26 643 Informatie- en communicatietechnologie (ICT)

Nr. 216 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 15 november 2011

Hierbij bied ik u de Informatiseringstrategie (I-strategie) Rijk aan die ik u heb toegezegd tijdens het Algemeen Overleg over het programma Compacte Rijksdienst op 26 april jl. met uw Kamer (Kamerstuk 3  490, nr. 64). Binnen het domein «informatisering» komen informatie- en communicatietechnologie (ICT) en informatiehuishouding1 samen.

Het kabinet heeft er bewust voor gekozen een I-strategie te presenteren en niet een I-visie. De I-strategie bouwt voort op de principes zoals verwoord in het programma Compacte Rijksdienst (31 490, nr. 54), bevat de uitwerking van het programma Compacte Rijksdienst voor het onderdeel informatisering en geeft invulling aan de uitgangspunten van het i-NUP (26 643, nr. 182), zoals die voor het Rijk van toepassing zijn.

Het programma Compacte Rijksdienst heeft tot doel de rijksoverheid kleiner en krachtiger te maken. Daartoe wordt de bedrijfsvoering van de rijksoverheid efficiënter gemaakt en wordt er gewerkt aan het clusteren van onderling vergelijkbare uitvoerende en handhavende taken gericht op eenzelfde doelgroep (los van het beleidsterrein). Deze uitgangspunten zijn richtinggevend voor de I-strategie. Project 4 (ICT-infrastructuur) van het programma Compacte Rijksdienst heeft tot doel de verbrokkelde ICT-infrastructuur van de rijksdienst meer een eenheid te laten worden, en daarmee de kosten te drukken. Daartoe wordt onder meer het aantal datacenters teruggebracht, wordt één ICT beveiligingsfunctie voor de rijksdienst ingericht en worden voorstellen ontwikkeld om de ontwikkeling en het gebruik van software te harmoniseren.

Op het terrein van informatisering zijn de afgelopen periode reeds veel verbeteringen in gang gezet. Voorbeelden hiervan zijn de inrichting van het CIO-stelsel, de rapportage grote ICT-projecten als onderdeel van de jaarrapportage bedrijfsvoering rijk, de invoering van Gatewayreviews, de oprichting van I-Interim Rijk om de afhankelijkheid van externe inhuur op cruciale posities te verminderen en de standaardisering van de rijkswerkplek (DWR-project). Recent heb ik uw Kamer geïnformeerd over de cloudstrategie van de rijksdienst.

In de I-strategie komen drie lijnen samen: de uitwerking en uitvoering van het onderdeel informatisering uit het programma Compacte Rijksdienst, doorontwikkeling van bestaand beleid en de aanvullingen daarop.

In deze brief wordt achtereenvolgens ingegaan op:

  • de stand van zaken ten aanzien van de ICT en de informatiehuishouding van de rijksoverheid;

  • een afbakening van de I-strategie: waarop is de strategie gericht;

  • een globale beschrijving van het beoogde streefbeeld van de ICT-infrastructuur en de informatiehuishouding van de rijksdienst;

  • de aanpak en de concrete maatregelen die nodig zijn om de beoogde eindsituatie te bereiken, alsmede de wijze waarop ik die zal uitvoeren.

De uitvoering van de I-strategie vindt plaats in de periode 2012 tot en met 2015.

1. Stand van zaken

De huidige vorm, inrichting en besturing van de ICT-infrastructuur en de informatiehuishouding van de rijksoverheid zijn het resultaat van tientallen jaren beleid. Aanvankelijk werd daarbij gekozen voor een gecentraliseerde aanpak, met de vorming van het Rijkscomputercentrum als markante mijlpaal. In de jaren tachtig en negentig van de vorige eeuw ontstond, mede als gevolg van nieuwe technologische mogelijkheden, een tendens tot decentralisatie binnen het Rijk. De noodzaak voor de ministeries om gebruik te maken van voorzieningen die op rijksniveau waren ontwikkeld, maakte plaats voor de vrijheid eigen keuzes te maken ten aanzien van bijvoorbeeld de leveranciers van diensten.

Daarmee is in de loop van de jaren voor de bedrijfsvoering van het Rijk en de ondersteuning van het primair proces een veelkleurig landschap van ICT-voorzieningen en -aanbieders ontstaan. In het programma Vernieuwing Rijksdienst werden nut en noodzaak van generieke ICT-voorzieningen en interdepartementale samenwerking opnieuw vastgesteld. Op het terrein van ICT en informatiehuishouding zijn de ontwikkeling van de Digitale Werkomgeving Rijksdienst (DWR), de beschikbaarstelling van één samenwerkfunctionaliteit voor de hele Rijksdienst, de inrichting van één overkoepelende website voor het Rijk, het samenvoegen van de departementale intranetsites en de inrichting van een stelsel van Chief Information Officers (een departementale CIO-rol en de aanstelling van een CIO-Rijk) daarvan zichtbare voorbeelden.

