Lijst van vragen en antwoorden : Lijst van vragen en antwoorden over de kabinetsreactie op de notitie ICT-investeringen door de overheid (Kamerstuk 26643-794)

Nr. 803 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 10 december 2021

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de Staatssecretaris
van Binnenlandse Zaken en Koninkrijksrelaties en de Ministers van Economische Zaken
en Klimaat en van Justitie en Veiligheid over de brief van 22 oktober 2021 inzake
de kabinetsreactie op de notitie ICT-investeringen door de overheid (Kamerstuk 26 643, nr. 794).

De Staatssecretaris en Ministers heeft deze vragen beantwoord bij brief van 22 november
2021. Vragen en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie, Leijten

De adjunct-griffier van de commissie, Van Tilburg

1

Op welke termijn zullen de verzoeken om verhoging van het budget van de Autoriteit
Persoonsgegevens (AP) vanuit de Kamer in uitvoering worden gebracht

Antwoord:

De Minister voor Rechtsbescherming heeft per brief van 19 november 2020 de Tweede
Kamer geïnformeerd over de taken en middelen van de AP (Kamerstukken 25 268 en 32 761, nr. 192). Vanaf 2022 ontvangt de AP structureel zes miljoen euro extra.

2

Hoe verhouden de investeringen van de overheid in online veiligheid en cybersecurity
rond datalekken zich tot het budget van de AP?

Antwoord:

Investeringen van de overheid in online veiligheid en cybersecurity rond datalekken
staan niet in directe relatie tot het budget van de AP. Voor een toelichting op de
investeringen van de overheid in cybersecurity verwijs ik u naar het antwoord op vraag
18. De extra investeringen van het kabinet in de AP zoals genoemd in het antwoord
op vraag 1 maken geen onderdeel uit van de 95 miljoen euro structureel die het kabinet
in cybersecurity investeert.

3

Hoe verhoudt de stimulering van innovatie en de economische en maatschappelijke kansen
van digitalisering door EZK zich tot de bescherming van digitale grondrechten en het
budget van de AP?

Antwoord:

Het realiseren van maatschappelijke kansen van digitalisering lukt alleen als burgers
erop vertrouwen dat hun grondrechten daarbij worden gerespecteerd. Deze verwevenheid
is terug te zien in de Nederlandse Digitaliseringsstrategie (NDS). Deze strategie
is gebaseerd op enerzijds het op orde brengen van de fundamenten die aan verantwoorde
digitalisering ten grondslag liggen, zoals bijvoorbeeld door de introductie van nieuwe
wetgeving voor het digitale domein, en anderzijds het stimuleren van digitalisering
in verschillende domeinen om daar de kansen van digitalisering op een verantwoorde
wijze te benutten. Een voorbeeld van genoemde verwevenheid betreft de aanpak van het
kabinet op het gebied van artificiële intelligentie. Zo loopt er een programma met
calls bij NWO, voor het realiseren van onderzoekslabs voor de ontwikkeling en toepassing
van mensgerichte AI om publieke waarden en grondrechten bij AI-innovaties te borgen.
Als persoonsgegevens worden verwerkt dan voert de AP hier toezicht op uit. In de focus
AP 2020–2023 richt de AP zich op «dataprotectie in een digitale samenleving». Door
de Minister voor Rechtsbescherming is Per brief van 19 november 2020 uw Kamer geïnformeerd
over de taken en middelen van de AP (Kamerstukken 25 268 en 32 761, nr. 192). Vanaf 2022 ontvangt de AP structureel 6 miljoen euro extra. In de motie van de
leden Klaver en Ploumen (Kamerstuk 28 362, nr. 44) wordt de AP genoemd als een uitvoeringsorganisatie waarin geïnvesteerd moet worden.
Het is aan een volgend kabinet om te besluiten over een eventuele verdere uitbreiding
van de AP.

4

Hoe verhoudt de focus (van BZK) op een digitale samenleving én digitale overheid zich
tot de bescherming van digitale grondrechten en het budget van de AP?

