VIII. effectiviteit en borging beheersmaatregelen

Risico

Actie/maatregel

Monitoring

Effectiviteit

Borging

Fluctuaties instroom studenten (stijging/daling)

Specifieke speerpunten per opleiding worden gedefinieerd voor het verhogen van de instroom binnen verschillende
faculteiten.
Uitvoering van het VU breed wervingsplan, inclusief opleidingsgerichte speerpunten.

- Structurele monitoring van inschrijvingen en conversieratio’s gedurende het gehele wervingsjaar.
- Periodieke rapportages door SOZ aan faculteiten en CvB.
- Jaarlijkse evaluatie van marketinginzet en wervingsactiviteiten op opleidingsniveau.

- Maatregelen worden deels als effectief beoordeeld: fluctuaties in instroom zijn grotendeels voorspelbaar geworden; resterende onzekerheid betreft met name de omvang.
- Huidige interventies (wervingscampagnes, internationale zichtbaarheid, Summer School, onderwijsportfolio) hebben aantoonbare, maar nog niet volledig stabiele instroomverhoging gerealiseerd.
- Effectmeting vindt VU‑breed plaats vanaf instroom collegejaar 2026/2027.

- Wervingsplan is opgenomen in het meerjarig beleid en verankerd in de planning-& controlcyclus.
- Borging via procesafspraken tussen SOZ, faculteiten en C&M (o.a. vaste rapportagemomenten en jaarlijkse instroomanalyse).
- Risicobeheersing is opgenomen in de VU brede taskforce instroom, die verantwoordelijk is voor doorontwikkeling en naleving van maatregelen.

Extra bezuinigingen op wetenschappelijk onderwijs en onderzoek op korte termijn

Binnen afdelingen worden verschillende scenario’s voor basisdienstverlening en eventuele plus-maatwerkopties uitgewerkt, inclusief een ‘Plan B’ voor het geval verdere bezuinigingen toch noodzakelijk worden. In faculteiten wordt actief ingezet op het vergroten van externe inkomsten, wat al zichtbare opbrengsten oplevert.

- Periodieke bespreking in MT- en afdelingshoofdoverleggen.
- Voortgang monitoren in bijsturingsplannen, financiële dashboards en FB-overleggen.
- Monitoring van instroom en scenario’s m.b.t. bekostigingsontwikkeling VU-breed.
- Input uit taskforce instroom wordt structureel teruggekoppeld.

- Werkt deels: maatregelen helpen bij het opvangen van fluctuaties maar blijven kwetsbaar door snelle beleidswijzigingen op landelijk niveau.
- Maatregelen zoals portfolioherziening en minder docentintensief onderwijs zijn effectief, maar effect manifesteert zich pas op middellange termijn.
- Verhoogde acquisitie op 2e/3e geldstroom werkt, maar opbrengsten variëren per faculteit en tijdshorizon.

- Borging via structurele agendering in MT- en ODC-vergaderingen.
- Jaarlijkse verwerking in P&C-cyclus (jaarplan, risicodossier, begrotings- en scenario-updates).
- Concrete acties zoals trainingen voor medewerkers, strategische acquisitieontwikkeling en VU-brede afstemming via SOZ en taskforces.
- Maatregelen voor integrale dienstverlening en informatiebeveiliging zijn ad hoc en nog niet volledig geborgd.

Onvoldoende voortgang in vernieuwing strategie en bijsturing

Uitvoering van de decentrale bijsturingsplannen, inclusief maatregelen voor organisatiewijzigingen.

Vaststelling van het IP‑plan 2026‑2030 als integraal kader voor de strategische koers. Vertaling van het IP‑plan naar jaarplannen en concrete programma’s en projecten.
Gefaseerde implementatie van de strategie canvas, met ondersteuning van een extern bureau, om strategische keuzes te expliciteren, te prioriteren en te vertalen naar concrete doelen
Integratie van de strategische keuzes in de P&C- en sturingscyclus en doorvertaling naar jaarplannen.

- Periodieke voortgangsrapportage over de bijsturing in de eenheden vindt plaats in de reguliere P&C cyclus. Dit betreft een kwalitatieve en kwantitatieve rapportage.
- De IP‑programmamanager coördineert de implementatie en bewaakt de voortgang van de strategische doelstellingen.
- In 2025 is een start gemaakt met de monitoring van de strategische voortgang via de reguliere P&C‑cyclus (jaarplan, tussentijdse rapportages en jaarverslag) en via sturingsmomenten met CvB en management.

- De effecten van bijsturingsmaatregelen worden op verschillende wijzen gemonitord.
- Overall moeten de maatregelen bijdragen aan de realisatie van een 0+ begroting in 2028.
- Door centrale regie en monitoring wordt focus aangebracht in de uitvoering.

