Brief regering : Reactie op uitgangspuntennotitie Grensverleggende IT

Nr. 4
BRIEF VAN DE STAATSSECRETARIS VAN DEFENSIE

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 14 januari 2022

Hierbij wil ik u bedanken voor de uitgangspuntennotitie «Groot Project Grensverleggende
IT» (GrIT) van 9 december 20211. Ik heb kennisgenomen van de notitie en zal deze gebruiken als leidraad voor de GrIT-rapportages.
Conform de wens van de Kamer streef ik naar actieve informatievoorziening waarbij
ik zoveel als mogelijk conform de uitgangspunten zal rapporteren. Wel verzoek ik de
Kamer kennis te nemen van onderstaande overwegingen en waarom ik niet alle uitgangspunten
volledig kan overnemen. De uitgangspunten waar onderstaande overwegingen niet op van
toepassing zijn verwerk ik in de rapportages.

Verschijningsmomenten en planning

Ik neem kennis van het voorstel van de Kamer aangaande de frequentie en timing van
de voortgangsrapportages en zal de Kamer, zoals gevraagd, twee keer per jaar een rapportage
doen toekomen. Wel vraag ik begrip voor de beoogde omvang van de rapportages en de
capaciteit die hiermee gemoeid zal zijn. Om zo doelmatig en doeltreffend mogelijk,
in de aankomende tien jaar, de Kamer van de juiste informatie te kunnen voorzien,
is een solide basisrapportage randvoorwaardelijk. Om deze op te stellen vraag ik voldoende
tijd. Ik verwacht de Kamer een goede basisrapportage rond de zomer, maar uiterlijk
voor 1 oktober 2022, te kunnen doen toekomen. Daarin zal ik ook de periode van 1 januari
2022 tot en met het verschijnen van de basisrapportage meenemen. Ik stel voorts voor
de rapportages gelijk uit te sturen met de accountantscontrole van de Auditdienst
Rijkt (ADR). De Kamer zal tot het verschijnen van de basisrapportage geïnformeerd
worden via het Defensieprojectenoverzicht (DPO). Tot slot streef ik ernaar de rapportages,
conform de wens van de Kamer, zo compact en visueel mogelijk te maken.

Nieuwe gezamenlijke organisatie

De Kamer geeft aan dat GrIT naast een nieuwe IT-infrastructuur ook een nieuwe gezamenlijke
organisatie oplevert die verantwoordelijk is voor de uitvoering van het project en
de exploitatie van de nieuwe IT-infrastructuur. De Kamer wenst geïnformeerd te worden
over de verdere ontwikkeling hiervan, zodat zij inzicht heeft in de manier waarop
Defensie in alle omstandigheden borgt dat zij zelfstandig operaties kan uitvoeren.

GrIT wordt gebouwd en geëxploiteerd in samenwerking met een consortium van marktpartijen
in gezamenlijke teams, bestaande uit personeel van Defensie en een marktconsortium.
In zowel de basisrapportage als in de voortgangsrapportages zal ik de Kamer hierover
informeren. Ik wijs er echter op dat GrIT de vernieuwing van een groot deel van de
IT-infrastructuur van Defensie betreft, maar dat GrIT niet de volledige digitale transformatie
bewerkstelligt die Defensie in staat stelt zelfstandig operaties te kunnen blijven
uitvoeren. Hiervoor zijn ook andere projecten en activiteiten binnen het IT-landschap
relevant die buiten de programmascope van GrIT vallen.

In de reactie op het vierde BIT-advies heeft mijn voorganger de Kamer inzicht gegeven
in de drie niveaus die Defensie hanteert bij de governance van GrIT (Kamerstuk 31 125, nr. 115). Zoals ik hierboven aangaf zal ik de Kamer met de GrIT-rapportages informeren over
hetgeen zich afspeelt op het programmaniveau van GrIT. Wel zal ik in mijn rapportages
rekenschap geven van alle drie niveaus, waarvoor ik in het bijzonder inzicht in de
regie-organisatie noem.

Inzicht in beveiligingsincidenten en -maatregelen

De Kamer schrijft dat de nieuwe IT-infrastructuur gebruikt zal worden voor het verzamelen,
koppelen, analyseren en toepassen van data. Om deze reden verzoekt de Kamer in de
rapportages een overzicht te geven van vigerende wet- en regelgeving alsmede een vermelding
of Defensie hieraan voldoet en om daarbij ook in te gaan op de (cyber)veiligheidsrisico’s,
beveiligingsincidenten en consequenties en maatregelen hieromtrent.

Op de vernieuwde IT-infrastructuur kunnen uiteenlopende activiteiten, met behulp van
aansluitende materiële infrastructuur en applicaties, uitgevoerd worden. De door de
Kamer opgebrachte activiteiten omtrent het verzamelen en toepassen van data valt echter
niet binnen de programmascope van GrIT. Ook de manier waarop Defensie omgaat met data
en beveiligingsincidenten, en het registreren van welke er zijn geweest, is geen onderdeel
van het programma GrIT.

Ik begrijp de wens tot inzicht in de voorziene beveiliging van data en de borging
van digitale weerbaarheid in de door Defensie gebruikte systemen en onderschrijf het
belang hiervan. Waar relevant voor het programma GrIT zal ik de Kamer hierover met
de GrIT-rapportages informeren.

Commerciële vertrouwelijkheid en (technische) afhankelijkheid van derden

Voor sommige uitgangspunten rond GrIT geldt dat Defensie in voorkomende gevallen informatie
aanmerkt als (commercieel-)vertrouwelijk. Indien sprake is van informatie die niet
openbaar gemaakt kan worden zal ik u met een commercieel-vertrouwelijke bijlage bij
de rapportages informeren, zoals dit door Defensie ook eerder rond GrIT is gedaan.
Als basis zal altijd de business case gelden die mijn voorganger de Kamer vertrouwelijk toezond op 11 februari 2021 (Kamerstuk
35 728, nr. 2). In de begeleidende brief bij de business case heeft mijn voorganger de Kamer ook meer verteld over de overwegingen die Defensie
maakt aangaande commerciële vertrouwelijkheid.

Voor dit punt wil ik specifiek ingaan op het verzoek van de Kamer om aan te geven
van welke organisaties, bedrijven en landen Defensie momenteel (technisch) afhankelijk
is en om daarbij in te gaan op welke wijze Defensie een relatie met deze derden heeft
en welke risico’s hier spelen. Hierover deel ik u mee dat Defensie, mede naar aanleiding
van eerdere BIT-adviezen, te allen tijde het recht blijft voorbehouden om blokken
aan andere marktpartijen te gunnen (Kamerstuk 31 125, nr. 115). Defensie werkt hiervoor met terugval- en exitplannen, waarover Defensie ook (vertrouwelijk)
rapporteert aan de Kamer. Voorts is relevant dat hetgeen Defensie aankoopt of opbouwt
eigendom zal zijn van Defensie en dat Defensie hiervoor eigen personeel opleidt.

Een overzicht van derde partijen kan ik, gelet op commerciële vertrouwelijkheid, niet
opnemen in de openbare basisrapportage. Voor een overzicht van derde partijen waar
Defensie via het consortium mee samenwerkt wijs ik op de eerder met de Kamer gedeelde
business case. Dit overzicht kan ik bijvoegen in een commercieel vertrouwelijke bijlage bij de
basisrapportage. Indien er zich wijzigingen binnen de business case voordoen of voor zullen doen, bijvoorbeeld wanneer Defensie GrIT-blokken aan een
andere partij zal gunnen dan aanvankelijk was beoogd, zal ik de Kamer hierover informeren,
eventueel via vertrouwelijke bijlage.

Financiële informatievoorziening

Ik streef in de openbare rapportage naar een zo volledig mogelijk beeld van de financiële
voortgang en zal, waar relevant, meer details verwerken in een vertrouwelijke bijlage.
Het uitsplitsen van financiële informatie per blok beschouw ik als commercieel-vertrouwelijke
informatie. Dit omdat het openbaar worden ervan een risico vormt voor de onderhandelingspositie
van Defensie wanneer Defensie voor een andere leverancier voor de blokken zou (willen)
kiezen.

Voor de volledigheid wijs ik er voorts op dat de exploitatiekosten van de reguliere
bedrijfsvoering van Defensie niet onder de verantwoordelijkheid vallen van het programma
GrIT. Uiteraard kunnen ontwikkelingen in exploitatiekosten wel van invloed zijn op
het programma. Indien sprake is van ontwikkelingen die raken aan het programma GrIT
zal ik daarover rapporteren. In de basisrapportage zal ik dit verder vorm geven. In
algemene zin geef ik alvast aan dat ik voor wat betreft de financiële informatie aansluit
bij de reikwijdte van de eerder met de Kamer gedeelde business case.

Accountantscontrole van de Auditdienst Rijk

De ADR zal voorafgaand aan de basisrapportage een voorstel doen voor het door haar
uit te voeren onderzoek voor de basisrapportage en de verdere (jaarlijkse) voortgangsrapportages.
Ik informeer u voorts dat informatie van derden die bij Defensie beschikbaar is, vanzelfsprekend
beschikbaar is voor controle door de Algemene Rekenkamer en de ADR. Informatie die
valt onder de non-disclosure agreements kan daarbij derhalve worden ingezien. De ADR heeft daarnaast de mogelijkheid om,
bij uitzondering en in afstemming met Defensie en opdrachtnemer(s), informatie in
te winnen of een onderzoek in te stellen naar activiteiten van opdrachtnemer(s).

Met de beperking ten aanzien van het openbaar maken van informatie dient de controlerende
instantie in diens rapportage rekening te houden.

De Staatssecretaris van Defensie,
C.A. van der Maat