36 191 Regels omtrent de instelling van een adviescollege voor de algehele verbetering en beheersing van ICT-projecten en informatiesystemen bij de centrale overheid (Wet Adviescollege ICT-toetsing)

F NOTA NAAR AANLEIDING VAN HET TWEEDE VERSLAG

Ontvangen 22 januari 2024

1. Inleiding

Met belangstelling heb ik kennisgenomen van het tweede verslag van de vaste commissie voor Binnenlandse Zaken naar aanleiding van het voorstel van wet omtrent de instelling van een adviescollege voor de algehele verbetering en beheersing van ICT-projecten en informatiesystemen bij de centrale overheid (Wet Adviescollege ICT-toetsing).1 Ik dank de leden van de BBB, GroenLinks-PvdA, D66, PvdD en OPNL voor hun aanvullende vragen. In deze beantwoording wordt de hoofdstukindeling van het verslag gevolgd. Achter de diverse vragen van de fracties is dikgedrukt het vraagnummer genoteerd, zodat bij de beantwoording van vragen ook verwezen kan worden naar de beantwoording van andere vragen.

2. Bevindingen van het Adviescollege ICT-toetsing

In 2022 heeft het Adviescollege ICT-toetsing bij vier onderzoeken geconstateerd dat het te laat betrekken van uitvoering heeft geleid tot een technisch te complexe oplossing, zonder aandacht voor de doorlooptijd om deze te realiseren, noch voor de vraag hoe de oplossing na oplevering kan worden onderhouden. Daarnaast ziet het Adviescollege dat oplossingen die worden bedacht niet altijd goed passen bij de beoogde doelgroep, waardoor het beoogde effect van het beleid niet wordt gehaald. De leden van de BBB-fractie zijn benieuwd wat er is gebeurd naar aanleiding van die bevindingen. Wat gebeurt er met deze constateringen? (01)

Jaarlijks worden in de jaarrapportage rode draden geconstateerd door het Adviescollege. Deze worden opgevolgd in de I-strategie, de Werkagenda Waardengedreven Digitaliseren en het besluit CIO-stelsel. In vraag (11) vraagt uw Kamer bijvoorbeeld naar een specifieke rode draad uit de jaarrapportage van het Adviescollege over 2022. In mijn reactie op die jaarrapportage heb ik gemeld dat ik in de I-strategie en mijn werkagenda de informatieparagraaf ga implementeren.2 Daardoor kan direct bij het begin van beleidsontwikkeling ICT worden meegenomen.

Kan de regering enig inzicht geven in concrete resultaten van de advisering? (02)

Ik ga ervan uit dat de vier onderzoeken waar het Adviescollege naar verwijst in de jaarrapportage het platform Open Overheidsinformatie (PLOOI), het programma Verbeteren Uitwisseling Matchingsgegevens (VUM), het project Tijdelijke Tolheffing en het programma Gemeenschappelijk Landbouwbeleid 2023–2027 (GLB23–27) betreffen. Hierna ga ik in op de concrete resultaten van deze adviezen rond ICT-oplossingen die passen bij de beoogde doelgroep en het op tijd betrekken van uitvoering.

Het advies over PLOOI is opgevolgd, zie de bestuurlijke reactie over de geëffectueerde aangekondigde maatregelen.3 De omvorming tot een Woo-index is succesvol waardoor de Woo-index nu live is. Bij het VUM-programma zijn de adviezen van het Adviescollege opgevolgd. Eén van de adviezen van Adviescollege is om eerst pilots uit te voeren alvorens te implementeren. Op basis van de resultaten en inzichten wordt het VUM geoptimaliseerd. De uitvoering bereidt de VUM-implementatie in de arbeidsmarktregio’s voor.4 Het advies over het project Tijdelijke Tolheffing is door het Ministerie van Infrastructuur en Waterstaat opgevolgd.5 Naar aanleiding van het advies wordt onder meer gewerkt met een integrale planning. Voor verdere informatie over de opvolging verwijs ik u naar de kamerbrief.6 Over het programma GLB23–27 zijn aanbevelingen gedaan. De eerste stappen zijn gezet, er is nauwer contact tussen beleid en de Rijksdienst voor Ondernemend Nederland (RVO). Er is gestart met datagedreven werken,7 dit wordt de komende jaren verder doorontwikkeld om daarmee de landbouwer beter te faciliteren, minder op locatie te hoeven controleren en uitvoeringskosten te verlagen. Het Gemeenschappelijk Landbouwbeleid is nu sinds het begin van 2023 in uitvoering (live).8

Is er een advies beschikbaar over het DSO? Zo ja, kunnen de leden die ontvangen en wat is er tot op heden gebeurd met de resultaten van genoemd onderzoek? (03)

Ja, er zijn meerdere adviezen over het DSO beschikbaar, deze zijn openbaar en terug te vinden op de website van het Adviescollege9 of uw Kamer. Gedurende de afgelopen drie jaar zijn er meerdere onderzoeken uitgevoerd, waarbij verschillende adviezen en aanbevelingen zijn uitgebracht. De Kamer is geïnformeerd over deze adviezen10 en de vervolgstappen die door het programma «Aan de slag met de Omgevingswet» samen met de bestuurlijke partners en softwareleveranciers zijn gezet.11 Zowel de Auditdienst Rijk (ADR), als Deloitte en het Adviescollege hebben de opvolging van deze adviezen tussentijds onafhankelijk getoetst.

