Beleid Misbruik en Oneigenlijk Gebruik gemeente Súdwest-Fryslân

Het Beleid Misbruik en Oneigenlijk Gebruik gemeente Súdwest-Fryslân (hierna: M&O beleid) betreft een overkoepelend beleid van de gemeente Súdwest-Fryslân met daarin opgenomen de algemene uitgangspunten, de risico’s en ook de globale maatregelen ter voorkoming en afdoening van misbruik en oneigenlijk gebruik. Het M&O beleid heeft tot doel het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van overheidsgelden. Rechtmatigheid is een van de essentiële pijlers van een goed overheidsbestuur.

Eén van de rechtmatigheidscriteria, verankerd in het Besluit Accountantscontrole Decentrale Overheden (BADO), is het misbruik en oneigenlijk gebruik criterium. Bij de getrouwheidscontrole van de jaarrekening zal de accountant nagaan of de gemeente over interne procedures beschikt die opzettelijk misbruik en oneigenlijk gebruik voorkomen en of zij in de rechtmatigheidsverantwoording getrouw heeft gerapporteerd over misbruik en oneigenlijk gebruik.

Met ingang van het verslagjaar 2023 legt het college namelijk zelf in de jaarstukken verantwoording af aan de gemeenteraad over de rechtmatigheid. Het college dient in dit kader een uitspraak te doen in hoeverre misbruik en oneigenlijk gebruik wordt voorkomen en bestreden, en of de getroffen maatregelen werken.

De commissie Besluit Begroting en Verantwoording (BBV) heeft in de Kadernota Rechtmatigheid de volgende definities van misbruik en oneigenlijk gebruik opgenomen.

• •

  Misbruik: het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen.

• •

  Oneigenlijk gebruik: het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen of het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid, in overeenstemming met de bewoordingen van de regelgeving maar in strijd met het doel en de strekking daarvan.

Het M&O beleid ziet verder toe op de publiekrechtelijke taakuitoefening van de gemeente. Privaatrechtelijk handelen vormt geen onderdeel van dit beleid aangezien het geen gemeentelijke regelingen betreffen.

De rollen en verantwoordelijkheden zijn in lijn met de inrichtingsprincipes van onze organisatie. De teammanager van het team waar de betreffende regelingen worden uitgevoerd, is verantwoordelijk voor het treffen van passende M&O beheersmaatregelen voor zijn of haar specifieke risicogebied.

Regelingen en processen (of onderdelen daarvan) kunnen het risico van misbruik of oneigenlijk gebruik met zich meedragen. Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van fraude en misbruik te treffen.

M&O-beleid wordt toegepast bij regelingen waar een risico bestaat op misbruik en oneigenlijk gebruik. Afhankelijk van de misbruikgevoeligheid van een regeling worden de beheersmaatregelen bepaald.

Om inzicht te krijgen in de wijze waarop het M&O beleid wordt uitgevoerd en wordt nageleefd worden in ieder geval de volgende stappen ondernomen:

• •

  in de jaarrekening wordt verantwoordingsinformatie over het M&O beleid opgenomen;

• •

  bij het verrichten van interne controles, en onderzoeken wordt aandacht besteed aan het M&O beleid;

• •

  bij het opstellen van procesbeschrijvingen wordt rekening gehouden met M&O -gevoelige aspecten.

Voor u ligt het M&O beleid van de gemeente Súdwest-Fryslân. Dit beleid betreft een overkoepelend beleid met daarin opgenomen de algemene uitgangspunten voor M&O, de risico’s en ook de maatregelen ter voorkoming en afdoening misbruik en oneigenlijk gebruik. Rechtmatigheid is een van de essentiële pijlers van een goed overheidsbestuur. De gemeente moet publieke gelden rechtmatig verwerven en besteden.

Eén van de rechtmatigheidscriteria, die zijn verankerd in het Besluit Accountantscontrole Decentrale Overheden (BADO), is het misbruik en oneigenlijk gebruik criterium. Bij de rechtmatigheidscontrole van de jaarrekening zal de accountant nagaan of de gemeente over interne procedures beschikt die opzettelijk misbruik en oneigenlijk gebruik van (belasting-) gelden, subsidies, uitkeringen of bijdragen, etc. zoveel mogelijk ondervangen of voorkomen.

