De provincie staat voor grote en complexe opgaven in een tijd van nationale en geopolitieke spanningen. Deze tijd van verandering vraagt om voldoende aanpassingsvermogen van de provincie. Risicomanagement draagt hier in belangrijke mate aan bij. Ten opzichte van de risico-inventarisatie in de Programmabegroting 2026 is de top 10 nagenoeg hetzelfde gebleven. De risico's die betrekking hebben op financiële instrumenten worden conform nieuw beleid niet langer via de reserve weerstandsvermogen afgedekt.
De inventarisatie van risico’s leverde in totaal 132 risico’s op. Deze zijn opgenomen in ons risicomanagementsysteem. Van de 132 hebben 65 risico’s een financieel effect. Het totaalbedrag waarover we risico lopen bedraagt momenteel € 90,6 miljoen. Het is onwaarschijnlijk dat alle opgenomen risico’s zich tegelijkertijd voordoen. Daarom wordt jaarlijks een Monte Carlo-analyse uitgevoerd waarbij statistisch met 90% (landelijke norm) wordt berekend wat het benodigde weerstandsvermogen is. Hieruit blijkt dat € 12,6 miljoen voldoende is om alle risico's op te vangen.
In het onderstaande overzicht presenteren we de top 10 van het aantal risico's. Dit zijn de risico’s met de hoogste impact op het benodigd weerstandsvermogen. Deze risico’s zijn samen goed voor ongeveer 49% van de berekende omvang van het benodigd weerstandsvermogen. De Financiële Klasse is bepaald op het maximaal financieel risico. Als het verwachte financieel gevolg bekend is, is dat ingevuld onder financieel gevolg. Zo niet, dan is het maximale financieel gevolg ingevuld.
(bedragen x € 1 miljoen)
Nr | Risico | Kans | Financieel gevolg | Invloed |
|---|---|---|---|---|
1 | PFAS - 1 SPUK is niet voldoende om project uit te voeren | 47% | max.€ 5,0 | 14.16% |
2 | Er vindt een cyberincident plaats | 25% | max.€ 5,0 | 7.44% |
3 | Fouten bij de berekening van de provinciale opcenten door de Belastingdienst | 30% | max. € 4,0 | 7.10% |
4 | ICT gerelateerde voorvallen, waaronder uitval, etc. | 10% | max. € 10,0 | 5.92% |
5 | Uitlekken van vertrouwelijke / privacy gevoelige of privacygevoelige informatie. | 20% | max.€ 5,0 | 5.90% |
6 | Uitval kritieke operationele systemen | 45% | max. € 1,0 | 6.29% |
7 | (HvH en VBS) Algemeen - Hogere plankosten door netwerkcongestie en extra combinatierisico | 30% | max. € 1,4 | 5.11% |
8 | (HVH) Oude Tempel 16 Kans op hogere grondopbrengst | 20% | max.€ -2,0 | 4.91% |
9 | Van het Rijk ontvangen we niet de toegezegde middelen voor de ANLb 2026-2028 | 10% | max.€ 5,4 | 4.28% |
10 | Uitvoering Wet versterking regie volkshuisvesting 2026 | 49% | max.€ 1,0 | 2,69% |
PFAS – Rijksbijdrage is niet voldoende om het project uit te voeren
Voor de sanering van de PFAS-verontreiniging van grond en grondwater op de voormalige Vliegbasis Soesterberg is van het rijk een bijdrage van € 23,5 miljoen ontvangen. Er is nog veel onzekerheid over de toekomstige kosten, onder andere omdat er nog een saneringsvariant gekozen moet worden en ook omdat de normen voor sanering van het grondwater nog niet zijn bepaald. Het kan zijn dat dit bedrag op de lange termijn onvoldoende is, om de kosten te dekken. De ontvangen bijdrage van het rijk is een lump sum, indexering is dus niet aan de orde en daarmee komt de kostenstijging ook ten laste van het bestaande budget. De sanering start na de keuze van de saneringsvariant en het verkrijgen van de benodigde vergunningen. De saneringswerkzaamheden lopen, met name voor het reinigen van het grondwater, zeker meer dan 10 jaar door. Dit risico is opgenomen, omdat de sanering geen deel uitmaakt van de Grex-en.
