Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 11 mei 2018

Hierbij stuur ik u het advies van Bureau ICT-toetsing (BIT) over het programma Grensverleggende IT (GrIT)1 en mijn reactie daarop. Ik ga eerst in op het doel van GrIT en het vorige BIT-advies, vervolgens bespreek ik het advies in algemene zin en tot slot de aanbevelingen.

Doel GrIT

Defensie heeft in 2014 geconstateerd dat vernieuwing van haar IT dringend noodzakelijk is. Ook de Algemene Rekenkamer spoorde in haar verantwoordingsonderzoeken de afgelopen jaren Defensie aan de IT zo snel mogelijk toekomstvast te maken.

Met GrIT legt Defensie hiervoor de basis door vernieuwing van de IT-infrastructuur, bestaande uit datacenters, netwerken, werkplekken en voorzieningen voor beheer en beveiliging. GrIT strekt zich uit over zowel de generieke IT, zoals die ook in andere organisaties in met name kantooromgevingen voorkomt, als de militair-specifieke IT, waaronder de IT van commandoposten en schepen in operationele omgevingen. Het historische onderscheid hiertussen is aan het vervagen. GrIT beslaat voorts zowel de laag als de hoog-gerubriceerde IT-infrastructuur. Defensie streeft in al deze domeinen een uniform opgezette IT-infrastructuur na.

Defensie heeft marktpartijen nodig om alle ontwikkelingen te volgen en door te vertalen naar moderne IT die de operationele inzet en bedrijfsvoering optimaal ondersteunt. Een marktpartij kan veel beter dan Defensie ooit zelf zal kunnen, de innovatie volgen en de kosten laag houden. Daarom kiest Defensie met GrIT voor een intensieve samenwerking met de markt, waarbij Defensie wel zelf de regie houdt. Deze vorm van publiek-private IT-samenwerking op deze schaal is nieuw in Nederland. Het is geen outsourcing in klassieke zin, maar een vorm van langdurige samenwerking die aansluit bij het concept van de adaptieve krijgsmacht (Kamerstuk 33 763, nr. 136). Defensie steunt bij de vormgeving van dit proces op analyses van de eigen IT-situatie, uitvoerig overleg met IT-brancheverenigingen en bestudering van andere case studies. Bovendien laat Defensie zich intensief ondersteunen door externe experts. De adviezen van het BIT leveren ons daarbij een waardevolle bijdrage.

Op 20 december 2017 (Kamerstuk 31 125, nr. 79) informeerde ik u dat het aanbestedingsproces in volle gang is. Daarin heeft Defensie gekozen voor een nieuwe aanpak op basis van een dialoog. Eind 2016 zijn hiervoor twee marktpartijen geselecteerd. Aan het eind van deze dialoog zal één van hen als hoofdaannemer worden gecontracteerd. De dialoog kent twee delen: een functionele dialoog en een technische dialoog. In de functionele dialoog is het integrale functioneel ontwerp met beide partijen besproken en vastgesteld. Het bureau Gartner heeft dat ontwerp in een second opinion als positief beoordeeld. Tevens is met steun van de Landsadvocaat een conceptcontract opgesteld. De uitkomst van deze fase is nu aan het BIT voorgelegd. Daarmee werd gevolg gegeven aan één van de aanbevelingen van het eerdere advies van het BIT over de programma-opzet, die u toekwam op 21 juni 2016 (Kamerstuk 31 125, nr. 68). Het voorliggende BIT-advies is dus opgesteld terwijl de dialoog nog gaande is. De bevindingen van BIT worden verwerkt in het technische deel van de dialoog. Daarin zullen beide partijen het ontwerp concretiseren op basis van de vastgestelde functionele eisen en wensen.

Eerdere BIT-advies

Defensie heeft alle aanbevelingen overgenomen en opgepakt, maar nog niet in alle gevallen volledig kunnen uitvoeren. Aanbeveling 1 is momenteel, zoals gepland, nog onderwerp van de dialoog. De aanbevelingen 2 tot en met 4 zijn inmiddels uitgevoerd. De realisatie van aanbeveling 5 bleek tot nu toe niet mogelijk vanwege complicaties in het overleg tussen Defensie en de bonden die inhoudelijk niet gerelateerd zijn aan GrIT.

Algemeen

Het BIT onderschrijft in beide adviezen dat Defensie moet investeren in IT-infrastructuur en daarvoor hulp zoekt bij een leverancier. Het BIT is kritisch over de aanpak van het programma en wijst op een aantal risico's. Defensie onderschrijft deze risico’s. Bij een grootschalige vernieuwing van de IT-infrastructuur zijn bepaalde risico's onvermijdelijk. Daarom is van belang hoe deze risico's worden beschreven, gemitigeerd en beheerst. Het BIT doet daartoe waardevolle aanbevelingen die ik dan ook zonder meer kan overnemen.

De aanbevelingen zijn goed in te passen in de benadering waarvoor Defensie heeft gekozen. Zij geven mij daardoor geen aanleiding om te kiezen voor een fundamenteel andere tactiek van de aanpak van het programma. In deze fase van de aanbesteding overgaan op een andere aanpak zou bovendien een groot risico vormen voor de succesvolle afronding van dit traject en daarmee voor de vernieuwing van de IT. De dialoog nadert zijn voltooiing en Defensie kan juridisch gezien niet fors gaan afwijken van de in de aanbestedingsdocumenten vastgelegde aanpak.

Ik hecht eraan nog stil te staan bij de uitspraak van het BIT dat er sprake zou zijn van een aanzienlijke kapitaalvernietiging, omdat grote delen van de bestaande IT-infrastructuur voor LGI worden vervangen voor het einde van hun technische of economische levensduur. Het BIT lijkt daarmee echter voorbij te gaan aan de bevindingen uit eerdere externe onderzoeken en het oordeel van de Algemene Rekenkamer, dat de huidige IT-infrastructuur van Defensie onvoldoende toekomstvast is. Dit jaar heeft een extern adviesbureau, dat ook betrokken was bij de onderzoeken in 2014, geconcludeerd dat op grond van de genomen interim--maatregelen de continuïteit van de huidige generieke IT-infrastructuur voor de komende drie jaar is gewaarborgd, maar dat er daarna aanvullende maatregelen nodig zijn. Hieruit blijkt dat de investeringen noodzakelijk zijn en toegevoegde waarde hebben.

Hieronder sta ik stil bij de aanbevelingen van BIT en hoe hieraan opvolging wordt gegeven.

1. Verdeel het werk in kleinere, meer beheersbare «brokken»

Het BIT adviseert Defensie te beginnen met de bouw van de nieuwe datacenters en de leverancier opdracht te geven om nieuwe IT in kleine en beheersbare «brokken» op te leveren. Die brokken dienen onmiddellijk waarde toe te voegen voor de bedrijfsvoering, de operationele inzet of op terreinen waar zich concrete IT-problemen voordoen.

Dit advies sluit aan bij de inzichten van Defensie en wordt overgenomen. Dit betekent dat de eerdere planning in drie deelleveranties (leverantie 1 – statisch laag gerubriceerde informatie (LGI), leverantie 2 – statisch hoog gerubriceerde informatie (HGI) en leverantie 3 – ontplooid LGI/HGI) is losgelaten. Er wordt een fijnmazigere planning opgesteld op basis van een integraal ontwerp en de te migreren toepassingen. Dat nemen we uiteraard ook mee in het contract met de leverancier.

Daarvoor is het wel noodzakelijk dat eerst het fundament wordt gerealiseerd in de vorm van een goed functionerende basis IT-infrastructuur. Die infrastructuur is in dat opzicht te vergelijken met het besturingssysteem en de hardware van een smartphone; zonder up to date besturingssysteem en hardware kunnen apps niet worden gedownload en werken ze niet. Vanuit een integraal ontwerp waarin generieke en specifieke IT zijn geïntegreerd, worden de bouwblokken gedefinieerd die parallel worden uitgewerkt en samen met de te migreren applicaties worden verwerkt in werkpakketten die beheerst kunnen worden uitgevoerd. Met deze concrete aanpak zijn ook de zorgen die het BIT heeft bij de volgorde van deelleveringen ondervangen.

Volgens het BIT heeft Defensie onvoldoende duidelijk voor ogen welke IT-applicaties behouden dienen te blijven. Parallel aan GrIT is in 2016 het project rationalisatie IT-applicaties gestart. Dit project valt niet onder de verantwoordelijkheid van GrIT, maar is er wel nauw aan gerelateerd. Hierbij bepalen de eigenaren voor elk van de duizenden applicaties of men deze wil migreren naar de nieuwe IT-infrastructuur of wil laten uitfaseren. Inmiddels is dit voor het overgrote deel van de applicaties bepaald. Daarmee is er dus duidelijkheid welke applicaties er op de nieuwe IT-infrastructuur behouden moeten blijven. Hiervoor wordt momenteel een migratieplan uitgewerkt.

2. Koppel de opdracht voor nieuw werk aan feitelijk succes van de leverancier

Het BIT adviseert Defensie om de leverancier een belang te geven om succesvol te zijn gedurende de gehele looptijd van het contract. Hiertoe geeft het aanbevelingen in de vorm van financiële prikkels, voldoende stuurmiddelen en het geven van verantwoordelijkheid voor het eindresultaat.

Conform de planning is begin 2018 de commerciële (contract-)dialoog begonnen. Ten tijde van de BIT-toets waren de stuurmiddelen en (financiële) prikkels nog niet volledig uitgewerkt en besproken met de leveranciers. Ondertussen is dat wel gebeurd en in het vervolg van de commerciële dialoog worden deze expliciet meegenomen.