Met ingang van het verslagjaar 2023 legt het college zelf in de jaarstukken verantwoording af aan de raad over de rechtmatigheid van de verantwoorde baten, lasten en balansmutaties. Het college dient in dit kader een uitspraak te doen in hoeverre misbruik en oneigenlijk gebruik wordt voorkomen en bestreden, en of de getroffen maatregelen werken. Het M&O criterium dient samen met het begrotingscriterium en het voorwaardencriterium als basis voor de afgifte van de rechtmatigheidsverantwoording.

Het vertrouwen van de gemeente in een goed gebruik door haar inwoners en instellingen/bedrijven van de diverse gemeentelijke financiële regelingen staat voorop. Vanuit het maatschappelijk perspectief bezien, staat het gemeentelijk optreden dan ook in een proportionele verhouding tot eventuele fouten of een onjuist gebruik.

Er kunnen zich echter ook situaties van (pogingen tot) misbruik en oneigenlijk gebruik van overheidsgelden voordoen. Daarvoor moet de gemeente waarborgen en (preventieve) maatregelen treffen, dit M&O beleid biedt hiervoor de nodige handvatten.

Uitkeringen, subsidies en vergunningen gaan alleen naar inwoners, bedrijven en instellingen die daar recht op hebben. Middelen die worden aangewend worden dan ook getoetst aan vigerende wet- en regelgeving en interne integriteitsregelingen/afspraken. Daarnaast is er sprake van functiescheiding en collegiale toetsing in (financiële) processen.

De aanleiding voor het opstellen van een gemeentelijk (overkoepelend) M&O beleid hangt met name samen met de wettelijke verplichting om over de rechtmatigheid van de verantwoorde baten, lasten en balansmutaties verantwoording af te leggen in de begroting en in de jaarrekening. In de managementletter 2024 heeft de extern accountant de aanbeveling gedaan om een gemeentelijk M&O beleid op te stellen. Tot op heden was hiervoor geen overkoepelend beleid, maar werd rechtmatigheid van baten en lasten getoetst op basis van separate documenten (intern controleplan, M&O beleid per specifieke regeling en dergelijke).

2.1 Definities en afbakening M&O beleid

De commissie BBV heeft in de Kadernota Rechtmatigheid de volgende definities van misbruik en oneigenlijk gebruik opgenomen.

Misbruik is het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen. Het betreft hier een bewuste misleiding om onrechtmatig of onwettig voordeel te behalen. Misbruik kan gelijk worden gesteld met het plegen van fraude om zich onrechtmatig overheidsgelden toe te eigenen.

Niet elke misstap (fout) geldt als misbruik. Bij het maken van fouten is meestal geen sprake van een opzettelijke handeling. Daarnaast is het begrip misleiding van betekenis in deze definitie. Misleiding heeft betrekking op het bewust verborgen houden van het misbruik.

Oneigenlijk gebruik is het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen of het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid, in overeenstemming met de bewoordingen van de regelgeving maar in strijd met het doel en de strekking daarvan.

Als wet- en regelgeving oneigenlijk gebruik mogelijk maakt (“de mazen van de wet”) is het noodzakelijk dat wet- en regelgeving wordt aangepast en/of duidelijker moet worden toegelicht.

De afbakening van het M&O beleid is extern gericht, namelijk op de inwoner, instelling of organisatie die via de gemeente gebruik maakt van overheidsregelingen. Interne regelingen vallen niet onder de werking van dit beleid. Interne regelingen vallen wat betreft eventueel misbruik of oneigenlijk gebruik onder het gemeentelijke integriteitsbeleid. Daarover wordt separaat gerapporteerd door team HR.

Het M&O beleid ziet verder toe op de publiekrechtelijke taakuitoefening van de gemeente. Privaatrechtelijk handelen, zoals de aan- en verkoop en de huur en verhuur van vastgoed en gronden en het oneigenlijk gebruik van gemeentelijke gronden, vormt geen onderdeel van dit beleid aangezien het geen gemeentelijke regelingen betreft.