- Borging via structurele rapportage in de reguliere P&C cyclus.
- Agendering op de BO’s stelt het CvB in staat om tijdig bij te sturen c.q. waar nodig een taakstelling op te leggen
- Verankering IP-plan in de P&C en sturingscyclus

Onvoldoende door-ontwikkeling IT landschap tbv (primaire) bedrijfs-processen

Vanuit meerdere eenheden worden er maatregelen getroffen op dit risico. Op de agenda staan ontwikkelingen op het gebied van automatisering en robotisering. Daarnaast wordt er gewerkt aan alternatieven voor Big Tech, zodat er minder afhankelijkheid ontstaat.

- Periodieke voortgangsrapportages door IT en betrokken diensten over remodeling, automatisering, robotisering en digital sovereignty - initiatieven.
- Monitoring van afhankelijkheid van leveranciers (vendor lock in), status van doorontwikkelings en backend vernieuwing (o.a. VU.nl).
- Afstemming in MT overleggen over prioritering en benodigde keuzes voor de business.

- Maatregelen laten deels effect zien: remodeling van VU.nl en technische verbeteringen zijn in gang gezet, automatisering en robotisering verhogen efficiency.
- Alternatieven voor Big Tech verkleinen op termijn de afhankelijkheid, maar vergen stapsgewijze implementatie.
- Effectiviteit is mede afhankelijk van doorontwikkeling content, capaciteit en duidelijke prioritering door de business.

- Geborgd via de IT‑governance en P&C‑cyclus, inclusief besluitvorming in MT‑overleggen, portefeuillesturing en ontwikkelteams.
- Digitale soevereiniteit verankerd via de Barcelona Declaration en een VU‑breed plan met uitvoering in MT‑kalender.
- Afspraken over prioritering, capaciteit en contentbeheer zijn belegd bij diensten en lijnorganisatie.

Langere discontinuïteit informatie-voorziening/ cyberaanval/ hacking

In verschillende gremia is dit onderwerp verder geagendeerd en worden wensen, capaciteit en planning beter op elkaar afgestemd. De organisatie werkt daarbij toe naar effectievere inzet van digitalisering en automatisering om processen te ondersteunen en te ontlasten.

- 24/7 security monitoring (SOC/SIEM), alertering en incidentregistratie.
- Periodieke vulnerability scans, patch status en pentests; phishing simulaties en awareness metingen.
- Testen van back up/restore en disaster recovery; rapportages in MT/CvB en in de P&C cyclus

- Maatregelen zijn deels effectief: MFA, netwerksegmentatie, hardening, back‑ups/restore‑tests en DDoS‑bescherming beperken impact en hersteltijd.
- Start programma IB‑volwassenheid versterkt structurele weerbaarheid.
- Rest‑risico blijft hoog door toegenomen dreiging en knelpunten in bemensing/capaciteit.

- ISMS op basis van ISO27001
- Op facultair niveau staat implementatie van ISMS/NEN 7510 gepland voor de zorgprocessen binnen een onderdeel;
- Verankerd in hoofdstuk Privacy & Compliance en AVG‑kaders.
- CISO‑functie, incident‑/calamiteitenplan en change/patch‑ governance; besluitvorming in MT/CvB.
- Periodieke voortgangs‑ en auditmomenten.

Sociale veiligheid

Ook in 2026 blijft de VU alert op het voorkomen van ongewenst gedrag. Incidenten worden zorgvuldig onderzocht en besproken, waardoor opvolging en samenwerking met HR en leidinggevenden actueel blijft. Via interne dashboards en periodieke overleggen is er doorlopend zicht op signalen en trends.

- Periodieke aandacht op de MT‑agenda’s.
- Registratie, opvolging en bespreking van meldingen via vertrouwenspersonen, HR cyclus en leidinggevenden.
- Monitoring van communicatie activiteiten (bereik, deelname, feedback) als onderdeel van het communicatieplan.

- Interventies, zoals Active Bystander, trainingen, interveniërende gesprekken) worden als effectief beoordeeld voor bewustwording en het doorbreken van patronen.
- Communicatieplan ondersteunt normstelling (waarden & gedrag) en meldingsbereidheid.
- Aandacht blijft nodig voor gedrag en aanspreekcultuur.

- Verankerd in beleid, RI&E‑verplichtingen en de HR‑cyclus; vaste rapportages in MT.
- Borging via vertrouwenspersonen, leidinggevenden en werkafspraken binnen diensten.
- Communicatieplan geborgd bij C&M i.s.m. HR met jaarplanning en evaluatie/bijsturing in de P&C‑cyclus.