Brief regering : Reactie op het BIT advies programma SAMEN
26 643 Informatie- en communicatietechnologie (ICT)
Nr. 659
BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 17 januari 2020
Inleiding
Het Bureau ICT Toetsing (BIT) heeft in de periode van juli tot en met september 2019
onderzoek verricht naar het programma SAMEN bij Logius en heeft op 11 december het
uiteindelijk advies opgeleverd. Ik dank het BIT voor het uitgebrachte advies, dat
ik als waardevol beschouw. Met deze brief bied ik u het BIT-advies1 en mijn reactie op dit advies aan.
Logius
Logius is als agentschap van mijn ministerie verantwoordelijk voor de realisatie van
belangrijke bouwstenen van de digitale overheid. Denk daarbij aan inloggen bij overheden
(DigiD), het uitwisselen van gegevens tussen overheden en bedrijven (waaronder de
Digipoort) en het versturen van digitale berichten aan burgers (via de MijnOverheid
Berichtenbox).
Deze digitale dienstverlening is volop in ontwikkeling en er wordt veel gedaan om
beoogde maatschappelijke doelen te behalen (zie de NL DIGIbeter: Agenda Digitale Overheid).
Logius betrekt de afnemers van haar diensten (onder meer Belastingdienst, UWV, gemeenten)
actief in de prioritering van werkzaamheden via de SAFe agile werkwijze2. Deze verandering is in 2019 ingezet en Logius is bezig met het verder versterken
van de eigen organisatie. Het behalen van de maatschappelijke doelen vraagt adequate
ontwikkeling van de diensten van Logius en het onderliggende technische fundament.
Denk daarbij aan de hard- en software die nodig is om de bovengenoemde diensten te
leveren aan burgers, bedrijven en overheden. Tegelijkertijd garandeert Logius de continuïteit
van het huidige dienstenaanbod met de voortdurende doorontwikkeling van dit fundament.
Het programma SAMEN
De dienstverlening van Logius is grotendeels uitbesteed aan marktpartijen. Een aantal
van de contracten voor de dienstverlening van Logius loopt af. Het gaat daarbij om
het contract voor de volledige IT-infrastructuurdienstverlening (gericht op servers,
opslag, monitoring van beveiliging, et cetera) en om het contract dat gaat over de
levering van diensten voor de uitwisseling van gegevens tussen overheden (hierna Digipoort,
zie onderstaand kader voor een nadere toelichting). Het huidige contract voor Digipoort
is in oktober 2019 afgelopen. Ik heb ervoor gekozen om de overeenkomst voort te zetten
voor een periode van maximaal drie jaar. Deze (weliswaar onrechtmatige3) voortzetting is nodig om de continuïteit van de dienstverlening te waarborgen. Het
contract voor de huidige infrastructuur loopt in november 2020 af.
Om de continuïteit van de dienstverlening ook na 2020 te borgen en te voorkomen dat
er verdere onnodige onrechtmatigheid optreedt binnen de bestaande dienstverlening
van Logius, worden er onder het Programma SAMEN twee aanbestedingen voorbereid en
uitgevoerd;
– de eerste aanbesteding ziet op de herbouw van Digipoort: de dienstverlening die berichtenverkeer
tussen overheden onderling en bedrijven mogelijk maakt;
– de tweede aanbesteding beoogt een nieuwe infrastructuurleverancier te contracteren
waarbij de dienstverlening verder wordt gecontinueerd.
Wat is Digipoort?4
Digipoort is de ICT-centrale waar berichtenverkeer voor de overheid wordt afgehandeld.
Digipoort werkt als een digitaal postkantoor.
– Digipoort ontvangt het bericht;
– Controleert het bericht op een aantal eisen;
– Bevestigt, desgewenst namens de organisatie, de ontvangst van het bericht.
Met Digipoort automatiseren overheidsorganisaties, waaronder UWV, KvK, DUO en de Belastingdienst,
belangrijke stappen in het verwerkingsproces van grote hoeveelheden aangiftes, rapportages
of meldingen, waardoor organisaties winst behalen in tijd, kosten én kwaliteit. Hun
informatie wordt door Digipoort veiliger en nauwkeuriger verwerkt.
Het programma SAMEN realiseert, naast het contracteren van bovengenoemde dienstverlening,
ook de overgang van de huidige naar de nieuwe leveranciers. Daarmee garandeert het
programma SAMEN de continuïteit van Digipoort en alle andere dienstverlening van Logius
die draait op de infrastructuur, waaronder DigiD en MijnOverheid. Het BIT heeft in
zijn advies tevens gekeken naar de ontwikkelingen rondom een platform dat Logius wil
gaan gebruiken om cloudtechnologie te benutten. Dit platform vormt geen onderdeel
van de nu voorliggende aanbesteding.
