Paragraaf bedrijfsvoering

In deze paragraaf lichten we een aantal onderdelen toe. Het gaat om een aantal onderwerpen die we toe moeten lichten in de programmabegroting en in de jaarrekening. We staan hier in deze paragraaf wat uitgebreider bij stil dan in het programma 9. Besturen in verandering van tijden.
Het gaat om:

• De rechtmatigheidsverantwoording
• Privacy
• Informatieveiligheid

Voor de andere actuele ontwikkelingen op het gebied van de bedrijfsvoering verwijzen we naar programma 9. Besturen in verandering van tijden.

De informatie over de wet open overheid lichten we toe in de paragraaf openbaarheid in dit jaarverslag.

In deze paragraaf is op basis van de Kadernota rechtmatigheid van de commissie BBV en op basis van de afspraken met de raad, informatie opnemen over de financiële rechtmatigheid.

Met ingangsdatum 1 januari 2023 heeft een wetswijziging plaatsgevonden met als gevolg dat het college vanaf 2023 de rechtmatigheidsverantwoording opneemt in de jaarstukken en verantwoording aflegt over eventuele geconstateerde onrechtmatigheden. De rechtmatigheidsverantwoording houdt in dat het college verantwoording aflegt over hoe zij omgaat met geld en of dit op een juiste manier gebeurt. Door middel van een rechtmatigheidsverantwoording legt het college verantwoording af aan de gemeenteraad en andere toezichthouders over hoe zij haar middelen gebruikt en beheert. De accountant geeft een getrouwheidsoordeel, dit houdt in dat de accountant wel heeft vastgesteld dat de opgenomen rechtmatigheidsverantwoording getrouw is verantwoord in de jaarstukken.

Het college stelt vast dat de omvang van de in deze jaarrekening verantwoorde baten en lasten alsmede de balansmutaties die niet rechtmatig tot stand zijn gekomen bedrag € 20.622.000 bedraagt. Dit is hoger dan de daarvoor gestelde grens van € 9.054.800 (2% van het totaal van de kosten, exclusief stortingen in reserves). Van de niet rechtmatig tot stand gekomen verantwoorde baten en lasten alsmede de balansmutaties is volgens het college overigens een bedrag van € 20.622.000 acceptabel op basis van door de gemeenteraad vastgestelde afspraken.  

Met de gemeenteraad is afgesproken dat eventuele afwijkingen op rechtmatigheid groter dan € 100.000 en die betrekking hebben op het begrotingscriterium, voorwaardencriterium en het criterium voor het voorkomen van misbruik en oneigenlijk gebruik opgenomen dienen te worden in deze paragraaf.  

• De afwijkingen t.a.v. het begrotingscriterium zijn hieronder opgenomen in de analyse rechtmatigheid. Dit in het geval dat de lasten niet vallen binnen de begroting (inclusief wijzigingen) zoals deze door de gemeenteraad is goedgekeurd. Hierbij gaan we uit (conform de kadernota rechtmatigheid) dat het overschrijden van de begroting (op programmaniveau) en van investeringen altijd onrechtmatig is. Formeel zijn deze posten dus onrechtmatig. In de financiële verordening 212 is met de gemeenteraad afgesproken dat de gemeenteraad overschrijding van de lasten acceptabel vinden als er sprake is van één van onderstaande criteria.

• Kostenoverschrijdingen worden gecompenseerd door direct gerelateerde opbrengsten.
• Kostenoverschrijdingen het gevolg zijn van openeinderegelingen.
• De overschrijding is geautoriseerd door middel van een tussentijdse rapportage.

In bovenstaande tabel maken we daarom een splitsing in:

- totale begrotingsonrechtmatigheid
- "acceptabele" begrotingsonrechtmatigheden op basis van afspraken met de gemeenteraad.  

Daarnaast is met de gemeenteraad afgesproken dat eventuele onderschrijdingen van de lasten als ook onder- en overschrijdingen van de baten tijdig gemeld zijn als deze worden toegelicht in de jaarrekening. Deze zijn dus in principe niet onrechtmatig.

