Voorzitter: Kamminga

Griffier: Boeve

De voorzitter:

Goedemorgen allemaal bij dit commissiedebat van de vaste Kamercommissie voor Digitale Zaken over Informatiehuishouding op orde, ICT-projecten en informatiebeveiliging. Welkom aan de mensen die thuis meekijken naar dit debat, een bijzonder welkom aan de Staatssecretaris en een extra warm welkom aan de heer Zuurmond. Hij is regeringscommissaris Informatiehuishouding en schuift vandaag aan om wellicht ter verduidelijking het woord te voeren als er hele feitelijke, inhoudelijke vragen zijn, uiteraard met goedvinden van de Staatssecretaris. Het is niet de bedoeling dat er aan hem politieke vragen worden gesteld. Die zijn uiteraard voor de Staatssecretaris. Met een onderwerp als informatiehuishouding leek het ons nuttig en goed dat er wat meer inhoudelijke kennis aanwezig is voor het geval er relevante feitelijke, inhoudelijke dingen zijn. Daarmee wil ik uiteraard de Staatssecretaris niet tekortdoen. Excuus daarvoor! Dat was geenszins de bedoeling van mijn opmerking. Uiteraard welkom aan de leden. Het is ook goed om te benoemen wie er namens de Kamer aanwezig zijn. Dat zijn mevrouw Dekker-Abdulaziz van D66, mevrouw Rajkowski van de VVD en mevrouw Van Weerdenburg van de PVV. Welkom.

Dan wil ik ook nog even aan het begin zeggen dat mevrouw Dekker heeft aangegeven dat zij er om 11.00 uur wegens andere verplichtingen even tussenuit moet, maar zij komt daarna wel terug. Het goede nieuws is dat ze vooraan zit, dus dan kan ze als eerste met haar inbreng beginnen. We hebben vooraf afgesproken dat we een spreektijd van vier minuten hanteren. We zijn met drie leden, dus ik denk dat er wel enige ruimte is, maar ik wilde als richtsnoer in de eerste termijn drie interrupties met een vervolgvraag aan elkaar hanteren. Dat geldt ook voor de termijn van de Minister. Nogmaals, afhankelijk van de tijd kunnen we daar volgens mij coulant mee omgaan, maar ik denk dat het goed is om dat uitgangspunt te hanteren. Dat gezegd hebbende, wil ik mevrouw Dekker-Abdulaziz het woord geven voor haar inbreng.

Mevrouw Dekker-Abdulaziz (D66):

Dank, voorzitter. Transparante toegang en een dienstbare overheid zijn voor D66 belangrijke voorwaarden voor een digitaal Rijk. Daarbij waken we voor ICT als magic bullet voor alle problemen. ICT is namelijk geen doel op zich, maar een middel. Dat is bijvoorbeeld een wijze les uit de conclusie van het adviescollege over AZ Next, de nieuwe IT-infra van Algemene Zaken.

Voorzitter. We spreken vaak negatief over ICT en onze overheid. U zou het niet zeggen, maar ik weet zelf nog hoe de papieren molen van DUO – vroeger heette het nog de Informatie Beheer Groep – eruitzag. We mogen nu best blij zijn met het strakke dashboard en een snelle iDEAL-link. Een belangrijke spil hiervoor was het BIT. Dit jaar ging het Adviescollege ICT-toetsing van start als opvolger. Dat is goed nieuws volgens D66, want het adviescollege is onmisbaar om te zorgen dat overheidsprojecten realistisch en uitvoerbaar blijven. We kijken dan ook uit naar het wetsvoorstel.

In het verleden ging het nogal mis, zoals bij de digitalisering van de rechtspraak of bij de NVWA, waar projecten werden stopgezet nadat het budget met miljoenen werd overschreden. Het aantal aanmeldingen voor een BIT-toets lag in 2021 echter ruimschoots hoger dan de beschikbare capaciteit. Dat schrijft het adviescollege in de jaarrapportage. Vindt de Staatssecretaris dat het adviescollege in de huidige vorm genoeg capaciteit heeft om zijn taak te vervullen?

De jaarrapportage van 2020 bevat een aantal hoofdadviezen op basis van de uitgevoerde onderzoeken. Het gaat over de grote lijnen en de grote ICT-projecten waarbij het misgaat. Denk bijvoorbeeld aan het opknippen van grote ICT-aanbestedingen, zodat meer organisaties mee kunnen dingen. Zou de Staatssecretaris een kabinetsreactie willen geven op de hoofdadviezen van dit jaar en van vorig jaar? Is dit mogelijk voordat we het nieuwe wetsvoorstel voor het adviescollege in de Kamer bespreken?

Ook gaat een heel groot deel, bijna 75%, van onze IT-uitgaven naar beheer en onderhoud. Welke rol krijgt het adviescollege hierbij? Graag een reactie.

Voorzitter. Bij een grote informatiehuishouding hoort veiligheid. Beveiliging moet intuïtief, gebruiksvriendelijk en passend bij deze tijd zijn. Als systemen niet goed werken, gaan mensen eigen alternatieven gebruiken, zoals gratis maar onveilige onlinediensten. In welke mate zijn we volgens de Staatssecretaris nog afhankelijk van ... Sorry, ik maak een foutje in mijn spreektekst. Graag een reactie op de vraag hoe we onze eigen informatiehuishouding kunnen beveiligen. Dan ga ik toch nog even verder over veiligheid. In welke mate zijn we volgens de Staatssecretaris nog afhankelijk van software van buiten de EU? Dan bedoel ik niet alleen China of Rusland, maar ook de VS. Graag een reactie.

Voorzitter. Dan eindig ik waar ik begon, namelijk met een laatste vraag over transparantie. Hoe verhoudt het programma Open op orde zich tot de Archiefwet en de Wet open overheid? Ik kijk uit naar de beantwoording.

De voorzitter:

Dank u wel, mevrouw Dekker-Abdulaziz. Dan wil ik het woord geven aan mevrouw Rajkowski voor haar inbreng.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. In de samenleving en bij de overheid groeit de behoefte om transparant te zijn en gerichte informatie te kunnen geven. We mogen dan ook van de overheid verwachten dat ze alle informatie van alle Nederlanders zodanig bewaart dat die veilig is. Aan de andere kant mogen we verwachten dat als we informatie willen krijgen, die makkelijk op te vragen is. Zo zorgen we voor een veilige digitale manier van werken, maar zo zorgen we er ook voor dat het werk van de overheid te controleren is. De VVD heeft daarom de volgende zes punten voor dit debat. De eerste vier gaan over cybersecurity en informatiebeveiliging.

Nederland wordt dagelijks digitaal aangevallen. Onze bedrijven liggen onder vuur, maar ook onze overheid. Om zeker te weten dat informatie veilig is opgeslagen, is het belangrijk om regelmatig te testen of er geen gaten in onze digitale beschermingsmuren zitten. Ons eerste punt is het volgende. Eerder heeft de VVD een motie over TIBER ingediend. TIBER is een methode die wordt gebruikt in de bankenwereld om digitale crises te simuleren. De VVD wil dit ook voor de overheid. De Staatssecretaris gaf in een brief aan dat ze deze digitale oefeningen uiterlijk in 2025 rijksbreed heeft ingevoerd. Dat is echt te laat, want cybercriminelen wachten hier niet op. TIBER is een bestaand oefenprogramma. We vragen dus niet van de Staatssecretaris om een heel nieuw oefenprogramma op te tuigen. TIBER hoeft ook niet een-op-een overgenomen te worden, maar het lijkt wel een kwestie te zijn van uitrollen. Dit moet echt veel eerder dan 2025. Daarom willen we dat de Staatssecretaris alles op alles zet om uiterlijk in 2023 minimaal één digitale oefening per rijksonderdeel te hebben uitgevoerd.

Dan het tweede punt. De brief van de Staatssecretaris spreekt over pentesten en redteaming. Soms is juist de mens het beveiligingslek, bijvoorbeeld als iemand per ongeluk op een linkje klikt. Graag een reactie van de Staatssecretaris dat ook dit menselijke aspect van social engineering wordt meegenomen in de testen.

Voorzitter. Het derde punt gaat over de provincies. Europa is op dit moment aan het nadenken over regels voor digitale veiligheid waar ook overheden aan moeten voldoen. We willen immers niet dat onze waterschappen plat komen te liggen, want zij zorgen juist voor onze droge voeten. Omdat cybercriminelen ook niet wachten op deze richtlijnen, zijn de provincies zelf al aan de slag gegaan. Zij werken toe naar ISO-norm 27001 voor informatieveiligheid. Complimenten hiervoor. Kan de Staatssecretaris hierop reageren? Kan zij de provincies of andere decentrale overheden wellicht ergens bij helpen?

Dan het vierde punt. Een slager moet niet zijn eigen vlees laten keuren. Daarom wil de VVD dat de Staatssecretaris gaat kijken naar het extern laten auditen van de rijksoverheid op het gebied van cybersecurity. Graag een toezegging.