Het BIT-advies
Het BIT geeft in zijn advies aan risico’s te zien in de veelheid aan ontwikkelingen5 bij Logius, de uitgangspunten die daarin worden gehanteerd en onderlinge afhankelijkheden
tussen deze ontwikkelingen. Geadviseerd wordt om gemaakte keuzes ten aanzien van verantwoordelijkheidsverdeling
tussen Logius en de toekomstige leveranciers te herzien en de plannen voor de verdere
aanbesteding te versterken.
De aanbevelingen om niet te veel tegelijkertijd en onder eigen verantwoordelijkheid
te doen neem ik ter harte. Echter dient de continuïteit van de dienstverlening wel
geborgd te worden. Daarom moeten de aanbestedingen worden uitgevoerd. De BIT-adviezen
zijn gebruikt om de strategie in deze aanbestedingen te wijzigen. Door de nieuwe aanpak
meen ik de aanbestedingen in lijn met het BIT-advies door te kunnen zetten, teneinde
de onrechtmatigheid zo kort mogelijk te houden en de continuïteit te borgen. Ik neem
met een strategie, die bestaat uit twee delen, meer tijd om in beheerste stappen het
technische fundament van Logius te vernieuwen.
Deze strategie betekent het volgende:
– ten eerste wordt ingezet op de aanbesteding voor de herbouw van Digipoort waarbij,
in lijn met het BIT-advies, verantwoordelijkheid bij leveranciers wordt belegd. Daarbij
wordt waar mogelijk hergebruik gemaakt van de bestaande Digipoortcode. Logius voert
momenteel nadere onderzoeken uit naar de herbruikbaarheid van deze code. De organisatieveranderingen
die Logius doorvoert worden hierdoor, conform het BIT-advies, losgekoppeld van deze
aanbesteding;
– ten tweede wordt de aanbesteding voor het beheer en onderhoud van de huidige infrastructuur
voortgezet. In deze aanbesteding wordt meer tijd genomen om Digipoort en alle dienstverlening
van Logius beheerst over te brengen naar de nieuwe infrastructuur.
Met deze strategie wordt de noodzakelijke continuïteit geborgd en geef ik invulling
aan de BIT-adviezen. Bovengenoemd voornemen heeft tot gevolg dat er meer tijd wordt
uitgetrokken om de eerder genoemde organisatorische ontwikkelingen binnen Logius bij
elkaar te brengen. Het programma SAMEN heeft, op basis van het advies, meer tijd genomen
om te komen tot betere planvorming, afstemming en nadere onderzoeken. Nadere onderzoeken
worden uitgevoerd naar de herbruikbaarheid van de Digipoortcode en kosten van de verschillende
scenario’s die nog mogelijk zijn. De volgende stap in de aanbesteding voor de raamovereenkomst
kan daarmee in januari 2020 doorgang vinden.
Met het uitstel en de gewijzigde strategie zijn kosten gemoeid. Ik laat door een externe
partij onderzoeken tot welke extra kosten verschillende scenario’s, die mogelijk zijn
binnen de gewijzigde strategie, leiden. Ik verwacht daar eind maart 2020 een beeld
van te hebben. Op basis daarvan neem ik een besluit over het te volgen scenario.
Hieronder informeer ik u op een meer gedetailleerd niveau hoe de verschillende adviezen
worden opgevolgd.
Tot slot
Ik dank het BIT voor zijn advies. Het advies zal bijdragen aan de kwaliteit van het
programma SAMEN en de sturing hierop. Ik vertrouw erop dat de genomen en de nog te
nemen maatregelen naar aanleiding van het BIT-advies het programma SAMEN verder versterken
en dat de aanbestedingen en bijbehorende transitie daarmee succesvol kunnen worden
gerealiseerd. Over het verdere verloop van het programma SAMEN zal ik de Kamer informeren.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
R.W. Knops
BIJLAGE 1. REACTIE OP DE ADVIEZEN VAN HET BIT
1. Neem continuïteit en kostenbeheersing als uitgangspunt
– Het advies om volledige herbouw van Digipoort te voorkomen neem ik ter harte. Herbouw
vindt enkel plaats waar dat absoluut nodig is. Daartoe laat ik momenteel een extern
onderzoek uitvoeren naar de herbruikbaarheid van delen van de huidige Digipoort-code.
– Het BIT adviseert verantwoordelijkheden voor de herbouw en het beheer van Digipoort
zoveel mogelijk bij een leverancier te beleggen. Ik ben voornemens de aanbesteding
van Digipoort in meerdere nadere overeenkomsten (NOK’s) te splitsen en gefaseerd in
de markt uit te zetten. Hierin neem ik dit BIT-advies mee.
– Het BIT adviseert af te stappen van het idee om zelf een eigen IT-platform in te richten.
In het advies komt een tweetal zaken terug:
• de infrastructuurleverancier zal de technologie leveren en is verantwoordelijk voor
het 24x7 operationeel houden van de infrastructuur voor het containerplatform.
• voor de configuratie van dit platform overweegt Logius om de opzet van het bestaande
en beproefde SP Cloud platform te gebruiken. Het BIT ziet dit als een experimentele
technologie. Dit platform is binnen de rijksoverheid ontwikkeld en is enige jaren
bij het Ministerie van Infrastructuur en Waterstaat in productie. Over het overnemen
van dit platform heb ik nog geen definitief besluit genomen.
