Hierbij bied ik u de Informatiseringstrategie (I-strategie) Rijk aan die ik u heb toegezegd tijdens het Algemeen Overleg over het programma Compacte Rijksdienst op 26 april jl. met uw Kamer (Kamerstuk 3  490, nr. 64). Binnen het domein «informatisering» komen informatie- en communicatietechnologie (ICT) en informatiehuishouding1 samen.

Het kabinet heeft er bewust voor gekozen een I-strategie te presenteren en niet een I-visie. De I-strategie bouwt voort op de principes zoals verwoord in het programma Compacte Rijksdienst (31 490, nr. 54), bevat de uitwerking van het programma Compacte Rijksdienst voor het onderdeel informatisering en geeft invulling aan de uitgangspunten van het i-NUP (26 643, nr. 182), zoals die voor het Rijk van toepassing zijn.

In de I-strategie komen drie lijnen samen: de uitwerking en uitvoering van het onderdeel informatisering uit het programma Compacte Rijksdienst, doorontwikkeling van bestaand beleid en de aanvullingen daarop.

In deze brief wordt achtereenvolgens ingegaan op:

• – de stand van zaken ten aanzien van de ICT en de informatiehuishouding van de rijksoverheid;

• – een afbakening van de I-strategie: waarop is de strategie gericht;

• – een globale beschrijving van het beoogde streefbeeld van de ICT-infrastructuur en de informatiehuishouding van de rijksdienst;

• – de aanpak en de concrete maatregelen die nodig zijn om de beoogde eindsituatie te bereiken, alsmede de wijze waarop ik die zal uitvoeren.

De uitvoering van de I-strategie vindt plaats in de periode 2012 tot en met 2015.

De I-strategie is er, als uitwerking van het programma Compacte Rijksdienst, op gericht de onnodige verscheidenheid in de ICT-infrastructuur en de informatiehuishouding van het Rijk te bestrijden en de besturing te verbeteren. Waar bijvoorbeeld het project Digitale Werkomgeving Rijk (DWR) tot standaardisatie leidt van de werkplekinrichting, bestaan er anderzijds nog grote verschillen tussen de ministeries ten aanzien van het omgaan met ICT-beveiliging en de toegang tot gegevens, het aanschaffen van software, de digitalisering van de papierstroom, identitymanagement, en het inrichten en gebruiken van datacenters.

Met de I-strategie wordt beoogd een rijksbrede informatie-infrastructuur (I-infrastructuur) te ontwikkelen. Deze I-infrastructuur omvat de ICT-infrastructuur, de informatiehuishouding en de besturing daarvan. Het gaat daarbij om generieke kaders, diensten en producten die, in het kader van standaardisatie en hergebruik, beschikbaar worden gesteld aan alle organisaties binnen de rijksdienst. Wanneer een onderdeel van het Rijk de functionaliteit van een bestaande generieke dienst of voorziening nodig heeft is het niet toegestaan daarvoor een alternatief in te richten. Voorbeelden zijn de werkplekfunctionaliteit, beveiligingsvoorschriften en -voorzieningen, toegang tot netwerken, de Berichtenbox en het e-depot voor digitale archivering.

De herinrichting van de I-infrastructuur zal in eerste instantie zijn gericht op de beleidskernen en de bijbehorende baten-lastendiensten. Het kabinet heeft er voor gekozen om, op basis van een positieve businesscase, ook de eigen uitvoeringsorganisaties te laten aansluiten op de rijksbrede bedrijfsvoeringsinfrastructuur en onderzoekt, mede op verzoek van uw Kamer, de mogelijkheid om zelfstandige bestuursorganen (ZBO’s) eveneens te laten deelnemen. Met voorbeelden als DigiD en de Berichtenbox is helder geworden dat het juist de uitvoeringsorganisaties zijn die bijdragen aan de creatie van nieuwe bouwstenen voor de I-infrastructuur.

Voor Defensie geldt dat specifieke afspraken worden gemaakt over bijvoorbeeld de betrokkenheid bij onderwerpen als consolidatie datacenters en de rijksbrede ICT-beveiligingsfunctie; in verband met de verticale integratie met de krijgsmachtdelen is Defensie geen deelnemer in de concentratie van de I-voorzieningen bij de beleidskernen. Gelet op het bijzondere positie van de AIVD, geldt voor deze organisatie dat eveneens de noodzaak bestaat voor specifieke afspraken.

