1. Jeugdzorg
Door incidenten (crisis of gesloten jeugdzorg) of nieuwe cliënten met complexe jeugd casuïstiek bestaat het risico dat er beroep wordt gedaan op de zwaardere en duurdere jeugdzorg, zonder dat dit begroot is. Ook kunnen we achteraf geconfronteerd worden met kosten als gevolg van directe verwijzers als huis- en jeugdartsen en gecertificeerde instellingen. Deze medische verwijsroute is wettelijk ingeregeld.
Een ander risico betreft de kosten van aanbieders die tot 5 jaar na inzet zorgaanbod mogen nafactureren. Deze verplichtingen zijn in kaart gebracht maar gelden voor 1 jaar, waardoor eventueel nafacturering van de andere jaren kan drukken op de lopende begroting.
Beheersmaatregel
Door preventief en integraal samen te werken zet het CMD doorlopend in op effectiviteit. Vroegtijdig signaleren biedt ruimte om zo licht mogelijk en zo zwaar als nodig ondersteuning in te zetten. Met zorgaanbieders en huisartsen zijn afspraken gemaakt over verwijzingen, zodat het CMD hier zo veel mogelijk grip op krijgt. Sinds 2020 wordt er voor de meeste jeugdzorgproducten gewerkt met uur- in plaats van maandtarieven. Hierdoor kan beter gestuurd worden op de frequentie en doorlooptijd van zorg. Daarnaast zijn voor 2021 met een aantal belangrijke aanbieders van hoogcomplexe zorg vaste afspraken gemaakt over wat zij betaald krijgen. Hierdoor is er meer zekerheid over de uitgaven aan een deel van de hoogcomplexe jeugdzorg.
2. CMD algemeen
In 2019/2020 heeft door K2 een onderzoek naar het CMD plaatsgevonden. In de rapportage (april 2020) zijn diverse problemen blootgelegd en aanbevelingen gedaan. Twee van de aanbevelingen zijn in 2020 opgepakt, de analyse naar de 10% duurste casussen en het opstellen van een nieuwe visie op het CMD. Dat laatste is opgepakt door een Raadswerkgroep en heeft geleid tot een door de raad vastgesteld visiedocument waarbij de bedoeling van het Cmd is geherformuleerd. De aanbevelingen van K2 inclusief de hernieuwde visie leiden tot een verandertraject. Dat traject is inmiddels in gang gezet en wordt in 2021 afgerond.
We gaan er vanuit dat het verandertraject leidt tot een reductie van de uitgaven en het beroep op de voorzieningen. Het verandertraject en het opvolgen van de aanbevelingen kost echter tijd, we hebben geen garanties dat de aanpak daadwerkelijk leidt tot kostenbesparing en we zien nog steeds een ontwikkeling van toenemende vraag. Daarnaast brengen de coronamaatregelen met zich mee dat het lastig te meten is wat de structurele gevolgen zullen zijn van de opgevolgde aanbevelingen.
Beheersmaatregel
Het verandertraject dient te leiden tot een integrale aanpak waarin we de aanbevelingen in samenhang laten terugkomen, om zo de slagingskans zo groot mogelijk te maken. We blijven monitoren en anticiperen op de trends waaronder de stijgende hulpvraag. We betrekken daarbij de medewerkers en de netwerkpartners van het CMD bij het opvolgen van de aanbevelingen waaronder de uitwerking van de visie. Tegelijkertijd blijven we onze inwoners adequaat ondersteunen bij hun hulpvraag. Dat vraagt het nodige van de medewerkers binnen het Cmd. De formatie dient daarbij op orde te zijn om zowel het verandertraject goed te kunnen doorlopen als ook onze inwoners adequaat te ondersteunen.
3. Wolfswinkel
Meerjarig gezien is er geen sluitende exploitatie van de begraafplaats. Hierdoor is een negatief eigen vermogen ontstaan. De gemeente loopt het risico dat de stichting begraafplaats en uitvaartcentrum Wolfswinkel niet in staat is aan haar aflossingsverplichting te voldoen.