Het advies om nieuwe opdrachten pas te verstrekken aan de leverancier bij succesvolle afronding van een eerder deel, wordt overgenomen en verwerkt in het contract. Dit wordt gekoppeld aan de fijnmazige planning, zoals aangegeven onder advies 1. De leverancier wordt niet alleen verantwoordelijk voor het opbouwen en beheren van de nieuwe infrastructuur, maar ook voor de migratie van de applicaties. Na de migratie kan de bestaande infrastructuur worden afgebouwd. Defensie zal ervoor zorgen dat in het contract voldoende incentives zijn ingebouwd zodat de leverancier zich niet alleen op de eerste of gemakkelijke delen richt.

3. Creëer in het contract een optie om andere leveranciers te introduceren

Het BIT adviseert om snel te starten met de bouw van het nieuwe datacenter en het migratieplan van de bestaande naar de nieuwe situatie te verwerken in de totaalplanning. Ook is het advies om in het contract de mogelijkheid te creëren andere leveranciers te introduceren als de situatie daartoe aanleiding geeft.

De huidige opzet van het conceptcontract voorziet in een procedure waarin, onder voorbehoud van goedkeuring van Defensie, op voorspraak van zowel de hoofdleverancier als van Defensie zelf, onderaannemers kunnen worden toegevoegd of afgevoerd. Het advies van het BIT sluit hierop aan en neem ik daarmee over.

In de dialoog met de betrokken partijen wordt de totaalplanning voor de van de datacenters en de migratie van de IT-toepassingen in detail verder uitgewerkt. Na gunning van het contract zal de bouw van de nieuwe datacenters zo snel mogelijk worden gestart. De hiervoor noodzakelijke randvoorwaarden, zoals de keuze voor een locatie en bouwvoorbereidingen, zijn al in gang gezet om geen tijd te verliezen na het sluiten van de overeenkomst met de hoofdleverancier. Daarmee wordt ook dit advies van het BIT gevolgd.

4. Rond reorganisatie JIVC zo spoedig mogelijk af en maak regieorganisatie operationeel

Het BIT adviseert dat levering van de dienstverlening door de leveranciers gelijke tred moet houden met de ontwikkeling van JIVC voor het kunnen aansturen van de leverancier. JIVC moet voldoende personele capaciteit ter beschikking hebben voor de migratie van applicaties.

Defensie onderschrijft het belang hiervan volledig. Voorwaarde voor het kunnen aansturen van de leverancier is een ingerichte en operationele beheer- en regieorganisatie. Deze organisatie is dan ook voorzien in de lopende reorganisaties van JIVC. Defensie zal zich maximaal inspannen voor een tijdige voltooiing van deze reorganisatie. Verder wordt voorafgaand aan de migratie van applicaties zeker gesteld dat de benodigde capaciteit beschikbaar is. JIVC laat zich bij de migratie ondersteunen door externe experts met ruime ervaring in vergelijkbare trajecten.

Overige constateringen

Naast deze aanbevelingen constateert het BIT onder meer dat de kostenramingen voor een aantal onderdelen te optimistisch zijn. Ik wil benadrukken dat de kostenramingen voor GrIT op een uiterst zorgvuldige wijze tot stand zijn gekomen, waarbij gedetailleerde informatie is verkregen van de markpartijen waarmee de dialoog wordt gevoerd en verschillende gerenommeerde externe partijen door Defensie zijn ingehuurd om een en ander te verifiëren en beoordelen. Niettemin zal ik de posten die het BIT in het advies noemt nogmaals met die partijen tegen het licht laten houden en zo nodig laten bijstellen.

Het samenwerkingsmodel met de leverancier is inmiddels in de dialoog nader uitgewerkt en ook het ontwerp van de daarvoor benodigde regieorganisatie is inmiddels gereed. De datacentermigratie is onderwerp van de dialoog. Hierover zal voor het aangaan van het contract volledige duidelijkheid zijn, waarmee ook aan deze bevinding van het BIT tegemoet wordt gekomen.

Het BIT zet voorts vraagtekens bij een aantal complicerende behoeftes, die beslag leggen op financiële en personele middelen. Die behoeftes zijn echter niet zonder reden gesteld. Ik zal niettemin de noodzaak en implicaties van deze behoeftes nogmaals tegen het licht houden en, afhankelijk van de uitkomsten daarvan, de opdracht van GrIT op deze punten eventueel aanpassen.

Tot slot

Zoals het BIT heeft geconstateerd is er bij Defensie een breed besef van het belang van IT voor de uitvoering van haar taken. Het BIT constateert terecht dat een omvangrijk traject als het GrIT-programma enkele serieuze risico’s kent. Defensie is daarvan doordrongen. De afgelopen jaren zijn stappen in de goede richting gezet om de IT te verbeteren. Continuïteit, beveiliging, interoperabiliteit en innovatie hebben daarbij prioriteit. Het programma GrIT legt daarvoor de basis.

Tot slot spreek ik mijn dank uit aan het BIT-team. Het onderzoek en de adviezen van het BIT dragen bij aan een beter zicht op de risico’s van GrIT, een verbetering in de opzet en derhalve aan een IT-infrastructuur waarmee Defensie haar taken ook in de toekomst kan uitvoeren. Ik ben het BIT daarvoor erkentelijk.

De Staatssecretaris van Defensie, B. Visser