldpunt klokkenluiden & integriteit en de screening van nieuw personeel.
Het M&O beleid ziet toe op de publiekrechtelijke taakuitoefening van de gemeente. Privaatrechtelijk handelen zoals bij de (ver)huur van vastgoed en gronden en de aan- en verkoop van vastgoed en gronden vormen geen onderdeel van dit beleid aangezien het geen gemeentelijke regelingen betreffen. Dit heeft zijn eigen toetsings- en handhavingskader.
M&O beleid kan zowel betrekking hebben op misbruik en oneigenlijk gevoelige regelingen met direct financiële gevolgen voor derden/belanghebbenden (bijvoorbeeld subsidies, heffingen/belastingen, uitkeringen) als regelingen die niet direct financiële gevolgen hebben (bijvoorbeeld vergunningen en ontheffingen, identiteitsbewijzen, reisdocumenten en rijbewijzen). Uit deze laatste regelingen kunnen immers op termijn ook financiële gevolgen voortvloeien voor derden/belanghebbenden. Naast misbruik van regelingen en middelen valt ook misbruik van data onder het M&O beleid (raakt aan informatiebeveiliging).
2.2 Theoretisch kader en definities
Rondom het begrip misbruik en oneigenlijk gebruik kan de nodige verwarring ontstaan. Is dit hetzelfde als fraude? Gaat dit ook over interne processen in de gemeentelijke organisatie, of heeft het alleen betrekking op externen (inwoners en organisaties) die gebruik maken van regelingen van de gemeente Zeist? Om die reden bakenen we de begrippen eerst af.
Vanuit de publicatie van Deloitte “Handboek Gemeente Governance Fraude” is het volgende plaatje afkomstig.
Dit plaatje geeft aan dat er overlap is in de begrippen. We zullen de belangrijkste begrippen hieronder behandelen zoals ze opgenomen zijn in de Kadernota Rechtmatigheid 2023 van de commissie BBV.
Misbruik is het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen. Het gaat hier dus om bewuste misleiding voor het verkrijgen van persoonlijk financieel voordeel. Misbruik van overheidsgelden wordt geregeld aangeduid met het plegen van fraude om zich onrechtmatig overheidsgelden toe te eigenen. Niet elke misstap (fout) geldt als misbruik. Bij het maken van fouten is meestal geen sprake van een opzettelijke handeling. Misleiding heeft betrekking op het bewust verborgen houden van het misbruik. Bij het bestrijden van misbruik passen beheersmaatregelen zoals misbruikpreventie, handhaving, misbruik en fraudeopsporing en sancties.
Het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen of het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid, in overeenstemming met de bewoordingen van de regelgeving maar in strijd met het doel en de strekking daarvan. Als wet- en regelgeving oneigenlijk gebruik mogelijk maakt (de mazen van de wet) is het noodzakelijk dat lokale wet- en regelgeving wordt aangepast en/of duidelijker wordt toegelicht. De beheersmaatregelen die daarbij passen zijn: handhaving, voorlichting, analyse toepassen en actualisering wet- en regelgeving.
2.2.3 Onrechtmatigheid en fraude
Onrechtmatigheid definiëren we als niet in overeenstemming met de geldende wet- en regelgeving. Fraude heeft vele betekenissen. Wij definiëren dit als het schenden van regels met als doel om een persoon of organisatie te bevoordelen. Er wordt dus onterecht geld onttrokken aan de gemeentelijke organisatie. Bij een onrechtmatigheid hoeft dit niet per definitie het geval te zijn. Misbruik moet onderscheiden worden van fraude waar medewerkers van binnen de organisatie bij betrokken zijn. Dit valt onder het fraudebegrip waar de accountant in voorkomende gevallen over rapporteert.
Het doel van het M&O beleid is misbruik en oneigenlijk gebruik van overheidsmiddelen en regelingen te voorkomen en te bestrijden. Hiervoor is duidelijke wet- en regelgeving van belang, is handhaving hiervan noodzakelijk en zijn in de interne processen beheersmaatregelen ingebouwd. Deze beheersmaatregelen worden periodiek getoetst.