Ik neem bij de besluitvorming over SP Cloud de adviezen van het BIT inzake het kennisniveau
van Logius, de voor- en nadelen van het zelf in beheer nemen van onderdelen en de
regiefunctie binnen Logius mee. Vooralsnog wordt periodiek bezien of Logius gereed
is deze taken op zich te nemen. De werkzaamheden hiervoor vallen buiten het programma
SAMEN. Als ervoor wordt gekozen om over te stappen op deze technologie wordt in de
migratiestrategie, op basis van risicoanalyse, rekening gehouden met de volgorde waarin
de dienstverlening van Logius over gaat.
2. Maak een realistisch plan en stuur op de uitvoering daarvan
– Continuïteit van dienstverlening is essentieel en komt nadrukkelijk aan de orde in
het BIT-advies. De migratie van de Logius dienstverlening houd ik zo eenvoudig mogelijk
door na gunning aan de nieuwe infrastructuurleverancier zo veel als mogelijk één-op-één
over te zetten. Het plan per onderdeel van de dienstverlening wordt samen met de nog
te contracteren infrastructuurleverancier gemaakt. Bij het plan voor de migratie moeten
niet enkel financiële en technische risico’s in ogenschouw worden genomen, maar wordt
tevens gekeken naar de impact van migraties op de maatschappelijke doelen en wensen
van afnemers die met de diensten van Logius moeten worden bereikt.
– In de aanbestedingsstrategie is ervoor gekozen om de duur en daarmee kosten van de
transitie naar de nieuwe leverancier te beperken. Daarvoor gebruik ik kennis uit de
markt. Aan de inschrijvers vraag ik, als onderdeel van de aanbesteding, een uitgebreid
transitie/migratieplan op te leveren. Zodoende zorg ik ervoor dat de periode van de
overgang en dubbele kosten zoveel mogelijk worden beperkt.
– Sinds het BIT onderzoek heeft gedaan, heeft het programma SAMEN voor de infrastructuur
reeds een «SMART»6 programma van eisen opgesteld. Voor de aanbesteding van Digipoort is het opstellen
van een programma van eisen in de volgende fase (NOK-fase) voorzien. Voor de aanbesteding
van Digipoort wordt in de volgende fase een programma van eisen opgesteld conform
standaarden die in internationaal vastgestelde normen voor programma’s van eisen voor
ICT-projecten zijn vastgelegd (bijv. NEN-5326 en ISO-29148, de opvolger van IEEE-830).
– Het BIT adviseert tevens afhankelijkheden met andere initiatieven binnen Logius in
kaart te brengen. De afhankelijkheden met andere ontwikkelingen binnen Logius worden
door het BIT gezien als belangrijk risico voor het programma SAMEN. Het directieteam
van Logius zorgt voor de samenhang tussen de verschillende ontwikkelingen. De SAFe
werkwijze biedt de mogelijkheid om de benodigde flexibiliteit in werken te realiseren.
Daarnaast is er gestructureerd overleg met de verschillende programmamanagers die
uitvoering geven aan deze ontwikkelingen, wordt er een risicoparagraaf opgesteld en
wordt er vanuit het portfoliomanagement van Logius gestuurd op afhankelijkheden.
– Het BIT adviseert een businesscase op te stellen voor het gehele programma SAMEN.
Momenteel wordt er gewerkt aan een nadere financiële onderbouwing van de bestaande
raming van april 2019 voor het programma SAMEN. Deze onderbouwing laat ik extern valideren.
De nadere financiële onderbouwing wordt meegenomen in de verschillende (migratie-)scenario’s
die mogelijk zijn. Daarmee hoeft de aanbesteding in de huidige fase niet stopgezet
te worden, omdat de gekozen strategie ruimte biedt om later te beslissen over deze
scenario’s. Deze aanpak moet ertoe leiden dat het programma SAMEN voortgang blijft
maken en onnodige kosten worden voorkomen.
– Het eerlijke speelveld («level-playing-field») dat het BIT benoemt bewaak ik actief
door te handelen conform de beginselen van aanbestedingswetgeving, zoals non-discriminatie,
gelijke behandeling, proportionaliteit en transparantie. Dit onder andere op basis
van onze beoordelingsmethodiek en toegang tot de onderliggende informatie en data
van de bestaande dienstverlening. De infrastructuur wordt thans afgenomen als een
dienst. De hardware is geen eigendom van Logius. Het al dan niet toe zijn aan vervanging
van de hardware is een vraagstuk voor de huidige en/of toekomstige leverancier. Deze
kunnen naar eigen inzicht, binnen de kaders gesteld in het contract, besluiten welke
apparatuur wordt ingezet of verkocht.
Indieners
-
Indiener
R.W. Knops, minister van Binnenlandse Zaken en Koninkrijksrelaties