Nota n.a.v. het (nader/tweede nader/enz.) verslag : Nota naar aanleiding van het verslag
36 191 Regels omtrent de instelling van een adviescollege voor de algehele verbetering en beheersing van ICT-projecten en informatiesystemen bij de centrale overheid (Wet Adviescollege ICT-toetsing)
Nr. 7 NOTA NAAR AANLEIDING VAN HET VERSLAG
Ontvangen 2 mei 2023
Inhoudsopgave
blz.
I.
Algemeen deel
1
1.
Inleiding
3
2.
Onafhankelijk adviescollege
4
3.
Taakomschrijving Adviescollege ICT-toetsing
5
4.
Samenstelling van het Adviescollege
9
5.
Advies en consultatie
10
6.
Overig
11
II.
Artikelsgewijs
11
I. ALGEMEEN DEEL
Het verheugt mij dat de leden van de fracties van de VVD, D66, de PVV, het CDA en
de SP kennis hebben genomen van het voorstel van wet houdende regels omtrent de instelling
van een adviescollege voor de algehele verbetering en beheersing van ICT-projecten
en informatiesystemen bij de centrale overheid (Wet Adviescollege ICT-toetsing) (hierna:
het wetsvoorstel).
De leden van voornoemde fracties hebben over het wetsvoorstel verschillende vragen
en opmerkingen. Ik dank de fracties voor hun bijdrage en ga in deze nota naar aanleiding
van het verslag graag daarop in. De vragen en opmerkingen van de fracties zijn in
gecursiveerde vorm weergegeven, waarbij aan de verschillende (deel)vragen een nummer
is toegekend. Hierbij is de indeling en volgorde van het verslag aangehouden.
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de Regels
omtrent de instelling van een adviescollege voor de algehele verbetering en beheersing
van ICT-projecten en informatiesystemen bij de centrale overheid (Wet Adviescollege
ICT-toetsing). Deze leden kunnen zich vinden in het wetsvoorstel en hebben hierover
nog een enkele vraag en opmerking.
De leden van de D66-fractie hebben kennisgenomen van het voorliggende wetsvoorstel.
Deze leden zijn van mening dat een adviescollege voor de ICT-projecten en informatiesystemen
zo onafhankelijk mogelijk zou moeten zijn en zijn dus positief jegens het wetsvoorstel.
Wel willen deze leden de regering nog enkele vragen stellen.
De leden van de PVV-fractie hebben kennisgenomen van het wetsvoorstel en hebben daarover
enkele vragen. Deze leden willen allereerst benadrukken dat het werk van het Adviescollege
ICT-toetsing (hierna het Adviescollege) van grote waarde is. In de regel zouden de
adviezen en aanbevelingen van het Adviescollege altijd opgevolgd moeten worden, voor
zover dat niet al gebeurt. Ziet de regering mogelijkheden om dat verder te bevorderen,
anders dan daartoe een harde verplichting op te nemen in de wet? Ziet de regering
in dat kader nog mogelijkheden om de daadwerkelijke opvolging/implementatie van de
adviezen en aanbevelingen van het Adviescollege toetsbaar te maken? (01)
Ik deel het standpunt van de PVV-fractie dat het verstandig is om de adviezen van
het Adviescollege ICT-toetsing in beginsel op te volgen. Er kunnen zich echter altijd
omstandigheden voordoen waardoor een advies niet (integraal) opgevolgd kan worden.
Van belang is dat het Adviescollege ICT-toetsing de Minister adviseert die opdrachtgever
is van een project.1 Het wel of niet opvolgen van de adviezen en de keuzes die daaruit voortkomen zijn
besluiten van de verantwoordelijke Minister. Op deze verantwoordelijkheidsverdeling
wil ik geen inbreuk maken met het wetsvoorstel door daarin op te nemen dat ieder advies
altijd gevolgd dient te worden. Belangrijk is wel dat als een Minister afwijkt van
het advies, dit met reden omkleed moet worden gemeld aan beide kamers der Staten-Generaal.
Uw Kamer kan in reactie daarop bijvoorbeeld vragen stellen of een debat agenderen.
Tot slot kan de Minister die opdrachtgever is ook om een nader advies vragen over
de risico’s en slaagkansen van een ICT-project dat reeds is gestart. In zo een nader
advies kan het Adviescollege vervolgens aandacht besteden aan de implementatie van
het eerder uitgebrachte advies.
