De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de bewindspersonen van Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijkrelaties, Economische Zaken en Klimaat over de brieven van 15 mei 2023 inzake het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Justitie en Veiligheid (Kamerstuk 36 560 VI, nr. 2), het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36 560 VII, nr. 2), en het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Economische Zaken en Klimaat (Kamerstuk 36 560 XIII, nr. 2).

De Minister van Binnenlandse Zaken en Koninkrijkrelaties heeft deze vragen, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van Economische Zaken en Klimaat en de Minister van Justitie en Veiligheid, beantwoord bij brief van 4 juni 2024. Vragen en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie, Kathmann

De adjunct-griffier van de commissie, Muller

Vragen en antwoorden inzake Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Justitie en Veiligheid (36 560 VI-2)

Kunt u aangeven op welke manier de veiligheid van uw medewerkers in het geding was? Had het gebrek aan veiligheid opgelost kunnen worden? Bij wie lag die verantwoordelijkheid? Heeft u een gebrek aan medewerking of juist tegenwerking ervaren?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u separaat ontvangen.

Kunt u aangeven welke maatregelen u treft om het IT-beheer van het algoritme structureel te verbeteren?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u separaat ontvangen.

Kunt u aangeven hoeveel hits in 2023 werden gemist doordat profielen niet het aantal hits opleverden dan had gemoeten?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u separaat ontvangen.

Kunt u aangeven op welke manier de Minister van JenV en de Minister van Defensie van mening verschillen over de verwerkingsverantwoordelijkheden? Hoeveel vertraging heeft de voortgang van de Data protection impact assessment (DPIA) opgelopen doordat beide Ministers geen overeenstemming hebben weten te bereiken?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u separaat ontvangen.

Vragen en antwoorden inzake Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (36 560 VII-2)

Wat zijn de achterliggende redenen dat er weinig progressie is geboekt op de grote problemen bij het rijksbrede ICT-beheer?

Antwoord:

De Algemene Rekenkamer stelt dat daadkrachtige kaderstelling en eenduidige kwaliteitseisen ontbreken en dat invulling van de kaders te langzaam gaat. Er zijn de afgelopen jaren handreikingen opgesteld en stappen gezet maar die hebben de bevinding slechts ten dele opgelost. Departementen zijn voor dit onderwerp terughoudend in het gezamenlijk ontwikkelen en implementeren van uitgebreidere kaders, dit vraagt (veel) meer tijd om de inhoudelijke argumenten af te stemmen en tot een Rijksbreed kader te komen.

De Algemene Rekenkamer constateert dat de kwaliteit van IT-beheer bij de financiële systemen beter wordt; tegelijkertijd wordt een verschil met de kwaliteit van IT-beheer buiten de financiële stromen gesignaleerd.

Inmiddels werkt CIO Rijk samen met vier departementen een normenkader uit dat zal dienen als kader voor het Rijksbreed IT-beheer. Ik streef ernaar een duidelijk kader in 2024 vast te stellen en daarop toe te zien.

Kunt u aangeven welke lessen er zijn getrokken uit de vertraging voor de nieuwbouw van digitale voorzieningen voor Logius? Maakt u naar aanleiding van deze vertragingen andere inschattingen ten aanzien van de duur van toekomstige nieuwbouw? Wat zijn de gevolgen daarvan voor andere contracten van Logius die op het punt staan af te lopen?

Antwoord:

Naar aanleiding van het AcICT Advies Logius ICT-infrastructuur (Kamerstukken II 2022/23, 26 643, nr. 1014) en de bestuurlijke reactie daarop (Kamerstukken II 2022/23, 26 643, nr. 1050) hebben Logius en de opdrachtgever bij BZK de zakelijke sturing verbeterd, ondersteund door een periodiek opdrachtgevers-opdrachtnemersoverleg waarin de voortgang en status van opdrachten, waaronder programma’s, wordt gevolgd. Daarbij is specifieke aandacht voor het samen doorlopen van de voorfase van nieuwe opdrachten. Ook wordt expliciet in een vroeg stadium gesproken over haalbaarheid en uitvoerbaarheid van nieuwe wensen, zodat een meer realistische programmering tot stand komt. Er is voortdurend aandacht bij de betrokken partijen voor het verder verbeteren van de zakelijke sturing. Zo is bij de opdrachtgever extra capaciteit voor quality assurance en portfoliomanagement aangetrokken.

