Beleid Misbruik en Oneigenlijk gebruik

Geldend van 18-03-2026 t/m heden

Intitulé

Beleid Misbruik en Oneigenlijk gebruik

1 Inleiding

Met de invoering van de nieuwe rechtmatigheidsverantwoording wordt de toets op misbruik en oneigenlijk gebruik één van de voorwaarden waaraan het dagelijks bestuur de uitvoering van haar taken toetst op rechtmatigheid. Daarmee komt dit onderwerp nog nadrukkelijker op de agenda van het dagelijks bestuur en het algemeen bestuur.

Deze nota misbruik en oneigenlijk gebruik gaat over het geheel van maatregelen die de Regionale Belasting Groep (hierna: RBG) neemt om misbruik en oneigenlijk gebruik van wet- en regelgeving zoveel als mogelijk te voorkomen en de gevolgen ervan te beperken. Deze maatregelen hebben betrekking op wet- en regelgeving, voorlichting, controlebeleid, sancties en evaluatie.

Dit overkoepelend beleid is daarmee een onderdeel van het toetsingskader bij de uit te voeren interne audits. De accountant doet bij de controle nog wel een uitspraak in hoeverre misbruik en oneigenlijk gebruik wordt voorkomen en bestreden en of de genomen maatregelen werken.

2 Definities

De commissie BBV1 zorgt voor eenduidige uitvoering en toepassing van het BBV door decentrale overheden.

De commissie heeft in de kadernota Rechtmatigheid de volgende definities van misbruik en oneigenlijk gebruik (M&O) opgenomen:

2.1. Misbruik

Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van gegevens met als doel ten onrechte overheidssubsidies of -uitkeringen te verkrijgen of niet dan wel een te laag bedrag aan heffingen aan de overheid te betalen.

Het opzettelijk niet, niet tijdig, onjuist of onvolledig verstrekken van informatie betreft een bewuste misleiding om een onrechtmatig of onwettig voordeel te behalen. Misbruik kan gelijk worden gesteld met het plegen van fraude om zich onrechtmatig overheidsgelden toe te eigenen. Niet elke misstap (fout) geldt als misbruik. Bij het maken van fouten is er meestal geen sprake van een opzettelijke handeling. Daarnaast is het begrip misleiding van betekenis in deze definitie. Misleiding heeft betrekking op het bewust verborgen houden van het misbruik.

‘Misbruik’ is onrechtmatig en telt mee als fout voor de Rechtmatigheidsverantwoording wanneer dit niet is gecorrigeerd en/of teruggevorderd. Bij het bestrijden van misbruik passen beheersmaatregelen zoals misbruikpreventie, handhaving, misbruik en fraudeopsporing en sancties.

2.2. Oneigenlijk gebruik

Het door het aangaan van rechtshandelingen, al dan niet gecombineerd met feitelijke handelingen, verkrijgen van overheidsbijdragen of het niet dan wel tot een te laag bedrag betalen van heffingen aan de overheid, in overeenstemming met de bewoordingen van de regelgeving maar in strijd met het doel en de strekking daarvan.

Bij oneigenlijk gebruik wordt feitelijk gehandeld in overeenstemming met wet- en regelgeving. Daarmee zijn dergelijke handelingen niet onrechtmatig. Wel is sprake van het in strijd handelen met het doel en de strekking ervan. Indien de wet- en regelgeving oneigenlijk gebruik mogelijk maakt (de “mazen van de wet”) is het blijkbaar noodzakelijk dat de wet- en regelgeving wordt aangepast en/of duidelijker wordt toegelicht.

Misbruik is dus onrechtmatig, oneigenlijk gebruik niet.

2.3. Fraude

Dit omvat opzettelijke handelingen door één of meerdere personen binnen de organisatie, waarbij gebruik wordt gemaakt van misleiding teneinde een onrechtmatig of onwettig voordeel te behalen.

