Brief regering : Derde BIT-advies programma ‘Grensverleggende IT’ (GrIT)

Nr. 104
BRIEF VAN DE STAATSSECRETARIS VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 2 juli 2019

Onlangs heeft het Bureau ICT Toetsing (BIT) mij het derde advies over het programma
«Grensverleggende IT (GrIT)» toegezonden. Dit advies is een vervolg op de eerdere
adviezen die het BIT over dit programma heeft uitgebracht in juni 2016 (Kamerstuk
31 125, nr. 68) en mei 2018 (Kamerstuk 31 125, nr. 84). Hierbij bied ik u dit advies1 en mijn reactie daarop aan.

Inleiding

Over de noodzaak en het belang van een nieuwe IT-infrastructuur voor Defensie bestaat
geen twijfel. Met GrIT werkt Defensie op innovatieve wijze met de markt aan een «state of the art» infrastructuur. Deze noodzakelijke vernieuwing is cruciaal in de doorontwikkeling
van Defensie als informatiegestuurde organisatie.

De hoofdconclusie op basis van het onderzoek van het BIT-team in de periode van januari
tot april 2019 is dat de risico’s van het programma GrIT nog steeds te hoog zijn.
Het BIT is van mening dat de aanbevelingen uit de eerdere adviezen onvoldoende zijn
opgevolgd en Defensie onvoldoende stuurt op het creëren van waarde voor de organisatie.
Defensie beschikt niet over de juiste stuurmiddelen om prestaties van de leverancier
af te dwingen. Ik onderschrijf deze conclusie.

Bij de start van het derde BIT-advies in januari dacht Defensie – mede op basis van
het bijgevoegde onderzoek van de Auditdienst Rijk2 – op de goede weg te zijn, maar dat er nog wel werk verzet moest worden. Parallel
aan het onderzoek bleek dat de aanbevelingen van het BIT nog onvoldoende waren uitgevoerd
om de risico’s van het programma tot een beheersbaar niveau terug te brengen. Daarbij
speelt dat ten tijde van de BIT-toets nog niet alle documenten gereed of van voldoende
kwaliteit waren. Ook de toetsing door de financiële commissie en de contractencommissie
was nog niet afgerond voordat het onderzoek van het BIT plaatsvond. Uit deze toetsing
bleek – in lijn met de conclusie van het BIT – dat Defensie nog niet klaar was om
tot gunning over te gaan.

Stappen na eerdere BIT-adviezen

De belangrijkste eerdere BIT-adviezen richten zich er op dat Defensie het werk moet
verdelen in kleinere meer beheersbare brokken en dat Defensie de opdracht voor nieuw
werk aan feitelijk succes van de leverancier moet koppelen. Het opnemen van de optie
om nieuwe leveranciers te introduceren maakt daar deel van uit. Daarnaast beveelt
het BIT aan de reorganisatie van het Joint IV Commando (JIVC) zo snel mogelijk af
te ronden en de regieorganisatie operationeel te maken.

Defensie heeft op basis van de eerdere BIT-adviezen een aantal stappen gezet. Zie
hiervoor ook het kopje over het ADR-onderzoek. Daarnaast zijn voor de specifieke aanbevelingen
de volgende acties in gang gezet:

Kleinere beheersbare brokken

Op basis van het tweede BIT advies zijn stappen gezet om te komen tot een fijnmaziger
planning. «Brokken» zijn in dit kader door Defensie vertaald naar kleinere opleveringen
van werkende IT-infrastructuur. Defensie is hierbij – achteraf gezien – te veel uitgegaan
van de techniek, in plaats van toegevoegde waarde voor de gebruiker, de business. Defensie heeft dus een andere interpretatie gehanteerd van «brokken» dan het BIT
in het BIT-2 advies heeft bedoeld.

Koppel nieuw werk aan feitelijk succes van de leverancier en creëer de mogelijkheid
nieuwe leverancier te introduceren

Ook ten aanzien van de sturingsmechanismen zijn stappen gezet, bijvoorbeeld door de
mogelijkheid te creëren dat activiteiten door een andere leverancier kunnen worden
uitgevoerd. Tevens is opgenomen dat Defensie een opdracht aan een derde partij kan
opdragen als de realisatie duurder uitvalt dan oorspronkelijk weergegeven in het prijzenblad.

Rond de reorganisatie JIVC af en maak de regie-organisatie operationeel

Hoewel de reorganisatie van JIVC is afgerond, constateert het BIT dat het toekomstige
samenwerkingsmodel nog niet is uitgewerkt en de regieorganisatie nog onvoldoende is
uitgewerkt. Deze constatering is juist. Zoals u weet is de reorganisatie van JIVC
en het operationeel maken van de regie- en beheerorganisatie een onderwerp waar Defensie
veelvuldig met de bonden over spreekt. Het vullen van de gemengde teams is van groot
belang voor het samenwerkingsmodel. Defensie moet daarover overeenstemming bereiken
met de bonden.

Afgelopen jaar heeft JIVC zich intensief voorbereid op de komst van GrIT. JIVC heeft
hiervoor gedegen plannen gemaakt, die in uitvoering zijn. Deze plannen sluiten aan
op de reeds bestaande inrichting van JIVC. De plannen zijn tot stand gekomen met intensieve
betrokkenheid van externe adviseurs, die ervaring hebben met regie en transitie.