Er vindt een cyberincident plaats
Het gevolg van een cyberincident kan zijn dat ICT-systemen en/of Operationele besturingssystemen niet beschikbaar zijn, of niet meer werken zoals gewenst. Ook bestaat de mogelijkheid dat systemen overgenomen worden met als doel fysieke schade aanbrengen, ontwrichting en/of desinformatie. Dit kan bijvoorbeeld betekenen dat bedrijfsprocessen niet uitvoerbaar zijn, ongewenste teksten op website van de provincie, rituitval voor het trambedrijf of verstoring van verkeerslichten.
Er is een reële kans dat wij worden geconfronteerd met een cyberincident, zoals een hack, ransomware aanval of inbraak. Door samenwerking tussen de provincies en de diensten vanuit Nationaal Cyber Security Centrum, wordt dreigingsinformatie sneller ontvangen en ontstaat een (beter) situationeel beeld van de potentiële dreigingen. We kunnen aanvallen eerder detecteren, risico-inschattingen verbeteren en effecten van mitigerende maatregelen beter beoordelen.
Wij kunnen dit, ondanks getroffen beheersmaatregelen, niet helemaal voorkomen. De dreigingsbeelden van Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) en Nationaal Cyber Security Centrum blijven onverminderd hoog vanuit criminaliteit en ook vanuit statelijke actoren. Onze inzet is bedoeld om de kans dat een cyberincident gebeurt te verminderen en de impact bij een incident te beperken.
Fouten bij de berekening van de provinciale opcenten door de belastingdienst
Dit risico is nieuw opgenomen omdat de provinciale opcenten een materiële inkomstenbron vormen en de provincie hierbij afhankelijk is van een juiste uitvoering door de Belastingdienst. Bij fouten in de berekening of verwerking (bijvoorbeeld door systeem- of procesfouten) kan sprake zijn van te lage of te hoge afdrachten, met als gevolg een incidentele tegenvaller, correcties achteraf en onzekerheid over de gerealiseerde baten. Gezien de mogelijke omvang van nabetalingen of terugbetalingen en de beperkte directe beïnvloedbaarheid door de provincie is het risico opgenomen in het weerstandsvermogen. De kans is ingeschat op 30% en de maximale financiële impact op € 4 miljoen. Ter voorkoming hiervan is via het IPO een structureel afstemmingslijntje met de Belastingdienst ingericht om tijdig signalen op te halen en mogelijke afwijkingen in de berekening te voorkomen.
ICT- gerelateerde voorvallen
Door de toenemende digitalisering van ons werk neemt ook de afhankelijkheid van IT-middelen en services toe. Uitval of het niet beschikbaar zijn van IT-middelen en services heeft een grote impact op de continuïteit van onze werkzaamheden en onze bedrijfsvoering. We monitoren de beschikbaarheid van onze systemen dan ook continu en passen onze maatregelen daartoe aan. We hebben onder andere deze maatregelen actief:
- een (actueel) bedrijfscontinuïteitsplan;
- voldoende controle op toegang door autorisatiemaatregelen (twee-factor authenticatie);
- zorgen voor uitwijkprocedures in overeenkomsten met leveranciers en hostingpartners en opvang bij stroomuitval (signalering en inschakelen experts bij uitval);
- moderniseren van ICT-infrastructuur en regelmatig onderwerpen aan een diepgaande risicoanalyse (DRA), waarbij nieuwe of aangepaste programmatuur grondig wordt getest voor implementatie. Deze modernisering is in gang gezet met het lopende programma ‘ICT-fundament op orde’, afronding 2026.
Uitlekken van vertrouwelijke informatie
Naast AVG gerelateerde gevolgen, kan bijvoorbeeld informatie over vertrouwelijke besluitvorming openbaar worden met als mogelijk gevolg reputatieschade voor de provinciale en gedeputeerde staten.
De Meldplicht Datalekken zorgt ervoor dat organisaties die privacygevoelige gegevens opslaan en/of verwerken, verplicht zijn om een datalek bij de Autoriteit Persoonsgegevens te melden als er mogelijk risico’s voor de betrokkenen zijn. Het begrip datalek is hierbij breed gedefinieerd. Voorbeelden van een potentieel datalek zijn onder andere een verloren USB-stick of laptop, ongeoorloofde toegang tot systemen met persoonsgegevens of het versturen van een email met privacygevoelige gegevens naar een onjuiste persoon.