Fraude is een vorm van bedrog. De zaken worden anders voorgesteld dan deze zijn, door op papier of digitaal een onjuiste weergave te geven van de werkelijkheid.

2.4. Interne fraude

Interne fraude valt buiten de scope van het M&O beleid van de RBG. Dit type fraude is een onderdeel van de getrouwheidsverklaring van de accountant in het kader van de controle op de jaarrekening en wordt daarom niet opgenomen in de rechtmatigheidsverantwoording. Als de RBG deze fraude op een juiste manier heeft verwerkt in de jaarrekening, kan deze toegelicht worden in de paragraaf bedrijfsvoering.

3 Doelstelling en uitgangspunten

3.1 Doelstelling M&O-beleid

3.1.1. Juridisch kader

In artikel 13, lid 2 van de “Verordening financieel beleid, beheer en organisatie gemeenschappelijke regeling RBG“ is bepaald dat het dagelijks bestuur de regels voor het voorkomen van misbruik en oneigenlijk gebruik van de regelingen en eigendommen verzorgt en vastlegt.

3.1.2. Waarom M&O beleid?

Het doel van het M&O-beleid is:

  • het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van overheidsgelden. Primair wordt er naar gestreefd misbruik en oneigenlijk gebruik te voorkomen (preventief beleid).

  • het achteraf controleren, het zo nodig bijstellen van beleidskaders en het repareren of zelfs bestraffen van M&O (repressief beleid).

In de bedrijfsvoering treft de RBG nu al maatregelen om misbruik te voorkomen of tijdig op te sporen en zorgt er voor dat de wet- en regelgeving duidelijk en te handhaven is. Specifieke (beheers)maatregelen in het kader van M&O-beleid maken al onderdeel uit van de diverse processen van de RBG. In het M&O beleid worden overkoepelende algemene kaders vastgelegd.

De redenen hiervoor zijn:

  • Vastleggen van algemeen M&O-beleid draagt bij aan transparantie en consistentie van het beleid en aan de afweging of extra beheersmaatregelen en controles nodig en doeltreffend zijn. Maatregelen die veel geld en energie kosten moeten worden voorkomen als deze slechts beperkt financieel nut opleveren.

  • De betrouwbaarheid van door derden verstrekte gegevens kan niet altijd worden gegarandeerd via reguliere beheersingsinstrumenten, die vaak beperkt zijn tot de eigen organisatie. Specifieke maatregelen zijn nodig bij de controle op gegevens van derden.

  • De werking van beheersmaatregelen en interne controle is voor een belangrijk deel afhankelijk van de integriteit van medewerkers. Het is mogelijk dat in de contacten tussen medewerkers en belanghebbenden bestaande procedures en interne controles onvoldoende effectief zijn. Het is dan ook goed om, in aanvulling op reguliere beheersmaatregelen, alert te zijn op deze risico’s.

3.2 Rollen en verantwoordelijkheden

Het in deze nota opgenomen beleid vormt een overkoepeling van bestaand beleid en bevat geen nieuwe regels.

Rollen en verantwoordelijkheden zijn in lijn met de inrichtingsprincipes van de organisatie.

Het managementteam van de RBG is verantwoordelijk voor het actueel houden van het specifieke M&O-beleid en het treffen van passende M&O-beheersmaatregelen voor de risicogebieden. Ook leggen directie en management verantwoording af over de wijze waarop het M&O-beleid wordt uitgevoerd en wordt nageleefd.

Het dagelijks bestuur ziet erop toe dat directie en management deze taak oppakken en dat waar nodig risico's tijdig worden besproken. Het dagelijks bestuur vervult een kaderstellende rol door het beleid en de periodieke actualisaties daarvan vast te stellen.

