Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 oktober 2019

De Rijksdienst staat voor grote uitdagingen op het gebied van digitalisering. In de Strategische I-agenda Rijksdienst 2019–20211 heb ik mijn ambities met u gedeeld op onderwerpen als informatiebeveiliging, informatiehuishouding, ICT, kennis en kunde, en sturing op I.

Zoals toegezegd in het Algemeen Overleg Functioneren Rijksdienst op 3 juli 2019 (Kamerstuk 31 490, nr. 257) informeer ik u middels deze brief, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, over de voortgang van de uitvoering van deze agenda. Ook ga ik in op de door de Algemene Rekenkamer geconstateerde onvolkomenheden en op diverse onderwerpen waar uw Kamer specifiek aandacht voor heeft gevraagd, zoals de beleidsvoornemens rond ICT-aanbestedingen, actuele HR-ontwikkelingen op ICT-gebied en de opvolging van de motie van het lid Özütok van 20 juni jl.2

Aanpak onvolkomenheden

In het licht van de door de Algemene Rekenkamer geconstateerde onvolkomenheden op informatiebeveiliging en ICT zijn nieuwe afspraken gemaakt over de coördinatie, waar ik u in mijn brief van 2 juli jl.3 over heb geïnformeerd. Afspraak binnen het kabinet is dat de situatie op deze onderwerpen volgend jaar significant moet verbeteren en dat alle bewindspersonen zich maximaal zullen inspannen om dit te realiseren. Tevens is afgesproken dat ik de opvolging van deze acties dit jaar en komende jaren centraal ga coördineren. Bij mijn brief van 2 juli jl. ontving u een overzicht van de onvolkomenheden en de acties per departement. De afgelopen maanden zijn er gesprekken gevoerd met de acht departementen waar de onvolkomenheden zijn geconstateerd. In de bijlage vindt u de afgesproken tussenrapportage over de voortgang van de aanpak van de onvolkomenheden uitgesplitst per departement. In veel gevallen zijn interne procedures op het terrein van informatiebeveiliging bijgesteld en geïmplementeerd. Dit gaat om zaken als risicomanagement, incident-management, autorisatiebeheer en de kwaliteit van de informatiesystemen. Op basis van de gevoerde gesprekken en het bijgesloten overzicht4 constateer ik dat elk departement voortvarend met de bevindingen en de aanbevelingen van de Algemene Rekenkamer aan de slag is gegaan. Er bestaat echter nog steeds een risico dat de kabinetsdoelstelling niet volledig gehaald wordt, gezien de omvang van deze opgave. Daarom heb ik in september deze stand van zaken met mijn kabinetscollega’s besproken in de ministerraad. Daar heb ik het aanbod gedaan om waar nodig extra rijksbrede kennissessies en capaciteit van I-Interim Rijk beschikbaar te stellen. Ik blijf de voortgang nauwgezet monitoren, waarbij ik intensief met de Algemene Rekenkamer afstem.

Informatiebeveiliging

Voor een veilige en goed functionerende overheid is informatiebeveiliging cruciaal en essentieel. Technologische ontwikkelingen en de toename van digitale dreigingen vragen om blijvende aandacht, zoals eerder dit jaar ook benoemd in het Cybersecuritybeeld Nederland 20195 en het WRR-rapport Digitale Ontwrichting.6 Daarom licht ik informatiebeveiliging apart uit in deze brief.

Om de feitelijke veiligheid te verhogen zijn verschillende initiatieven opgenomen in de Strategische I-agenda Rijksdienst. Hieronder ga ik in op de voortgang van een aantal van deze initiatieven. Daarnaast kan ik melden dat ik in reactie op de motie van het lid Özütok (Kamerstuk 35 200 VII, nr. 13) van 20 juni jl. concrete doelstellingen voor de rijksbrede informatiebeveiliging en digitale infrastructuur heb opgenomen in de begroting voor het jaar 2020. 7

Nationaal Detectie Netwerk (NDN)

Het Nationaal Detectie Netwerk (NDN) helpt om digitale dreigingen te detecteren. Voor een goede informatiebeveiliging binnen de Rijksdienst is het NDN effectiever als meer partijen aansluiten. Om dit te realiseren heeft het Nationaal Cyber Security Centrum (NCSC, onderdeel van het Ministerie van JenV) aanvullende capaciteit ingezet en heb ik extra budget uit de BZK-begroting beschikbaar gesteld voor de implementatie van sensoren. Ik kan u melden dat waar eind vorig jaar nog 52 Rijksorganisaties (inclusief ZBO’s) waren aangesloten (dekkingsgraad 29%), nu inmiddels 100 Rijksorganisaties zijn aangesloten (dekkingsgraad van 55%). Ik blijf mij inzetten om meer partijen aan te laten sluiten op het NDN om de digitale dreigingen gezamenlijk het hoofd te bieden.

