Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 maart 2022

Bijgaand ontvangt u, mede namens de Staatssecretaris van Justitie en Veiligheid, het definitieve advies van het Adviescollege ICT-toetsing (verder het Adviescollege) inzake de door het college uitgevoerde toets bij het project «Realisatie JBZ-systemen Ketenvoorzieningen» (hierna: het project JBZ-systemen)1,2. Dit advies heb ik op 28 februari 2022 van de voorzitter van het Adviescollege en de Secretaris-directeur van het Adviescollege ontvangen. Hierbij ontvangt u tevens de bestuurlijke reactie bij dit advies.

Het project JBZ-systemen realiseert een IT-voorziening (het Europaloket) voor de invoering van Nederlandse implementatie van een aantal EU-verordeningen die gaan over de buitengrenzen van het EU-gebied en de veiligheid.3

Graag bedank ik het Adviescollege voor het uitgevoerde onderzoek. De bijzondere omstandigheden die COVID-19 tijdens het onderzoek met zich bracht, heeft van beide partijen de nodige flexibiliteit gevraagd. Dit is in goede samenwerking verlopen en hiervoor ben ik het team van het Adviescollege zeer erkentelijk.

Het Adviescollege heeft geconcludeerd dat er een risico bestaat dat Nederland niet -tijdig- kan voldoen aan de EU-eisen voor beveiliging en privacybescherming, omdat de aansluiteisen en governancestructuur voor de ketenpartners en de eisen voor het Europaloket onvoldoende zijn uitgewerkt. Het adviescollege adviseert -kort gezegd- om:

• 1. binnen de keten Grenzen en Veiligheid een eenduidige en transparante governance voor beveiliging en privacybescherming in te richten;

• 2. de eisen voor het Europaloket aan te scherpen en;

• 3. maatregelen te nemen om het risico op verdere uitloop te beperken.

Ten aanzien van het eerste advies merk ik allereerst op dat het project één onderdeel (het Europaloket) realiseert in een complexe keten, waarin iedere ketenpartner een eigenstandige verantwoordelijkheid heeft.

Hoewel het inrichten van een governancestructuur in de keten niet tot de opdracht van het project behoort, waardeer ik het dat het Adviescollege ketenbrede adviezen verstrekt.

Ik heb daarom direct actie ondernomen, de security-en privacyafspraken zijn aangescherpt en worden afgestemd met de ketenpartners. Dat geldt eveneens voor de aansluitvoorwaarden op het Europaloket. Tevens zal ik meer sturing aanbrengen op de implementatie van deze eisen. De aanbeveling om een onafhankelijke partij de in-control-verklaringen (ICV) van de ketenpartners te laten toetsen, neem ik daarin mee.

Het tweede advies om de specificaties van het Europaloket te completeren, wordt eveneens uitgevoerd. Samen met de ketenpartners worden de specificaties expliciet vastgesteld en in de planning van het project opgenomen. Hierbij merk ik wel op dat de Agile-ontwikkelmethodiek, in combinatie met de veranderende specificaties die vanuit Europa worden opgelegd, ruimte moet laten voor wijzigingen. Ook uit de diverse testtrajecten kunnen nog wijzigingen naar voren komen die moeten worden doorgevoerd.

Met betrekking tot de derde aanbeveling, om maatregelen te nemen om het risico op uitloop te beperken, merk ik op dat de planning van het project JBZ-systemen complex is en diverse Europese- en nationale afhankelijkheden kent. Centraal staat de opgelegde taakstellende planning vanuit Europa. Deze Europese planning is echter voortdurend aan veranderingen onderhevig, met name in deze fase door de vertragingen bij de ontwikkeling door het Europese agentschap eu-LISA van de centrale Europese systemen.

In december 2021 heeft de JBZ-raad, als besluitvormende raad voor de gehele Europese implementatie, ingestemd met een wijziging van de planning. De implementatie van het SIS (Schengeninformatiesysteem) is verschoven van februari 2022 naar juni 2022 en de implementatie van het EES (Entry-en Exit-Systeem) is verschoven van mei 2022 naar september/oktober 2022.

In de diverse Europese gremia benadruk ik dat een succesvolle implementatie van de verordeningen afhankelijk is van stabiele en kwalitatief hoogwaardige Europese centrale systemen, in dit geval EES en SIS, die worden ontwikkeld door eu-LISA.

Ik benadruk -ook bij de Europese Commissie- dat Nederland na de oplevering van de centrale systemen nog voldoende tijd moet hebben om alle nationale systemen en processen in combinatie met de Europese systemen goed te kunnen testen. Aan deze randvoorwaarden is nog niet voldaan en ik heb hier samen met diverse lidstaten, waaronder Duitsland, mijn zorg over uitgesproken.

Het project heeft de planning op basis van het besluit uit december 2021 van de JBZ-raad aangepast en is in control. Samen met de ketenpartners worden voortdurend de risico’s getoetst en worden indien nodig maatregelen genomen.

De grootste risico’s voor uitloop liggen echter m.i. bij de vertraagde oplevering van de systemen door eu-LISA in combinatie met de taakstellende Europese planning.

Ik zal de Kamer van de implementatie van de Europese verordeningen op de hoogte houden.

Ik dank het adviescollege nogmaals hartelijk voor de verrichte werkzaamheden en het opgestelde advies.

De Minister van Justitie en Veiligheid, D. Yeşilgöz-Zegerius