Samengevat kan als doelgroep voor dit M&O-beleid worden aangemerkt:

  • het dagelijks bestuur, stelt het M&O-beleid vast;

  • de ambtelijke organisatie, als hulpmiddel om in de uitvoering, controle en evaluatie ten aanzien van op te stellen regelgeving bewust de aandacht op M&O-aspecten te vestigen en passende preventieve dan wel repressieve maatregelen te nemen, dan wel bewust te onderbouwen waarom van maatregelen wordt afgezien.

3.3 Uitgangspunten

De volgende uitgangspunten liggen ten grondslag aan het M&O-beleid van de RBG:

  • 1.

    Wij werken vanuit een basishouding van vertrouwen in een juiste omgang met collega’s, inwoners, gemeenten, instellingen en bedrijven.

  • 2.

    Maatregelen ter bevordering van een juist gebruik van de verordening en bedrijfsvoering zijn proportioneel. Deze moeten in verhouding staan tot de risico’s die worden gelopen en worden ingezet op basis van een analyse van de risico's en na afweging van de kosten en baten.

  • 3.

    De beheersmaatregelen zijn zowel extern als intern gericht. Intern kijken wij naar ons eigen handelen. Extern geldt dat zaken niet de deur uit gaan zonder toetsing aan de geldende wetgeving.

  • 4.

    De betrouwbaarheid van aangeleverde informatie, afgezet tegen het mogelijk optreden van risico's, is bepalend voor de mate van controle en eventuele sanctionering.

  • 5.

    Voorkomen is beter dan genezen. De inzet van beleid en maatregelen is primair gericht op preventie van misbruik en oneigenlijk gebruik van de regelingen.

  • 6.

    Van derden ontvangen gegevens worden indien mogelijk gecontroleerd.

  • 7.

    Na constatering van een overtreding wordt de rechtmatige situatie zo snel als mogelijk hersteld en zo nodig worden er passende maatregelen getroffen.

  • 8.

    Directie en management zijn verantwoordelijk voor het nemen van beheersingsmaatregelen om misbruik en oneigenlijk gebruikt te voorkomen.

  • 9.

    Deze nota M&O actualiseren wij eens in de vier jaar of eerder als daarvoor specifieke aanleiding is. Actualiseren is van belang voor het op orde houden van de maatregelen ter bestrijding van misbruik en oneigenlijk gebruik en voor het alert houden van de organisatie.

4 Beheersmaatregelen ter voorkoming M&O

Bepaalde regelingen en processen (of onderdelen daarvan) kunnen het risico van misbruik of oneigenlijk gebruik met zich meedragen. Meer specifiek is dit het geval als er sprake is van afhankelijkheid van gegevens die derden aan de RBG verstrekken.

Wettelijke eisen en minimumnormen verbinden aan de meeste regelingen de verplichting om maatregelen ter bestrijding van fraude en misbruik te treffen. Hierbij worden maatregelen ingezet uit landelijke wetgeving en regelgeving van de RBG. Daarnaast zijn extra beheersmaatregelen denkbaar die het risico van misbruik en oneigenlijk gebruik verder terugdringen.

Ook beheersmaatregelen die intern zijn gericht zijn relevant. Het gaat dan om zaken zoals functiescheiding, toegangsrechten tot applicaties, regelmatige controle daarvan, het vastleggen van gebeurtenissen in log-ins, en rapportages over deze maatregelen.

Een onderscheid kan worden aangebracht tussen preventieve en repressieve maatregelen (of een mix daarvan).

4.1 Preventieve maatregelen

Preventieve maatregelen zijn maatregelen die liggen vóór het moment van beschikken, aanslagoplegging en restitutie. Preventieve maatregelen betreffen regelgeving, voorlichting en controle vooraf. Zij zijn gericht op het voorkomen van misbruik en oneigenlijk gebruik van regelingen.

4.1.1. Regelgeving

Heldere en eenduidige regelgeving beperkt de ruimte voor misbruik en oneigenlijk gebruik. Onder regelgeving wordt verstaan: verordeningen en beleidsregels.