De leden van de CDA-fractie hebben met interesse kennisgenomen van het wetsvoorstel
en steunen de inzet van het kabinet om het Adviescollege een permanente status te
geven. Deze leden hebben nog enkele vragen over het wetsvoorstel.
De leden van de SP-fractie hebben de Wet Adviescollege ICT-toetsing gelezen en maken
van de gelegenheid gebruik om nog enkele opmerkingen en vragen te maken. Deze leden
erkennen de toegevoegde waarde van het Adviescollege en betreuren tegelijkertijd dat
er binnen het Rijk niet voldoende kennis en kunde aanwezig lijkt te zijn om ICT-projecten
uit te voeren. Deze leden vragen in dat kader hoe wordt gewaarborgd dat, zeker gezien
de adviestaak van het Adviescollege, er wel voldoende toezicht blijft op de uitvoering
van ICT-projecten en hoe dit toezicht nu praktisch en in theorie geregeld is. Wat
is bijvoorbeeld nog de rol van de Minister van Binnenlandse Zaken? (02)
Het toezicht is ingericht volgens het «three lines model». Dit model is een belangrijke leidraad voor het inrichten van de governance. Daarin wordt onderscheid gemaakt naar de volgende driedeling:
1. departementale controle en projectbeheersing;
2. controle vanuit de departementale CIO;
3. externe controle door CIO Rijk, het Adviescollege ICT-toetsing, Auditdienst Rijk en
de Algemene Rekenkamer.
Graag geef ik een nadere toelichting op een aantal beheersmaatregelen om het toezicht
op grote ICT-projecten vorm te geven. Drie wezenlijke maatregelen zijn het portfoliomanagementproces,
het maken van een CIO-oordeel en het inschakelen van het Adviescollege ICT-toetsing
voor een toets. Hiervoor gebruikt het CIO-stelsel het Handboek Portfoliomanagement Rijk en het Kwaliteitskader CIO-oordelen. Het doel van portfoliomanagement is het krijgen en behouden van een overzicht van
het gehele portfolio. Een belangrijke stap is de evaluatie van het project. Het CIO-oordeel
is een kwaliteitstoets op het welslagen van een groot ICT-project. Hiermee geeft een
CIO een beoordeling met aanbevelingen aan de opdrachtgever over het project. Dit zorgt
voor beter beheersbare ICT-projecten, een hogere slaagkans en een groeiend lerend
vermogen binnen de organisatie zelf. Het Adviescollege ICT-toetsing adviseert de Minister
die opdrachtgever is van een project. Dit advies, vergezeld van een reactie van de
betrokken Minister, wordt aan beide Kamers gestuurd. Vanuit mijn coördinerende rol
heb ik verder acties opgezet die de ICT-organisatie en -systemen van het Rijk versterken.
Deze zijn terug te vinden in mijn werkagenda.2 Zo komt er bijvoorbeeld een vernieuwd Rijks ICT-dashboard dat meer inzicht geeft
in de maatschappelijke baten van IT/IV en de (normen voor) inzicht in de kosten.
1. Inleiding
De leden van de VVD-fractie merken op dat het permanente Adviescollege ICT-toetsing
niet valt onder artikel 79 van de Grondwet en dat ook de Kaderwet adviescolleges niet
van toepassing is. Wat voor soort adviescollege wordt dan het Adviescollege ICT-toetsing,
zo vragen deze leden. (03)
Het Adviescollege ICT-toetsing is een volwaardig adviescollege dat met het wetsvoorstel
bevoegdheden en een permanente status krijgt. Het klopt dat artikel 79 van de Grondwet
ziet op vaste colleges van advies in zaken van wetgeving en bestuur en ook dat de Kaderwet adviescolleges van toepassing is op een college dat krachtens
publiekrecht tot taak heeft de regering te adviseren over algemeen verbindende voorschriften of te voeren beleid van het Rijk. Het voorgaande betekent niet dat het instellen van een adviescollege
dat over een ander onderwerp adviseert niet mogelijk is. Het Adviescollege adviseert op zo een ander
onderwerp, namelijk over specifieke informatiesystemen en ICT-projecten. Om toch zo
veel mogelijk eenheid te bevorderen tussen de verschillende adviescolleges is in het
wetsvoorstel, waar mogelijk, wel aansluiting gezocht bij de Kaderwet adviescolleges.
