Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 november 2020

Inleiding

Op grond van het huidige en toekomstige dreigingsbeeld moet Defensie nog meer informatiegestuurd kunnen optreden en weerbaar zijn tegen digitale dreigingen. Technologie en het slim gebruiken van informatie spelen hierbij een cruciale rol. Uit deze noodzaak vloeit het programma Grensverleggende IT (GrIT) voort dat voorziet in de vernieuwing van de IT-ruggengraat voor Defensie. Over de noodzaak en het belang van een nieuwe IT-infrastructuur voor Defensie bestaat geen twijfel. GrIT ontwikkelt en realiseert betrouwbare, veilige, toekomstbestendige en flexibele IT-infrastructuur voor de komende tien jaar die de defensieorganisatie in staat stelt informatiegestuurd te werken en de haar opgedragen taken effectief uit te voeren. Deze noodzakelijke vernieuwing is cruciaal in de doorontwikkeling van Defensie als informatiegestuurde organisatie. Hiertoe is een aanbesteding gestart gericht op de vernieuwing van de IT-infrastructuur van Defensie in scope van het programma GrIT, waarbij na de vernieuwing van de IT-infrastructuur ook de IT-dienstverlening door de leverancier in samenwerking met Defensie in gemengde teams en onder verantwoordelijkheid van de leverancier worden geleverd. Door de samenwerking met de markt kan Defensie beschikken over innovatieve IT en kan Defensie flexibel op- en afschalen in de dienstverlening.

Onlangs heeft het Bureau ICT-toetsing (BIT) mij het vierde advies over het programma GrIT toegezonden1. Dit advies volgt op de eerdere adviezen die het BIT over dit programma in juni 2016 (Kamerstuk 31 125, nr. 68), in mei 2018 (Kamerstuk 31 125, nr. 84) en juli 2019 (Kamerstuk 31 125 nr. 104) heeft uitgebracht. In het Algemeen Overleg IT van 13 juni 2018 (Kamerstuk, 31 125, nr. 89) heb ik uw Kamer toegezegd dat ik de definitieve business case vertrouwelijk aan uw Kamer zou voorleggen voordat tot de beoogde gunning van het programma GrIT wordt overgegaan. Echter, vanwege de lopende inkoopprocedure van het programma GrIT doe ik u de concept definitieve business case toekomen, inclusief de wijze waarop Defensie dit programma inpast in haar begroting, als commercieel vertrouwelijke (cv) bijlage bij deze brief2. Na het versturen van de Uitnodiging tot Inschrijving (UtI) zijn de juridische mogelijkheden beperkt om niet tot definitieve gunning over te gaan. Vanwege mijn toezegging om geen onomkeerbare stappen te doen, stuur ik u daarom de concept definitieve business case toe. Na de definitieve gunning informeer ik uw Kamer over de definitieve business case.

Met deze brief informeer ik u over het vierde BIT-advies en mijn reactie daarop. Tevens informeer ik u over de business case en financiële inpasbaarheid van het programma GrIT. Ik verzoek uw Kamer deze brief in het AO GrIT van 10 december a.s. te behandelen zodat na de bespreking over gegaan kan worden tot een uitnodiging tot inschrijving.

In de derde voortgangsrapportage Operatie inzicht in Kwaliteit (Kamerstuk 31 865, nr. 168) van de Minister van Financiën is opgenomen dat er vanaf 1 juni tot en met 31 december 2020 een pilot plaatsvindt. Deze houdt in dat brieven met (kans op) significante financiële gevolgen worden voorzien van een bijlage waarin wordt aangegeven hoe de onderdelen van Comptabiliteitswet artikel 3.1 worden vormgegeven. Gezien de financiële omvang van het programma GrIT is bij deze brief een bijlage opgesteld. Deze is vormgegeven conform het format zoals gepresenteerd in de derde voortgangsrapportage, bijlage 5.

Proces sinds vorige BIT-toets

Op 2 juli 2019 (Kamerstuk 31 125, nr. 104) informeerde ik u dat het BIT concludeerde dat Defensie nog niet klaar was om tot gunning over te gaan. Volgens het BIT was Defensie te weinig tegemoetgekomen aan drie van haar eerdere aanbevelingen:

• 1. verdeel het werk in kleinere beheersbare brokken;

• 2. koppel nieuw werk aan feitelijk succes van de leverancier;

• 3. creëer de mogelijkheid nieuwe leveranciers te introduceren.

Ook vond het BIT dat Defensie nauwelijks mogelijkheden had om stijgende kosten te beheersen.

Als antwoord op het BIT-advies heb ik een pauze ingelast van het programma GrIT en ben ik een heroverwegingstraject gestart (Kamerstuk 31 125, nr. 104). In dit heroverwegingstraject heeft Defensie twee hoofdscenario’s gedefinieerd en heeft op basis van een afwegingskader een keuze gemaakt voor één hoofdscenario. In dit hoofdscenario zijn de aanbevelingen van het BIT binnen de huidige aanpak van de aanbesteding geaccommodeerd.

Dat betekent dat Defensie sterker stuurt op het creëren van waarde voor de organisatie ondere andere met een nieuwe flexibele blokkenplanning. Het realiseren van de vernieuwing van de IT-infrastructuur door het consortium over de contractperiode van tien jaar vindt plaats in beheersbare afzonderlijke blokken (42). Een blok is een bundeling van werkpakketten (resultaat) dat onder verantwoordelijkheid van het consortium in samenwerking met Defensie wordt gerealiseerd. De blokken worden in een met de defensieonderdelen afgestemde volgorde gerealiseerd. Elke realisatie van een blok vindt plaats op basis van een uitvoeringsplan, opgesteld door het consortium. De blokken hebben direct toegevoegde waarde voor de defensieonderdelen. Defensie noemt dit de «blokkenplanning».

Vanuit het oogpunt van financiële beheersing zijn er diverse maateregelen getroffen, zie tevens de concept definitieve business case. Zo zijn de risico’s die Defensie loopt beheersbaar gemaakt door in het concept contract diverse waarborgen in te bouwen die Defensie beschermen tegen oplopende kosten. Defensie heeft stuurmiddelen geintroduceerd om prestaties van de leverancier af te dwingen, zo kan Defensie bijvoorbeeld het contract op elk moment gedurende de contractperiode door opzegging geheel of gedeeltelijk beëindigen met inachtneming van een opzegtermijn van drie maanden. Tevens is contractueel bepaald dat Defensie, indien zij dat wenst, vervangende onderaannemers kan inschakelen.

De kosten van de afzonderlijke blokken zijn mede op basis van de door het consortium opgeleverde prijsspecificatie geprijsd, zodat nu reeds een goede inschatting van de kosten per blok kan worden gemaakt. Alvorens de blokken in opdracht te geven, zal door het consortium voor ieder blok een nader gedetailleerd uitvoeringsplan worden opgesteld waarbij vooraf op de hoogte van de financiële vergoeding wordt getoetst. Als de door het consortium gevraagde vergoeding hoger is dan de ten tijde van contractering overeengekomen vergoedingen, staat het Defensie vrij om het betreffende blok aan een derde leverancier in opdracht te geven.

Defensie heeft voorts in alle afzonderlijke blokken en werkzaamheden tussenmijlpalen3 opgenomen, waarbij zeker is gesteld dat bij iedere betaling voor een tussenmijlpaal een toegevoegde waarde voor Defensie wordt geleverd die ook bij het tussentijds beëindigen van het blok bruikbaar is voor Defensie. Op deze wijze beschikt Defensie over een werkwijze waarbij contractueel een goede prestatieprikkel voor het consortium aanwezig is.

Verder is in het contract vastgelegd dat de vergoedingen die het consortium aan Defensie in rekening brengt op verzoek van Defensie onderbouwd moeten worden op basis van zogenaamde open book principes. Dit betekent dat het consortium voor de onderbouwing van vergoedingen Defensie alle relevante informatie en documenten die verband houden met de vergoedingen ter beschikking moet stellen. Ook heeft Defensie te allen tijde het recht tot het (laten) uitvoeren van financiële audits bij het consortium. Bovendien kan Defensie zo nodig benchmarks uit laten voeren om de hoogte van de vergoeding te toetsen aan marktconformiteit.

Tot slot zijn in het contract bepalingen opgenomen waarbij Defensie gerechtigd is percentages van de gevraagde vergoeding niet te betalen indien het consortium gedurende één of meer maanden de bodemwaarde van één of meer prestatieniveaus niet heeft behaald. Het consortium is daarnaast zonder aanmaning, ingebrekestelling of andere voorafgaande verklaring een onmiddellijk opeisbare boete verschuldigd indien producten te laat worden opgeleverd.

BIT-advies

Op het gekozen hoofdscenario is door BIT in de periode van juli 2020 tot en met september 2020 een BIT-toets uitgevoerd op basis van onder andere de concept contractstukken, de blokkenplanning en de concept business case. De concept definitieve business case als commercieel vertrouwelijke bijlage bij deze brief wijkt qua financiële cijfers niet af van de aan het BIT aangeboden concept business case.