Dan heb ik nog twee punten over informatiehuishouding. In een interview met Follow the Money heeft de regeringscommissaris aangegeven dat informatierechten in de Grondwet verankerd zouden moeten worden. De VVD begrijpt de gedachte, al moet wat ons betreft de Grondwet vooral sober zijn. Wij denken juist dat voor digitale veranderingen normale wetgeving of een kaderwet beter zou passen. Zou de Staatssecretaris de Kamer kunnen informeren over informatierechten en digitale grondrechten, mede in relatie tot wat er in de EU gebeurt, informatiehuishouding en over de vraag of er aanleiding is om de Grondwet aan te passen?

Voorzitter. Dan het laatste punt. De afgelopen tien tot vijftien jaar zijn veel informatieprofessionals wegbezuinigd en zijn gerichte opleidingen gestopt. Hacks en datalekken – we zagen het vorige week bij acht woningcorporaties, waarbij van tienduizenden Nederlanders bsn's en andere gevoelige gegevens zijn gelekt – kunnen ook gebeuren doordat de informatiehuishouding niet op orde is. Bestanden worden overal en nergens veel te lang bewaard. Zo'n gigantisch lek is vreselijk, maar laten we het moment ook goed gebruiken. Juist nu zijn woningcorporaties bijvoorbeeld op hun hoede. Het moment om het onderwerp dat vaak als saai wordt ervaren, op de agenda te zetten, is nu. De VVD wil daarom dat de Staatssecretaris ook incidentgedreven gaat communiceren over datahuishouding, dus dat zij op het moment dat het bij één organisatie misgaat, direct andere soortgelijke organisaties mailt met welke stappen zij nu al kunnen zetten om hun systeem op orde te hebben. Graag een reactie van de Staatssecretaris.

Dank u wel.

De voorzitter:

Dank u wel, mevrouw Rajkowski. Dan wil ik doorgaan naar mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Dank u wel, voorzitter. De PVV heeft met belangstelling kennisgenomen van de stukken die hier vandaag op de agenda staan. Ik denk dat het een goede zaak is dat de regeringscommissaris Informatiehuishouding vanaf januari aan de slag is gegaan, want er ligt een hele hoop werk voor de heer Zuurmond. Het is heel fijn dat hij vandaag kan aanschuiven. In het vorige commissiedebat dat wij met de Staatssecretaris hadden, heeft zij ons ervan verzekerd dat de heer Zuurmond alles zou kunnen doen wat op zijn bord ligt ondanks de parttime aanstelling, en dat die geen belemmering zal zijn voor de uitvoering van de taken, omdat hij een heel team om zich heen heeft. Mocht het zo zijn dat hij meer uren nodig heeft, dan is dat bespreekbaar. Ik vat het maar even zo samen. Mocht ik dat te rooskleurig voorstellen, dan hoor ik dat graag. Mijn vraag aan de Staatssecretaris is ook wel hoe wij hier als Kamer zicht op kunnen houden. Bij mijn weten is er namelijk niks afgesproken over voortgangsrapportages of iets dergelijks. De vergaderbel gaat, hoor ik. Ik geloof dat het de openingsbel is. Ik pauzeer even.

De voorzitter:

Even voor de kijkers thuis: we pauzeerden heel even omdat de openingsbel voor de plenaire vergadering ging. Dat is een bel van bijna een minuut. Dat lijkt altijd nog langer te duren als je in een vergadering zit. Maar dat gezegd hebbende, continueert u uw betoog, mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Dank, voorzitter. Ik was bij de voortgangsrapportage, of in ieder geval bij het overzicht dat de Staatssecretaris hopelijk heeft van de werkzaamheden en de resultaten van het werk van de regeringscommissaris. Is zij bereid om dat ook met de Kamer te delen of kan de heer Zuurmond daar misschien zelf op ingaan en alvast vertellen wat hij in de afgelopen maanden is tegengekomen en heeft gedaan? Ik denk dat het in ieders belang is dat de initiële tweejaarlijkse aanstelling zo productief mogelijk verloopt en dat er eventueel in die tijd bijgestuurd kan worden, indien nodig.

Voorzitter. Ik wil ook graag ingaan op de brieven en de rapportages over het Adviescollege ICT-toetsing, het vroegere Bureau ICT-toetsing. Dat doet ontzettend belangrijk werk. Ik heb grote waardering voor de wijze waarop zij de projecten toetsen en de kritiekpunten helder en zonder veel omhaal weergeven en to the point komen. Ik geloof dat daar een hele mooie Engelse uitdrukking voor is, namelijk: they don't take prisoners. Ik denk dat dat heel belangrijk is. Het is goed om te lezen dat de Staatssecretaris hun adviezen en opmerkingen ook zeer op waarde schat. Dat gevoel heb ik helaas een stuk minder bij de brief van Algemene Zaken, want die is op een aantal cruciale punten toch wel doorgegaan op de ingeslagen weg, ondanks het advies. Natuurlijk brengt het AcICT adviezen uit, maar ik zou graag van de Staatssecretaris horen wat zij zou kunnen doen om de adviezen wat minder vrijblijvend te laten zijn, of in ieder geval om die boodschap over te brengen op haar collega's. In zo'n rapport gaat namelijk hele kostbare tijd zitten. Daar moeten andere onderzoeken voor worden afgewezen.

Dat brengt mij op het punt van de capaciteit, want ik vind het eigenlijk best alarmerend wat we lezen. Het aantal verzoeken dat afgewezen wordt omdat er simpelweg geen capaciteit voor is, vind ik echt heel schokkend en onwenselijk. De hoeveelheid essentiële projecten die nu lopen of nog gaan starten in de nabije toekomst en het belastinggeld dat daarmee gemoeid is, schreeuwt om een meekijkend en adviserend AcICT. Kan de Staatssecretaris ingaan op de projecten die het nu noodgedwongen zonder beoordeling van het AcICT moeten stellen? Ligt het recente besluit van het AcICT om enkele modules van het grensverleggende ICT-project van Defensie niet vooraf te toetsen, ook aan de tekortschietende capaciteit? Graag een reactie. Ook zou ik willen weten op welke manier we het AcICT tussentijds, en graag zo snel mogelijk, zouden kunnen versterken. De hoeveelheid werk die nu blijft liggen, is namelijk heel ernstig en onwenselijk. Dat valt het AcICT niet te verwijten, want die doet wat het kan en meer. Ik zou graag een actieplan willen om deze situatie zo snel mogelijk te verbeteren, want hun adviezen en begeleiding zijn onontbeerlijk.

Dank u wel.

Mevrouw Rajkowski (VVD):

Ik hoor net beide collega's daar een opmerking over maken in de richting van mijn collega Van Weerdenburg. Het wordt uiteindelijk omgezet naar een formeel adviescollege. De VVD zou het erg fijn vinden als er veel meer deskundigheid vanuit het bedrijfsleven zou plaatsnemen in dat adviescollege, dus echt mensen die hands-on aan grote ICT-projecten hebben gewerkt. Als we het toch gaan hebben over capaciteitsuitbreiding, kan ik dan de PVV aan onze zijde vinden dat we die praktijkkennis wat meer in het adviescollege plaatsen?

Mevrouw Van Weerdenburg (PVV):

We hebben een kennismakingsgesprek gehad met AcICT. In mijn herinnering werd ons ook verteld dat dit al gebeurt, dat er al gebruikgemaakt wordt van externe adviseurs, dat de samenstelling best divers is en dat er ad hoc gekeken wordt vanuit welk gebied er een externe mee kan kijken. Dat is wat ik begreep. Ik vind dat een goede zaak en ik zou dat zeker willen uitbreiden. Sowieso lees ik dat het BIT 13 fte heeft. Dat lijkt me echt veel te weinig. Dus het maakt mij niet zozeer uit welke weg of welke manier, als het maar zo snel mogelijk gebeurt.

De voorzitter:

Mevrouw Rajkowski voor een vervolgvraag.

Mevrouw Rajkowski (VVD):

Dan misschien via deze weg toch naar de Staatssecretaris. Het hoeft niet nu, maar als uiteindelijk de brief naar de Tweede Kamer komt over dat adviescollege, zou ik graag zien dat dit onderdeel er specifiek in meegenomen wordt.

De voorzitter:

Dank u wel, mevrouw Rajkowski. Voor deze keer laten we ’m gaan. In principe zijn interrupties niet bedoeld om vervolgens een vraag aan de Staatssecretaris te stellen. Maar dat terzijde. Dan mevrouw Dekker.

Mevrouw Dekker-Abdulaziz (D66):

Eigenlijk een achterafinterruptie naar beide collega's. We hebben het allemaal over de capaciteitsvergroting bij het adviescollege. Hoe kijken de collega's dan aan tegen de expertise binnen de departementen zelf? De VVD zei dat de expertise is wegbezuinigd. Wij vinden dat de expertise binnen de departementen ook nog omhoog kan. Dan heb je minder capaciteitsbegroting bij BIT of het adviescollege nodig. Hoe kijken jullie daartegen aan?

De voorzitter:

Ik laat dit voor deze keer toe omdat we maar met drie leden zijn en we nog goed in de tijd zitten, maar interrupties zijn doorgaans wel op het moment dat de spreker aan het woord is. Ik wil in ieder geval bij mevrouw Van Weerdenburg beginnen en dan toch ook nog even mevrouw Rajkowski de gelegenheid geven. Maar nogmaals, voor een volgende keer kan ik niet beloven dat ik deze coulance zal betrachten.

Mevrouw Van Weerdenburg (PVV):

Nee, natuurlijk zou ik graag willen dat binnen ministeries de expertise zit, want dan zou het AcICT een stuk minder lange rapportages hoeven uit te brengen. Maar als je ziet waar ze tot nu toe mee komen en wat voor opmerkingen ze maken, is dat niet niks. Dat is zeker zo als het gaat over het programma AZ Next. Het zijn geen kleine puntjes waar ze mee komen. Wat mij betreft zijn daarmee de waarde en de noodzaak aangetoond van een actief AcICT dat niet de kantjes ervan af moet lopen vanwege de capaciteit. Dat is een beetje verkeerd geformuleerd, want wat ze doen, doen ze echt wel grondig. Maar ze zouden veel meer kunnen en willen doen. Dus ja, ik zou niets liever willen dan dat het AcICT straks niet meer nodig is omdat de ministeries dus allemaal zelf ... Ik vrees alleen dat we daar nog lang, lang niet zijn.

De voorzitter:

Dank u wel. Dan wil ik mevrouw Rajkowski het woord geven om te reageren op de vraag van mevrouw Dekker-Abdulaziz.

Mevrouw Rajkowski (VVD):

Aanvullend. Uiteindelijk putten we natuurlijk uit dezelfde pool mensen, binnen de rijksoverheid, maar ook binnen het bedrijfsleven. Nederland staat te springen om IT-expertise. Ongeacht of dat nou meer richting de informatiehuishouding gaat of meer generalistisch of juist heel specialistisch is, of dat het bijvoorbeeld een AI-engineer is, we staan er allemaal om te springen. Wat mij betreft moeten we niet een soort gevecht met het bedrijfsleven gaan voeren wie de beste mensen in huis kan gaan halen, maar moeten we gewoon veel meer slim nadenken. Misschien moeten we wel vaker mensen uit het bedrijfsleven een of twee jaar laten detacheren bij de rijksoverheid. Op die manier kunnen we dan slim gebruikmaken van kennis.

De voorzitter:

Dank u wel, mevrouw Rajkowski. Daarmee is een einde gekomen aan de eerste termijn van de zijde van de Kamer. Ik kijk even naar de Staatssecretaris hoelang zij nodig denkt te hebben, inclusief looptijd. Twintig minuten. Laten we dan twintig minuten doen.

De voorzitter:

Goedemorgen wederom. De Staatssecretaris is inmiddels terug en de twintig minuten schorsing zijn voorbij, dus ik wilde beginnen met de reactie van de Staatssecretaris op de gestelde vragen.

Staatssecretaris Van Huffelen:

Dank u wel. Mijn voorstel zou inderdaad zijn dat ik eerst antwoord geef op de vragen die specifiek aan mij gesteld zijn. Als het gaat over de onderwerpen die de heer Zuurmond in zijn eerste maanden heeft aangetroffen, stel ik voor dat hij de vragen beantwoordt die aan hem gesteld zijn over het werkprogramma en de rapportage, want daartoe is hij zelf natuurlijk het beste geëquipeerd.

Ik begin in eerste instantie met de vragen die zijn gesteld, waarvoor dank, over het thema van de ICT-projecten of, beter gezegd, het werk van het adviescollege. U heeft eigenlijk allemaal aangegeven dat u heel veel belang hecht aan het werk dat dat college doet. Het is dus inmiddels omgevormd van het BIT naar het Adviescollege ICT-toetsing. Die mensen werken nu op basis van een tijdelijk mandaat aan het vormgeven van een wetsvoorstel dat deze zomer naar uw Kamer komt, als het goed is. Ons idee is dan ook met u verder te gaan spreken over de omvang van het college, aan de hand van dat wetsvoorstel. Maar ik ga nog wel graag wat verder in op die vraag over de capaciteit, want dat is een van de vragen die zowel door mevrouw Dekker-Abdulaziz als door mevrouw Van Weerdenburg zijn gesteld.

Zij werken op dit moment ongeveer een jaar, op basis van hun huidige mandaten. En het wetstraject loopt nu. We hebben eind 2019 al besloten om de organisatie uit te breiden en ook om meer medewerkers te kunnen aantrekken. Ze hebben op dit moment zes toetsmanagers in dienst en ook nog negen toetsspecialisten. Dat lijkt op dit moment voldoende te zijn. Het college heeft overigens ook een aantal nieuwe leden, die binnenkort aantreden. Ik denk dat het goed is dat wij, wanneer we het wetstraject behandelen, met hen – en dan ook met de inmiddels aangetreden nieuwe leden – kijken naar de vraag of de omvang van het college inderdaad voldoende is. Ik denk namelijk dat het wel belangrijk is om de rol die zij hebben nog een keertje goed met elkaar te bespreken. Het idee is natuurlijk dat in eerste instantie de kwaliteit van een IT-project wordt getoetst bij een departement door de betreffende CIO. Hij of zij moet niet alleen maar nagaan wat het nut en de noodzaak van een traject is, maar natuurlijk ook of de goede aanpak gekozen wordt. Ze moeten ook aangeven, met de eerdere adviezen die door het adviescollege worden gegeven en andere informatie die de CIO heeft, wat we kunnen doen om een en ander te verbeteren. Het idee is niet dat het adviescollege ieder IT-project bij de overheid gaat toetsen, dat sowieso niet, want daar is die grens van 5 miljoen. Maar het idee is wel dat er lessen geleerd worden. Bij volgende trajecten hoeven dan diezelfde lessen niet opnieuw getrokken te worden, maar kunnen ze alvast van tevoren worden meegenomen. Dus wat mij betreft is er op dit moment geen reden om te zeggen: het adviescollege heeft onvoldoende capaciteit. Wij gaan aan het werk met het maken van het wetsvoorstel. We gaan ook goed met het deels vernieuwde college praten over hun werk en hoe zij dat ervaren. Wanneer we die wetsbehandeling doen, lijkt het mij goed om met u te kijken of dit voldoende is en of het ook sterk genoeg werkt om ervoor te zorgen dat de belangrijke rol die zij vervullen, kan worden gerealiseerd.

Ik zou dan willen doorgaan naar de tweede vraag van mevrouw Dekker-Abdulaziz en die gaat over ...

De voorzitter:

Staatssecretaris, ik zie een interruptie van mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Ik verbaas me een beetje over de conclusie van de Staatssecretaris dat het op dit moment voldoende is. Als je namelijk kijkt naar hoeveel aanvragen eigenlijk zijn afgewezen, dan zijn dat er in 2020 33 en in 2021 27. In 2020 waren er tien uitgebrachte adviezen en in 2021 veertien. Het AcICT geeft zelf aan dat dit vanwege de beperkte capaciteit is. Dus ik snap eigenlijk niet hoe de Staatssecretaris nu kan zeggen: dit is voldoende. Er zijn geen grote ongelukken gebeurd, maar dit is natuurlijk niet hoe het zou moeten zijn.

De voorzitter:

Uw vraag is duidelijk. De Staatssecretaris.

Staatssecretaris Van Huffelen:

In principe is dit wel volgens het idee hoe het adviescollege werkt. Dus alle projecten boven de 5 miljoen moeten daar worden aangemeld, maar het is niet zo dat alle projecten ook door hen moeten worden voorzien van een advies. Het idee en de opzet zoals het college nu werkt, is dat het een selectie maakt en dat het zelf kiest welke projecten het gaat beoordelen. Nogmaals, het is wat mij betreft goed om bij het vaststellen van het wetsvoorstel dat we nu gaan ontwikkelen ook met medewerking van het adviescollege te kijken of die omvang nu voldoende is. Het is namelijk nooit de bedoeling dat ze ieder project gaan doen, maar wel om te kijken of de projecten die ertoe doen, ook door hen kunnen worden bekeken.

En misschien even ter aanvulling: een van de thema's die ik zelf relevant vind, is dat het adviescollege niet alleen maar meekijkt aan het begin van een groot traject, maar wellicht ook halverwege of in de beheerfase verder meekijkt. Dat is een thema dat het ook in de afgelopen tijd heeft opgepakt. Het is wat mij betreft goed om over hun precieze rol, de invulling daarvan en de capaciteit in de komende tijd de vinger aan de pols te houden. Wat mij betreft is er op dit moment geen noodzaak om onmiddellijk in te grijpen en te zeggen: er moet capaciteit bij, want er is onvoldoende. Nogmaals, bij het bekijken van de wet kunnen we ook weer goed gaan kijken naar wat nu hun precieze taak is en of er voldoende ruimte voor het college is om datgene te doen waarvan wij met elkaar vinden dat het ook noodzakelijk is om te doen. Dat is niet hetzelfde als ieder project boven de 5 miljoen daadwerkelijk van advies voorzien.

De voorzitter:

Ik zie dat mevrouw Van Weerdenburg nog een vervolgvraag heeft.