De leden van de CDA-fractie vragen of de regering een overzicht kan geven van de belangrijkste
inhoudelijke wijzigingen in het wetsvoorstel ten opzichte van het Instellingsbesluit
Adviescollege ICT-toetsing. (04)
Vooropgesteld kan worden dat de inhoudelijke wijzigingen in het wetsvoorstel ten opzichte
van het Instellingsbesluit Adviescollege ICT-toetsing (hierna: het Instellingsbesluit)
beperkt zijn. Dit valt te verklaren vanuit het feit dat het Instellingsbesluit is
vastgesteld, vooruitlopend op het wetsvoorstel.3 Er zijn in het wetsvoorstel evenwel een aantal inhoudelijke wijzigingen opgenomen
die ik wenselijk acht. In het onderstaande wordt ingegaan op de belangrijkste wijzigingen.
Ten eerste wordt de taak van het Adviescollege ICT-toetsing licht uitgebreid. Anders
dan onder het Instellingsbesluit, kan het Adviescollege onder het wetsvoorstel adviseren
over een doeltreffende en doelmatige inrichting en toepassing van een informatiesysteem
ter uitvoering van beleid of regelgeving. Het gaat hier om advisering in een vroegtijdig
stadium over de vraag of een informatiesysteem het voorgenomen beleid kan uitvoeren.
Een dergelijk advies kan worden gegeven op verzoek van beide kamers der Staten-Generaal
of de Minister die verantwoordelijk is voor het informatiesysteem. Ten tweede introduceert
het wetsvoorstel een verplichting voor krachtens publiekrecht ingestelde zelfstandige
bestuursorganen als bedoeld in artikel 4 van de Kaderwet zelfstandige bestuursorganen
(hierna: zelfstandige bestuursorganen) om advies te vragen over de risico’s en slaagkans
van een voorgenomen ICT-project van € 5 miljoen of meer en daarbij een oordeel te
geven over de mate van beheersbaarheid. Een dergelijke verplichting kent het Instellingsbesluit
niet. Ten derde kunnen onder het wetsvoorstel de leden voor ten hoogste vier jaar
worden benoemd met een eenmalige herbenoeming voor ten hoogste vier jaar. Het Instellingsbesluit
bepaalt dat benoeming voor de duur van ten hoogste twee jaar plaatsvindt, maar stelt
geen regels over het aantal herbenoemingen.
2. Onafhankelijk adviescollege
De leden van de VVD-fractie kunnen zich vinden in de reactie van de regering op het
advies van de Raad van State waarin wordt ingegaan op de wettelijke verankering van
de permanente status van het Adviescollege. Deze leden achten het van belang dat dit
college onafhankelijk advies kan geven over ICT-aangelegenheden en zijn daarom ook
voorstander van de onafhankelijke positionering van het adviescollege ICT-toetsing.
De leden van de D66-fractie lezen over de keuze van de regering voor een onafhankelijk
adviescollege, om belangenverstrengeling of de schijn daarvan te voorkomen. Deze leden
vragen waarom er voor deze organisatievorm is gekozen. Kan de regering dit toelichten?
Is er ook onderzoek gedaan naar andere organisatievormen? Wat heeft de doorslag gegeven
in de keuze voor een onafhankelijk adviescollege? Deze leden vragen wat de gevolgen
zullen zijn van het buiten de ministeriële verantwoordelijkheid zetten van zo’n essentieel
onderdeel van de reguliere bedrijfsvoering, graag een toelichting. (05)
In de brief van 20 september 20194 heeft mijn ambtsvoorgang uw Kamer geïnformeerd over de scenario’s die toentertijd
werden onderzocht om de voorganger van het Adviescollege, het Bureau ICT-toetsing
(hierna: BIT), een wettelijke grondslag te geven. Er werd toentertijd onderzoek gedaan
naar positionering als dienstonderdeel binnen de rijksoverheid, een verzelfstandiging
binnen de rijksoverheid en een positionering buiten de rijksoverheid. In dat onderzoek
zijn de volgende criteria betrokken om tot besluitvorming te komen: onafhankelijkheid
van het BIT, samenhang met de andere sturingsmaatregelen op het gebied van ICT en
informatiebeveiliging, aansturing van het BIT, toegang tot het BIT voor de Tweede
Kamer, de juridische grondslag en doelmatigheid. Een ambtelijke werkgroep met vertegenwoordigers
van BZK, het BIT, het Ministerie van Financiën en de Auditdienst Rijk heeft eind 2019
geadviseerd het BIT een permanente status te geven als adviescollege met wettelijke
grondslag. Mijn ambtsvoorgang heeft uw Kamer in de brief van 20 december 20195 vervolgens geïnformeerd over het genomen besluit om het BIT op afstand te plaatsen
waarbij ook onderhavig wetsvoorstel werd aangekondigd. Voornaamste redenen voor deze
keuze zijn geweest dat met deze vormgeving belangenverstrengeling, in wezen en in
schijn, het best voorkomen kan worden en dat uw Kamer alsmede de Eerste Kamer daarnaast
toegang krijgen tot advisering. Om de continuïteit van advisering op ICT-projecten
en informatiesystemen te waarborgen is vervolgens op 31 december 2020 het Instellingsbesluit
in werking getreden. Hiermee kan de tijd tot inwerking van het wetsvoorstel worden
overbrugd.