Het uitgangspunt is dat uitkeringen, subsidies en vergunningen alleen naar inwoners, bedrijven en instellingen gaan die daar recht op hebben. En dat middelen die de deur uitgaan altijd getoetst worden aan geldende regelgeving.
Intern gelden integriteitsregelingen, is functiescheiding in (financiële) processen doorgevoerd en vindt collegiale toetsing plaats in risicovolle processen. Binnen het sociaal domein kennen we vanuit de landelijke wetgeving tevens een Toezichthouder rechtmatigheid Wmo/Jeugdwet en gaan we in 2023 aan de slag met het opstellen van een Beleids- en actieplan fraude en toezicht in het sociale domein.
De volgende uitgangspunten liggen ten grondslag aan het M&O beleid van Zeist. Onderstaande uitgangspunten worden gehanteerd:
2.5 Rollen en verantwoordelijkheden
Het is aan de gemeente om effectieve maatregelen te nemen om misbruik en oneigenlijk gebruik te voorkomen. Hierbij wordt gebruik gemaakt van de eisen die gesteld worden in wet- en regelgeving. Voor de eigen regelgeving bepaalt de raad zelf hoever zij wil gaan in de eisen aan misbruik en oneigenlijk gebruik in het beleid. Het college stelt het beleidskader misbruik en oneigenlijk gebruik vast en is verantwoordelijk voor de opzet, uitvoering en resultaten van het gevoerde M&O beleid. Dit beleid wordt iedere vier jaar geactualiseerd en eerder indien gewenst. Dit beleid vormt een kapstok.
De teammanager waar de betreffende regeling wordt uitgevoerd is verantwoordelijk voor de nadere invulling en integreert maatregelen in de processen. Dit bestaat uit onderkenning van risico’s, te treffen beheersmaatregelen en het afleggen van verantwoording hierover. Processen en procedures worden door de teams zelf getoetst of er voldoende deugdelijke maatregelen ter voorkoming van misbruik en oneigenlijk gebruik zijn genomen.
Daarnaast kan onafhankelijke toetsing plaatsvinden door team Control met de Verbijzonderde Interne Controle. De teammanager legt verantwoording af over de wijze waarop het M&O beleid wordt uitgevoerd en wordt nageleefd.
Zoals reeds in de inleiding is benoemd dient het college in het kader van de Rechtmatigheidsverantwoording een uitspraak te doen in hoeverre het M&O beleid ook feitelijk wordt nageleefd en of de getroffen maatregelen werken in de paragraaf Bedrijfsvoering van de jaarrekening. Hierbij zal zij gebruik maken van de intern uitgevoerde (verbijzonderde) interne controles en evaluaties. De actualiteit van het beleid is hierbij ook een aandachtspunt. Het M&O beleid dient dynamisch te zijn en afgestemd te worden op nieuwe wet- en regelgeving en specifieke ontwikkelingen.
Om misbruik en oneigenlijk gebruik van overheidsgelden te voorkomen zijn beheersmaatregelen nodig die functioneren. Het gaat er bij het misbruik en oneigenlijk gebruik criterium om dat in de organisatie effectieve maatregelen zijn getroffen om misbruik te voorkomen, dan wel op te sporen. Dat de vigerende wet- en regelgeving duidelijk is, aangepast is aan actuele omstandigheden en te handhaven is. Om dit te bewerkstellingen hebben we een mix van maatregelen nodig. Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van misbruik en fraude te treffen. Dat zijn maatregelen die sowieso worden ingezet. Daarnaast zijn extra beheersmaatregelen denkbaar om het risico van misbruik en oneigenlijk gebruik verder terug te dringen.
De gemeente Zeist heeft algemene maatregelen ter voorkoming van misbruik en oneigenlijk gebruik en specifieke beheersmaatregelen per proces. De algemene maatregelen zijn in dit hoofdstuk opgenomen.
Preventieve maatregelen zijn maatregelen die liggen vóór het moment van beschikken, betalen of
ontvangen van een voorziening, vergunning of uitkering. Preventieve maatregelen betreffen integriteitsbeleid, regelgeving, voorlichting en controle vooraf. Zij zijn gericht op het voorkomen van misbruik en oneigenlijk gebruik van regelingen.