Niet alleen voor de ondersteunende processen, maar ook voor het primair proces wordt gestreefd naar standaardisatie en hergebruik. Hoewel de eigenheid van het primair proces, en de verscheidenheid in informatiesystemen die daarvan het gevolg is, dient te worden gerespecteerd, kent die eigenheid grenzen. De keuzes die het kabinet nu maakt ten aanzien van de I-infrastructuur zullen, waar het gaat om generieke componenten, consequenties hebben voor de processen en ICT-systemen die deel uitmaken van het primair proces. Als verscheidenheid niet absoluut noodzakelijk is, wordt nadrukkelijk gestreefd naar gemeenschappelijkheid, standaardisatie en hergebruik. Zo vindt in het kader van het programma Compacte Rijksdienst clustering van de rijksincasso-activiteiten bij het CJIB plaats. Deze clustering zal leiden tot het rationaliseren van de onderliggende informatiesystemen.

• – ICT-voorzieningen worden uitgevoerd door een samenhangend geheel van gespecialiseerde ICT-dienstverleners en vormen de infrastructuur waarop beleidsontwikkeling, uitvoering, toezicht en handhaving tot stand komen. Deze infrastructuur maakt dat deze gebieden onderling met elkaar worden verbonden, en draagt daarmee bij aan kwaliteitsverbetering en kostenreductie en faciliteert het primair proces.

De verbrokkelde I-infrastructuur, met een veelheid aan interne dienstverleners, zoals deze sinds de jaren tachtig en negentig is ontstaan, wordt omgebouwd tot een infrastructuur die gebaseerd is op hedendaagse, in de praktijk bewezen technologie.

Het kabinet zal binnen deze kabinetsperiode de organisatie, de inrichting en de besturing van de I-infrastructuur op het daartoe vereiste niveau brengen.

• – De rijksdienst beschikt over een platform dat tijd-, plaats- en apparaatonafhankelijk werken alsmede interdepartementale samenwerking, op een veilige en vertrouwde manier mogelijk maakt.

Voor de gebruikers van de I-infrastructuur moet het niet uitmaken waar de diensten binnen het Rijk vandaan komen. Deze manier van denken, die gerelateerd is aan het steeds meer afnemen van diensten in plaats van het aanschaffen van producten, is uitgewerkt in de cloud-strategie, die ik in mijn brief aan uw Kamer d.d. 20 april jl. (26 643, nr. 179) heb uiteengezet. De essentie daarvan is dat het kabinet de mogelijkheden van cloud computing, in nauwe samenwerking met de markt maar in eigen beheer, wil benutten binnen de nodige randvoorwaarden op het gebied van informatiebeveiliging en eigenaarschap van gegevens. Zodoende kan de rijksambtenaar beschikken over een digitale werkomgeving die het mogelijk maakt altijd en overal bij de informatie te kunnen waarvoor hij of zij geautoriseerd is. Het gaat dan om zaken als netwerktoegang, generieke en specifieke applicaties, samenwerkfunctionaliteit (zoals social media) en keuzevrijheid in te gebruiken apparatuur.

• – De grote ICT-projecten en ICT-projecten met een hoog risico zijn op orde.

Het rijksportfolio van projecten met een ICT-component, en in het bijzonder de grote en risicovolle projecten, wordt dusdanig beheerst dat projecten binnen geplande termijnen en budgetten de beoogde resultaten opleveren. De inrichting van het CIO-stelsel levert een zichtbare en effectieve bijdrage aan de beheersing van ICT-projecten.