Beheersmaatregel
Er is meerjarig gezien geen sluitende exploitatie van de begraafplaats geweest. De realisatie van een crematorium wordt onderzocht om een sluitende exploitatie te realiseren. De gemeente is voor 50% deelgenoot in de stichting en heeft voor de gebouwen exploitatieleningen verstrekt. De jaarlijkse rente en aflossing lasten bedragen € 30.000,- per jaar. Daarnaast is de onderhoudsvoorziening van de panden op de begraafplaats niet op het niveau om het noodzakelijke onderhoud uit te voeren.
4. Cybercriminaliteit
Cybercriminaliteit is criminaliteit met ICT als middel én doelwit. Cybercriminaliteit is veelvoorkomend. Er zijn verschillende vormen van cybercriminaliteit. Een onoplettende medewerker of een goed uitgevoerde vorm van cybercriminaliteit kan leiden tot problemen op financieel gebied, het verlies van productieve uren of tot grote privacyrisico’s. De kans hierop neemt toe en ook de impact wordt groter. Dit wordt onder meer veroorzaakt door het steeds complexer worden van de ICT aan de ene kant. En aan de andere kant blijkt uit een benchmark dat we onder het gemiddelde zitten qua middelen. Er zijn cyberaanvallen geweest op gemeentes, ziekenhuizen, MKB bedrijven enzovoorts.
Beheersmaatregel
De CISO en FG organiseren acties om het bewustzijn rondom cybercriminaliteit binnen de organisaties te verhogen. Tevens worden medewerkers actief herinnerd aan de gedragscodes omtrent computergebruik en privacywetgeving.
Gemeenten zijn in 2015 aangesloten bij de IBD VNG en hebben de BIG (Baseline Informatieveiligheid Gemeenten) als norm voor hun informatieveiligheid ingevoerd. De BIG is vervangen door de BIO (baseline Informatiebeveiliging Overheid), waarbij eigenaarschap en risico analyse centraal staan. De IBD adviseert ons bepaalde maatregelen te treffen. Die voeren wij, voor zover op ons van toepassing, door.
5. Algemene uitkering gemeentefonds
Via circulaires wordt de gemeente 2 maal per jaar geconfronteerd met aanpassingen vanuit het gemeentefonds. De afspraak tussen het Rijk en de gemeenten is 'samen de trap op, samen de trap af'. Indien het Rijk bezuinigt, wordt er ook minder geld in het gemeentefonds gestort.
Deze schommelingen in de algemene uitkering kunnen problemen veroorzaken voor het sluitend krijgen van de begroting. Op de hoogte van de algemene uitkering kan geen invloed worden uitgeoefend.
De geplande herijking van de totale algemene uitkering uit het gemeentefonds is doorgeschoven van 2021 naar 2023. Op 2 februari 2020 zijn voor het eerst herverdeeleffecten per individuele gemeente zichtbaar gemaakt. Voor Son en Breugel gaat het om een nadelig effect van afgerond € 750.000,-. Dit effect wordt in jaarlijkse stappen van € 15,- per inwoner doorgevoerd. Het genoemde bedrag is nog onder voorbehoud. Besluitvorming vindt plaats door het nieuwe kabinet, na advies van de Raad voor het Openbaar Bestuur en consultatie van de VNG. Verder geldt dat de effecten zijn berekend op de maatstafhoeveelheden van 2017. Dit moet uiteindelijk dus 2023 worden.
Het kabinet is ook van plan om de Financiële Verhoudingswet te wijzigen. Als tussenvorm tussen de huidige specifieke uitkeringen en de algemene uitkering wil men gerichte uitkeringen introduceren. Bij gerichte uitkeringen moet informatie verstrekt worden over het behalen van de vooraf gestelde doelen.