Heldere en eenduidige regelgeving beperkt de ruimte voor misbruik en oneigenlijk gebruik. Onder regelgeving wordt verstaan: wetgeving, verordeningen, beleidsregels, nadere regels en richtlijnen van de gemeente. Adequate en handhaafbare regelgeving is een belangrijke beheersmaatregel in het kader van M&O beleid. Eisen aan de regelgeving zijn:
Wet- en regelgeving wordt door middel van voorlichting onder de aandacht gebracht van belanghebbenden (inwoners, bedrijven en instellingen). Er moet informatie worden verstrekt over het bestaan van de regeling, aard en doel van de regeling, de specifieke doelgroep, geldende voorwaarden en controle- en sanctiebeleid. Bij de voorlichting wordt aangegeven dat misbruik en/of oneigenlijk gebruik gevolgen zal hebben, dan wel worden bestraft. Van het geven van voorlichting gaat een preventieve werking uit.
Controle vooraf richt zich op de toetsing van de juistheid en volledigheid van gegevens die door derden zijn verstrekt. Er wordt gecontroleerd of de door de inwoners, bedrijven of instellingen aan de voorwaarden van bijvoorbeeld een uitkering, subsidie of vergunning wordt voldaan. De aangeleverde gegevens worden indien mogelijk en noodzakelijk geverifieerd. In beleid wordt bepaald welke controlemethoden worden gebruikt ten aanzien van de regelingen. Controles kunnen variëren van integraal (totale controle), steekproefsgewijs tot incidenteel. Hierbij is de aard en omvang (ook financieel) van de doelgroepen en hoe misbruik gevoelig een regeling is van belang. Processen waarbij gevoeligheden spelen moeten voldoende maatregelen bevatten om de tijdigheid, juistheid en volledigheid te toetsen van de verstrekte gegevens.
Repressieve maatregelen zijn maatregelen die na het moment van beschikken, betalen of ontvangen worden genomen. Het gaat om controle achteraf waarbij misbruik en oneigenlijk gebruik kan worden vastgesteld en om maatregelen en/of sancties.
Controle van gegevens achteraf wordt uitgevoerd na het uitkeren/ innen van bedragen, dan wel nadat de beschikking is verleend. Via controle achteraf kan misbruik en/of oneigenlijk gebruik worden geconstateerd, maar wordt het moeilijker de consequenties te beperken. Controles achteraf kunnen (evenals bij controles vooraf) integraal, steekproefsgewijs of incidenteel worden uitgevoerd. Manieren om te controleren kunnen zijn: verzoeken om inlichtingen, inspecties, onderzoek ter plaatse, waarneming, bevestigingen, gebruik van externe informatie, herberekeningen, cijferanalyses en het opnieuw uitvoeren van controles. Vastlegging van controle resultaten is verplicht. De resultaten van de controles kunnen leiden tot aanpassing van de regelgeving en/of het controlebeleid.
3.2.5 Maatregelen en/of sancties
Om te kunnen reageren op geconstateerd misbruik is een adequaat sanctiebeleid vereist. Dit beleid is neergelegd in de voor het desbetreffende beleidsinstrument (subsidies, belastingen, heffingen, etc.) geldende regelgeving. Sanctionering/ maatregelenbeleid moet voldoen aan de beginselen van behoorlijk bestuur. Dit houdt onder andere in dat maatregelen en sancties proportioneel moeten zijn in relatie tot het vergrijp. Uitgangspunt is dat het behaalde voordeel wordt teruggevorderd en er indien nodig een boete wordt opgelegd. Concreet kan het leiden tot terugvordering van teveel betaalde bedragen, naheffing van ten onrechte gederfde inkomsten en intrekking van een ten onrechte verstrekte vergunning. Afhankelijk van de ernst van de situatie kan aangifte gedaan worden bij de politie. Een sanctie kan ook niet-financieel van aard zijn: ontbinding van een overeenkomst, vervanging van een bestuur of intrekking van een erkenning.
Van opgelegde sancties gaat een preventieve werking uit. Ook kunnen leereffecten optreden. Van belang is dat:
Regelgeving dient periodiek te worden geëvalueerd. In deze evaluatie dient ook plaats te zijn voor de effectiviteit van de genomen maatregelen ter voorkoming van misbruik en oneigenlijk gebruik en de toereikendheid van de controlewerkzaamheden. Het M&O beleid kan hier vervolgens op worden aangepast.
4 Rechtmatigheidsverantwoording en risicogebieden
M&O beleid wordt toegepast bij regelingen waar een risico bestaat op misbruik en oneigenlijk gebruik. De hoogte van een risico is afhankelijk van de kans dat het zich voordoet en de (financiële) impact die het heeft voor de gemeente. Afhankelijk hiervan wordt de intensiteit van de inzet van beheersmaatregelen bepaald.
4.1 Processen die vallen onder het misbruik en oneigenlijk gebruik criterium
In het kader van de Rechtmatigheidsverantwoording dient het college in de jaarrekening verantwoording af te leggen over drie specifieke rechtmatigheidscriteria:
Eén van die criteria is het misbruik en oneigenlijk gebruik criterium. Het gaat hierbij om: een toetsing op de juistheid en volledigheid van gegevens die door derden zijn verstrekt in plaats vindt met het oog op het voorkomen van misbruik en oneigenlijk gebruik van regelingen. Op de andere twee criteria wordt hier niet verder ingegaan.
Zoals in paragraaf 2.1 Afbakening al is benoemd is het M&O beleid extern gericht en gaat het om overheidsregelingen. Dit betekent dat onze interne processen zoals declaraties en onze privaatrechtelijke processen zoals verhuur, grondexploitaties en de aan- en verkoop van gronden en panden buiten dit criterium voor de rechtmatigheidsverantwoording vallen. Ook fraude valt hier buiten. Toch zijn we ons er van bewust dat er ook in die processen risico’s zitten. In de volgende paragraaf staan de processen benoemd waarop het M&O beleid in het kader van de rechtmatigheidsverantwoording betrekking heeft. In het Verbijzonderde Interne Controleplan zijn in brede zin een aantal hoofdprocessen benoemd waarop toetsing op misbruik en oneigenlijk gebruik plaatsvindt. Bijlage 1 geeft globaal inzicht in de specifieke maatregelen per proces.
4.3 Rechtmatigheidsverantwoording
In hoofdstuk 2.5 is benoemd dat het college in het kader van de Rechtmatigheidsverantwoording een uitspraak dient te doen in hoeverre het M&O beleid ook feitelijk wordt nageleefd en of de getroffen maatregelen werken. Dit doet zij in de paragraaf Bedrijfsvoering van de jaarrekening. Mocht er daadwerkelijk sprake zijn van misbruik van overheidsgelden dan dient dit opgenomen te worden in de Rechtmatigheidsverantwoording in de jaarrekening indien de verantwoordingsgrens is overschreden.
Misbruik is onrechtmatig, oneigenlijk gebruik niet. Wanneer sprake is van misbruik van overheidsgelden moeten deze gelden door de gemeente worden teruggevorderd.
Wanneer misbruik van overheidsgelden is geconstateerd en een terugvordering (met eventueel een boete) is opgelegd blijft staan dat misbruik van overheidsgelden heeft plaatsgevonden. Indien de omvang van dit misbruik samen met andere financiële rechtmatigheidsfouten bij de gemeente de verantwoordingsgrens heeft overschreden, moet dit misbruik van overheidsgelden worden opgenomen in de rechtmatigheidsverantwoording.
In bijlage 2 wordt dit onderscheid nog eens schematisch weergegeven.
5 Privacy en databeveiliging en ondermijning
Misbruik en oneigenlijk gebruik heeft niet alleen betrekking op misbruik van middelen. Het kan ook gaan om misbruik van data. Dit kan inbreuk op privacy betreffen met identiteitsfraude als meest vergaande vorm. Het kan ook gaan om het lekken van vertrouwelijk informatie of persoonsgegevens. Deze onderwerpen vallen buiten de controle op het misbruik en oneigenlijk gebruik criterium voor de rechtmatigheidsverantwoording, maar kunnen (indirect) wel financiële risico’s met zich meebrengen.
