Brief regering : Antwoorden op vragen commissie van de V-100 bij het Jaarverslag Ministerie van Onderwijs, Cultuur en Wetenschap1 (thema Uitvoeringsaspecten DUO )

Nr. 9
BRIEF VAN DE MINISTERS VAN ONDERWIJS, CULTUUR EN WETENSCHAP EN VOOR PRIMAIR EN VOORTGEZET
ONDERWIJS

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 13 juni 2022

Hierbij stuur ik u de antwoorden op de vragen over het jaarverslag Onderwijs, Cultuur
en Wetenschap aan de hand van het thema Uitvoeringsaspecten DUO.

De Minister van Onderwijs, Cultuur en Wetenschap,
R.H. Dijkgraaf

De Minister voor Primair en Voortgezet Onderwijs, A.D. Wiersma

Vraag 1

In het verantwoordingsonderzoek OCW 2021 (Bijlage bij Kamerstuk 36 100 VIII, nr. 2), pagina 20, staat dat onvoldoende autorisatiebeheer bij de Dienst Uitvoering Onderwijs
(DUO) ertoe kan leiden dat medewerkers vertrouwelijke gegevens kunnen inzien en wijzigingen
kunnen doorvoeren terwijl ze dat niet mogen. Kunt u, gelet op het feit dat dit onder
andere kan leiden tot negatieve financiële effecten en continuïteitsproblemen en daarnaast
uit paragraaf 4.3.4 van dit onderzoek ook blijkt dat er nieuwe tekortkomingen bij
zijn gekomen in verschillende aspecten van het IT-beheer, toelichten hoe groot de
gevolgen van deze oude en nieuwe tekortkomingen in de ICT-systemen kunnen zijn? Zijn
hiervoor duidelijke risicoanalyses gemaakt en zo nee, waarom niet? Zo ja, is er op
basis van de bevindingen van het verantwoordingsonderzoek aanleiding om de risicoanalyses
te herzien en hoe?

Antwoord 1

Autorisatiebeheer en IT-beheer staan los van elkaar en het is niet zo dat de nieuwe
tekortkoming IT-beheer de tekortkoming autorisatie beheer erger maakt. Wij gaan kort
op beide in.

Ten aanzien van autorisatiebeheer: onvoldoende autorisatiebeheer kan, zoals in het
onderzoek ook staat vermeld, ertoe leiden dat medewerkers vertrouwelijke gegevens
kunnen inzien en wijzigingen kunnen doorvoeren terwijl ze dat niet mogen. Ondanks
dat DUO geen aanwijzingen heeft dat dit voorkomt én het geringe aantal accounts met
ruime bevoegdheden werkt DUO hard om de tekortkoming weg te werken en er zijn ook
al grote stappen gezet. Uitgangspunt is dat medewerkers alleen toegang hebben tot
applicaties waar dat nodig is om de dienstverlening mogelijk te maken. In 2021 is
gestart met de ingebruikname van een geheel nieuwe geautomatiseerde wijze van verstrekken,
wijzigen en intrekken van autorisaties. Dat wordt dit jaar afgerond. Hiermee heeft
DUO een structurele en toekomstbestendige wijze van beheren van autorisaties werkend.
Als regulier onderdeel van de zogenaamde plan-do-check-act cyclus, wordt het autorisatiebeheer
continu gemonitord op volledigheid en juistheid en zo nodig aangepast.

Ten aanzien van IT-beheer: de nieuwe tekortkoming houdt kortgezegd in dat ondermeer
de backups van systemen niet goed genoeg zijn en er meer aandacht moet zijn voor updates
van de systemen. Het in het verantwoordingsonderzoek geschetste beeld komt niet als
een verrassing en sluit aan bij de risicoanalyses die DUO continu maakt. DUO ziet
daarom ook geen aanleiding om de analyses te herzien. DUO erkent dus dat het IT-beheer
beter moet. Dit zal verder worden geïntensiveerd en worden ingebouwd in de reguliere
werkprocessen bij DUO waarmee veiligheid en daarmee ook goed IT-beheer nog meer onderdeel
wordt van het DNA van DUO.

Vraag 2

Op bladzijde 31 en 32 van het verantwoordingsonderzoek OCW 2021 concludeert de Rekenkamer
dat er periodieke autorisatiecontroles worden uitgevoerd, maar dat het niet inzichtelijk
is hoe de bevindingen van deze controles worden opgevolgd. Deelt u de conclusie van
de Rekenkamer? Zo ja, kunt u toezeggen dat in de toekomst de bevindingen van deze
periodieke controles wel geanalyseerd en gedocumenteerd worden? Zo nee, waarom niet?

Antwoord 2

DUO deelt de conclusie van de Rekenkamer dat de documentatie van de opvolging van
de bevindingen verbeterd kan worden. Naar aanleiding van deze bevinding brengt DUO
de voorschriften intern intensiever onder de aandacht en voegt als extra maatregel
toe dat periodiek, steekproefsgewijs reeds uitgevoerde controles worden getoetst op
volledigheid en juistheid.

Vraag 3

Op bladzijde 31 van het verantwoordingsonderzoek OCW 2021 staat dat DUO voldoende
inzicht heeft in de gebruikte ICT-applicaties en het bijkomstige onderhoud. Hoe kunt
u, gelet op het feit dat het BIT-advies Doorontwikkelen Applicatielandschap Bekostiging2
(Blueriq) laat zien dat er wel degelijk risico’s kunnen ontstaan in het ICT-landschap
binnen DUO, in samenwerking met DUO voorkomen dat soortgelijke risico’s in de toekomst
ontstaan in het kader van duurzaamheid, zoals de continuïteit van personeel, personeelstekort,
en tijdelijke externe medewerkers?

Antwoord 3

DUO heeft in beeld hoe het IT-landschap er uit ziet en in welke fase van de levenscyclus
de applicaties zich bevinden. Dit wordt bevestigd in het Verantwoordingsonderzoek
van de Rekenkamer. Die levensfase van een applicatie geeft aan wat er aan onderhoud
nodig is en of daarbij vervanging aan de orde is. Het Adviescollege ICT-toetsing heeft
gekeken naar de uitvoering van één van de vervangingstrajecten bij DUO. Eén van de
adviezen was om de sturing op IT te verbeteren. DUO werkt aan een verbeterplan inzake
de strategisch en tactisch sturing. De opvolging van de adviezen van het Adviescollege
verloopt via het verbeterplan. De continuïteit van personeel is daarbij een voortdurend
punt van aandacht waarmee niet alleen DUO, maar de gehele ICT-sector te maken heeft.

Vraag 4

In uw reactie op de door de Rekenkamer geconstateerde onvolkomenheden bij de informatiebeveiliging
van het autorisatiebeheer bij DUO (verantwoordingsonderzoek OCW 2021, p. 50–51) schrijft
u dat een Plan-Do-Check-Act (PDCA)-procedure ingezet zal worden om deze bestaande
meerjarige onvolkomenheid bij DUO te verbeteren. Hoe gaat u, gelet op het feit dat
deze onvolkomenheid al tenminste vier jaar bestaat (verantwoordingsonderzoek OCW 2021,
p. 5), deze PCDA-procedure concreet gebruiken om dergelijke meerjarige onvolkomenheden
het komende jaar te verhelpen? Hoe gaat u dit doen op een structurele en toekomstbestendige
manier met inachtneming van doorlopende actieve participatie van de dagelijkse gebruikers
van de IT-systemen bij DUO?

Antwoord 4

De PDCA-cyclus is het mechanisme dat DUO gebruikt om autorisaties te beheersen. DUO
past dit mechanisme al toe vanaf de start van het meerjarige programma in 2019 om
de tekortkoming weg te nemen. Het mechanisme is en blijft ook nodig na afronding van
het programma om actief, aantoonbaar de autorisaties blijvend te beheersen.

U geeft terecht aan dat deze onvolkomenheid al tenminste vier jaar bestaat. Ik wijs
u in dit licht op de eerder bij vraag 1 aangehaalde constatering in het verantwoordingsonderzoek
dat er op onderdelen onvoldoende sturing en beheersing is. Om deze onvolkomenheid
weg te werken heeft DUO een projectorganisatie ingericht en een meerjarig plan opgesteld
voor deze omvangrijke en complexe verbeteringen. Het verbeterplan waar nu volop aan
wordt gewerkt door DUO helpt ook betere uitvoering te geven aan de PDCA-procedure.
Daarbij wordt de voortgang autorisatiebeheer ook maandelijks gemonitord door de directie
FEZ van het departement. DUO rapporteert ook in de PDCA-procedure elke 4 maanden aan
de SG van OCW.

Vraag 5

In het jaarverslag van het Ministerie van Onderwijs, Cultuur en Wetenschap 2021 (Kamerstuk
36 100 VIII, nr. 1) staat op bladzijde 137 dat bij DUO de indicator klanttevredenheid klantcontact traditioneel
in 2021 is gedaald naar een 6,9 op een schaal van 0 tot 10, tegenover een 7,4 in 2020.
Hoe verklaart u, gelet op het feit dat op bladzijde 129 wordt aangegeven dat er in
2021 buiten de begroting 3,9 miljoen euro extra is ingezet om de capaciteit van de
telefonische bereikbaarheid voor studenten te verbeteren, ondanks de inzet van deze
extra middelen, de daling binnen deze indicator? Kunt u daarnaast aangeven of u verwacht
dat deze extra middelen de komende jaren zullen leiden tot een hogere score binnen
deze indicator? Kunt u, indien dit niet het geval is, tot slot aangeven hoe DUO de
score van deze indicator weer kan verbeteren, en of u verwacht dat hier wederom extra
middelen voor moeten worden ingezet?

Antwoord 5

De KPI klanttevredenheid klantcontact traditioneel (bemenste kanalen) wordt in belangrijke
mate bepaald door de gemiddelde wachttijd op het kanaal telefonie. In de eerste helft
van 2021 lag deze boven 8 minuten. Hierdoor daalde de klanttevredenheid. Oorzaak voor
de daling was de (langdurige) impact van de corona maatregelen op de productiviteit
en personele beschikbaarheid bij de betrokken afdelingen. In de zomer van 2021 is
DUO er in geslaagd de personele bezetting verder aan te vullen waarna de gemiddelde
wachttijd zich herstelde, hetgeen ook waarneembaar was in de KPI klanttevredenheid
op de traditionele kanalen. De verwachting is dat de KPI in 2022 opnieuw op of boven
de 7 zal liggen.

Sinds 2018 is DUO jaarlijks incidenteel € 3,9 mln. ter beschikking gesteld, om een
gemiddelde wachttijd van 8 minuten te realiseren. Structurele financiering is nog
niet beschikbaar, waardoor er jaarlijks een afwijking op de basisfinanciering gemeld
wordt.