Als onderdeel van het compensatiepakket coronamaatregelen zijn de VNG en de Fondsbeheerders overeengekomen de accressen 2020 en 2021 te fixeren op de stand van de meicirculaire 2020. Voor die jaren staat de afrekening dus min of meer vast. Het voorbehoud dat is gemaakt voor onverwachte grote afwijkingen van de werkelijkheid en deze standen mag niet te groot zijn. Bevriezen komt tegemoet aan de wens van rust en stabiliteit van de algemene uitkering.
Beheersmaatregel
De algemene uitkering maakt integraal onderdeel uit van de begroting. De schommelingen worden op het eerst volgende moment binnen de exploitatie verwerkt om deze sluitend te houden.
6. Attero-compensatieovereenkomst
Formeel hebben de gewesten in Brabant een contract met Attero over het verbranden van afval. In dit contract is een minimum-hoeveelheid opgenomen. Vanaf 2011 is deze minimum hoeveelheid niet aangeleverd door de gewesten gezamenlijk.
Momenteel ligt er een claim van Attero over 2015 t/m jan 2017. Er is een uitspraak gedaan door een arbitragecommissie en de gemeenten zijn daarin in het ongelijk gesteld.
Er is een factuur van € 6,1 miljoen als naheffing gestuurd naar de MRE. Deze factuur is door het MRE betaald. Inmiddels is vanuit de VvC een procedure gestart bij het Gerechtshof om het vonnis te vernietigen. In de tussenliggende periode wordt dit bedrag nog niet verrekend met de gemeenten.
Over die verrekening bestaat namelijk binnen het MRE onenigheid tussen de gemeenten. De niet-diftar-gemeenten staan op het standpunt dat zij het tekort niet hebben veroorzaakt en dus ook hiervoor niet gaan betalen. Op dit moment is dus nog niet aan te geven hoe de kosten verdeeld zullen worden over de gemeenten. Ook binnen de gewesten bestaat overigens nog onenigheid over de verdeling van de kosten. De discussie hierover wordt verschoven tot na de uitspraak over de vernietigingsprocedure.
Beheersmaatregel
De berekening van het te betalen bedrag is arbitrair want het gaat uit van solidariteit, terwijl je ook een heel andere invalshoek kan gebruiken, zoals daadwerkelijke minderlevering van restafval.
7. Crisisbeheersing
Iedere gemeente kan te maken krijgen met incidenten, die de status van een crisis krijgen. Deze kunnen plaatsvinden zowel in het fysieke als het sociale domein. Ook kunnen crises lokaal, regionaal of bovenregionaal van karakter zijn.
Beheersmaatregel
Door adequate maatregelen kunnen de effecten van een crisis zo veel mogelijk beperkt worden. Lokale, regionale en landelijke crisisorganisaties voorzien daarin, met name door crisiscoördinatie en -organisatie. Goede eenduidige informatievoorziening, opleidingen en oefenen zijn daarbij randvoorwaarden voor succes. Implementatie van verbeterpunten uit evaluaties zorgt steeds voor verdere professionalisering van de crisisorganisatie.
Daarnaast wordt ruim ingezet op preventie en preparatie om aan de voorkant crises te voorkomen.
Voor de organisatie van de crisisorganisatie is een nieuwe visie ontwikkeld. Van hieruit wordt vorm gegeven aan een nog professionelere multidisciplinaire organisatie. Veiligheidsregio's Brabant-Zuidoost en Brabant-Noord en de Politie Oost-Brabant werken hierin nauw samen. Een goed getrainde organisatie die expertise betrekt waar nodig, zal door adequaat ingrijpen de effecten van incidenten zo veel mogelijk kunnen beperken.
Met de transities is de gemeente verantwoordelijk geworden voor veel zorgtaken. Hierdoor kan de gemeente vaker partij zijn wanneer een crisis in het sociale domein zich voordoet.
