Met deze brief wil ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, informeren over de opvolging binnen mijn Ministerie van de aanbevelingen die door de Algemene Rekenkamer (AR) zijn gedaan in haar rapportages van het Verantwoordingsonderzoek 2021 (Bijlage bij Kamerstuk 36 120 VII, nr. 2). De afgelopen twee jaar bent u hierover ook schriftelijk geïnformeerd1.

Voor de opvolging van de aanbevelingen die zijn gedaan in de rapportages voor de begrotingshoofdstukken IIA en IIB, hebben de Hoge Colleges van Staat vanuit hun onafhankelijke positie een eigenstandige verantwoordelijkheid. Waar gewenst ondersteunt en adviseert mijn ministerie hen ten aanzien van de aanpak van de daar geconstateerde onvolkomenheden en aandachtspunten.

Voor de opvolging van de aanbevelingen die betrekking hebben op de begrotingshoofdstukken IV, VII, het Gemeente- en Provinciefonds en het BES-fonds, heeft mijn directie Financieel Economische Zaken (FEZ) haar coördinerende rol in 2021 geïntensiveerd. Uit het Verantwoordingsonderzoek van de AR over 2021 is geconcludeerd dat de helft van de onvolkomenheden op begrotingshoofdstuk VII (vijf van de tien) zijn opgelost. Dit komt vooral doordat een aantal meerjarige trajecten tot een goed einde zijn gebracht. De betere bewaking van de voortgang van de lopende verbetertrajecten, waarvoor ook een Monitoringscommissie is ingesteld, heeft dit bespoedigd. Deze aanpak zal ik voortzetten. In het vervolg van deze brief zal ik ingaan op de opvolging van de onvolkomenheden en de termijn waarbinnen ik verwacht die te hebben opgelost. Uiteraard is het voorbehoud op zijn plaats dat pas uit het Verantwoordings-onderzoek over 2022 het oordeel van de AR zal volgen welke onvolkomenheden zij als opgelost beschouwt.

Opvolging onvolkomenheden

In de onderstaande tabel zijn de onvolkomenheden, die zijn gerapporteerd in het Verantwoordingsonderzoek 2021, gerangschikt naar de te verwachten termijn van oplossen. Hiervoor is dezelfde categorisering aangehouden die de afgelopen twee jaar is gebruikt. Per categorie zal na de tabel voor iedere onvolkomenheid nader worden toegelicht hoe in de opvolging is voorzien.

Categorie	Onderwerpen
a. Beschouwd als opgelost, de verbetermaatregelen zijn geïmplementeerd en de werking wordt dit jaar aangetoond.	Voorschottenbeheer agentschappen, Coördinatie SiSa-controle
b. Dit jaar oplosbaar, de verbetermaatregelen worden dit jaar in opzet geïmplementeerd.	Opbrengsten RvIG, SSC-ICT beveiliging IT-componenten
c. Langere termijn Vergen meerjarige aanpak	IT-beheer SSO-CN, Rijksbreed IT-beheer
d. Proactief handelen Er is nog geen sprake van onvolkomenheden en het streven is om dat te voorkomen.	Aandachtspunten uit het verantwoordingsonderzoek 2021

a. Beschouwd als opgelost

De volgende twee onvolkomenheden worden beschouwd als opgelost omdat alle verbetermaatregelen al waren uitgevoerd in 2021, waarvan alleen de werking nog in 2022 moet worden aangetoond.

• • Om voorschotten aan agentschappen voldoende te onderbouwen en monitoren, heb ik in 2021 verbeteringen doorgevoerd in de processen, de werkinstructies en de monitoring. Daarmee zijn de verbetermaatregelen ook in opzet geïmplementeerd, zoals in de brief van vorig jaar was toegezegd. Ik heb in 2022 opnieuw dossieronderzoek gedaan om inzicht te krijgen in de werking van de verbeteringen, en zal dit vervolgen met een aanvullend dossieronderzoek later in het jaar. Ook zal ik een automatiseringsslag doorvoeren, waardoor het monitoringsproces efficiënter wordt en duidelijker inzicht geeft in de voorwaarden en afspraken over de voorschotverlening aan agentschappen.

• • Voor mijn systeemverantwoordelijkheid voor de coördinatie SiSa2 -controle heb ik in 2021 mijn visie uitgewerkt en vastgelegd. In 2022 zal ik de coördinatie uitvoeren volgens dit visiedocument waarbij ik mijn regie beter zichtbaar zal maken en de risico’s en afwegingen zal vastleggen. Ook is al met de Auditdienst Rijk afgesproken dat over 2021, net als afgelopen jaar, 25 reviews zullen plaatsvinden. Dit is een relatief omvangrijk aantal deelwaarnemingen, mede vanwege het stijgende aantal en de financiële omvang van de specifieke uitkeringen.

b. Dit jaar oplosbaar

Met dit jaar oplosbaar wordt bedoeld dat de voorziene verbetermaatregelen dit jaar in opzet worden geïmplementeerd. De vervolgstap is dat ook de werking van die verbetermaatregelen aantoonbaar moet zijn. Het kan zijn dat pas over het jaar 2023 die werking aantoonbaar wordt gevonden door de AR.