De voor de hand liggende conclusie dat de inrichting van de rijksdienst consistentie ontbeert, of in ieder geval aan een slingerbeweging onderhevig is (van centraal naar decentraal naar centraal), is een te grote vereenvoudiging van de werkelijkheid, en zou de verantwoordelijke beleidsmakers tekort doen. De organisatieontwikkeling van het Rijk wordt sterk door technologische mogelijkheden beïnvloed. De vroegere beperkingen van afstand en tijd zijn sterk verminderd of afwezig. Dienstverlening is in veel gevallen niet meer afhankelijk van de fysieke nabijheid van de dienstverlener. Daarmee is eerder het beeld van een opwaartse spiraal aan de orde: de organisatie van het Rijk wordt voortdurend aangepast aan de eisen van zijn omgeving, en ontwikkelt zich als gevolg van nieuwe technieken die opkomen.

Het resultaat is echter dat de ICT-infrastructuur, de informatiehuishouding van het Rijk en de besturing daarvan worden gekenmerkt door een grote verscheidenheid, al worden inmiddels wel de eerste resultaten zichtbaar van de recent ingerichte, meer op gezamenlijkheid gerichte besturing.

2. Afbakening van de I-strategie

De I-strategie omvat de uitwerking en uitvoering van het programma Compacte Rijksdienst, de doorontwikkeling van bestaand beleid en voegt waar nodig elementen toe .

De I-strategie is er, als uitwerking van het programma Compacte Rijksdienst, op gericht de onnodige verscheidenheid in de ICT-infrastructuur en de informatiehuishouding van het Rijk te bestrijden en de besturing te verbeteren. Waar bijvoorbeeld het project Digitale Werkomgeving Rijk (DWR) tot standaardisatie leidt van de werkplekinrichting, bestaan er anderzijds nog grote verschillen tussen de ministeries ten aanzien van het omgaan met ICT-beveiliging en de toegang tot gegevens, het aanschaffen van software, de digitalisering van de papierstroom, identitymanagement, en het inrichten en gebruiken van datacenters.

Met de I-strategie wordt beoogd een rijksbrede informatie-infrastructuur (I-infrastructuur) te ontwikkelen. Deze I-infrastructuur omvat de ICT-infrastructuur, de informatiehuishouding en de besturing daarvan. Het gaat daarbij om generieke kaders, diensten en producten die, in het kader van standaardisatie en hergebruik, beschikbaar worden gesteld aan alle organisaties binnen de rijksdienst. Wanneer een onderdeel van het Rijk de functionaliteit van een bestaande generieke dienst of voorziening nodig heeft is het niet toegestaan daarvoor een alternatief in te richten. Voorbeelden zijn de werkplekfunctionaliteit, beveiligingsvoorschriften en -voorzieningen, toegang tot netwerken, de Berichtenbox en het e-depot voor digitale archivering.

De besluitvorming over de vraag welke ICT-kaders en -voorzieningen generiek zijn of op termijn generiek kunnen worden, en dus onderdeel zijn van de I-infrastructuur vindt plaats op grond van zakelijke afwegingen (inzetbaarheid en besparingspotentieel) en heeft gevolgen voor de keuzevrijheid van individuele organisaties. De ontwikkeling van de rijksbrede I-infrastructuur voor de ondersteunende processen zal leiden tot standaardisatie, toename van het aantal generieke componenten, hergebruik van programmatuur, afname van het aantal specifieke componenten en kostenreductie.

De herinrichting van de I-infrastructuur zal in eerste instantie zijn gericht op de beleidskernen en de bijbehorende baten-lastendiensten. Het kabinet heeft er voor gekozen om, op basis van een positieve businesscase, ook de eigen uitvoeringsorganisaties te laten aansluiten op de rijksbrede bedrijfsvoeringsinfrastructuur en onderzoekt, mede op verzoek van uw Kamer, de mogelijkheid om zelfstandige bestuursorganen (ZBO’s) eveneens te laten deelnemen. Met voorbeelden als DigiD en de Berichtenbox is helder geworden dat het juist de uitvoeringsorganisaties zijn die bijdragen aan de creatie van nieuwe bouwstenen voor de I-infrastructuur.