Met de coronacrisis is bevestigd dat een ongekende crisis realiteit kan worden. Een pandemie is al langer gekwalificeerd als een risico met grote waarschijnlijkheid en mogelijk catastrofale gevolgen. Ook voor de toekomst zullen we hier rekening mee moeten houden.
8. Dienst Dommelvallei
De samenwerking op het gebied van bedrijfsvoering en dienstverlening verloopt via de Gemeenschappelijke Regeling Dienst Dommelvallei. Op basis van de vastgestelde begroting van Dienst Dommelvallei wordt financieel bijgedragen aan de dienst. Hierbij zijn ook aannames gemaakt met betrekking tot te realiseren efficiency. Omdat Dienst Dommelvallei geen eigen reserves heeft worden de risico’s van de dienst betrokken bij de risicowaarde van de drie deelnemende gemeenten.
Beheersmaatregel
Via een begroting, jaarrekening en rapportages (Dommelvallei) worden de ontwikkelingen periodiek en intensief gevolgd. Eventuele effecten kunnen rechtstreeks verwerkt worden in de eigen begroting. Daarnaast is sprake van deelname in het bestuur van Dienst Dommelvallei.
De risico's van Dienst Dommelvallei zijn, voor zover mogelijk, inzichtelijk gemaakt en beheersmaatregelen zijn geformuleerd.
9. GGD Brabant Zuidoost
De Gemeenschappelijke Regeling GGD Brabant Zuidoost heeft tot doel een bijdrage te leveren aan de publieke gezondheidszorg en de ambulancezorg. Op basis van de begroting wordt financieel bijgedragen.
Het onafgedekte risico, zijnde € 2.550.000, dient te worden op genomen in de eigen risicoparagraaf van de deelnemende gemeentes, herrekend naar de risicowaarde per gemeente.
Beheersmaatregel
Via de begroting, jaarrekening en rapportages worden de ontwikkelingen periodiek en intensief gevolgd. Eventuele effecten kunnen rechtstreeks verwerkt worden in de eigen begroting.
Daarnaast is sprake van deelname in het bestuur en ambtelijk het Opdrachtgeversplatform.
10. Inkoop en aanbesteding
De volgende risico's hebben betrekking op inkoop en aanbesteding:
- Als gevolg van het niet juist hanteren van de aanbestedingsplicht kan een marktpartij rechtsmiddelen aanwenden tegen een gunningsbesluit. Dit leidt tot een vertraging met financiële en juridische gevolgen;
- Niet rechtmatige inkopen kunnen bovendien leiden tot een afkeurende verklaring (rechtmatigheid) bij de jaarrekening. Hierdoor bestaat de kans op negatieve publiciteit;
- Contracten kunnen stilzwijgend verlengd worden tegen ongunstige voorwaarden. Of door het niet bundelen van opdrachten worden besparingsmogelijkheden niet benut.
Beheersmaatregel
Na de inwerkingtreding van de Aanbestedingswet 2012 is bij de implementatie daarvan veel voorlichting gegeven, de procedure uitvoering beschreven en checklists opgesteld. Elke inkoop gebeurt in beginsel vanuit het principe materiedeskundige (beleidsambtenaar), inkoper (Bizob). Dit is afhankelijk van de inkoopwaarde en/of potentiële risico’s die met de inkoop gepaard gaan. Vragen kunnen aan Bizob en eventueel aan de juridische adviseur gesteld worden.
Inkoop en Aanbesteding is onderdeel van de verbijzonderde interne controle. Hierbij worden zowel procesgerichte (deelwaarneming) als gegevensgerichte (inkoopanalyse) controles uitgevoerd. Fouten en/of verbetervoorstellen worden teruggekoppeld.
Als gevolg van de gewijzigde EU-richtlijnen is de Aanbestedingswet 2012 gewijzigd. Op 18 juli 2017 is het inkoopbeleid, met inbegrip van het inkoophandboek en -procedures, vastgesteld. Daarbij zijn - overeenkomstig de landelijke en regionale lijn - de drempels voor de interne procedures vereenvoudigd waardoor het risico op het niet goed volgen van intern beleid verder is verkleind.
