35 200 VII Jaarverslag en slotwet Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 2018

Nr. 10 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 7 juni 2019

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen voorgelegd aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 15 mei 2019 inzake het rapport Resultaten verantwoordingsonderzoek 2018 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII) (Kamerstuk 35 200 VII, nr. 2).

De Minister heeft deze vragen beantwoord bij brief van 5 juni 2019. Vragen en antwoorden, voorzien van een inleiding, zijn hierna afgedrukt.

De voorzitter van de commissie, Ziengs

De griffier van de commissie, Roovers

Inleiding

Ik heb helaas geconstateerd dat door een rapportagefout van de Belastingdienst op het Rijks ICT Dashboard ook in de Jaarrapportage Bedrijfsvoering Rijk (JBR), die ik eerder met uw Kamer heb gedeeld, onjuiste cijfers zijn opgenomen. Het gaat hierbij om het totaalbedrag van daadwerkelijk in 2018 gemaakte kosten en de totale meerjarige kosteninschatting van grote ICT-projecten. De correcte cijfers zijn in de beantwoording van deze schriftelijke Kamervragen opgenomen. Het totaal aan daadwerkelijke uitgaven aan grote ICT-projecten binnen het Rijk komt uit op € 648 mln. waar eerder € 564 mln. was gemeld. De totale meerjarige kosteninschatting van grote ICT-projecten komt uit op € 3.137 mln. waar eerder € 3.032 mln. was gemeld. Omdat bij diverse berekeningen in de JBR van de eerder gemelde totaalbedragen gebruik is gemaakt, zal ik u tevens zo snel mogelijk een rectificatie van de volledige ICT-paragraaf van de JBR over 2018 doen toekomen. Ik betreur uiteraard deze gang van zaken.

1

Vraag:

Wat zijn de redenen geweest om te kiezen voor een agentschap als het gaat om het Shared Service Center ICT (SSC-ICT)? Wat zijn de voor- en nadelen van deze vorm?

Antwoord:

SSC-ICT is in zijn huidige vorm ontstaan als gevolg van het kabinetsbeleid inzake de vorming van een compacte Rijkdienst. De instelling van SSC-ICT als agentschap met een baten-lastenadministratie is verwoord in Kamerstuk 33 464, nr. 1. Deze instelling is gericht op het vormgeven van een verzakelijkte, resultaatgerichte en doelmatige bedrijfsvoering. Daarbij worden tussen opdrachtgever, eigenaar en agentschap vooraf afspraken gemaakt over prestaties, kwaliteit en kosten en hierover wordt verantwoording afgelegd. In deze constructie worden binnen het stelsel van Rijksbrede dienstverlening checks and balances geborgd. Een agentschap valt geheel onder de ministeriële verantwoordelijkheid.

Het voeren van een batenlastenadministratie maakt het onder andere mogelijk dat SSC-ICT voor de financiering van investeringen gebruik kan maken van de leenfaciliteit van het Ministerie van Financiën. De opdrachtgevers van SSC-ICT werken doorgaans met een verplichtingen-kasadministratie. De aansluiting op hun departementale begrotingscyclus vergt daardoor de nodige afstemming.

Bronnen

  • Kamerstuk 33 464, nr. 1: De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft de Tweede Kamer in haar brief van 30 oktober 2012 het voornemen gemeld om SSC-ICT Den Haag per 1 januari 2013 de status van baten-lastendienst toe te kennen. Met de beantwoording van een aantal Tweede Kamervragen (Kamerstuk 33 464, nr. 2) is vervolgens de «voorhangprocedure» afgerond zoals die in het kader van artikel 10 van de Comptabiliteitswet 2001 is bepaald.

  • Instellingsbesluit baten-lastendienst SSC-ICT Den Haag. (Stcrt. 2012, nr. 27098)

  • Regeling Agentschappen, 01-01-2018 t/m heden.

2

Vraag:

Wanneer en hoe worden de agentschappen geëvalueerd, en met welk doel?