De opvolging van het AcICT-advies wordt programmatisch aangepakt in samenwerking tussen Logius en het Ministerie van BZK. Via Dashboards worden ontwikkelingen op wekelijkse basis gevolgd en met elkaar besproken. De mogelijke gevolgen van eventuele wijzigingen in planningen voor lopende contracten wordt hierbij steeds in beeld gebracht.

Heeft Logius veranderingen doorgevoerd in de manier waarop het zicht en grip houdt op de duur van nieuwbouw? Waar bestaan deze veranderingen uit?

Antwoord:

Zie antwoord bij vraag 6.

Kunt u aangeven hoeveel algoritmes van ministeries en organisaties nog missen in het algoritmeregister? Welke ministeries en organisaties blijven in absolute en relatieve aantallen algoritmes het meest achter bij het aangeven van hun algoritmes in het algoritmeregister?

Antwoord:

Er is geen volledig beeld van het aantal algoritmes dat in het register ontbreken. Eind 2023 en begin 2024 hebben departementen zogenoemde planningsbrieven gestuurd over de vulling van het algoritmeregister en toegezegd uiterlijk 2025 het algoritmeregister gevuld te hebben met ten minste hoog risico algoritmen. Sommige departementen hebben toen aangegeven hoeveel algoritmen zij verwachten op te nemen in het register, maar sommige departementen zijn of waren nog bezig met een inventarisatie. Departementen zullen vanaf volgend jaar rapporteren over hun voortgang hierover via de Jaarrapportage Bedrijfsvoering Rijk.

Op 24 mei 2024 hadden de volgende departementen – en gerelateerde organisaties – algoritmen in het register:

• • Binnenlandse Zaken en Koninkrijksrelaties (22)

• • Buitenlandse Zaken (1)

• • Economische Zaken en Klimaat (6)

• • Financiën (11)

• • Infrastructuur en Waterstaat (2)

• • Justitie en Veiligheid (13)

• • Onderwijs, Cultuur en Wetenschap (1)

• • Sociale Zaken en Werkgelegenheid (16)

• • Volksgezondheid, Welzijn en Sport (4)

Kunt u aangeven tegen welke problemen u aanloopt bij het oplossen van de onvolkomenheden voor rijksbreed IT-beheer?

Antwoord:

Bij de eerste constatering van de Algemene Rekenkamer was onvoldoende helder hoe definities van beheer en kaders in de rapporten bedoeld waren. De verantwoordelijkheidsverdeling tussen systeemeigenaren, CIO’s van departementen en de centrale kadersteller stond ook ter discussie, specifiek voor het beheervraagstuk. Het verkrijgen van een Rijksbreed beeld van de opgave en de mogelijk interventie vereiste meer werk dan verwacht. Prioriteit is gegeven aan beveiligingsvraagstukken en nieuw beleid op dit gebied.

Inmiddels is het CIO-stelsel inclusief de CISO’s geëngageerd; handreikingen en kaders worden voortdurend doorontwikkeld met doorwerking naar het informatiestatuut. Een kopgroep van vier departementen werkt aan een in 2024 vast te stellen kader voor IT-beheer.

Kunt u aangeven welke administratieve verbeterpunten bij het Shared Service Centrum (SSC)-ICT nog open staan? Tegen welke moeilijkheden loopt u aan bij het oplossen van deze verbeterpunten? Kunt u aangeven wat het tijdspad is om deze verbeterpunten door te voeren?