Het laatste advies12 van het Adviescollege (najaar 2022) heeft geleid tot in totaliteit twintig aanvullende maatregelen. Testexpertisebureau Axini toetst en adviseert in de rol van Quality Assurance bij de opvolging. Vrijwel alle maatregelen zijn in het eerste half jaar van 2023, tijdens fase 3, 4 en 5 van het Indringend Keten Testen (IKT), geïmplementeerd. Slechts vier maatregelen zijn momenteel nog in uitvoering of nog doorlopend: In januari 2023 is het rapport met aanbevelingen van Axini met de Kamer gedeeld.13

De nog in uitvoering of nog doorlopende maatregelen zijn:

  • 1. IKT: Deze maatregel is een goede beheersmaatregel gebleken om de werkbaarheid van de DSO keten aan te tonen. IKT loopt sinds april 2022 en zal doorlopen na inwerkingtreding van de wet tot in ieder geval het tweede kwartaal van 2024.

  • 2. Inrichten van de leverancierstestomgeving: Dit gaat van start in eerste kwartaal van 2024.

  • 3. Testen op niet functionele aspecten: Deze maatregel is doorlopend bij de ontwikkeling van het DSO.

  • 4. Het opstellen van het Mastertestplan: Deze is nagenoeg gereed, momenteel worden de reviewcommentaren gezamenlijk verwerkt.

3. Lerende overheid

In de beantwoording van de vragen lezen de leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL dat voor het project CHARM van Rijkswaterstaat (raming bij aanvang 2015: 34,5 miljoen; raming eind 2022 inmiddels 169 miljoen en gereduceerde ICT-functionaliteit) door de regering in 2018 een adviesaanvraag is gedaan. Op basis van een risicogerichte selectie heeft het Adviescollege ICT-toetsing destijds bepaald om de adviesaanvraag niet in behandeling te nemen om er vervolgens in 2021, na aanhoudende signalen over de beheersbaarheid, alsnog een ongevraagd advies over uit te brengen. Zijn er soortgelijke voorbeelden, waar in eerste instantie niet is gekozen voor het in behandeling nemen van een adviesaanvraag, en waar op een later moment alsnog een (ongevraagde) adviesaanvraag is gedaan? (04)

Er zijn, naast het project CHARM, geen andere voorbeelden van adviesaanvragen die in eerste instantie niet door het Adviescollege in behandeling zijn genomen en waar op later moment alsnog een (ongevraagd) advies door het Adviescollege over is uitgebracht.

De leden zijn van mening dat alle aanvragen met een hoog risicoprofiel in behandeling moeten worden genomen. Deelt de regering deze opvatting? Zo nee, waarom niet? (05)

Ja, de regering deelt de opvatting dat alle aanvragen met een hoog risicoprofiel in behandeling zouden moeten worden genomen en steunt het Adviescollege in zijn ambitie om dit mogelijk te maken in de komende jaren door uitbreiding van capaciteit en -indien nodig- budget.

Het Adviescollege doet een risicoselectie op adviesaanvragen. Bepaalde projecten, zoals sommige IV-infrastructuurprojecten, zijn technisch niet complex. Toch komen zij vaak boven de € 5 miljoen uit. Het gecombineerde grensbedrag met de risicoselectie zorgt ervoor dat de kennis en ervaring van het Adviescollege doelmatig worden ingezet.

Het Adviescollege wil zich focussen op een gecontroleerde groei in de beschikbare capaciteit, wat de regering graag ondersteunt. Naast het tekort op de arbeidsmarkt dienen medewerkers van het Adviescollege goed ingewerkt te worden voor het behouden van de kwaliteit en continuïteit in het opstellen van de adviezen.

4. Aanmeldplicht voor beheer- en onderhoudsprojecten

In de jaarrapportage 2022 van het Adviescollege ICT-toetsing staat «In het Instellingsbesluit van 2021 is een extra taak opgenomen ten aanzien van onderzoeken op onderhoud en beheer, vanwege de hoge bestedingen op dit gebied.».14 Tevens lezen de leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL dat er in 2022 geen aanvragen en onderzoeken zijn geweest op het gebied van beheer en onderhoud. In antwoord op vragen van de leden naar de oorzaken van het achterblijven van de aanvragen stelt de regering: «Er geldt geen aanmeldplicht voor onderhoud en beheerprojecten.».15 Waarom is er niet gekozen voor een aanmeldplicht voor beheer- en onderhoudsprojecten? (06)

In het vorige verslag16 heb ik aangegeven dat er geen aanmeldplicht is voor onderhoud- en beheerprojecten terwijl er onderhoud- en beheeractiviteiten werd bedoeld. Dit is abusievelijk niet goed verwoord in de eerdere nota naar aanleiding van het verslag van 27 september jl.17

Er is een aanmeldplicht voor grote ICT-projecten. Dat gaat over zowel vernieuwing als onderhoud en beheer. Alle onderhoud- en beheerprojecten boven € 5 miljoen staan op het Rijks ICT-dashboard en worden ook aangemeld bij het Adviescollege. Onderhoud- en beheeractiviteiten worden zowel in projectvorm als op andere wijze uitgevoerd. Daardoor worden niet alle onderhoud- en beheeractiviteiten bij het Adviescollege aangemeld. Vanwege de omvang van deze ICT-activiteiten en de daarbij komende administratie- en rapportagedruk voor ministeries is er nog niet gekozen voor een aanmeldplicht.

