Notitie Voorkomen van Misbruik en Oneigenlijk gebruik (M&O) gemeente Heemstede 2021

Geldend van 18-11-2021 t/m heden

Intitulé

Notitie Voorkomen van Misbruik en Oneigenlijk gebruik (M&O) gemeente Heemstede 2021

Hoofdstuk 1 Inleiding

1.1 Misbruik en Oneigenlijk gebruik (M&O)

Rechtmatigheid is één van de kernbegrippen van een goed overheidsbestuur. Burgers en bedrijven moeten erop kunnen vertrouwen dat de gemeente publieke gelden rechtmatig verwerft en besteedt.

Op grond van artikel 213 van de Gemeentewet voert de accountant, naast de gebruikelijke controle naar de getrouwheid van de jaarrekening van de gemeente, een toets uit op de financiële rechtmatigheid. Rechtmatigheid houdt in dat wet- en regelgeving wordt nageleefd. Het betreft niet alleen externe wet- en regelgeving (Europees, nationaal, provinciaal), maar ook gemeentelijke regelgeving. Het gaat hierbij zowel om inkomsten als uitgaven van de gemeente.

Eén van de rechtmatigheidscriteria, die zijn verankerd in het Besluit Accountantscontrole Decentrale Overheden (BADO), is het misbruik en oneigenlijk gebruik criterium. Bij de rechtmatigheidscontrole van de jaarrekening gaat de accountant na of de gemeente over interne procedures beschikt die opzettelijk misbruik en oneigenlijk gebruik van gemeentelijke gelden zoveel mogelijk ondervangen of voorkomen. Gemeentelijke regelingen kunnen gevoelig zijn voor misbruik en oneigenlijk gebruik. Dit is bijvoorbeeld het geval als de verplichting om een heffing te betalen of de aanspraak op een uitkering afhankelijk is van gegevens die mensen zelf verstrekken. Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen wordt als misbruik beschouwd. Van oneigenlijk gebruik van gemeentelijke regelingen is sprake als weliswaar in overeenstemming met de bewoordingen van de regelgeving, maar in strijd met het doel en de strekking daarvan wordt gehandeld (de 'mazen van de wet').

In de Financiële verordening gemeente Heemstede 2018, vastgesteld in de raad van december 2017, is in artikel 19 het volgende hierover vastgelegd: ”Het college zorgt voor en legt vast de regels voor het voorkomen van misbruik en oneigenlijk gebruik van gemeentelijke regelingen en eigendommen”.

Voorop staat het vertrouwen van de gemeente in een goed gebruik door inwoners en instellingen/bedrijven van gemeentelijke financiële regelingen. Dit uitgangspunt sluit ook aan bij het actuele maatschappelijke debat, waarbij gemeentelijk optreden in een juiste verhouding moet staan tot eventuele fouten of een onjuist gebruik. Maar er komen ook situaties van misbruik en oneigenlijk gebruik van overheidsgelden voor. Daarvoor moet de gemeente waarborgen en maatregelen treffen, die in verhouding moeten staan tot het risico dat wordt gelopen. Een gemeentelijk M&O beleid biedt hiervoor handvatten. Uitkeringen, subsidies en vergunningen gaan alleen naar inwoners, bedrijven en instellingen die daar recht op hebben.

Middelen die de deur uitgaan worden dan ook altijd getoetst aan geldende regelgeving. Intern gelden integriteitsregelingen, is functiescheiding in (financiële) processen doorgevoerd en vindt collegiale toetsing plaats.

Naar verwachting zal op basis van nieuwe landelijke wetgeving, het college zich vanaf het verslagjaar 2022 rechtstreeks over de rechtmatigheid verantwoorden aan de raad in de jaarrekening (“de rechtmatigheidsverantwoording”). De externe accountant voert vervolgens alleen nog een controle uit op getrouwheid van die verantwoording. In de paragraaf bedrijfsvoering van de begroting en rekening wordt de raad op de hoogte gehouden over de invoering van deze nieuwe wetgeving.