BBN3

Zoals aangegeven in mijn brief van 2 juli jl. is in 2019 gewerkt aan een nieuw informatiebeveiligingsniveau (BBN3) om betere weerstand te bieden tegen de toegenomen digitale dreigingen. In de Strategische I-agenda Rijksdienst 2019–2021 heb ik aangekondigd dat BBN3 nog dit jaar zal worden opgeleverd. Die planning was gebaseerd op de voortgang die op dat moment werd geboekt met de ontwikkeling van BBN3. Uit interdepartementale afstemming blijkt dat deze planning moet worden bijgesteld. Zo is het NAVO-kader, waarop BBN3 wordt gestoeld, nog in ontwikkeling en zijn de uitvoeringsimplicaties nog onvoldoende inzichtelijk.

Het vervolgtraject van BBN3 zal dit najaar interdepartementaal worden besproken. Over de uitkomst hiervan zal ik de Kamer informeren.

Vulnerability scanning

In de Kamerbrief over Sturing op informatiebeveiliging en ICT binnen de Rijksdienst8 heb ik aangekondigd dat een rijksbrede faciliteit zal worden ontwikkeld voor vulnerability scanning om kwetsbaarheden voor externe dreigingen in systemen geautomatiseerd in kaart te brengen. In dit verband is de afgelopen maanden binnen het Rijk een eerste verkenning uitgevoerd. Op korte termijn inventariseer ik de eisen waaraan een faciliteit zal moeten voldoen om geautomatiseerd zicht te houden op de kwetsbaarheden en breng ik de faciliteiten die reeds beschikbaar zijn binnen de overheid in kaart. Ook zal ik kennisdeling op dit thema tussen departementen stimuleren. Dit moet leiden tot een meer gestandaardiseerde wijze van scanning, monitoring, kennisuitwisseling en aanpak van kwetsbaarheden.

De optie om één rijksbrede faciliteit voor vulnerability scanning te ontwikkelen, aanvullend op de faciliteiten die nu reeds in gebruik zijn binnen de Rijksdienst, houd ik in overweging. Indien onverhoopt zou blijken dat voorgenoemde maatregelen onvoldoende verbetering laten zien of veranderingen in het dreigingsbeeld hier aanleiding toe geven, kan dit een volgende stap zijn.

Informatiehuishouding en openbaarheid

Actieve openbaarmaking van overheidsinformatie is van groot belang voor de controleerbaarheid van de overheid en de herbruikbaarheid van overheidsinformatie door burgers en bedrijven. We staan hier voor grote uitdagingen, zowel wat betreft veranderingen in de ICT als in de werkwijze van ambtenaren. Een solide en toegankelijke informatiehuishouding is een essentiële randvoorwaarde om een snellere, laagdrempeligere en betere toegang voor burgers en bedrijven tot overheidsinformatie mogelijk te maken.

Rijksprogramma Duurzaam Digitale Informatiehuishouding

In januari 2019 is het Meerjarenplan verbetering informatiehuishouding Rijk9 aan de Tweede Kamer gestuurd, deze wordt op dit moment geactualiseerd voor 2020 en zal ik na oplevering met uw Kamer delen. De Ministeries van BZK en OCW hebben ter ondersteuning van de uitvoering het Rijksprogramma Duurzaam Digitale Informatiehuishouding (RDDI) opgezet. Alle departementen participeren in dit programma en leveren een bijdrage. De departementen richten eigen programma’s in voor het verbeteren van de informatiehuishouding, met aandacht voor zowel de opgaven van de eigen organisatie als voor de actielijnen van het Meerjarenplan.

Vijf departementen zijn inmiddels gestart met de implementatie van de nieuwe werkwijze voor e-mailarchivering. Een aantal uitvoeringsorganisaties toetst momenteel of deze werkwijze past bij hun werkprocessen. Verder zijn er vijf pilots op het gebied van actieve openbaarmaking gestart. Het doel is verschillende aspecten van openbaarmaking uit te testen en deze inzichten rijksbreed te delen.

ICT

De intensivering van ICT bij het Rijk heeft ook als gevolg dat we slim moeten omgaan met onze ICT-voorzieningen en -infrastructuur.

