Brief regering : Reactie op het BIT-advies van het Adviescollege ICT-toetsing over ''Realisatie JBZ-systemen Ketenvoorzieningen”

26 643
Informatie- en communicatietechnologie (ICT)

Nr. 754
BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 28 maart 2022

Bijgaand ontvangt u, mede namens de Staatssecretaris van Justitie en Veiligheid, het
definitieve advies van het Adviescollege ICT-toetsing (verder het Adviescollege) inzake
de door het college uitgevoerde toets bij het project «Realisatie JBZ-systemen Ketenvoorzieningen»
(hierna: het project JBZ-systemen)1,2. Dit advies heb ik op 28 februari 2022 van de voorzitter van het Adviescollege en
de Secretaris-directeur van het Adviescollege ontvangen. Hierbij ontvangt u tevens
de bestuurlijke reactie bij dit advies.

Het project JBZ-systemen realiseert een IT-voorziening (het Europaloket) voor de invoering
van Nederlandse implementatie van een aantal EU-verordeningen die gaan over de buitengrenzen
van het EU-gebied en de veiligheid.3

Graag bedank ik het Adviescollege voor het uitgevoerde onderzoek. De bijzondere omstandigheden
die COVID-19 tijdens het onderzoek met zich bracht, heeft van beide partijen de nodige
flexibiliteit gevraagd. Dit is in goede samenwerking verlopen en hiervoor ben ik het
team van het Adviescollege zeer erkentelijk.

Het Adviescollege heeft geconcludeerd dat er een risico bestaat dat Nederland niet
-tijdig- kan voldoen aan de EU-eisen voor beveiliging en privacybescherming, omdat
de aansluiteisen en governancestructuur voor de ketenpartners en de eisen voor het
Europaloket onvoldoende zijn uitgewerkt. Het adviescollege adviseert -kort gezegd-
om:

1. binnen de keten Grenzen en Veiligheid een eenduidige en transparante governance voor
beveiliging en privacybescherming in te richten;

2. de eisen voor het Europaloket aan te scherpen en;

3. maatregelen te nemen om het risico op verdere uitloop te beperken.

Ten aanzien van het eerste advies merk ik allereerst op dat het project één onderdeel
(het Europaloket) realiseert in een complexe keten, waarin iedere ketenpartner een
eigenstandige verantwoordelijkheid heeft.

Hoewel het inrichten van een governancestructuur in de keten niet tot de opdracht
van het project behoort, waardeer ik het dat het Adviescollege ketenbrede adviezen
verstrekt.

Ik heb daarom direct actie ondernomen, de security-en privacyafspraken zijn aangescherpt
en worden afgestemd met de ketenpartners. Dat geldt eveneens voor de aansluitvoorwaarden
op het Europaloket. Tevens zal ik meer sturing aanbrengen op de implementatie van
deze eisen. De aanbeveling om een onafhankelijke partij de in-control-verklaringen
(ICV) van de ketenpartners te laten toetsen, neem ik daarin mee.

Het tweede advies om de specificaties van het Europaloket te completeren, wordt eveneens
uitgevoerd. Samen met de ketenpartners worden de specificaties expliciet vastgesteld
en in de planning van het project opgenomen. Hierbij merk ik wel op dat de Agile-ontwikkelmethodiek,
in combinatie met de veranderende specificaties die vanuit Europa worden opgelegd,
ruimte moet laten voor wijzigingen. Ook uit de diverse testtrajecten kunnen nog wijzigingen
naar voren komen die moeten worden doorgevoerd.

Met betrekking tot de derde aanbeveling, om maatregelen te nemen om het risico op
uitloop te beperken, merk ik op dat de planning van het project JBZ-systemen complex
is en diverse Europese- en nationale afhankelijkheden kent. Centraal staat de opgelegde
taakstellende planning vanuit Europa. Deze Europese planning is echter voortdurend
aan veranderingen onderhevig, met name in deze fase door de vertragingen bij de ontwikkeling
door het Europese agentschap eu-LISA van de centrale Europese systemen.

In december 2021 heeft de JBZ-raad, als besluitvormende raad voor de gehele Europese
implementatie, ingestemd met een wijziging van de planning. De implementatie van het
SIS (Schengeninformatiesysteem) is verschoven van februari 2022 naar juni 2022 en
de implementatie van het EES (Entry-en Exit-Systeem) is verschoven van mei 2022 naar
september/oktober 2022.

In de diverse Europese gremia benadruk ik dat een succesvolle implementatie van de
verordeningen afhankelijk is van stabiele en kwalitatief hoogwaardige Europese centrale systemen, in dit geval EES en SIS, die worden ontwikkeld door eu-LISA.

Ik benadruk -ook bij de Europese Commissie- dat Nederland na de oplevering van de
centrale systemen nog voldoende tijd moet hebben om alle nationale systemen en processen
in combinatie met de Europese systemen goed te kunnen testen. Aan deze randvoorwaarden
is nog niet voldaan en ik heb hier samen met diverse lidstaten, waaronder Duitsland,
mijn zorg over uitgesproken.

Het project heeft de planning op basis van het besluit uit december 2021 van de JBZ-raad
aangepast en is in control. Samen met de ketenpartners worden voortdurend de risico’s
getoetst en worden indien nodig maatregelen genomen.

De grootste risico’s voor uitloop liggen echter m.i. bij de vertraagde oplevering
van de systemen door eu-LISA in combinatie met de taakstellende Europese planning.

Ik zal de Kamer van de implementatie van de Europese verordeningen op de hoogte houden.

Ik dank het adviescollege nogmaals hartelijk voor de verrichte werkzaamheden en het
opgestelde advies.

De Minister van Justitie en Veiligheid,
D. Yeşilgöz-Zegerius