Voor Defensie geldt dat specifieke afspraken worden gemaakt over bijvoorbeeld de betrokkenheid bij onderwerpen als consolidatie datacenters en de rijksbrede ICT-beveiligingsfunctie; in verband met de verticale integratie met de krijgsmachtdelen is Defensie geen deelnemer in de concentratie van de I-voorzieningen bij de beleidskernen. Gelet op het bijzondere positie van de AIVD, geldt voor deze organisatie dat eveneens de noodzaak bestaat voor specifieke afspraken.

Niet alleen voor de ondersteunende processen, maar ook voor het primair proces wordt gestreefd naar standaardisatie en hergebruik. Hoewel de eigenheid van het primair proces, en de verscheidenheid in informatiesystemen die daarvan het gevolg is, dient te worden gerespecteerd, kent die eigenheid grenzen. De keuzes die het kabinet nu maakt ten aanzien van de I-infrastructuur zullen, waar het gaat om generieke componenten, consequenties hebben voor de processen en ICT-systemen die deel uitmaken van het primair proces. Als verscheidenheid niet absoluut noodzakelijk is, wordt nadrukkelijk gestreefd naar gemeenschappelijkheid, standaardisatie en hergebruik. Zo vindt in het kader van het programma Compacte Rijksdienst clustering van de rijksincasso-activiteiten bij het CJIB plaats. Deze clustering zal leiden tot het rationaliseren van de onderliggende informatiesystemen.

De I-Strategie bevat niet alleen de stappen die nodig zijn om te komen tot de inrichting van de rijksbrede I-infrastructuur en de organisatie-, besturings- en personele aspecten ervan, maar richt zich ook op het doorontwikkelen van bestaand beleid, ten aanzien van bijvoorbeeld architectuur en informatiehuishouding. Waar nodig zijn aanpassingen gedaan of nieuwe elementen toegevoegd.

De DigiNotar-problematiek heeft recentelijk aangetoond dat betrouwbaarheid van digitale communicatie van wezenlijk belang is. Beveiliging van en vertrouwen in de ICT-systemen van het Rijk zijn daarmee belangrijke aandachtspunten voor de I-strategie.

3. Het streefbeeld

Voor het ontwikkelen van de rijksbrede I-infrastructuur is het noodzakelijk een goed beeld te hebben van wat de Rijksdienst de komende jaren nodig heeft. Het «informatiehuis» van het Rijk dient te worden ingericht als een samenhangend en betrouwbaar geheel van informatiesystemen dat vanuit heldere afspraken over ontwikkeling, beheer en besturing het primair proces ondersteunt. Dat krijgt handen en voeten in de vorm van de volgende, drieledige ambitie.

  • ICT-voorzieningen worden uitgevoerd door een samenhangend geheel van gespecialiseerde ICT-dienstverleners en vormen de infrastructuur waarop beleidsontwikkeling, uitvoering, toezicht en handhaving tot stand komen. Deze infrastructuur maakt dat deze gebieden onderling met elkaar worden verbonden, en draagt daarmee bij aan kwaliteitsverbetering en kostenreductie en faciliteert het primair proces.

De verbrokkelde I-infrastructuur, met een veelheid aan interne dienstverleners, zoals deze sinds de jaren tachtig en negentig is ontstaan, wordt omgebouwd tot een infrastructuur die gebaseerd is op hedendaagse, in de praktijk bewezen technologie.

Het kabinet zal binnen deze kabinetsperiode de organisatie, de inrichting en de besturing van de I-infrastructuur op het daartoe vereiste niveau brengen.

  • De rijksdienst beschikt over een platform dat tijd-, plaats- en apparaatonafhankelijk werken alsmede interdepartementale samenwerking, op een veilige en vertrouwde manier mogelijk maakt.

Voor de gebruikers van de I-infrastructuur moet het niet uitmaken waar de diensten binnen het Rijk vandaan komen. Deze manier van denken, die gerelateerd is aan het steeds meer afnemen van diensten in plaats van het aanschaffen van producten, is uitgewerkt in de cloud-strategie, die ik in mijn brief aan uw Kamer d.d. 20 april jl. (26 643, nr. 179) heb uiteengezet. De essentie daarvan is dat het kabinet de mogelijkheden van cloud computing, in nauwe samenwerking met de markt maar in eigen beheer, wil benutten binnen de nodige randvoorwaarden op het gebied van informatiebeveiliging en eigenaarschap van gegevens. Zodoende kan de rijksambtenaar beschikken over een digitale werkomgeving die het mogelijk maakt altijd en overal bij de informatie te kunnen waarvoor hij of zij geautoriseerd is. Het gaat dan om zaken als netwerktoegang, generieke en specifieke applicaties, samenwerkfunctionaliteit (zoals social media) en keuzevrijheid in te gebruiken apparatuur.