1.2 Een overkoepelend nota

In deze nota worden de belangrijkste uitgangspunten, die ten grondslag liggen aan de bestaande maatregelen ter voorkoming en bestrijding van misbruik en oneigenlijk gebruik van gemeentelijke regelingen, beschreven. Deze overkoepelend nota biedt handvatten voor controle en sancties, benoemt welke risicogebieden er zijn en hoe M&O beleid in de bedrijfsvoering is vorm gegeven door middel van het treffen van beheersmaatregelen.

De notitie bevat op zich geen nieuwe regels, maar is dus de tot op heden ontbrekende kapstok boven het reeds bestaande beleid. Er wordt inzichtelijk gemaakt wat er geregeld is op M&O gebied binnen Heemstede. De uitwerking van het overkoepelend M&O beleid vindt plaats in de specifieke regelingen, verordeningen en processen. De meeste regelingen zijn gebonden aan wettelijke eisen en minimumnormen voor het nemen van maatregelen ter bestrijding van fraude en misbruik.

1.3 Leeswijzer

In hoofdstuk 2 worden de doelstelling en de algemene uitgangspunten van het M&O beleid belicht. Hoofdstuk 3 geeft een overzicht van de bestaande M&O beheersmaatregelen. Hoofdstuk 4 benoemt de risicogebieden waarop het beleid betrekking heeft. In hoofstuk 5 wordt aanvullend ingegaan op het gemeentelijk beleid op het gebied van privacy en databeveiliging, en ondermijning. Deze onderwerpen vallen overigens buiten de strekking van het misbruik en oneigenlijk gebruik criterium, maar kunnen (indirect) wel financiele risico’s met zich meebrengen. Het laatste hoofdstuk 6 is gewijd aan de rapportage en verantwoording in de gemeentelijke P&C cyclus.

Hoofdstuk 2 Doelstelling en uitgangspunten

Zoals aangegeven in hoofdstuk 1 moet de aanleiding voor het opstellen van een overkoepelend gemeentelijk M&O beleid vooral gezocht worden in de wettelijke verplichting om over de rechtmatigheid van de verantwoorde baten, lasten en balansmutaties verantwoording af te leggen in de jaarrekening.

2.1 Definitie: Misbruik en oneigenlijk gebruik

De commissie Besluit Begroting en Verantwoording (BBV) omschrijft de begrippen misbruik en oneigenlijk gebruik als volgt:

Misbruik:

“Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen”.

Bij misbruik van overheidsgelden is er sprake van het plegen van fraude om zich onrechtmatig overheidsgelden toe te eigenen. Bij fraude passen beheersmaatregelen zoals fraudepreventie, handhaving, fraudeopsporing en sancties.

Oneigenlijk gebruik:

“Het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen of het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid, in overeenstemming met de bewoordingen van de regelgeving maar in strijd met het doel en de strekking daarvan”.

Bij oneigenlijk gebruik wordt feitelijk gehandeld in overeenstemming met wet- en regelgeving. Daarmee zijn dergelijke handelingen niet onrechtmatig. Wel is sprake van het in strijd handelen met het doel en de strekking van wet- en regelgeving. Bij oneigenlijk gebruik passen beheersmaatregelen zoals handhaving, voorlichting, analyse toepassing en actualisering wet- en regelgeving.

Misbruik is dus onrechtmatig, oneigenlijk gebruik niet.

In deze definities gaat het met name over misbruik en oneigenlijk gebruik door inwoners en bedrijven (extern gericht). In deze notitie nemen we ook het mogelijk misbruik en oneigenlijk gebruik door medewerkers mee (interne gerichtheid).

2.2 Doelstelling

Het M&O beleid heeft tot doel het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van overheidsgelden. Daarmee bestaat het uit preventief beleid als repressief beleid. Bij M&O beleid is met name van belang om vast te stellen dat in de bedrijfsvoering effectieve maatregelen zijn getroffen om misbruik te voorkomen dan wel tijdig op te sporen, en dat daarnaast de wet- en regelgeving duidelijk en te handhaven is.

M&O beleid draagt bij aan transparantie en consistentie van gemeentelijk beleid. Het maakt ook mogelijk dat afwegingen worden gemaakt welke beheersmaatregelen nodig en doeltreffend zijn, afgezet tegen de inspanning die zij kosten en het financieel nut ervan. Beheersmaatregelen in het kader van M&O teneinde de betrouwbaarheid van door derden verstrekte gegevens te controleren gaan soms verder dan reguliere interne controles. M&O beleid identificeert ook zwakke plekken in de administratieve organisatie en interne controle.

2.3 Uitgangspunten

De volgende uitgangspunten liggen ten grondslag aan het M&O beleid van Heemstede.

  • 1.

    De gemeente werkt vanuit een basishouding van vertrouwen in een juiste omgang met gemeentelijke regelingen door inwoners en instellingen/bedrijven van Heemstede.

  • 2.

    Maatregelen die worden getroffen ter bevordering van een juist gebruik van gemeentelijke regelingen zijn proportioneel. Dat wil zeggen dat zij in verhouding moeten staan tot de risico’s die worden gelopen.

  • 3.

    Voorkomen is beter dan genezen. De inzet van beleid en maatregelen is primair gericht op preventie van misbruik en oneigenlijk gebruik van gemeentelijke regelingen.

  • 4.

    Beheersmaatregelen worden ingezet op basis van een analyse van de risico's en na afweging van de kosten en de baten.

  • 5.

    De beheersmaatregelen zijn zowel extern als intern gericht. Intern kijken we naar ons eigen handelen. Extern geldt dat zaken niet de deur uitgaan zonder toetsing aan de geldende wetgeving.

  • 6.

    Na constatering van een overtreding wordt de rechtmatige situatie zo snel mogelijk hersteld en zo nodig bestraft (boete).

  • 7.

    De domeinmanager/manager bedrijfsvoering waar de betreffende regelingen worden uitgevoerd is verantwoordelijk voor het treffen van M&O beheersmaatregelen.

2.4 Rollen en verantwoordelijkheden

Het in deze nota geformuleerde beleid vormt een kapstok voor de opsomming en inkadering van bestaand beleid en bevat geen nieuwe regels. Rollen en verantwoordelijkheden zijn in lijn met de inrichtingsprincipes van de organisatie. De manager van de afdeling waar de betreffende regelingen worden uitgevoerd is verantwoordelijk voor het actueel houden van het specifieke M&O beleid en het treffen van passende M&O beheersmaatregelen voor zijn of haar specifieke risicogebied. Ook legt de manager verantwoording af over de wijze waarop het M&O beleid wordt uitgevoerd en wordt nageleefd, zie hiervoor hoofdstuk zes. De gemeentesecretaris ziet erop toe dat de managers deze taak oppakken en dat waar nodig risico's tijdig worden besproken.

Het college vervult een kaderstellende rol door het beleid en de periodieke actualisaties daarvan vast te stellen.

Hoofdstuk 3 Beheersmaatregelen

Bepaalde regelingen en processen (of onderdelen daarvan) kunnen het risico van misbruik of oneigenlijk gebruik met zich meedragen. Dat is in het bijzonder het geval als er sprake is van afhankelijkheid van gegevens die derden aan de gemeente verstrekken. Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van fraude en misbruik te treffen. Dat zijn maatregelen uit landelijke wetgeving en lokale regelgeving die sowieso worden ingezet. Daarnaast zijn extra beheersmaatregelen denkbaar die het risico van misbruik en oneigenlijk gebruik verder terugdringen. Ook beheersmaatregelen die intern zijn gericht zijn relevant. Het gaat dan om zaken zoals integriteitsbeleid, functiescheiding, toegangsrechten tot applicaties etc. Een onderscheid kan worden aangebracht tussen preventieve en repressieve maatregelen (of een mix daarvan).

3.1 Preventieve maatregelen

Preventieve maatregelen zijn maatregelen die liggen vóór het moment van beschikken, betalen of ontvangen van een voorziening, vergunning of uitkering. Preventieve maatregelen betreffen integriteitsbeleid, regelgeving, voorlichting en controle vooraf. Zij zijn gericht op het voorkomen van misbruik en oneigenlijk gebruik van regelingen.

3.1.1 Integriteitsbeleid

Dit beleid is vastgelegd in de notitie Beleid ambtelijke integriteit Bloemendaal en Heemstede 2019. De Ambtenarenwet verwoordt integriteit als “goed ambtelijk handelen”. Integer zijn is dan zoiets als “doen wat van je verwacht wordt”. Handelingen en gedrag zijn dan in lijn met de waarden en normen van de organisatie en met wet- en regelgeving. Integriteit is daarmee een belangrijk onderdeel van de professionele verantwoordelijkheid van alle medewerkers.

De gemeente Heemstede kiest voor de volgende kernbegrippen als het gaat om integriteit:

  • Betrouwbaarheid;

  • Onpartijdigheid;

  • Transparantie;

  • Zorgvuldigheid;

  • Dienstbaarheid.

We gaan ervan uit dat onze medewerkers volgens deze waarden en normen handelen.

Instrumenten die het integriteitsbeleid ondersteunen zijn:

  • Gedragscode ambtenaren Bloemendaal en Heemstede 2019

  • Klachtenregeling bij Landelijke Klachtencommissie Ongewenst Gedrag Bloemendaal en Heemstede 2019

  • Regeling financiële belangen Bloemendaal en Heemstede 2019

  • Regeling vertrouwenspersoon ongewenst gedrag Bloemendaal en Heemstede 2019

  • Procedure ambteed/belofte Heemstede

  • Integriteitsverklaring externe medewerker Bloemendaal en Heemstede

  • Regeling integriteitsmeldingen ambtenaren Bloemendaal en Heemstede 2019.

Daarnaast beschikt de gemeente ook over:

  • Gedragscode Integriteit Volksvertegenwoordigers gemeente Heemstede 2015

  • Gedragscode Integriteit burgemeester en wethouders gemeente Heemstede

  • Checklist gebruik sociale media binnen de gemeente Heemstede.

Aanspreken en handhaven

Een integriteitsbeleid alleen is niet voldoende. Beleid uitdragen, draagvlak maken en handhaven is minstens zo belangrijk. Het gaat erom dat we allemaal bewust blijven van onze integriteit. Hierin heeft iedereen zijn eigen verantwoordelijkheid.

We doen het volgende om te zorgen dat dit onder de aandacht blijft.

  • We bespreken integriteit met medewerkers die de ambtseed afleggen;

  • Het periodiek houden van integriteitsworkshops voor medewerkers en leidinggevenden. Hierin komt het belang van integriteit aan de orde en bespreken de deelnemers integriteitsvraagstukken;

  • Leidinggevenden bespreken het integriteitsbeleid met hun afdeling of team;

  • Leidinggevende bespreken, indien nodig, met medewerkers over integriteitskwesties in de gesprekscyclus en

  • Het team HRM van de afdeling PO&O zorgt voor voorlichting in Mozard.

Klokkenluiden

Als het vermoeden is dat een misstand speelt die niet in een cultuur van openheid besproken kan worden, dan vragen we de medewerker dit kenbaar te maken of bij zijn/haar leidinggevende of diens leidinggevende of bij de vertrouwenspersoon, maar het hoe dan ook op tafel te leggen. Ter bescherming van de medewerker hebben we de Regeling melden vermoeden misstand Bloemendaal en Heemstede 2019 (“de klokkenluidersregeling”).

3.1.2 Regelgeving

(Gemeentelijke) regelgeving moet zo min mogelijk ruimte bieden voor misbruik en oneigenlijk gebruik. Onder (gemeentelijke) regelgeving wordt verstaan: verordeningen, beleidsregels, nadere regels en richtlijnen van de gemeente. Adequate en handhaafbare regelgeving is een belangrijke beheersmaatregel in het kader van het M&O beleid. Dit bereiken we doordat onze regelgeving voldoet aan de volgende eisen:

  • Eenvoud, inzichtelijkheid en begrijpelijkheid;

  • Eenduidige definities;

  • Het doel en de doelgroep van de regeling is nauwkeurig bepaald;

  • Rechten, plichten en voorwaarden zijn opgenomen;

  • Er zijn geen overbodige en/of met elkaar strijdige bepalingen;

  • De afhankelijkheid van gegevens afkomstig van derden is zoveel mogelijk beperkt;

  • Mogelijke maatregelen of sancties bij geconstateerd misbruik en oneigenlijk gebruik zijn in de regeling opgenomen;

  • Ingangsdata en overgangsregels zijn in de regeling opgenomen.

