25 657 Persoonsgebonden Budgetten

Nr. 125 BRIEF VAN DE STAATSSECRETARIS VAN VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 4 februari 2015

Tijdens de Regeling van Werkzaamheden van 3 februari jl. heeft het Kamerlid Keijzer verzocht om een brief over de uitgevoerde IT-audits bij de SVB naar aanleiding van de invoering van de PGB trekkingsrechten (Handelingen II 2014/15, nr. 49). Met deze brief reageer ik op dit verzoek.

Vanuit het Ministerie van VWS is intensief regie gevoerd op de implementatie van trekkingsrechten. Daarbij is niet alleen een IT-audit uitgevoerd, maar ook twee gateway reviews en een privacy impact assessment.

De betreffende rapporten zijn, conform de daarvoor geldende afspraken, vermeld bij de externe kwaliteitstoetsen in de rapportage grote en hoogrisico ICT-projecten van het rijk. Zie https://www.rijksictdashboard.nl/projecten/160200. Deze rapporten treft u als bijlage bij deze brief aan1. Het openbaar maken van gateway reviews is niet gebruikelijk, maar gezien de nadrukkelijke wens van uw Kamer om deze informatie te ontvangen, bied ik u de rapporten toch aan.

Privacy impact assessement mei 2014

Op 29 mei 2015 heeft Duthler Associates een privacy impact assessment (PIA) op het trekkingsrecht programma opgeleverd. VWS had als opdrachtgever gevraagd om de voorgenomen vormgeving van trekkingsrecht te toetsen op pricacy-aspecten en daarbij uit te gaan van de voornemens in de Jeugdwet, de Wmo 2015 en de Wet Langdurige Zorg.

De belangrijke conclusies die in dit rapport getrokken worden is dat de SVB gerechtigd is het BSN van budgethouders te gebruiken en dat er een wettelijke grondslag voor de SVB is om medische gegevens te verwerken. Dit laatste enkel met in acht name van het noodzakelijkheidcriterium. Gezien de strikte naleving hiervan door het CBP is er een noodzakelijkheidstoets uitgevoerd door VWS in samenwerking met de SVB.

Uit deze toets is gebleken dat voor de uitvoering van de taak van de SVB het niet noodzakelijk is om te beschikken over medische gegevens die blijken uit zorgbeschrijvingen. Naar aanleiding van deze uitkomst is het uitvraagproces van zorgovereenkomsten aangepast voor de budgethouders die onder het zorgkantoor vallen. De zorgbeschrijving blijft bij het zorgkantoor, alleen de overeenkomst gaat naar de SVB.

Gateway review maart 2014

Op 27 maart 2014 heeft Bureau Gateway (Ministerie van BZK) een eerste Gateway Review opgeleverd. Het doel van die review was om vast te stellen of het onderzochte traject voldoende basis bood om een succesvolle invoering en werking van het trekkingsrechtsysteem voor het PGB mogelijk te maken en of bijsturing (op bepaalde projectonderdelen) wenselijk is dan wel noodzakelijk werd geacht. Ten tijde van deze review was het voornemen om de trekkingsrechten per 1-7-2014 in te voeren voor nieuwe cliënten en per 1-1-2015 voor bestaande budgethouders.

Het Review Team kwam, op basis van de bevindingen in de review, tot het oordeel dat zonder ingrijpende wijzigingen de invoering van de trekkingsrechten PGB op 1 juli 2014 respectievelijk 1 januari 2015 niet of nauwelijks haalbaar was. Een belangrijke aanbeveling was dat VWS de sturing en regie nadrukkelijker naar zich toe moest halen.

Deze aanbeveling is door VWS opgevolgd. In april is een programmamanager aangesteld met als opdracht deze regierol ter hand te nemen. Tevens is mede naar aanleiding van de uitkomsten van de Gateway besloten om de invoering van trekkingsrechten uit te stellen tot 1-1-2015. Ook is vastgesteld dat er later dat jaar opnieuw een gateway review uitgevoerd moest worden om de haalbaarheid van de geplande invoering opnieuw te toetsen.

IT-audit september 2014

Tussen 27 augustus en 30 september 2014 heeft een IT-audit plaatsgevonden. Deze audit uitgevoerd op verzoek van het Ministerie van VWS en in opdracht van de Raad van Bestuur van de SVB door Deloitte Risk Services onder aansturing en verantwoordelijkheid van de Auditdienst SVB. Het Ministerie van VWS heeft dit verzoek gedaan om te borgen dat er goed zicht is op de voortgang van het project op drie IT-gerelateerde aspecten. De doelstelling van het onderzoek was ook om inzicht te verschaffen in de feitelijke situatie ten aanzien van deze IT-gerelateerde aspecten. De resultaten van dit onderzoek zijn neergeslagen in een bevindingenrapport en stelden de Raad van Bestuur van de SVB in de gelegenheid om aan het Ministerie van VWS te rapporteren over de voortgang op deze aspecten van het project.

Het bevindingenrapport stelde de SVB tevens in staat om voor de onderzochte aspecten aanvullende eisen te formuleren en gericht actie te ondernemen.

Het onderzoek omvatte een drietal specifieke aandachtsgebieden, die ten tijde van het IT-onderzoek door het Ministerie van VWS werden beschouwd als risicovolle aspecten in de voorbereiding op de uitvoering van de trekkingsrechten PGB door de SVB. Het betrof de aspecten beveiliging, «performance» en haalbaarheid om op 1 januari 2015 te starten met de uitvoering.

De resultaten van het onderzoek zijn beschreven in een bevindingenrapport (d.d. 15 oktober 2014). In dit bevindingenrapport is tevens te zien aan de hand van welke vragen Deloitte haar onderzoek heeft uitgevoerd. Op basis van dit rapport heeft de Auditdienst van de SVB aanbevelingen geformuleerd voor de SVB. De belangrijkste zijn:

  • Op het terrein van de «performance» gold dat ten tijde van het onderzoek de belangrijkste aanbeveling betrekking had op de responstijd van de portals waar mensen gebruik van maken. De aanbeveling was om de responstijd continu te monitoren en om, als de responstijd onder een bepaalde norm zakte, snel in te grijpen om deze responstijd te verkorten. De SVB heeft deze aanbeveling opgevolgd.

  • Voor de portals werd bevonden dat deze goed beveiligd zijn en voldoen aan de relevante ISO normen. Wel is aanbevolen om een risicoanalyse uit te voeren, die extra uitgangspunten biedt om de veiligheid in de komende tijd verder te verhogen. De SVB heeft deze risicoanalyse onderhanden.

  • Ten aanzien van de haalbaarheid van de invoeringsdatum 1-1-2015 was de belangrijkste aanbeveling om de wensen en eisen zo concreet mogelijk vast te stellen en gedurende verdere ontwikkeling niet meer te wijzigen. Om dit te realiseren is er door de SVB een Change Advisory Board ingesteld die wensen inventariseert, specificeert en de realisatie registreert. Voor de deadline van 1 januari gold dat de ingezette acties van de SVB hebben geleid tot het tijdig in productie nemen van de applicatie die nodig was om het systeem van trekkingsrechten in gebruik nemen.

Het onderzoek betrof specifiek overeengekomen werkzaamheden, resulterend in een rapport van feitelijke bevindingen. Het onderzoek is niet uitgevoerd in het kader van een assurance opdracht, derhalve wordt geen oordeel en of conclusie weergegeven in de rapportage.

Gateway review september 2014

Op 23 september 2014 heeft Bureau Gateway een tweede review opgeleverd over de invoering van de trekkingsrechten pgb. Het doel van deze gateway was om te bezien of de gehanteerde aanpak en geplande activiteiten voor de komende periode passen en toereikend waren.

Het Gateway Reviewteam was van mening dat de datum van 1 januari 2015 voor implementatie van het vastgestelde ambitieniveau voor het stelsel van trekkingsrechten PGB haalbaar was. Men constateerde tevens dat een aantal maatregelen om dit te realiseren moest worden genomen. Daarnaast constateerde men een sterke afhankelijkheid van het goed verlopen van de gegevensuitwisseling tussen partijen.

Voor alle aanbevelingen zijn acties en maatregelen geformuleerd. Daarbij is prioriteit gegeven aan de aanbevelingen die relevant waren voor de invoering per 1 januari 2015.

De Staatssecretaris van Volksgezondheid, Welzijn en Sport, M.J. van Rijn

X Noot
1

Raadpleegbaar via www.tweedekamer.nl

Naar boven