26 643 Informatie- en communicatietechnologie (ICT)

Nr. 716 BRIEF VAN DE STAATSSECRETARIS VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 12 oktober 2020

Hierbij bied ik u de jaarrapportage over het jaar 2019 van het Bureau ICT-toetsing (BIT) en de halfjaarrapportage over het eerste halfjaar van 2020 van de Toezichtsraad BIT aan1. Op beide geef ik in deze brief mijn reactie. Tot slot stel ik u via deze brief op de hoogte van mijn reactie aan de Minister van Volksgezondheid, Welzijn en Sport (VWS) op het verzoek van Uw Kamer om het ontwikkelproces rondom de CoronaMelder app te evalueren.

Jaarrapportage BIT 2019

In 2019 heeft het BIT vijftien adviezen uitgebracht waar voor de gehele rijksdienst lessen uit te trekken zijn. Een van de doelstellingen voor het CIO-stelsel is het vergroten van het lerend vermogen over ICT-beheersing binnen het Rijk. Vanuit die doelstelling heb ik de CIO Rijk verzocht om de aandachtspunten uit deze adviezen inhoudelijk te bespreken in het CIO-beraad. Op basis daarvan zullen kennissessies georganiseerd worden om de kennis uit deze adviezen in het CIO-stelsel beter in de praktijk te kunnen benutten. Tevens zal de CIO Rijk deze adviezen betrekken bij het opstellen van een Rijksbreed kwaliteitskader voor CIO-oordelen. Met de ontwikkeling van dit kader is in september gestart, waarbij het BIT op basis van de ervaringen met het eigen toetskader de CIO Rijk adviseert.

Halfjaarrapportage Toezichtsraad BIT eerste helft 2020

De Toezichtsraad noemt in haar Halfjaarrapportage over de eerste helft van 2020 een aantal relevante thema’s waarop ik in deze brief nader in zou willen gaan.

Transitie naar onafhankelijk adviescollege

Het huidige instellingsbesluit van het BIT vervalt op 31 december 2020 en de doorlooptijd van een wetstraject is te lang om voor die datum reeds een Instellingwet voor het nieuwe Adviescollege gereed te hebben. Ik streef er naar de Instellingswet medio volgend jaar naar uw Kamer te sturen. Daarom is gekozen voor een tussenstap met een nieuw instellingsbesluit waarmee het adviescollege vanaf 2021 al wordt ingesteld. Dit besluit verzekert de continuïteit van het huidige BIT en zijn organisatie, en maakt de transitie mogelijk naar een permanent Adviescollege.

De verbreding van het takenpakket voor het nieuwe college – zoals aangekondigd in de brief van december 20192 – is al zoveel als mogelijk meegenomen in het nieuwe Instellingsbesluit. De exacte invulling van de uitbreiding zal duidelijk worden in het proces van de definitieve wetgeving.

Over die omzetting wil ik het volgende opmerken. Zo zijn er geen personele gevolgen voor de huidige medewerkers, omdat zij al in dienst waren van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en dat zullen blijven.

Verder heb ik in mijn aanbiedingsbrief bij de vorige halfjaarrapportage van het BIT benoemd dat ik met de werving van een nieuw hoofd van het BIT zou starten als duidelijk is hoe het adviescollege in zijn onafhankelijke vorm er precies uit gaat zien en wat het definitieve takenpakket van het hoofd BIT in die context zal worden.3 De ambtelijke leiding van een adviescollege is belegd bij een secretaris-directeur en omdat over het voorgaande nu duidelijkheid is, zal in oktober gestart worden met de werving op deze functie.

De observatie van de Toezichtsraad van het BIT, dat er binnen het CIO-stelsel veel discussie is over de exacte vormgeving van het adviescollege, kan ik goed plaatsen. Het betreft een adviescollege dat structureel bij moet dragen aan de ICT-beheersing binnen de hele rijksoverheid. Over de verschillende aspecten daarvan moet ook binnen het adviesveld zelf zorgvuldig van gedachten gewisseld worden om tot de beste toegevoegde waarde te komen voor het gehele stelsel. Zoals ik hierboven ook al benoemde is over veel van die bespreekpunten al overeenstemming bereikt. Ik neem die al zoveel als mogelijk is mee in het Instellingsbesluit, dat aan het begin van het nieuwe jaar het BIT omvormt tot een adviescollege.