3.1.3 Voorlichting

Wet- en regelgeving wordt door middel van voorlichting onder de aandacht gebracht van belanghebbenden (inwoners, bedrijven en instellingen). Er dient informatie te worden verstrekt over het bestaan van een regeling , aard en doel van de regeling, de specifieke doelgroep, geldende voorwaarden en controle- en sanctiebeleid. Voorlichting draagt in preventieve zin aan het voorkomen van misbruik en oneigenlijk gebruik van een regeling.

3.1.4 Controle vooraf

Controle in de uitvoering is een middel om (de kans op) misbruik en oneigenlijk gebruik te signaleren. Mogelijke M&O gevallen kunnen al een vroegtijdig stadium worden waargenomen. Controle vooraf van gegevens wordt uitgevoerd tot aan het moment van betaling of beschikkingsverlening en geldt daarmee als preventieve maatregel.

Controle vooraf richt zich op de toetsing van de juistheid en volledigheid van gegevens die door derden zijn verstrekt. De ambtenaar gaat na of door de inwoners, bedrijven of instellingen aan de voorwaarden voor bijvoorbeeld een uitkering, subsidie of vergunning wordt voldaan.

De controles vooraf zijn zichtbaar vastgelegd in procesbeschrijvingen.

3.2 Repressieve maatregelen

Repressieve maatregelen zijn maatregelen die na het moment van beschikken, betalen of ontvangen worden genomen. Het gaat om controle achteraf waarbij M&O kan worden vastgesteld, en sanctionering/maatregelenbeleid.

3.2.1 Controle achteraf

Controle van gegevens achteraf wordt uitgevoerd na het uitkeren/innen van bedragen, dan wel nadat de beschikking is verleend. Daarmee is het een repressieve maatregel.

Zoals hierboven beschreven, zijn de belangrijkste beheersmaatregelen opgenomen in de dagelijkse uitvoering en het management en monitoring daarvan. In control termen praten we dan over de eerstelijns controle. Daarnaast toetst periodiek de VIC (=Verbijzonderde interne controle) in de tweede lijn, het bestaan en de werking van interne beheersmaatregelen ter voorkoming van misbruik en oneigenlijk gebruik. Dit betreft een controle achteraf. De basis hiervoor is het door het college jaarlijks vast te stellen interne controleplan. In dit plan zijn de gemeentelijke risicovolle processen benoemd en is duidelijk aandacht voor misbruik en oneigenlijk gebruik. Als bijlage bij het intern controleplan wordt met ingang van 2022 een frauderisicoanalyse per proces opgenomen.

3.2.2 Maatregelen en/of sancties

Sancties worden opgelegd als reactie op een vaststelling van misbruik, alleen misbruik is immers onrechtmatig en moet worden hersteld en/of beboet.

De maatregelen en/of sancties moeten voldoen aan de beginselen van behoorlijk bestuur. Dit houdt onder andere in dat maatregelen en sancties proportioneel moeten zijn in relatie tot het vergrijp. Uitgangspunt is dat het behaalde voordeel wordt teruggevorderd en er indien nodig een boete wordt opgelegd. Concreet leidt het tot terugvordering van te veel betaalde bedragen, naheffing van ten onrechte gederfde ontvangsten en intrekking van een ten onrechte verstrekte vergunning.

Afhankelijk van de ernst van de situatie wordt aangifte gedaan bij de politie.

Als een medewerker intern de afspraken overtreedt of anderszins niet integer werkt, wordt dit beschouwd als plichtsverzuim. Maatregelen en/of sancties hiervoor zijn opgenomen in de cao.

Door voorlichting over en het toepassen van maatregelen en/of sancties bereiken we een preventieve werking.