De leden van de SP-fractie ondersteunen de onafhankelijkheid van het Adviescollege.
Tegelijkertijd merken deze leden op dat het van belang is dat het Adviescollege ook
in praktijk in staat is hun taken uit te kunnen voeren. Kan hier nader op worden ingegaan?
Kan het Adviescollege de huidige taak goed uitvoeren, qua middelen en capaciteit?
(06) Deze leden vragen hier ook naar met het oog op de toenemende ICT-vraag vanuit de
overheid. In hoeverre kan er bijvoorbeeld ook bespaard worden op externe adviezen
op het gebied van ICT, door dure consultancybureaus, als we het Adviescollege verder
versterken? (07)
Het Adviescollege ICT-toetsing kan de adviesbehoefte die er nu is invullen. De wet
bepaalt dat ICT-projecten boven € 5 miljoen worden aangemeld. Het is aan het Adviescollege
zelf om te bepalen welke verzoeken om advies in behandeling worden genomen. Het Adviescollege
doet daar een risicoselectie voor. In het Algemeen Overleg met uw Kamer van 8 april
2015 over het rapport van de tijdelijke commissie Elias heeft de toenmalige Minister
voor Wonen en Rijksdienst uitgelegd waarom dit nodig is, en het is nog steeds relevant:
bepaalde projecten, zoals dataverbindingen, zijn belangrijk maar technisch niet complex.
Toch komen zij vaak boven € 5 miljoen uit. Door deze grens in bedrag te combineren
met de risicoselectie zorgt dit ervoor dat de kennis en kunde van het Adviescollege
doelmatig ingezet wordt. Zoals naar voren komt in mijn antwoord op vraag 2, hebben de ministeries intern ook kennis in huis die wordt gebruikt ten behoeve van
het toezicht op grote ICT-projecten, waardoor ook projecten met weinig complexiteit
meegenomen worden. Soms zijn er ogen van buiten nodig omdat er juist een bredere blik
vanuit de markt nodig is in plaats van de overheid, of omdat er specifieke expertise
vereist is. In die gevallen kan een consultancybureau inzichten geven.
Als laatste vragen deze leden of het Adviescollege bijvoorbeeld ook toetst waarom
en hoe het project «Open op Orde» zoveel meer gaat kosten. Zo nee, kan er toegelicht
worden waarom hierover onder deze wet dan niet geadviseerd zou worden? (08)
De ICT-projecten die geld krijgen uit het generieke actieplan «Open op Orde» dienen
– mits van toepassing – zorg te dragen voor de eigen behandeling bij het Adviescollege.
Als er informatiesystemen of ICT-projecten worden opgericht die door het Adviescollege
moeten worden getoetst, dan moeten deze dus door het eigen ministerie worden aangemeld
voor een adviesaanvraag. Een generieke toets op het generieke actieplan «Open op Orde»
is dan ook niet aan de orde.
3. Taakomschrijving Adviescollege ICT-toetsing
De leden van de D66-fractie hebben een aantal vragen over de taken van het Adviescollege.
Deze leden lezen dat het Adviescollege adviseert op verzoek van de Eerste en Tweede
Kamer en de verantwoordelijke Ministers. Ook kan het Adviescollege uit eigen beweging
een type 2-en type 3-advies uitbrengen. Kan de regering toelichten waarom hiervoor
is gekozen? Waarom kan het Adviescollege niet uit eigen beweging adviezen geven over
een ICT-project of informatiesysteem van de politie of de Raad voor de rechtspraak?