Het overkoepelend beleid is nader uitgewerkt in de diverse vigerende specifieke regelingen, verordeningen en processen die de gemeente kent. Risicogebieden betreffen het sociaal domein, vergunningverlening en (deels) handhaving, integriteit van relaties, belastinginkomsten, identiteitsbewijzen, reisdocumenten en rijbewijzen, subsidieverstrekking en inkoop/aanbesteding. De inzet van beheersmaatregelen (regelgeving, voorlichting, controle en passende maatregelen) in de risicogebieden is afhankelijk van het inherent risico. De meeste regelingen zijn gebonden aan wettelijke eisen en minimumnormen voor het nemen van maatregelen ter bestrijding van fraude en misbruik. Vanuit M&O is het mogelijk daar (eventueel) maatregelen aan toe te voegen.

De verbonden partijen vallen buiten de scope van het M&O beleid omdat zij onafhankelijk van de gemeente een zelfstandige accountscontrole ondergaan. Van de controleverklaringen van de verbonden partijen ontvangt de gemeente een afschrift.

2.2 Doelstelling M&O beleid

Het M&O beleid heeft tot doel het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van overheidsgelden. Daarmee bestaat het zowel uit preventief beleid als repressief beleid. Bij M&O beleid is met name van belang om vast te stellen dat in de bedrijfsvoering effectieve maatregelen zijn getroffen om misbruik te voorkomen dan wel tijdig op te sporen, en daarnaast dat de wet- en regelgeving duidelijk en te handhaven is.

M&O beleid draagt bij aan transparantie en consistentie van gemeentelijk beleid. Het maakt ook mogelijk dat afwegingen worden gemaakt welke beheersmaatregelen nodig en doeltreffend zijn, afgezet tegen de inspanning die zij kosten en het financieel nut ervan. Beheersmaatregelen in het kader van M&O teneinde de betrouwbaarheid van door derden verstrekte gegevens te controleren gaan soms verder dan reguliere interne controles. M&O beleid identificeert ook zwakke plekken in de administratieve organisatie en interne controle.

2.3 Uitgangspunten

• 1.

  De gemeente werkt vanuit een basishouding van vertrouwen in een juiste omgang met gemeentelijke regelingen door inwoners en instellingen/bedrijven.

• 2.

  Maatregelen die worden getroffen ter bevordering van een juist gebruik van gemeentelijke regelingen zijn proportioneel. Dat wil zeggen dat zij in verhouding moeten staan tot de risico’s die worden gelopen.

• 3.

  De betrouwbaarheid van aangeleverde informatie, afgezet tegen het mogelijk optreden van risico's, is bepalend voor de mate van controle en sanctionering.

• 4.

  Voorkomen is beter dan genezen. De inzet van beleid en maatregelen is primair gericht op preventie van misbruik en oneigenlijk gebruik van gemeentelijke regelingen.

• 5.

  Van derden ontvangen gegevens worden indien mogelijk gecontroleerd.

• 6.

  Na constatering van een overtreding wordt de rechtmatige situatie zo snel mogelijk hersteld en zo nodig bestraft (boete).

• 7.

  De teammanager waar de betreffende regelingen worden uitgevoerd is verantwoordelijk voor het treffen van M&O beheersmaatregelen.

• 8.

  Beheersmaatregelen worden ingezet op basis van een analyse van de risico's en na afweging van de kosten en de baten.

• 9.

  Het M&O beleid wordt periodiek geactualiseerd, mede afhankelijk van ontwikkelingen in wetgeving en ervaring met de maatregelen en controles.

• 10.

  Het M&O beleid kan voor bepaalde beleidsgebieden door het teammanagement nader worden uitgeschreven in onderliggende beleidsstukken rond M&O. Dit betreft bijvoorbeeld het M&O beleid voor de Tijdelijke Overbruggingsregeling Zelfstandig Ondernemers (Tozo) en voor de Wet Inburgering.

