Brief regering : ICT bij het CBR
29 398 Maatregelen verkeersveiligheid
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 701 BRIEF VAN DE MINISTER VAN INFRASTRUCTUUR EN WATERSTAAT
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 8 mei 2019
In het VAO over het CBR op 17 april 2019 (Handelingen II 2018/19, nr. 76, item 11) heb ik u toegezegd dat ik voor 8 mei een brief zou sturen over de ICT bij het CBR
ter voorbereiding op een debat. In deze brief ga ik in op de volgende aspecten rond
dit onderwerp:
1. De kostenstijgingen van het programma Rijgeschiktheid aan het Stuur, inclusief de
vraag van het lid Van Brenk (50plus) over de informatie op het ICT-dashboard;
2. De veiligheid van klantgegevens en de privacy in relatie tot de vraag van het lid
Groothuizen (D66) over de verouderde ICT bij het CBR1;
3. De feiten rond het vertrek van een voormalige ICT-manager;
4. De vraag van het lid Laçin (SP) tijdens het VAO van 17 april 2019 over een Wob-verzoek.
1. Programma Rijgeschiktheid aan het Stuur
Het ICT-project van het CBR waarover in de Zembla uitzending van 18 april 2019 werd
bericht, is het programma Rijgeschiktheid aan het Stuur (hierna: RGahS).
U bent de afgelopen jaren via de zbo-bijlage van het IenW-jaarverslag op hoofdlijnen
geïnformeerd over dit programma, omdat het een belangrijk programma is binnen het
CBR voor de verbetering van de dienstverlening aan de klanten van het CBR. Het eerste
moment waarop richting uw Kamer bedragen zijn genoemd voor het programma RGahS is
de publicatie op het Rijks ICT-dashboard van april 2017, waarin de stand per ultimo
2016 is opgenomen2. Daarbij is tevens informatie opgenomen over de diverse kwaliteitstoetsen die door
externe partijen op het programma zijn uitgevoerd.
Vermelding RGahs op het Rijks ICT-dashboard
Het Rijks ICT-dashboard is ingesteld als één van de beheersingsmaatregelen om meer
zicht en sturing te krijgen op ICT-projecten bij de overheid. Zbo’s vallen daaronder
en dienen hun projecten te melden aan de verantwoordelijke Minister. De regels rond
de publicatie van projecten op het Rijks ICT-dashboard gelden voor het CBR sinds het
in 2013 een publiekrechtelijk zbo is geworden. Tot en met november 2015 heeft het
CBR aan het ministerie aangegeven dat zij volgens hun interpretatie géén projecten
hadden die voldeden aan de rapportage-eisen voor het Rijks ICT-dashboard, omdat de
ICT-component van het programma RGahS kleiner was dan € 5 miljoen. In de bijlage3 bij deze brief is een toelichting opgenomen over de regels rond het melden van grote
ICT-projecten op het Rijks ICT-dashboard.
In de brief van november 2015 heeft het CBR aan het ministerie aangegeven dat er één
project onderhanden was met een ICT-component van ruim € 4 miljoen. Hiervoor is op
13 november 2015 een offerte-aanvraag verzonden naar beoogde uitvoerende partijen.
Het CBR gaf aan dat de biedingen op de offerte-aanvraag invloed konden hebben op de
omvang van het project. Eind januari 2016 waren de offertes beschikbaar. Na de keuze
die daarop volgde en de gesprekken tussen de gekozen uitvoerende partij en de eigen
IT-afdeling van het CBR is door het CBR een aangepaste business case gemaakt. Op basis
van mondelinge signalen over de aanpassing van de business case is begin mei 2016
door het ministerie aan het CBR de vraag gesteld of de ICT-component van het programma
RGahS de grens van € 5 miljoen zou gaan overschrijden. Daarop is door het CBR en het
ministerie alsnog vastgesteld dat de raming van de ICT-component van het programma
Rijgeschiktheid aan het Stuur hoger was dan € 5 miljoen en is de procedure opgestart
om het programma op te nemen op het Rijks ICT-dashboard. Het programma is gepubliceerd
in april 2017 bij de jaarlijkse actualisatie van het Rijks ICT-dashboard. De Kamer
is vanaf dat moment jaarlijks geïnformeerd over het kostenverloop van het programma.
Gezien het bovenstaande is mijn conclusie dat de publicatie van RGahS op het Rijks
ICT-dashboard één jaar eerder had kunnen plaatsvinden, in het voorjaar van 2016 in
plaats van het voorjaar 2017, als eerder in 2016 de conclusie was getrokken dat de
raming van de ICT-kosten van het project over de € 5 miljoen grens was gegaan. Bij
de publicatie van RGahS op het Rijks ICT-dashboard is ervoor gekozen om informatie
te publiceren vanaf de bijgestelde business case van februari 2017, omdat de ramingen
daarvoor sterk fluctueerden.
Overzicht kostenstijging RGahS in de afgelopen jaren
In de Zembla-uitzending is gemeld dat de uiteindelijke kosten van het programma RGahS
uitkomen op € 50 miljoen. Ik geef u hieronder de ontwikkeling van de kostenramingen
van het project, eindigend met het meest actuele inzicht.
In de initiële raming van het CBR van juli 2014 werden de totale programmakosten voor
het programma Rijgeschiktheid aan het Stuur geraamd op € 7 miljoen. De ICT-component
daarbinnen was kleiner dan € 5 miljoen, waardoor het project niet voldeed aan de rapportage-eisen
voor vermelding op het Rijks ICT-dashboard. Op basis van de nadere detaillering van
de processen, de inschatting van de benodigde tijd voor de bouw van het systeem op
basis van de uitgevoerde functiepuntenanalyse en de uitkomsten van de aanbesteding
is de kostenprognose bijgesteld. In juni 2016 bedroeg de totale programmakostenprognose
van het CBR € 13,2 miljoen. Bij de start van de bouwfase bleek na korte tijd (ongeveer
een kwartaal) dat de bouw van het systeem langer zou gaan duren en daardoor significant
meer zou gaan kosten dan gedacht. Als gevolg daarvan heeft het CBR de raming bijgesteld.
Doordat sprake is van een ontwikkelcontract (een zgn. time and material contract)
in plaats van een contract met een vaste aanneemsom (een zgn. fixed price contract)
ligt het risico voor kostenoverschrijdingen bij de opdrachtgever (het CBR). Bij de
eerste melding op het Rijks ICT-dashboard in april 2017 was de totale programmakostenprognose
van het CBR € 23,7 miljoen. De huidige programmakostenprognose van het CBR tot de
afronding van het project eind 2019 bedraagt € 34,2 miljoen (excl. reorganisatievoorziening
ad € 4,6 miljoen). Dit is de laatste prognose van het CBR die ik eind maart 2019 heb
gepubliceerd op het Rijks ICT-dashboard bij de jaarlijkse actualisatie.
De kostenstijging tussen de start van het programma in 2014 en de huidige prognose
is veroorzaakt doordat er pas gaandeweg volledig inzicht kwam in de reikwijdte van
het programma. Ook zijn gaandeweg de inzichten gewijzigd over de te hanteren projectaanpak
en ontwikkelmethodiek en heeft zich een aantal tegenvallers voorgedaan tijdens de
bouw van het systeem, zoals de inschatting van de benodigde tijd om de gevraagde systeemfunctionaliteit
op te leveren. Ik concludeer dat bij het programma RGahS vooraf onvoldoende duidelijk
was wat er precies nodig was, welke aanpak tot het beste resultaat zou leiden en hoeveel
dit zou gaan kosten. Om helder te krijgen wat hier is gebeurd en hiervan te leren,
heb ik het CBR gevraagd om na de volledige oplevering van het systeem het programma
RGahS voor de zomer van 2020 onafhankelijk te laten evalueren.
Eerste resultaten van het systeem
Het programma RGahS is in gebruik. In april 2019 nam het CBR 75% van de besluiten
met het nieuwe systeem. Het CBR heeft mij gemeld dat er de komende maanden een stapsgewijze
verdere uitrol van het systeem zal plaatsvinden. Het CBR verwacht dat rond de zomer
100% van de nieuwe aanvragen «Medisch» wordt behandeld in het nieuwe systeem, gevolgd
door het operationaliseren van het proces «Mededelingen» (het afhandelen van mededelingen
van politie en justitie) in het najaar van 2019. Op dat moment zal deze noodzakelijke
investering voor de verbetering van het klantproces, het verkorten van de doorlooptijden
en de ontwikkeling van de Divisie Rijgeschiktheid om kostendekkend te gaan werken,
volledig operationeel zijn.
2. Veiligheid klantgegevens / privacy
In het AO CBR van 12 maart 2019 (Kamerstuk 29 398, nr. 678) heb ik u gemeld dat het CBR nog niet voldoet aan de AVG (Algemene Verordening Gegevensbescherming)
en dat ik het CBR heb gevraagd om met een plan van aanpak te komen. Het CBR heeft
dit opgesteld en toegezegd dat de uitvoering dit jaar zal zijn afgerond. Daarmee voldoet
het CBR eind 2019 aan de AVG.
In de Zembla-uitzending werd aandacht besteed aan het feit dat door het CBR nog gebruik
gemaakt wordt van verouderde ICT-systemen voor de opslag van medische gegevens (Windows
XP en Oracle 9). Het lid Groothuizen (D66) heeft hierover een vraag gesteld. Het CBR
heeft mij toegelicht dat de verouderde ICT-systemen voor het rijgeschiktheidsproces
en voor de opvolging van mededelingen van politie en justitie deels nog werken met
het besturingssysteem Windows XP. Zij maken daarbij gebruik van een Oracle database
versie 9. Het CBR heeft mij gemeld dat dit op beperkte schaal en in een veilige afgesloten
omgeving gebeurt, tot het moment dat het nieuwe systeem volledig operationeel is.
Om beveiligingsrisico’s van buitenaf zo veel mogelijk uit te sluiten treft het CBR
technische beveiligingsmaatregelen. Het CBR heeft het vertrouwen dat deze maatregelen
afdoende zijn om de vertrouwelijkheid van de gegevens van burgers te waarborgen, totdat
de verouderde systemen eind van dit jaar zijn uitgefaseerd.
Ik vind het zeer belangrijk dat de relevante technische maatregelen zijn getroffen
om de risico’s op het lekken van medische en andere klantgegevens tot een absoluut
minimum te beperken. Daarom heb ik, naar aanleiding van de Zembla uitzending, het
CBR gevraagd om een externe partij een second opinion te laten geven op de bovengenoemde
technische beveiligingsmaatregelen om ongewenste toegang van buitenaf te voorkomen.
3. Voormalig ICT-manager in Zembla-uitzending
Bij het CBR is navraag gedaan naar de omstandigheden rond het vertrek van de voormalige
ICT-manager die in de Zembla-uitzending aan het woord kwam. In de uitzending werd
de voormalig ICT-manager gepresenteerd als klokkenluider en werd gemeld dat hij vanwege
vermeende malversaties moest vertrekken bij het CBR. Het betrof een extern ingehuurde
medewerker, voor wie ook de klokkenluidersregeling geldt. Het CBR heeft geen melding
van betrokkene gekregen in het kader van de klokkenluidersregeling. Zoals gebruikelijk
als het gaat om een casus van een individu, ga ik hier om privacy redenen verder niet
op in. In algemene zin vind ik het belangrijk dat er ruimte is voor medewerkers om
misstanden te kunnen melden. Daarom heb ik bij het CBR het belang benadrukt van een
goede klokkenluidersregeling.
4. Stand van zaken Wob-verzoek CBR
Door het lid Laçin (SP) is gevraagd naar de stand van zaken van een Wob-verzoek. Ik
ga er vanuit dat het hier gaat om het Wob-verzoek dat RTL op 7 mei 2014 heeft gedaan
aan het CBR om informatie uit documenten over uitgevoerde interne audits. Het CBR
heeft mij gemeld dat, na diverse juridische procedures, de Afdeling bestuursrechtspraak
van de Raad van State op 18 januari 2018 het hoger beroep van RTL gegrond heeft verklaard
en het CBR heeft opgedragen om, met inachtneming van de uitspraak, een nieuwe beslissing
op bezwaar te nemen. Het CBR heeft hieraan gevolg gegeven en heeft bij brief van 28 februari
2018 een nieuwe beslissing op bezwaar aan RTL verzonden. Naar aanleiding van de uitspraak
van de Raad van State heeft het CBR een aantal passages uit de documenten over uitgevoerde
interne audits openbaar gemaakt. RTL heeft tegen deze laatste beslissing geen beroep
ingesteld waarmee de Wob-procedure is beëindigd.
De Minister van Infrastructuur en Waterstaat, C. van Nieuwenhuizen Wijbenga
Ondertekenaars
-
Eerste ondertekenaar
C. van Nieuwenhuizen Wijbenga, minister van Infrastructuur en Waterstaat