Daarnaast is het voor deze leden niet duidelijk welke overwegingen ten grondslag van
de reikwijdte van de taken van het college liggen, dus over welke overheidsinstanties
mag het college adviseren, en waarom en op basis waarvan zijn deze gekozen? (09)
Er liggen verschillende redenen ten grondslag aan de keuze om het Adviescollege de
bevoegdheid te geven om uit eigen beweging te kunnen adviseren. Ten eerste biedt het
een spreekwoordelijke stok achter de deur voor gevallen waarin een Minister of een
zelfstandig bestuursorgaan, in afwijking van het wetsvoorstel, afziet van een verplichte
aanvraag tot advisering over een ICT-project van € 5 miljoen of meer. In dergelijke
gevallen, waarvan ik er overigens niet vanuit ga dat dit praktijk zal worden, kan
het Adviescollege besluiten alsnog een advies uit te brengen over het ICT-project.
Ten tweede is het op eigen beweging adviseren belangrijk voor de invulling van de
taak van het Adviescollege om te voorzien in kennisoverdracht en kennisbevordering.
Wanneer het Adviescollege bijvoorbeeld een trend signaleert op het gebied van ICT-systemen
of onderhoud- en beheeractiviteiten van informatiesystemen, dan kan het besluiten
uit eigen beweging een advies uit te brengen waar ook de andere organisaties in het
CIO-stelsel lering uit kunnen trekken.
Ik heb er in dit wetsvoorstel voor gekozen om het Adviescollege niet uit eigen beweging
te kunnen laten adviseren over een ICT-project of een informatiesysteem van de politie
of de Raad voor de rechtspraak omdat deze mogelijkheid onder het Instellingsbesluit
ook ontbreekt en in de praktijk er geen aanleiding is gebleken om dit te wijzigen.
Beide sui generis organisaties melden in praktijk de relevante ICT-projecten aan voor advies. Verder
kan uw Kamer onder het wetsvoorstel een advies ten aanzien van deze organisaties aanvragen
bij het Adviescollege. Ook bestaat voor de Minister voor Rechtsbescherming de bevoegdheid
om een algemene aanwijzing te geven aan de Raad voor de rechtspraak, die ook kan zien
op de automatisering en bestuurlijke informatievoorziening van de Raad.6 Een soortgelijke bevoegdheid bestaat voor de Minister van Justitie en Veiligheid
ten aanzien van de korpschef.7 Gelet op deze omstandigheden zie ik af van een uitbreiding van de bevoegdheden van
het Adviescollege op dit punt.
Ter verduidelijking op de memorie van toelichting bij het wetsvoorstel zijn de regels
ten aanzien van de verschillende typen advies in de bijlage bij deze nota naar aanleiding
van het verslag nog eens schematisch uiteengezet.
Wat deze leden missen in het voorstel is een adviestaak betreffende ICT of digitalisering
in wetgevingstrajecten. Steeds vaker worden er wetten gemaakt met een digitaal component
(expliciet, en soms impliciet). Deze leden zien hier een rol voor het Adviescollege
in, waarbij het Adviescollege, gevraagd of ongevraagd de Tweede Kamer of de regering
kan adviseren over ICT in wetten, zoals algoritmes. Hoe kijkt de regering hier tegenaan?
Is de regering bereid dit ook in overweging te nemen? Zo nee, kan de regering dan
uitleggen waarom niet? (10)
Allereerst vind ik het belangrijk op te merken dat ik op het gebied van algoritmes
momenteel werk aan het versterken van het toezicht daarop. In mijn brief van 7 oktober
20228 heb ik uiteengezet hoe ik dit toezicht vorm wil geven. Ten eerste is van belang dat
de interne controle en toezicht versterkt wordt. Het toetsingskader van de Algemene
Rekenkamer zal de basis vormen voor CIO-oordelen. Daarnaast zijn interne toezichthouders
op de overheid zoals de Audit Dienst Rijk (ADR) ten aanzien van audits en de Algemene
Rekenkamer (ARK) als het gaat om onderzoek, actief met onderzoek en het verder ontwikkelen
van toezicht op inzet van algoritmen door de overheid. Ten tweede investeert het kabinet
in een algoritmetoezichthouder. In januari 2023 is de algoritmetoezichthouder bij
de Autoriteit Persoonsgegevens van start gegaan. In mijn brief van 22 december 2022
heb ik uw Kamer daarover geïnformeerd.9
Daarnaast adviseert de Afdeling Advisering van de Raad van State reeds op wet- en
regelgeving, ook wanneer deze een digitale component bevat. In mei 2021 heeft de Raad
van State het toetsingskader10 aangepast gelet op de steeds grotere rol die digitalisering speelt in onze samenleving.