Met deze ambities bouwt het kabinet deels voort op het beleid dat de afgelopen jaren is ingezet; anderzijds maakt het kabinet, mede in het kader van het streven naar een compacte rijksdienst, nieuwe keuzes die gericht zijn op versterking van de besturing en een meer gestandaardiseerde inrichting van de I-infrastructuur. De maatregelen zijn deels nieuw. Maatregelen die voortkomen uit bestaand beleid zijn uitgebouwd en versterkt zodat zij goed aansluiten op het streefbeeld. Om de ambities te realiseren worden de maatregelen in samenhang gegroepeerd onder de volgende noemers:

• – Aanbodstructurering

• – Sourcing

• – Sturings- en verantwoordingsinstrumenten

• – De I-infrastructuur voor de rijksambtenaar

• – Personeel en kwaliteit

• – Vertrouwen en beveiliging van informatie

• – Samenwerking met de markt

De rode draad die loopt door de – uitwerking van de – I-strategie is de manier waarop het Rijk besluit tot het gebruik van gezamenlijke voorzieningen, en de principes die ten grondslag liggen aan het organiseren van de beschikbaarheid van die voorzieningen.

In het kader van de aanbodstructurering wordt het stelsel van ICT-dienstverleners opnieuw ingericht. Zoals aangekondigd in het programma Compacte Rijksdienst werkt het kabinet aan de clustering van de interne ICT-dienstverleners ten behoeve van de beleidskernen en de daaraan nauwverbonden uitvoeringsorganisaties. Een eerste stap is de omvorming en uitbreiding van de shared services organisatie ICT (SSO-ICT) tot een organisatie die ten behoeve van de Haagse beleidskernen het werkplekbeheer verzorgt.

De bundeling van generieke ICT-dienstverlening gaat verder dan die ten behoeve van de werkplek. Het kabinet beziet de mogelijkheden voor clustering van de dienstverlening die nauw verbonden is met de uitvoering van gelijke of sterk op elkaar lijkende processen. Voor het toewijzen van te bundelen taken wordt bezien welke dienstverlener in de beste uitgangspositie verkeert, uitgedrukt in beschikbare kennis, risicospreiding en opgebouwde expertise. Dit kan ook leiden tot de keuze voor meerdere dienstverleners.

Een voorbeeld hiervan is de dienstverlening waaraan specifieke beveiligingseisen worden gesteld. Andere voorbeelden zijn de ontwikkeling van een rijksincasso-organisatie en het clusteren van subsidieverstrekkende instanties binnen de rijksdienst. Het kabinet is van mening dat er ook grote mogelijkheden liggen voor het bundelen van de ICT-dienstverlening ten behoeve van inspectiediensten en onderzoekt daartoe de mogelijkheid om DICTU (onderdeel van EL&I), op grond van de daar aanwezige kennis en expertise, aan te wijzen als de dienstverlener die deze ambitie gaat realiseren. Om het streven van het kabinet om in een periode van vijf jaar op alle beleidskernen digitaal documentbeheer geïmplementeerd te hebben (29 362, nr. 156) te ondersteunen, onderzoekt het kabinet tevens de mogelijkheid om de bestaande dienstverlener voor documentdiensten, de baten-lastendienst Doc-Direkt (32 602, nr. 1), zijn dienstverlening uit te laten breiden met digitaal documentbeheer.

Het aantal interne ICT-dienstverleners voor de generieke ICT-dienstverlening zal de komende jaren van circa 40 worden teruggebracht naar minder dan 10. De nu nog specifieke applicaties van deze 40 aanbieders worden vervangen door ruim 20 generieke componenten.

Het proces waarbij bepaald wordt of werkzaamheden zelf worden gedaan, in samenwerking met anderen worden uitgevoerd, of worden uitbesteed aan een overheidsorganisatie of marktpartij wordt aangeduid als sourcing. Bij de ontwikkeling van de rijksbrede I-infrastructuur hanteren de ministeries een vast afwegingskader voor generieke ICT. Belangrijke uitgangspunten daarvan zijn het streven naar lagere kosten, concentratie van de bedrijfsvoering en een eenduidig en transparant keuzeproces, waardoor hergebruik wordt gestimuleerd op basis van een aantal principes. De belangrijkste daarvan betreffen het gebruik van bestaande en bewezen technologie en hergebruik, de aansluiting op de rijksbrede I-infrastructuur, het hanteren van een businesscase en het, voor een aantal voorzieningen, gebruikmaken van interne dienstverleners.