Mevrouw Van Weerdenburg (PVV):

Misschien komt de Staatssecretaris daar zo meteen op, maar ik had ook een vraag gesteld over een aantal modules van het grensverleggende IT-project van Defensie, waarvan wel was afgesproken dat die vooraf zouden worden getoetst door het AcICT, maar waarvan uiteindelijk is besloten dat toch niet te doen. Daar wil ik even heel specifiek een antwoord op. Is dat dan ook vanwege de capaciteit? Het was namelijk al wel besloten om dat te doen.

De voorzitter:

Ik kijk even naar de Staatssecretaris of dat verderop in haar betoog komt of dat ze daar liever nu op in gaat.

Staatssecretaris Van Huffelen:

Daar kom ik zo meteen even op terug.

Dan was er de vraag van mevrouw Dekker-Abdulaziz over de hoofdadviezen van het AcICT, die het heeft opgenomen in zijn jaarrapportages. De vraag was ook of we die zouden kunnen bespreken voordat we het wetsvoorstel in de Kamer bespreken. Die reactie stuur ik ook graag. Het idee is natuurlijk steeds dat we niet alleen met elkaar bekijken welke conclusies er over specifieke projecten getrokken worden, maar ook welke lessen we leren. Het idee is dus dat we dat ook doen. Dat hebben we ook opgeschreven. Ik vind het belangrijk dat ik een reactie geef op wat we hebben geleerd uit de lessen van de CoronaMelder. Dan gaat het over de hoofdpunten voor wat betreft bijvoorbeeld lessen rondom digitaal leiderschap, expertise – bij departementen in dit geval – en ruimte in de aanbesteding enzovoorts. Dus ik zal zorgen dat die reactie op de hoofdadviezen er komt en dat we daarover verder in gesprek kunnen gaan voorafgaand aan de implementatie van of, beter gezegd, het opsturen van het wetsvoorstel. Dat was uw vraag namelijk ook.

De voorzitter:

Dank u wel. Ik zie dat dat een vraag oproept bij mevrouw Dekker-Abdulaziz.

Mevrouw Dekker-Abdulaziz (D66):

Dank aan de Staatssecretaris voor de toezegging dat er een kabinetsreactie gaat komen voor het wetsvoorstel. Ik hoop dat het allemaal op tijd is, want in de notitie staat dat alles voor de zomer komt. Lukt dat allemaal voor het zomerreces?

Staatssecretaris Van Huffelen:

Als het goed is, gaat ons dat lukken, toch? Ik kijk nog even naar mijn ambtenaren. Ja.

Dan had mevrouw Dekker-Abdulaziz nog een vraag over de IT-uitgaven, de 75% die de overheid besteedt aan beheer en onderhoud, en ook over de rol van het adviescollege. Ik had het er daarnet al even over in de antwoorden naar aanleiding van de vraag van mevrouw Van Weerdenburg. Het adviseren over onderhoud en beheer is namelijk in feite een nieuwe taak. Die staat ook al in het instellingsbesluit van het adviescollege. Ze hebben daar ook aan gewerkt. Een tweetal onderzoeken hebben ze de afgelopen tijd gedaan en ze verwachten daarmee ook door te gaan. Mijn idee is dus dat we daar ook in het kader van dat wetsvoorstel verder naar kijken. Wat mij betreft gaat het dan niet alleen maar over die beheer- en onderhoudsfase, want dan is het project in feite natuurlijk al afgerond. Het gaat er ook om te kijken naar trajecten die heel groot en meerjarig zijn. Is het zinvol om ook tussentijds nog een keer te kijken naar de vraag of het nog goed gaat? Zetten we de juiste stappen? Enzovoorts.

Mevrouw Van Weerdenburg had nog de vraag hoe je ervoor kunt zorgen dat de adviezen minder vrijblijvend zijn. Die adviezen zijn natuurlijk niet vrijblijvend. Ze worden niet alleen door uw Kamer, maar ook door de departementen en zeker ook door mij zeer serieus genomen. Ze worden ook altijd voorzien van een kabinetsreactie, dus ze verdwijnen niet ergens in de la. Wij kijken daar als kabinet ook heel secuur naar en ik vind het van belang dat we dat ook steeds blijven doen. We hebben dit college ook niet voor niks. Er kunnen natuurlijk wel inhoudelijke redenen zijn om van een advies af te wijken. We kunnen natuurlijk niet toewerken naar een systeem waarbij een kabinet altijd bij elk advies moet zeggen: dit advies moeten we overnemen. Maar het is zeker van belang dat we in de systematiek, dus met een goede reactie vanuit de betrokken departementen en vervolgens een reactie van het kabinet, ook zorgen dat die adviezen serieus worden genomen.

De voorzitter:

Voordat u verdergaat met uw betoog, heeft mevrouw Van Weerdenburg een interruptie.

Mevrouw Van Weerdenburg (PVV):

Wat de Staatssecretaris net zei, is natuurlijk ook zo. Je zit er niet helemaal aan vast. Er kunnen gegronde redenen zijn om een besluit toch te nemen. Maar wat nou als dat aan het eind van de streep toch ontaardt in een financieel drama en je achteraf denkt: hadden we toch maar geluisterd naar het adviescollege en toch maar voor twee beveiligingsniveaus gekozen? Zijn daar nog consequenties aan verbonden en kunnen we dat in de gaten houden? Want er moet natuurlijk uiteindelijk wel een consequentie aan zitten, zodat dat gevolgen heeft.

Staatssecretaris Van Huffelen:

Daarvoor geldt natuurlijk eigenlijk de gewone ministeriële verantwoordelijkheid. Als een project onverhoopt niet goed loopt, met of zonder de afwijking van een advies van het adviescollege, dan zal daar dus altijd door het kabinet verantwoording over afgelegd moeten worden. Maar nogmaals, het idee is ook dat het kabinet die adviezen juist ook heel erg serieus neemt en probeert die zo goed mogelijk te verwerken. De serieusheid daarvan is natuurlijk niet alleen maar afhankelijk van de omvang, maar zeker ook van de expertise van het adviescollege. Het is natuurlijk een van mijn taken om te zorgen dat het adviescollege zodanig gestaffed is dat er mensen zitten die die adviezen niet alleen op een goede manier kunnen opstellen, maar ook kunnen zorgen dat die geïmplementeerd kunnen worden.

Dan was er nog de vraag van D66 over de mate waarin wij afhankelijk zijn van software van buiten de EU, niet alleen die uit China of Rusland, maar eventueel ook die uit de Verenigde Staten. Ik heb in de hooflijnenbrief over digitalisering – daar moeten wij nog met elkaar over in gesprek – aangegeven dat het ongelofelijk belangrijk is dat wij op digitaal terrein onze publieke belangen goed behartigen en zorgen dat we niet ongewenst afhankelijk zijn. We moeten onze strategische autonomie versterken. Dat doen we niet alleen maar binnen Nederland, maar zeker ook op Europees niveau en dat doen we zeker ook door te zorgen dat er een goede Europese digitale interne markt is. Daarvoor blijft natuurlijk ook van belang dat we gaan inzetten op het ontwikkelen van eigen competenties, producten, technologieën en diensten. Dat varieert van hele basale thema's, zoals kwantum computing en cloud, tot artificial intelligence. Ik denk dat het ontzettend belangrijk is dat wij ook in de komende jaren goed gaan kijken naar hoe wij de Europese markt en ook de Nederlandse markt verder kunnen versterken om te zorgen dat we inderdaad niet afhankelijk worden van software van partijen waarvan we uiteindelijk niet afhankelijk willen zijn. Daarbij spelen natuurlijk niet alleen maar thema's als veiligheid een rol, maar zeker ook de vragen hoe het gaat met het delen van data en hoe veilig het is op het gebied van de gegevens van mensen. Allemaal van dit soort onderwerpen spelen een rol.

Overigens gaat het er natuurlijk ook over dat we goed moeten kijken naar die nationale veiligheidsrisico's. Daar hebben we al eerder, in het vorige debat, een discussie over gehad. Er is door mevrouw Rajkowski gevraagd of we daar een onderzoek naar kunnen doen. Dat gaan we dan ook uitvoeren.

Dan was er nog een vraag, ook van mevrouw Dekker-Abdulaziz, over hoe we onze eigen informatiehuishouding kunnen beveiligen. Het is goed om te weten dat ik voor de informatiebeveiliging van de overheid de kaders vast moet stellen. Daarvoor hebben we een programma dat de Baseline Informatiebeveiliging Overheid heet. Dat programma is in lijn met datgene wat mevrouw Rajkowski noemde, namelijk die ISO-normering, die bijvoorbeeld door de provincies is ingesteld. Wij zorgen ervoor dat er ook op getoetst wordt. Daar speelt de ADR ook een niet onbelangrijke rol. Mij gaat het er vooral om dat we in de komende tijd, vanwege het feit dat veiligheid zo'n grote rol speelt, daar steeds naar blijven kijken: niet alleen of die kaders er zijn, maar ook of ze worden nageleefd en getoetst. We moeten zeker weten dat we er alles aan doen om de informatiebeveiliging te controleren.