  • De grote ICT-projecten en ICT-projecten met een hoog risico zijn op orde.

Het rijksportfolio van projecten met een ICT-component, en in het bijzonder de grote en risicovolle projecten, wordt dusdanig beheerst dat projecten binnen geplande termijnen en budgetten de beoogde resultaten opleveren. De inrichting van het CIO-stelsel levert een zichtbare en effectieve bijdrage aan de beheersing van ICT-projecten.

4. Aanpak en maatregelen

Met deze ambities bouwt het kabinet deels voort op het beleid dat de afgelopen jaren is ingezet; anderzijds maakt het kabinet, mede in het kader van het streven naar een compacte rijksdienst, nieuwe keuzes die gericht zijn op versterking van de besturing en een meer gestandaardiseerde inrichting van de I-infrastructuur. De maatregelen zijn deels nieuw. Maatregelen die voortkomen uit bestaand beleid zijn uitgebouwd en versterkt zodat zij goed aansluiten op het streefbeeld. Om de ambities te realiseren worden de maatregelen in samenhang gegroepeerd onder de volgende noemers:

  • Aanbodstructurering

  • Sourcing

  • Sturings- en verantwoordingsinstrumenten

  • De I-infrastructuur voor de rijksambtenaar

  • Personeel en kwaliteit

  • Vertrouwen en beveiliging van informatie

  • Samenwerking met de markt

Aanbodstructurering

De rode draad die loopt door de – uitwerking van de – I-strategie is de manier waarop het Rijk besluit tot het gebruik van gezamenlijke voorzieningen, en de principes die ten grondslag liggen aan het organiseren van de beschikbaarheid van die voorzieningen.

In het kader van de aanbodstructurering wordt het stelsel van ICT-dienstverleners opnieuw ingericht. Zoals aangekondigd in het programma Compacte Rijksdienst werkt het kabinet aan de clustering van de interne ICT-dienstverleners ten behoeve van de beleidskernen en de daaraan nauwverbonden uitvoeringsorganisaties. Een eerste stap is de omvorming en uitbreiding van de shared services organisatie ICT (SSO-ICT) tot een organisatie die ten behoeve van de Haagse beleidskernen het werkplekbeheer verzorgt.

De bundeling van generieke ICT-dienstverlening gaat verder dan die ten behoeve van de werkplek. Het kabinet beziet de mogelijkheden voor clustering van de dienstverlening die nauw verbonden is met de uitvoering van gelijke of sterk op elkaar lijkende processen. Voor het toewijzen van te bundelen taken wordt bezien welke dienstverlener in de beste uitgangspositie verkeert, uitgedrukt in beschikbare kennis, risicospreiding en opgebouwde expertise. Dit kan ook leiden tot de keuze voor meerdere dienstverleners.

Een voorbeeld hiervan is de dienstverlening waaraan specifieke beveiligingseisen worden gesteld. Andere voorbeelden zijn de ontwikkeling van een rijksincasso-organisatie en het clusteren van subsidieverstrekkende instanties binnen de rijksdienst. Het kabinet is van mening dat er ook grote mogelijkheden liggen voor het bundelen van de ICT-dienstverlening ten behoeve van inspectiediensten en onderzoekt daartoe de mogelijkheid om DICTU (onderdeel van EL&I), op grond van de daar aanwezige kennis en expertise, aan te wijzen als de dienstverlener die deze ambitie gaat realiseren. Om het streven van het kabinet om in een periode van vijf jaar op alle beleidskernen digitaal documentbeheer geïmplementeerd te hebben (29 362, nr. 156) te ondersteunen, onderzoekt het kabinet tevens de mogelijkheid om de bestaande dienstverlener voor documentdiensten, de baten-lastendienst Doc-Direkt (32 602, nr. 1), zijn dienstverlening uit te laten breiden met digitaal documentbeheer.

Het aantal interne ICT-dienstverleners voor de generieke ICT-dienstverlening zal de komende jaren van circa 40 worden teruggebracht naar minder dan 10. De nu nog specifieke applicaties van deze 40 aanbieders worden vervangen door ruim 20 generieke componenten.