Antwoord:

Het kabinet zet zich in voor een waardengedreven digitale samenleving waarin technologie
door de overheid en door andere partijen op een verantwoorde wijze wordt ingezet.
Dit betekent dat discriminatie of schendingen van de privacy door technologie moet
worden voorkomen. Daarom werkt het Ministerie van BZK aan (niet verplichte) instrumenten
zoals impact assessments op mensenrechten, handreikingen om discriminatie vroegtijdig
te identificeren en de Code voor Goed Digitaal Bestuur. Deze instrumenten zijn aanvullend
op verplichte instrumenten zoals het Data Protection Impact Assessment (DPIA) dat
moet worden uitgevoerd wanneer persoonsgegevens worden verwerkt op een manier welke
een hoog risico voor de rechten en vrijheden van personen inhoudt. Als persoonsgegevens
worden verwerkt, dan voert de AP hier toezicht op uit. In de focus AP 2020–2023 richt
de AP zich op «dataprotectie in een digitale samenleving». Per brief van 19 november
2020 is door de Minister voor Rechtsbescherming uw Kamer geïnformeerd over de taken
en middelen van de AP (Kamerstukken 25 268 en 32 761, nr. 192). Vanaf 2022 ontvangt de AP structureel zes miljoen euro extra. Het is aan een volgend
kabinet om te besluiten over een eventuele verdere uitbreiding van de AP.

5

Hoe verhoudt een versnelde digitalisering van het midden- en kleinbedrijf (mkb) zich
tot de bescherming van digitale grondrechten en het budget van de AP voor voorlichting
hierover?

Antwoord:

Ik verwijs voor het eerste gedeelte van de vraag naar het antwoord op vraag 3. Dit
geldt ook voor de versnelde digitalisering van het mkb. Ten aanzien van het budget
van de AP wordt erop gewezen dat de digitalisering van het midden- en kleinbedrijf
niet in directe relatie staan tot het budget van de AP. Het is overigens aan de AP
als zelfstandig bestuursorgaan om keuzes te maken en prioriteiten te stellen ten aanzien
van haar budget en de inzet van haar medewerkers, waaronder op voorlichting.

6

Waarom valt de AP onder de verantwoordelijkheid van de bewindspersoon van Justitie
en Veiligheid en niet onder de verantwoordelijkheid van de bewindspersoon van Economische
Zaken en Klimaat?

Antwoord:

Onder de verantwoordelijkheid van de Minister voor Rechtsbescherming valt het gegevensbeschermingsrecht.
De bescherming van persoonsgegevens is geregeld in de Algemene Verordening Gegevensbescherming
(AVG) en de Uitvoeringswet AVG (UAVG). De UAVG voorziet in de oprichting en inrichting
van de Autoriteit Persoonsgegevens (AP) als toezichthouder op de toepassing van het
gegevensbeschermingsrecht. Een en ander maakt dat de AP onderdeel is van de portefeuille
van de Minister voor Rechtsbescherming. De AP is overigens een zelfstandig bestuursorgaan
met eigen rechtspersoonlijkheid en de relatie met het Ministerie van Justitie en Veiligheid
wordt bepaald door de Kaderwet zelfstandige bestuursorganen.

7

Bij de investeringen in informatie- en communicatietechnologie (ICT) wordt zeer kritisch
gekeken naar netwerken en oplossingen uit bijvoorbeeld China en de al of niet veronderstelde
overheidsbemoeienis aldaar. Is er een risico-analyse beschikbaar waarin voor de vijf
belangrijkste landen waarin potentiele leveranciers gevestigd zijn of hun basis hebben,
waaronder de Verenigde Staten, in beeld is gebracht wat de potentiele risico's van
bemoeienis zijn van de overheid en/of veiligheidsdiensten met ICT-netwerken of oplossingen?

Antwoord:

Ja, het Cyber Security Beeld Nederland (CSBN) 2021 (Kamerstuk 26 643, nr. 767) beschrijft dat aanvallen op ICT-leveranciersketens, door misbruik van hard- en software
van dienstverleners, een risico kunnen vormen voor de nationale veiligheid. Het is
belangrijk ons hiertegen te beschermen. Wanneer het gaat om ongewenste activiteiten
van statelijke actoren in ICT-leveranciersketens richten we ons primair op de landen
waarvan bekend is dat ze een offensief cyberprogramma hebben dat ingaat tegen Nederlandse
belangen, zoals Rusland, China en Iran. Op het moment dat er aanleiding toe is kan
ook worden gekeken naar activiteiten van andere statelijke actoren. Het huidige dreigingsbeeld
is leidend bij het bepalen van de in te zetten capaciteit voor het uitvoeren van risicoanalyses.