In dit toetsingskader komt onder andere naar voren dat als gebruik wordt gemaakt van
automatische besluitvorming en algoritmen, voldoende in de toelichting daarbij is
ingegaan op transparantie, controleerbaarheid en rechtsbescherming. Verder adviseert
de Autoriteit Persoonsgegevens op grond van de AVG over wet- en regelgeving waarin
verwerking van persoonsgegevens aan de orde komt.11 Het toetsen van wet- en regelgeving is daarmee reeds op stevige en kwalitatief hoogstaande
wijze geborgd.
Overigens zal wet- en regelgeving (ook zonder een digitale component) in veel gevallen
moeten worden geëffectueerd in nieuwe of bestaande informatiesystemen door middel
van ICT-projecten of via regulier beheer en onderhoud. Hierbij is de uitvoerbaarheid
van belang van hetgeen in wet- en regelgeving is voorzien. Zowel beide kamers der
Staten-Generaal als de verantwoordelijk Minister kan over de risico’s voor uitvoerbaarheid
advies vragen aan het Adviescollege. Hierover kan het Adviescollege vervolgens adviseren,
voor zover deze systemen onder de taakbeschrijving van het Adviescollege vallen.12 Een voorbeeld van een dergelijke situatie is het advies over het Digitaal Stelsel
Omgevingswet (DSO-LV).
De leden van de PVV-fractie vragen of dit wetsvoorstel in voldoende mate «toekomst-proof»
is, met name gezien de uitbreiding van het takenpakket en de werklast van het Adviescollege.
Kan de regering daar een reflectie op geven? Moet de eerste evaluatie van deze wet
niet eerder plaatsvinden dan over vier jaar? Aangezien het Adviescollege al «up en
running» is en er dus geen sprake is van een aanlooptijd zien deze leden liever een
evaluatie over twee jaar. (11)
Ik verwacht dat het wetsvoorstel ook aan de toekomstige behoeften voldoet. De taken
van het Adviescollege worden met dit wetsvoorstel namelijk licht uitgebreid ten opzichte
van het Instellingsbesluit; er kan ook advies worden uitgebracht over een doeltreffende
en doelmatige inrichting en toepassing van een informatiesysteem ter uitvoering van
beleid of regelgeving. Een verdere uitbreiding van taken vind ik nu echter niet wenselijk.
Het Adviescollege is betrekkelijk nieuw en functioneert momenteel goed. Een nog verdere
uitbreiding van werkzaamheden kan hiermee op gespannen komen te staan. Vier jaar na
inwerkingtreding van het wetsvoorstel zal ik de wet evalueren. Hiermee hanteer ik
reeds een kortere termijn dan algemeen gebruikelijk.13 Een termijn van twee jaar acht ik echt te kort om voldoende ervaringen met het functioneren
van het Adviescollege op grond van het wetsvoorstel te verzamelen, te onderzoeken
en te evalueren. Ik ben voornemens de hiervoor genoemde taakuitbreiding mee te nemen
in de evaluatie. Verder verwijs ik naar mijn antwoord op vraag 20 van de D66-fractie.
De leden van de CDA-fractie lezen in de toelichting dat departementen verplicht zijn
om projecten met een ICT-component van meer dan vijf miljoen euro aan te melden voor
advies van het Adviescollege. Deze leden lezen in de jaarrapportage 2021 van het Adviescollege
dat dit heeft geleid tot 43 adviesaanvragen en 14 uitgebrachte adviezen. Deze leden
constateren dat dus over tweederde van de aanvragen geen advies wordt uitgebracht.
Deze leden hechten net als de regering veel waarde aan het advies van het Adviescollege
en vragen daarom of de regering het wenselijk acht dat het Adviescollege over alle
aanvragen advies uitbrengt. Deze leden vragen verder waarom er nu niet over alle aanvragen
advies wordt uitgebracht. (12)
Het Adviescollege geeft inderdaad niet op alle aanvragen een advies, zij maken een
afweging welke aanvragen zij oppakken. Ik verwijs naar mijn antwoord op vraag 6 voor de criteria die het Adviescollege bij die keuze toepast. Capaciteit speelt ook
een rol. Het Adviescollege wil groeien in de beschikbare capaciteit, wat ik graag
ondersteun. De collegeleden hebben in de technische briefing van 15 september 2022
aangegeven dat zij willen focussen op een gecontroleerde groei, wat tijd kost.14 Niet alleen is er een tekort van I-kennis op de arbeidsmarkt, maar ook moeten medewerkers
goed ingewerkt worden voor het behouden van de kwaliteit en continuïteit in het opstellen
van de adviezen.