Adequate en handhaafbare regelgeving is een belangrijke beheersmaatregel in het kader van M&O- beleid en voldoet in dat verband aan de volgende eisen:

  • eenvoud, inzichtelijkheid en begrijpelijkheid;

  • er gelden eenduidige definities;

  • het doel en de doelgroep van de regeling is nauwkeurig bepaald;

  • rechten, plichten en voorwaarden zijn opgenomen;

  • er zijn geen overbodige en/of met elkaar strijdige bepalingen;

  • de afhankelijkheid van gegevens afkomstig van derden is zoveel mogelijk beperkt;

  • mogelijke maatregelen of sancties bij geconstateerd misbruik en oneigenlijk gebruik zijn in de regeling opgenomen;

  • ingangsdata en overgangsregels zijn in de regeling opgenomen.

4.1.2. Informeren

Wet- en regelgeving wordt door middel van voorlichting onder de aandacht gebracht van belanghebbenden (collega’s, inwoners, gemeenten, waterschappen, instellingen en bedrijven).

Er wordt informatie verstrekt over het bestaan, aard en doel van een regeling, de specifieke doelgroep, geldende voorwaarden en controle- en sanctiebeleid.

Voorlichting draagt preventief bij aan het voorkomen van misbruik en oneigenlijk gebruik van een regeling, zeker als ook duidelijk wordt gecommuniceerd over mogelijke sancties.

4.1.3. Preventief controlebeleid

Controle in de uitvoering is een middel om (de kans op) misbruik of oneigenlijk gebruik te signaleren. Mogelijke M&O gevallen kunnen al in een vroegtijdig stadium worden opgespoord.

Gegevens worden vooraf gecontroleerd tot aan het moment van betaling of beschikkingsverlening en geldt daarmee als preventieve maatregel. Controle vooraf richt zich op de toetsing van de juistheid en volledigheid van gegevens die door derden zijn verstrekt. Aangeleverde gegevens worden indien mogelijk gecontroleerd. Uitgangspunt is dat, voordat wordt beschikt, uitbetaald of een uitspraak wordt verstuurd, een andere medewerker controleert of deze werkzaamheden zichtbaar, volledig en juist zijn uitgevoerd (vier-ogen principe).

In beleid wordt bepaald welke controlemethoden worden gebruikt ten aanzien van regelingen.

Controles kunnen variëren van integraal (totale controle), steekproefsgewijs tot incidenteel.

Hierbij is de aard en omvang van de doelgroep van belang en hoe misbruikgevoelig een regeling is.

Processen waarbij gevoeligheden spelen, moeten voldoende maatregelen bevatten om de tijdigheid, juistheid, volledigheid en prestatielevering te toetsen van door belanghebbende(n) verstrekte gegevens.

4.2 Repressieve maatregelen

Repressieve maatregelen zijn maatregelen die na het moment van beschikken of betalen worden genomen. Het gaat om controle achteraf, waarbij M&O kan worden vastgesteld.

4.2.1. Repressieve controle

Repressieve controle vindt plaats nadat de betaling of ontvangst is afgehandeld. Via controle achteraf kan misbruik en oneigenlijk gebruik worden geconstateerd. Deze controles worden integraal, steekproefsgewijs of incidenteel uitgevoerd en maken ook onderdeel uit van de reguliere interne controle.

Interne controles worden periodiek uitgevoerd om te beoordelen of conform de interne procedures is gewerkt en of transacties getrouw en rechtmatig tot stand zijn gekomen. In de uitvoering van de controles is expliciet aandacht voor M&O. Vastlegging van de controleresultaten is verplicht. De resultaten van de controle kunnen bijvoorbeeld leiden tot aanpassing van het controlebeleid en/of de regelgeving.

Periodiek wordt een geactualiseerd intern controleplan bedrijfsvoering vastgesteld door het dagelijks bestuur.

Dit vormt de basis voor de audits en de verantwoording daarover in de jaarstukken en in de periodieke rapportages.

