Brief regering : Opvolging verantwoordingsrapportage 2022 BZK

Nr. 80 BRIEF VAN DE MINISTER VAN BINNENLANDSE ZAKEN EN KONINKRIJKSRELATIES

Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 20 november 2023

Met deze brief informeer ik u, mede namens de Staatssecretaris van Binnenlandse Zaken
en Koninkrijksrelaties, over de opvolging binnen mijn Ministerie van de aanbevelingen
die door de Algemene Rekenkamer (AR) zijn gedaan in haar rapportages van het Verantwoordingsonderzoek
2022. De afgelopen drie jaar bent u hierover ook schriftelijk geïnformeerd1.

In de schriftelijke beantwoording van 18 oktober 2023 van de vragen die u heeft gesteld
tijdens de begrotingsbehandeling BZK 2023, is u ook toegezegd dat u deze brief zou
ontvangen met een update over de openstaande bevindingen uit het Verantwoordingsonderzoek
(2023Z17730).

Voor de opvolging van de aanbevelingen die zijn gedaan in de rapportages voor de begrotingshoofdstukken
IIA en IIB, hebben de Hoge Colleges van Staat vanuit hun onafhankelijke positie een
eigenstandige verantwoordelijkheid. Waar gewenst ondersteunt en adviseert mijn ministerie
hen ten aanzien van de aanpak van de daar geconstateerde onvolkomenheden en aandachtspunten.

Voor de opvolging van de aanbevelingen die betrekking hebben op de begrotingshoofdstukken
IV, VII, het Gemeente- en Provinciefonds en het BES-fonds, heeft mijn directie Financieel
Economische Zaken (FEZ) de coördinerende rol. Hiervoor is door FEZ onder andere een
Monitoringscommissie ingesteld die de voortgang van de verbetertrajecten bewaakt.
In het vervolg van deze brief zal ik ingaan op de opvolging van de onvolkomenheden
en de termijn waarbinnen ik verwacht die te hebben opgelost. Uiteraard is het voorbehoud
op zijn plaats dat pas uit het Verantwoordingsonderzoek over 2023 het oordeel van
de AR zal volgen welke onvolkomenheden zij als opgelost beschouwt.

Voor de volledigheid wil ik u erop wijzen dat de interim- rapportage 2023 van de Auditdienst
Rijk inmiddels ook openbaar beschikbaar is2.

Opvolging onvolkomenheden

In de onderstaande tabel zijn de onvolkomenheden, die zijn gerapporteerd in het Verantwoordingsonderzoek
2022, gerangschikt naar de te verwachten termijn van oplossen. Hiervoor is dezelfde
categorisering aangehouden die de afgelopen drie jaar is gebruikt. Per categorie zal
na de tabel voor iedere onvolkomenheid nader worden toegelicht hoe in de opvolging
is voorzien.

Categorie

Onderwerpen

a.

Beschouwd als opgelost

De verbetermaatregelen zijn geïmplementeerd en de werking wordt dit jaar aangetoond.

SSC-ICT beveiliging IT-componenten

b.

Dit jaar oplosbaar

De verbetermaatregelen worden dit jaar in opzet geïmplementeerd.

Voorschottenbeheer agentschappen, Opbrengsten RvIG,

SSC-ICT inkoopbeheer inhuur externen, IT-beheer SSO-CN

c.

Langere termijn

Vergt meerjarige aanpak

Rijksbreed IT-beheer

d.

Proactief handelen

Er is nog geen sprake van onvolkomenheden en het streven is om dat te voorkomen.

Aandachtspunten uit het Verantwoordingsonderzoek 2022

a. Beschouwd als opgelost

De onvolkomenheid SSC-ICT beveiliging IT-componenten wordt beschouwd als opgelost omdat alle verbetermaatregelen al waren uitgevoerd in
2022, waarvan alleen de werking nog in 2023 moet worden aangetoond. De IT-systemen
die SSC-ICT beheert kennen onderliggende componenten, zoals databases, die beveiligd
moeten zijn tegen ongeautoriseerde toegang, wijzigingen of dataverlies. In 2022 zijn
nog openstaande bevindingen van de Auditdienst Rijk opgelost en een aantal specifieke
maatregelen vanuit het verbeterproject «Hardening» voltooid. Het doel van «hardening»
is om zo veel mogelijk veiligheidsrisico’s te elimineren. In 2022 is verder gewerkt
aan het systematisch versterken van het stelsel van interne controle en beheersing
door de implementatie van het In Control Framework. De werking van het In Control
Framework wordt in 2023 geëvalueerd en doorontwikkeld. In 2023 gaat het er nog om
dat de monitoring aantoonbaar moet functioneren.

b. Dit jaar oplosbaar

Met dit jaar oplosbaar wordt bedoeld dat de voorziene verbetermaatregelen dit jaar
in opzet worden geïmplementeerd. De vervolgstap is dat ook de werking van die verbetermaatregelen
aantoonbaar moet zijn. Het kan zijn dat pas over het jaar 2024 die werking aantoonbaar
wordt gevonden door de AR.