• Voor wat betreft het voorwaardencriterium is vastgesteld dat de financiële beheershandelingen zijn verricht in overeenstemming met (externe en interne) wet- en regelgeving. Belangrijk onderdeel bij het vaststellen is dat we als gemeente hebben voldaan aan inkoop en aanbestedingsbeleid (norm voor Europese aanbestedingen). Op het gebied van inkoop zien we vanuit interne controle vooral procedurele bevindingen, zoals de aanwezigheid van startformulieren en onderbouwingen van vooraf ingeschatte bedragen.
• Voor wat betreft misbruik & oneigenlijk gebruik (M&O) heeft het college voldoende waarborgen genomen om te voorkomen dat als gevolg van misbruik of oneigenlijk gebruik van wet- en regelgeving ten onrechte overheidssubsidies of -uitkeringen is verleend of een te laag dan wel geen bedrag aan heffingen aan de gemeente is betaald. 

Analyse begrotingsrechtmatigheid

Programma's met overschrijding lasten
In onderstaande tabel zijn de lastenoverschrijdingen opgenomen per programma met vermelding of de overschrijding wel of niet mee telt voor de rechtmatigheidsverantwoording.

Bedrag * € 1.000

Toelichting overschrijdingen lasten per programma

Programma 4. Klimaat, energie en openbare ruimte
De overschrijding op de lasten wordt veroorzaakt door vooral hogere kosten asfaltonderhoud van IUP projecten. Hier staat een hogere onttrekking uit de reserve IUP tegenover. De reserve IUP heeft een drieledig doel, te weten:

1.  Verzorgen voor jaarovergang van onderhanden werken;
2.  Sparen voor groot onderhoudsprojecten in de openbare ruimte
3.  Opvangen projectresultaten en het afdekken van kleine functionele verbeteringen.

De overschrijding van de uitgaven wordt binnen deze kaders gedekt door een hogere onttrekking uit de reserve IUP. De reserve is hiervoor specifiek bedoeld. Daarmee is het een "geaccepteerde" overschrijding voor de gemeenteraad.

Programma 5. Economie
De overschrijding lasten wordt vooral veroorzaakt de storting in de voorziening Waardering lening Wachtmeesters. We hebben de voorziening herzien en een deel bij moeten storten. We hebben dit bedrag onttrokken uit de reserve die we hier specifiek voor hadden. De lening was in het verleden al 100% voorzien. Dit is deels administratief teruggedraaid, waarbij deze specifieke reserve toen is gevormd ter dekking. Het samenhangende budget is dus al eerder geformaliseerd door de gemeenteraad.
Daarnaast hebben we hogere lasten binnen het grondbedrijf (industrieterreinen) door verkopen binnen Vorstengrafdonk. Hier staan inkomsten en een voorraadmutatie tegenover. Daarmee is het een "geaccepteerde" overschrijding voor de gemeenteraad.

Programma 07. Verstedelijking, wonen & mobiliteit
De overschrijding lasten wordt vooral veroorzaakt door onderdelen binnen het grondbedrijf (herstructurering en woningbouwcomplexen). De lasten zijn hoger doordat de boekwaarde van het project Klein Amsteleind is ingebracht binnen het grondbedrijf. Hier staan inkomsten en een voorraadmutatie tegenover. Daarmee is het een "geaccepteerde" overschrijding voor de gemeenteraad. Het openen van het project is ook door de gemeenteraad via een apart raadsvoorstel besloten en dit is een administratieve verwerking van dit besluit. Daarmee past de overschrijding binnen een door de Raad goedgekeurd raadsbesluit.

Programma 9. Besturen in verandering van tijden
Voor dit programma hebben we onderscheid gemaakt tussen de lasten die direct binnen dit programma vallen en het onderdeel overhead. We hebben beiden onderdelen los geanalyseerd.