4.2.2. Verbijzonderde interne controle.

De (V)IC is een check op de toepassing en functionaliteit van de AO. De Interne Controle (IC) wordt uitgevoerd door de afdelingen zelf, door medewerkers die zelf bevoegdheden hebben in de gecontroleerde processen.

De werkwijzen, conclusies en aanbevelingen van de IC-medewerkers worden aanvullend getoetst door de kwaliteitsmedewerker van het team advies en ondersteuning.

4.3 Sanctionering/maatregelenbeleid

Sancties worden opgelegd als reactie op een vaststelling van misbruik. Alleen misbruik is immers onrechtmatig en moet worden hersteld en/of passende maatregelen worden genomen.

Maatregelenbeleid is vereist om adequaat te reageren op geconstateerd misbruik en/of oneigenlijk gebruik. Maatregelenbeleid moet voldoen aan de beginselen van behoorlijk bestuur. Dit houdt onder andere in dat maatregelen en sancties proportioneel moeten zijn in relatie tot het vergrijp.

Uitgangspunt is dat het behaalde voordeel wordt teruggevorderd en er indien nodig maatregelen worden getroffen. Concreet leidt het bijvoorbeeld tot terugvordering van te veel betaalde bedragen of naheffing van ten onrechte gederfde ontvangsten. In bepaalde gevallen kan ook de ontbinding van een overeenkomst of de intrekking van een erkenning als niet-financiële sanctie worden opgelegd.

In geval van een misdrijf (fraude of diefstal) wordt aangifte gedaan bij de politie. Van sanctionering gaat een afschrikeffect uit en dit draagt om die reden eveneens bij aan het voorkomen en beperken van misbruik van regelingen.

4.4 Evaluatie

Regelgeving wordt veelal periodiek geëvalueerd. In een evaluatie dient ook plaats te zijn voor de effectiviteit van genomen maatregelen ter voorkoming van misbruik en oneigenlijk gebruik en de toereikendheid van verschillende controlewerkzaamheden. De RBG neemt dit op in het auditplan vanaf 2025 en rapporteert twee keer per jaar de status aan het MT. Het M&O beleid kan hierop worden aangepast.

5 Risicogebieden

M&O-beleid wordt toegepast bij regelingen waar een risico bestaat op misbruik en oneigenlijk gebruik. Afhankelijk van de misbruikgevoeligheid van een regeling wordt de intensiteit van de inzet van beheersmaatregelen bepaald. In dit hoofdstuk worden de risicogebieden beschreven waarop M&O-beleid van toepassing is. Daarbij wordt de intensiteit van de inzet van het M&O-beleid benoemd en onderbouwd.

5.1 Intensiteit M&O-beleid

Afhankelijk van de mate van een M&O-risico wordt een streng, een gematigd of een basis beleid gevoerd. De hoogte van een risico is afhankelijk van de kans dat het zich voordoet en de (financiële) impact die het heeft.

5.1.1. Streng M&O-beleid

Streng M&O-beleid omvat beheersmaatregelen die verder gaan dan de reguliere maatregelen op het gebied van de administratieve organisatie en interne controle (AO/IC). Specifieke en aanvullende (controle)maatregelen zijn noodzakelijk, zowel in voorwaardenscheppende sfeer als voor wat betreft het houden van een actief toezicht daarop.

5.1.2. Gematigd M&O-beleid

Gematigd M&O-beleid houdt in dat waakzaamheid is geboden. Enkele aanvullende maatregelen worden getroffen, zoals een actieve voorlichting en een kritische beoordeling van de onderbouwing en herkomst van door derden aangeleverde gegevens (b.v. verscherpte controles).

5.1.3. Licht M&O-beleid

Licht M&O-beleid kan worden toegepast in het geval dat de reguliere AO/IC toereikend is.

Er zijn geen aanvullende maatregelen noodzakelijk (te denken valt aan een adequate functiescheiding). Er moet wel aandacht zijn voor heldere en eenduidige regelgeving en actieve voorlichting.