3.3 Evaluatie

Regelgeving wordt gebruikelijk periodiek geëvalueerd. In een evaluatie dient ook plaats te zijn voor de effectiviteit van genomen maatregelen ter voorkoming van misbruik en oneigenlijk gebruik en de toereikendheid van controlewerkzaamheden. Het M&O beleid kan hierop worden aangepast.

Hoofdstuk 4 Risicogebieden

M&O beleid wordt toegepast bij regelingen waar een risico bestaat op misbruik en oneigenlijk gebruik. De hoogte van een risico is afhankelijk van de kans dat het zich voordoet en de (financiële) impact die het heeft voor de gemeente. Afhankelijk hiervan wordt de intensiteit van de inzet van beheersmaatregelen bepaald.

4.1 Risicovolle processen

In het jaarlijks op te stellen intern controleplan zijn ca. 25 hoofdprocessen (zie bijlage 1) benoemd, waarop de toetsing op misbruik en oneigenlijk gebruik plaatsvindt. De belangrijkste risicogebieden zijn:

  • 1.

    Inkoop en aanbesteding

    • De interne controle op inkopen en aanbestedingen is goed te organiseren. Bovendien is door de wettelijke aanbestedingsprocedure de afhankelijkheid van de informatieverstrekking van bedrijven tamelijk beperkt. Het bij de gemeente Heemstede in 2013 vastgestelde aanbestedingsbeleid geeft voldoende aandacht aan het M&O beleid.

  • 2.

    Betalingen

    • De interne controle op betalingen is goed te organiseren. Maatregelen zoals functiescheiding en 4-ogenprincipe zowel binnen de financiële administratie als de vakafdelingen is essentieel om te voorkomen dat nepfacturen worden betaald, dan wel medewerkers geld overmaken naar een eigen rekening of die van een tussenpersoon.

  • 3.

    Verstrekken uitkeringen

    • Het risico van onbetrouwbare gegevensverstrekking is aanwezig, gezien de sterke persoonlijke belangen van derden en de omstandigheid dat betrouwbaarheid van de gegevens van de client allesbepalend zijn voor het proces. In het Handhavingsplan Participatiewet, IOAW, IOAZ en Bbz Heemstede 2020 vastgesteld door het college van B&W is beschreven op welke wijze de rechtmatigheid wordt gecontroleerd. Daarnaast is specifiek voor de Tijdelijke overbruggingsregeling zelfstandig ondernemers (Tozo) een M&O beleid opgesteld, vertaald in controlepunten, en opgenomen in het intern controleplan van de IASZ.

  • 4.

    Verstrekken voorzieningen Wmo en Jeugd

    • De gemeente is verantwoordelijk voor het aantonen van de juiste en rechtmatige besteding van de middelen voor de uitvoering van de Jeugdwet en de Wet maatschappelijke ondersteuning (Wmo). Om dit te kunnen toetsen is door het college een Verantwoording- en controleprotocol Jeugdhulp en Verantwoording- en controleprotocol Wmo vastgesteld. Indien de zorgaanbieders voldoen aan deze protocollen kan de gemeente, en daarmee de accountant, vaststellen of de verstrekte middelen voor de uitvoering van beide wetten juist en rechtmatig zijn besteed.

  • 5.

    Verstrekken van subsidies

    • Subsidieverlening is een kritisch proces vanwege de afhankelijkheid van door instellingen verstrekte gegevens. Subsidies binnen de gemeente Heemstede worden verstrekt op basis van de subsidieverordening. Het financiële belang bepaalt de mate van M&O beleid.

  • 6.

    Salarissen en declaraties

    • De interne controle op personeelslasten is goed te organiseren. Enkele belangrijke aandachtspunten zijn: de juiste verwerking van premies en salarisschalen in de salarisadministratie, juiste en tijdige verwerking mutaties in- en uitdiensttreding van personeel ed. Als de organisatie hieromtrent goed is geregeld, zijn geen bijzondere risico’s aan de orde.