De hoofdconclusie op basis van het door BIT uitgevoerde onderzoek is positief en heeft de volgende conclusies:

• • de risico’s van GrIT zijn beter beheersbaar;

• • de opzet van de blokkenplanning sluit aan bij de prioriteiten van de defensieonderdelen;

• • Defensie beschikt met de nieuwe aanpak over belangrijke mogelijkheden om zowel inhoudelijk als financieel te sturen.

Ik ben verheugd over deze conclusies.

Het BIT stelt terecht dat de ambitie, door het kort na elkaar starten van veel blokken, hoge eisen stelt aan het opdrachtgeverschap van Defensie. Voor de volgende fase van GrIT doet het BIT een aantal aanbevelingen, die ik overneem en hieronder verder zal toelichten, gericht op de aanpassing van de governance en versterking van de regie. Tevens doet het BIT-aanbevelingen om de overeenkomst op een enkel punt verder te expliciteren.

1. Zorg voor een effectieve governance binnen Defensie

Ik onderschrijf de aanbeveling van het BIT voor een effectieve en passende governance voor de volgende fase van GrIT en neem deze over, waarbij deze governance niet beperkt wordt tot het programma GrIT. Het BIT merkt terecht op dat het noodzakelijk is dat defensieonderdelen evenwichtig zijn vertegenwoordigd binnen de GrIT-governance. Defensie is inmiddels gestart om de GrIT-governance van de contracteringsfase te evalueren. De uitkomsten hiervan worden ook betrokken bij het vaststellen van de GrIT-governance voor de volgende fase (realisatiefase). Deze fase start nadat het contract definitief is gegund.

Voor de in te richten GrIT-governance worden defensiebreed de onderstaande drie niveaus onderscheiden. Het besturingsmodel van Defensie, waarin beleid, aansturing van de uitvoering, uitvoering en toezicht worden onderscheiden, is hierbij leidend:

• a. Op het hoogste niveau wordt een overleg ingericht waar alle stakeholders, inclusief de defensieonderdelen, zijn vertegenwoordigd. Dit overleg bewaakt de samenhang van het volledige IT-landschap, applicaties én infrastructuur (oud én nieuw). Het overleg krijgt doorzettingsmacht ten behoeve van snelle besluitvorming om de realisatie van de ambitieuze blokkenplanning waar te maken. Op dit niveau worden de business cases en baten bewaakt en wordt het risicomanagement, niet alleen voor GrIT, maar ook in relatie tot andere projecten ingericht. Dit overleg is vergelijkbaar met het door het BIT genoemde centraal stuurorgaan;

• b. Op Programmaniveau vindt de aansturing en bewaking van de onderliggende GrIT-projecten in samenhang plaats waarbij alle defensieonderdelen zijn betrokken. Op dit niveau zal ook de quality assurance4 een prominente plaats krijgen, zie tevens mijn reactie op de BIT-aanbeveling ten aanzien van de centrale regie (punt 2.e). De positionering van quality assurance is onafhankelijk van de opdrachtnemer en rapporteert aan de opdrachtgever van GrIT;

• c. De governance binnen de (deel)projecten van het programma GrIT is gericht op de uitvoering van de realisatie, migratie en implementatie van het volledige IT-landschap, applicaties én infrastructuur (oud én nieuw).Rekening houdend met de aanbevelingen in het rapport «Gescheiden Werelden» (Kamerstuk 31 125, nr. 110) en de aanbevelingen van het BIT, zal ik de nieuwe effectieve en passende governance voor de realisatiefase van GrIT nader uitwerken en implementeren.

2. Zorg dat Defensie centraal regie kan voeren op de gehele overeenkomst

De aanbevelingen van het BIT over de centrale regie onderschrijf ik en neem ik over, de volgende maatregelen zijn daarbij voorzien:

• a. De opdrachtnemer is integraal verantwoordelijk voor de realisatie en migratie van de IT-infrastructuur. Hij krijgt het daartoe noodzakelijke mandaat om deze verantwoordelijkheid te kunnen dragen en snel en adequaat te kunnen reageren. Ter ondersteuning van de opdrachtnemer richt Defensie een multidisciplinair team in. In dit team is alle benodigde complementaire specialistische kennis en ervaring (zoals HR, financiën & control, inkoop, etc.) vertegenwoordigd waarmee de integrale aansturing van het consortium mogelijk is. Het team focust zich op de inhoudelijke vernieuwing van de IT-infrastructuur en omvat alle voor een effectieve regie noodzakelijke aspecten.