Tijdens het AO over het programma Compacte Rijksdienst (31490, nr. 64) vroeg mw. Van der Burg naar een overkoepelende strategie om te bepalen wanneer de overheid taken in eigen beheer kan doen en wanneer deze overgelaten moeten worden aan anderen. Het kabinet is van mening dat de keuze of werk wordt uitbesteed afhankelijk is van het vermogen van de latende organisatie om het opdrachtgeverschap adequaat in te vullen en een positieve businesscase. Daarbij is het uitgangspunt dat het Rijk eerst zelf zaken op orde wil hebben, bijvoorbeeld door harmonisatie van processen. Situaties waar dit niet speelt, is uitbesteden een optie die zeker in beschouwing wordt genomen, maar waarbij per geval wordt bezien of zelf doen of uitbesteden aan de markt (outsourcen), op grond van haalbaarheid en rendement een alternatief is.

Het kabinet constateert dat voor de ontwikkeling van een nieuwe I-infrastructuur de doorontwikkeling van de bestaande Model Architectuur Rijksdienst (MARIJ) tot een enterprise architectuur noodzakelijk is . In deze rijksbrede enterprise architectuur worden de generieke onderdelen van de rijksbrede I-infrastructuur samenhangend in kaart gebracht.

In het kader van de I-strategie kiest het kabinet ervoor niet op korte termijn opnieuw wijzigingen in het bestaande CIO-stelsel aan te brengen, maar eerst de effectiviteit van de laatst genomen aanvullende maatregelen vast te stellen. Daarbij wordt in het bijzonder gekeken naar de resultaten van de rijksbrede invoering van projectportfoliomanagement. De komende jaren zal, mede in overleg met de Rijksauditdienst, de werking van het CIO-stelsel worden gemonitord. Het gebruik van Gatewayreviews wordt gecontinueerd.

In de jaarrapportage bedrijfsvoering vindt de verantwoording plaats over de grote en risicovolle ICT-projecten van de ministeries en publiekrechtelijke ZBO's. In de komende tijd zal worden bezien of het rapportagemodel dat hieraan ten grondslag ligt kan worden uitgebreid met aanvullende informatie.

Voor de doorontwikkeling van de Digitale Werkomgeving Rijk zal worden aangesloten bij de cloud-strategie, de wensen van de gebruikers, met name vanuit het primair proces en de veranderende omgeving. De DWR zal worden voorzien van een application store waarmee de rijksambtenaar een keuzepalet aan functionaliteiten krijgt dat aansluit op zijn werkzaamheden. Bij deze ontwikkeling zullen ook de wensen en mogelijkheden ten aanzien van «bring (of choose) your own device», dus apparaatonafhankelijk werken, betrokken worden.

Het inrichten van (primaire en ondersteunende) processen op een Rijksbrede schaal vereist dat ook het beheer van identiteiten en toegangsrechten Rijksbreed, voor bijvoorbeeld de Rijkspas, wordt vormgegeven. De eerder gekozen aanpak van centrale kaderstelling en (sub)departementale uitvoering is niet meer toereikend. Het is tijd voor een volgende stap: van koppelen naar daadwerkelijk integreren en concentreren.

Van belang voor de interdepartementale samenwerking is ook het digitaal documentbeheer, waarvoor het kabinet al eerder bij brief 22 juli 2009 (29 362, nr. 156) haar strategie heeft bepaald. Binnen deze strategie wil het kabinet de interdepartementale samenwerking efficiënter inrichten. Daartoe zal de informatiehuishouding binnen het Rijk dusdanig worden ingericht dat de ministeries documenten zo veel mogelijk rijksbreed toegankelijk maken. Dit vereist implementatie van diverse standaarden in informatiebeheer. Verder zullen documentmanagementsystemen aan elkaar gekoppeld worden om doorgeleiding van documenten over departementale grenzen heen mogelijk te maken. Voor digitale archivering wordt één rijksbrede generieke voorziening gerealiseerd.

Zoals aangekondigd in het programma Compacte Rijksdienst wordt het aantal datacenters van de ministeries verminderd van 64 naar 4 tot 5. De ministeries brengen hun datacenters onder in de gemeenschappelijke datacenters.

