Brief regering : Opvolging verantwoordingsrapportage 2021 BZK

Nr. 7
BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 5 oktober 2022

Met deze brief wil ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en
Koninkrijksrelaties, informeren over de opvolging binnen mijn Ministerie van de aanbevelingen
die door de Algemene Rekenkamer (AR) zijn gedaan in haar rapportages van het Verantwoordingsonderzoek
2021 (Bijlage bij Kamerstuk 36 120 VII, nr. 2). De afgelopen twee jaar bent u hierover ook schriftelijk geïnformeerd1.

Voor de opvolging van de aanbevelingen die zijn gedaan in de rapportages voor de begrotingshoofdstukken
IIA en IIB, hebben de Hoge Colleges van Staat vanuit hun onafhankelijke positie een
eigenstandige verantwoordelijkheid. Waar gewenst ondersteunt en adviseert mijn ministerie
hen ten aanzien van de aanpak van de daar geconstateerde onvolkomenheden en aandachtspunten.

Voor de opvolging van de aanbevelingen die betrekking hebben op de begrotingshoofdstukken
IV, VII, het Gemeente- en Provinciefonds en het BES-fonds, heeft mijn directie Financieel
Economische Zaken (FEZ) haar coördinerende rol in 2021 geïntensiveerd. Uit het Verantwoordingsonderzoek
van de AR over 2021 is geconcludeerd dat de helft van de onvolkomenheden op begrotingshoofdstuk
VII (vijf van de tien) zijn opgelost. Dit komt vooral doordat een aantal meerjarige
trajecten tot een goed einde zijn gebracht. De betere bewaking van de voortgang van
de lopende verbetertrajecten, waarvoor ook een Monitoringscommissie is ingesteld,
heeft dit bespoedigd. Deze aanpak zal ik voortzetten. In het vervolg van deze brief
zal ik ingaan op de opvolging van de onvolkomenheden en de termijn waarbinnen ik verwacht
die te hebben opgelost. Uiteraard is het voorbehoud op zijn plaats dat pas uit het
Verantwoordings-onderzoek over 2022 het oordeel van de AR zal volgen welke onvolkomenheden
zij als opgelost beschouwt.

Opvolging onvolkomenheden

In de onderstaande tabel zijn de onvolkomenheden, die zijn gerapporteerd in het Verantwoordingsonderzoek
2021, gerangschikt naar de te verwachten termijn van oplossen. Hiervoor is dezelfde
categorisering aangehouden die de afgelopen twee jaar is gebruikt. Per categorie zal
na de tabel voor iedere onvolkomenheid nader worden toegelicht hoe in de opvolging
is voorzien.

Categorie

Onderwerpen

a. Beschouwd als opgelost,

de verbetermaatregelen zijn geïmplementeerd en de werking wordt dit jaar aangetoond.

Voorschottenbeheer agentschappen,

Coördinatie SiSa-controle

b. Dit jaar oplosbaar,

de verbetermaatregelen worden dit jaar in opzet geïmplementeerd.

Opbrengsten RvIG,

SSC-ICT beveiliging IT-componenten

c. Langere termijn

Vergen meerjarige aanpak

IT-beheer SSO-CN,

Rijksbreed IT-beheer

d. Proactief handelen

Er is nog geen sprake van onvolkomenheden en het streven is om dat te voorkomen.

Aandachtspunten uit het verantwoordingsonderzoek 2021

a. Beschouwd als opgelost

De volgende twee onvolkomenheden worden beschouwd als opgelost omdat alle verbetermaatregelen
al waren uitgevoerd in 2021, waarvan alleen de werking nog in 2022 moet worden aangetoond.

• Om voorschotten aan agentschappen voldoende te onderbouwen en monitoren, heb ik in 2021 verbeteringen doorgevoerd in
de processen, de werkinstructies en de monitoring. Daarmee zijn de verbetermaatregelen
ook in opzet geïmplementeerd, zoals in de brief van vorig jaar was toegezegd. Ik heb
in 2022 opnieuw dossieronderzoek gedaan om inzicht te krijgen in de werking van de
verbeteringen, en zal dit vervolgen met een aanvullend dossieronderzoek later in het
jaar. Ook zal ik een automatiseringsslag doorvoeren, waardoor het monitoringsproces
efficiënter wordt en duidelijker inzicht geeft in de voorwaarden en afspraken over
de voorschotverlening aan agentschappen.

• Voor mijn systeemverantwoordelijkheid voor de coördinatie SiSa2
-controle heb ik in 2021 mijn visie uitgewerkt en vastgelegd. In 2022 zal ik de coördinatie
uitvoeren volgens dit visiedocument waarbij ik mijn regie beter zichtbaar zal maken
en de risico’s en afwegingen zal vastleggen. Ook is al met de Auditdienst Rijk afgesproken
dat over 2021, net als afgelopen jaar, 25 reviews zullen plaatsvinden. Dit is een
relatief omvangrijk aantal deelwaarnemingen, mede vanwege het stijgende aantal en
de financiële omvang van de specifieke uitkeringen.

b. Dit jaar oplosbaar

Met dit jaar oplosbaar wordt bedoeld dat de voorziene verbetermaatregelen dit jaar
in opzet worden geïmplementeerd. De vervolgstap is dat ook de werking van die verbetermaatregelen
aantoonbaar moet zijn. Het kan zijn dat pas over het jaar 2023 die werking aantoonbaar
wordt gevonden door de AR.

• Vorig jaar werd in deze brief toegezegd dat de onvolkomenheid van de Rijksdienst voor Identiteitsgegevens (RvIG) dat jaar oplosbaar zou zijn. RvIG heeft de afgelopen jaren diverse maatregelen getroffen
om de juistheid en volledigheid van de aantallen berichten aantoonbaar te maken. Deze
berichtenaantallen vormen het uitgangspunt voor de facturatie van de Basisregistratie
Personen (BRP). Het proces dat leidt tot registratie van het aantal uitgewisselde
BRP-berichten is door RvIG uitbesteed aan twee partijen. Voor het aantoonbaar maken
van de betrouwbaarheid van het aantal uitgewisselde berichten, maakt RvIG met beide
partijen afspraken over het ontvangen van onafhankelijke verantwoordingsrapportages
met betrekking tot het aantal berichten. Met de ene partij was dit gelukt in 2021
maar met de andere organisatie nog niet. Bij die organisatie is in 2021 door externe
omstandigheden een vertraging opgetreden in de uitvoering van benodigde activiteiten.
In 2022 zijn inmiddels met deze partij afspraken gemaakt en zullen de resterende stappen
gezet worden.

• SSC-ICT heeft vanuit het meerjarig transitietraject een groot aantal ADR bevindingen alsmede
een belangrijk aantal onderliggende problemen van meer structurele aard opgelost.
Dat heeft ertoe geleid dat in 2021 de onvolkomenheid voor «gebruikersbeheer» in voldoende
mate is opgelost.

Daarmee resteert de onvolkomenheid «beveiliging van componenten». In de brief van
vorig jaar was ook al aangegeven dat er een overloop van de maatregelen naar 2022
plaats zou vinden. Naast het oplossen van de nog openstaande ADR bevindingen en het
voltooien van een aantal specifieke maatregelen, gaat het in 2022 met name om de implementatie
van een In Control Framework dat zich in 2023 verder moet gaan bewijzen.

c. Langere termijn

Binnen de categorie «langere termijn» vallen de onvolkomenheden waarvoor de aanpak
om ze op te lossen langer nodig heeft dan het lopende jaar, dus wanneer de verbetermaatregelen
ook nog na het jaar 2022 worden uitgevoerd. De werking van deze verbetermaatregelen
is pas daarna aantoonbaar.

• De AR concludeerde dat in 2021 de belangrijkste doelen uit het verbeterplan van de
Shared Service Organisatie van Caribisch Nederland (SSO-CN) niet zijn gerealiseerd. SSO-CN heeft eind 2021 het lopende traject geïntensiveerd
en een projectleider aangesteld om de IT-beheerprocessen op orde te brengen en verbeteringen
op het vlak van informatiebeveiliging door te voeren. Hierin zijn reeds goede stappen
gezet in 2022 en staan nog belangrijke resultaten gepland richting einde dit jaar,
zoals het borgen en continu verbeteren van IT-beheer en het structureel verbeteren
van de (keten)samenwerking tussen SSO-CN en haar afnemende departementen en diensten.
In de gekozen aanpak is borging van de processen in het dagelijks handelen binnen
de organisatie SSO-CN een essentieel onderdeel om de onvolkomenheid duurzaam te verhelpen.
De afronding van het verbetertraject loopt zodoende over de jaargrens en is voorzien
medio september 2023.

Tijdens het wetgevingsoverleg op 4 juli 2022 over het jaarverslag en de slotwet 2021
Koninkrijksrelaties en het BES-fonds (Kamerstuk 36 100 IV, nr. 20) heeft de Staatssecretaris een tussenrapportage over het oplossen van deze onvolkomenheid
toegezegd vóór de begrotingsbehandeling 2023. In deze tussenrapportage zult u nader
geïnformeerd worden.

• Voor de onvolkomenheid Rijksbreed IT-beheer oordeelde de AR dat in 2021 een eerste bescheiden stap is gezet door BZK om de bestaande
kaders te optimaliseren, maar dat het tempo niet hoog genoeg was. Ook voor de invulling
van de toezichthoudende rol door BZK zag de AR ruimte voor verbetering/verbreding.
De Staatssecretaris omarmde deze conclusies en de aanbevelingen. Voor Rijksbreed IT-beheer
zijn voor 2022 en 2023 mijlpalen gedefinieerd voor:

○ Het verkrijgen van inzicht in de status van de vier beheerdomeinen

▪ Autorisatiebeheer

▪ Wijzigingsbeheer

▪ Beveiliging van componenten

▪ Back-up en recovery

bij de departementen (het «IT Beheer Beeld»)

○ Het verkrijgen van inzicht in de effectiviteit van bestaande kaders op deze domeinen

○ Inrichten van proces voor onderhoud van bestaande kaders en maken van nieuwe kaders
(Plan-Do-Check-Act cyclus)

○ Inrichten van blijvende monitoring op de status van Rijksbreed IT-beheer met nadruk
op de vier beheerdomeinen

Dit zal gefaseerd worden uitgevoerd waarbij gestart wordt met de ICT dienstverleners
van het Rijk waarna de scope wordt uitgebreid naar een rijksbrede uitvraag bij alle
departementen.

Met deze mijlpalen verwacht de Staatssecretaris stappen te zetten in 2022, maar de
aanpak zal zeker ook in 2023 nog doorlopen.

d. Proactief handelen

Net als voor de onvolkomenheden, is ook voor de aandachtspunten uit het verantwoordingsonderzoek een plan van aanpak opgesteld en wordt de opvolging
daarvan ook door de Monitoringscommissie bewaakt. Dit doen we om te voorkomen dat
deze aandachtspunten verslechteren. Daarom wil mijn ministerie hier proactief op handelen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
H.G.J. Bruins Slot