In de Strategische I-agenda stond de doelstelling om voor 2020 de oorspronkelijk 64 departementale datacenters af te sluiten en alle apparatuur te hebben overgebracht naar vier overheidsdatacenters (ODC’s). Er zijn nu in totaal 50 datacenters gesloten, waarbij geconstateerd moet worden dat enige uitloop in 2020 noodzakelijk is om dit doel te behalen. De doelstelling om, conform de duurzaamheidsagenda, het energieverbruik van de vier ODC’s met minimaal 50% terug te brengen is inmiddels wel gerealiseerd.

ICT-inkoop en -aanbesteding

Met de komst van Strategisch Leveranciersmanagement is de rijksbrede sturing op ICT-inkoop en aanbestedingen de afgelopen jaren slimmer georganiseerd. Dit heeft bijgedragen aan een stevigere positie van het Rijk als opdrachtgever, verbeterde kennisopbouw en een gezamenlijk optreden richting grote ICT-leveranciers, waardoor de relatie gelijkwaardiger is geworden. Een recent voorbeeld van de werking van Strategisch Leveranciersmanagement zijn de afspraken die de rijksoverheid met Microsoft heeft gemaakt over aanvullende privacy-waarborgen rond het gebruik van Office 365. Om naleving van deze afspraken te kunnen controleren zijn tevens verbeterde audit-mogelijkheden afgesproken. Hierover is uw Kamer per brief op 1 juli jl.10 door de Minister van JenV geïnformeerd.

De Staatssecretaris van BZK heeft uw Kamer in het AO van 22 november 2018 over Operatie BRP toegezegd te kijken hoe de opgedane leereffecten m.b.t de aanbestedingsstrategie rijksbreed kunnen worden ingezet. Hij komt hier voor het eind van dit jaar nog bij u op terug. Deze leereffecten zullen worden opgenomen in het rijksbrede «Afwegingskader ICT-opdrachten».

Kennis en kunde

Het Rijk wordt steeds ICT-intensiever. In de I-agenda is daarom het versterken van de ICT-kennis en -kunde binnen het Rijk een belangrijke pijler.

HR ICT

Een onderdeel van de pijler Kennis en kunde is het versterken van de positie van de Rijksdienst als ICT-werkgever. Bij het AO Functioneren Rijksdienst op 3 juli heeft uw Kamer verzocht om nader in te gaan op de actuele ontwikkelingen in dit verband.

Binnen het programma «Versterking HR ICT Rijksdienst 2018–2021» zijn onder meer wervingscampagnes georganiseerd waarmee de rijksoverheid als aantrekkelijke ICT-werkgever duidelijk op de kaart wordt gezet. Van 20 mei tot en met eind juni 2019 is een landelijke rijksbrede ICT-campagne gevoerd. Tijdens deze campagne is het aantal bezoekers van de website Werken voor Nederland toegenomen met 550%.

Het Rijks I-Traineeship is dit jaar uitgebreid tot een programma met drie verschillende tracks: het breder georiënteerde ICT-track, een data science track en, sinds september dit jaar, een specialistische track voor cybersecurity. Dit jaar zijn er via het Rijks I-Traineeship 75 nieuwe talenten gestart. Van de lichting trainees die het programma in 2019 heeft afgerond, is ruim 90% ingestroomd bij de rijksoverheid.

Dit jaar start tevens een eerste omscholingsklas op het gebied van cybersecurity-management, wat bijdraagt aan het vergroten van de ICT-capaciteit bij het Rijk en meer kennis en kunde op het gebied van cybersecurity.

In mijn brief van 2 juli jl. over externe inhuur van (ICT) personeel bij het Rijk11 heb ik aangegeven dat in 2019 zal worden gestart met de ontwikkeling en uitvoering van een meerjarig samenwerkingsplan tussen ICT-opleiders in het hoger onderwijs en de Rijksdienst. Dat traject is volgens planning in 2019 gestart en zal volgend jaar met deze partijen in een nieuwe Taskforce nadere invulling krijgen. Doel hierbij is om ICT-kennis en -kunde bij het Rijk in zowel kwantitatief als kwalitatief opzicht een impuls te geven.