• • Vorig jaar werd in deze brief toegezegd dat de onvolkomenheid van de Rijksdienst voor Identiteitsgegevens (RvIG) dat jaar oplosbaar zou zijn. RvIG heeft de afgelopen jaren diverse maatregelen getroffen om de juistheid en volledigheid van de aantallen berichten aantoonbaar te maken. Deze berichtenaantallen vormen het uitgangspunt voor de facturatie van de Basisregistratie Personen (BRP). Het proces dat leidt tot registratie van het aantal uitgewisselde BRP-berichten is door RvIG uitbesteed aan twee partijen. Voor het aantoonbaar maken van de betrouwbaarheid van het aantal uitgewisselde berichten, maakt RvIG met beide partijen afspraken over het ontvangen van onafhankelijke verantwoordingsrapportages met betrekking tot het aantal berichten. Met de ene partij was dit gelukt in 2021 maar met de andere organisatie nog niet. Bij die organisatie is in 2021 door externe omstandigheden een vertraging opgetreden in de uitvoering van benodigde activiteiten. In 2022 zijn inmiddels met deze partij afspraken gemaakt en zullen de resterende stappen gezet worden.

• • SSC-ICT heeft vanuit het meerjarig transitietraject een groot aantal ADR bevindingen alsmede een belangrijk aantal onderliggende problemen van meer structurele aard opgelost. Dat heeft ertoe geleid dat in 2021 de onvolkomenheid voor «gebruikersbeheer» in voldoende mate is opgelost.

Daarmee resteert de onvolkomenheid «beveiliging van componenten». In de brief van vorig jaar was ook al aangegeven dat er een overloop van de maatregelen naar 2022 plaats zou vinden. Naast het oplossen van de nog openstaande ADR bevindingen en het voltooien van een aantal specifieke maatregelen, gaat het in 2022 met name om de implementatie van een In Control Framework dat zich in 2023 verder moet gaan bewijzen.

c. Langere termijn

Binnen de categorie «langere termijn» vallen de onvolkomenheden waarvoor de aanpak om ze op te lossen langer nodig heeft dan het lopende jaar, dus wanneer de verbetermaatregelen ook nog na het jaar 2022 worden uitgevoerd. De werking van deze verbetermaatregelen is pas daarna aantoonbaar.

• • De AR concludeerde dat in 2021 de belangrijkste doelen uit het verbeterplan van de Shared Service Organisatie van Caribisch Nederland (SSO-CN) niet zijn gerealiseerd. SSO-CN heeft eind 2021 het lopende traject geïntensiveerd en een projectleider aangesteld om de IT-beheerprocessen op orde te brengen en verbeteringen op het vlak van informatiebeveiliging door te voeren. Hierin zijn reeds goede stappen gezet in 2022 en staan nog belangrijke resultaten gepland richting einde dit jaar, zoals het borgen en continu verbeteren van IT-beheer en het structureel verbeteren van de (keten)samenwerking tussen SSO-CN en haar afnemende departementen en diensten. In de gekozen aanpak is borging van de processen in het dagelijks handelen binnen de organisatie SSO-CN een essentieel onderdeel om de onvolkomenheid duurzaam te verhelpen. De afronding van het verbetertraject loopt zodoende over de jaargrens en is voorzien medio september 2023.

  Tijdens het wetgevingsoverleg op 4 juli 2022 over het jaarverslag en de slotwet 2021 Koninkrijksrelaties en het BES-fonds (Kamerstuk 36 100 IV, nr. 20) heeft de Staatssecretaris een tussenrapportage over het oplossen van deze onvolkomenheid toegezegd vóór de begrotingsbehandeling 2023. In deze tussenrapportage zult u nader geïnformeerd worden.

• • Voor de onvolkomenheid Rijksbreed IT-beheer oordeelde de AR dat in 2021 een eerste bescheiden stap is gezet door BZK om de bestaande kaders te optimaliseren, maar dat het tempo niet hoog genoeg was. Ook voor de invulling van de toezichthoudende rol door BZK zag de AR ruimte voor verbetering/verbreding. De Staatssecretaris omarmde deze conclusies en de aanbevelingen. Voor Rijksbreed IT-beheer zijn voor 2022 en 2023 mijlpalen gedefinieerd voor:

  • ○ Het verkrijgen van inzicht in de status van de vier beheerdomeinen

    • ▪ Autorisatiebeheer

    • ▪ Wijzigingsbeheer

    • ▪ Beveiliging van componenten

    • ▪ Back-up en recovery

    bij de departementen (het «IT Beheer Beeld»)

  • ○ Het verkrijgen van inzicht in de effectiviteit van bestaande kaders op deze domeinen

  • ○ Inrichten van proces voor onderhoud van bestaande kaders en maken van nieuwe kaders (Plan-Do-Check-Act cyclus)

  • ○ Inrichten van blijvende monitoring op de status van Rijksbreed IT-beheer met nadruk op de vier beheerdomeinen

  Dit zal gefaseerd worden uitgevoerd waarbij gestart wordt met de ICT dienstverleners van het Rijk waarna de scope wordt uitgebreid naar een rijksbrede uitvraag bij alle departementen.

  Met deze mijlpalen verwacht de Staatssecretaris stappen te zetten in 2022, maar de aanpak zal zeker ook in 2023 nog doorlopen.

d. Proactief handelen

Net als voor de onvolkomenheden, is ook voor de aandachtspunten uit het verantwoordingsonderzoek een plan van aanpak opgesteld en wordt de opvolging daarvan ook door de Monitoringscommissie bewaakt. Dit doen we om te voorkomen dat deze aandachtspunten verslechteren. Daarom wil mijn ministerie hier proactief op handelen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, H.G.J. Bruins Slot