Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 1 juni 2018

Hierbij ontvangt u de halfjaarlijkse voortgangsrapportage IT, zoals toegezegd in de brief van 28 augustus 2015 (Kamerstukken 31 125 en 31 460, nr. 61). In deze rapportage informeer ik u over de stand van zaken van de vernieuwing van de IT voor zover die is gewijzigd ten opzichte van de vorige rapportage van 20 december 2017 (Kamerstuk 31 125, nr. 79). In de volgende voortgangsrapportage IT zal ik ook nadrukkelijker de verbinding leggen met de maatregelen voortkomend uit de Defensienota (Kamerstuk 34 919, nr. 1).

IT-vernieuwing

Voortgang en planning

De aanbesteding van de nieuwe IT-infrastructuur vordert gestaag. Het integrale functionele ontwerp is afgerond. GrIT is voor de tweede maal beoordeeld door het Bureau ICT Toetsing (BIT). Op 11 mei jl. heb ik u geïnformeerd over de uitkomsten van deze toets (Kamerstuk 31 125, nr. 84). Kortheidshalve verwijs ik naar deze brief.

Parallel aan de toetsing door het BIT is verder gewerkt aan het technische deel van de dialoog met de deelnemers. In dit tweede deel van de dialoog concretiseren beide deelnemers het ontwerp op basis van de in de eerste stap vastgestelde functionele eisen en wensen. Dit technische deel zal naar verwachting juni 2018 worden afgesloten. Gelijktijdig aan de technische dialoog vinden de contractbesprekingen plaats. In deze fase worden de aanbevelingen van het BIT ingepast. Daarna volgt een contract- en gunningsfase, die naar schatting nog zeker drie maanden in beslag zal nemen. De gunning (stap 5 in het onderstaande schema) zal pas plaatsvinden nadat ik u hierover heb geïnformeerd. Ik verwacht dat dit in het vierde kwartaal van 2018 zal zijn. Nadat het contract is afgesloten kan de geselecteerde marktpartij starten met de realisatie. Het onderstaande schema illustreert de planning zoals we die nu voor ogen hebben.

Risico’s

De twee IT-uitvoeringsorganisaties van de Defensie Materieel Organisatie (DMO), het Joint InformatievoorzieningsCommando (JIVC) en het agentschap Operations (OPS) worden samengevoegd tot één IT-bedrijf. Daarbij wordt het agentschap OPS per 31 december 2018 opgeheven. Recent is in het overleg met de bonden over de reorganisatie van DMO overeenstemming bereikt over het vervolgen van het reorganisatietraject om JIVC en OPS samen te voegen. Het reorganisatieplan wordt binnenkort voorgelegd aan de medezeggenschap voor advies. Het reorganisatieplan voor de oprichting van de regieorganisatie voor de nieuwe IT-infrastructuur is nog niet behandeld in het overleg met de bonden. De planning is dat dit op afzienbare termijn geschiedt.

Daarnaast is een aandachtspunt het beschikbaar hebben van voldoende gekwalificeerd personeel. De beheersbaarheid van de realisatie van de nieuwe infrastructuur en de migratie van de applicaties hebben tevens mijn nadrukkelijke aandacht. Met de nieuwe aanpak zoals geadviseerd door het BIT wordt de migratie in kleinere stappen verdeeld. Daarmee wordt de migratie beter beheersbaar, zoals ik u in de brief van 11 mei jl. heb laten weten (Kamerstuk 31 125, nr. 84).

Financiën GrIT

In het algemeen overleg over IT van februari 2017 (Kamerstuk 31 125, nr. 75) is uitgebreid gesproken over de financiële ruimte voor investeringen in IT en is gezegd dat hiervoor te weinig budget was geraamd. Met de Defensienota is in het investeringsplan ruimte gecreëerd voor een structurele reeks voor IT-investeringen, waardoor ook in de dekking van de uitgaven voor de vernieuwing van de IT is voorzien.

Defensie krijgt stapsgewijs meer inzicht in de financiën van GrIT, zoals eerder aangegeven in vorige voortgangsrapportages. Hoe dichter we bij de gunning komen, hoe beter het inzicht in de kosten wordt. Naarmate we meer inzicht krijgen, wordt de business case verfijnd en wordt de reservering voor de IT-vernieuwing aangepast. Voor een aantal kostenposten is de afgelopen jaren al een reservering gemaakt. Over de omvang van de reservering bent u in de voortgangsrapportages en in de begroting geïnformeerd.