Daarmee kom ik op de vraag van mevrouw Rajkowski of het nodig is om een externe partij te laten auditen. In feite doen we dat dus al, zij het dat het de ADR is. Dat is natuurlijk niet een helemaal externe partij, maar wel een partij die onafhankelijk toezicht erop houdt. Ieder departement moet een audit uitvoeren op het gebied van informatiebeveiliging. Die audit wordt door de ADR gecontroleerd. Vervolgens wordt er natuurlijk ook over gesproken in het overleg tussen de CIO Rijk en de departementale chief information specialist of -officers, om te zorgen dat we hier daadwerkelijk steeds aandacht aan besteden. Dat laat onverlet dat ik het goed vind dat we nog een keer goed naar dit thema kijken, ook omdat er een nieuwe cyberstrategie wordt opgesteld door het Ministerie van JenV. Ik zie dus geen noodzaak om dat nu al aanvullend met een externe audit te doen, omdat we daar een auditsystematiek voor hebben, maar ik denk dat het goed is om er in het kader van de strategie opnieuw naar te kijken.

Mevrouw Rajkowski (VVD):

Dank aan de Staatssecretaris voor deze heldere beantwoording. Het punt is inderdaad dat de departementen eerst hun eigen audit doen, die dan wordt gecontroleerd. Op zich vind ik het prima als dit in het kader van een bredere cybersecuritystrategie wordt meegenomen; dan noteer ik als toezegging dat hierop nog wordt teruggekomen in dat bredere perspectief.

Staatssecretaris Van Huffelen:

Ja. Dat zal ik ook meegeven aan mijn collega van JenV.

De voorzitter:

Ik hoor de Staatssecretaris dat toezeggen. Vervolgt u uw betoog.

Staatssecretaris Van Huffelen:

Dan over het TIBER-oefenprogramma. U gaf terecht aan dat 2025 te laat zou zijn. Het is ook niet dat we dan beginnen, hè? We zijn in feite al begonnen met redteaming. Sterker nog, vorig jaar hebben we dat al bij enkele departementen gedaan, waarbij we uiteraard ook opvolging hebben gegeven aan de bevindingen. In het CIO-beraad, het overleg van alle CIO's van de departementen, is afgesproken dat zij met voorrang zo'n test zullen uitvoeren, ieder onder zijn eigen verantwoordelijkheid. Ik heb een stappenplan gemaakt om ervoor te zorgen dat we niet pas beginnen in 2025, maar dus al veel eerder. Het zwaartepunt daarvan ligt eigenlijk al dit jaar. Ook dit jaar worden weer verdere redteamingoefeningen uitgevoerd. De totale aanpak is in 2025 dan ook klaar. Mijn bedoeling is wel dat we daar waar we kunnen versnellen, dat ook doen. We zijn dus al aan het werk om dit soort oefeningen te doen en die ook te implementeren bij alle departementen.

Mevrouw Rajkowski (VVD):

Kan ik het dan als volgt interpreteren? Ik begrijp natuurlijk dat er een organisatiekant aan zit. Er moet ruimte zijn om zo'n crisis te simuleren en er moet ruimte zijn om er opvolging aan te geven. Ik begrijp dus wel dat het makkelijker gezegd dan gedaan is. Ons gaat het om snelheid, gezien de situatie waarin we zitten met de cyberaanvallen waarmee ook de rijksoverheid dagelijks te maken heeft. U zei dat het zwaartepunt dit jaar ligt. Betekent dit dat alle departementen dit jaar in ieder geval starten met het stappenplan of dat een groot deel van de departementen dit jaar al zo'n oefening heeft gedaan? Dat zou me iets meer comfort geven.

Staatssecretaris Van Huffelen:

Ik kom zo meteen eventjes terug op de vraag of alle departementen het al gedaan hebben, maar in principe wel. Ik zal de vraag nog even precies laten beantwoorden, maar het idee is inderdaad dat ieder departement wel al dit jaar aan het werk gaat. Uw vraag was of alle rijksonderdelen ... Dat zijn er officieel honderden. Dat is een beetje te heftig, maar het is wel de bedoeling dat ieder departement dat wel dit jaar al doet. Ja, ik heb het antwoord hier; er wordt geknikt.

Mevrouw Rajkowski vroeg of het menselijk aspect ook een rol speelt in het kader van de wentesten en de redteamingtesten. Dat is absoluut zo. Ik weet uit eigen ervaring, en we zijn ons er heel erg van bewust, dat je heel veel technisch kunt regelen maar dat er altijd een menselijke factor is. Die wordt ook steeds relevanter, omdat de aanvallen steeds sneakyer worden gedaan. Vroeger waren het misschien hele rare mailtjes waarvan je dacht: nou, dat kan echt niet waar zijn. Nu ontwikkelen de manieren om binnen te komen waarbij gebruikgemaakt wordt van gegevens van mensen zich steeds sterker. De mens in het thema digitale weerbaarheid is een belangrijk onderwerp, een speerpunt, ook in onze I-strategie. Wij hebben aangegeven dat we daar voor de zomer op terugkomen naar aanleiding van de vraag die mevrouw Van Weerdenburg daar de vorige keer over stelde. Dan gaan we zeker ook in op dit stuk van het menselijke aspect, want dat betekent trainen, oefenen en kijken hoe we de weerbaarheid op die manier kunnen vergroten.

Mevrouw Rajkowski had een vraag over de ISO-normering, maar daar heb ik eigenlijk al iets over gezegd. Het is heel goed dat provincies daarmee werken. Het is een onderwerp waar je je niet alleen op moet voorbereiden, maar waarbij je ook nog laat testen of je voldoet aan alle vereisten. Wij werken op rijksniveau met de BIO (Baseline Informatiebeveiliging Overheid). Wij komen daar in het kader van de cyberstrategie op terug.

De VVD vroeg om incidentgedreven te communiceren als het gaat om de datahuishouding. Ik begrijp dat het dan specifiek niet alleen om incidenten op het gebied van veiligheid gaat, maar ook om incidenten op het gebied van datalekken, die soms natuurlijk met elkaar te maken kunnen hebben maar niet noodzakelijkerwijs.

Over het onderwerp informatiebeveiliging hebben wij het, denk ik, goed gehad. Het is heel erg belangrijk om niet alleen aan het werk te gaan als er iets gebeurt, maar ook om elkaar op de hoogte te houden. Het Nationaal Cyber Security Centrum heeft die taak. Dat moet ervoor zorgen dat de lessen niet alleen worden verzameld maar ook worden verspreid, en incidenten analyseren om te kijken hoe we daarvan kunnen leren en wat dat betekent voor de informatiehuishouding en -beveiliging, ook bij andere overheden.

Datalekken worden vooral gemeld bij de Autoriteit Persoonsgegevens. Daar moeten mensen hun datalekken melden. Over dat thema wil ik nog overleggen met hen om te bezien hoe we daar wat meer aan kunnen doen, welke stappen we kunnen zetten in de transparantie en hoe we de lessen die we kunnen leren, wat meer naar buiten kunnen brengen, omdat daar geen hele duidelijke systematiek voor is, hoewel daar in het kader van het CIO-overleg wel met elkaar over wordt gesproken. Maar ik vind het goed om nog eens wat dieper in de vraag te duiken wat we kunnen leren van beveiligingsincidenten, waar het Nationaal Cyber Security Centrum een goede rol in speelt, maar ook in de vraag wat we kunnen leren van eventuele andere vormen van lekken die niet zozeer met veiligheid te maken hebben maar op andere manieren zijn ontstaan.

Mevrouw Rajkowski (VVD):

Super om dit te horen. Heel fijn, want als ik het heb over informatiehuishouding, dan vinden mensen die hier zitten dat allemaal een heel sexy en heel interessant onderwerp, maar mensen buiten deze zaal niet zo. Ik kan me ook voorstellen dat het voor de AP uiteindelijk werk zou kunnen schelen. Het hoeven niet hele A4'tjes en factsheets te zijn, maar in het geval van vorige week hadden woningbouwcorporaties gevoelige informatie van 10.000 Nederlanders veel te lang bewaard. Misschien kan er een mailtje uitgaan vanuit de AP of de rijksoverheid – dat maakt ons niet zo veel uit – met de boodschap: «Joh, dit is gebeurd. Weet dat je deze informatie niet zo lang mag bewaren. Kijk in je systemen en verwijder die mapjes.» Het kan soms ook iets minder arbeidsintensief, maar je moet wel het momentum pakken.

De voorzitter:

Ik hoor daar niet zozeer een vraag in, maar meer een soort instemming met het betoog van de Staatssecretaris.

Mevrouw Rajkowski (VVD):

Ja, het is meer een aansporing om het niet al te ingewikkeld te maken, waardoor er weer bergen werk achter zitten.

Staatssecretaris Van Huffelen:

Ik ga graag nog eens even kijken hoe we dat op een handige manier kunnen doen, want van elkaar leren is sowieso relevant. Ik begrijp dat het voor mensen soms ook ingewikkeld is om te weten aan welke eisen ze allemaal precies moeten voldoen.

Mevrouw Rajkowski vroeg hoe ik wil omgaan met informatierechten, digitale grondrechten enzovoort, enzovoort, enzovoort. De vraag ging met name over het wel of niet aanpassen van de Grondwet volgens mij. Op verschillende plekken hebben we digitale rechten en informatierechten vastgelegd. Die zitten nu in verschillende soorten wetten. Daar komt nog een nieuwe wet bij, de Wet open overheid, die op 1 mei in werking zal treden. Ik vind het heel erg belangrijk dat we met elkaar goed gaan kijken of we daarmee alles hebben geregeld wat we van belang vinden, inclusief het Europese kader. Aan de ene kant willen we de goede informatie bewaren en zorgen dat alle overheidsorganisaties dat op een goede manier gaan doen, op de manier waarop we dat willen. Zo meteen komt de heer Zuurmond daar ook nog op terug. Daarbij willen we de informatie vastleggen die we willen vastleggen en niet de informatie die we niet willen vastleggen. Vervolgens gaat het over de toegankelijkheid. Hoe makkelijk is het voor mensen om inzicht te krijgen in de gegevens die er over hen worden verzameld? Hoe makkelijk kunnen we omgaan met Wob-verzoeken enzovoort, enzovoort, enzovoort?

Ondanks dat we daar op dit moment verschillende wetten voor hebben, is er vaak nog geen goed overzicht gemaakt of is het kader daarvoor niet altijd even helder. Daar wil ik in de komende tijd heel graag aan werken, uiteraard samen met de Minister van BZK, want die gaat bijvoorbeeld over de Wet open overheid en de transparantie. Ik wil eens goed kijken hoe we dit ook wettelijk gezien hebben georganiseerd. Ik denk dat het veel te vroeg is om het te hebben over vraagstukken die gaan over het veranderen van de Grondwet. Ik denk dat we in eerste instantie eens goed met elkaar moeten kijken welke wetten er zijn, hoe ze met elkaar samenwerken en of we alles in dat kader hebben zitten om de goede informatie vast te leggen, de informatie die we niet mogen vastleggen, niet vast te leggen en de toegankelijkheid optimaal te organiseren.

Dan ga ik terug naar de vraag van mevrouw Van Weerdenburg over de modules van Defensie. Dat was in lijn met het verhaal van het Adviescollege ICT-toetsing. Ik heb contact daarover gehad met het adviescollege. Op dit moment ziet het niet de toegevoegde waarde van het uitvoeren van een periodieke vervolgtoets. Het adviescollege heeft wel aangegeven dat, als wij dat willen, dat alsnog verderop in de tijd kan worden gedaan, maar op dit moment ziet het geen reden om dit nog verder uit te werken.

Dan had ik nog een vraag die nog was blijven liggen.

De voorzitter:

Voordat u verdergaat, heeft mevrouw Van Weerdenburg daar nog een vervolgvraag op.

Mevrouw Van Weerdenburg (PVV):

Het is eventjes een handicap dat vandaag de jaarrapportage van het Adviescollege ICT-toetsing van 2020 op de agenda staat, terwijl de nieuwe al vorige maand uitgebracht is. Die heb ik hier stiekem op mijn scherm erbij. Het agendastuk laat zien dat het gaat om een stuk of acht modules van Defensie, maar voor 2022 staan er twaalf. Er is een inventarisatie gedaan. Elf worden er aangemeld. Eentje zat nog in portefeuille. Dat betekent in feite dat die is aangemeld en op het bureau ligt, maar dat ze daar nog geen tijd aan hebben kunnen besteden. De Staatssecretaris noemde net een aantal modules van vorig jaar volgens mij. Ik wil even scherp hebben of dat dit jaar dan ook gaat gelden.

Staatssecretaris Van Huffelen:

Het adviescollege geeft aan dat het zinvol is om een vervolgtoets te doen, maar dan op het GrIT-programma als geheel, dus niet zozeer op de losse modules. Het stelt voor dat dat in de loop van dit jaar wordt opgezet. Het gaat dus niet meer terugkijken op basis van wat er nu ligt maar, zoals ik het begrijp, op basis van het programma dat zich nu verder ontwikkelt. Maar als het helpt en u dat wilt, dan kan ik daar in tweede termijn nog even op terugkomen. Dan kan ik misschien een iets helderder en uitgebreider antwoord geven.

De voorzitter:

Ik zie dat mevrouw Van Weerdenburg daar inderdaad behoefte aan heeft.

Mevrouw Van Weerdenburg (PVV):

Ja, graag. Als vaste commissie voor Digitale Zaken helpen wij de vaste commissie voor Defensie door mee te kijken bij dat project. Vandaar dat ik iets specifiekere antwoorden daarop wil hebben.

Staatssecretaris Van Huffelen:

Heel goed.

Mevrouw Dekker-Abdulaziz vroeg hoe het programma Open op orde zich verhoudt tot de Archiefwet en de Wet open overheid. Het doel van de Archiefwet is natuurlijk vooral om overheidsinformatie te behouden en niet alleen voor de korte termijn maar duurzaam toegankelijk te maken. De Archiefwet stelt dan ook eisen aan de inrichting van de informatiehuishouding. Het programma Open op orde bij de Wet open overheid is er vooral om te zorgen dat we de overheid transparant maken. Het moet dus niet alleen beter vindbaar zijn, maar ook uitwisselbaar, eenvoudiger te ontsluiten enzovoort, enzovoort. De Wet open overheid zorgt ervoor dat de informatiehuishouding zodanig op orde is dat die ook voldoet aan de Archiefwet.

Het is van belang dat we de informatiehuishouding zodanig op orde brengen dat we invulling kunnen geven aan de Wet open overheid maar ook aan de Archiefwet. Daar kan de heer Zuurmond dadelijk iets meer over zeggen. Een van de thema's waar ik de komende tijd wat meer aandacht aan wil besteden, is vooral hoe we er niet alleen voor kunnen zorgen dat informatie goed geregistreerd wordt, toegankelijk wordt gemaakt en toegankelijk blijft, maar ook hoe we in het dagelijks werk ervoor kunnen zorgen dat zo veel mogelijk transparant is wat we aan het doen zijn. Want een van de thema's is dat je vaak pas achteraf informatie kunt opvragen, dat het veel tijd kost om informatie te verzamelen en dat Wob-verzoeken lang duren. Ik denk dat het ons allemaal zou helpen als we dat beter op orde krijgen. Dan kunnen we wat proactiever en makkelijker laten zien wat de overheid allemaal doet en welke keuzes worden gemaakt. De eerste stappen daarvoor zijn al gezet, bijvoorbeeld door het openbaar maken van de gegevens bij het aanbieden van wetsvoorstellen. Volgens mij heb ik dan alle vragen beantwoord.

De voorzitter:

Veel dank aan de Staatssecretaris. Ik geef zo het woord aan de heer Zuurmond, maar ik wil wel opmerken dat er al gelegenheid is geweest voor een technische briefing. Als er echt vervolgvragen zijn op hetgeen de heer Zuurmond zegt, dan geef ik daar ruimte voor, maar ik vraag wel de discipline om dat een inhoudelijke vraag te laten zijn en geen politieke vraag. Dat gezegd hebbende is het woord aan de heer Zuurmond.

De heer Zuurmond:

Dank. Dank ook voor de vragen. Ik heb er een paar genoteerd. De eerste vraag gaat over de voortgang en de monitoring en is van mevrouw Van Weerdenburg. Ik heb de Kamer in de technische briefing toegezegd dat ik elk halfjaar een voortgangsrapportage maak. Dat zal ik dus doen. Na de zomer zal de eerste zijn. Ik heb ook aangegeven dat, als de commissie technische, informatiekundige vragen heeft, ik altijd bereid ben daarbuiten de commissie of een individueel commissielid te woord te staan.

Er werd gevraagd wat de regeringscommissaris precies doet. Het is belangrijk om te zien dat er ook twee belangrijke andere ontwikkelingen zijn. Er komt een Adviescollege openbaarheid en informatiehuishouding. Dat start op 1 mei. Daarnaast is er een Inspectie Overheidsinformatie en Erfgoed. Die laatste is sterk uitgebreid; die eerste is nieuw. Die gaan beide vanuit hun eigen perspectief rapportages maken. De eerste behandelt vooral klachten en gaat kijken of er problemen zijn met de openbaarheid. Daar rapporteren ze over. Mijn rol zal zijn om te kijken of wat er gerapporteerd wordt, ook voldoende vertaald wordt in de programma's die op dit moment gedraaid worden. Hetzelfde geldt voor de Erfgoedinspectie. Die wordt sterk uitgebreid. Ook zij maken rapportages, maar zij kijken natuurlijk helemaal vanuit het archiefperspectief. Als zij tekortkomingen constateren, wil je eigenlijk de informatiehuishouding aan de voorkant zodanig verbeteren dat dat probleem niet elke keer opnieuw ontstaat. Ik zal intensief contact onderhouden met beide partijen. Ik heb inmiddels al contact gehad met de beoogd voorzitter van het adviescollege en volgens mij gaat dat goed komen.