Deze leden maken zich in toenemende mate zorgen over de strategische autonomie van
Nederland en Europa, niet in de laatste plaats op het gebied van digitale technologie.
Deze leden vragen daarom of het Adviescollege in haar adviezen op dit moment aandacht
heeft voor deze problematiek, bijvoorbeeld als het gaat om de aanbesteding en inkoop
van ICT-hardware en/of software afkomstig uit landen buiten Europa. Deze leden vragen
of regering het met hen eens is dat hier aandacht voor moet zijn, en of hierover bijvoorbeeld
in de taakomschrijving of werkwijze van het Adviescollege kaders opgenomen zouden
moeten worden. (13)
Het Adviescollege richt zich in zijn adviezen in principe slechts op de risico’s en
slaagkans van projecten, de doeltreffendheid en doelmatigheid van onderhoud- en beheeractiviteiten
en met betrekking tot inrichting en toepassing van een informatiesysteem. In technische
zin kan het Adviescollege wel aspecten signaleren die buiten die scope vallen. Als
zij risico’s zien op strategische autonomie kunnen zij dat meenemen in het advies.
Het kabinet voelt zeker de noodzaak om met de problematiek van digitale autonomie
nadrukkelijker aan de slag te gaan. Graag geef ik een toelichting op wat het kabinet
al doet als het gaat om aanbesteding en inkoop, zoals te lezen in de brief van 28 november
2022 over de aanpak statelijke dreigingen.15
Het uitgangspunt is bij iedere inkoopopdracht risico’s voor de nationale veiligheid
in kaart te brengen en hier waar nodig maatregelen op te treffen. Het kabinet heeft
instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een
risicoanalyse en het treffen van maatregelen. Momenteel werkt het kabinet aan de doorontwikkeling
en aanscherping van dit instrumentarium. Doel is met het instrumentarium bij te dragen
aan het identificeren en mitigeren van risico’s bij dienstverleners en in de (toe)leveranciersketen.
De toepassing van dit instrumentarium wordt verplicht gesteld voor relevante inkoopopdrachten
binnen het Rijk. Het kabinet werkt tevens aan een Rijksbrede regeling voor aanbestedingen
die de nationale veiligheid raken (ABRO, Algemene beveiligingseisen rijksoverheid
opdrachten). De nieuwe regeling zal eisen stellen aan opdrachtnemers op het gebied
van fysieke beveiliging, (digitale) informatiebeveiliging en cybersecurity, (wijzigingen
in) eigendomsstructuren, economische veiligheid, screening van personeel en procedures
bij incidenten. Daarnaast wordt ook in dit traject doorlopend ingezet op bewustwording
van de dreiging die uitgaat van statelijke actoren bij inkopers, binnen de rijksoverheid
en bij vitale aanbieders.
Voor het Nederlandse beleid ten aanzien van open strategische autonomie verwijs ik
u naar de brief aan uw Kamer van 8 november 2022.16
Het programma Economische Veiligheid beschermt onze nationale veiligheidsbelangen
bij buitenlandse overnames, investeringen en de inkoop van (buitenlandse) goederen
en diensten. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) coördineert
het programma. Zo zijn er handreikingen, quickscans en criteria voor de verschillende onderdelen waar ICT-middelen moeten worden ingekocht.
Zo is er de Quickscan, de Risicoanalyse en de Handvatten risicomitigatie van de reeks voor nationale veiligheid bij inkoop en aanbesteden.
De leden van de SP-fractie willen graag van de gelegenheid gebruik maken enkele verduidelijkende
vragen te stellen. Zo vragen deze leden waarom het Adviescollege geen advies uitbrengt
over ICT of informatiesystemen die onderdeel zijn van een wapensysteem van Defensie.
(14)
Bij de informatievoorziening aan de Tweede Kamer over IT-projecten maakt Defensie
onderscheid tussen wapensysteemgebonden IT en reguliere IT. Voor wapensysteemgebonden
IT geldt het Defensie Materieel Proces (DMP), waarbij IT-aspecten worden meegenomen
in de reguliere rapportages over het desbetreffende materieelproject. Over reguliere
IT-projecten van meer dan € 5 miljoen rapporteert het Ministerie van Binnenlandse
Zaken en Koninkrijkrelaties aan de Tweede Kamer via het Rijks ICT-dashboard. Defensie
levert hiervoor de gegevens aan. Daarnaast informeert Defensie de Tweede Kamer periodiek
over de voortgang van grote IT-projecten en programma’s via het Defensie Projectenoverzicht.