Bij de VIC (Verbijzonderde interne controle) is een overzicht aanwezig van de misbruik en oneigenlijk gebruik gevoelige verordeningen, regelingen en processen. Heemstede heeft 2 VIC-functionarissen, waarvan 1,0 fte bij de afdeling financiën en 0,5 fte bij de IASZ. De VIC is het meest aangewezen functionaris om dit overzicht te beheren, omdat dit onderdeel uitmaakt van het interne controleplan en de uitvoering daarvan. Vanaf 2022 wordt jaarlijks bij het intern controleplan expliciet een bijlage “frauderisicoanalyse per proces” opgenomen, waarin de risico’s en de maatregelen tegen misbruik en oneigenlijk gebruik per proces kort zijn opgesomd. Het expliciet benoemen hiervan verhoogt het bewustzijn in de organisatie over de noodzaak van de toepassing van de beheersmaatregelen in de dagelijkse uitvoering van de werkzaamheden.

Hoofdstuk 5 Privacy en databeveiliging, en ondermijning

Misbruik en oneigenlijk gebruik heeft niet alleen betrekking op misbruik van middelen. Het kan ook gaan om misbruik van data. Dit kan inbreuk op privacy betreffen met identiteitsfraude als meest vergaande vorm. Het kan ook gaan om het lekken van vertrouwelijk informatie of persoonsgegevens.

5.1 Algemene Verordening Gegevensbescherming (AVG)

Om gegevens van de inwoners binnen Europa beter te beschermen, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht geworden. Voor de uitvoering van haar taken is informatie-uitwisseling noodzakelijk. De AVG legt vast onder welke voorwaarden de gemeente persoonsgegevens mag verzamelen en bewaren. Voorbeelden van persoonsgegevens zijn: naam, adres, geboortedatum, BSN, medische informatie en geloofsovertuiging. We moeten als gemeente een register bijhouden met een beschrijving van alle processen en de persoonsgegevens die daarin verwerkt worden. Afspraken met andere organisaties leggen we vast in een Verwerkersovereenkomst.

In de raad van 29 oktober 2020 is het algemene Privacybeleid gemeente Heemstede vastgesteld. Dit is een “paraplubeleid” met algemene uitgangspunten waaraan de hele gemeente moet voldoen bij het verwerken van persoonsgegevens. Daarnaast moet voor verschillende afdelingen die met veel en/of gevoelige/bijzondere personeelsgegevens werken een specifiek beleid vastgesteld worden. Door het college van B&W van 20 oktober 2020 is een Privacybeleid personeelsgegevens gemeente Heemstede vastgesteld.

Jaarlijks wordt door de Functionaris Gegevensbescherming verslag gedaan aan het college over alle privacy aangelegenheden en het voldoen aan de AVG.

5.2 Baseline Informatiebeveiliging Overheid (BIO)

Per 1 januari 2020 is voor gemeenten de Baseline Informatiebeveiliging Overheid (BIO) van kracht geworden. De BIO is een set van maatregelen geordend van beleid, processen en procedures tot technische maatregelen die met elkaar zorgen voor een goede beveiliging van de informatie.

Bij informatiebeveiliging gaat het om drie aspecten van informatie:

  • Beschikbaarheid (is de informatie op de benodigde tijdstippen beschikbaar)

  • Integriteit (is de informatie juist en actueel)

  • Vertrouwelijkheid (is de informatie alleen toegankelijk voor wie er bij moeten).

De uitwerking van dit normenkader is vastgelegd in De Strategie Informatiebeveiliging gemeente Heemstede 2020-2024, vastgesteld in het college van B&W van 22 september 2020.

Het nieuwe normenkader (de BIO) is gebaseerd op internationale richtlijnen voor informatiebeveiliging. Door het hanteren van deze internationale richtlijnen is het voor alle externe partijen duidelijk waar de gemeente aan wil voldoen. Het is hierdoor ook duidelijk wat de gemeente verwacht van externe partijen waar zij zaken mee doet.

Jaarlijks wordt een zelfevaluatie uitgevoerd naar het voldoen aan alle BIO-normen conform de ENSIA-methodiek. Eenduidige Normatief Single Information Audit, landelijk vastgesteld door het Rijk en verplicht voor alle gemeenten. Het verslag van deze zelfevaluatie wordt door het college vastgesteld en ter verantwoording aan de raad gestuurd.