• Programma, exclusief overhead: de overschrijding van de lasten van € 3,2 miljoen wordt vooral veroorzaakt door een extra noodzakelijke storting in de voorziening pensioenen wethouders van € 2,4 miljoen (wettelijk verplicht en dus passend binnen bestaand beleid) en door de verhoging van verlofspaarvoorziening voor medewerkers van € 0,4 miljoen (ook verplicht karakter). Daarnaast hebben we € 0,5 miljoen hogere kosten voor diverse verstrekkingen bij burgerzaken (reisdocumenten, VOG, naturalisaties). Hier staan inkomsten tegenover.
• Overhead: de overschrijding van de lasten van € 1,2 miljoen wordt vooral veroorzaakt door hogere kosten van inhuur. Deze inhuur is vooral nodig geweest in verband met vervanging in het kader van ziekte, vacatures en werkzaamheden voor derden.  Daarnaast hebben we hogere kosten van € 0,4 miljoen door het minder activeren van personeelskosten op investeringskredieten. Binnen de overhead hebben we echter ook hogere inkomsten gerealiseerd ter hoogte van € 2,4 miljoen. Dit bestaat onder andere uit hogere vergoedingen vanuit het UWV en uit hogere inkomsten uit vergoedingen van personeel dat werkzaamheden uitvoert voor derden/de regio. Tegenover de hogere kosten van de overhead (personeelskosten) staan dus direct inkomsten uit personeel tegenover.   

Daarmee zijn alle de overschrijdingen binnen het programma 9, inclusief overhead, een "geaccepteerde" overschrijding voor de gemeenteraad.

Investeringen met overschrijdingen kredieten
We sluiten eind 2025 voor een bedrag van € 42,5 miljoen aan investeringsprojecten af. In onderstaande tabel zijn de investeringskredieten opgenomen (bedrag * € 1.000) die we in 2025 afsluiten met een overschrijding. Dit zijn projecten waarbij overal een vastgesteld krediet beschikbaar is, maar waar kosten hoger zijn uitgevallen. Deze overschrijdingen voldoen niet aan de criteria die in de verordening Financieel beleid zijn opgenomen om een overschrijding als acceptabel aan te merken.
Kredieten met een overschrijding in 2025 bij projecten die doorlopen in 2026 zijn hier niet opgenomen, omdat deze overschrijdingen in 2026 opgevangen worden in de dan beschikbaar komende kredieten.

Conclusie

Er is voor een bedrag van € 222.000 aan kredietoverschrijdingen die als onrechtmatig aan te merken zijn.

We hebben in 2025 een plan opgesteld voor de komende jaren om de privacyvolwassenheid van de gemeente door te ontwikkelen. Door langdurige onderbezetting in het privacyteam heeft de vaststelling en uitvoering van dit plan vertraging opgelopen.

Diverse doelstellingen voor 2025 zijn bereikt. Zo zijn in 2025 de volgende zaken uitgevoerd:

• Begin 2025 hebben de Privacy Officers en de Functionaris Gegevensbescherming (FG) van de gemeente Oss bijeenkomsten georganiseerd voor Accenthouders Privacy;
• De FG heeft individuele gesprekken gevoerd met leidinggevenden om de rol van Accenthouders Privacy toe te lichten en om draagvlak te creëren;
• De FG heeft onderzoeken gedaan. Zo is de volledigheid van het verwerkingsregister, de datalekregistratie en opvolging van de aanbevelingen uit de externe Wpg-audit (Wet Politiegegevens) onderzocht. De FG heeft in zijn onderzoeksrapporten aanbevelingen gedaan om het verwerkingsregister en datalekregister vollediger te maken en om een Wpg-verbeterplan op te stellen. Het datalekregister is vernieuwd en er is een Wpg-verbeterplan opgesteld;
• Binnen het Sociaal Domein is een project voorbereid om begin 2026 te starten met een inhaalslag voor het uitvoeren van DPIA’s;
• We hebben een vervolgmeting uitgevoerd om de privacyvolwassenheid van de gemeente inzichtelijk te maken.

In 2025 hebben we opnieuw belangrijke stappen gezet op het gebied van informatiebeveiliging. Het strategisch informatiebeveiligingsbeleid blijft hierbij ons kompas: het biedt richting en kaders zodat informatiebeveiliging aantoonbaar bijdraagt aan de strategische organisatiedoelen van de gemeente Oss.