5.1 Algemene Verordening Gegevensbescherming (AVG)
Om gegevens van de inwoners binnen Europa beter te beschermen, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. De AVG legt vast onder welke voorwaarden de gemeente persoonsgegevens mag verzamelen en bewaren.
Voor de uitvoering van haar wettelijke taak is informatie-uitwisseling noodzakelijk. De verwerkingen van persoonsgegevens dient plaats te vinden in overeenstemming met de AVG beginselen (waaronder rechtmatig, proportioneel en transparant). Binnen de AVG wordt gesproken over verwerkersverantwoordelijken. Denk hierbij aan samenwerkingsverbanden, leveranciers en Gemeenschappelijke Regelingen. Met hen stellen we een VWO (Verwerkers Overeenkomst) op. Om inzicht te krijgen in de risico’s van een verwerking en om indien nodig de juiste beheersmaatregelen te nemen wordt een DPIA (Data Protection Impact Assessment) uitgevoerd.
In december 2022 zijn de stukken Strategisch Informatieveiligheidsbeleid & Strategisch Privacybeleid door het college vastgesteld. Vanuit de BIO is dit een driejaarlijkse verplichting. In onze groei naar verdere professionalisering van (veilig) digitaal werken en AVG naleving bleek het noodzakelijk om een bestuurlijke visie op de digitale transformatie te bepalen. Hiervoor zijn diverse gesprekken gevoerd met als resultaat het visiedocument ‘Een goed leven in Zeist – ook digitaal’. Het visiedocument beschrijft hoe we onze Gegevensverwerking kunnen verbeteren. Waarbij we ons niet alleen richten op wat we doen, maar vooral richten op hoe we het (gedigitaliseerd) doen. Het visiedocument ‘Een goed leven in Zeist - ook digitaal’ is in juni 2023 gelijk met het jaarverslag van de Functionaris Gegevensbescherming (FG) vastgesteld.
Jaarlijks wordt door de Functionaris Gegevensbescherming verslag gedaan aan het college over alle privacy aangelegenheden en het voldoen aan de AVG. In juni 2023 is het jaarverslag van de FG vastgesteld. Als rapportcijfer kregen we in 2022 een 7: ten opzichte van andere gemeenten doen we het goed, maar we zijn er nog niet. Een van de adviezen is om het visiedocument vast te stellen en vervolgens de visie en het bijbehorende borgingsdocument (bijlage) te vertalen naar de Zeister situatie. Deze aanbeveling dient opgenomen te worden in een werkprogramma. Hierbij is het uitgangspunt dat gemeente Zeist zorgdraagt voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens, waarbij verwerking van persoonsgegevens ten dienste van de mens moet staan.
5.2 Baseline Informatiebeveiliging Overheid (BIO)
Per 1 januari 2020 is voor gemeenten de Baseline Informatiebeveiliging Overheid (BIO) van kracht geworden. De BIO is een set van maatregelen geordend van beleid, processen en procedures tot technische maatregelen die met elkaar zorgen voor een goede beveiliging van de informatie.
Bij informatiebeveiliging gaat het om drie aspecten van informatie:
Het nieuwe normenkader (de BIO) is gebaseerd op internationale richtlijnen voor informatiebeveiliging. Door het hanteren van deze internationale richtlijnen is het voor alle externe partijen duidelijk waar de gemeente aan wil voldoen. Het is hierdoor ook duidelijk wat de gemeente verwacht van externe partijen waar zij zaken mee doet.
De BIO is uitgewerkt in het Strategisch Informatieveiligheidsbeleid van Zeist, dit is vastgesteld in december 2022. Ter ondersteuning maken we gebruik van het ISMS (Information Security Management System). Dit is een instrument om te ondersteunen bij het waarborgen en besturen van informatieveiligheid (PDCA cyclus) en het uitvoeren van audits. De beleidsvoering op zowel privacy als Informatieveiligheid is erop gericht om aantoonbaar te voorzien in passende organisatorische en technische maatregelen voor een doeltreffende bescherming (van de verwerking) van persoonsgegevens. Dit vergt een risico gedreven aanpak, waarbij je kunt bepalen wat ‘passende’ organisatorische en technische maatregelen zijn.