• b. De doorzettingsmacht door de opdrachtnemer om binnen de defensieonderdelen tijdig verplichtingen na te kunnen komen, zoals het mobiliseren van noodzakelijke menskracht bij de uitvoering van een blok, wordt ingericht met inachtname van het besturingsmodel van Defensie.

• c. De benodigde expertise op het gebied van regievoering is reeds aanwezig maar wordt deels ingevuld met externe inhuur. Mijn ambitie is het team te versterken met eigen medewerkers in vaste dienst die ervaring hebben met complexe, omvangrijke IT-outsourcingcontracten in de verschillende fases van een outsourcingstraject. De werving voor expertise loopt en hiervoor is een werving- & selectiebureau ingezet. Hierbij zal nadrukkelijk aandacht zijn voor het door het BIT genoemde aspect van inhoudelijke regievoering op de uitvoering en exploitatie. Zolang echter Defensie nog niet kan beschikken over deze aanvullende capaciteit, zal het gebruik blijven maken van externe inhuur voor de eerste activiteiten van het programma.

• d. Defensie zal daarnaast aanvullende expertise aantrekken om de aanwezige interne expertise binnen het architectenteam te versterken met «landschapsdenkers». Aanvullend zal op het aspect enterprise architectuur5 extra expertise op centraal niveau worden aangetrokken.

• e. Binnen de nieuw in te richten GrIT-governance voor de volgende fase is positionering van quality assurance voorzien op programmaniveau, onafhankelijk van de opdrachtnemer en rapporterend aan de opdrachtgever. Quality assurance wordt onder meer belast met de verantwoordelijkheid voor het toetsen van uitvoeringsplannen en het actueel zijn van documentatie. Ook de controle of defensiemedewerkers tijdig en voldoende worden opgeleid om zelfstandig beheertaken uit te kunnen voeren bij een gedeeltelijke of gehele exit (zie volgende punt) behoort tot de verantwoordelijkheid van quality assurance.

• f. De waarborgen in de samenwerkingsovereenkomst zijn ook belangrijk voor de situatie dat de samenwerking niet tot stand komt of wordt beëindigd. Bij het contract wordt een aparte bijlage ten behoeve van een eventuele exit gevoegd. In deze bijlage zijn de aspecten die samenhangen met een gedeeltelijke of gehele exit contractueel geregeld. Dit bevat onder meer de financiële afwikkeling van een exit en de voorwaarden die van toepassing zijn bij een exit. Daarnaast zal Defensie zorgen voor terugvalopties om tijdig te kunnen voorzien in extra capaciteit die ingezet kan worden bij een exit. Binnen Defensie is het multidisciplinair regieteam verantwoordelijk voor de voorbereiding op het kunnen inroepen van de relevante voorzieningen in de overeenkomst. Hiermee zijn de randvoorwaarden ingevuld voor een gedeeltelijke of gehele exit.

3. Expliciteer de intenties in het contract

Op dit punt heeft Defensie inmiddels actie genomen en de overeenkomst aangepast.

• a. Ten aanzien van het «afroepen» van blokken zijn in het concept contract diverse artikelen aangescherpt waardoor in het contract een schriftelijke vastlegging is geborgd van de overeengekomen afspraken over het onthouden van uitvoeringsopdrachten en het toekennen van de opdrachten aan een derde partij.

• b. Het advies van het BIT om pas na de oplevering en acceptatie van de initiële realisatie van een blok over te gaan tot volledige betaling, de door het BIT genoemde 100%, is eerder tijdens de onderhandelingen besproken. Echter, dit is volgens onze externe adviseurs niet marktconform en niet haalbaar gebleken. Om toch invulling te geven aan dit advies heeft Defensie een beperkt aantal tussenmijlpalen opgenomen waarbij zeker is gesteld dat bij iedere betaling voor een tussenmijlpaal een toegevoegde waarde voor Defensie wordt geleverd die ook bij het tussentijds beëindigen van het blok bruikbaar is voor Defensie. Op deze wijze beschikt Defensie over een haalbare werkwijze waarbij de prestatieprikkel voor het consortium aanwezig is.

Dit resulteert erin dat het contract een samenwerkingsovereenkomst is tussen Defensie en de leverancier waarbij zowel de vernieuwing van de IT-infrastructuur van Defensie, in scope van het programma GrIT, als de aan de nieuwe IT verbonden dienstverlening door de leverancier in samenwerking met Defensie als dienst aan Defensie wordt geleverd. De leverancier neemt de verplichting op zich om de realisatie van de nieuwe IT en de aansluitende IT-dienstverlening geleidelijk via een opgestelde blokkenplanning te realiseren via de inzet van gemengde teams. In de gemengde teams werken medewerkers van Defensie en medewerkers van de leverancier samen onder verantwoordelijkheid van de leverancier. Het contract heeft een doorlooptijd van tien jaar met aansluitend de mogelijkheid voor Defensie om het contract vijf keer twee jaar te verlengen.