Antwoord:

Het betreft verbeterpunten die door de ADR zijn geclassificeerd als een laag risico en die betrekking hebben op het actualiseren van procesbeschrijvingen, waarbij in de huidige werkwijzen verbeterde beheersmaatregelen zijn doorgevoerd. De verbeterpunten zijn oplosbaar en naar verwachting opgelost in het derde kwartaal van 2024.

Hoe duidt u de kritiek van de Algemene Rekenkamer dat het bij het rijksbrede IT-beheer ontbreekt aan een daadkrachtige kaderstelling?

Antwoord:

De constatering dat de huidige aanpak onvoldoende is erkent de Staatssecretaris van BZK en heeft haar volle aandacht. Onder andere om dit op te lossen is aangegeven dat de sturing op het digitale domein versterkt moet worden. Daarom werkt de Staatssecretaris van BZK aan een herziening van het CIO Stelsel. Het doel van deze herziening is om het volwassenheidsniveau van de sturing op het digitale domein te verhogen.

Hoe wilt u realiseren dat de geplande verbeteracties op toezicht IT-beheer wel worden gerealiseerd in 2024?

Antwoord:

Om de geplande verbeteracties wel te realiseren zijn op basis van de eerder uitgevoerde pilot en de nulmeting van vorig jaar contouren van de benodigde kaderstelling zichtbaar geworden. Hierop wordt in 2024 doorgepakt. CIO Rijk gaat samen met vier departementen het proces en de methodiek uitwerken om het inzicht in het IT-Beheer te verkrijgen. Daarnaast werkt de Staatssecretaris van BZK samen met vier departementen een normenkader uit dat zal dienen als kader voor het Rijksbreed IT-beheer. Op basis van dit kader zal ook toezicht op de naleving worden vormgegeven.

Kunt u aangeven waarom het nog niet gelukt is om eenduidige kwaliteitseisen te stellen waaraan het IT-beheer minimaal moet voldoen?

Antwoord:

De reden waarom het nog niet is gelukt om een eenduidige kader voor IT-beheer te maken heeft te maken met prioriteitsstellingen op het vlak van security en pas opvolgend het IT-beheer.

In lijn met de voorgaande rapporten van de AR is de focus primair gericht op de financiële systemen. Opvolgend is gekeken naar een risico gebaseerde aanpak waarbij te beschermen belangen zijn toegevoegd aan het informatiebeveiligingsbeeld. Vorig jaar zijn stappen gezet om te komen tot een duidelijke handreiking rondom Life Cycle Management.

Hoe wilt u zorgen dat de maatregelen voor betere inkoop- en inhuurprocessen bij SSC-ICT wel structureel doorwerken?

Antwoord:

In 2023 is een aanzienlijke verbetering opgetreden in de rechtmatigheid van externe inhuur (onrechtmatigheid van € 12,4 mln. in 2022 teruggedrongen naar € 2,5 mln. in 2023). Dit dankzij een verbeterplan dat onder andere striktere toetsing van knock-out criteria en beter beheer van verlengingsopties bevat. Ik ga ervan uit dat hierdoor ook in 2024 een positief effect optreedt.

Kunt u aangeven waarom SSC-ICT de keuze maakt voor het inhuur van relatief veel extern personeel? Waarom wordt dergelijk personeel niet in dienst genomen?

Antwoord:

In de huidige krappe ICT-arbeidsmarkt is het een uitdaging om voldoende gekwalificeerde ambtelijke medewerkers aan te trekken. Om de continuïteit van de primaire en ondersteunende processen te waarborgen, is SSC-ICT genoodzaakt ook een beroep te doen op externe medewerkers, waarbij SSC-ICT ernaar streeft deze medewerkers te verambtelijken. Dit is in lang niet alle gevallen mogelijk: sommige ICT-professionals geven de voorkeur aan een externe positie vanwege redenen als flexibiliteit, salaris en diversiteit aan opdrachten.

Hoe kan het dat uit de door de Rekenkamer onderzochte algoritmes 67% niet helemaal voldoen aan de voorwaarden in het toetsingskader en hoe wilt u ervoor zorgen dat dit in de toekomst verbeterd?