Het ADR-onderzoek

In de aanloop naar het derde BIT-onderzoek heb ik de Auditdienst Rijk (ADR) gevraagd
te onderzoeken in hoeverre de adviezen van het BIT uit 2018 afdoende zijn verwerkt
in de aanbestedingsdocumentatie van en de randvoorwaarden voor het programma GrIT.
De ADR concludeert dat de meeste aanbevelingen zijn of op korte termijn kunnen worden
verwerkt. De ADR tekent daarbij aan dat er op het moment van hun onderzoek nog veel
werk moet worden verricht en de situatie rond de contractvorming GrIT nog in beweging
is. Ook geeft de ADR aan dat het voor hen lastig is om met de bril van het BIT te
kijken, omdat niet met het BIT is gesproken en er niet altijd een eenduidige relatie
is tussen bevindingen en aanbevelingen in het tweede advies van het BIT. Het onderzoek
biedt daarom een momentopname en beschrijft de stand van zaken op 18 december 2018.

De ADR constateert dat er sinds het tweede advies van 2018 enorm veel werk is verzet
door de mensen die betrokken zijn bij GrIT en dat daarmee veel van de opmerkingen
en aanbevelingen die het BIT destijds maakte zijn verwerkt. Wel constateert de ADR
dat nog niet alle aanbevelingen zijn verwerkt. Vooral op het gebied van de migratie
van applicaties is nog onduidelijkheid over de financiële en personele consequenties
en de planning.

Hoe nu verder?

Zoals ik eerder aangaf zijn er stappen gezet, maar zijn deze nog niet voldoende. Het
advies van BIT is duidelijk: voer wezenlijke aanpassingen door in de aanpak. Ik ondersteun
dat advies ook volledig.

Ik wil me zorgvuldig beraden op het vervolg van het programma. Hierbij bekijk ik twee
scenario’s. Ten eerste bekijk ik de mogelijkheid om de huidige aanpak aan te passen.
Daarnaast werk ik een scenario uit dat leidt tot een geheel andere aanpak van het
programma.

In de aanloop naar de te maken keuze zal een stuurgroep onder leiding van de Secretaris-Generaal
de besluitvorming voorbereiden. Hierbij worden nadrukkelijk de verschillende belangen
zoals financiën en inkoop betrokken. Vervolgens ben ik voornemens de governance van
de uitvoering van het programma aan te passen aan het gekozen scenario.

De komende maanden zal ik mij richten op het uitwerken van deze twee scenario’s. Daarbij
laat ik zorgvuldigheid prevaleren boven snelheid. Ik zal beide scenario’s uitwerken
en door een onafhankelijke externe partij laten valideren. Ik kan daarom nog geen
toezegging doen over het moment waarop ik u nader kan informeren, maar zal dat vanzelfsprekend
zo snel mogelijk na het nemen van een besluit doen.

Continuïteit huidige IT-infrastructuur

Duidelijk is dat de vernieuwing van de IT-infrastructuur langer op zich zal laten
wachten. Uit onderzoek van Deloitte blijkt dat de continuïteit van de IT dienstverlening
zonder aanvullende maatregelen gegarandeerd is tot in de periode 2020 – 2022. Defensie
zal de reguliere cyclus van lifecyclemanagement hanteren om de huidige IT op orde te houden en eventuele kwetsbaarheden op te lossen.
Deze uitwerking vindt parallel aan de uitwerking van de scenario’s plaats. Daarnaast
zal ik in de uit te werken scenario’s bekijken op welke manieren de grootste kwetsbaarheden
als eerste kunnen worden aangepakt.

Financiën

Het BIT wijst terecht op de financiële risico’s die aan het project zijn verbonden.
De business case was nog niet afgerond, waardoor er nog geen volledig zicht is op
de uiteindelijke kosten, baten en de financiële inpasbaarheid van het programma. Het
gesprek over de prijzenbladen liep bijvoorbeeld nog.

Op basis van de te ontwikkelen scenario’s zullen ook de consequenties voor de benodigde
middelen opnieuw in beeld moeten worden gebracht. Op dit moment heb ik nog geen inzicht
in de vraag wat de financiële consequenties van de scenario’s zullen zijn. Daar maken
we – parallel aan de uitwerking van de scenario’s een doorrekening van, die nog de
nodige tijd zal vergen.

De totale kosten en de beheersbaarheid van de financiële risico’s zullen onderwerp
zijn van een beoordeling van de financiële inpasbaarheid in de Defensiebegroting.
Zoals toegezegd, zal de business case voor eventuele gunning met de Kamer worden gedeeld.

Vooruitlopend op het vervolg wil ik u informeren dat ik verwacht dat een aantal kostenposten
zal toenemen. Het gaat hierbij om bijvoorbeeld de kosten voor de migratie van applicaties
en de kosten voor de programmaorganisatie en inhuur die daar mee gemoeid is. Ook de
afbouw van de huidige IT zal extra kosten met zich meebrengen. De exacte omvang daarvan
is nog niet bekend. Deze is mede afhankelijk van het te kiezen scenario. Wanneer ik
hierover duidelijkheid heb, wordt u nader geïnformeerd.

Tot slot

De benodigde uitwerking – ook ten aanzien van de financiële consequenties – is een
forse klus, die de nodige doorlooptijd zal vergen. Zoals ook uit het advies van het
BIT blijkt, is er werk aan de winkel. Ik heb het BIT voorgesteld in contact te blijven
over de stappen die ik zet om tot een weloverwogen keuze voor een van de scenario’s
te komen.

De Staatssecretaris van Defensie,
B. Visser