Control

Binnen Eemsdelta werken we als organisatie volgens het Three Lines-model. Hierbij zijn de verantwoordelijkheden laag in de organisatie zijn belegd. De eerste lijn (de business) is verantwoordelijk voor de procesbeschrijvingen en de interne controle. Daarbij wordt het team/cluster ondersteund door de tweede lijn (ondersteunende afdelingen) met adviezen. Vanuit het team Concerncontrol zijn dat de controllers. Uiteindelijk dient ook onafhankelijk te worden getoetst of de teams/clusters volgens de vastgelegde processen werken. Dat is de derde lijn. De auditor voert diverse audits uit om een onafhankelijk oordeel te geven over de rechtmatigheid van de bestede middelen van de gemeente Eemsdelta. Vanuit een risicogerichte aanpak geeft de auditor mede uitvoering aan het Auditplan. Aan de hand van de bevindingen worden heldere en bruikbare adviezen en mogelijke beheersmaatregelen opgesteld voor het management.

Binnen onze gemeente zijn de controllers toegewezen aan een cluster. In 2026 gaan we door op de ingeslagen weg. Team Concerncontrol zet zich in op de verdere uitrol van risicomanagement en het ontwikkelen van betrouwbare sturingsinformatie. Er dient bekeken te worden welke informatie gewenst is, welke informatie beschikbaar is, hoe we de informatie gebruiken en waarop wordt gestuurd. Dit moet in nauwe samenwerking met de clusters opgezet te worden en is een meerjarig traject.

Het college heeft over het boekjaar 2023 voor het eerst een rechtmatigheidsverantwoording af gegeven. Gezien het feit dat de we in een opbouwende fase verkeert, heeft het college voor de minimale variant gekozen. Het proces voor het afgeven van de rechtmatigheidsverantwoording door het College over het boekjaar 2024 is goed verlopen. Er zal wel een evaluatie zijn. De auditcommissie zal betrokken worden bij de evaluatie van de afgegeven rechtmatigheidsverantwoording.

Onze organisatie heeft een eigen team met onafhankelijke auditors. Zij gaan op basis van een jaarlijks auditplan, diverse onderzoeken uitvoeren naar de rechtmatigheid, getrouwheid en doelmatigheid/doeltreffendheid. Via de paragraaf bedrijfsvoering bij de jaarrekening zal gerapporteerd worden over de conclusies en aanbevelingen van de in het betreffende jaar uitgevoerde onderzoeken. Aan de hand van de bevindingen worden heldere en bruikbare adviezen en mogelijke beheersmaatregelen opgesteld voor het management. Ook voor 2026 wordt een auditplan opgesteld.

De bescherming van persoonsgegevens en privacy van onze inwoners blijft in het jaar 2026 (en ook daarna) een belangrijke factor van betekenis. Technische ontwikkelingen zoals kunstmatige intelligentie (AI), machinaal leren van computersystemen, het werken in de cloud en het alom verzamelen van data door slimme apparaten worden steeds meer toegepast en krijgen steeds meer impact, ook door de gemeente Eemsdelta. De kwetsbaarheid van persoonsgegevens en privacy-gerelateerde kwesties nemen daarmee echter toe.

De opkomst van AI en toepassing daarvan zal in de komende jaren ‘normaal’ worden in het dagelijks leven en in de uitvoering van taken door de gemeentelijke overheid. Deze technologieën bieden ongekende mogelijkheden, maar roepen ook nieuwe zorgen op ten aanzien van privacy. AI-systemen verzamelen en verwerken immers enorme hoeveelheden persoonsgegevens, vaak zonder dat inwoners (én medewerkers) zich hiervan bewust zijn. Ook slimme apparaten en sensoren (in de koelkast, de auto, wearables en slimme steden) verzamelen data, vaak continu en voor een groot deel onzichtbaar voor gebruikers. De uitdaging voor de gemeente ligt erin om te zorgen dat inwoners controle behouden over hun gegevens (AVG-inzageverzoeken) en het gebrek aan transparantie rond verzameling en gebruik te minimaliseren. Datalekken liggen anders op de loer; de kans erop dient zo klein mogelijk te worden gehouden.

Gegevens worden ook steeds vaker opgeslagen in de cloud. De datacenters van Eemsdelta bevinden zich vooralsnog binnen Europa. Wanneer bepaalde applicaties (per abuis) gebruik maken van datacenters daarbuiten, brengt dit juridische uitdagingen met zich mee: naleving van verschillende privacywet- en regelgeving en risico’s dat data toegankelijk wordt voor buitenlandse overheden of criminelen. Het waarborgen van adequate beveiliging en de benodigde contractuele en technische maatregelen vormen daarom een voortdurende uitdaging.

De Algemene Verordening Gegevensbescherming (AVG) is nog altijd het belangrijkste juridische kader in Europa, maar de snelle technologische ontwikkelingen vragen om een voortdurende herziening van bestaande kaders. Ook andere rechtsgebieden, zoals sectorale wetgeving in het Sociaal Domein, brengen nieuwe verplichtingen en dilemma’s met zich mee.

Cyberaanvallen worden steeds geavanceerder en gerichter. Hackers maken gebruik van deepfake-technologie, social engineering en kwetsbaarheden in digitale ecosystemen. Datalekken, identiteitsdiefstal en ransomware-aanvallen vormen in 2026 ook voor de eigen organisatie van Eemsdelta een direct gevaar voor de bescherming van persoonsgegevens. Alle organisaties zijn doelwit.

De roep om meer veiligheid, bijvoorbeeld in het licht van terrorismebestrijding, tegengaan van ondermijning of pandemiebestrijding, kan ten koste gaan van het recht op privacy. Het blijven vinden van een balans tussen collectieve veiligheid en individuele vrijheden is ook in 2026 van groot belang. De gemeentelijke organisatie dient privacy vanaf het begin te borgen (‘privacy by design’) toe te passen en standaardinstellingen altijd privacy-vriendelijk te maken (‘privacy by default’).

Het vergroten van privacybewustzijn bij de medewerkers is een kans om privacyrisico’s te verkleinen. De organisatie heeft hiervoor al stappen gezet, maar dient dit voort te zetten door trainingen, e-learning via Goodhabitz en aandachtmomenten door bestuur en management.

Conclusie

De bescherming van de persoonsgegevens van de inwoners van Eemsdelta dient in 2026 (en ook daarna) voortdurend aandacht te krijgen. Hun privacy moet als het ware in het DNA van medewerkers op alle niveaus in de organisatie zitten. Dit zeker als nieuwe technologieën zich ontwikkelen, wetgeving verandert en er steeds meer (cyber-)dreigingen zijn. Alleen hierdoor en door voortdurende aandacht, aanpassing en (interne) samenwerking blijft privacy in 2026 voor onze inwoners een fundamenteel recht.