Zoals eerder benoemd zijn in december 2022 de stukken Strategisch Informatieveiligheidsbeleid & Strategisch Privacybeleid door het college vastgesteld. Vanuit de BIO is dit een driejaarlijkse verplichting.
Jaarlijks wordt een zelfevaluatie uitgevoerd naar het voldoen aan alle BIO-normen conform de ENSIA-methodiek. Eenduidige Normatief Single Information Audit (ENSIA), landelijk vastgesteld door het Rijk en verplicht voor alle gemeenten. Het verslag van deze zelfevaluatie wordt door het college vastgesteld en ter verantwoording aan de raad gestuurd (horizontale verantwoording). Tevens wordt vanuit de ENSIA verantwoording afgelegd aan het betreffende ministerie (verticale verantwoording).
Een bijzondere vorm van misbruik is ‘ondermijnende criminaliteit’. Een exacte definitie daarvan is moeilijk in één zin samen te vatten. Grofweg betekent het de vermenging van de onderwereld en de bovenwereld, de sluipende bedreiging van de integriteit van het openbaar bestuur, overheidsambtenaren en bedrijfsleven, bedreigde bestuurders en ambtenaren, afpersingspraktijken, de innesteling van criminele elementen in buurten en woonwijken. De aanpak van georganiseerde ondermijnende criminaliteit is als speerpunt benoemd in het Integraal Veiligheidsplan van Zeist, Bunnik, Leusden en Woudenberg 2024-2027. Dit wordt verder uitgewerkt in jaarplannen.
De Wet Bevordering integriteitsbeoordelingen door het openbaar bestuur (Bibob) is een belangrijk instrument om ondermijning effectief tegen te gaan. De Wet Bibob geeft gemeenten de mogelijkheid zich te beschermen tegen het risico dat zij ongewild criminele activiteiten faciliteren. Met behulp van de Wet Bibob kunnen gemeenten onderzoeken of de persoon “met wie zij zaken doet” betrouwbaar en integer is. De gemeente Zeist heeft in 2008 een Bibob beleidslijn vastgesteld gericht op met name horeca- en omgevingsvergunningen. In voorkomende gevallen kan de wet ook worden toegepast op andere onderwerpen. Een actualisatie van de Bibob beleidslijn staat in de planning.
De gemeente Zeist heeft een Verbijzonderd Interne Controleplan 2022-2023 opgesteld. Hierin zijn opgenomen de processen die onderworpen zijn aan een (verbijzonderde) interne controle. Dit betreffen de volgende processen:
De risico’s en beheersmaatregelen ter voorkoming van misbruik en oneigenlijk gebruik zijn in de processen en de beheersmaatregelen opgenomen. Onderstaand wordt samenvattend voor de relevante processen inzicht gegeven inzake de beheersing van misbruik en oneigenlijk gebruik.
Belastingopbrengsten, Participatiewet en Parkeeropbrengsten hebben wel een (groot) materieel belang binnen de begroting. Deze administratie voert respectievelijk de BghU, Regionale Sociale Dienst Kromme Rijn Heuvelrug en ParkeerService uit. De getrouwheid en rechtmatigheid van deze processen worden beoordeeld door de door BghU, Regionale Sociale Dienst Kromme Rijn Heuvelrug en ParkeerService ingehuurde accountant en vallen hierdoor buiten de scope van dit controleplan. Het is ook aan die partijen zelf om maatregelen tegen misbruik en oneigenlijk gebruik te treffen.
Dit proces valt onder het M&O beleid. Een belangrijk risico binnen het proces inkoop en aanbesteding met betrekking tot M&O is bevoordeling van leveranciers. Voor de EU aanbestedingen en de wettelijke aanbestedingsprocedures is de afhankelijkheid van de informatieverstrekking van bedrijven relatief beperkt. Voor alles onder de EU grens geldt ons interne inkoopbeleid wat aandacht geeft aan het M&O beleid. De gemeente Zeist kent een decentrale inkoop waardoor dit mogelijke risico nog niet voldoende is gemitigeerd voor alle inkopen. Daarom wordt jaarlijks een uitgebreide spendanalyse uitgevoerd. Aanvullende opdrachten (meerwerk) en opdrachten die volledig 1 op 1 gegund worden zijn een risico. Het risico van bewuste bevoordeling wordt hierbij ondervangen door de controle op de ingekomen facturen (zie punt 2) naast interne budget- en functiescheiding.