2.4 Rollen en verantwoordelijkheden

De rollen en verantwoordelijkheden zijn in lijn met de inrichtingsprincipes van onze organisatie. De teammanager van het team waar de betreffende regelingen worden uitgevoerd is verantwoordelijk voor het treffen van passende M&O beheersmaatregelen voor zijn of haar specifieke risicogebied.

De intentie is om door middel van het uitvoeren van 1e lijns- en 2e lijnscontroles en het onder de aandacht houden van het M&O beleid via werkoverleggen en MT’s te stimuleren dat en te controleren of het beleid wordt nageleefd en ten uitvoer wordt gebracht.

Het college van burgemeester en wethouders vervult een kaderstellende rol door het beleid en de periodieke actualisaties daarvan vast te stellen en ter informatie via de auditcommissie aan te bieden aan de gemeenteraad.

Regelingen en processen (of onderdelen daarvan) kunnen het risico van misbruik of oneigenlijk gebruik met zich meedragen. Dat is met name het geval als sprake is van afhankelijkheid van gegevens die derden aan de gemeente verstrekken. Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van fraude en misbruik te treffen.

Dat zijn maatregelen uit landelijke wetgeving en lokale regelgeving die sowieso worden ingezet. Daarnaast zijn extra beheersmaatregelen denkbaar die het risico van misbruik en oneigenlijk gebruik verder kunnen terugdringen. Extra beheersmaatregelen worden alleen daar ingezet waar het risico dit vraagt in combinatie met een kosten baten afweging. Op dit moment zijn geen extra beheersmaatregelen getroffen.

Tevens zijn beheersmaatregelen die intern zijn gericht relevant. Het gaat dan om zaken zoals functiescheiding, toegangsrechten tot applicaties, regelmatige controle daarvan, het vastleggen van gebeurtenissen in log-ins, en rapportages over deze maatregelen.

In de maatregelen kan een onderscheid worden aangebracht tussen preventieve en repressieve maatregelen (of een mix daarvan).

3.1 Preventieve maatregelen

Preventieve maatregelen zijn maatregelen die liggen vóór het moment van beschikken, betalen of ontvangen van een voorziening, vergunning of uitkering. Preventieve maatregelen betreffen regelgeving, voorlichting en controle vooraf. Zij zijn gericht op het voorkomen van misbruik en oneigenlijk gebruik van regelingen.

3.1.1 Regelgeving

Heldere en eenduidige regelgeving beperkt de ruimte voor misbruik en oneigenlijk gebruik. Onder regelgeving wordt verstaan: verordeningen, beleidsregels, nadere regels en richtlijnen van de gemeente zoals vastgelegd in processen en interne afspraken van de gemeente.

Adequate en handhaafbare regelgeving is een belangrijke beheersmaatregel in het kader van M&O beleid. In dat verband zijn de volgende eisen van belang:

• •

  eenvoud, inzichtelijkheid en begrijpelijkheid;

• •

  er gelden eenduidige definities;

• •

  het doel en de doelgroep van de regeling is nauwkeurig bepaald;

• •

  rechten, plichten en voorwaarden zijn opgenomen;

• •

  er zijn geen overbodige en/of met elkaar strijdige bepalingen;

• •

  de afhankelijkheid van gegevens afkomstig van derden is zoveel mogelijk beperkt;

• •

  mogelijke maatregelen of mogelijke sancties bij geconstateerd misbruik en oneigenlijk gebruik zijn in de regeling opgenomen;

• •

  ingangsdata en overgangsregels zijn in de regeling opgenomen.

3.1.2 Controle vooraf

Controle in de uitvoering is een middel om (de kans op) misbruik of oneigenlijk gebruik te signaleren. Mogelijke M&O gevallen kunnen al in een vroegtijdig stadium worden waargenomen. Controle vooraf van gegevens wordt uitgevoerd tot aan het moment van betaling of beschikkingsverlening en geldt daarmee als preventieve maatregel.