11. Vennootschapsbelasting
Met ingang van 1 januari 2016 is de Wet modernisering Vpb-plicht overheidsondernemingen in werking getreden. Dit houdt in dat jaarlijks een fiscale aangifte moet worden ingediend. Eerst wordt een voorlopige aangifte gedaan, gevolgd door de definitieve.
Beheersmaatregel
Verdere vervolgstappen vooruitlopend op het oordeel van de Belastingdienst op het afstemmingsverzoek kunnen nog niet worden genomen.
12. Fiscaliteit
De gemeente is aansprakelijk voor fouten in loonbelastingopgaves, Btw aangiften, opgave Btw compensatiefonds en de WKR. Bovendien kan de gemeente aansprakelijk worden gesteld voor belastingschulden van andere bedrijven op basis van inleners of ketenaansprakelijkheid.
Beheersmaatregel
Met het oog op de ontwikkelingen rondom 'Horizontaal Toezicht' met de Belastingdienst wordt er gewerkt aan een 'Tax Control Framework'. Dit betekent niet dat het risico komt te vervallen.
13. Beveiligingsincident
De Dommelvallei organisaties zijn informatie intensieve organisaties met een primaire focus op de dienstverlening. Deze organisatie kenmerken vragen om een betrouwbare en veilige informatievoorziening.
Voorbeelden van informatiebeveiligingsincidenten, die bij ons zijn opgetreden:
- Een verzoek tot een financiële transactie overschrijven vanuit “de directeur”, in werkelijkheid een fraudeur.
- Een verzoek om gebruikersnaam en wachtwoord in te vullen vanuit “de helpdesk”, in werkelijkheid een externe partij met slechte bedoelingen.
De IBD geeft in het dreigingsbeeld 2019-2020 duidelijk het signaal af, dat de kans op beveiligingsincidenten toeneemt.
De IBD geeft in het dreigingsbeeld 2021-2022 duidelijk het signaal af, dat de kans op beveiligingsincidenten toeneemt. De volgende categorieën van risico’s worden onderscheiden:
- Bedrijfscontinuïteit in het geding.
- Integriteit van gegevens is niet gewaarborgd.
- Vertrouwelijke gegevens in verkeerde handen.
- Imagoschade.
- Schade aan democratische processen.
- Gegevens in verkeerde handen.
- Dienstverlening van de gemeente niet beschikbaar.
- Ontwrichting van alledaagse processen en
- Financiële schade.
Op meerdere manieren kan een gemeente geconfronteerd worden met financiële schade als gevolg van ontbrekende informatiebeveiliging. De gemeente Lochem werd op een haar na slachtoffer van gijzelsoftware maar had toch enkele tienduizenden euro’s schade als gevolg van het stilleggen van de dienstverlening, het forensisch onderzoek en het herstellen van de ICT-omgeving. Wanneer de gemeente daadwerkelijk zou zijn getroffen door gijzelsoftware hadden de kosten kunnen oplopen tot honderdduizenden of zelfs miljoenen euro’s.
Een ambtenaar, bestuurder of raadslid kan bedoeld of onbedoeld informatie verschaffen waar een kwaadwillende zijn voordeel mee kan doen (en de gemeente gedupeerd achterblijft). Informatie rond bestemmingsplannen, aanbestedingen of veranderende regels kan zeer waardevol zijn. Onzorgvuldige omgang met persoonsgegevens en overtredingen van de Algemene verordening gegevensbescherming (AVG) kunnen leiden tot aansprakelijkheidsstellingen van getroffenen of boetes van de privacytoezichthouder. Een boete wegens onzorgvuldig handelen met de privacy van inwoners zou bovendien leiden tot grote imagoschade.”
Beheersmaatregel
In 2015 hebben de vier organisaties (Geldrop-Mierlo, Nuenen, Son en Breugel en Dienst Dommelvallei) het informatiebeveiligingsbeleid vastgesteld. In dit beleid wordt op strategisch en tactisch niveau beschreven welke uitgangspunten gelden ten aanzien van de informatiebeveiliging van de Dommelvallei organisaties. Dit beleid moet samen met de technische beveiligingsmaatregelen en de aandacht voor een goede houding en gedrag van medewerkers de risico’s verlagen
Jaarlijks wordt de ENSIA zelf-audit uitgevoerd.
Er is een BIO TOP10 programma opgezet en deze wordt uitgevoerd, waarmee maatregelen worden genomen om de grootste risico’s te mitigeren.
14. Algemene verordening gegevensbescherming
Overheidsorganisaties verwerken allerlei persoonsgegevens. Deze persoonsgegevens zijn vertrouwelijk en moeten goed worden beschermd. In de Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 van kracht is, zijn hiervoor regels vastgesteld.
Ook de gemeenten en Dienst Dommelvallei moeten de AVG naleven. Doen zij dit niet, dan is de Autoriteit Persoonsgegevens bevoegd om corrigerende maatregelen te nemen. Denk hierbij bijvoorbeeld aan een waarschuwing of een boete. De AP houdt bij haar beoordeling van de maatregel onder andere rekening met de aard, ernst en duur van de inbreuk, het aantal getroffen betrokkenen en de omvang van de door hen geleden schade.
De AP heeft inmiddels de eerste boetes opgelegd. Deze boetes dienen doeltreffend, evenredig en afschrikkend te zijn. De AP kan een overheidsinstantie een maximale boete van € 20.000.000,- opleggen.
Ook het niet melden van datalekken kan een boete tot gevolg hebben. Een datalek is het verlies of de ongeoorloofde toegang tot persoonsgegevens. Voorbeelden hiervan zijn het kwijtraken van een USB-stick, een tablet of een laptop waar persoonsgegevens op staan. Een datalek kan ook ontstaan wanneer er een mail met persoonsgegevens naar een verkeerde persoon wordt gestuurd. Datalekken moeten, afhankelijk van het privacyrisico, bij de Autoriteit Persoonsgegevens worden gemeld. Organisaties zijn verplicht een datalekkenregister bij te houden en aan te kunnen tonen welke maatregelen ze genomen hebben om de nadelige gevolgen van het datalek te beperken.
Beheersmaatregel
Via onder andere presentaties en intranet worden medewerkers continue geïnformeerd over de AVG en de gevolgen hiervan voor de eigen werkzaamheden. We hebben een verwerkingenregister waarin de verwerkingen van persoonsgegevens zijn opgenomen. Ook voeren we Data Protection Impact Assessments (DPIA’s) uit. Dit is een instrument om het privacy risico van een beoogde gegevensverwerking voor betrokkenen in kaart te brengen. Daarnaast zijn we bezig om met onze verwerkers verwerkersovereenkomsten af te sluiten. Hierin staan afspraken over de maatregelen die verwerkers moeten nemen om de persoonsgegevens van onze burgers passend te beveiligen.
Verder hebben we een procedure Beveiligingsincidenten en datalekken, waarmee we borgen dat datalekken juist en tijdig worden gemeld en afgehandeld. In ons datalekkenregister houden we bij welke datalekken er zijn gemeld en hoe we deze hebben gedicht.
De gemeente heeft een privacy beheerder die ondersteunt en adviseert bij privacyvraagstukken. Daarnaast heeft de gemeente een Functionaris Gegevensbescherming (FG) aangesteld die er op toeziet dat de AVG wordt nageleefd.
15. Verkiezingen
In de meerjarenraming is rekening gehouden met de regulier te verwachten verkiezingen. In het geval extra verkiezingen worden uitgeschreven wordt een financieel risico gelopen.
Beheersmaatregel
Dit is niet beïnvloedbaar. Als sprake is van tussentijdse verkiezingen zal de gemeente deze moeten organiseren.