5.1.4. Geen specifiek M&O-beleid

Als de regulier AO/IC toereikend is, zijn geen aanvullende maatregelen noodzakelijk en kan incidentele controle op misbruik en oneigenlijk gebruik plaatsvinden.

5.2 Risicovolle processen

Regelingen waarbij de informatie van andere partijen bepalend is voor het verlenen en vaststellen van een indicatie, zijn gevoelig voor misbruik en oneigenlijk gebruik. Ook interne processen kunnen M&O-gevoelig zijn.

De volgende processen worden aangemerkt als risicogebieden omdat derden een aanmerkelijk (financieel) belang hebben en de RBG in grote mate afhankelijk is van door die derden verstrekte gegevens:

5.2.2. Heffingen en belastinginkomsten (licht M&O-beleid)

De belastinginkomsten voor deelnemers van de RBG worden grotendeels gerealiseerd door watersysteemheffing, zuiveringsheffing, OZB, afvalstoffenheffing, leges en rioolrechten. De hoogte van deze belastingen wordt gebaseerd op redelijk objectieve criteria of op gegevens van niet-betrokken derden.

Er is ook een groep belastingen/heffingen waarbij rechtstreeks toetsbare gegevens ontbreken zoals de reclamebelasting, toeristenbelasting en forensenbelasting.

Bij de toeristenbelasting gaan we in beginsel uit van de aangifte van de inwoner/ondernemer die de mogelijkheid biedt tot overnachting. Jaarlijks worden deze aangiftes wel steekproefsgewijs gecontroleerd in opdracht van de deelnemers.

De forensenbelasting kan alleen gecontroleerd worden waar dit geldt voor o.a. vakantieparken. Voor het overige wordt uitgegaan van het eerlijk doorgeven door de belastingplichtige.

5.2.3. Kwijtscheldingen (gematigd M&O-beleid)

Ook de procedure van kwijtschelding is risicogevoelig, omdat deze bij niet-automatische verlening sterk afhankelijk is van de juistheid van de door de klant verstrekte gegevens. Hier zijn aanvullende M&O maatregelen nodig en daarmee een gematigd M&O beleid.

5.2.4. Inkopen en aanbestedingen (gematigd M&O-beleid)

Met inkoop en aanbesteding kan een aanmerkelijk financieel belang gemoeid zijn. Wet- en regelgeving en ook het inkoopbeleid van de RBG bevatten echter al de nodige waarborgen op het gebied van M&O.

De (verbijzonderde) interne controles op inkopen en aanbestedingen zijn eveneens een waarborg dat deze juist en volledig zijn. Ook interne budget- en functiescheidingen zijn van toepassing.

Aanvullende M&O-maatregelen kunnen zich beperken tot enkele extra controles van aangeleverde gegevens. Daarom geldt voor inkopen en aanbestedingen een gematigd M&O-beleid.

Voor aanvullende opdrachten (meerwerk) en opdrachten die één-op-één gegund worden is tevens een gematigd beleid noodzakelijk, omdat hierop mogelijk niet alle voorstaande beheersmaatregelen worden toegepast.

Een vorm van misbruik is dat een externe partij zich probeert te verrijken door een valse factuur naar de RBG te sturen in de hoop dat deze wordt betaald, terwijl de prestatie niet (geheel) is geleverd

5.2.5. Personeelslasten (licht M&O-beleid)

De interne controle op personeelslasten is goed georganiseerd. Enkele belangrijke aandachtspunten zijn: kopie identiteitsbewijs, formele aanstelling, controle buiten de personeelsadministratie om en Verklaring Omtrent Gedrag.

Een nuance geldt wellicht voor kostenvergoedingen. Hierbij valt te denken aan het verkrijgen van een vergoeding voor gemaakte reiskosten, terwijl deze kosten door een persoon niet juist opgegeven worden of dat de juiste grondslag ontbreekt. Deze controle vindt plaats in de eerste lijn (manager).