Controle vooraf richt zich op de toetsing van de juistheid en volledigheid van gegevens die door derden zijn verstrekt. De ambtenaar gaat na of de inwoners, bedrijven of instellingen aan de voorwaarden van bijvoorbeeld een subsidie of vergunning voldoen. Door betrokkene(n) aangeleverde gegevens worden indien mogelijk geverifieerd. Uitgangspunt is dat voordat wordt uitbetaald, een andere medewerker controleert of deze werkzaamheden zichtbaar, volledig en juist zijn uitgevoerd (vier-ogen principe). Het teammanagement stuurt daarop.

3.2 Repressieve maatregelen

Repressieve maatregelen zijn maatregelen die na het moment van beschikken, betalen of ontvangen worden genomen. Het gaat om controle achteraf waarbij misbruik en oneigenlijk gebruik kan worden vastgesteld en maatregelenbeleid wordt toegepast.

3.2.1 Controle achteraf

Controle van gegevens achteraf wordt uitgevoerd na het uitkeren/innen van bedragen, dan wel nadat de beschikking is verleend. Daarmee is het een repressieve maatregel. Controles achteraf kunnen (evenals bij controles vooraf) integraal, steekproefsgewijs of incidenteel worden uitgevoerd. Manieren om te controleren kunnen zijn: inwinnen van inlichtingen, inspecties, waarneming, bevestigingen, herberekeningen, cijferanalyses en het opnieuw uitvoeren van controles.

In de uitvoering van de verbijzonderde interne controle door team Concerncontrol is standaard aandacht voor M&O. Dit is vastgelegd in het intern controleplan dat jaarlijks (na behandeling in MT en DT) door het college wordt vastgesteld.

3.2.2 Maatregelen(beleid)

Maatregelen worden opgelegd als reactie op een vaststelling van misbruik. Misbruik is immers onrechtmatig en moet worden hersteld en/of beboet.

Maatregelenbeleid is vereist om adequaat te reageren op geconstateerd misbruik en/of oneigenlijk gebruik. Maatregelenbeleid moet voldoen aan de beginselen van behoorlijk bestuur. Dit houdt onder andere in dat maatregelen en sancties proportioneel moeten zijn in relatie tot het vergrijp. Uitgangspunt is dat het behaalde voordeel wordt teruggevorderd en indien nodig een boete wordt opgelegd. Concreet leidt het tot terugvordering van te veel betaalde bedragen, naheffing van ten onrechte gederfde ontvangsten en intrekking van een ten onrechte verstrekte vergunning. In bepaalde gevallen kan ook de ontbinding van een overeenkomst of de intrekking van een erkenning als niet-financiële sanctie worden opgelegd. Ingeval van een fraude of diefstal wordt na afweging (eventueel) aangifte gedaan bij de politie.

Van maatregelen(beleid) gaat een afschrikeffect uit. Het draagt om die reden eveneens bij aan het voorkomen en beperken van misbruik van gemeentelijke regelingen.

M&O beleid wordt toegepast bij regelingen waar een risico bestaat op misbruik en oneigenlijk gebruik. Afhankelijk van de misbruikgevoeligheid van een regeling worden de beheersmaatregelen bepaald. In dit hoofdstuk worden de belangrijkste risicogebieden waarop M&O beleid van toepassing is beschreven.

4.1 Risicovolle processen

Regelingen waarbij de informatie van andere partijen bepalend is voor het verlenen en vaststellen van de (hoogte van) voorzieningen, subsidies, heffingen, belastingen en vergunningen zijn gevoelig voor misbruik en oneigenlijk gebruik. Ook interne processen kunnen M&O-gevoelig zijn. De volgende processen worden aangemerkt als risicogebieden, omdat derden een aanmerkelijk (financieel) belang hebben en de gemeente in grote mate afhankelijk is van door die derden verstrekte gegevens. Dit betreffen dus processen met een verhoogd risicoprofiel.

4.1.1 Verstrekken uitkeringen

Inkomensoverdrachten vinden plaats in het kader van Participatie (Participatiewet, Besluit bijstandverlening zelfstandigen, bijzondere bijstand, minima-regelingen en schulddienstverlening). Het betreft open einderegelingen waarbij een cliënt die aan de voorwaarden voldoet de gevraagde uitkering of dienstverlening verkrijgt. Het risico van een onbetrouwbare gegevensverstrekking is groot vanwege de sterke persoonlijke belangen van iemand bij de uitkering of de dienstverlening. De gegevensverstrekking is bepalend voor het vaststellen van het recht op en de hoogte en duur van de inkomenscompensatie.

