De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de Algemene Rekenkamer over de brieven van 15 mei 2024 inzake het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36 560 VII, nr. 2) en het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Economische Zaken en Klimaat (Kamerstuk 36 560 XIII, nr. 2).

De Algemene Rekenkamer heeft deze vragen beantwoord bij brief van 4 juni 2024. Vragen en antwoorden zijn hierna afgedrukt.

Vraag 1

Kunt u aangeven wat de administratieve verbeterpunten voor de beveiliging van IT-componenten bij het Shared Service Centrum (SSC)-ICT zijn? (bladzijde 17)

SSC-ICT test periodiek de beveiliging van IT-componenten, bijvoorbeeld of er bekende kwetsbaarheden worden gevonden en de patch-processen zijn uitgevoerd. Hierover wordt maandelijks gerapporteerd aan het management. Rondom deze rapportages zijn er nog verschillende verbeterpunten. Zo is in de rapportages de status van uitgevoerde controles niet altijd helder. Ook blijkt uit de rapportages niet duidelijk hoe vaak controles plaatsvinden. Verder is het versiebeheer onvoldoende duidelijk en is het proces van vaststelling niet goed te reconstrueren.

Vraag 2

Kunt u aangeven waaruit de restrisico’s voor de volledigheid van de financiële omzet van de Rijksdienst voor Identiteitsgegevens (RvIG) en de juistheid van de facturering aan de afnemers uit bestaan?

Met ingang van 2023 beschikt RvIG over voldoende informatie om de kwaliteit van het IT-beheer van de externe dienstverleners te beoordelen en te monitoren. Na het treffen van beheersingsmaatregelen blijft er altijd een beperkt risico dat beheersingsdoelstellingen niet worden gerealiseerd. Gezien de getroffen maatregelen wordt het risico op het missen van omzet als gering ingeschat. Het restrisico voor de volledigheid van de omzet is mede verder beperkt doordat gewerkt wordt met staffels en tarieven.

Bij de onjuiste verwerking van het aantal keren dat gebruik is gemaakt van het opvragen van gegevens door de verschillende afnemers bestaat het risico dat er een verkeerd bedrag wordt gefactureerd.

Vraag 3

Waaruit bestaat het verschil tussen de kwaliteit van IT-beheer binnen de financiële systemen en buiten de financiële stromen precies? Kunt u hierover uitweiden? (bladzijde 20)

IT-beheer binnen de financiële systemen toetsen wij in het kader van de jaarrekeningcontrole. In onze onderzoeken buiten de financiële systemen, bijvoorbeeld onze algoritmeonderzoeken, nemen wij IT-beheer ook mee. In deze onderzoeken zien we dat IT-beheer minder goed op orde is. We kunnen bijvoorbeeld vaak niet met zekerheid vaststellen wie er allemaal wijzigingen kunnen doorvoeren in de code van een algoritme en wie dat hebben gedaan. Wanneer dit aspect van IT-beheer niet op orde is, bestaat het risico dat gegevens onrechtmatig worden gewijzigd of verwijderd. Verder wordt er vaak gebruikt gemaakt van uitbesteding en is het daardoor ingewikkeld om zicht te krijgen welke maatregelen er worden genomen om risico’s te verminderen. In de algoritmeonderzoeken bleek ook dat we niet altijd alle voor het onderzoek benodigde informatie konden verkrijgen van bij de ontwikkeling of het beheer van het algoritme betrokken «onderaannemers».

Vraag 4

Kunt u aangeven waarom de handreikingen die de Minister van BZK het afgelopen jaar heeft opgesteld om de ministeries te helpen volgens u niet voldoende zijn? Verschillen de kwaliteitseisen binnen deze handreikingen te zeer van elkaar? Mist er informatie? Waaraan moet het kwaliteitskader voldoen en waaraan voldoen de handreikingen die reeds zijn opgesteld niet? (bladzijde 20)

Hoewel er door de Minister van BZK handreikingen zijn opgesteld voor IT-beheer, is er nog geen kader vastgesteld waartegen de naleving van kan worden getoetst. De opgestelde handreikingen zijn daarom geen volledige invulling van de kaderstellende rol van de Minister van BZK. Met de handreikingen alleen is nog niet vastgesteld welke kaders het Ministerie van BZK aanhoudt voor IT-beheer binnen de rijksoverheid. Hierdoor is geen uniform beeld aan welke normen departementen en uitvoeringsorganisaties minimaal moeten voldoen.

Vraag 5

Kunt u aangeven in hoeverre de inhuur van extern personeel door SSC-ICT leidt tot hogere kosten ten opzichte van het in dienst nemen van dergelijk personeel?

U vraagt in hoeverre de inhuur van extern personeel door SSC-ICT leidt tot hogere kosten ten opzichte van het in dienst nemen van personeel. Hier hebben wij geen onderzoek naar gedaan.

Vraag 6

Zijn er nog dingen opgevallen als het gaat om de budgetten voor digitale infrastructuur en hoogwaardige technologieën?

Vraag 7

Wat zijn de risico’s die gepaard gaan met een te late controle op uitdiensttredingen? (bladzijde 20)

Als controles op uitdiensttredingen te laat plaatsvinden, bestaat het risico dat medewerkers die uit dienst zijn getreden bij een andere afdeling zijn gaan werken of een andere rol hebben gekregen nog rechten hebben in IT-systemen. Daardoor kunnen zij ten onrechte nog handelingen verrichten in die systemen, zoals wijzigingen aanbrengen of informatie raadplegen, terwijl zij daartoe niet meer geautoriseerd vanwege het einde van hun dienstverband.

Vraag 8

In hoeverre weegt u strategische afhankelijkheden van niet-Europese ICT-leveranciers mee in uw beoordeling over de informatiebeveiliging van ICT-diensten?

Strategische afhankelijkheden van niet-Europese ICT-leveranciers waren geen onderdeel van onze beoordelingen binnen het verantwoordingsonderzoek 2023.