De afgelopen maanden is een belangrijke stap in dit proces gezet, omdat op basis van de functionele dialoog en de aangeleverde budgettaire offertes een eerste inschatting door de leveranciers is gemaakt van de kosten. Deze zijn grondig intern en extern geanalyseerd en een aantal posten zal ik, zoals ik in mijn brief over het BIT-advies heb gemeld, nog nader bekijken. Desalniettemin is voor het eerst concreet zicht gekomen op de financiële consequenties van het project. Op basis van de cijfers die nu bekend zijn, blijkt dat de oorspronkelijke reservering niet volstaat. Deze is daarom verhoogd uit de middelen uit de Defensienota. Daarbij wil ik opmerken dat we in dit stadium de definitieve offertes voor de uiteindelijke gunning nog niet hebben ontvangen. Deze volgen pas bij definitieve inschrijving door de partijen.

Waar Defensie in het High Level Ontwerp uit 2015 (Kamerstuk 31 125, nr. 57) het gebruik van externe datacenters niet uitsloot, is uit beveiligingsoverwegingen – mede op advies van de MIVD – besloten om de datacenters en een uitwijkvoorziening zelf te gaan bouwen op militaire locaties. Dit vereist een aanzienlijke extra investering. De eenmalige kosten bestaan met name uit:

• • Kosten voor nieuwbouw datacenters;

• • Kosten voor de migratie van de applicaties (met name personele inzet door marktpartij en intern personeel);

• • Opleidingskosten ten behoeve van defensiepersoneel.

Dit heeft ook effect op de exploitatie van de nieuwe IT. Het bedrag dat daarvoor beschikbaar was, is eveneens uit de middelen van de Defensienota opgehoogd. Hieruit worden onder meer betaald:

• • het contract met de leverancier;

• • het personeel van Defensie dat samen met de leverancier gaat werken;

• • de regieorganisatie voor aansturing van de samenwerking.

Omdat de aanbesteding nog loopt, wordt u in een commercieel vertrouwelijke bijlage geïnformeerd over de omvang van de reservering1.

Aanpak onvolkomenheden IT

In het Verantwoordingsonderzoek 2017 (Kamerstuk 34 950 X, nr. 2) heeft de Algemene Rekenkamer geconstateerd dat de onvolkomenheid in het autorisatiebeheer is opgelost. In het IT-beheer en de informatiebeveiliging is in 2017 sprake van voortgang respectievelijk verbetering, maar worden de onvolkomenheden nog gehandhaafd.

Als het gaat om het IT-beheer verwijs ik u naar hetgeen ik in deze brief schrijf over IT-vernieuwing en mijn brief van 11 mei jl. over de uitkomsten van de BIT-toets (Kamerstuk 31 125, nr. 84). Het programma GrIT is gericht op het realiseren van een toekomstvaste IT-infrastructuur. De aanbeveling van de Algemene Rekenkamer om de meerkosten door het later infaseren van GrIT zichtbaar te maken in de halfjaarlijkse voortgangsrapportages IT, zal ik met ingang van de volgende rapportage overnemen. Ook in de door de Algemene Rekenkamer aanbevolen kosten-batenanalyse is voorzien. In het programma wordt een business case opgesteld, inclusief de migratiekosten en de personele kosten van de samenwerking met de markt.

Bij de informatiebeveiliging zijn de dossiervorming bij de 14 kritieke systemen en de sturing op de informatiebeveiliging verbeterd. De resterende verbeterplannen zullen, conform de aanbeveling van de Algemene Rekenkamer, worden uitgevoerd. Het accreditatie-beleid is herzien. In het nieuwe beleid wordt, binnen de Navo-richtlijnen, meer focus aangebracht in de te accrediteren systemen. Daarmee wordt beter gestuurd op de risico’s en wordt tevens de bestuurbaarheid verbeterd. Het – waar nodig – actualiseren van de accreditatie van kritieke systemen wordt in 2018 en 2019 ter hand genomen.

Tot slot

Een hoogwaardige IT is essentieel voor Defensie. Dat kan Defensie niet alleen realiseren, maar doet zij in nauwe samenwerking met de markt. Een innovatief traject als GrIT kent risico’s. Defensie is zich daar goed van doordrongen en mitigeert deze risico’s waar mogelijk. Door in kleine behapbare stapjes te werken, zonder het grote plan uit het oog te verliezen – «Think big, act small» – blijft het traject beheersbaar. Op deze manier komen we steeds dichterbij het moment waarop gestart kan worden met de bouw van de nieuwe IT-infrastructuur, nieuwe applicaties hierop kunnen landen en de eerste bestaande applicaties kunnen worden overgezet naar de nieuwe omgeving. Defensie zorgt zo voor een IT-voorziening waarbij continuïteit, beveiliging, interoperabiliteit en innovatie hoog in het vaandel staan. Hiermee wordt een solide basis gelegd voor de ontwikkelingen in het cyber- en informatiedomein die ons staan te wachten en in de Defensienota een prominente plaats innemen. En hiermee wordt recht gedaan aan het uitgangspunt dat IT een hoofdwapensysteem van Defensie is geworden. In de volgende voortgangsrapportage zal ik u verder informeren over de voortgang.

De Staatssecretaris van Defensie, B. Visser