De vaste commissie voor Economische Zaken heeft een aantal vragen voorgelegd aan de Minister en de Staatssecretaris van Economische Zaken over de brief van 17 mei 2017 van de Algemene Rekenkamer inzake aanbieding van het rapport Resultaten verantwoordingsonderzoek 2016 bij het Ministerie van Economische Zaken (XIII) (Kamerstuk 34 725 XIII, nr. 2).

De Minister en de Staatssecretaris van Economische Zaken hebben deze vragen beantwoord bij brief van 6 juni 2017. Vragen en antwoorden zijn hierna afgedrukt.

1.

Kunt u aangeven of de constatering van de Algemene Rekenkamer (ARK) klopt dat er onvoldoende gewaarborgd is dat er ook op centraal niveau genoeg informatie beschikbaar is?

Antwoord

Zoals in de bestuurlijke reactie op het rapport van de ARK aangegeven is, kent mijn departement al jaren een decentraal verantwoordingsmodel op het gebied van informatiebeveiliging. Dit is in lijn met het Voorschrift Informatiebeveiliging Rijksdienst (VIR) en de Baseline Informatieveiligheid Rijksdienst (BIR). Hierover zijn niet eerder door de ARK en de ADR opmerkingen gemaakt.

2.

Wordt bij RVO nu inderdaad gewerkt met een lumpsumbekostiging? Zo ja, welke doelen worden hiermee beoogd, welke verwachtingen bestaan, hoe worden risico's voorkomen en hoe is de besluitvorming hierover tot stand gekomen?

Antwoord

Het EZ-opdrachtenpakket voor 2017 en 2018 bestaat voor een groot deel uit een meerjarenafspraak op basis van een lumpsum financiering en voor het overige deel uit een jaarlijkse afspraak voor 2017 op basis van fixed price financiering.

De doelen die worden beoogd zijn de vereenvoudiging van het proces van offerte, opdrachtbepaling, opstellen van rapportages en afrekening en het sturen op output tussen de opdrachtgevers en opdrachtnemer (in dit geval RVO.nl).

Door het werken met een meerjarig tarief en meerjarige en jaarlijkse opdrachten voor een vaste prijs zal RVO.nl met zijn EZ-opdrachtgevers meerjarige afspraken maken over alle regelingen die meerjarig vastgelegd kunnen worden. De afspraken gaan over de omvang en kwaliteit van de werkzaamheden, de te bereiken resultaten en het beschikbare budget. Daar vindt ook sturing op plaats.

De nieuwe werkwijze gaat zoals aangegeven uit van outputsturing. Bij wijzigingen in de opdracht binnen het meerjarig werkpakket vangt RVO.nl zelf de mee- en tegenvallers op. Bij wijzigingen in onderdelen van het jaarlijkse pakket wordt medio oktober/november van het betreffende jaar de afrekening vastgesteld en bepaald of deze opdracht toekomstig onderdeel wordt van het meerjarenpakket. Hierdoor blijft de afrekening en verantwoording eenvoudig.

Er zijn heldere afspraken gemaakt tussen RVO.nl, opdrachtgevers en eigenaar over de onderbouwing van de lumpsum (kwantiteit, kwaliteit en prijs). Majeure politiek-bestuurlijke ontwikkelingen kunnen eventueel tot gevolg hebben dat er wijzigingen optreden in de beleidsprioriteiten, wat gevolgen kan hebben voor het aantal, de omvang en de aard van opdrachten. Communicatie tussen opdrachtnemer en opdrachtgevers is hierbij belangrijk en vindt periodiek overleg plaats.

De besluitvorming heeft plaatsgevonden na overleg tussen de opdrachtgevers van RVO, de ambtelijke departementale leiding en RVO.nl zelf, die gedurende de uitvoeringsfase ook periodiek overleg met elkaar hebben en eventueel bij kunnen sturen.

3.

Welke processen heeft u om de informatiebeveiliging bij de agentschappen en overige uitvoeringsorganisaties in de gaten te houden?

Antwoord

Mijn ministerie kent een decentraal verantwoordingsmodel op het gebied van Informatiebeveiliging. Alle directeuren van beleidsdirecties, agentschappen en overige uitvoeringsorganisaties zijn verantwoordelijk voor het beveiligen van hun informatie. Zij worden hierbij ondersteund door hun CIO of directie Bedrijfsvoering. Conform de Baseline Informatiebeveiliging verklaart iedere directeur jaarlijks in control te zijn waarbij ook eventuele aandachtspunten en vervolgacties worden geformuleerd.

4.

Hoe groot is het aantal ICT-specialisten dat bij het departement op de loonlijst staat en hoe verhoudt dit zich tot externe inhuur van ICT-specialisten? Welk deel van dit vaste personeel houdt zich bezig met de beveiliging?

Antwoord

Bij DICTU staan ultimo 2016 1.114 fte ICT-specialisten op de loonlijst, waarvan 492 fte (44%) vast personeel en 622 fte (56%) extern personeel. Bij DICTU is een divisie Hoogbeveiligd waar 73 fte (45 fte extern en 28 fte vast) zich fulltime bezighouden met beveiliging. Daarnaast heeft DICTU een Security Center waar 17 fte (10 fte vast en 7 fte extern) fulltime bezig zijn met beveiliging. Tenslotte zijn er verspreid over DICTU 10 fte IB-functionarissen die beveiliging als hoofdtaak hebben (3 fte extern en 7 fte vast). In totaal heeft 45 fte van het vaste personeel beveiliging als hoofdtaak. Tenslotte zijn er binnen DICTU beheerders die in hun dagelijkse werk werkzaamheden verrichten die direct of indirect een bijdrage leveren aan beveiliging, bijvoorbeeld het up-to-date houden van applicaties en systemen.

Naast de ICT-specialisten van DICTU zijn ook bij de andere directies en dienstonderdelen van EZ medewerkers betrokken bij allerlei ICT-gerelateerde processen. Zo zijn er medewerkers in de rol van opdrachtgever, business analisten, enterprise architecten, regelingsdeskundigen en functioneel beheerders. Het betreft hier in totaal enkele honderden medewerkers maar omdat niet alle rollen fulltime worden vervuld is het niet mogelijk exacte cijfers hierover te presenteren.

5. en 7.

Kunt u aangeven waaruit de toename van de verdubbeling van de verplichtingen ten opzichte van 2015 nog meer bestaat naast de subsidietoekenningen voor hernieuwbare energieprojecten en de aan netbeheerder Tennet toegekende subsidie van 4 miljard euro?

Antwoord

De toename van de verplichtingen met € 11 mld heeft bijna geheel plaatsgevonden op beleidsartikel 14 (Een doelmatige en duurzame energievoorziening) en wordt veroorzaakt door de aanleg van het net op zee door TenneT van € 4 mld. Daarnaast is de reguliere SDE+ gestegen van € 3,5 mld in 2015 naar € 9 mld in 2016. Tenslotte een verhoging naar aanleiding van de committering van de wind op zee tender voor de kavels Borssele I en II van € 3,5 mld.

6.

Hoe groot is het totaal aantal medewerkers van het departement, inclusief alle uitvoeringsorganisaties?

Antwoord

Per 31-12-2016 was het aantal ambtelijke medewerkers van het departement inclusief agentschappen 9.611.

8.

Kan een overzicht worden gegeven van alle nu bekende kleine gasvelden, met de daarbij behorende verwachte hoeveelheid te winnen gas?

Antwoord

In de bijlage treft u een overzicht van alle bekende kleine gasvelden op land en op zee1. Sommige velden produceren naast gas ook olie. Dit is aangegeven.

Op de website www.nlog.nl kan middels een interactieve kaart gekeken worden waar deze gasvelden zich bevinden.

Op www.nlog.nl worden maandelijks ook de productiegegevens per veld bijgewerkt. deze worden hier niet per veld weergegeven. De totale gasvoorraden op land voor de kleine velden zijn op 1 januari 2017 geschat op 102 miljard nM3 en op zee 106 miljard nM3.

9.

Volgens de ARK is er tot en met 2016 96% van het totale budget voor de periode 2014–2018 uitgegeven of toegevoegd aan een fonds: is er voor de resterende jaren van het bestuursakkoord dan nog voldoende budget? Zo nee, welke gevolgen heeft dat?

Antwoord

De gelden waar de ARK uitspraken over doet zijn de budgetten uit het Bestuursakkoord Groningen uit januari 2014. Het overgrote deel van dit budget is gereserveerd door de NAM en staat niet op de Rijksbegroting. Met dat akkoord werd door NAM € 1,3 miljard gereserveerd voor het versterken, verduurzamen en herstellen van schade van huizen en economisch perspectief. De bedragen voor schade en versterkingen betreffen ramingen. De NAM is en blijft, ook in de toekomst, aansprakelijk voor de kosten van schade en versterken, ook als mocht blijken dat deze ramingen overschreden worden.

10, 11 en 12.

Hoeveel huishoudens zijn gecompenseerd voor schade? Wat was de gemiddelde compensatiesom? Wat was de hoogte van de gemiddelde schadeclaim?

Antwoord

Het vergoeden van schade is een verantwoordelijkheid van de NAM. Het is dan ook de NAM die verantwoordelijk is voor rapportage over deze cijfers. De NAM stelt informatie over deze het vergoeden van schade beschikbaar op haar website. Hieruit blijkt dat van 16 augustus 2012 tot en met 29 mei 2017 in totaal 79.772 schademeldingen zijn gedaan. In 75.435 gevallen is een eerste voorstel voor schadeherstel gedaan. In 67.602 gevallen is het aanbod tot schadeherstel door de bewoner geaccepteerd. Het aantal schadeclaims varieert met de ontwikkeling van het aantal schademeldingen als gevolg van recente en eerdere seismiciteit. Het is daarom niet te zeggen hoeveel schadeclaims er nog lopen en wat hiervan het totale bedrag is omdat er telkens nieuwe meldingen bijkomen.

13, 14 en 15.

Hoeveel schadeclaims zijn de komende jaren te verwachten, met welk totaalbedrag?

Antwoord

Het aantal schadeclaims hangt af van de seismiciteit de komende jaren en de schade die aardbevingen aan gebouwen toebrengen. Ongeacht de hoeveelheid bevingen is de NAM wettelijk aansprakelijk voor de kosten van herstel van schade als gevolg van bodembeweging door gaswinning uit het Groningenveld. Het is dan ook de verantwoordelijkheid van de NAM om hier budget voor beschikbaar te stellen. Het is mij niet bekend met welke reserveringen de NAM rekening houdt.

16 en 17.

Kan verder worden toegelicht door welke oorzaken het budget nu al zo goed als verbruikt is?

Antwoord

Zie het antwoord op vraag 9. Voor het overige geldt dat de ARK de besteding van de in de bestuursakkoorden toegezegde middelen van de NAM heeft onderzocht. Deze middelen maken geen onderdeel uit van de Rijksbegroting. De uitgaven met betrekking tot de post leefbaarheid blijven achter bij de het begrote bedrag in het bestuursakkoord, doordat er in de beginfase van het beschikbaar komen van deze gelden relatief weinig projecten werden ingediend.

18.

Kan een inschatting worden gemaakt van het benodigde bedrag voor een adequate schadeafhandeling van de buitengebieden?

Antwoord

Op 13 april 2017 is uw uw Kamer bericht (Kamerstuk 33 529, nr. 330) dat de ca. 1.600 schademeldingen tot aan 15 augustus 2016 uit het zogenaamde «buitengebied» allemaal zijn onderzocht. Voor deze schademeldingen is bij wijze van proef een nieuwe schadevaststellingswijze toegepast. Schade door bevingen als gevolg van mijnbouwactiviteiten heeft extern onderzoek niet kunnen vaststellen. De kans dat die relatie er wel is wordt zeer klein geacht. Dit betekent dat er ook geen schadebedragen zijn vastgesteld. De proceskosten voor deze proef worden door de NAM gedragen.

19.

Op welke wijze wordt zorg gedragen voor een adequate afhandeling van nieuwe schademeldingen?

Antwoord

Op 31 maart 2017, 12.00 uur is het schadeprotocol van 2 november 2016, vastgesteld door de NAM, gestopt. Nieuwe schademeldingen worden niet meer aan de hand van dit protocol behandeld. Meldingen die eenzijdig, door de NAM, gesloten zijn en voor de meldingen die op die datum nog niet afgerond waren, komen in aanmerking voor een eenmalig aanbod van de NAM om aanwezige schades in hun woning te laten herstellen tot een maximum bedrag. Dit geldt ook voor de meldingen in het uit het buitengebied, die een aanbod ontvangen voor schadeherstel tot € 1.500,–. Bewoners krijgen binnenkort een brief waarin het concrete aanbod en de mogelijkheden en voorwaarden worden toegelicht. Schademeldingen die vanaf 31 maart 2017, 12.00 uur zijn of worden gedaan, worden geregistreerd bij het Centrum Veilig Wonen en in behandeling genomen onder een nieuw schadeprotocol. Dit protocol wordt door de NCG, niet door de NAM, vastgesteld en gaat gelden vanaf 1 juli 2017. Op dit moment is het proces voor het opstellen van dit nieuwe protocol gaande. Dit is een open proces waarbij bestuurlijke vertegenwoordigers (van Rijk, provincie en gemeenten in Groningen) en maatschappelijke vertegenwoordigers (o.a. Groninger Bodembeweging en Gasberaad) input leveren.

20.

Kan worden aangegeven hoe het resterende bedrag voor veiligheid en preventieve versterking ingezet gaat worden?

Antwoord

De NAM is – net als bij schade – aansprakelijk voor veiligheid en de preventieve versterking van gebouwen. Dat betekent dat de NAM de kosten hiervan draagt. In het bestuursakkoord zijn hiervoor bedragen geraamd. Het hiervan resterende geraamde bedrag blijft beschikbaar voor veiligheid en preventief versterken. In 2016 is de versterkingsoperatie gestart met de eerste inspecties en doorrekeningen van woningen om vast te stellen welke bouwkundige maatregelen voor ieder individueel pand noodzakelijk zijn om aan de veiligheidsnorm te voldoen. De uitkomst hiervan zal mede bepalend zijn voor hoe de het resterende bedrag wordt ingezet.

21.

Welk deel van het budget is toegevoegd aan fondsen en om welke fondsen gaat het?

Antwoord

In het bestuursakkoord zijn afspraken gemaakt over budgetten en de verdeling hiervan over sporen (schade, veiligheid en preventief versterken, leefbaarheid, economisch perspectief en aanvullend pakket stad). Aan deze sporen zijn door de NAM middelen toegevoegd. Dit zijn niet publieke middelen die geen onderdeel uitmaken van de Rijksbegroting (zie voor toelichting hiervan de kwartaal rapportage van de NCG: Kamerstuk 33 529, nr. 349, bijlage)

22.

Waar komt de rekening terecht als RVO.nl verkeerd heeft begroot en welke mogelijkheden heeft het departement om RVO te controleren en corrigeren?

Antwoord

In principe moet RVO.nl de mee- en tegenvallers opvangen binnen haar exploitatie. Indien de tegenvallers leiden tot een negatief bedrijfsresultaat en RVO.nl onvoldoende Eigen Vermogen heeft om dit op te vangen, zal het moederdepartement dit bij eerst volgende mogelijkheid moeten aanvullen. Zie ook antwoord op vraag 2.

23.

Geldt de pilot voor de hele RVO.nl? In hoeverre kan nog van een pilot worden gesproken als de grootste uitvoerder van het departement op deze nieuwe manier wordt aangesteld?

Antwoord

De pilot geldt in eerste instantie voor het EZ-opdrachtenpakket. Met andere opdrachtgevers worden gesprekken gevoerd om, waar mogelijk, ook meerjarige en/of lumpsum afspraken te maken. RVO is aangewezen als pilot omdat RVO in 2014 ontstaan is als fusie van verschillende agentschappen van de vroegere Ministeries van LNV en EZ. RVO is daardoor parallel aan dit project ook bezig om de interne bedrijfsvoering te optimaliseren na de fusie en deze pilot draagt daar naar verwachting aan bij. RVO zal hierdoor beter in staat zijn om de uitvoering goed te verrichten.

24.

Wat waren de cijfers van RVO.nl in de jaren voor 2016 van geregistreerde vermoedens van misbruik/fraude en aangiftes?

Antwoord

Bij RVO zijn in 2016 112 meldingen van mogelijk misbruik en vermoedens/fraude gedaan en 10 aangiftes.

25.

In hoeveel gevallen leidde extra kritisch kijken naar aanvragers die in het frauderegister staan tot weigering van deelname aan missies?

Antwoord

Er is in 2016 bij 1 geval, op basis van een fraudeonderzoek, deelname aan een door RVO georganiseerde missie geweigerd.

26.

Kunt u aangeven op welke manier bij aanbestedingen van ministeries rekening wordt gehouden met informatiebeveiliging bij de ministeries?

Antwoord

Bij aanbestedingen voor ICT-systemen of ICT-diensten wordt standaard als voorwaarde gesteld dat de te verwerven producten en diensten moeten voldoen aan de Baseline Informatiebeveiliging Rijk.

27, 28, 30 en 31.

Waarom heeft de ARK geen inzage gekregen in de maatregelen die het departement heeft getroffen voor de betrouwbaarheid van de informatievoorziening over de beveiliging?

Antwoord

Binnen mijn ministerie wordt al jaren een decentraal verantwoordingsmodel gehanteerd, wat betekent dat iedere hoofd van dienst zelf verantwoordelijk is voor de verbetering van de informatiebeveiliging. De ARK en ADR hebben hier niet eerder een kanttekening bij geplaatst. Bij ieder dienstonderdeel is de gevraagde informatie beschikbaar. De ARK baseert haar bevindingen op onderzoek van de ADR. Op centraal niveau was er informatie in de vorm van hoofdlijnen en meest urgente risico’s beschikbaar en is aan de ADR overhandigd. Meer specifieke informatie kon worden opgevraagd bij de hoofden van dienst van de decentrale onderdelen, dit viel buiten de scope van het onderzoek van de ADR. Dit is decentraal niet verder onderzocht door de ADR. De ARK geeft zelf in haar nota van bevindingen aan dat in de tweede lijn een mechanisme ingericht moet zijn om ervoor te zorgen dat die zaken die belangrijk zijn voor de SG ook bij de SG terechtkomen. Het gaat hier volgens de ARK alleen om essentiële begrippen en informatie die de SG nodig heeft om te sturen en verantwoording af te leggen, niet om details. In mijn de bestuurlijke reactie heb ik uiteengezet dat deze essentiële informatie weldegelijk op centraal niveau bij de SG bekend is. Zie ook de beantwoording van vraag 1.

Het oordeel van de ARK is naar mijn mening dus op dit punt niet terecht. Ik onderstreep de urgentie om zorgvuldig met de informatievoorziening rond informatiebeveiliging om te gaan. De ARK heeft toegezegd een notitie met aanvullende informatie aan haar nota van bevinding toe te voegen. Zodra EZ deze informatie ontvangen heeft wordt bekeken op welke wijze en op welke onderdelen een verbeterplan opgesteld kan worden.

29.

Kunt u aangeven hoe het ministerie ervoor zorgt dat de informatiesystemen toereikend beveiligd zijn en blijven?

Antwoord

Binnen EZ is een Plan-Do-Check-Act-cyclus ingericht op de informatiesystemen. Dit betekent dat alle dienstonderdelen jaarlijks een risicoanalyse uitvoeren op de kritieke informatiesystemen en de risiconiveaus van deze systemen opnemen als bijlage in de in control verklaring. De SG en de pSG ontvangen deze In Control Verklaring, daar waar nodig worden specifieke risicoanalyses met bijbehorende verbeterplannen nader uitgevraagd.

Daarnaast houdt het CIO-office maandelijks contact met de dienstonderdelen om te sturen op verbeterplannen. In verband met de toenemende digitalisering en de uitdagingen hierdoor voor de ICT-omgevingen is besloten om deze Plan-Do-Check-Act-cyclus binnen EZ verder te versterken. Met ingang van medio 2016 is Informatiebeveiliging een vast agendapunt bij de eigenaarsgesprekken tussen (p)SG en de dienstonderdelen. Verder wordt de sturing op de kritieke systemen verstevigd door meer contactmomenten in te richten met de dienstonderdelen om de status van de kritieke systemen op het gebied van informatiebeveiliging nog duidelijker in beeld te krijgen. Bij zorgwekkende signalen wordt de SG hiervan op de hoogte gebracht.

32.

Waarom heeft u het toegangsbeleid nog niet aangepast aan de aanbevelingen van de Auditdienst Rijk? Wanneer is dit gereed?

Antwoord

Het EZ-brede toegangsbeleid is een nadere specificering van het EZ-brede algemene informatiebeveiligingsbeleid dat in 2016 is aangepast. Er is gekozen om eerst het algemene informatiebeveiligingsbeleid te actualiseren en daarna het toegangsbeleid. Verwacht wordt dat hierover in 2017 besluitvorming zal plaatsvinden.

Overigens beschikken de verschillende dienstonderdelen wel over een actueel toegangsbeleid voor hun eigen systemen en processen. Deze vielen buiten de scope van het onderzoek van de Auditdienst Rijk waar de ARK zijn bevinding op gebaseerd heeft en zijn daarom niet meegenomen in hun onderzoek.

33.

Hoe gaat u ervoor zorgen dat de beleidsdoorlichting over marktwerking beter in staat zal zijn om alle marktwerking die onder andere departementen valt in beeld te brengen en te evalueren?

Artikel 11 van de begroting van EZ bevat de (generieke) doelstelling te komen tot een goed functionerende economie en goed functionerende markten. Daarmee heeft het kabinet bijvoorbeeld juridische grond voor overheidsuitgaven die het proces van concurrentie beschermen, zoals uitgaven aan mededingingstoezicht, consumentenbescherming en goed functionerende meetstandaarden. Alle mogelijk relevante zaken meenemen zou leiden tot een bijzonder omvangrijke beleidsdoorlichting, terwijl de meerwaarde beperkt lijkt te zijn. Daarnaast kent ander beleid dat bijdraagt of relateert aan goed functionerende markten eigen evaluaties en doorlichtingen.

Bij de voorbereiding van de eerst volgende doorlichting van dit artikel zal worden bezien hoe de bijdrage van andere departementen optimaal betrokken kan worden.

34.

Hoe gaat u beleidsdoorlichtingen opzetten zodat deze minder fragmentarisch worden?

Antwoord

Deze vraag heeft betrekking op een kanttekening van de ARK bij de Rijksbrede aanpak door de Minister van Financiën van beleidsdoorlichtingen. De Minister van Financiën heeft als verantwoordelijk Minister voor de kaderstelling voor evaluaties en beleidsdoorlichtingen de adviezen van de Studiegroep Begrotingsruimte (2016) over beleidsdoorlichtingen overgenomen. In zijn brief van 23 december 2016 (Kamerstuk 31 865, nr. 90) en een aanvullende brief van 10 april 2017 (Kamerstuk 31 865, nr. 95) zijn, voorafgaand aan een mogelijk te starten operatie Inzicht in Kwaliteit, al enkele no-regret-maatregelen gepresenteerd. Allereerst wordt vanaf 2017 in alle beleidsdoorlichtingen een verbeterparagraaf opgenomen, waarin wordt aangegeven hoe toegewerkt wordt naar verbetering van het onderliggende evaluatiemateriaal. Verder wordt via een pilot bij VWS een meerjarenplanning voor beleidsdoorlichtingen opgesteld, waarbij de verschillende evaluatie-instrumenten in samenhang en tijd worden bezien.

Hiernaast is gezamenlijk met andere departementen een aantal andere initiatieven in gang gezet, zoals: een maatwerkopleiding Beleidsdoorlichtingen bij de Rijksacademie voor Financiën, Economie en Bedrijfsvoering en enkele directeuren zijn gekoppeld aan beleidsdoorlichtingen uit 2017 van andere ministeries. Dit alles draagt eraan bij dat beleidsdoorlichtingen minder fragmentarisch worden.