Ondanks alle waarborgen zijn er uiteraard risico’s geïdentificeerd in het programma. De belangrijkste risico's van het contract voor Defensie betreffen het onvoldoende in staat zijn om de regie te voeren over de gefaseerde IT-vernieuwing en het ontstaan van contractuele geschillen als gevolg van een verschillende interpretatie van de intent van de contractuele afspraken waardoor de samenwerking in de knel kan komen. Ten slotte zal Defensie de baten van de IT-vernieuwing moeten realiseren om te voorkomen dat beoogde baten niet of slechts gedeeltelijk worden gerealiseerd. Een sterke regie met eigen mensen, het minimaliseren van de dubbele beheerlasten door het tijdig uitzetten van de huidige IT en een effectieve inrichting van de governance en slagvaardige besluitvorming met doorzettingsmacht zijn voorzien om deze risico's te mitigeren

4. Vervolg BIT-toetsen

Tot slot adviseert het BIT Defensie om de volgende blokken, al dan niet in groepen, aan te melden voor een BIT-toets. Ik zal de blokken separaat of in groepen van blokken aanbieden ter toetsing door het BIT. Op basis van complexiteit, tijd en financieel volume kan het BIT, in afstemming met Defensie, vervolgens bepalen welke blokken relevant zijn om een BIT-toets uit te voeren. Ik informeer uw Kamer over de BIT-toetsen en mijn reactie daarop.

Vervolgstappen

Na bespreking in het AO GrIT van 10 december 2020 met uw Kamer kan Defensie over gaan tot verzending van een uitnodiging tot inschrijving aan het consortium. Het consortium biedt vervolgens haar offerte (inschrijving) aan en na een positieve beoordeling van de offerte zal Defensie overgaan tot voorlopige gunning. Na de bijbehorende financiële goedkeuringstrajecten zal ondertekening van het contract plaatsvinden.

Het geheel van werkzaamheden voor de vernieuwing van de IT-infrastructuur is opgedeeld in blokken die separaat in opdracht worden gegeven. Voor de komende 1,5 jaar ziet dat er als volgt:

• 1. Defensie zal op het moment van tekenen van het contract ook het eerste uitvoeringsplan, de bouw van de nieuwe datacenters, in opdracht geven. Voor de volgende blokken TITAAN6 en verbeterde communicatie mogelijkheden op de toekomstige werkplek zal Defensie opdracht geven voor het opstellen van uitvoeringsplannen. De redenen om met deze blokken te starten, is dat Defensie hiermee de basis creëert voor GrIT maar vooral omdat hier de grootste behoefte aan de vernieuwing van de IT-infrastructuur van onze Krijgsmacht ligt.

• 2. Vervolgens worden de blokken gerealiseerd waarmee de eerste opzet van de private cloud voor Defensie beschikbaar is met daarop werkende applicaties. Daarnaast wordt het zogenaamde Private Core Network gerealiseerd waarmee Defensie in staat is om op een moderne en veilige manier met de NAVO-partners te communiceren volgens de nieuwe standaarden. Ook worden de operationele communicatiemogelijkheden binnen Defensie verbeterd via de blokken operational chat en critical communciations. Via de vervanging van het persoonsgebonden identity management wordt de veilige en gecontroleerde toegang tot de defensie infrastructuur gemoderniseerd.

Via het Rijks ICT-dashboard en het Defensie Projectenoverzicht zal ik uw Kamer informeren over de realisatie van de blokkenplanning en de algehele voortgang van het programma GrIT.

Tot slot

Defensie wacht een uitdagende en forse klus om te zorgen dat de overeenkomst in de praktijk ook gaat opleveren wat ermee wordt beoogd: een state-of-the-art IT-infrastructuur die de basis vormt voor het IT-landschap van Defensie. Ik ben mij daar terdege van bewust. Met de reeds ingezette en voorziene maatregelen is mijn stellige overtuiging dat Defensie klaar is voor de volgende stap.

Ik ben voornemens het contract met het consortium eind 2020 te ondertekenen. Vervolgens starten de werkzaamheden (realisatiefase) in het eerste kwartaal van 2021. Met het oog op de voortgang van het programma verzoek ik de Kamer deze brief te betrekken bij het AO GrIT dat op 10 december 2020 is geagendeerd.

De Staatssecretaris van Defensie, B. Visser