Technische maatregelen en governance
Om de beveiliging van onze Microsoft 365 ‑ omgeving verder te versterken, zijn diverse technische en organisatorische maatregelen doorgevoerd. Het beleid voor Identity & Access Management (IAM) is in uitvoering gebracht. Dit vormt een meerjarig traject, omdat een zorgvuldige invoering en borging nodig is om te garanderen dat medewerkers uitsluitend toegang krijgen tot de applicaties en gegevens die noodzakelijk zijn voor hun werkzaamheden.
Daarnaast is in 2025 het beleid voor Mobile Device Management (MDM) vastgesteld. De uitwerking naar een uitvoeringsplan vindt in 2026 plaats. Op basis van risicoanalyses is besloten dat alleen vertrouwde en beheerde apparaten toegang mogen krijgen tot zowel onze cloud ‑ als on ‑ premises omgevingen. Hiermee minimaliseren we beveiligingsrisico’s en versterken we de robuustheid van onze informatievoorziening.

Bewustwording en oefening
Bewustwording onder medewerkers is en blijft een essentieel onderdeel van onze beveiligingsaanpak. In 2025 is dit thema structureel ondergebracht in de integrale digitaliseringsstrategie, waardoor bewustwording niet langer als losse activiteit wordt benaderd, maar als onderdeel van een brede, organisatiebrede ontwikkeling. Deze integrale benadering zorgt ervoor dat veilig digitaal werken wordt gekoppeld aan digitale vaardigheden, veranderende processen en het vergroten van adoptie en weerbaarheid binnen de gehele organisatie.
Hoewel er in 2025 minder gebruik is gemaakt van de campagne Veilig Werk, is wél opnieuw een mysteryguest ‑ onderzoek uitgevoerd. Dit onderzoek levert waardevolle inzichten op in menselijk handelen en potentiële kwetsbaarheden en vormt daarmee een belangrijk instrument binnen de bredere digitaliseringsaanpak.
Daarnaast vond in 2025 een uitgebreide cyberoefening plaats met directie en bestuur. Op basis van de evaluatie wordt in 2026 vervolg gegeven, zodat we blijven werken vanuit een lerende aanpak waarin voortdurend wordt gekeken naar verbetering en adaptiviteit.

Monitoring, detectie en testen
Onze infrastructuur wordt 24/7 bewaakt via Monitoring & Response, zodat afwijkingen direct worden gedetecteerd en opgevolgd. Onze systemen blijven actueel door structurele patchrondes en tijdige updates. Ook de voorzieningen voor back ‑ up en herstel zijn verder versterkt.
Evenals in voorgaande jaren zijn in 2025 pentests en kwetsbaarheidsscans uitgevoerd. Deze helpen potentiële zwakke plekken gericht te identificeren en tijdig te herstellen, en vormen een belangrijk instrument om onze digitale weerbaarheid te borgen.

Vooruitblik op wettelijke verplichtingen: Cyberbeveiligingswet en NIS2
De komende juridische verplichtingen vragen om structurele voorbereiding. De bestaande BIO wordt vanaf het derde kwartaal van 2025 wettelijk verankerd in de Cyberbeveiligingswet (Cbw), waarin tevens de Europese NIS2-richtlijn is geïmplementeerd. NIS2 heeft onder meer impact op onze procesautomatisering.
In dit kader is een programma opgestart om procesautomatisering projectmatig in kaart te brengen. Ook is in 2025 het project Business Continuity Management (BCM) gestart, dat de komende periode verder wordt uitgerold. Daarnaast is een OT-analyse uitgevoerd; in 2026 volgt een GAP ‑ analyse inclusief risicogebaseerde prioritering van maatregelen.

Verantwoording ENSIA
Zoals elk jaar leggen we verantwoording af via ENSIA. Ook in 2025 is opnieuw voldaan aan de verplichte IT ‑ audits voor DigiD en Suwinet. Het ENSIA ‑ verantwoordingsproces over 2025 is op dit moment in uitvoering.