4.1.2 Verstrekken voorzieningen Wmo en Jeugdwet

Individuele voorzieningen worden verstrekt in het kader van de Wet maatschappelijke ondersteuning (Wmo) en de Jeugdwet. Ook hier geldt dat (vaak) sprake is van open einderegelingen, het risico van onbetrouwbare gegevensverstrekking en het feit dat de gegevens bepalend zijn voor het toekennen van de gevraagde voorziening. Dit zijn redenen om een streng M&O-beleid te voeren. Dit laat onverlet dat vanuit de gemeente wordt gewerkt vanuit de gedachte dat de cliënt centraal staat en dat in dat verband ook steeds het gesprek en het overleg met mensen wordt gevoerd. Dit overleg komt een adequate dienstverlening ten goede en is een aanvullende waarborg dat de juiste gegevens op tafel komen.

De gemeente draagt zorg voor de betaling aan de diverse zorgaanbieders en toetst op de prestatielevering. De diverse zorgaanbieders leveren een controleverklaring aan de gemeente aan. Voor de Wmo is er bij Huishoudelijke Hulp en Begeleiding sprake van lump sum contracten. Het sociaal domein heeft afspraken gemaakt met de aanbieders over waarborgen om misbruik en oneigenlijk gebruik tegen te gaan. Elk jaar wordt bij de jaarrekening door middel van een separate notitie verantwoording afgelegd hierover (en de prestatielevering) ten tijde van de jaarrekening. Bij de Pgb’s wordt eenzelfde methodiek gevolgd vanwege het ontbreken van een goedkeurende controleverklaring van de Sociale Verzekeringsbank (SvB).

4.1.3 Vergunningverlening en handhaving

Vergunningverlening en handhaving hebben betrekking op wezenlijke overheidstaken. Vaak spelen grote publieke belangen met mogelijke (financiële en politiek-bestuurlijke) gevolgen. De aanvrager van een vergunning kan gelet op de grote afhankelijkheid van de gemeente bij het al dan niet verkrijgen van een vergunning baat hebben bij het verstrekken van onjuiste informatie. In de praktijk vindt (ambtelijk) overleg met aanvragers en overtreders plaats. Dat is niet alleen een waardevol communicatiemoment met inwoners en bedrijven/instellingen, maar ook een belangrijk middel om te waarborgen dat de juiste informatie op tafel komt en onnodige controles en mogelijke sancties worden voorkomen. Niettemin zijn vergunningverlening en handhaving - op grond van ervaring - M&O gevoelig.

4.1.4 Identiteitsbewijzen, reisdocumenten en rijbewijzen

Bij de verstrekking van identiteitsbewijzen, reisdocumenten en rijbewijzen maakt de gemeente gebruik van de gegevens uit de Basisregistratie Personen (BRP). Deze gegevens in het BRP moeten juist zijn, mede om misbruik en oneigenlijk gebruik van genoemde documenten te voorkomen. Het belang van juiste gegevens in de BRP is echter (veel) breder. Op basis van de gegevens in de BRP kan een inwoner namelijk allerlei rechten uitoefenen met vaak financieel belang. Er zijn overigens diverse maatregelen en controles. Zo zijn er de jaarlijkse zelfevaluaties BRP en Reisdocumenten (inclusief controle op inhoudelijke kwaliteit van de gegevens in de BRP), het beproeven van diverse beveiligingsprocedures en bijvoorbeeld scanapparatuur om fraude met identiteitsdocumenten op te sporen.

4.1.5 Verstrekken van subsidies

Met subsidieverstrekking is een aanmerkelijk financieel belang gemoeid. Ook hier is de gemeente afhankelijk van de betrouwbaarheid van gegevens die door instellingen worden verstrekt. Met de grote(re) instellingen is er regelmatig overleg (ambtelijk en bestuurlijk) waarin belangrijke onderwerpen ter sprake komen.