RADIO

Het initiatief RADIO (RijksAcademie voor Digitalisering en Informatisering Overheid) bouwt haar curriculum uit om ambtenaren in beleid, uitvoering en toezicht voldoende inzicht te geven in de mogelijkheden en effecten van digitalisering op hun werk. Naast klassikale masterclasses zijn een e-learningserie en een serie webinars over nieuwe technologieën gemaakt om zo meer ambtenaren te bereiken. Daarnaast is verdiepend aanbod ontwikkeld op het gebied van privacy, datagebruik en algoritmen. RADIO zet deze ontwikkeling door met nieuwe thema’s en (digitale) onderwijsmethoden.

Sturing op I

In het aangepaste Coördinatiebesluit organisatie, bedrijfsvoering en informatie-systemen rijksdienst12 is een aantal instrumenten aan mij als Minister van BZK toegekend, uiteraard met inachtneming van het uitgangspunt van de individuele ministeriële verantwoordelijkheid zoals vastgelegd in artikel 44 van de Grondwet.

In artikel 3a van het Coördinatiebesluit is sinds oktober 2018 geregeld dat de benoeming en het ontslag van een Chief Information Officer (CIO) van een ministerie alleen kan plaatsvinden na overleg met de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Op deze manier kan ik mijn coördinerende taak op het gebied van informatievoorziening van de Rijksdienst uitvoeren door advies te geven over onder meer de invulling van vereiste competenties van een CIO. Hier heb ik invulling aan gegeven door actieve betrokkenheid bij de werving en het aanstellen van nieuwe CIO’s bij het Ministerie van Defensie en bij mijn eigen ministerie. Daarnaast zit de CIO Rijk inmiddels standaard in de aanstellingscommissie voor nieuwe CIO’s.

Functieprofielen CIO’s en CISO’s

De afgelopen periode is in samenwerking met de andere departementen gekeken hoe de CIO-functie binnen departementen versterkt kan worden door de herziening van het CIO-profiel. Daarnaast wordt in samenhang gewerkt aan de formalisering van het profiel van de CISO (Chief Information Security Officer). Uitgangspunt hierbij is dat door dit functieprofiel meer te standaardiseren, de sturing op informatiebeveiliging binnen de Rijksdienst strakker wordt georganiseerd. Deze profielen worden bezien in samenhang met de opvolging van aanbevelingen uit het (nog te verschijnen) onderzoek t.b.v. motie van het lid Middendorp, over nut en noodzaak van een Rijksinspectie Digitalisering.13

In mijn brief van 2 juli jl. heb ik u tevens geïnformeerd over mijn voornemen om een CISO Rijk aan te stellen, die zorg moet dragen voor een integrale borging van informatiebeveiligingsbeleid binnen het rijksbrede ICT-beleid. Ik kan u melden dat de vacaturetekst voor deze functie momenteel wordt opgesteld.

Kwaliteitskader departementale I-plannen

In 2019 is gewerkt aan een kwaliteitskader voor departementale I-plannen, dat moet bijdragen aan een betere meerjarige strategische sturing op I binnen departementen. Dit kwaliteitskader is inmiddels in concept gereed en zal de komende periode interdepartementaal worden afgestemd. Ik verwacht dat het kwaliteitskader gelijktijdig met de functieprofielen van CIO’s en CISO’s kan worden vastgesteld.

Rijks ICT-dashboard

Zoals aangegeven bij het Verantwoordingsdebat eerder dit jaar en in mijn brief van 2 juli jl. ben ik van plan om de bruikbaarheid van het Rijks ICT-dashboard in de komende jaren stapsgewijs te verbeteren. Nog voor Verantwoordingsdag 2020 wil ik in dit verband een eerste, zichtbare stap zetten, door de inzichtelijkheid van de informatie die reeds op het Rijks ICT-dashboard aanwezig is te verbeteren. Daarbij kijk ik onder meer naar een betere visuele presentatie van rijksbrede informatie en trendgegevens. In lijn met de Jaarrapportage Bedrijfsvoering Rijk leg ik de focus op inzichtelijkheid van doorlooptijd en kosten.

Een bredere doorontwikkeling van het Rijks ICT-dashboard wordt in 2020 gestart, waarbij ik ten behoeve van gebruikerswensen ook uw Kamer zal consulteren.

Tot slot

Op diverse dossiers ligt nog een behoorlijke opgave. Zoals ik u eerder liet weten hebben de diverse maatregelen uit de Strategische I-agenda Rijksdienst tijd nodig voor de ontwikkeling en volledige invoering. Daarom heeft deze agenda ook een meerjarig karakter. Begin 2020 stuur ik u de volgende update van de Strategische I-agenda Rijksdienst waarin ik ook op de overige thema’s inga.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren