Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 7 juli 2017
In het verantwoordingsdebat met uw Kamer van 31 mei 2017 (Handelingen II 2016/17,
nr. 81, items 3 en 6) heeft de Minister van Financiën toegezegd om ten aanzien van de ministeries van
Defensie, Economische Zaken en Volksgezondheid, Welzijn en Sport, specifiek aan te
geven hoe het overleg met de Algemene Rekenkamer is verlopen en welk vervolg zij geven
aan het oordeel van de Algemene Rekenkamer over de informatiebeveiliging. In deze
brief kom ik, mede namens mijn collega-ministers van VWS, EZ en Defensie, die toezegging
na.
De president van de Algemene Rekenkamer zei op verantwoordingsdag in uw Kamer (Handelingen
II 2016/17, nr. 76, item 3) dat het oplossen van een probleem begint met het te onderkennen. In dit verband
zei hij verder: «Helaas blijkt uit de reactie van de ministers van VWS, EZ, maar ook
Defensie dat zij zich niet herkenden in de uitkomst van ons onderzoek.»
Ik wil benadrukken dat de betreffende ministers het belang van informatiebeveiliging
onderkennen. Ook zijn de ministeries hard aan het werk met de verbetermogelijkheden
die de Algemene Rekenkamer heeft aangedragen. De discussie ten aanzien van de uitkomst
van het onderzoek betrof verschillende zienswijzen rond dossiervorming op centraal
niveau bij departementen waarbij de sturing op informatiebeveiliging volgens een decentraal
verantwoordingsmodel is ingericht. Deze werkwijze is in lijn met het Voorschrift Informatiebeveiliging
Rijksdienst (VIR) en de Baseline Informatiebeveiliging Rijksdienst (BIR). Samen met
de Auditdienst Rijk en de Algemene Rekenkamer werk ik nu aan een set met heldere afspraken
ten aanzien van de benodigde dossiervorming.
Hieronder wordt voor de drie ministeries aangegeven welke activiteiten zij verrichten
om de informatiebeveiliging verder te verbeteren.
Ministerie van VWS
Het Ministerie van VWS is het met de Algemene Rekenkamer eens dat het van groot belang
is om het management voor informatiebeveiliging zo ingericht te hebben dat elk onderdeel
van het VWS-concern, alsook VWS op centraal niveau, in staat is om gedurende het jaar
de actuele stand van de informatiebeveiliging in het concern te beoordelen en (bij)
te sturen op (rest)risico’s, waar dat noodzakelijk is. Het concernbrede inzicht in
systemen en de genomen maatregelen zal in 2017 verder worden verbeterd met de concernbrede
implementatie van een informatiemanagementsysteem (Information Security Management System, ISMS). Met dit managementsysteem zal VWS de informatiebeveiliging beter kunnen sturen.
Daarbij zullen ook de maatregelen voor de door de Algemene Rekenkamer onderzochte
bedrijfskritische systemen in 2017 versterkte aandacht krijgen. Via risicosturing
wordt de noodzakelijkheid en de volgorde van maatregelen bepaald. Daarnaast neemt
VWS naar aanleiding van de resultaten en inzichten uit de Planning&Control cyclus
2016 in 2017 nog een aantal aanvullende maatregelen om de informatiebeveiliging verder
te versterken.
Ministerie van EZ
Op verzoek van het Ministerie van EZ heeft de Algemene Rekenkamer op 23 juni jl. een
addendum verstrekt waarin de onderbouwing van het oordeel nader is toegelicht. Medio
juli vindt hierover overleg plaats tussen EZ, de Algemene Rekenkamer en de Auditdienst
Rijk. De actiepunten naar aanleiding van dit addendum worden door EZ opgenomen in
het interne informatiebeveiligingsjaarplan van 2017. EZ erkent dat informatiebeveiliging
een cruciaal thema is voor de bedrijfsvoering. Het departement werkt eraan om dit
thema steviger te verankeren binnen de organisatie. De toenemende digitalisering vraagt
dit ook van EZ. De verbeterpunten die zijn beschreven door de Algemene Rekenkamer
en de Auditdienst Rijk helpen EZ deze positie van informatiebeveiliging nader te verstevigen
en uit te bouwen. Bij EZ zijn de hoofden van dienst zelf verantwoordelijk voor informatiebeveiliging.
Maandelijks vindt er overleg plaats tussen het CIO-office en de IB-coördinatoren van
de verschillende diensten. Belangrijke signalen naar aanleiding van dit overleg worden
door de pSG/CIO nader behandeld met het betreffende hoofd van dienst.
Ministerie van Defensie
De aanbevelingen van de Algemene Rekenkamer spitsen zich bij het Ministerie van Defensie
toe op de werking van het managementsysteem waarmee de informatiebeveiliging wordt
gestuurd, waaronder ook de dossiervorming bij kritieke systemen. In een gesprek met
de Algemene Rekenkamer op 21 juni jl. is de aanpak van Defensie voor het oplossen
van de onvolkomenheid besproken. Hierbij zijn geen verschillen van inzicht gebleken.
De voortgang van de verbeteringen zal in het najaar wederom met de Algemene Rekenkamer
worden besproken.
De CIO Rijk zal in zijn halfjaarlijkse gesprekken met de departementale CIO’s aandacht
besteden aan de onvolkomenheden en de verbeteringen monitoren die de ministeries in
gang zetten.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
R.H.A. Plasterk