Derhalve is er gekozen voor de «eigen beweging»-optie van het Adviescollege ten aanzien van onderhoud- en beheeractiviteiten die niet projectmatig worden opgepakt. Er is sprake van onderhoud en beheer als ICT-middelen worden gebruikt voor het in werkzame staat houden van de dienstverlening en producten. Daarbij gaat het om het in stand houden van de bestaande informatiesystemen en de daarbij benodigde wijzigingen. Er kan hierbij gedacht worden aan bijvoorbeeld software-updates, het vervangen van legacy, of groot onderhoud waar cyclisch alles wordt nagelopen, vervangen en geüpdatet. Binnen het ministerie wordt gewerkt aan een doorontwikkeling op het Rijks ICT-dashboard, waar onderhoud- en beheeractiviteiten steeds meer aandacht krijgen. Ik wil werken naar een situatie waar het Adviescollege alle grote ICT-activiteiten kan toetsen.

Zou dat gezien het achterblijven van de aanvragen, en de ICT-knelpunten met dit type projecten, niet wenselijk zijn? (07)

Ja, het is wenselijk om vooraf zo veel mogelijk advies te vragen voor elk ICT-project en zelfs voor elke ICT-activiteit. Indien er sprake is van onderhoud- en beheerprojecten boven de € 5 miljoen geldt er wel een aanmeldplicht. Ik verwijs u naar mijn eerdere antwoord en motivatie met betrekking tot de omvang van de activiteiten en de daarbij komende administratie- en rapportagedruk. Deze reden is op dit moment nog steeds doorslaggevend, maar de regering ziet wel ruimte binnen het CIO-stelsel om het aantal adviesaanvragen over onderhoud- en beheeractiviteiten te vergroten. Overigens staat het beide Kamers vrij zelf initiatief te nemen voor een verzoek tot advies bij het Adviescollege.

5. Onafhankelijke evaluatie

In antwoord op vragen over de onafhankelijkheid van de evaluatie lezen de leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL dat «het belang van een onafhankelijke evaluatie wordt onderschreven»18 en «Nu het Adviescollege met dit wetsvoorstel onafhankelijk en een permanente status krijgt, is het opnemen van een dergelijke vereiste voor de evaluatie niet meer strikt noodzakelijk.».19 De leden vinden een onafhankelijke evaluatie noodzakelijk en hebben daarom onderstaande vragen aan de regering. Is de regering bereid om een toezegging te doen en te garanderen dat de evaluatie van de wet Adviescollege ICT-toetsing onafhankelijk wordt uitgevoerd? (08)

Zoals ik in de eerste nota naar aanleiding van het verslag van 27 september jl. heb aangegeven,20 is het voornemen van de regering om de wetsevaluatie onafhankelijk te laten uitvoeren. Wetsevaluaties worden namelijk bij andere zelfstandige bestuursorganen en adviescolleges met een onafhankelijke taak ook onafhankelijk uitgevoerd. Ik zeg dus graag toe dat de evaluatie van dit wetsvoorstel onafhankelijk zal worden uitgevoerd. Deze onafhankelijke evaluatie zal ik vervolgens, vergezeld van een reactie daarop, aan beide Kamers doen toekomen.

6. Geen ongevraagd advies?

In antwoord op de vraag waarom het Adviescollege ICT-toetsing geen ongevraagd advies kan geven over artikel 7, lid 2, 1°: «een doeltreffende en doelmatige inrichting en toepassing van een informatiesysteem ter uitvoering van beleid of regelgeving» antwoordt de regering «omdat dit niet primair bij de rol van collegeleden als – ICT-experts – past. Dat vraagt immers ook het vermogen om maatschappelijke belangenafwegingen te maken die verder gaan dan het terrein van ICT en digitalisering.».21 Hierover hebben de leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL de volgende vragen. Waarom is er een onderscheid gemaakt tussen gevraagd en ongevraagd advies? (09)

Dit is een beleidskeuze. Het Adviescollege heeft een expertiserol op het gebied van ICT. Het is niet passend dat een dergelijk adviescollege ongevraagd advies zou uitbrengen over de uitvoering van beleid. Het advies van het Adviescollege kan gevolgen hebben voor de wijze van uitvoering van het beleid en regelgeving. Vanwege deze mogelijke gevolgen geeft het Adviescollege alleen op verzoek advies over een doeltreffende en doelmatige inrichting en toepassing van een informatiesysteem ter uitvoering van beleid of regelgeving (artikel 7 eerste lid, onder a, sub 1 van de wet).