Antwoord:

De Regeling Agentschappen schrijft voor dat de Minister en de Minister van Financiën gezamenlijk, tenminste eens in de vijf jaar, de doelmatigheid en doeltreffendheid van het functioneren van een agentschap beoordelen door middel van het uitvoeren van een agentschapsdoorlichting. De doelstelling van deze doorlichting is het geven van inzicht in het functioneren van het agentschap in het licht van de Regeling Agentschappen op de gebieden Governance, Financieel beheer, Doelmatigheid en Bekostiging. Vanaf de Ontwerpbegroting 2020 melden de agentschappen in welk jaar de eerstvolgende evaluatie staat gepland.

3

Vraag:

Welke acties worden ondernomen om onder de tolerantiegrens voor fouten en onzekerheden met betrekking tot de huurtoeslag te komen?

Antwoord:

De rapporteringstolerantie voor de huurtoeslag is lager dan voor de andere toeslagen, omdat de uitgaven en ontvangsten voor de huurtoeslag een groot deel van de uitgaven en ontvangsten van de begroting van BZK uitmaken. Voor de huurtoeslag geldt daardoor een tolerantie van € 145,9 mln., wat overeenkomt met 3,3% van de uitgaven en ontvangsten van de huurtoeslag. Voor de andere toeslagen is de rapporteringstolerantie 5% van de uitgaven en ontvangsten op het desbetreffende begrotingsartikel.

Voor de huurtoeslag wordt een overschrijding gemeld omdat volgens de Rijksbegrotingsvoorschriften bij gebruik van statistische steekproeven uitgegaan moet worden van de maximale fout. Voor de huurtoeslag bedraagt de meest waarschijnlijke fout en onzekerheid € 91,8 mln. Dit blijft onder de genoemde tolerantie.

Het beperken van (de gevoeligheid voor) fouten is onderwerp van het reguliere contact tussen BZK en de Belastingdienst en van de toetsing van de uitvoerbaarheid van nieuwe beleidsvoornemens.

4

Vraag:

Wat is de stand van zaken van de maatregelen op kwetsbaarheden in de informatiebeveiliging, zoals genoemd in de brief «Sturing Informatiebeveiliging en ICT binnen de Rijksdienst» uit oktober 2018?

Antwoord:

In oktober 2018 heb ik de Kamer het gewijzigde Coördinatiebesluit gestuurd waarin aanvullende bevoegdheden zijn geregeld (Kamerstuk 26 643, nr. 573), deze vul ik nu in. In de Strategische I-agenda staan korte- en lange termijn maatregelen. Dit moet helpen om in de toekomst meer grip te krijgen op IT en informatiebeveiliging.

  • CISO-profiel: het profiel van de Chief Information Security Officer (CISO) binnen departementen wordt in 2019 verduidelijkt en geformaliseerd.

  • Vulnerability scanning: ontwikkeling van een gezamenlijke voorziening voor controleren op kwetsbaarheden van systemen binnen de Rijksdienst die met het internet zijn verbonden is in voorbereiding en wordt binnen de planperiode van de I-agenda ontwikkeld.

  • Uitbouw van het Nationaal Detectie Netwerk (NDN) bij de Rijksdienst: het NDN is steeds effectiever als meer partijen aansluiten. Om de uitbouw te bevorderen heeft NCSC aanvullende capaciteit ingezet en heeft BZK ook extra budget uit de eigen begroting beschikbaar gesteld voor de aanschaf van extra sensoren door JenV (NCSC). Dit is een doorlopend meerjarig proces.

  • Staatsgeheime werkplek: er wordt binnen de planperiode van de Strategische I-agenda 2019–2021 een gezamenlijk kader voor een voorziening voor staatsgeheime toepassingen ontwikkeld. De interdepartementale verkenning van wensen en benodigde functionaliteiten is gestart. Op basis van de analyse zal nadere uitwerking plaatsvinden.

  • Ten aanzien van het afsprakenkader wordt hard gewerkt aan een beveiligingsniveau in de BIR 2017 dat weerstand biedt tegen hogere dreigingen. Gestreefd wordt naar oplevering in 2019.