Dit proces valt onder het M&O beleid. Het belangrijkste risico voor inkoop en betalingen met betrekking tot M&O is de bevoordeling van een leverancier. In deze notitie wordt geen aandacht besteed aan risico’s aangaande het proces betalingen. Deze risico’s zijn opgenomen binnen de frauderisico analyse en reeds nader uitgewerkt. Dit risico wordt voldoende gemitigeerd binnen de digitale factuurstraat. Er is sprake van functiescheiding en het 4-ogenprincipe zowel binnen de financiële administratie als de teams. Daarnaast vindt er vanuit de (verbijzonderde) interne controle een aantal keer per jaar een (verbijzonderde) interne controle plaats op de betaling van inkoopfacturen.
Dit proces valt buiten het M&O beleid omdat het intern gericht is. Het belangrijkste risico voor het proces personeel zijn onrechtmatige declaraties door eigen medewerkers. In dit geval is sprake van fraude en dientengevolge opgenomen in de frauderisico analyse. De (verbijzonderde) interne controle besteedt hier periodiek aandacht aan. Hierbij is een afweging tussen het financiële belang en de kosten van de controle. Deze afweging wordt ook al gemaakt bij de manier van indienen en het controleren van de declaraties zelf door de organisatie. Daarnaast zijn het in dienst- en uitdienstproces alsmede mutaties van vaste bestanddelen goed geregeld. Tevens is er controle op de juiste verwerking van premies in de salarisadministratie. Ook hier vindt jaarlijks een (verbijzonderde) interne controle op plaats.
Dit proces valt buiten het M&O beleid omdat het gaat om een privaatrechtelijke handeling. De grondexploitatie is zeer beperkt binnen de gemeente Zeist. Er is sprake van een verhoogd risico dat mogelijk gronden voor een te lage verkoopprijs worden verkocht en/of transacties met leveranciers waarbij sprake is van bewuste bevoordeling. Het risico van een te lage verkoopprijs is voldoende gemitigeerd omdat de verkoopprijzen zijn opgenomen in een grondprijzenbrief en transacties altijd vooraf door twee functionarissen worden gecontroleerd. Tevens heeft een medewerker van het team Control regelmatig overleg met planeconomen over de voortgang van het project inclusief de financiële resultaten.
Dit proces valt onder het M&O beleid. Het belangrijkste risico binnen dit proces is het verstrekken van subsidies aan organisaties die niet voldoen aan de voorwaarden opgenomen in de subsidieverordening. Dit proces maakt jaarlijks onderdeel uit van de (verbijzonderde) interne controle. Er zijn in de verordening reeds diverse maatregelen opgenomen zoals het aanleveren van een accountantsverklaring bij subsidies vanaf € 50.000 en een uittreksel KvK bij nieuwe aanvragen. Ook worden met de grote(re) instellingen regelmatig gesprekken gevoerd.
Dit proces valt buiten het M&O beleid omdat het gaat om een privaatrechtelijke handeling. De huurcontracten worden afgesloten door een leidinggevende functionaris en opgenomen in een verhuurmodule. Hierbij is sprake van een duidelijke functiescheiding en 4-ogenprincipe. Het team is wel afhankelijk van beleid van een ander team over aan wie en onder welke voorwaarden verhuurd mag worden. Het aantal mutaties van de bestaande complexen binnen de gemeente Zeist is relatief klein. Tevens vindt jaarlijks een (verbijzonderde) interne controle op dit proces plaats.
6.7 Leges begraaf- en crematierechten
Dit proces valt onder het M&O beleid. Het risico inzake M&O is dat te weinig leges aan nabestaanden in rekening worden gebracht. Het foutief invoeren van de legesverordening in de applicatie of het bewust te weinig leges in rekening brengen vallen niet onder het M&O beleid. Dit wordt echter ondervangen door het 4-ogenprincipe. De facturering wordt uitgevoerd door de BghU. Per uitgevoerde dienst wordt er een logboek bijgehouden welke door een ander persoon wordt gecontroleerd. Tevens vindt jaarlijks een (verbijzonderde) interne controle op dit proces plaats.
Dit proces valt onder het M&O beleid. Binnen het proces burgerzaken is een verhoogd risico inzake M&O daar waardepapieren worden afgegeven aan begunstigden. Bij het verstrekken van identiteitsbewijzen, reisdocumenten en rijbewijzen maakt de gemeente gebruik van gegevens uit de BRP. Deze gegevens moeten juist zijn, mede om M&O te voorkomen.
6.9 Leges omgevingsvergunningen
Dit proces valt onder het M&O beleid. Het proces omgevingsvergunningen wordt sterk beheerst waarbij alle aangevraagde vergunningen zijn opgenomen in CLO. De voortgang en de afhandeling wordt periodiek bewaakt. De facturering wordt uitgevoerd door de BghU. In het proces dient de bouwsom altijd zichtbaar onderbouwd te worden en vindt het vier ogen principe plaats. In voorkomende gevallen vindt er ook overleg met aanvrager plaats. Tevens vindt jaarlijks een (verbijzonderde) interne controle op dit proces plaats.
6.10 Sociaal domein (uitkeringen en voorzieningen)
Dit proces valt in beginsel onder het M&O beleid. De verstrekking van uitkeringen is echter volledig uitbesteed aan de Regionale Sociale Dienst Kromme Rijn Heuvelrug (RDWI). Wij ontvangen jaarlijks een managementletter en accountantsverslag over de interne beheersing waarin de onderdelen M&O zijn opgenomen. Dit valt verder buiten de reikwijdte van dit M&O beleid.
Het verstrekken van voorzieningen valt onder het M&O beleid. De gemeente Zeist is zelf verantwoordelijk voor de controle op de verstrekkingen van voorzieningen in het kader van de Wmo en Jeugdwet. Binnen dit proces is sprake van een functiescheiding tussen het behandelen van de aanvraag en de afgifte van de beschikking. Ook vindt een check op de identiteit plaats. Bij de pgb’s vindt een toets op de prestatielevering plaats, de grotere zorgaanbieders leveren een accountantsverklaring aan. Tevens vindt jaarlijks een (verbijzonderde) interne controle op dit proces plaats.
Binnen het sociaal domein kennen we vanuit de landelijke wetgeving tevens een Toezichthouder rechtmatigheid Wmo/Jeugdwet en gaan we in 2023 aan de slag met het opstellen van een Beleids- en actieplan fraude en toezicht in het sociale domein.
6.12 Single information, Single audit (SiSa)
Dit onderwerp valt buiten de scope van het M&O criterium van de rechtmatigheidsverantwoording. Gemeenten kunnen extra geld krijgen om specifiek beleid van de Rijksoverheid uit te voeren. Dit zijn specifieke uitkeringen. De verantwoording over de besteding van dit geld verloopt via de SiSa-systematiek.
Dit proces valt buiten het M&O beleid omdat het gaat om een privaatrechtelijke handeling. De verkopen van panden zijn gemandateerd aan een leidinggevende functionaris en vindt hoogstens een paar keer per jaar plaats. Opdrachtverstrekking aan makelaars en taxateurs vindt wisselend plaats (niet één iemand). Tevens vindt jaarlijks een (verbijzonderde) interne controle op dit proces plaats.
7 Bijlage 2: Schematische weergave afwegingskader misbruik en oneigenlijk gebruik
In deze bijlage2 wordt een schematische weergave gegeven van het afwegingskader dat van toepassing is bij misbruik en oneigenlijk gebruik. De blauwe/doorlopende pijlen staan voor een bevestigend antwoord. De oranje/gestippelde lijnen voor een ontkennend antwoord. De zwarte pijlen staan voor een automatisch gevolg.
Het is wettelijk vastgelegd dat gemeenten jaarlijks verantwoordingsstukken moeten opstellen. De regelgeving hieromtrent is vastgelegd in het Besluit begroting en verantwoording (BBV). In het BBV is opgenomen dat er een commissie is met als taak zorg te dragen voor een eenduidige uitvoering en toepassing van het BBV.