8

Wat is de verklaring voor het verschil tussen de berekening van de totale materiële
ICT-uitgaven zoals blijkt uit een dataset op rijksfinancien.nl (ruim 3 miljard euro
in 2020, zie de notitie over ICT-investeringen) en het bedrag van 2.803 miljoen euro
volgens de Jaarrapportage Bedrijfsvoering Rijk (Kamerstuk 31 490, nr. 301, p. 66)?

Antwoord:

De Jaarrapportage Bedrijfsvoering Rijk is gebaseerd op de dataset op rijksfinancien.nl.
In de kabinetsreactie op de notitie «ICT investeringen door de overheid» is aangegeven
dat het verschil komt door een bedrag voor eigen ICT-personeel van Defensie dat in
de dataset was opgenomen. Omdat eigen ICT-personeel strikt genomen niet onder materiele
ICT-uitgaven valt, is dit in de Jaarrapportage Bedrijfsvoering Rijk gecorrigeerd.

9

Zullen in 2022 ook de kosten voor beheer en onderhoud van bestaande ICT-systemen (en
niet alleen over nieuwe en lopende projecten) inzichtelijk worden op het Rijks ICT-dashboard?

Antwoord:

Ja, vanaf 2022 worden ook de kosten voor beheer en onderhoud van bestaande ICT-systemen
toegevoegd aan het Rijks ICT-dashboard. Dit is onderdeel van het traject om te komen
tot meer inzicht en transparantie in ICT-kosten.

Het verbeteren van het inzicht in de kosten van ICT vereist veranderingen in onder
andere de financiële administratiesystemen. De uitbreiding van het Rijks ICT-dashboard
is een groeimodel en zal in 2022, terugkijkend over 2021, starten met inzicht te geven
in de kosten van beheer en onderhoud op departementaal niveau. In de jaren daarna
wordt dit uitgebreid afhankelijk van welk detailniveau daarbij haalbaar is, ook in
relatie tot de meerwaarde die het oplevert.

10

Kunt u deze (rijksbrede) informatie ook opnemen in de begroting, zodat er een logische
koppeling komt tussen de informatie in het Rijks ICT-dashboard en de begroting, en
de Kamer inzicht krijgt in de kosten voor beheer en onderhoud enerzijds en uitgaven
voor nieuwe en lopende ICT-projecten anderzijds?

Kunt u hierin ook informatie opnemen over de status (kwaliteit, fase in levenscyclus,
risico’s) van de ICT-systemen, zodat de Kamer deze kan betrekken bij te maken keuzes,
bijvoorbeeld in de afweging tussen uitgaven voor beheer/onderhoud en nieuwe ICT-projecten?

Antwoord:

De focus lag de afgelopen jaren op het verbeteren van verantwoordingsinformatie over
ICT-kosten. Het is de ambitie om deze verbeteringen ook door te voeren in begrotingsinformatie,
maar daar is zoals aangegeven in het antwoord op vraag 9 aanpassing nodig van onder
andere de financiële systemen. Dit jaar is wel het Kwaliteitskader Meerjarige Departementale
IV-plannen vastgesteld. Het streven is om vanaf 2022 deze IV-plannen samen met de
begroting aan te bieden. Deze IV-plannen geven in ieder geval meer inzicht en daarmee
wordt een concrete stap gezet in de procesmatige koppeling tussen begroting en verantwoording.

11

Hoe wilt u rijksbreed de kosten van ICT-projecten beter beheersen nu uit de Jaarrapportage
Bedrijfsvoering Rijk blijkt dat er in de afgelopen jaren geen structurele verbetering
is te zien in de kostenramingen en de gemiddelde overschrijding 21% bedraagt (33%
wanneer het omvangrijke project European Rail Traffic Management System (ERTMS) buiten
beschouwing wordt gelaten)?

Antwoord:

Het bijstellen van ramingen kent verschillende oorzaken. De bijgestelde ramingen worden
toegelicht op het Rijks ICT-dashboard en bij grote mutaties in de Jaarrapportage Bedrijfsvoering
Rijk. Het kabinet heeft de afgelopen jaren gewerkt aan betere beheersing van ICT-projecten.
Een belangrijk onderdeel daarvan is de stapsgewijze ontwikkeling van projecten inclusief
tussentijdse toetsing. Dit betekent dat gewerkt wordt in kleine stapjes, met zichtbare
tussenresultaten, zodat op basis van de resultaten tijdig kan worden bijgestuurd.
Daarnaast is de positie van de departementale CIO-functie versterkt met het Besluit
CIO-stelsel Rijksdienst. Daarmee zorgen we voor meer grip op ICT-projecten. Deze ontwikkelingen
kosten tijd en leiden niet direct tot andere kostenramingen op het Rijks ICT-dashboard,
maar wel tot meer transparantie en beheersing.

12

Wat is uw reactie op de constatering dat volgens het Rijks ICT-dashboard de kostenoverschrijding
van ICT-projecten van BZK hoger is (51%) dan gemiddeld voor het rijk als geheel (21%
en 33% exclusief het project ERTMS)? Welke mogelijkheden tot verbetering ziet u?

Antwoord:

In 2016 zijn de geschatte initiële projectkosten van het project BRO verkeerd geregistreerd.
Dit is later gecorrigeerd, maar deze correctie wordt meegeteld in het percentage kostenoverschrijdingen.
Zonder deze registratiefout geldt voor de grote ICT-projecten van BZK een gemiddeld
verschil van 32% tussen de actuele en initiële raming.

In de Jaarrapportage Bedrijfsvoering Rijk 2017 (Bijlage bij Kamerstuk 31 490, nr. 239) zijn de juiste gegevens aan de Kamer geleverd en zijn de cijfers correct opgeteld.

De mogelijkheden voor verbetering van projectbeheersing worden beantwoord bij vraag 11.

13

Is de conclusie van de Algemene Rekenkamer juist, dat u vaker gebruik zou moeten maken
van uw wettelijke doorzettingsmacht om grip te krijgen op de rijksbrede ICT-systemen
en dat onderlinge afstemming tussen overheidsorganisaties hiervoor niet voldoende
is? Zo ja, kunt u dit toelichten?

Antwoord:

De verantwoordelijk bewindspersoon van BZK, in casu de Staatssecretaris, heeft voor
de rijksbrede bedrijfsvoering een coördinerende, aanjagende en borgende rol wat betreft
beleid- en kaderstelling. Daarbij wordt altijd eerst gezocht naar breed draagvlak
binnen de rijksoverheid om zodoende samen tot resultaten te komen. Waar het inzetten
van de doorzettingsmacht van BZK nodig is, wordt daar gebruik van gemaakt. Deze coördinerende
bevoegdheid is anders dan de rol en verantwoordelijkheid van het Ministerie van Financiën,
conform de Comptabiliteitswet, waar de Algemene Rekenkamer aan refereert.

In de brief van de Staatssecretaris van BZK aan de Tweede Kamer van 20 december 2019
«Beleidsreactie onderzoek besluit toekomst BIT (Kamerstuk 26 643, nr. 656) is aangegeven dat het ICT domein vraagt om gezamenlijke aanpak. Een goed voorbeeld
daarvan is de I-Strategie Rijk die in samenwerking met alle CIO’s van de Rijksdienst
tot stand is gekomen.

14

Is de constatering van de Algemene Rekenkamer juist, dat er nog veel onvolkomenheden
zijn in de informatiebeveiliging bij de ministeries? Zo ja, kunt u dit toelichten?

Antwoord:

Het kabinet deelt het beeld van de AR dat de informatiebeveiliging veel vergt en blijvende
aandacht nodig heeft. Informatiebeveiliging is nooit «af», want de technologie blijft
zich ontwikkelen en dreigingen en afhankelijkheden blijven toenemen. Om het bestaande
niveau van informatiebeveiliging te handhaven en waar nodig te versterken is dus blijvende
aandacht en capaciteit nodig. De organisaties waarbij de informatiebeveiliging vorig
jaar als onvolkomenheid is aangemerkt, hebben in 2020 bijna allemaal ontwikkeling
getoond in het oplossen van de onvolkomenheid.

15

Bent u bereid om in de begroting het inzicht te verbeteren in de doorvertaling van
doelen, activiteiten en bijbehorende middelen, zodat de Kamer beter betrokken wordt
bij de te maken keuzes? Op welke wijze zou de maatschappelijke meerwaarde van uitgaven
aan ICT beter zichtbaar gemaakt kunnen worden in de begroting?

Antwoord:

De Rijksbegroting valt onder verantwoordelijkheid van de Minister van Financiën die
jaarlijks de rijksbegrotingsvoorschriften bijstelt om de informatie en detailniveau
van de begroting aan te laten sluiten bij de wensen van de Kamer.

Het Ministerie van BZK werkt naast beter inzicht in de kosten van ICT aan beter inzicht
in de maatschappelijke opbrengsten van de inzet van ICT. Op het Rijks ICT-dashboard
zijn bijvoorbeeld de maatschappelijke baten van ICT-projecten te zien. In het antwoord
bij vraag 9 en 10 is aangegeven welke verdere verbeteracties met betrekking tot inzicht
in ICT-kosten en de koppeling met de begroting worden opgepakt.

16

Kunt u de inkomsten van Kamer van Koophandel (KvK) uitsplitsen naar herkomst? Welk
deel van de KvK begroting komt voort uit datahandel?

Antwoord:

Op bladzijde 43 van het jaarverslag 2020 van KVK (https://www.kvk.nl/download/KVK_Jaarverslag_2020_tcm109-497534.pdf) staat een uitsplitsing van de inkomsten:

De post bij HR-informatieproducten betreft de zgn. «datahandel».

De opbrengstenkant wordt gecompleteerd met een rijksbijdrage om zo de totale begroting
van € 220 mln. te vullen:

Van de rijksbijdrage heeft ongeveer de helft betrekking op het handelsregister («registratietaak»).
Van die taak worden de kosten dus ongeveer 50/50 gedekt uit rijksbijdrage en opbrengsten
van informatieproducten.

17

Wat is de laatste stand van zaken van het onderzoek naar een rijksbreed algoritmeregister?

Antwoord:

Diverse overheden doen ervaring op met het algoritmeregister en deze zijn overwegend
positief. Er leven nog wel veel vragen wat nu de beste vorm is, wat er precies in
moet komen te staan en hoe het register het beste kan aansluiten bij de behoeften
van burgers en toezichthouders. Tijdens de begrotingsbehandeling van BZK op 28 oktober
jl. (Handelingen II 2021/22, nr. 15, item 11) heeft de Staatssecretaris van BZK toegezegd om in januari 2022 namens het kabinet
een brief naar de Kamer te sturen met daarin zijn visie hoe het register vorm te geven.

18

Kunnen de uitgaven aan cybersecurity uitgesplitst worden per departement?

Antwoord:

Zoals aangegeven in de kabinetsreactie op de notitie «ICT investeringen door de overheid»
is een totaaloverzicht van de uitgaven van het kabinet aan cybersecurity niet te geven.
Het huidige kabinet heeft er voor gekozen om structureel extra te investeren in cybersecurity,
maar daarnaast doen departementen ook buiten deze investering uitgaven die (ook) kunnen
bijdragen aan cybersecurity. Een uitsplitsing van de extra investering oplopend tot
95 miljoen euro structureel per departement is te vinden in het budgettair overzicht
als bijlage bij het regeerakkoord «Vertrouwen in de toekomst».

19

Wat zijn de rijksbrede uitgaven aan ICT onderhoud uitgesplitst per departement? Kan
hierbij vermeld worden welke percentage dit bevat van de totale ICT-kosten?

Antwoord:

Er is op dit moment geen volledig inzicht beschikbaar van de rijksbrede uitgaven aan
ICT onderhoud. Zoals aangegeven in het antwoord bij vraag 9 worden vanaf 2022 ook
de uitgaven aan ICT-onderhoud op het Rijks ICT-dashboard gepubliceerd.

20

Wanneer wordt beheer en onderhoud toegevoegd aan het Rijks ICT-dashboard?

Antwoord:

Zie het antwoord op vraag 9.