• De onvolkomenheid Voorschottenbeheer agentschappen categoriseerde ik vorig jaar als opgelost, omdat de verbetermaatregelen in 2021 al
waren geïmplementeerd.

Om voorschotten van BZK aan de agentschappen binnen het Rijk voldoende te onderbouwen
en monitoren, waren in 2021 verbeteringen doorgevoerd in de processen, de werkinstructies
en de monitoring. In 2022 is opnieuw dossieronderzoek gedaan door de directie Financieel
Economische Zaken (FEZ) en de Auditdienst Rijk (ADR) om inzicht te krijgen in de werking
van de verbeteringen, met een aanvullend dossieronderzoek later in het jaar. Hieruit
blijkt dat de aangescherpte werkinstructies effect hebben en er geen sprake is van
parkeren van begrotingsgeld in de geanalyseerde periode.

Om een kwaliteitsslag te maken zodat het proces van het verstrekken van voorschotten
aan de agentschappen beter gemonitord en beheerst kan worden, wordt vanaf 2022 een
nieuwe tool ontwikkeld. Dit zorgt voor meer inzicht in de voorwaarden en afspraken
over de voorschotverlening aan agentschappen. Deze automatiseringsslag, die nog doorloopt
in 2023, vormt het sluitstuk voor het structureel monitoren van de voorschotten. Vanuit
dat oogpunt wordt deze automatiseringsslag als laatste verbetermaatregel gezien en
dat verklaart waarom hij nu als «dit jaar oplosbaar» is gecategoriseerd.

Om in de tussentijd, totdat de tool geïmplementeerd is, de voorschotten goed te kunnen
monitoren, is ervoor gekozen om naast de maandelijkse overleggen van Financieel Beheer
met de beleidsdirecties (die de opdrachten verstrekken aan de agentschappen), in 2023
tijdelijk te werken met een checklist. Uit een onlangs uitgevoerde dossiertoets is
gebleken dat deze checklist nog consequenter toegepast kan worden.

• De Rijksdienst voor Identiteitsgegevens (RvIG) ontvangt jaarlijks assurance rapportages waarmee de juistheid en de volledigheid
van de berichtenaantallen uitgewisseld tussen klant en de Basisregistratie Personen
(BRP) kan worden aangetoond. Voor één van de assurance onderzoeken 2022 is met een
beperkte reikwijdte gerapporteerd, waardoor het juist tot stand komen van de opbrengsten
van RvIG over 2022 niet volledig aantoonbaar was.

Er is een verbeterplan opgesteld om de bevindingen uit het assurance onderzoek 2022
op te lossen. De voortgang van de uitvoering van de verbetermaatregelen wordt op maandbasis
gerapporteerd door de leverancier aan RvIG. De uitbreiding van taken, en de beschikbare
capaciteit bij de betreffende leverancier zorgen ervoor dat RvIG moet prioriteren.
Hierdoor lopen verbeteracties door in 2024. RvIG neemt in overleg met de leverancier
in 2023 maatregelen om de restrisico’s te beperken. Over de prioritering vinden gesprekken
plaats met de opdrachtgever BZK.

De afgelopen twee jaar werd in deze brief toegezegd dat de onvolkomenheid van RvIG
dat jaar oplosbaar zou zijn. Voor controlejaar 2023 is de verwachting dat de assurance
rapportages begin 2024 beschikbaar zullen zijn die ook inzicht geven in de effectiviteit
van beheersmaatregelen. Daarmee zijn alle punten uit het plan van aanpak voor de onvolkomenheid
gerealiseerd. Ondanks de ambitie om de onvolkomenheid op te lossen, bestaat de kans
dat herprioritering effect heeft op de assurance rapportage en het kunnen oplossen
van de onvolkomenheid.

• Over 2022 heeft de AR tekortkomingen geconstateerd in het inhuurproces van SSC-ICT voor externen, waardoor er niet in alle gevallen voldaan is aan de hiervoor geldende eisen.

Daarom worden er in 2023 aanvullende verbijzonderde interne controlemaatregelen opgenomen
in het inkoopproces. Daarmee komt het proces in 2023 op orde. Daarnaast worden er
verbeteringen in de inkoopsystemen doorgevoerd, die zeer waarschijnlijk nog niet in
2023 effectief zullen zijn.

• Het verbetertraject om de onvolkomenheid IT-beheer SSO-CN op te lossen is sinds eind 2021 in de nodige versnelling gekomen. Over 2022 zag de
AR voortgang in het verbeteren van de informatiebeveiliging, en IT-beheer in het algemeen.
SSO-CN gaat in 2023 verder met de resterende verbeterpunten en is voornemens de verbetermaatregelen
in 2023 af te ronden. SSO-CN is zich bewust van de risico’s die de AR daarbij voorziet,
te weten het personeelsverloop in het management en mogelijke veranderingen in de
wensen van afnemers.

Tijdens het wetgevingsoverleg op 27 juni 2023 (Kamerstuk 36 360 IV, nr. 13) over het jaarverslag en de slotwet 2022 Koninkrijksrelaties en het BES-fonds heeft
de Staatssecretaris toegezegd u aan het einde van dit jaar te informeren over de stappen
die zijn gezet voor de onvolkomenheid van SSO-CN. Dat zal dus ook nog gebeuren.

c. Langere termijn

Binnen de categorie «langere termijn» valt de onvolkomenheid Rijksbreed IT-beheer waarvoor de aanpak om deze op te lossen langer nodig heeft dan het lopende jaar.
Het afronden van de verbetermaatregelen loopt namelijk door tot in 2024. De Staatssecretaris
werkt aan een algemene herziening van het CIO-stelsel om de toezichthoudende rol steviger
in te kunnen vullen. Dit houdt in dat er in het eerste kwartaal van 2024 een update
komt op het besluit CIO-stelsel. Met deze update wordt een aantal punten toegevoegd
zoals:

• Het toevoegen van onderraden aan het CIO-beraad, gedacht wordt aan bijvoorbeeld de
CTO-raad (Chief Technology Officer), Architectuur-raad, CPO-raad (Chief Privacy Officer) en de CDO-raad (Chief Data Officer)

• Herzien van het functioneren van de onder(raden) van het CIO-Beraad.

Er wordt een evaluatie van het huidige CIO-stelsel uitgevoerd door de ADR. De resultaten
van dit onderzoek worden in het voorjaar van 2024 verwacht, waarna deze kunnen worden
meegenomen in de noodzakelijke versterking van het stelsel.

Voor de onvolkomenheid Rijksbreed IT-beheer constateert de Algemene Rekenkamer dat
in 2022 stappen zijn gezet om de rijksbrede rol van BZK in het CIO-stelsel beter in
te vullen. De AR geeft daarbij aan dat de kaderstellende rol verder wordt ingevuld,
maar dat de toezichthoudende rol nog onvoldoende is ingevuld. De openstaande actiepunten
komen daarom ook terug in de vervolgaanpak voor deze onvolkomenheid. In 2023 en 2024
zullen de verbetermaatregelen verder worden geïmplementeerd.

De volgende twee belangrijke maatregelen worden genomen:

1. Door een jaarlijks terugkerend inzicht in de volwassenheid van het IT-beheer kan actief
gestuurd worden op het verbeteren van het IT beheer waar nodig. Deze sturing zal voornamelijk
gedaan worden via dezelfde methode die nu gebruikt wordt voor de informatiebeveiliging
binnen het CISO-stelsel (CIO-, en CISO-gesprekken en de hieraan gerelateerde interdepartementale
overleggen).

De C-functionarissen gaan jaarlijks in gesprek over de departementale plannen om de
bedrijfsvoering te verbeteren en rapporteren daarover aan CIO Rijk. De CIO Rijk zal
ze in het jaarlijkse gesprek aanspreken als blijkt dat er onvoldoende inzicht of voortgang
is.

2. De door CIO Rijk beheerde kaders met betrekking tot IT-beheer zullen in een jaarlijkse
cyclus worden beoordeeld door de departementen. Deze beoordeling zal gebruikt worden
om procesmatig bestaande kaders, zoals het handboek lifecyclemanagement (LCM), aan
te passen of nieuwe toe te voegen,. Deze kaders zijn gericht op de continuïteit (onderhouden,
beveiligen en vernieuwen) van IT-systemen.

Deze tweede maatregel zal in 2023 worden geïmplementeerd en in 2024 de eerste jaarlijkse
cyclus doorlopen. Voor de eerste maatregel, de uitvraag om inzicht te kunnen krijgen
in de volwassenheid van IT beheer, is in 2023 de basis gelegd door een nulmeting uit
te voeren bij de departementen en een aantal interne dienstverleners. Via het Informatiestatuut
wordt vastgelegd dat vanaf 2024 hierover jaarlijks wordt gerapporteerd. De nulmeting
vormt de input voor de eerste uitvraagcyclus die verder uitgewerkt moet worden. Daarom
loopt de maatregel door in 2024.

d. Proactief handelen

Net als voor de onvolkomenheden, is ook voor de aandachtspunten uit het Verantwoordingsonderzoek een plan van aanpak opgesteld en wordt de opvolging
daarvan ook door de Monitoringscommissie bewaakt. Dit doen we om te voorkomen dat
deze aandachtspunten verslechteren. Daarom wil mijn ministerie hier proactief op handelen.

De Minister van Binnenlandse Zaken en Koninkrijksrelaties, H.M. de Jonge