Een aantal punten die de Toezichtsraad ook noemt, zoals de benaming van het adviescollege of de toepasselijkheid van de Kaderwet adviescolleges, passen beter bij het wetgevingstraject naar het uiteindelijk adviescollege. Uitgangspunt hierbij is wat mij betreft dat het college als onderdeel van het CIO-stelsel het lerend vermogen van dat CIO-stelsel moet versterken, zoals ik dat ook in mijn brief van 20 december 2019 heb verwoord.4

Ik deel de zienswijze van de Toezichtsraad van het BIT dat er door de transitiemanager en het Ministerie van BZK hard gewerkt is om deze tijdelijke status van het adviescollege vorm te geven. Ik wil dank uitspreken aan de medewerkers van het BIT, omdat deze transitie ook capaciteit van hen vraagt. Desondanks zullen in 2020 naar verwachting dertien toetsen worden afgerond. Dat is slechts een tweetal minder dan vorig jaar. Ook zijn er recent twee toetsmanagers geworven, één per augustus en één per september, waarmee de toetscapaciteit van het BIT verder toeneemt.

Inzicht in projectportfolio

De constatering van de Toezichtsraad, dat projecten die bij het BIT worden aangemeld niet altijd tijdig door departementen op het Rijks ICT Dashboard worden gerapporteerd, onderschrijf ik. In voorkomende gevallen zijn tussen het BIT en de CIO Rijk goede afspraken gemaakt over het signaleren van discrepanties tussen beide overzichten, zodat hier gericht op kan worden gestuurd bij de betrokken departementen.

Als een project niet op het Rijks ICT-dashboard blijkt te staan, wordt aan het ministerie de reden daarvan gevraagd. Die verklaring kan bijvoorbeeld zijn dat de interne besluitvorming over aanvang van een project nog niet is afgerond, of dat een project vanwege bedrijfsgevoelige informatie voorafgaand aan aanbesteding nog niet op het dashboard is gepubliceerd. Dergelijke projecten moeten conform de Rijksbrede afspraken al wel aangemeld worden voor een BIT-toets, omdat juist in die fase voor aanvang van het project nog voldoende ruimte is om het project bij te sturen op basis van een BIT-advies.

Indien echter geen valide verklaring kan worden gegeven voor het nog niet publiceren op het dashboard spreekt de CIO Rijk het betreffende departement hier uiteraard op aan. Meestal wordt het project dan alsnog op korte termijn gepubliceerd. Het blijft echter in ultimo de verantwoordelijkheid van de ministeries zelf om grote ICT-projecten tijdig en conform de Rijksbrede afspraken op het Rijks ICT-dashboard te publiceren.

Bijdrage BIT aan lerend vermogen CIO-stelsel

In het debat over de CoronaMelder app van 2 september jl. is door het lid Hijink (SP) verzocht om de lessen die te trekken zijn bij de ontwikkeling van de CoronaMelder te betrekken bij het verbeteren van de omgang van de overheid met ICT.5 De Minister van Volksgezondheid, Welzijn en Sport heeft mij in dat verband gevraagd om de ontwikkeling van de app te evalueren. Ik zie net als uw Kamer de meerwaarde van zo’n evaluatie ten behoeve van het lerend vermogen binnen het stelsel en zeg u hierbij toe dat te zullen doen.

Ik heb het BIT vanuit diens expertise op dit terrein gevraagd om hier een rol in te spelen. Met het BIT en mijn ambtsgenoot van VWS ga ik in gesprek over de wijze waarop de evaluatie vorm kan krijgen en het geschikte moment om deze te starten. Ik kom hier voor het eind van het jaar bij u op terug.

Tot slot wil ik mijn waardering uitspreken voor het feit dat het BIT zitting neemt in de Online Trust Coalitie (OTC) waarmee bijgedragen wordt aan kennisdeling over veilig en betrouwbaar gebruik van online- en clouddiensten. De kennis en ervaring op dit terrein wordt daarmee ook tussen en met publieke en private partners gedeeld.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops


X Noot
1

Raadpleegbaar via www.tweedekamer.nl.

X Noot
2

Kamerstuk 26 643, nr. 656, p. 8.

X Noot
3

Kamerstuk 26 643, nr. 690, p. 2.

X Noot
4

Kamerstuk 26 643, nr. 656, p. 7.

X Noot
5

Handelingen II 2019/20, nr. 96, debat over de Tijdelijke bepalingen in verband met de inzet van een notificatieapplicatie bij de bestrijding van de epidemie van covid-19 en waarborgen ter voorkoming van misbruik daarvan (Tijdelijke wet notificatieapplicatie covid-19 (Kamerstuk 35 538).

Naar boven