4.1.6 Inkopen en aanbestedingen

Met inkoop en aanbesteding kan een aanmerkelijk financieel belang gemoeid zijn. Wet- en regelgeving, alsmede gemeentelijke inkoopbeleid bevatten al de nodige waarborgen op het gebied van M&O. Reeds van toepassing zijnde interne controles op transacties zijn eveneens een waarborg dat deze juist en volledig zijn. Ook interne budget- en functiescheidingen zijn van toepassing.

Voor aanvullende opdrachten (meerwerk) en opdrachten die één-op-één gegund worden is een streng beleid noodzakelijk, omdat hierop mogelijk niet alle voorstaande beheersmaatregelen worden toegepast.

4.1.7 Integriteit van relaties

Integriteit van medewerkers en bestuurders in de omgang met externe relaties vormt een M&O risico. Preventieve maatregelen in de zin van integriteitsdocumenten en gedragscodes zijn reeds van kracht. Het team HR rapporteert jaarlijks over de uitvoering hiervan.

4.1.8 Belastinginkomsten

Heffing en invordering van belastingen vindt plaats op basis van objectieve gegevens die bijvoorbeeld worden verkregen via het bevolkingsregister, het kadaster en taxateurs. Functiescheiding als interne maatregel vormt een waarborg voor M&O. Bepaalde belastingen zijn wel afhankelijk van gegevensverstrekking door belanghebbenden (toeristenbelasting). Ook de procedure van kwijtschelding is risicogevoelig, omdat deze bij automatische verlening sterk afhankelijk is van de juistheid van inkomensregelingen.

4.2 Privacy en informatieveiligheid

Misbruik en oneigenlijk gebruik heeft niet alleen betrekking op financiële middelen. Het kan ook gaan om misbruik en oneigenlijk gebruik van data. Of zelfs fraude met data. Bijvoorbeeld een inbreuk op de beveiliging van persoonsgegevens met identiteitsdiefstal/-fraude als meest vergaande vorm. Een ander voorbeeld is het (bewust) lekken of zelfs doorverkopen van vertrouwelijke informatie en/of persoonsgegevens. Door een medewerker maar ook na een hack door een cybercrimineel.

4.2.1 Gegevensbescherming

De gemeente verzamelt en gebruikt veel persoonsgegevens afkomstig van burgers, inwoners, medewerkers, andere overheidsorganisaties en (keten)partners. Voorbeelden van persoonsgegevens zijn: naam, adres, geboortedatum, BSN, medische informatie en geloofsovertuiging. We gebruiken persoonsgegevens met name om diensten en producten te leveren, maar soms ook omdat het wettelijk verplicht is. De gemeente moet veilig en zorgvuldig omgaan met persoonsgegevens en de privacy van personen waarborgen. Privacy en gegevensbescherming is in verschillende wet- en regelgeving vastgelegd. Zo moet de gemeente voldoen aan de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG. Maar er zijn ook andere (formele of materiële) wetten met bepalingen over het verwerken van persoonsgegevens. Voorbeelden zijn de Wet basisregistratie personen (wet BRP), de Wet politiegegevens (Wpg), de Wmo en de Jeugdwet.

De AVG is een Europese verordening. De Uitvoeringswet AVG is een Nederlandse wet waarin onder meer aanvullingen op de AVG zijn vastgelegd. Beide zijn sinds 25 mei 2018 van kracht en regelen onder meer dat de gemeente alleen persoonsgegevens mag verzamelen en bewaren als daar een wettelijke grondslag voor is en zo lang dat strikt noodzakelijk of wettelijk verplicht is. Verder mag de gemeente alleen persoonsgegevens gebruiken die noodzakelijk zijn voor het doel waarvoor de gegevens zijn verzameld. De gegevens moeten daarnaast juist zijn en beschermd met passende organisatorische en technische (beveiligings)maatregelen. De gemeente houdt een register bij met een beschrijving van alle processen en de persoonsgegevens die daarin verwerkt worden. Als andere organisaties persoonsgegevens verwerken in opdracht van de gemeente worden hierover afspraken gemaakt en vastgelegd in een verwerkersovereenkomst.