Antwoord:

De Algemene Rekenkamer heeft voor het verantwoordingsonderzoek 2023 drie algoritmen onderzocht. Het algoritme Risicotaxatie-model Jeugdstrafrechtketen van het Ministerie van Justitie en Veiligheid voldeed aan de eisen. De Algemene Rekenkamer heeft aangegeven dat er bij de Marechaussee risico was op toegang door onbevoegden. Over het algoritme bij Rijkswaterstaat geeft de Algemene Rekenkamer aan dat Rijkswaterstaat onvoldoende aangeeft hoe zij omgaat met de gegevens.

De Staatssecretaris van BZK werkt aan een nieuwe versie van het Algoritmekader, voorheen implementatiekader. Daarin maakt zij duidelijk richting overheidsorganisaties aan welke vereisten zij moeten voldoen. Het toetsingskader van de Algemene Rekenkamer maakt daar deel van uit. Bij de vereisten wordt aangegeven welke maatregelen zij moeten nemen om aan die vereisten te voldoen en worden best practices gedeeld. Het Algoritmekader wordt zo ingericht dat het praktisch uitvoerbaar is voor ook uitvoeringsorganisaties.

Vragen en antwoorden inzake Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Economische Zaken en Klimaat (36 560 XIII-2)

Wat zijn de risico’s die gepaard gaan met een te late controle op uitdiensttredingen? Heeft u maatregelen genomen om deze risico’s te mitigeren of om de controle op uitdiensttredingen te bespoedigen? Zijn er moeilijkheden bij het treffen van deze maatregelen en wat zijn deze moeilijkheden?

Antwoord:

Bij uitdiensttreding wordt de werkplekomgeving van DICTU van EZK geautomatiseerd beëindigd. Hierdoor is het dan niet meer mogelijk gebruik te maken van toegang tot het financiële pakket ondanks het feit dat de toegangsrechten voor dat financiële pakket nog niet ingetrokken zijn.

Wanneer medewerkers hun toegang tot het financiële administratiepakket Oracle EBS behouden na uitdiensttreding, dan kunnen zij de rechten die zij daarvoor hadden nog uitoefenen, mits zij nog toegang hebben tot het pakket. Het risico daarvan acht ik beperkt, omdat de toegang tot Oracle EBS alleen mogelijk is via de werkplekomgeving van DICTU van EZK die, zoals hierboven aangegeven, geautomatiseerd wordt beëindigd bij uitdiensttreding.

Ik heb maatregelen getroffen om de controle op uitdiensttredingen te intensiveren. Hierbij ligt de nadruk op periodieke controle door de lijnmanagers op de geldigheid van de gebruikerspopulatie en hun rollen en rechten. Hiervoor heb ik zowel een generiek project gestart om een nieuw bevoegdhedenbeheersysteem in gebruik te nemen, als een specifieke controle opgezet gericht op de beheersing van de toegang tot Oracle EBS.

De oorzaak van het issue is het feit dat het bijhouden van de medewerkergegevens in Oracle EBS niet geautomatiseerd plaatsvindt op basis van de registratie in P-Direkt en de identiteitenregistratie. Mijn ministerie heeft in het verleden (2011 en 2015) twee mislukte pogingen gedaan om hiervoor een geautomatiseerde koppeling te realiseren, waardoor er nu nog steeds handmatige doorgifte plaatsvindt. Ook hindert de verschillende toewijzing van verantwoordelijkheid voor gegevens van eigen personeel en van inhuurkrachten (personeelsadministratie versus inkoop) het goed organiseren van de informatiestroom rond uitdiensttredingen. Het vraagstuk van uitdiensttreding speelt breder dan alleen in de financiële administratie en wil ik bij voorkeur generiek oplossen.

Overkoepelende/overige vragen die betrekking hebben op bovenstaande rapporten Resultaten verantwoordingsonderzoek 2023

Geen vragen.