Het niet melden van dergelijke incidenten kan naast eventuele schadeclaims van derden ook leiden tot boetes van de toezichthouder. Ook nadat melding heeft plaatsgevonden kan de Autoriteit Persoonsgegevens een boete opleggen bijvoorbeeld wanneer betrokkenen niet of onvoldoende worden ingelicht, of bij onvoldoende zorgvuldige beveiliging van en omgang met privacygevoelige informatie. Onder de Europese AVG kunnen maximale boetes worden opgelegd tot (theoretisch) € 10 miljoen of 2% van de jaaromzet. De provincie Utrecht investeert actief in risicobewustzijn rondom informatiebeveiliging en privacy. Uit het jaarlijkse BIO zelf-assesment blijkt dat het volwassenheidsniveau de afgelopen jaren is gegroeid. In 2025 is dit verder toegenomen (op een schaal van 1 tot 5 is het volwassenheidsniveau gegroeid naar 3.1). Om de weerbaarheid van de organisatie te versterken is verdere groei en borging van maatregelen noodzakelijk.
Uitval kritieke operationele systemen
Bij het trambedrijf kunnen de operationele systemen door een aantal oorzaken uitvallen met als gevolg rituitval. Belangrijkste oorzaken zijn storingen en hacking van het systeem. Storingen kunnen o.a. veroorzaakt worden door het veranderde klimaat, waardoor onderdelen bij extreme weersomstandigheden voortijdig uitvallen.
(HvdH en VBS) – Hogere plankosten door netwerkcongestie en extra combinatierisico’s
Er is een aantal onderwerpen benoemd, die bij alle projecten een rol kunnen gaan spelen. Een voorbeeld is de netcongestie: grote bouwprojecten dreigen op een wachtlijst te komen voor een aansluiting op het water – en elektriciteitsnet, wat kan leiden tot uitstel en daarmee hogere plankosten. Ook wordt rekening gehouden met schaarste op de arbeidsmarkt, invoering van financieringsrente bij de provincie, extra tijd en kosten door Woo-procedures. Dit betreft een algemeen risico.
Oude Tempel (HvdH) – kans op hogere grondopbrengsten
De gemeente Soest werkt aan een definitief stedenbouwkundig plan voor Oude Tempel waarbij rekening wordt gehouden met ruimte voor de natuurmaatregelen. In dit risico wordt een bandbreedte aangegeven. Enerzijds kans op lagere grondopbrengsten doordat de maatregelen voor de natuur ten koste gaan van uitgeefbaar gebied of extra investeringen vragen. Anderzijds zijn ook hier de grondopbrengsten conservatief geraamd. Kans is dat de grondopbrengsten uiteindelijk hoger uitvallen. Dit betreft een algemeen risico.
Van het Rijk ontvangen we toch niet de reeds toegezegde middelen voor het ANLb 2026 - 2028
Voor het ANLb is een meerjarige subsidie opengesteld op basis van Europese regels, waar nog niet voor alle jaren met absolute zekerheid in de dekking is voorzien. Voor het jaar 2026 is er een harde toezegging gedaan vanuit het Rijk dat deze middelen met de meicirculaire meekomen. Echter, voor de jaren 2027 en 2028 is er een toezegging gedaan vanuit het Rijk, maar nog geen zicht op wanneer de provincie deze middelen ontvangt. Daarmee bestaat het risico dat in de loop der tijd het Rijk toch anders doet besluiten en de middelen niet meer komen. Gezien de Europese regels moest er echter nu al voor 3 jaar opengesteld worden en bestaat het risico dat we voor 2 jaar zelf in de dekking moeten voorzien.
Uitvoering Wet versterking regie volkshuisvesting
Als op basis van de artikel‑2‑procedure voor de uitvoering van de Wet versterking regie volkshuisvesting minder middelen dan verwacht in het provinciefonds terechtkomen, zijn er onvoldoende middelen beschikbaar om een claim voor de nieuwe wettelijke taken te financieren.