Geldt de onderbouwing voor het niet mogelijk maken van een ongevraagd advies niet als het om een gevraagd advies gaat? (10)

Ja, dat klopt. Het Adviescollege kan wel gevraagd en ongevraagd advies geven over grote ICT-activiteiten in de rol van onafhankelijke ICT-expert.

Op de website van het Adviescollege ICT-toetsing staat te lezen dat juist bij de beleidsontwikkeling van alles misgaat «omdat niet altijd wordt gekozen voor de meest passende oplossing. ICT wordt meestal niet of te laat betrokken, met name bij nieuw beleid of nieuwe wetten.». Zou niet juist met dit in het achterhoofd, ook ongevraagde advisering over artikel 7, lid 2, 1°: «een doeltreffende en doelmatige inrichting en toepassing van een informatiesysteem ter uitvoering van beleid of regelgeving» zinvol zijn? (11)

Nee. Het Adviescollege is een onafhankelijke ICT-expert waar het gaat om grote ICT-activiteiten. De Staten-Generaal of de desbetreffende Minister kan het Adviescollege om advies vragen indien een perspectief van het Adviescollege gewenst is. Zij kunnen dan een (gevraagd) advies aanvragen. Zie hiervoor ook het antwoord bij vraag (9) en (10).

Signaleringen rond beleid en regelgeving neemt het Adviescollege mee in zijn jaarrapportages, die ik gebruik voor het verbeteren van het CIO-stelsel. De rode draad die uw Kamer hier benoemt heeft het Adviescollege uiteengezet in zijn jaarrapportage over 2022. Ik heb deze lessen direct meegenomen in de verbetering van het stelsel, zoals ook is te lezen in mijn reactie op deze jaarrapportage.22 In de I-strategie en mijn Werkagenda Waardengedreven Digitaliseren wordt momenteel de informatieparagraaf geïmplementeerd. Daardoor kan direct bij het begin van beleidsontwikkeling ICT worden meegenomen.

7. Relatie met de Wet Open Overheid

In antwoord op de vraag over de wenselijkheid van transparantie van het hoor- en wederhoor omtrent conceptadviezen antwoordt de regering «vanuit het onderzoeksbelang kan het Adviescollege dus niet toezeggen de uitkomsten van de hoor en wederhoor procedure openbaar te maken.».23 Hierover hebben de leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL de volgende vragen aan de regering. Hoe verhoudt deze stellingname zich tot de doelstellingtransparantie van de overheid zoals geregeld in de Wet Open Overheid (Woo)? (12)

Er kan zich eventueel een situatie voordoen waarin relevante feitelijke informatie in (de communicatie over) een conceptadvies, die niet ook terugkomt in het definitieve stuk, openbaar gemaakt wordt. Dit wanneer er anders een onvolledig of onjuist beeld zou ontstaan van het besluitvormingsproces.24 Het actief openbaar maken van alle conceptadviezen en andere stukken inzake hoor- en wederhoorprocedure acht ik, in het belang van de vertrouwelijkheid van de hoor- en wederhoorfase voor de objectieve waarheidsvinding, niet wenselijk. Het onderzoeksbelang van het Adviescollege weegt in algemene zin zwaarder dan het openbaar maken van de conceptadviezen. Het openbaar maken van niet of onvoldoende geverifieerde informatie kan een groot risico in zich dragen en het zou zijn weerslag kunnen hebben op de manier waarop het Adviescollege zijn werk kan doen. Zoals het Adviescollege ook al bij het in vertrouwelijkheid delen van het conceptrapport met uw Kamer op grond van artikel 68 van de Grondwet over het Digitaal Stelsel Omgevingswet (DSO) heeft aangegeven, is het beginsel van hoor en wederhoor «onmisbaar om eventuele hiaten, fouten en eenzijdige berichtgeving te signaleren en het eindrapport zo compleet, correct en evenwichtig mogelijk te maken. Een doorbreking van de vertrouwelijkheid van dit beginsel staat objectieve waarheidsvinding in de weg. Geïnterviewden en betrokkenen bij het onderzoek kunnen zich niet meer vrij voelen om de benodigde informatie te verstrekken.»25

Is de Woo niet van toepassing voor het hoor- en wederhoor? Niet in de zin van de actieve informatieplicht dan wel de openbaarmaking op verzoek? Graag ontvangen de leden een toelichting. (13)

Het is voor eenieder mogelijk op grond van de Woo een verzoek in te dienen om de openbaarmaking van informatie in het kader van het hoor en wederhoor. Zoals in de beantwoording bij vraag (12) is aangegeven, wordt actieve openbaarmaking van informatie inzake het hoor – en wederhoorproces onwenselijk geacht.26 Hierbij valt te denken aan conceptadviezen van het Adviescollege en communicatie hierover tussen het Adviescollege en de aanvrager. Dit is overigens niet absoluut want als ook aangegeven in de beantwoording bij vraag (12) kan er in een voorkomend geval reden zijn om de relevante feitelijke informatie in (de communicatie over) een conceptadvies openbaar te maken. Wat betreft de actieve openbaarmaking, moeten de adviezen van het Adviescollege, na inwerkingtreding van artikel 3.3, tweede lid, onderdeel e, van de Woo en tot die tijd op grond van artikel 9 van het wetsvoorstel, openbaar worden gemaakt. Hieronder vallen alleen de definitieve adviezen.

8. Benoeming leden Adviescollege ICT-toetsing

In antwoord op de vragen over de benoeming van de leden van het Adviescollege ICT-toetsing en de borging van de onafhankelijkheid van deze leden wordt in algemene zin gesproken over «aansluiting bij meerdere inhoudelijke en procedurele vereisten bij benoemingen uit de Kaderwet adviescolleges.». Tevens lezen de leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL dat er procesafspraken zijn gemaakt. «De voorzitter van het Adviescollege is de voorzitter van de sollicitatiecommissie. Deze commissie bestaat verder uit een lid van Auditdienst Rijk, CIO Rijk en een ander lid van het Adviescollege. De sollicitatieprocedure van leden van het Adviescollege wordt derhalve uitgevoerd onder leiding van het Adviescollege.». Onder het instellingsbesluit bestond er een toezichtsraad met de volgende samenstelling: een lid op voordracht van de Auditdienst Rijk; een lid op voordracht van de Koninklijke Nederlandse Academie van Wetenschappen; een lid op voordracht van het CIO-platform Nederland. Is overwogen om de onafhankelijke voordracht vanuit de Koninklijke Nederlandse Academie van Wetenschappen en van het CIO-platform Nederland te behouden voor de benoemingsprocedure? Zo ja, waarom is hier niet voor gekozen? Zo nee, graag een reflectie op de eventuele voor- of nadelen hiervan ten opzichte van de gekozen procesafspraken. (14)

Het behouden van de onafhankelijk voordracht vanuit de Koninklijke Nederlandse Academie van Wetenschappen en van het CIO-platform Nederland is overwogen.27 Voor de benoemingsprocedure is gekozen om aan te sluiten bij de Kaderwet adviescolleges, omdat dit de rechtszekerheid en de eenvoud (vergelijkbaarheid van adviescolleges) ten goede komt. Daarnaast is de rol van een collegelid in een adviescollege op afstand van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties wezenlijk anders dan in de Toezichtsraad ten tijde van het Bureau ICT-toetsing als dienstonderdeel van het ministerie. De collegeleden van het Adviescollege hebben nu een actieve rol in de onderzoeken en bij de vaststelling van de adviezen.

Bij de benoeming van de huidige collegeleden is gezorgd voor een goede verdeling over accountancy, wetenschap en bedrijfsleven (CIO’s) in het Adviescollege. Dit zal in de procesafspraken nader worden gewaarborgd. Daarnaast zal in de procesafspraken opgenomen worden dat de sollicitatieprocedure wordt uitgevoerd onder leiding van het Adviescollege. De voorzitter van het Adviescollege is de voorzitter van de sollicitatiecommissie. Deze commissie bestaat verder uit een lid van Auditdienst Rijk, CIO Rijk en een ander lid van het Adviescollege. Met de aansluiting bij de Kaderwet en het maken van procesafspraken over de benoemingprocedure blijft de onafhankelijke positie van de leden van het Adviescollege hiermee gewaarborgd.

9. Risicogerichte selectie

In de antwoorden lezen de leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL over de risicogerichte selectie van het Adviescollege op basis waarvan adviesaanvragen wel of niet in behandeling worden genomen. Graag hebben deze leden meer inzicht in de wijze waarop de risicogerichte selectie plaatsvindt en hoe de uitgangspunten daarbij gehanteerd worden. In het jaarverslag 2022 lezen de leden dat deze risicoselectie van adviesaanvragen is aangepast. Naast de omvang van het budget, de maatschappelijke impact, en signalen dat een project of organisatie mogelijk «in zwaar weer» verkeert weegt voortaan ook het potentiële leereffect van een advies mee. Op basis van welke van de bovenstaande criteria wordt het risico bepaald en welke criteria spelen een andere rol? (15)

Omdat het Adviescollege zelf bepaalt welke adviesaanvragen in behandeling worden genomen,28 heb ik heb het Adviescollege gevraagd de vragen (15) t/m (21) over risicogerichte selectie te beantwoorden.

Voor de toepassing van risicogerichte selectie maakt het Adviescollege een onderscheid tussen reguliere en niet-reguliere adviesaanvragen. Reguliere adviesaanvragen hebben betrekking op ICT-projecten of onderhoud- en beheeractiviteiten. Deze worden aangevraagd door een bewindspersoon op grond van artikel 2, tweede lid, onder a en onder b van het Instellingbesluit Adviescollege ICT-toetsing.

Niet-reguliere adviesaanvragen betreffen aanvragen door de Eerste of Tweede Kamer of betreffen een specifieke vraag van een bewindspersoon. Een voorbeeld hiervan zijn de adviesaanvragen naar het DSO29 of naar de toekomstbestendigheid van missiekritische communicatiesystemen.30

Tot op heden zijn alle niet-reguliere adviesaanvragen door het Adviescollege in behandeling genomen, omdat deze betrekking hadden op ICT-activiteiten met een naar zijn oordeel hoog risicoprofiel. De risicogerichte selectie wordt daarom toegelicht vanuit het perspectief van de reguliere adviesaanvragen. Uitgangspunt daarbij is dat risicogerichte selectie periodiek wordt uitgevoerd op de portefeuille van aangemelde adviesaanvragen van een ministerie inclusief de ZBO’s. De periodieke risicogerichte selectie vindt plaats na de ontvangst van een nieuwe aanmeldbrief van een bewindspersoon waarin één of meer projecten van het betreffende bestuursorgaan worden aangemeld.

Voor de inschatting van het risicoprofiel van de adviesaanvragen hanteert het Adviescollege een aantal criteria.31 Deze betreffen «omvang van het budget», «maatschappelijke impact» en «signalen over een project of organisatie». Ook hanteert het Adviescollege het criterium «potentieel leereffect» om te bepalen of het betreffende ministerie of een bredere doelgroep, bijvoorbeeld het CIO-beraad, ruimte heeft om te leren van de uitkomsten van een onderzoek. Op basis van de gezamenlijke score op deze criteria maakt het Adviescollege een eigen afweging. Ieder jaar houdt het Adviescollege de selectiemethode tegen het licht en beoordeelt of de criteria moeten worden aangepast. Hiervan wordt melding gemaakt in de jaarrapportage.

Het Adviescollege kan op basis van de uitkomsten van de risicogerichte selectie drie besluiten nemen over een adviesaanvraag:

  • 1. Een onderzoek starten, waarbij de adviesaanvraag in behandeling wordt genomen.

  • 2. De aanvraag in de portefeuille houden en op een later moment opnieuw beoordelen. Dit moment is van meerdere factoren afhankelijk. Bijvoorbeeld als er meer informatie beschikbaar is over het project of als er een nieuwe adviesaanvraag van het betreffende ministerie komt. Ook kan er een logisch startmoment in de toekomst zijn voorzien – zoals bijvoorbeeld de start van een aanbesteding of de afronding van een vooronderzoek, CIO-oordeel of pilot.

  • 3. Niet selecteren van het project, waarbij de adviesaanvraag niet in behandeling wordt genomen). Hier kunnen meerdere redenen voor zijn, bijvoorbeeld:

    • o het project is minder dan € 5 miljoen in omvang en er is geen indicatie dat het project een hoge maatschappelijke impact heeft;

    • o het project is weliswaar meer dan € 5 miljoen maar op grond van de beoordeling op de vier criteria schat het Adviescollege het risicoprofiel niet hoog in;

    • o het project is te laat aangemeld. De meerwaarde van het advies kan dan te laag zijn;

    • o het project is om administratieve redenen aangemeld (het is vlak voor het einde net boven de aanmeldplicht van € 5 miljoen gekomen);

    • o het risicoprofiel van het project is hoog ingeschat maar er is geen capaciteit beschikbaar. Dit wordt dan gemeld aan de betreffende bewindspersoon. Ook adviseert het Adviescollege extra aandacht aan de beheersing te besteden. Dit was de situatie bij het project CHARM.

Overigens heeft het Adviescollege de mogelijkheid om – nadat eerder besloten is om een adviesaanvraag niet te selecteren – op basis van ontvangen signalen alsnog een onderzoek op eigen initiatief te starten. Dit was ook van toepassing bij de keuze om een onderzoek naar het project CHARM op eigen initiatief te starten in 2022.

Welke rol speelt de beschikbare capaciteit? (16)

De methodiek voor risicogerichte selectie is in 2019 ontwikkeld om zeker te stellen dat met de beschikbare capaciteit de projecten met het hoogste risico met voorrang te kunnen onderzoeken en ook een evenwichtige verdeling over de ministeries zouden bereiken. Dit in het licht van het toenmalige Regeerakkoord uit 2017 waarin de ambitie was opgenomen dat «alle projecten» getoetst moesten worden.

De inzichten van het Adviescollege hebben zich sinds 2019 ontwikkeld en de organisatie is gegroeid. Het Adviescollege beoordeelt het als niet doelmatig en effectief om over alle projecten boven de € 5 miljoen te adviseren maar om in te zetten op advisering over projecten met een hoog risicoprofiel en onderzoeken waarvan het lerende werking verwacht – bijvoorbeeld omdat een ministerie een specifiek project doet waarvan te verwachten is dat andere ministeries te maken krijgen met vergelijkbare problematiek en/of inzet van vergelijkbare, technologie of software.

De beschikbare onderzoekscapaciteit speelt geen primaire rol bij het bepalen van het risicoprofiel van een adviesaanvraag. Wel speelt de capaciteit een rol voor het bepalen van de periode van uitvoering van het onderzoek of kan die leiden tot een besluit om een adviesaanvraag niet in behandeling te nemen; dit is tot op heden alleen gebeurt bij het project CHARM in 2019.

Welke rol speelt «het leereffect»? (17)

Het criterium «potentieel leereffect» is een van de vier criteria om een inschatting te maken van het risicoprofiel van de adviesaanvraag. Hierbij wordt volgens een vooraf gedefinieerde indeling een inschatting gemaakt of de organisatie of een bredere doelgroep gebaat is om te leren van de uitkomsten van een onderzoek.

Hoe ziet de risicoclassificatie eruit? Hoog, gemiddeld en laag? (18)

De risicoclassificatie wordt op basis van de beoordeling van vier criteria vastgesteld die volgens vooraf vastgestelde indeling worden toegepast. Voor 2022 en 2023 zag de indeling er als volgt uit:

  • Omvang van het budget: «medium» omvang tussen de € 5 miljoen en € 15 miljoen, «grote» omvang (tussen de € 15 miljoen en € 50 miljoen) en «mega» omvang (boven de € 50 miljoen);

  • Maatschappelijke impact: hoge impact (oplossing is «veiligheidskritisch» of uitval van de oplossing raakt direct burgers en bedrijven of dienstverlening aan burgers en bedrijven) of lage impact (uitval oplossing heeft geen directe impact op burgers en bedrijven of dienstverlening aan burgers en bedrijven);

  • Signalen over een project of organisatie: positieve en negatieve signalen. Dit betreft ontvangen signalen bijvoorbeeld uit CIO-oordelen of publicaties en meldingen;

  • Potentieel leereffect: hoog of laag leereffect. Dit wordt bepaald op basis van een inschatting van het leereffect voor de organisatie zelf en voor een bredere doelgroep (bijvoorbeeld voor het CIO-beraad of beleidsfunctionarissen). Daarnaast wordt meegewogen in hoeverre er onderzoeken zijn uitgevoerd met vergelijkbare scope door vergelijkbare onderzoekspartijen.

In het jaarverslag lezen de leden dat er in 2022 in totaal 31 adviesaanvragen zijn uitgevoerd. Hoe zag de risicobeoordeling van deze 31 aanvragen eruit? (19) Hoeveel van deze 31 aanvragen hebben een hoog risicoprofiel? (20)

Het Adviescollege is als volgt omgegaan met de 31 ontvangen adviesaanvragen in 2022:

  • 4 adviesaanvragen betroffen niet-reguliere adviesaanvragen (zie ook de beantwoording bij vraag (15)). Deze aanvragen zijn in behandeling genomen;

  • Van 15 reguliere adviesaanvragen is het risicoprofiel hoog ingeschat. Deze adviesaanvragen zijn in behandeling genomen;

  • 4 reguliere adviesaanvragen zijn nog in portefeuille bij het Adviescollege. Van deze aanvragen is het risicoprofiel nog niet definitief bepaald omdat nog gesprekken lopen met de verantwoordelijke CIO-offices;

  • 8 reguliere adviesaanvragen zijn na risicogerichte selectie niet geselecteerd. Deze aanvragen betroffen projecten met een medium budget (minder dan € 15 miljoen) en/of laag ingeschatte maatschappelijke impact en/of positieve signalen en/of een laag potentieel leereffect.

In hoeverre komt het voor dat adviesaanvragen niet in behandeling worden genomen, vanwege de beschikbare capaciteit of anderszins, die op basis van het risicoprofiel wel hoog scoren? (21)

Uitgangspunt is dat in ieder geval alle adviesaanvragen met een hoog risicoprofiel in behandeling worden genomen. De beschikbare capaciteit speelt een rol voor het bepalen van de periode van uitvoering van het onderzoek.

Er zijn, naast het project CHARM, geen andere voorbeelden van adviesaanvragen waarvan op basis van risicogerichte selectie het risicoprofiel hoog is ingeschat, niet in behandeling genomen vanwege capaciteit.

10. Benodigde capaciteit

De leden van de fracties van GroenLinks-PvdA, D66, PvdD en OPNL zijn bezorgd over de beschikbare capaciteit bij het Adviescollege ICT-toetsing in verband met de taakuitbreiding. In de beantwoording wordt gesteld dat er op dit moment niet meer budget nodig is om dat het huidige budget nog niet volledig wordt benut. Anderzijds lezen de leden dat in de periode 2015–2022 maar liefst 44% van de adviesaanvragen niet in behandeling is genomen. De leden vinden dit een te hoog percentage en hebben daarom de volgende vragen. In de beantwoording is te lezen dat er gewerkt wordt aan een gecontroleerde groei van de capaciteit. Hoe ziet dit groeitempo eruit? (22)

Omdat het Adviescollege verantwoordelijk is voor zijn werkwijze en taakuitvoering heb ik het Adviescollege gevraagd de vragen (22) t/m (24) over de benodigde capaciteit te beantwoorden.

Het Adviescollege heeft een taak om te adviseren over ICT-projecten en informatiesystemen van grote omvang met en een groot politiek belang waar deskundig, objectief en onafhankelijk over geadviseerd moet worden. Dit stelt hoge eisen aan de medewerkers op gebied van ervaring en inhoudelijke deskundigheid. Het Adviescollege kiest daarom voor een gecontroleerde groei omdat medewerkers goed moeten worden ingewerkt voor het behouden van de kwaliteit en continuïteit in het opstellen van de adviezen.

Wanneer is het Adviescollege op volle sterkte (conform huidig budget)? (23)

Het Adviescollege streeft ernaar om jaarlijks de interne vaste capaciteit met drie à vier medewerkers uit te breiden. Op dit moment bedraagt de huidige interne bezetting 20 fte. Het Adviescollege verwacht om eind 2025 de sterkte te hebben die conform het huidige budget is voorzien maar merkt daarbij op dat dit een uitdaging is gezien de krapte op de arbeidsmarkt voor deze specifieke kennis en ervaring. Daarbij wordt opgemerkt dat het budget niet erin voorziet dat alle aanvragen dan in behandeling kunnen worden genomen.

Hoeveel procent van de adviesaanvragen verwacht het Adviescollege, indien op volle sterkte, te kunnen uitvoeren, inclusief de taakuitbreiding? (24)

Het percentage van de adviesaanvragen dat het Adviescollege kan uitvoeren is mede afhankelijk van de ontwikkeling van het aantal adviesaanvragen. Bij gelijkblijvend aantal van circa 30 adviesaanvragen per jaar en gelijkblijvende risicobereidheid van ministeries verwacht het Adviescollege dat circa tweederde van de adviesaanvragen in behandeling kan worden genomen, inclusief de taakuitbreiding.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, Digitalisering en Koninkrijksrelaties, A.C. van Huffelen

X Noot
1

Kamerstukken I, 2023/24, 36 191, nr. C.

X Noot
2

Kamerstukken II, 2022/23, 26 643, nr. 1042.

X Noot
3

Kamerstukken II, 2022/23, 26 643, nr. 958.

X Noot
4

Kamerstukken II, 2021/22, 34 352, nr. 251.

X Noot
5

Kamerstukken II, 2021/22, 35 925 A, nr. 75.

X Noot
6

Kamerstukken II, 2023/24, 36 410 A, nr. 20.

X Noot
7

Kamerstukken II, 2021/22, 28 625, nr. 341, bijlage, p. 3.

X Noot
8

Kamerstukken II, 2021/22, 28 625, nr. 341.

X Noot
9

Website Adviescollege ICT-toetsing, onderzoeken, zie https://www.adviescollegeicttoetsing.nl/onderzoeken.

X Noot
10

Kamerstukken I, 2021/22, 33 118, nr. DF.

X Noot
11

Kamerstukken II, 2021/22, 33 118, nr. 220; Kamerstukken II, 2021/22, 33 118, nr. 222; Kamerstukken II, 2021/22, 33 118, nr. 210.

X Noot
12

Kamerstukken I, 2022/23, 33 118, nr. EJ.

X Noot
13

Kamerstukken I, 2022/23, 33 118, nr. EJ, bijlage 4.

X Noot
14

Adviescollege ICT-toetsing, Jaarrapportage 2022 Adviescollege ICT-toetsing, 29 maart 2023, p. 3.

X Noot
15

Kamerstukken I, 2023/24, 36 191, C, p. 3.

X Noot
16

Kamerstukken I, 2023/24, 36 191, C, p. 3.

X Noot
17

Kamerstukken I, 2023/24, 36 191, C, p. 3.

X Noot
18

Kamerstukken I, 2023/24, 36 191, C, p. 3.

X Noot
19

Kamerstukken I, 2023/24, 36 191, C, p. 4.

X Noot
20

Kamerstukken I, 2023/24, 36 191, C, p. 3.

X Noot
21

Kamerstukken I, 2023/24, 36 191, C, p. 10.

X Noot
22

Kamerstukken II, 2022/23, 26 643, nr. 1042.

X Noot
23

Kamerstukken I, 2023/24, 36 191, C, p. 11.

X Noot
24

Rijksbrede instructie voor het behandelen van Woo-verzoeken, par. 4.6.5, p. 31, zie https://open.overheid.nl/documenten/ronl-6281f3be45820f25374e4fb01c2cd23f3f224df1/pdf.

X Noot
25

Brief 17 oktober 2022, «Beantwoording vragen over documenten betreffende conceptadvies AcICT», p. 1, zie https://open.overheid.nl/documenten/ronl-db0610e152e319612b951dc662e7d40b32113ac0/pdf.

X Noot
26

Beantwoording nadere vragen n.a.v. documenten betreffende conceptadvies AcICT, 23 december 2022, zie https://www.rijksoverheid.nl/documenten/kamerstukken/2022/12/23/beantwoording-ek-vragen-openbaarmaking-concept-advies-acict.

X Noot
27

Kamerstukken I, 36 191, C, p. 5.

X Noot
28

Artikel 2, lid 5 Instellingsbesluit Adviescollege ICT-toetsing.

X Noot
30

Adviescollege ICT-toetsing, «Advies over de Nieuw Openbare Orde en Veiligheid Architectuur (NOOVA)», 9 oktober, zie https://www.adviescollegeicttoetsing.nl/onderzoeken/documenten/publicaties/2023/10/09/advies-toekomstbestendigheid-van-missiekritische-communicatiesystemen-noova.

X Noot
31

Adviescollege ICT-toetsing, «Jaarrapportage 2022 Adviescollege ICT-toetsing», 29 maart 2023, p. 17.

Naar boven