In oktober 2010 is het project I-Interim Rijk gestart. Dit betreft de inrichting van een rijksbrede pool voor ICT-professionals binnen het rijk. I-Interim Rijk is opgezet om voor het Rijk cruciale expertise op te bouwen en te behouden, en draagt bij aan het terugdringen van externe inhuur, vooral op het gebied van het invullen van het professionele opdrachtgeverschap. Vanuit I-Interim wordt geïnvesteerd in het opbouwen, vasthouden en uitwisselen van de specialistische kennis die nodig is om complexe aanbestedingstrajecten tot een goed einde te brengen. Daarbij gaat het om de meer technische kennis over ICT-producten en -diensten.

Ten behoeve van het interne en externe arbeidsmarktbeleid en personeelsplanning is in 2010 een Kwaliteitsraamwerk Informatievoorziening ontwikkeld, in lijn met de principes van het Functiegebouw Rijk (32 501, nr. 14) en in aansluiting op het EU-programma e-Skills. De vereiste kennis en competenties die in dit raamwerk zijn vastgelegd, hebben betrekking op alle functietypen en -niveaus: ICT-dienstverleners, tactisch en strategisch beheerders, en project- en programmamanagers die verantwoordelijk zijn voor projecten met een grote ICT-component. Het Kwaliteitsraamwerk wordt vanaf 2012 gebruikt voor matching en opleidingen.

Vanaf 2013 is er een compleet opleidingsaanbod beschikbaar voor opdrachtgevers (samen met de ABD). Het topmanagement wordt daarmee gefaciliteerd. In toenemende mate is ook specialistische kennis ten aanzien van aanbestedingen en -Europese- regelgeving gewenst. Deze onderwerpen worden in het opleidingsportfolio opgenomen.

Het kabinet hecht er aan dat de burger vertrouwen kan hebben in de wijze waarop het Rijk omgaat met de opslag en het gebruik van digitale gegevensbestanden. De rijksoverheid is er voor verantwoordelijk dat informatie die wordt gebruikt betrouwbaar is, en dat gegevens die van derden worden ontvangen zorgvuldig en rechtmatig worden gebruikt. Om dit te bewerkstelligen, dient permanent te worden geïnvesteerd in de weerbaarheid van de rijksoverheid tegen (on)opzettelijke inbreuken, in het vergroten van het herstelvermogen bij onverhoopt geslaagde inbreuken en in processen ten aanzien van het omgaan met privacygevoelige gegevens.

Onderdeel van de vergroting van de weerbaarheid is het hebben van solide informatiebeveiligingsconcepten. Een belangrijke lijn daarbij is het investeren in gegevensbeveiliging, in aanvulling op apparaat- en netwerkbeveiliging. Daarmee wordt apparaatonafhankelijk werken (inclusief bring of choose your own device) mogelijk. Daar waar sprake is van specifieke beveiligingseisen voor gerubriceerde informatie zal gebruik worden gemaakt van de kennis en expertise van de AIVD.

De netwerkbeveiliging zal worden verbeterd door het aantal internetkoppelingen van de rijksdienst terug te dringen. Dat gebeurt door middel van een Rijksinternetkoppeling. Dit leidt tot vereenvoudigd beheer, verhoging van de kwaliteit, kostenbesparing en beperking van de risico’s.

Een tweede lijn is die van onbewuste risicomijding naar bewust en verantwoord risicomanagement. Medewerkers moeten veilig met informatie kunnen en willen omgaan. De gewenste inzet van zelfgekozen middelen in combinatie met de enorm toegenomen communicatiemogelijkheden (social media) maken dat een ambtenaar anno 2011 zich meer dan ooit bewust moet zijn van de risico’s van het gebruik van digitale middelen, en daar dus ook verstand van moet hebben. De Rijksdienst zal medewerkers hierin ondersteunen door te voorzien in adequate middelen en in heldere regels en adviezen.

Ook het borgen van gemeenschappelijke afspraken over informatiebeveiliging met in- en externe partijen moet worden versterkt. Dat wordt onder meer gerealiseerd door harmonisering van het proces en de elementen van het toezicht op de naleving van afspraken.

Zoals aangekondigd in de brief over DigiNotar (26 643, nr. 189), zal door de minister van Veiligheid en Justitie vorm worden gegeven aan een meldplicht voor ICT incidenten voor organisaties die cruciale maatschappelijke functies vervullen. Een dergelijke vorm van transparantie vergroot het vertrouwen in de beveiliging van de Rijksdienst.