5

Vraag:

Wat is de stand van zaken omtrent de formalisering van de Chief Information Security Officer (CISO)-rol? Wanneer is de rol daadwerkelijk geformaliseerd?

Antwoord:

Het profiel van de Chief Information Security Officer (CISO) wordt in 2019 verduidelijkt en geformaliseerd.

6

Vraag:

Worden andere ministers aangesproken als zij toch overgaan tot «Gunning uit de Hand»?

Antwoord:

Binnen de inhuurketen wordt door UBR|Inhuurdesk getoetst of voor een gunning uit de hand een mandaatbesluit vanuit de opdrachtgever aanwezig is. Zodra dit wordt bevestigd wordt de aanvraag door UBR| Inhuurdesk in behandeling genomen. De opdrachtgevers zijn primair zelf verantwoordelijk voor een juiste en volledige registratie van Waivers/managementbesluiten binnen hun organisatie, veelal de CDI-office.

In periodieke voortgangsgesprekken en rapportages worden de gunningen uit de hand vanuit UBR| Inhuurdesk besproken respectievelijk gerapporteerd aan de opdrachtgevers. UBR| Inhuurdesk is een uitvoeringsorganisatie en heeft geen enkel mandaat om opdrachtgevers resp. de verantwoordelijke Minister(s) aan te spreken.

7

Vraag:

Sinds wanneer was u bekend dat een aantal van de verbetermaatregelen waar P-Direkt en SSC-ICT in 2018 mee zijn gestart pas eind 2018 of begin 2019 geëffectueerd zou kunnen worden?

Antwoord:

Dat bleek tijdens de uitvoering in de loop van 2018. Het tempo wordt beïnvloed door de omvang en complexiteit van het P-Direkt landschap tezamen met de hoge beschikbaarheidseisen. Maatregelen dienen hierdoor gefaseerd uitgerold te worden. Inmiddels zijn deze maatregelen geëffectueerd.

8

Vraag:

Is er een «plan B» indien de verwachting dat SSC-ICT dit jaar het IT-beheer op orde krijgt voor de meest essentiële IT-systemen, niet gehaald wordt?

Antwoord:

De Staatssecretaris heeft geen aanleiding om te veronderstellen dat zijn eerder uitgesproken verwachting niet haalbaar is, maar mocht blijken dat de huidige maatregelen het gewenste effect nog niet volledig hebben bereikt, dan zal daar in de verbetercyclus van 2020 nader aandacht aan worden besteed.

9

Vraag:

Hoeveel jaar gaat het duren tot de gehele portefeuille van applicaties geüniformeerd zal zijn?

Antwoord:

De opmerking in het rapport betreft hier uitsluitend het uniformeren van het beheer van applicaties. Voor 2019 is de inspanning vooral gericht op het uniformeren van de beheerprocessen van de meest essentiële applicaties. Volgend jaar zal deze werkwijze ook worden toegepast op alle overige applicaties waar SSC-ICT het applicatiebeheer van uitvoert.

10

Vraag:

Welke (nieuwe) bevoegdheden zijn voor u onmisbaar om uw rol van het bevorderen van Rijksbrede informatiebeveiliging uit te voeren?

Antwoord:

Het herziene Coördinatiebesluit geeft mij nu de mogelijkheid om uitvoering te geven aan de brief die ik u in oktober 2018 heb gestuurd en in de Strategische I-agenda Rijksdienst 2019–2021 die u dit jaar hebt ontvangen.

Ik zal kaders stellen ter bevordering van de eenheid, de kwaliteit of de efficiëntie van de bedrijfsvoering én de informatiesystemen van de ministeries. Nieuw is dat ik in dat verband ICT voorzieningen kan aanwijzen die ten behoeve van de noodzakelijke uitwisselbaarheid of beveiliging Rijksbreed gebruikt moeten worden. Ik zal bovendien monitoren dat collega Ministers uitvoering geven aan deze kaders. Met deze maatregelen ga ik nu aan de slag. Uit de praktijk moet blijken of hiermee voldoende voortgang wordt bereikt.

Naar boven