5.3 Ondermijning

Een bijzondere vorm van misbruik is “ondermijnende criminaliteit”. Een exacte definitie daarvan is moeilijk in één zin samen te vatten. Grofweg betekent het de vermenging van de onderwereld en de bovenwereld, de sluipende bedreiging van de integriteit van het openbaar bestuur, overheidsambtenaren en bedrijfsleven, bedreigde bestuurders en ambtenaren, afpersingspraktijken, de innesteling van criminele elementen in buurten en woonwijken.

In de gemeente Heemstede zetten we ons samen met onze ketenpartners in om ondermijnende criminaliteit tegen te gaan en de weerbaarheid van inwoners en ondernemers te versterken. Verwezen wordt naar het Actieplan Integrale Veiligheid Heemstede 2020-2023, vastgesteld door de raad van 28 mei 2020.

De Wet Bevordering integriteitsbeoordelingen door het openbaar bestuur (Bibob) is een belangrijk instrument om ondermijning effectief tegen te gaan. De Wet Bibob geeft gemeenten de mogelijkheid zich te beschermen tegen het risico dat zij ongewild criminele activiteiten faciliteren. Met behulp van de Wet Bibob kunnen gemeenten onderzoeken of de persoon “met wie zij zaken doet” betrouwbaar en integer is. De Wet Bibob wordt toegepast op de horeca-, prostitutie-, speelautomatenbranche, omgevingsvergunningen bouwactiviteiten en milieu, aanbestedingen overheidsopdrachten en vastgoedtransacties. Ten behoeve van de uitvoering van de wet zijn beleidsregels vastgesteld in het college van B&W van 7 januari 2020 (Beleidsregel Bibob Heemstede 2020).

Hoofdstuk 6 Verantwoording

Om inzicht te krijgen in de wijze waarop het M&O beleid wordt uitgevoerd en wordt nageleefd moet verantwoording worden afgelegd. Dit wordt gerealiseerd door zoveel als mogelijk aan te sluiten bij de reguliere planning & controlcyclus.

De verantwoording over het Misbruik en Oneigenlijk gebruik beleid vindt in de huidige situatie plaats door de accountant via de Managementletter en maakt onderdeel uit van het oordeel van de accountant over de rechtmatigheid van de jaarstukken. Met de verwachte invoering van de nieuwe landelijke wetgeving, de invoering van de rechtmatigheidsverantwoording door het college van B&W, vindt de verantwoording plaats in een nieuw onderdeel van de jaarrekening “De rechtmatigheidsverantwoording”. Dit met een nadere toelichting in de paragraaf bedrijfsvoering. De accountant betrekt de rechtmatigheidsverantwoording, inclusief de nadere toelichting in de paragraaf bedrijfsvoering, in zijn oordeel over de getrouwheid van de jaarstukken. Naar verwachting zal dit met ingang van het verslagjaar 2022 gaan gebeuren.

Ondertekening

Vastgesteld door het college bij besluit van 2 november 2021.

Bijlage 1 Risicovolle processen, waar een toetsing op plaatsvindt aan het misbruik en oneigenlijk gebruik criterium.

  • 1.

    Inkoop en aanbesteden

  • 2.

    Betalingen

  • 3.

    Personeel (salarissen en declaraties)

  • 4.

    Subsidieverstrekkingen

  • 5.

    Omgevingsvergunningen

  • 6.

    Parkeren

  • 7.

    Begraafplaatsen

  • 8.

    Burgerzaken

  • 9.

    Gemeentelijke belastingen

  • 10.

    Administratie en planning&control

  • 11.

    Treasury

  • 12.

    Participatiewet

  • 13.

    Wmo voorzieningen

  • 14.

    Jeugdwet

  • 15.

    Memoriaalboekingen

  • 16.

    Investeringen/investeringskredieten

  • 17.

    Voorzieningen

  • 18.

    Reserves

  • 19.

    IT

  • 20.

    Prestatielevering Wmo en Jeugwet

  • 21.

    Huren en pachten

  • 22.

    Algemene uitkering

  • 23.

    Fiscaliteit

  • 24.

    Verkoop gronden en gebouwen

  • 25.

    Verbonden partijen