Naar aanleiding van het rapport iOverheid van de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) heeft het kabinet besloten om, zoals verwoord in de kabinetsreactie op het WRR-rapport (26 643, nr. 211), de bestaande maatregelen ten aanzien van de beheersing van grote ICT-projecten uit te breiden met maatregelen ter bescherming van privacy.

Een centrale rol daarbij spelen de CIO’s van de ministeries. Deze uitbreiding krijgt als volgt vorm.

De eisen zoals die nu gelden ten aanzien van de inhoud van projectplannen voor grote ICT-projecten (26 643, nr. 135) worden aangevuld met de eis om in het projectplan informatie op te nemen of er bij het project sprake is van het opnemen van privacygevoelige gegevens en koppelingen of verrijking daarvan. Daarbij zal in het projectplan beargumenteerd worden aangegeven of voor het project een Privacy Impact Assessment of toepassing van een soortgelijk instrument geboden is. Deze informatie wordt betrokken bij het opstellen door de opdrachtgever en de departementale CIO van het risicoprofiel van het project. Dit risicoprofiel is medebepalend voor de vraag of over het project gerapporteerd zal worden aan de Kamer door middel van de Jaarrapportage bedrijfsvoering en het Rijks ICT-dashboard. Wanneer het opstellen van het risicoprofiel leidt tot de constatering dat sprake is van een project met een hoog risico, wordt het project in deze rapportage, en op het dashboard opgenomen.

De departementale CIO betrekt, zoals gebruikelijk, alle informatie vanuit het projectplan bij het oordeel dat hij geeft bij de start van een project, of tussentijds tijdens de uitvoering. Wanneer dit oordeel betrekking heeft op het opnemen van privacygevoelige gegevens en koppelingen of verrijking daarvan, laat de departementale CIO zich bij het opstellen van dit oordeel adviseren door de functionaris gegevensbescherming, die bij elk ministerie is aangesteld en toezicht houdt op de toepassing en naleving van de Wet bescherming persoonsgegevens.

De opdrachtgevers van ICT-projecten zijn gehouden om wijzigingen in een systeem ten aanzien van het gebruik van privacygevoelige gegevens en koppelingen of verrijking daarvan te melden aan de departementale CIO. Deze kan op basis daarvan besluiten of een nieuw oordeel opportuun is.

Met deze uitbreiding van de eisen ten aanzien van de beheersing van ICT-projecten wordt het zorgvuldig gebruik van privacygevoelige gegevens bevorderd, de betrokkenheid van de departementale CIO vergroot en de informatievoorziening aan de Kamer gewaarborgd.

Doorontwikkeling van de relatie en de samenwerking met het toeleverend bedrijfsleven is essentieel om geslaagde ICT-projecten te realiseren en onze doelen te halen. Daartoe wordt via de vertegenwoordigers van de branche (zoals ICT-Office en het MKB) een convenant met de ICT-markt opgesteld om de samenwerking voor de komende jaren te optimaliseren en te laten aansluiten bij de ontwikkelingen binnen het Rijk. Dit convenant bestrijkt een breed gebied: verdere ontwikkeling en toepassing van het instrument precompetitieve marktconsultatie, het signaleren en benutten van kansen om de aanbestedingspraktijk verder te verbeteren, kennisdeling, de ontwikkeling van nieuwe arrangementen voor publiek-private samenwerking, en de ontwikkeling en het behoud van talent voor de sector.

Het kabinet zal in het bijzonder bewerkstelligen dat er meer gebruik wordt gemaakt van marktconsultatie, in diverse vormen. De ICT-haalbaarheidstoets zal vaker worden ingezet, met name waar het grotere ICT-projecten betreft. De uit de ICT-haalbaarheidstoetsen opgedane kennis wordt verspreid binnen de CIO-community en gedeeld met de leveranciers, om kennis te kunnen delen en borgen. Naast de ICT-haalbaarheidstoets is een lichtere vorm van marktconsultatie ontwikkeld in de vorm van de «ICT-marktspiegel».

Het Rijk werkt aan de inrichting van strategisch leveranciersmanagement om als afnemer een sterkere positie te kunnen innemen ten opzichte van leveranciers, en om als concern beter in staat te zijn strategische, duurzame investeringsbeslissingen te nemen.