Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 16 april 2019
Hierbij informeer ik uw Kamer over de voortgang van de verbetering van de Informatiebeveiliging
van de Rijksdienst Caribisch Nederland.
Verantwoordingonderzoek 2017 Algemene Rekenkamer
De Algemene Rekenkamer besloot in april 2018, op grond van artikel 7.21, lid 1 van
de Comptabiliteitswet 2016, bezwaar te maken tegen de informatiebeveiliging van de
Rijksdienst Caribisch Nederland (RCN). De informatiebeveiligingsfunctie is naast andere
bedrijfsvoeringsfuncties ondergebracht bij de Shared Service Organisatie Caribisch
Nederland (SSO-CN). In de periode 2014–2017 was naar het oordeel van de Algemene Rekenkamer
weinig vooruitgang in de uitvoering geboekt en belangrijke beveiligingsrisico’s bleven
onvoldoende afgedekt door passende beheersmaatregelen. In het Verantwoordingsonderzoek
2017 stelde de Algemene Rekenkamer een ernstige onvolkomenheid vast in de informatiebeveiliging
van de RCN.
Op 30 april 2018 ontving de Algemene Rekenkamer het verbeterplan Informatiebeveiliging
RCN. Dat plan toonde naar het oordeel van de Algemene Rekenkamer aan dat de Minister
van Binnenlandse Zaken en Koninkrijksrelaties met veel inzet aan de slag is gegaan
om concrete maatregelen te treffen, gericht op de aanpak van de ernstige onvolkomenheid
in de informatiebeveiliging. Gezien de genomen maatregelen en het verbeterplan besloot
de Algemene Rekenkamer het bezwaar bij deze ernstige onvolkomenheid niet te handhaven.
In de loop van 2018 zijn er forse stappen gemaakt in het op orde brengen van de informatiebeveiliging.
Stand van zaken verbetermaatregelen
De Auditdienst Rijk (ADR) is door de Chief Information Officer van BZK (CIO-BZK) gevraagd
onderzoek te doen naar de daadwerkelijke implementatie van de meest urgente verbetermaatregelen,
gericht op de externe- en interne dreigingen in de netwerkinfrastructuur van SSO-CN.
Daarnaast vroeg de CIO-BZK de ADR te onderzoeken of de verbetermaatregelen voor de
middellange- en lange termijn zijn afgerond, dan wel door SSO-CN concreet onderhanden
zijn. Het doel van de middellange- en lange termijn verbetermaatregelen is om de resterende
risico’s in de informatiebeveiliging weg te nemen en zorg te dragen voor inbedding
van de verbetermaatregelen in de te actualiseren Plan-Do-Check-Act (PDCA-cyclus) van
SSO-CN.
Het onderzoek van de ADR liet een positieve ontwikkeling zien. De ADR heeft gevalideerd
dat de korte termijn verbetermaatregelen uit het verbeterplan van de SSO-CN met de
meeste urgentie in de netwerkinfrastructuur van SSO CN zijn geïmplementeerd en dat
daarmee de eerder gesignaleerde risico’s zijn teruggebracht. De implementatie van
de middellange en lange termijn maatregelen is afgerond, dan wel belegd in de lijnorganisatie
van SSO-CN. Veel verbetermaatregelen hadden betrekking op het in orde brengen van
(technische) beveiligingsmaatregelen in IT-componenten van SSO-CN en zijn feitelijk
te beschouwen als «hygiëne-factoren» in een te ontwerpen beveiligingsarchitectuur.
De resultaten van het ADR-onderzoek bevestigen dat de geplande verbeteringen op koers
liggen.
Vervolgstappen
Naast de door de ADR en Algemene Rekenkamer gesignaleerde tekortkomingen heb ik vastgesteld
dat een verbetering van de interne controlesystematiek noodzakelijk is om de aangebrachte
verbeteringen te borgen en hierop in 2019 verder te sturen. Nog te realiseren verbeteringen
zijn opgenomen en beschreven in de begroting van SSO-CN voor 2019 en worden met prioriteit
opgepakt. Behalve borging van de standaard dienstverlening, ziet dit op het toekomstbestendig
maken van de informatiebeveiliging. Met name door een verbeterde PDCA-cyclus, kan
en zal er adequater worden gestuurd op aanpak van eventuele risico’s en tekortkomingen.
Een belangrijk aandachtspunt bij SSO CN is de beschikbaarheid van voldoende senior
ICT-expertise, zodanig dat de ICT-dienstverlening blijvend op niveau is en er tijdig
en adequaat kan worden geanticipeerd op behoeften van afnemers en ontwikkelingen in
het vakgebied, waaronder informatiebeveiliging. Beschikbaarheid van die expertise
is momenteel niet structureel voorhanden en legt een hypotheek op de capaciteit en
het functioneren van de beheerorganisatie. Om daaraan het hoofd te bieden, wordt die
capaciteit nu met regelmaat – tijdelijk – aangevuld met externe expertise, die ook
binnen de markt, zeker de lokale en regionale markt, schaars is. Een structurele oplossing,
die de gehele ICT-dienstverlening van SSO-CN en de doelmatigheid daarvan ten goede
komt, acht ik wenselijk. Om die reden laat ik momenteel verkennen op welke wijzen
daar invulling aan gegeven kan worden.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops