Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 juli 2023

In de I-strategie Rijk 2021–2025 staan de overkoepelende prioriteiten van de Chief Information Officers van het Rijk. Dit zijn de belangrijkste uitdagingen voor de informatievoorziening en ICT van de Rijksoverheid voor de komende jaren bij de ministeries en hun uitvoeringsorganisaties. De I-strategie is samen met de CIO’s van de ministeries en hun grote uitvoerders opgesteld om op die manier langjarige uitdagingen, zoals legacy problematiek, en het verbeteren en professionaliseren van de informatievoorziening van de Rijksoverheid aan te pakken.

Evaluatie Strategische I-agenda voor de Rijksdienst 2019–2021

Het programma Compacte Rijksdienst gaf de aanleiding om een Rijksbrede I-strategie in 2011 op te stellen. Het rapport «Grip op ICT» van de Tijdelijke commissie ICT-projecten (commissie Elias) leidde tot een uitgebreide reactie vanuit het kabinet in 2015. De vervolgens aangekaarte opgave van ICT en informatiebeveiliging vroeg om een doorontwikkeling die in 2018 en leidde tot de Strategische I-agenda 2019–2021 met de daarin beschreven thema’s. De evaluatie van deze Strategische I-agenda bied ik u hierbij aan. In de evaluatie zijn bereikte resultaten uit de periode 2019–2021 in beeld gebracht en aandachtspunten verwoord.

De evaluatie bevestigt dat veel zaken uit de agenda 2019–2021 zijn bereikt en dat de I-agenda helpt om invulling te geven aan de gezamenlijke opgaven van de departementen. De grootste verandering is gerealiseerd in de organisatie-inrichting van het CIO-stelsel binnen de Rijksdienst. Ook op de gebieden «kennis en kunde» en «informatiebeveiliging en privacy» zijn noemenswaardige stappen gezet, zoals de implementaties van het programma Versterking HR ICT Rijksdienst en van de Baseline Informatiebeveiliging Overheid (BIO). In 2024 zal gestart worden met de implementatie van BIO versie 2.0. Door deze acties zijn ministeries en uitvoeringsorganisaties volwassener geworden op «I».

De in de evaluatie genoemde aandachtspunten zijn verwerkt in de huidige I-strategie. Een van de verbeteringen ten opzichte van de eerdere I-agenda is het instellen van trekkers per I-strategiethema. Elk van de thema’s wordt getrokken door een lid van het CIO-beraad, een duo of een trio, zoals bijvoorbeeld het thema Digitale weerbaarheid4. En om de streefdoelen concreter te maken zijn de thema’s van de I-strategie verder uitgewerkt in routekaarten met resultaten. Uit de analyse van het onderzoeksbureau wordt voortdurend bevestigd dat «I in het hart» de sleutel is, want digitalisering is essentieel voor de beleidsvorming en beleidsuitvoering. Daarom is «I in het hart» het eerste thema in de I-strategie Rijk geworden. Zo zijn ook de thema’s rond data blijvend van groot belang voor het Rijk. Verder vraagt het thema Generieke voorzieningen meer aandacht en uitvoeringskracht, hetgeen bevestigd wordt in het programma Open Overheid.

De rapporteurs wijzen naast technische veranderingen ook op noodzakelijke gedragsverandering bij de medewerkers bij het Rijk, bijvoorbeeld door de leerstof rondom kennis en kunde minder vrijblijvend te maken. Hierop zijn acties in gang gezet, zoals bijvoorbeeld een verplichte basisopleiding digitale weerbaarheid voor alle ambtenaren. Gewezen wordt op het streven van koersvastheid op termijn en dat dit ook mogelijk is met de jaarlijkse bijstelling van de I-strategie. Ten slotte wordt geadviseerd om de bestaande inspanningen en activiteiten voort te zetten, waarmee de I-community binnen het Rijk verder uitgebouwd wordt.

Ook is versneld toegewerkt naar een opvolger van de Strategische I-agenda 2019–2021 op een hoger niveau, waardoor de I-strategie Rijk 2021–2025 in september 2021 verscheen. Een verdere ontwikkeling is de komst van uw vaste Kamercommissie voor Digitale Zaken, een regeringscommissaris Informatiehuishouding en een Staatssecretaris van Digitalisering en Koninkrijksrelaties.

Scope en sturing op de uitvoering van de I-strategie Rijk 2021–2025

In de I-strategie Rijk 2021- 2025 staan de overkoepelende prioriteiten van de Chief Information Officers van het Rijk. Dit zijn de belangrijkste uitdagingen voor de informatievoorziening en ICT van de Rijksoverheid voor de komende jaren bij de ministeries en hun uitvoeringsorganisaties. De I-strategie is opgesteld samen met de CIO’s van de ministeries en hun grote uitvoerders met als doel het aanpakken van langjarige uitdagingen, zoals legacy problematiek en het verbeteren en professionaliseren van de informatievoorziening van de Rijksoverheid. Met informatievoorziening bedoelen we het geheel van mensen, middelen, systemen en netwerken om de kerntaken van de Rijksoverheid te kunnen uitvoeren. De concrete acties en op te leveren resultaten op deze thema’s zijn uitgewerkt in zogenaamde routekaarten. Deze routekaarten heb ik uw Kamer vorig jaar gestuurd in de Kamerbrief «I-strategie Rijk 2022–2025: Routekaarten»5.

De wijze waarop interdepartementaal gewerkt wordt aan informatievoorziening en digitaliseringsvraagstukken leidt stapsgewijs tot de ontwikkelingen en inzet van de coördinerende rol van BZK. Met het rapport van ABD Topconsult6 is destijds in de volle breedte onderzocht hoe de IV-governance binnen het Rijk verder verbeterd kon worden en is de voorloper van het Adviescollege ICT-toetsing van een permanente status voorzien. Een jaar later is het besluit CIO-stelsel Rijksdienst opgesteld en van kracht gegaan waarmee de rol en positie van de CIO is verduidelijkt en is versterkt.

In haar onderzoek van 20217 en roept de Algemene Rekenkamer BZK op om de coördinerende rol m.b.t. rijksbreed IT-beheer beter in te vullen: «Het is naar onze opvatting tijd dat de Minister van BZK een volgende stap zet in de ontwikkeling van haar rol in het CIO-stelsel en met meer focus stimuleert dat ministeries het beheer en de innovatie, rationalisering en harmonisering van generieke IT (bedrijfsvoering)systemen en generieke thema’s zoals cloudbeleid, digitale innovatie en cybersecurity verbeteren».

Ik onderschrijf de noodzaak om stevig te kunnen sturen. Digitale ontwikkelingen houden zich namelijk niet aan organisatiegrenzen, wat het noodzakelijk maakt om gezamenlijk op te trekken en centraal te sturen. Dat gebeurt momenteel ook al, maar deze rol kan sterker ingevuld worden. Op dit moment maken we o.a. gebruik van het «Besluit CIO-stelsel» en het «Coördinatiebesluit organisatie, bedrijfsvoering en informatiesystemen rijksdienst». Om steviger te kunnen sturen onderzoek ik momenteel welke ruimte er binnen deze besluiten is, waar we momenteel nog geen gebruik van maken. En bovendien welke aanpassingen in deze (en eventueel andere) besluiten nodig zijn en welk stelsel nodig is om effectiever te kunnen sturen om zo de grote uitdagingen van het Rijk aan te pakken. Steviger sturen zal, uiteraard in afstemming met de departementen, geschieden vanuit het idee dat als er over organisatiegrenzen heen moet worden gewerkt eenieder daar zijn bijdrage aan moet leveren.

De sturende rol van CIO Rijk komt tot uiting in de verbetertrajecten die vanuit de routekaarten van de I-strategie Rijk lopen. Daarnaast werk ik aan een uitbreiding van het stelsel met een Chief Privacy Officer (CPO), Chief Technology Officer (CTO) en een Chief Data Officer (CDO). Door de toevoeging van deze gespecialiseerde rollen kunnen we beter sturen. Waar mogelijk nemen we die in de huidige aanpassing van het stelsel mee. Als meer (uitwerk)tijd nodig blijkt, voeren we die aanpassingen op een later moment door. Daarnaast hebben we afgesproken dat het CIO-besluit na drie jaar door de ADR geëvalueerd zou worden. De vragen over versterking van het stelsel worden daar expliciet in meegenomen.

Verbinding I-strategie met «Werkagenda Waardengedreven Digitaliseren»

In de zomer van 2022 is mijn «Werkagenda Waardengedreven Digitaliseren»8 opgesteld. Bij de totstandkoming van de Werkagenda is de samenhang met de I-strategie geborgd. De meeste prioriteiten en acties voor de Rijksdienst zijn opgenomen in programmalijn vier: een waardengedreven en open digitale overheid. Hieronder vallen bijvoorbeeld de I-strategie thema’s ICT-landschap, informatiehuishouding, data, I-vakmanschap en transparantie en inzicht. Daarnaast komen speerpunten uit het thema digitale weerbaarheid terug in de tweede programmalijn van de werkagenda. Het onderdeel algoritmen van het thema data en algoritmen krijgt vorm in de derde programmalijn van de werkagenda.

