31 031 XI
Jaarverslag en slotwet ministerie van Volkshuisvesting, Ruimtelijke Ordening en Milieubeheer 2006

nr. 12
BRIEF VAN DE MINISTER VAN VOLKSHUISVESTING, RUIMTELIJKE ORDENING EN MILIEUBEHEER

Met deze brief geef ik gevolg aan de gedane toezegging in mijn reactie op de vraag van Uw Kamer (Kamerstuk 31 031 XI-2, vraag 3/RJv VROM 2006), inzake de conclusies en aanbevelingen van de Algemene Rekenkamer over de onvolkomenheid in het ICT-beheer, incl. informatiebeveiliging en de Wet Bescherming Persoonsgegevens (WBP). Conform de toezegging is de inhoud van deze brief ambtelijk afgestemd met de Algemene Rekenkamer. De Algemene Rekenkamer zal u naar verwachting over de voortgang berichten in haar rapport bij het Jaarverslag VROM 2007.

Het ministerie van VROM maakt een ontwikkeling door naar een kerndepartement. De belangrijkste uitvoeringsprocessen gericht op de burger en het bedrijfsleven zijn overgeheveld naar de Belastingdienst (huurtoeslag) en SenterNovem (subsidieregelingen). De bedrijfsvoering is mede daardoor in een proces terecht gekomen van centralisatie en standaardisatie om de kwaliteit te verhogen en de kosten neerwaarts te buigen. Voor de ICT-bedrijfsvoering is in 2003/2004 het besluit genomen tot outsourcing. Het contract met Getronics PinkRoccade is bepalend voor de door de externe dienstverlener te verrichten prestaties en de daarbij geboden kwaliteit. De ICT-infrastructuur, systemen en werkstations zijn overgedragen in eigendom van deze externe dienstverlener. Deze innovatieve aanbesteding stelt bijzondere eisen aan de regievoering vanuit VROM.

Met de externe leverancier zijn kwaliteitseisen overeengekomen voor zowel de ICT-infrastructuur als voor het beheer. Deze kwaliteitseisen worden nog niet op alle punten nagekomen. De dienstverlening door Getronics PinkRoccade schiet o.a. tekort ten aanzien van de fysieke beveiliging van de servers en het bewaren van back-up tapes. Er zijn risico’s dat wijzigingen in de ICT-infrastructuur tot verstoringen leiden zonder adequate en tijdige oplossing door de externe leverancier. Voor belangrijke systemen ontbreken verder beschreven procedures en worden verrichte werkzaamheden niet vastgelegd. Hierdoor kunnen problemen niet tijdig worden opgelost.

De beschikbaarheid van de basisvoorzieningen is overigens in de dagelijkse praktijk adequaat. Echter voornoemde tekortkomingen in het beheer en in de controleerbaarheid leiden nog tot teveel onzekerheid over de kwaliteit van de basisvoorzieningen en vooral de specifieke informatiesystemen.

Ondanks een gedetailleerd contract met afspraken, die adequaat en toereikend zijn om «in control» te komen en ondanks additionele inspanningen en bijbehorende investeringen van de kant van mijn ministerie, is het ICT-beheer in de afgelopen drie jaar niet geheel op orde gekomen. Getronics PinkRoccade heeft de eerder gesignaleerde tekortkomingen niet volledig kunnen opheffen.

Het komende halfjaar wil ik voldoende uitzicht krijgen op een adequate outsourcing van de ICT-infrastructuur en systemen met het oog op een mogelijke verlenging van het huidige contract, dan wel een mogelijk nieuwe aanbesteding in 2008/2009.

De gesignaleerde gebreken in de ICT-dienstverlening bij de externe dienstverlener en de mogelijk nieuwe aanbesteding leiden ertoe dat ik aanvullende maatregelen tref in 2007 om de onvolkomenheid aan te pakken:

• Een Quality Assurance-team (QA-team) zal zich richten op de verbetering van de controleerbaarheid van het beheer o.a. door het monitoren en begeleiden van audits en verbetermaatregelen, alsook door het (laten) uitvoeren van gerichte onderzoeken bij de externe dienstverlener naar de implementatie van verbetermaatregelen.

• VROM vraagt van de externe dienstverlener conform het contract een volledige TPM (=Third Party Mededeling: een TPM geeft een beoordeling van de opzet, het bestaan en de werking van afgesproken maatregelen) over de gehele dienstverlening in 2007. Mogelijke tekortkomingen die blijken uit deze TPM over 2007 moeten in 2008 worden opgeheven. Dit moet eind 2008 blijken uit de volledige TPM over 2008. Ik zal strikt toezien op het halen van afgesproken deadlines.

• Met het oog op een komende aanbesteding zoek ik ten aanzien van het te hanteren normenkader voor basisvoorzieningen en specifieke systemen aansluiting op in ontwikkeling zijnde nieuwe uniforme overheidsregels.

Op het vlak van informatiebeveiliging en WBP wil ik de ingezette verbetering consolideren om daarmee volledig aan het Voorschrift Informatiebeveiliging Rijksdienst (VIR) en het Voorschrift Informatiebeveiliging Rijksdienst Bijzondere Informatie (VIR-BI) te voldoen aan het einde van 2008.

In het kader van het VIR heeft mijn ministerie in 2006 toereikende maatregelen getroffen voor de ICT-infrastructuur en de specifieke systemen. Conform de aanbevelingen van de departementale Auditdienst wordt actie ondernomen om de controleerbaarheid van genomen maatregelen te vergroten. Tevens wordt de actieve betrokkenheid van het lijnmanagement door communicatie en bewustwording nagestreefd.

Het ministerie heeft in juli 2007 een continuiteitsstrategie vastgesteld om daarmee aanvullende maatregelen voor herstel- en uitwijkvoorzieningen en calamiteitenplannen te realiseren.

Met betrekking tot huurtoeslag en crisismanagement zijn reeds adequate voorzieningen aanwezig. Overige maatregelen (bijv. in het geval van onbruikbaarheid van het gebouw) worden in overleg met de externe dienstverlener en de Rijksgebouwendienst getroffen. Te denken valt hierbij aan herstel- en uitwijkmaatregelen, die zich richten op het herstel van communicatie met het ministerie (telefonische bereikbaarheid), een uitwijk voor werkplekken (politieke/ambtelijke top) en op continuiteitsgaranties van de externe dienstverlener bij uitval van de ICT-infrastructuur en belangrijke systemen.

Op het vlak van het VIR-BI streef ik ernaar bijzondere digitale informatie toegankelijk te maken met een toereikend beveiligingsniveau met zware toegangsbeveiliging en versleuteling van informatie. Specifieke aandacht wordt daarbij gegeven aan de informatiebeveiliging bij de Rijksgebouwendienst (bijv. tekeningen van gevangenissen) en de VROM-Inspectie (informatie-uitwisseling met ketenpartners). Voorlopig werkt VROM bij bijzondere informatie met fysieke beveiliging (o.a. kluizen, aangepaste ruimten), waarmee hoge kosten zijn gemoeid en de gebruiksmogelijkheden beperkt. Samen met de externe dienstverlener zal worden bezien op welke wijze en binnen welk tijdspad de voorzieningen zinvol binnen de totale dienstverlening beschikbaar kunnen worden gesteld.