De salarisadministratie wordt uitgevoerd door een externe partij.

Het risico is dat een (fictieve) medewerker wordt opgevoerd in de salarisadministratie of dat het salaris of aantal uren te hoog wordt ingegeven in het salarissysteem. Het financiële belang hiervan is in het algemeen echter beperkt. Hierbij moet wel sprake zijn van een goede functiescheiding.

5.3 Privacy en gegevensdeling

Misbruik en oneigenlijk gebruik zijn niet beperkt tot het misbruiken van middelen, maar kunnen ook betrekking hebben op het misbruiken van data. Dit kan leiden tot inbreuk op de privacy, waarbij identiteitsfraude de meest ernstige vorm kan aannemen. Voorbeelden hiervan zijn het lekken van vertrouwelijke informatie of persoonsgegevens.

5.3.1. Algemene verordening gegevensbescherming (AVG): streng M&O beleid

Om persoonsgegevens van Europese inwoners beter te beschermen, is vanaf 25 mei 2018 de Algemene Verordening Gegevensbescherming (AVG) van kracht. Voorbeelden van persoonsgegevens zijn onder meer naam, adres, geboortedatum, BSN, medische informatie en geloofsovertuiging. De AVG bepaalt dat persoonsgegevens alleen mogen worden verzameld en bewaard als daar een wettelijke grondslag voor is en alleen voor zover strikt noodzakelijk. De RBG houdt een register bij waarin alle processen en de verwerkte persoonsgegevens worden beschreven. Als andere organisaties persoonsgegevens namens RBG verwerken, worden hierover afspraken gemaakt en vastgelegd in een verwerkersovereenkomst.

5.3.2. Baseline informatiebeveiliging Overheid (BIO): Streng M&O Beleid

Informatiebeveiliging omvat de processen die zijn opgezet om de betrouwbaarheid van de processen, gebruikte informatiesystemen en opgeslagen gegevens te beschermen tegen misbruik en oneigenlijk gebruik. De Baseline Informatiebeveiliging Overheid (BIO) is hierbij het belangrijkste kader en is van kracht sinds 1 januari 2020. De BIO vervangt de bestaande baselines voor informatieveiligheid voor het Rijk, gemeenten, waterschappen en provincies.

Dit creëert één gezamenlijk normenkader voor informatiebeveiliging binnen de gehele overheid, gebaseerd op internationaal erkende en actuele ISO-normen. De uitvoering van dit kader is vastgelegd in het Informatiebeveiligingsbeleid.

6 Verantwoording

Om inzicht te krijgen in de wijze waarop het M&O-beleid wordt uitgevoerd en nageleefd, moet verantwoording worden afgelegd. Dit wordt gerealiseerd door aan te sluiten bij de reguliere Planning & Control cyclus.

In het kader van de verantwoording worden in ieder geval de volgende stappen ondernomen:

  • Vanaf de begroting 2027 wordt in de paragraaf Bedrijfsvoering informatie opgenomen over het M&O-beleid;

  • Vanaf de kwartaalrapportage 2026 wordt in de paragraaf Bedrijfsvoering gerapporteerd over de voortgang in het M&O;

  • Vanaf de jaarrekening 2025 wordt verantwoordingsinformatie over het M&O beleid opgenomen;

  • Bij het verrichten van interne controles, audits en onderzoeken wordt aandacht besteed aan het M&O-beleid;

  • Bij het opstellen van procesbeschrijvingen, in het kader van de administratieve organisatie, wordt rekening gehouden met M&O-gevoelige aspecten.

Ondertekening

Vastgesteld door dagelijks bestuur van de Regionale Belasting Groep,

Schiedam, 9 maart 2026,

Directeur,

J.F. Kooistra

Voorzitter,

P. Ouwendijk

Noot
1

Besluit begroting en verantwoording provincies en gemeenten