Vanuit de departementale CIO’s is ook aandacht voor de digitalisering van Caribisch Nederland. Interdepartementaal is dit belegd bij het programma Digitalisering Caribisch Nederland, vanuit de vijfde lijn van de Werkagenda Waardengedreven Digitaliseren. De activiteiten van afzonderlijke departementen die voortvloeien uit het digitaliseringsbeleid worden uitgewerkt in hun meerjarige departementale informatieplannen9. Voor Caribisch Nederland is het «comply, or explain-principe»10 op het digitaliseringsbeleid evenzo van toepassing, zoals dit ook geldt voor departementen en de uitvoeringsorganisaties.

In de geactualiseerde routekaarten in bijlage 1 is de koppeling tussen resultaten van de I-strategie en die van de werkagenda aangegeven. Daarmee wordt duidelijk dat de acties om deze resultaten te behalen bijdragen aan zowel de realisatie van de I-strategie Rijk als aan de realisatie van de «Werkagenda Waardengedreven Digitaliseren».

Een voorbeeld van een concrete actie is dat vanaf Q4 2024 de verplichte basisopleiding digitale weerbaarheid (bij herhaling) aan alle rijksambtenaren, externen, trainees, uitzendkrachten en stagiaires binnen het rijk zal worden aangeboden, met als doel om cyberkennis binnen de Rijksoverheid te borgen.

Vooruitblik

Een aantal prioritaire onderwerpen uit de bijgevoegde routekaarten wordt hieronder uitgelicht, omdat die actueel zijn.

Begroten van digitalisering

In de Kamerbrief «Rijksbrede beschouwing bij de meerjarige departementale informatieplannen»11 heb ik u toegezegd samen met de departementale CIO’s en het Ministerie van Financiën te onderzoeken hoe er inzicht kan worden gegeven in de planning- en controlcyclus voor digitalisering en hoe deze informatie met de Kamer kan worden gedeeld. In het vierde kwartaal stuur ik u een plan van aanpak voor de structurele inrichting daarvan.

De afgelopen tijd is in kaart gebracht welke mogelijkheden er zijn om in verschillende informatiebehoeften te voorzien. Ook is gekeken naar welke informatie er al beschikbaar is binnen de Rijksoverheid en van welke informatieproducten we al gebruik maken, zoals de begrotingen, het Rijks ICT-dashboard en de Jaarrapportage Bedrijfsvoering Rijk. Op basis van deze inventarisatie is besloten hoe we de Kamer parallel aan de rijksbegrotingscyclus informeren over de geoormerkte budgetten voor digitalisering.

De inventarisatie wijst uit dat we gebruik maken van meerdere informatieproducten die verschillende gegevens presenteren en niet altijd aan elkaar te relateren zijn. Zo kijken de begrotingen vooruit, maar maken we op het Rijks ICT-dashboard en in de Jaarrapportage Bedrijfsvoering Rijk gebruik van realisatiecijfers. Ik ga ter verbetering van het inzicht en de overzichtelijkheid deze informatieproducten aan elkaar verbinden. Hiervoor is bijgaand format opgesteld (zie bijlage 3) voor een financieel overzicht dat elk departement zal invullen en naar de Kamer zal sturen. Op basis van de overzichten die de departementen opleveren, maak ik een totaaloverzicht met duiding en toelichting. Dit overzicht zal ik u als bijlage bij de Rijksbrede beschouwing op de informatieplannen toesturen.

Het overzicht bevat onderdelen voor gegevens over beleidstrajecten met een grote I-component, beheer, onderhoud en vernieuwing van ICT-systemen, IV-personeel en materiële ICT-uitgaven. Niet alle gegevens zijn uit de begrotingen te halen, dus er zal ook gebruik worden gemaakt van interne ramingen. In de overzichten die u in het najaar ontvangt, wordt dit aangegeven en toegelicht.