4.2.2 Informatiebeveiliging

Informatiebeveiliging is een belangrijke randvoorwaarde voor het beschermen van persoonsgegevens en waarborgen van de privacy. Informatiebeveiliging is het geheel van procedures, processen en maatregelen die de beschikbaarheid (continuïteit), integriteit (betrouwbaarheid), vertrouwelijkheid (exclusiviteit) en controleerbaarheid van gegevens en informatie(systemen) garanderen. De Baseline Informatiebeveiliging Overheid (BIO) is het belangrijkste basisnormenkader voor informatiebeveiliging voor de gehele overheid (rijk, gemeenten, provincies en waterschappen). De BIO is vanaf 1 januari 2020 van kracht en vervangt de sectorale baselines die voor die tijd golden. De BIO is risicogericht en gebaseerd op de internationaal erkende ISO-normering. Naast de BIO kunnen in wet- en regelgeving specifieke (strengere) beveiligingseisen zijn vastgelegd. De uitwerking van de BIO en andere beveiligingseisen is vastgelegd in het gemeentelijk Informatiebeveiligingsbeleid en onderliggende beleidsdocumenten, procedures en processen.

Naast de BIO komt hier ook de NIS2 (de Network and Information Security richtlijn van de Europese Unie), in Nederland in de vorm van de Cyberbeveiligingswet bij. De NIS2 is officieel ingegaan per 17 oktober 2024, maar wordt in Nederland pas rond augustus 2025 omgezet in nationale wetgeving. In de tussenliggende tijd, waarin de richtlijn van kracht is maar de wet nog niet, geldt een bijzondere situatie waarin organisaties die onder de richtlijn vallen al wel rechten hebben, maar nog geen wettelijke plichten. NIS2 legt een sterke verantwoordelijkheid bij de organisatie en organisatiebeheersing. Naast de technische aspecten van digitale veiligheid, beschrijft de wet de rol en de verantwoordelijkheid van leidinggevenden binnen de organisatie. De eisen die NIS2 oplegt, kunnen high-level worden samengevat in 4 domeinen: management, processen, risicobeheer en bedrijfscontinuïteit.

4.3 Bibob

Bibob staat voor ‘Bevordering integriteitsbeoordeling door het openbaar bestuur’. Door middel van de Wet Bibob kan de gemeente een (gevraagde) beschikking weigeren of intrekken als twijfel bestaat over de integriteit van een betrokkene. Hiermee kan de gemeente dus voorkomen of tegengaan dat een beschikking wordt gebruikt om uit gepleegde strafbare feiten verkregen of te verkrijgen, op geld waardeerbare voordelen te benutten, of strafbare feiten te plegen. De toepassing van deze wet is uitgewerkt in de vastgestelde gemeentelijke Bibob-beleidslijn. Deze beleidslijn is van toepassing op beschikkingen voor onder andere horeca- en seksinrichtingen, escortbedrijven, coffeeshops (alcoholvrije bedrijven) en speelautomatenhallen.

Om inzicht te krijgen in de wijze waarop het M&O beleid wordt uitgevoerd en wordt nageleefd, wordt er verantwoording afgelegd. Dit wordt gerealiseerd door zo veel mogelijk aan te sluiten bij de reguliere planning- en controlcyclus. Dat betekent dat in de programmabegroting, bestuursrapportages en jaarrekening wordt verantwoord over rechtmatigheid.

Het college kan gemotiveerd besluiten van deze beleidsregels af te wijken als daaraan vasthouden gevolgen zou hebben die wegens bijzondere omstandigheden onevenredig zouden zijn tot de daarmee te dienen belangen.

• 1.

  Deze beleidsregels treden in werking de dag volgend op de bekendmaking in het Gemeenteblad en werken terug tot 1 januari 2024.

• 2.

  Deze beleidsregels worden aangehaald als: Beleid Misbruik en Oneigenlijk Gebruik gemeente Súdwest-Fryslân.