Dan was de vraag: wat ben je eigenlijk tegengekomen? Dat is eigenlijk een beetje vroeg, maar ik wil toch een paar beelden delen. Allereerst heb ik gezien dat er een tweede ronde plannen is ingediend. Vorig jaar is het programma Open op orde gestart. Dat is eigenlijk best snel van de grond gekomen. Daar ben ik erg blij om, want je kunt ook een jaar uitzoeken hoe je het gaat doen, maar zij zijn eigenlijk best wel in het diepe gesprongen en hebben gezegd: wij gaan voor een lerende aanpak. Nu zijn ze een jaar verder. Je ziet dat de tweede generatie plannen die ze maken, de bijstelling van de plannen, duidelijke verbeteringen inhouden. Dat brengt me op de vaststelling – dat had ik me ook wel een beetje voorgenomen – dat er qua management echt heel veel gedaan wordt. Dat gaat ook goed. Er is een goed programma. Er zitten goede managers op. Ik heb inmiddels ook een aantal psg's gesproken. Je ziet ook dat het vraagstuk van de informatiehuishouding veel meer op de agenda staat dan een paar jaar geleden.

De voorzitter:

Meneer Zuurmond, misschien is het ...

De heer Zuurmond:

Sorry, «psg» is plaatsvervangend secretaris-generaal. Je ziet dus dat het belang is toegenomen en dat de sturing daarop veel strakker is. Daar ben ik tevreden over. Er zijn inmiddels ook al best veel praktische zaken gedaan. Zo zijn alle mails veiliggesteld, is er een systeem gemaakt om alle websites waar de overheid mee communiceert te archiveren, zodat je het veiliger houdt, en wordt het whatsappverkeer van bewindspersonen veiliggesteld. Op allerlei plekken zijn er al vorderingen te melden. De beslisnota's gaan naar de Kamer. Qua programma wordt er dus hard aan gewerkt.

Maar je kunt de dingen natuurlijk goed doen, maar je kunt je ook afvragen: doen we de goede dingen? Ik zie mijn rol meer als een soort sparringpartner, als een soort interventiefiguur die zegt: jongens, ik zie jullie hard werken; jullie zijn hard aan het dweilen ... Want eigenlijk zijn het hele grote dweiloperaties die ze aan het doen zijn, omdat de informatiehuishouding jarenlang verwaarloosd is, omdat we bezuinigd hebben, en omdat we een zeker techno-optimisme hadden dat het door de ICT wel goed zou komen. Dat valt na tien, vijftien jaar tegen. Ik zie dus hardwerkende mensen die met goede programma's en goede sturing daaraan werken, maar in feite toch wel veel aan het dweilen zijn. Dan is de vraag niet alleen «doe je de dingen goed?», maar ook «doe je de goede dingen?» Ik zie mijn rol vooral daarin. Ik moet niet nog weer een extra managementlaag of nog weer een bureautje worden dat nog een keer controleert. Ik denk dat die constellatie best wel aardig is.

Als ik dan vanuit dat perspectief kijk, kom ik bijvoorbeeld op de suggestie dat we misschien een algemene wet nodig hebben, omdat er best wel veel wettelijke bepalingen zijn, maar eigenlijk niet voldoende duidelijk is of alle normen goed zijn geregeld en eigenlijk ook of de partijen, bijvoorbeeld de CIO, wel voldoende bevoegdheden hebben om snel de zaken te kunnen regelen die geregeld moeten worden. Je ziet nu dat de bevoegdheden toch erg gedistribueerd zijn. Ik heb gezegd dat je er in ieder geval over moet nadenken of er zo'n wet moet komen om aan de ene kant een aantal rechten voor de burgers duidelijker kaderstellend neer te zetten en aan de andere kant te kijken of er niet een aantal bevoegdheden en duidelijke mandaatregelingen nodig zijn, zodat er wat sterker en strakker gestuurd kan worden. Nu moet alles via overleg, en als een van de partijen dan niet meedoet, dan heb je eigenlijk niet heel veel middelen om die partijen te dwingen. Ik denk dat dat veel energie kost en niet meer van deze tijd is.

Ten aanzien van de opmerking over de Grondwet van Follow the Money heb ik volgens mij gezegd dat je er ook over zou kunnen nadenken of je dat misschien zou moeten. Dat komt eigenlijk vanuit de meer conceptuele waarneming dat de drie klassieke instrumenten die je hebt als middel, namelijk het juridisch instrumentarium, het financieel instrumentarium en het hr-instrumentarium, alle drie een duidelijke verankering hebben in een bepaling in de Grondwet, maar het vierde belangrijke middel dat er de laatste 50, 60 jaar bij gekomen is, informatie en digitalisering, op dat niveau niet geregeld is. Dat zie je niet in de Grondwet. Vaak heb je een algemene wet nodig en dan heb je daarboven in de Grondwet een uiteraard sobere bepaling nodig die ervoor zorgt dat je een haakje hebt om zo'n algemene wet te maken. Zo werkt het. De Algemene wet bestuursrecht heeft dus ook een haakje in de Grondwet, en de Comptabiliteitswet heeft dat ook.

Als je dus de I wil regelen, zal je dat eigenlijk ook moeten doen. Maar ik heb wel gezegd: luister eens, het is een hunch, een idee, een eerste waarneming; dat moet je uitzoeken, en dat uitzoeken zal je vooral ook interactief moeten doen. Dat zal je met een groot aantal partijen in de samenleving moeten doen, en niet vanuit een ivoren toren. We zitten in een nieuwe tijd. In het informatietijdperk moeten we daar toch ook over nadenken. Na een aantal maanden kan de conclusie dan zijn: we hebben goede gesprekken gehad en we hebben gezien dat we het goed hebben geregeld; het is niet nodig. Of je zegt: er zijn toch echt een paar hele cruciale dingen die wel moeten. Zover ben ik nog niet in mijn denken.

Ik zei het net eigenlijk al met andere woorden, maar ik heb dus geconstateerd dat er de laatste tien, twintig jaar wel erg is bezuinigd op het personeel voor de documentaire informatievoorziening. De oude DIV'ers zijn bijna allemaal verdwenen en we hebben te optimistisch gedacht dat dat wel goed zou komen door de inzet van technologie. Nou, dat valt eigenlijk tegen.

Er zijn eigenlijk twee bewegingen waar ik een bijdrage aan wil leveren. Enerzijds wil ik helpen om gewoon meer personeel te vinden. Ik heb een groep gestart op LinkedIn met zo'n duizend mensen en ik heb daarop een verzoek geplaatst aan mensen om te solliciteren. Je ziet dan gelijk een paar honderd aanmeldingen en dat helpt dus. Maar tegelijkertijd heb ik ook gezegd dat het kwalitatief een uitdaging is. Het vak is erg vernieuwd en we moeten daarom kijken of het vak niet, zeg maar, bijgesteld moet worden. We moeten niet de oude DIV terughalen, maar een nieuw vak starten.

Een andere constatering is dat er op zich wel een architectuur is, maar dat die vernieuwd moet worden. Dat is het ontwerp van die ICT-infrastructuur en de informatiehuishouding op die ICT-infrastructuur. Ik heb daarover ook gezegd dat we moeten nadenken over de vraag waarom die architectuur niet voldoende gewerkt heeft in de uitvoering. Dat heeft wellicht weer met het mandaat te maken waar ik het eerder over had. Er zijn niet voldoende bevoegdheden om de architectuur die is vastgesteld, echt af te dwingen.

Tot slot nog twee andere waarnemingen. Je ziet dat men in het I-beleid met standaarden afspraken probeert te maken, bijvoorbeeld over die infrastructuur, maar die afspraken zijn wel erg generiek. Ik ben het aan het uitzoeken, maar ik denk dat het gaat helpen als we onderscheid gaan maken tussen soorten werk. Een beleidsdepartement heeft een heel ander type werk dan een uitvoeringsorganisatie als DUO, vroeger de Informatie Beheer Groep. Ik herinner mij de brieven van vroeger ook nog. Ik denk dat je de standaarden en de normen die gelden, moet differentiëren naar het soort organisatie. Differentiëren kan je helpen om mensen aan te spreken met: hier moet je je aan houden. Als je hele generieke afspraken hebt, is dat niet duidelijk genoeg voor iedereen.

We vertellen medewerkers dat ze zich moeten houden aan de standaarden en de manier waarop je de gegevens en de documenten moet opslaan. Dat is natuurlijk ook zo, maar tegelijkertijd vind ik de spullen waarmee ze moeten werken en de technische infrastructuur waarop ze moeten werken, wel erg ouderwets. Daardoor is het niet makkelijk om je te houden aan die voorschriften. Je wordt niet voldoende ontzorgd in je werk. Je moet echt best wel ingewikkelde handelingen verrichten om de dingen goed op te slaan. Je ziet dan dat mensen daarom maar versies aan elkaar gaan mailen in plaats van dat ze in een gemeenschappelijk document werken. Vervolgens heb je dan het probleem dat er 150 versies zijn en het heel erg ingewikkeld is om te antwoorden wanneer je in een Wob-verzoek terechtkomt. Ik heb dus ook gezegd: ik denk dat we moeten nadenken over de vraag of je de professionals, aan wie wij vragen om te werken conform de normen, niet kunt helpen door nieuwere en modernere technologie en middelen ter beschikking te stellen.

Dat zijn eigenlijk de belangrijkste dingen die ik tot nu toe ben tegengekomen.

De voorzitter:

Dank u wel, meneer Zuurmond, voor het delen van uw observaties. U gaf aan het begin al aan dat het hiervoor eigenlijk nog wat vroeg is, maar volgens mij waren het toch al mooie en waardevolle toevoegingen. Ik zie de leden knikken en daarom dank daarvoor. Dank ook voor het aanbod dat we bij u terechtkunnen met de vragen die eventueel nog bij de leden of de commissie als geheel leven.

Ik wil nu overgaan naar de tweede termijn van de Kamer en ik kijk daarvoor naar mevrouw Rajkowski.

Mevrouw Rajkowski (VVD):

Dank, voorzitter. Ik ga het kort houden.

Dank voor alle antwoorden van beide kanten en voor het fijne gesprek. We hebben het er in de Kamer weleens met elkaar over dat we niet altijd even aardig tegen elkaar zijn en dat er veel stress en spanning ontstaat. Daarom waardeer ik dit soort commissiedebatten, want die zijn soms meer een gesprek en een gedachtewisseling. Dus dank daarvoor.

Ik hoop dat u blijft, meneer de regeringscommissaris! U heeft namelijk ook aangegeven dat u het verder wel prima vindt zo als u het te moeilijk wordt gemaakt en niemand luistert. U zei «ik heb ook andere dingen te doen met mijn leven», maar ik hoop dus dat u nog lang blijft.

Voorzitter, ik ga geen tweeminutendebat aanvragen.

De voorzitter:

Dank u wel, mevrouw Rajkowski. Mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Dank, voorzitter. Ik sluit me natuurlijk aan bij de oproep van mevrouw Rajkowski. Maar ik zie nu nog geen reden om te denken dat de heer Zuurmond van plan is om de handdoek in de ring te gooien. Integendeel! U bent er inderdaad net en u hebt al heel veel dingen geconstateerd. Ik heb even snel meegeschreven, maar ik kijk natuurlijk zeker uit naar de rapportage die we na de zomer krijgen.

Ik zou het ook fijn vinden om wat vaker om de tafel te zitten. Dat hoeft dan niet vier uur te duren, want we kunnen best wel wat kortere lijntjes houden. Graag zou ik dan ook binnen afzienbare tijd eens goed en uitgebreid spreken over de jaarrapportage van het AcICT over dit jaar.

Ik licht er nu één puntje uit, want ik vind dat toch wel heel belangrijk. De werkvoorraad voor 2022 wordt begroot op 65 aanvragen en dat zijn er dan 24 die al op een bureau lagen en een inventarisatie van 41 nieuwe. Dat is een gigantische toename ten opzichte van vorig jaar en toen moest ook al 35% afgewezen worden. De Staatssecretaris was heel geruststellend en zei: o nee, daar maak ik me geen zorgen over. Ik heb liever dat ze dat misschien toch wel een beetje doet, want daarmee zouden we een drama voor kunnen zijn. Ik spreek daar de volgende keer graag over door, maar misschien kan ze nu nog heel even ingaan op de huidige rapportage.

Als dat mag, heb ik nog één vraag in tweede termijn voor de heer Zuurmond. Hij sprak over een LinkedIn-groep om mensen te werven. Stel dat er IT- en ITC-specialisten worden gevonden die willen gaan solliciteren bij de rijksoverheid, gebeurt het dan – dat is iets wat we horen – dat ze misschien niet standaard, maar wel heel snel worden afgewezen, omdat ze niet zouden voldoen aan de eisen? Heel veel goede software engineers hebben geen informatica gestudeerd, maar je kunt die mensen wel heel makkelijk een competentietest afnemen. Zijn met andere woorden de voorwaarden om in dienst te komen niet te strak? Kan de heer Zuurmond daar misschien nog iets over zeggen?

De voorzitter:

Dank u wel, mevrouw Van Weerdenburg. Ik denk dat het goed is om de planning van wat we wanneer behandelen in de procedurevergadering te bespreken. Dat is meer iets om in de commissie over te overleggen, dan dat het een vraag voor de Staatssecretaris is.

Ik kijk heel even naar de Staatssecretaris om te zien of zij nog tijd nodig heeft voor de beantwoording in tweede termijn en of zij het goed vindt dat ik in dit geval bij uitzondering begin met de heer Zuurmond voor de inhoudelijke vraag. Dan kunt u daarna afronden, Staatssecretaris.

Meneer Zuurmond.

De heer Zuurmond:

Dank voor de vragen. Het signaal is voor mij nieuw. Dus ik kan eigenlijk geen antwoord geven op die vraag. Ik zal het moeten uitzoeken.

Dank.

De voorzitter:

Dank u wel. De Staatssecretaris.

Staatssecretaris Van Huffelen:

Ik had nog een vraag liggen over de rapportage en de modules van Defensie. Ik heb dat nog even na laten zoeken. Eind 2021 is er een aantal blokken door Defensie aangemeld. Dat zijn blokken en onderdelen van het project GrIT. Die zijn vanuit de risicoselectie door AcICT niet geselecteerd voor advies. Vervolgens heeft het AcICT wel aan Defensie verzocht – ik had het er daarnet al over – om in 2022, dus dit jaar, een onderzoek te laten doen naar het gehele programma. Defensie is dus verzocht om voor het gehele programma een onderzoek aan te vragen. Nou ja, goed, het is ook het privilege van het AcICT om te zeggen: het lijkt ons niet verstandig om die losse delen te doen; we willen graag het hele programma. Dat is de voorkeur die ze uit hebben gesproken en vervolgens is het aan het ministerie om het aan te melden.

Die vraag stond er nog. De vraag over de kwalificaties die mensen nodig hebben, kan de heer Zuurmond voor u uitzoeken, maar ik kan natuurlijk ook proberen om daar voor u een antwoord op te vinden. Een van de thema's is natuurlijk dat we niet alleen maar heel erg op zoek zijn naar IT-specialisten, maar vooral ook naar mensen die zich bezig kunnen houden met het optimaliseren van de informatiehuishouding. Het lijkt mij goed dat wij in ons programma niet alleen nog eens even goed kijken naar wie allemaal helemaal aan de specifieke kwalificaties voldoen, maar ook naar wie het werk goed kunnen doen. Ik denk dat dat een onderwerp is dat altijd aan de orde is.

De voorzitter:

Dank u wel. Dan kijk ik heel even rond of dat nog tot vervolgvragen leidt. Dat is niet zo. Ik ga nu de toezeggingen die we hebben genoteerd, memoreren. Ik vraag u aan te geven of die volledig zijn. Ik heb er vier genoteerd.

• – De Kamer ontvangt voor de zomer het wetsvoorstel voor de wettelijke verankering Adviescollege ICT-toetsing.

• – De beleidsreactie op de hoofdadviezen naar aanleiding van de jaarrapportage Adviescollege ICT-toetsing wordt ontvangen voor de komst van het wetsvoorstel.

• – De wijze van externe audit wordt meegenomen bij de nieuwe cyberstrategie van JenV.

Ik zit even te puzzelen of ...

Mevrouw Rajkowski (VVD):

Een reactie daarop.

De voorzitter:

Dat wordt betrokken. Oké.

Dan de volgende.

• – Er is aandacht voor de menselijke aspecten bij redteaming en dat komt terug in de I-strategie.

Ik kijk even naar de Staatssecretaris.

Staatssecretaris Van Huffelen:

Dat zit er al in. Dus het is eigenlijk een beetje een toezegging die we wat mij betreft niet hoeven op te nemen.

De voorzitter:

Dan schrappen we deze als toezegging, omdat het eigenlijk al lopend beleid is.

Mevrouw Van Weerdenburg.

Mevrouw Van Weerdenburg (PVV):

Misschien ben ik heel optimistisch als ik er een toezegging in hoorde, maar ik dacht dat we ook even gaan kijken naar en een terugkoppeling krijgen over hoe we het personeelsbeleid een handje kunnen helpen door ... Nou ja, «minder stringent» is niet het goede woord, maar ik denk dat de Staatssecretaris begrijpt wat ik bedoel, namelijk dat we wellicht andere vormen kunnen vinden om goede mensen binnen te halen.

Staatssecretaris Van Huffelen:

Het voorstel is om een korte brief te sturen met een reactie op hoe we daarmee omgaan en hoe we de kwalificaties van mensen toetsen in het kader van het aannemen van zo veel mogelijk hooggekwalificeerde mensen.

De voorzitter:

Dank u wel. Dan noteren we dat aldus.

Hiermee zijn we gekomen aan het einde van deze vergadering. Ik bedank de leden en uiteraard de Staatssecretaris, de regeringscommissaris, de heer Zuurmond, en de ondersteunende ambtenaren die de Staatssecretaris uiteraard voorafgaand aan het debat maar ook tijdens het debat hebben geholpen. Dank allemaal. Dank ook aan de staf aan deze kant. En dank aan de kijkers thuis.