Aangezien dit het eerste jaar is dat de departementen dit financiële overzicht opstellen, kan dat betekenen dat de aangeleverde financiële gegevens nog niet compleet, eenduidig en vergelijkbaar zijn. Na deze eerste exercitie evalueer ik graag met uw Kamer of het de gewenste inzichten heeft opgeleverd en wat we kunnen verbeteren. Ik zal de opgedane ervaringen meenemen in het plan van aanpak.

Werkplek van de toekomst

In de kabinetsreactie op adviesrapporten over chatberichtenarchivering en informatiebeheer12 van 6 april jl. worden de contouren geschetst van de werkplek van de toekomst. Het ontwikkelen en uitvoeren van beleid vergt steeds meer samenwerking over de grenzen van organisaties heen, dus de manier waarop we informatie maken en delen moet anders. We willen naar een situatie toe waarin we meer vanaf het moment van creatie of ontvangst van informatiecontrole hebben over onze informatie. «Archiving by design», moet hierbij het uitgangspunt worden, zodat informatie beter en sneller toegankelijk en doorzoekbaar is, bijvoorbeeld voor parlementaire onderzoekscommissies en WOO-verzoeken. Hiertoe is het nodig om een werkomgeving van de toekomst te ontwikkelen. Binnen het Programma Open Overheid – spoor informatiehuishouding – wordt gewerkt aan een (architectuur)visie en een digitale werkomgeving op basis van een ontwerp met duurzame toegankelijkheid, openbaarheid, archivering, privacy en veiligheid «by design» waar we als Rijksoverheid naartoe willen groeien. Naar verwachting zullen de visie informatiehuishouding 2030 en de ICT-architectuur informatiehuishouding eind 2023 worden vastgesteld. Voor aanvang van het nieuwe parlementaire jaar wordt het meerjarenplan openbaarheid en informatiehuishouding met de kamer gedeeld.

Nationaal Detectie Netwerk

Met het Nationaal Detectie Netwerk (NDN) worden meer geavanceerde risico’s en aanvallen gedetecteerd. Je kan daarmee cyberincidenten voorkomen en in geval deze voorkomen snel en adequaat ingrijpen. Bijna alle rijksorganisaties zijn aangesloten op het NDN. Het Nationaal Cyber Security Centrum (NCSC) werkt samen met het Ministerie van BZK om de laatste relevante rijksorganisaties aan te sluiten op het NDN per uiterlijk eind 2023.

Red-teaming/TIBER

De Rijksoverheid werkt aan de versterking van de inzet van red-teaming testen. Met deze geavanceerde securitytesten wordt de werking van beveiligingsmaatregelen op kritieke functies van de Rijksoverheid getest. Daar waar kwetsbaarheden worden gevonden, krijgen deze opvolging bij het betreffende organisatieonderdeel. Inmiddels heeft een groot deel van de departementen een red-teaming test uitgevoerd of een test in voorbereiding. Om departementen te faciliteren in de uitvoering van red-teamingtesten is o.a. een gereedschapskist ontwikkeld op basis van de TIBER-methodiek en is een interdepartementaal netwerk opgezet waarin actieve kennisdeling over red-teamingtesten plaatsvindt. Dit stimuleert het leren van elkaars ervaringen binnen het Rijk.

Legacy en Lifecyclemanagement (LCM)

In het rapport «Staat van de rijksverantwoording 2022» benadrukt de Algemene Rekenkamer het belang van goed werkende en onderhouden IT-systemen en -processen13. Achterstallig onderhoud en veroudering van systemen kunnen gevolgen hebben voor burgers en bedrijven, bijvoorbeeld als het de invoering van nieuwe beleidsmaatregelen in de weg staat.

Actualisatie

In bijlage 1 vindt u de geactualiseerde routekaarten van de I-strategie Rijk per thema voor de periode 2023–2024. Ze geven aan wanneer we welke resultaten bereiken, of wanneer we hiermee starten. Departementen geven hierbij aan dat er een stapeling is van de uit te voeren werkzaamheden. Deze ontstaan zowel vanuit hun departementale I-plannen, Europese wet- en regelgeving de Werkagenda Waardengedreven Digitaliseren en de I-strategie Rijk waardoor het kan voorkomen dat er vanuit een bewindspersoon ruimte wordt gevraagd om onderbouwd af te wijken van de in deze brief gestelde normen.

De routekaarten gaan, net als de I-strategie zelf, uit van wat we op dit moment weten. Als er significante bewegingen zijn of dat er door nieuwe ontwikkelingen prioriteiten anders gewogen moeten worden en zal ik die voorleggen aan uw Kamer.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen