36 100 VIII Jaarverslag en slotwet Ministerie van Onderwijs, Cultuur en Wetenschap 2021

Nr. 9 BRIEF VAN DE MINISTERS VAN ONDERWIJS, CULTUUR EN WETENSCHAP EN VOOR PRIMAIR EN VOORTGEZET ONDERWIJS

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 juni 2022

Hierbij stuur ik u de antwoorden op de vragen over het jaarverslag Onderwijs, Cultuur en Wetenschap aan de hand van het thema Uitvoeringsaspecten DUO.

De Minister van Onderwijs, Cultuur en Wetenschap, R.H. Dijkgraaf

De Minister voor Primair en Voortgezet Onderwijs, A.D. Wiersma

Vraag 1

In het verantwoordingsonderzoek OCW 2021 (Bijlage bij Kamerstuk 36 100 VIII, nr. 2), pagina 20, staat dat onvoldoende autorisatiebeheer bij de Dienst Uitvoering Onderwijs (DUO) ertoe kan leiden dat medewerkers vertrouwelijke gegevens kunnen inzien en wijzigingen kunnen doorvoeren terwijl ze dat niet mogen. Kunt u, gelet op het feit dat dit onder andere kan leiden tot negatieve financiële effecten en continuïteitsproblemen en daarnaast uit paragraaf 4.3.4 van dit onderzoek ook blijkt dat er nieuwe tekortkomingen bij zijn gekomen in verschillende aspecten van het IT-beheer, toelichten hoe groot de gevolgen van deze oude en nieuwe tekortkomingen in de ICT-systemen kunnen zijn? Zijn hiervoor duidelijke risicoanalyses gemaakt en zo nee, waarom niet? Zo ja, is er op basis van de bevindingen van het verantwoordingsonderzoek aanleiding om de risicoanalyses te herzien en hoe?

Antwoord 1

Autorisatiebeheer en IT-beheer staan los van elkaar en het is niet zo dat de nieuwe tekortkoming IT-beheer de tekortkoming autorisatie beheer erger maakt. Wij gaan kort op beide in.

Ten aanzien van autorisatiebeheer: onvoldoende autorisatiebeheer kan, zoals in het onderzoek ook staat vermeld, ertoe leiden dat medewerkers vertrouwelijke gegevens kunnen inzien en wijzigingen kunnen doorvoeren terwijl ze dat niet mogen. Ondanks dat DUO geen aanwijzingen heeft dat dit voorkomt én het geringe aantal accounts met ruime bevoegdheden werkt DUO hard om de tekortkoming weg te werken en er zijn ook al grote stappen gezet. Uitgangspunt is dat medewerkers alleen toegang hebben tot applicaties waar dat nodig is om de dienstverlening mogelijk te maken. In 2021 is gestart met de ingebruikname van een geheel nieuwe geautomatiseerde wijze van verstrekken, wijzigen en intrekken van autorisaties. Dat wordt dit jaar afgerond. Hiermee heeft DUO een structurele en toekomstbestendige wijze van beheren van autorisaties werkend. Als regulier onderdeel van de zogenaamde plan-do-check-act cyclus, wordt het autorisatiebeheer continu gemonitord op volledigheid en juistheid en zo nodig aangepast.

Ten aanzien van IT-beheer: de nieuwe tekortkoming houdt kortgezegd in dat ondermeer de backups van systemen niet goed genoeg zijn en er meer aandacht moet zijn voor updates van de systemen. Het in het verantwoordingsonderzoek geschetste beeld komt niet als een verrassing en sluit aan bij de risicoanalyses die DUO continu maakt. DUO ziet daarom ook geen aanleiding om de analyses te herzien. DUO erkent dus dat het IT-beheer beter moet. Dit zal verder worden geïntensiveerd en worden ingebouwd in de reguliere werkprocessen bij DUO waarmee veiligheid en daarmee ook goed IT-beheer nog meer onderdeel wordt van het DNA van DUO.

Vraag 2

Op bladzijde 31 en 32 van het verantwoordingsonderzoek OCW 2021 concludeert de Rekenkamer dat er periodieke autorisatiecontroles worden uitgevoerd, maar dat het niet inzichtelijk is hoe de bevindingen van deze controles worden opgevolgd. Deelt u de conclusie van de Rekenkamer? Zo ja, kunt u toezeggen dat in de toekomst de bevindingen van deze periodieke controles wel geanalyseerd en gedocumenteerd worden? Zo nee, waarom niet?

Antwoord 2

DUO deelt de conclusie van de Rekenkamer dat de documentatie van de opvolging van de bevindingen verbeterd kan worden. Naar aanleiding van deze bevinding brengt DUO de voorschriften intern intensiever onder de aandacht en voegt als extra maatregel toe dat periodiek, steekproefsgewijs reeds uitgevoerde controles worden getoetst op volledigheid en juistheid.

Vraag 3

Op bladzijde 31 van het verantwoordingsonderzoek OCW 2021 staat dat DUO voldoende inzicht heeft in de gebruikte ICT-applicaties en het bijkomstige onderhoud. Hoe kunt u, gelet op het feit dat het BIT-advies Doorontwikkelen Applicatielandschap Bekostiging2 (Blueriq) laat zien dat er wel degelijk risico’s kunnen ontstaan in het ICT-landschap binnen DUO, in samenwerking met DUO voorkomen dat soortgelijke risico’s in de toekomst ontstaan in het kader van duurzaamheid, zoals de continuïteit van personeel, personeelstekort, en tijdelijke externe medewerkers?

Antwoord 3

DUO heeft in beeld hoe het IT-landschap er uit ziet en in welke fase van de levenscyclus de applicaties zich bevinden. Dit wordt bevestigd in het Verantwoordingsonderzoek van de Rekenkamer. Die levensfase van een applicatie geeft aan wat er aan onderhoud nodig is en of daarbij vervanging aan de orde is. Het Adviescollege ICT-toetsing heeft gekeken naar de uitvoering van één van de vervangingstrajecten bij DUO. Eén van de adviezen was om de sturing op IT te verbeteren. DUO werkt aan een verbeterplan inzake de strategisch en tactisch sturing. De opvolging van de adviezen van het Adviescollege verloopt via het verbeterplan. De continuïteit van personeel is daarbij een voortdurend punt van aandacht waarmee niet alleen DUO, maar de gehele ICT-sector te maken heeft.

Vraag 4

In uw reactie op de door de Rekenkamer geconstateerde onvolkomenheden bij de informatiebeveiliging van het autorisatiebeheer bij DUO (verantwoordingsonderzoek OCW 2021, p. 50–51) schrijft u dat een Plan-Do-Check-Act (PDCA)-procedure ingezet zal worden om deze bestaande meerjarige onvolkomenheid bij DUO te verbeteren. Hoe gaat u, gelet op het feit dat deze onvolkomenheid al tenminste vier jaar bestaat (verantwoordingsonderzoek OCW 2021, p. 5), deze PCDA-procedure concreet gebruiken om dergelijke meerjarige onvolkomenheden het komende jaar te verhelpen? Hoe gaat u dit doen op een structurele en toekomstbestendige manier met inachtneming van doorlopende actieve participatie van de dagelijkse gebruikers van de IT-systemen bij DUO?

Antwoord 4

De PDCA-cyclus is het mechanisme dat DUO gebruikt om autorisaties te beheersen. DUO past dit mechanisme al toe vanaf de start van het meerjarige programma in 2019 om de tekortkoming weg te nemen. Het mechanisme is en blijft ook nodig na afronding van het programma om actief, aantoonbaar de autorisaties blijvend te beheersen.

U geeft terecht aan dat deze onvolkomenheid al tenminste vier jaar bestaat. Ik wijs u in dit licht op de eerder bij vraag 1 aangehaalde constatering in het verantwoordingsonderzoek dat er op onderdelen onvoldoende sturing en beheersing is. Om deze onvolkomenheid weg te werken heeft DUO een projectorganisatie ingericht en een meerjarig plan opgesteld voor deze omvangrijke en complexe verbeteringen. Het verbeterplan waar nu volop aan wordt gewerkt door DUO helpt ook betere uitvoering te geven aan de PDCA-procedure. Daarbij wordt de voortgang autorisatiebeheer ook maandelijks gemonitord door de directie FEZ van het departement. DUO rapporteert ook in de PDCA-procedure elke 4 maanden aan de SG van OCW.

Vraag 5

In het jaarverslag van het Ministerie van Onderwijs, Cultuur en Wetenschap 2021 (Kamerstuk 36 100 VIII, nr. 1) staat op bladzijde 137 dat bij DUO de indicator klanttevredenheid klantcontact traditioneel in 2021 is gedaald naar een 6,9 op een schaal van 0 tot 10, tegenover een 7,4 in 2020. Hoe verklaart u, gelet op het feit dat op bladzijde 129 wordt aangegeven dat er in 2021 buiten de begroting 3,9 miljoen euro extra is ingezet om de capaciteit van de telefonische bereikbaarheid voor studenten te verbeteren, ondanks de inzet van deze extra middelen, de daling binnen deze indicator? Kunt u daarnaast aangeven of u verwacht dat deze extra middelen de komende jaren zullen leiden tot een hogere score binnen deze indicator? Kunt u, indien dit niet het geval is, tot slot aangeven hoe DUO de score van deze indicator weer kan verbeteren, en of u verwacht dat hier wederom extra middelen voor moeten worden ingezet?

Antwoord 5

De KPI klanttevredenheid klantcontact traditioneel (bemenste kanalen) wordt in belangrijke mate bepaald door de gemiddelde wachttijd op het kanaal telefonie. In de eerste helft van 2021 lag deze boven 8 minuten. Hierdoor daalde de klanttevredenheid. Oorzaak voor de daling was de (langdurige) impact van de corona maatregelen op de productiviteit en personele beschikbaarheid bij de betrokken afdelingen. In de zomer van 2021 is DUO er in geslaagd de personele bezetting verder aan te vullen waarna de gemiddelde wachttijd zich herstelde, hetgeen ook waarneembaar was in de KPI klanttevredenheid op de traditionele kanalen. De verwachting is dat de KPI in 2022 opnieuw op of boven de 7 zal liggen.

Sinds 2018 is DUO jaarlijks incidenteel € 3,9 mln. ter beschikking gesteld, om een gemiddelde wachttijd van 8 minuten te realiseren. Structurele financiering is nog niet beschikbaar, waardoor er jaarlijks een afwijking op de basisfinanciering gemeld wordt.

Naar boven