Sourcing

Het proces waarbij bepaald wordt of werkzaamheden zelf worden gedaan, in samenwerking met anderen worden uitgevoerd, of worden uitbesteed aan een overheidsorganisatie of marktpartij wordt aangeduid als sourcing. Bij de ontwikkeling van de rijksbrede I-infrastructuur hanteren de ministeries een vast afwegingskader voor generieke ICT. Belangrijke uitgangspunten daarvan zijn het streven naar lagere kosten, concentratie van de bedrijfsvoering en een eenduidig en transparant keuzeproces, waardoor hergebruik wordt gestimuleerd op basis van een aantal principes. De belangrijkste daarvan betreffen het gebruik van bestaande en bewezen technologie en hergebruik, de aansluiting op de rijksbrede I-infrastructuur, het hanteren van een businesscase en het, voor een aantal voorzieningen, gebruikmaken van interne dienstverleners.

Tijdens het AO over het programma Compacte Rijksdienst (31490, nr. 64) vroeg mw. Van der Burg naar een overkoepelende strategie om te bepalen wanneer de overheid taken in eigen beheer kan doen en wanneer deze overgelaten moeten worden aan anderen. Het kabinet is van mening dat de keuze of werk wordt uitbesteed afhankelijk is van het vermogen van de latende organisatie om het opdrachtgeverschap adequaat in te vullen en een positieve businesscase. Daarbij is het uitgangspunt dat het Rijk eerst zelf zaken op orde wil hebben, bijvoorbeeld door harmonisatie van processen. Situaties waar dit niet speelt, is uitbesteden een optie die zeker in beschouwing wordt genomen, maar waarbij per geval wordt bezien of zelf doen of uitbesteden aan de markt (outsourcen), op grond van haalbaarheid en rendement een alternatief is.

Sturings- en verantwoordingsinstrumenten

Het kabinet constateert dat voor de ontwikkeling van een nieuwe I-infrastructuur de doorontwikkeling van de bestaande Model Architectuur Rijksdienst (MARIJ) tot een enterprise architectuur noodzakelijk is . In deze rijksbrede enterprise architectuur worden de generieke onderdelen van de rijksbrede I-infrastructuur samenhangend in kaart gebracht.

In het kader van de I-strategie kiest het kabinet ervoor niet op korte termijn opnieuw wijzigingen in het bestaande CIO-stelsel aan te brengen, maar eerst de effectiviteit van de laatst genomen aanvullende maatregelen vast te stellen. Daarbij wordt in het bijzonder gekeken naar de resultaten van de rijksbrede invoering van projectportfoliomanagement. De komende jaren zal, mede in overleg met de Rijksauditdienst, de werking van het CIO-stelsel worden gemonitord. Het gebruik van Gatewayreviews wordt gecontinueerd.

In de jaarrapportage bedrijfsvoering vindt de verantwoording plaats over de grote en risicovolle ICT-projecten van de ministeries en publiekrechtelijke ZBO's. In de komende tijd zal worden bezien of het rapportagemodel dat hieraan ten grondslag ligt kan worden uitgebreid met aanvullende informatie.

I-infrastructuur voor de rijksambtenaar

Voor de doorontwikkeling van de Digitale Werkomgeving Rijk zal worden aangesloten bij de cloud-strategie, de wensen van de gebruikers, met name vanuit het primair proces en de veranderende omgeving. De DWR zal worden voorzien van een application store waarmee de rijksambtenaar een keuzepalet aan functionaliteiten krijgt dat aansluit op zijn werkzaamheden. Bij deze ontwikkeling zullen ook de wensen en mogelijkheden ten aanzien van «bring (of choose) your own device», dus apparaatonafhankelijk werken, betrokken worden.

Het inrichten van (primaire en ondersteunende) processen op een Rijksbrede schaal vereist dat ook het beheer van identiteiten en toegangsrechten Rijksbreed, voor bijvoorbeeld de Rijkspas, wordt vormgegeven. De eerder gekozen aanpak van centrale kaderstelling en (sub)departementale uitvoering is niet meer toereikend. Het is tijd voor een volgende stap: van koppelen naar daadwerkelijk integreren en concentreren.

Van belang voor de interdepartementale samenwerking is ook het digitaal documentbeheer, waarvoor het kabinet al eerder bij brief 22 juli 2009 (29 362, nr. 156) haar strategie heeft bepaald. Binnen deze strategie wil het kabinet de interdepartementale samenwerking efficiënter inrichten. Daartoe zal de informatiehuishouding binnen het Rijk dusdanig worden ingericht dat de ministeries documenten zo veel mogelijk rijksbreed toegankelijk maken. Dit vereist implementatie van diverse standaarden in informatiebeheer. Verder zullen documentmanagementsystemen aan elkaar gekoppeld worden om doorgeleiding van documenten over departementale grenzen heen mogelijk te maken. Voor digitale archivering wordt één rijksbrede generieke voorziening gerealiseerd.

Zoals aangekondigd in het programma Compacte Rijksdienst wordt het aantal datacenters van de ministeries verminderd van 64 naar 4 tot 5. De ministeries brengen hun datacenters onder in de gemeenschappelijke datacenters.

Personeel en kwaliteit

In oktober 2010 is het project I-Interim Rijk gestart. Dit betreft de inrichting van een rijksbrede pool voor ICT-professionals binnen het rijk. I-Interim Rijk is opgezet om voor het Rijk cruciale expertise op te bouwen en te behouden, en draagt bij aan het terugdringen van externe inhuur, vooral op het gebied van het invullen van het professionele opdrachtgeverschap. Vanuit I-Interim wordt geïnvesteerd in het opbouwen, vasthouden en uitwisselen van de specialistische kennis die nodig is om complexe aanbestedingstrajecten tot een goed einde te brengen. Daarbij gaat het om de meer technische kennis over ICT-producten en -diensten.

Ten behoeve van het interne en externe arbeidsmarktbeleid en personeelsplanning is in 2010 een Kwaliteitsraamwerk Informatievoorziening ontwikkeld, in lijn met de principes van het Functiegebouw Rijk (32 501, nr. 14) en in aansluiting op het EU-programma e-Skills. De vereiste kennis en competenties die in dit raamwerk zijn vastgelegd, hebben betrekking op alle functietypen en -niveaus: ICT-dienstverleners, tactisch en strategisch beheerders, en project- en programmamanagers die verantwoordelijk zijn voor projecten met een grote ICT-component. Het Kwaliteitsraamwerk wordt vanaf 2012 gebruikt voor matching en opleidingen.

Vanaf 2013 is er een compleet opleidingsaanbod beschikbaar voor opdrachtgevers (samen met de ABD). Het topmanagement wordt daarmee gefaciliteerd. In toenemende mate is ook specialistische kennis ten aanzien van aanbestedingen en -Europese- regelgeving gewenst. Deze onderwerpen worden in het opleidingsportfolio opgenomen.

Interdepartementaal wordt in samenwerking met de wetenschap een onderzoeksagenda ontwikkeld die nauw aansluit op de voor dit domein belangrijke maatschappelijke en technologische trends.

Vertrouwen en beveiliging van informatie

Het kabinet hecht er aan dat de burger vertrouwen kan hebben in de wijze waarop het Rijk omgaat met de opslag en het gebruik van digitale gegevensbestanden. De rijksoverheid is er voor verantwoordelijk dat informatie die wordt gebruikt betrouwbaar is, en dat gegevens die van derden worden ontvangen zorgvuldig en rechtmatig worden gebruikt. Om dit te bewerkstelligen, dient permanent te worden geïnvesteerd in de weerbaarheid van de rijksoverheid tegen (on)opzettelijke inbreuken, in het vergroten van het herstelvermogen bij onverhoopt geslaagde inbreuken en in processen ten aanzien van het omgaan met privacygevoelige gegevens.

Onderdeel van de vergroting van de weerbaarheid is het hebben van solide informatiebeveiligingsconcepten. Een belangrijke lijn daarbij is het investeren in gegevensbeveiliging, in aanvulling op apparaat- en netwerkbeveiliging. Daarmee wordt apparaatonafhankelijk werken (inclusief bring of choose your own device) mogelijk. Daar waar sprake is van specifieke beveiligingseisen voor gerubriceerde informatie zal gebruik worden gemaakt van de kennis en expertise van de AIVD.

De netwerkbeveiliging zal worden verbeterd door het aantal internetkoppelingen van de rijksdienst terug te dringen. Dat gebeurt door middel van een Rijksinternetkoppeling. Dit leidt tot vereenvoudigd beheer, verhoging van de kwaliteit, kostenbesparing en beperking van de risico’s.

Een tweede lijn is die van onbewuste risicomijding naar bewust en verantwoord risicomanagement. Medewerkers moeten veilig met informatie kunnen en willen omgaan. De gewenste inzet van zelfgekozen middelen in combinatie met de enorm toegenomen communicatiemogelijkheden (social media) maken dat een ambtenaar anno 2011 zich meer dan ooit bewust moet zijn van de risico’s van het gebruik van digitale middelen, en daar dus ook verstand van moet hebben. De Rijksdienst zal medewerkers hierin ondersteunen door te voorzien in adequate middelen en in heldere regels en adviezen.

Ook het borgen van gemeenschappelijke afspraken over informatiebeveiliging met in- en externe partijen moet worden versterkt. Dat wordt onder meer gerealiseerd door harmonisering van het proces en de elementen van het toezicht op de naleving van afspraken.

Zoals aangekondigd in de brief over DigiNotar (26 643, nr. 189), zal door de minister van Veiligheid en Justitie vorm worden gegeven aan een meldplicht voor ICT incidenten voor organisaties die cruciale maatschappelijke functies vervullen. Een dergelijke vorm van transparantie vergroot het vertrouwen in de beveiliging van de Rijksdienst.

Een optimaal herstelvermogen is essentieel om de consequenties van inbreuken op de ICT-infrastructuur snel weg te kunnen wegnemen. Daartoe worden aanvullende instrumenten ontwikkeld die de overheid de mogelijkheid geven afdoende in te grijpen. Kaderstelling en toezicht zijn ook hier essentiële instrumenten. Deze denklijn wordt nader uitgewerkt en voorzien van de juiste operationele en juridische instrumenten. Daarbij wordt ook gekeken naar het verder versterken van onderzoek en expertise bij de overheid zoals ook is ingezet in de Nationale Cybersecurity Strategie (NCSS).

In het kader van het programma Compacte Rijksdienst wordt, onder verantwoordelijkheid van de minister van Veiligheid en Justitie, gewerkt aan de ontwikkeling van één rijksbrede operationele ICT-beveiligingsfunctie, waarin schaarse kennis en expertise worden geborgd . Daarvoor wordt aangesloten op de vorming van het Nationale Cyber Security Centrum dat in de NCSS is aangekondigd.

Naar aanleiding van het rapport iOverheid van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) heeft het kabinet besloten om, zoals verwoord in de kabinetsreactie op het WRR-rapport (26 643, nr. 211), de bestaande maatregelen ten aanzien van de beheersing van grote ICT-projecten uit te breiden met maatregelen ter bescherming van privacy.

Een centrale rol daarbij spelen de CIO’s van de ministeries. Deze uitbreiding krijgt als volgt vorm.

De eisen zoals die nu gelden ten aanzien van de inhoud van projectplannen voor grote ICT-projecten (26 643, nr. 135) worden aangevuld met de eis om in het projectplan informatie op te nemen of er bij het project sprake is van het opnemen van privacygevoelige gegevens en koppelingen of verrijking daarvan. Daarbij zal in het projectplan beargumenteerd worden aangegeven of voor het project een Privacy Impact Assessment of toepassing van een soortgelijk instrument geboden is. Deze informatie wordt betrokken bij het opstellen door de opdrachtgever en de departementale CIO van het risicoprofiel van het project. Dit risicoprofiel is medebepalend voor de vraag of over het project gerapporteerd zal worden aan de Kamer door middel van de Jaarrapportage bedrijfsvoering en het Rijks ICT-dashboard. Wanneer het opstellen van het risicoprofiel leidt tot de constatering dat sprake is van een project met een hoog risico, wordt het project in deze rapportage, en op het dashboard opgenomen.

De departementale CIO betrekt, zoals gebruikelijk, alle informatie vanuit het projectplan bij het oordeel dat hij geeft bij de start van een project, of tussentijds tijdens de uitvoering. Wanneer dit oordeel betrekking heeft op het opnemen van privacygevoelige gegevens en koppelingen of verrijking daarvan, laat de departementale CIO zich bij het opstellen van dit oordeel adviseren door de functionaris gegevensbescherming, die bij elk ministerie is aangesteld en toezicht houdt op de toepassing en naleving van de Wet bescherming persoonsgegevens.

De opdrachtgevers van ICT-projecten zijn gehouden om wijzigingen in een systeem ten aanzien van het gebruik van privacygevoelige gegevens en koppelingen of verrijking daarvan te melden aan de departementale CIO. Deze kan op basis daarvan besluiten of een nieuw oordeel opportuun is.

Met deze uitbreiding van de eisen ten aanzien van de beheersing van ICT-projecten wordt het zorgvuldig gebruik van privacygevoelige gegevens bevorderd, de betrokkenheid van de departementale CIO vergroot en de informatievoorziening aan de Kamer gewaarborgd.

Samenwerking met de markt

Doorontwikkeling van de relatie en de samenwerking met het toeleverend bedrijfsleven is essentieel om geslaagde ICT-projecten te realiseren en onze doelen te halen. Daartoe wordt via de vertegenwoordigers van de branche (zoals ICT-Office en het MKB) een convenant met de ICT-markt opgesteld om de samenwerking voor de komende jaren te optimaliseren en te laten aansluiten bij de ontwikkelingen binnen het Rijk. Dit convenant bestrijkt een breed gebied: verdere ontwikkeling en toepassing van het instrument precompetitieve marktconsultatie, het signaleren en benutten van kansen om de aanbestedingspraktijk verder te verbeteren, kennisdeling, de ontwikkeling van nieuwe arrangementen voor publiek-private samenwerking, en de ontwikkeling en het behoud van talent voor de sector.

Het kabinet zal in het bijzonder bewerkstelligen dat er meer gebruik wordt gemaakt van marktconsultatie, in diverse vormen. De ICT-haalbaarheidstoets zal vaker worden ingezet, met name waar het grotere ICT-projecten betreft. De uit de ICT-haalbaarheidstoetsen opgedane kennis wordt verspreid binnen de CIO-community en gedeeld met de leveranciers, om kennis te kunnen delen en borgen. Naast de ICT-haalbaarheidstoets is een lichtere vorm van marktconsultatie ontwikkeld in de vorm van de «ICT-marktspiegel».

Het Rijk werkt aan de inrichting van strategisch leveranciersmanagement om als afnemer een sterkere positie te kunnen innemen ten opzichte van leveranciers, en om als concern beter in staat te zijn strategische, duurzame investeringsbeslissingen te nemen.

5. Financiering

De uitgaven voor de uitvoering van de I-strategie zijn voor een belangrijk deel reeds voorzien in de meerjarenbegroting. De dekking van uitgaven voor nieuwe activiteiten vloeit voort uit de financieringsafspraken over de projecten van het programma Compacte Rijksdienst. Uitgangspunt is dat er geen extra budgettaire ruimte is voor intensiveringen. Voor nieuwe uitgaven zal in beginsel de ruimte moeten worden gevonden binnen de beschikbare kaders. De besluitvorming hierover wordt gebaseerd op business cases, die onderbouwen wat het concrete besparingspotentieel is en welke kosten noodzakelijk zijn om deze te realiseren. In veel gevallen zal de leenfaciliteit voor batenlastendiensten kunnen worden ingezet, waarbij de betrokken batenlastendienst voor het doen van investeringen een lening aangaat bij het ministerie van Financiën die via de gebruikerstarieven wordt terugbetaald. Het is niet uitgesloten dat bij sommige activiteiten de rijksbrede business case in financieel opzicht weliswaar positief is, maar voor een individueel ministerie ongunstig. In deze gevallen zullen separate afspraken voor compensatie worden gemaakt met behoud van de rijksbrede opbrengst.

6. Rapportage

Ik zal uw Kamer in de Jaarrapportage Bedrijfsvoering Rijk over de voortgang van de uitvoering informeren. Informatie over de grote en risicovolle ICT-projecten van het Rijk is behalve in deze rapportage ook opgenomen in het Rijks ICT-dashboard op het internet (www.rijksictdashboard.nl).

7. Ten slotte

Het kabinet beseft dat de hier geschetste ontwikkeling tijd vergt. Binnen deze kabinetsperiode kunnen de eerste belangrijke stappen voor de herinrichting van de I-infrastructuur worden gezet. Van belang daarbij is de constatering dat de I-infrastructuur voortdurend aan veranderingen onderhevig zal zijn en op haar beurt die veranderingen moet kunnen faciliteren. Er moet immers verstandig worden ingespeeld op wensen en behoeften vanuit het primair proces, op technologische vernieuwingen en de nieuwe mogelijkheden die zich daarmee aandienen en ten slotte ook internationale ontwikkelingen en ervaringen. Tegelijkertijd heeft het Rijk te maken met steeds weer nieuwe bestuurlijke opgaven, en veranderende behoeften en verwachtingen van de burger.

Het kabinet verwacht met de hier gepresenteerde I-strategie een I-infrastructuur te kunnen realiseren waarmee flexibel kan worden ingespeeld op nieuwe ontwikkelingen, die leidt tot kostenverlaging, en die de interdepartementale samenwerking efficiënter maakt. Met deze I-strategie ontvouwt het kabinet een belangrijke drager voor het programma Compacte Rijksdienst, en wordt duurzaam geïnvesteerd in de professionaliteit, de slagvaardigheid en de efficiency van de rijksoverheid.

De minister van Binnenlandse Zaken en Koninkrijksrelaties,

J. P. H. Donner


X Noot
1

De informatiehuishouding is het totaal aan regels en voorzieningen gericht op de informatiestromen en -opslag of archivering ter ondersteuning van de primaire processen (29 362, nr. 156).

Naar boven