Wapensysteemgebonden IT betreft (embedded) software en simulatoren die integraal onderdeel zijn van het wapensysteem en noodzakelijk
zijn voor de goede werking van wapensystemen. Deze IT wordt door de leverancier geleverd
en kan niet los van het wapensysteem worden gezien.
Tevens vragen deze leden waarom er is gekozen voor een grens van vijf miljoen euro,
voor ICT-projecten waarover geadviseerd wordt door het Adviescollege. Waarom is dit
bijvoorbeeld geen twee of drie miljoen euro? (15)
Deze grens is vanuit een aanbeveling uit het rapport van de commissie Elias in 2015
vastgesteld op € 5 miljoen.17 De projecten boven € 5 miljoen hebben vaak de omvang waar die extra aandacht nodig
is. We spreken dan van de grote ICT-projecten, omdat deze grotere projecten meer complexiteit
met zich meebrengen. Hier kan dus ook meer fout gaan. Ik verwijs verder naar vraag
6 voor een verdere uiteenzetting over de selectiecriteria van het Adviescollege.
4. Samenstelling van het Adviescollege
De leden van de PVV-fractie vragen of de regering kan aangeven of een eenmalige herbenoeming
van vier jaar niet een mogelijke belemmering kan blijken, aangezien de juiste expertise
en voldoende mankracht voor het Adviescollege de komende jaren een lastige opgave
zal zijn en het dus van belang is om bestaande expertise te behouden. Moet er in het
wetsvoorstel niet een mogelijkheid open gehouden worden voor een tweede herbenoeming,
van desnoods twee jaar? (16)
Zoals ik in mijn antwoord op vraag 2 uiteen heb gezet, is het toezicht op de grote ICT-projecten ingericht volgens het
«three lines model»:
1. departementale controle en projectbeheersing;
2. controle vanuit de departementale CIO;
3. externe controle door CIO Rijk, het Adviescollege ICT-toetsing, Auditdienst Rijk en
de Algemene Rekenkamer.
Algemene expertise is aanwezig bij de verschillende departementen en CIO-offices.
Het is daarom belangrijk dat juist het Adviescollege gefocust is op actuele expertise,
expertise die niet altijd aanwezig is bij de departementen zelf en snel verandert.
Ik heb in het wetsvoorstel dus bewust gekozen voor een eenmalige herbenoeming, omdat
digitale ontwikkelingen in de samenleving snel gaan en dat de urgentie voor actuele
expertise in het college vergroot. Door het reduceren van de mogelijkheid tot herbenoeming
wordt de flexibiliteit van het Adviescollege vergroot. Vijf jaar geleden was privacy-expertise
actueel, nu is expertise over algoritmes wenselijk. Een eenmalige herbenoeming geeft
een collegelid de mogelijkheid alsnog acht jaar aan te blijven. Bij een herbenoeming
voor een tweede maal wordt dit twaalf jaar, een periode waarin veel verandert op dit
gebied.
Het capaciteitsvraagstuk van het Adviescollege ICT-toetsing focust zich op de medewerkers,
niet de collegeleden. Voor dit vraagstuk wil ik u verwijzen naar het antwoord op vraag
12.
De leden van de CDA-fractie constateren dat de regering, bij monde van de Staatssecretaris
Digitalisering, in het debat over informatiehuishouding op 13 april 2022
18
heeft aangegeven dat tijdens de behandeling van dit wetsvoorstel nader gesproken
zou moeten worden over de vraag of het Adviescollege voldoende omvang en capaciteit
heeft. Deze leden vragen of de regering op dit moment vindt dat het Adviescollege
voldoende omvang heeft. Deze leden vragen of het aantal uitgebrachte adviezen ten
opzichte van het aantal aanvragen aanleiding geeft om uitbreiding van het Adviescollege
te overwegen. Zo ja, hoeveel extra capaciteit is er nodig? (17)
Voor het vraagstuk rond capaciteit wil ik verwijzen naar mijn antwoord op vraag 12. Eind 2019 is via een interdepartementale verdeelsleutel besloten dat het Adviescollege
jaarlijks € 5,4 miljoen ontvangt. Het Adviescollege maakt hier nog niet volledig gebruik
van en wil naar dit kader toe groeien.
De leden van de SP-fractie vragen naar onderliggende onderbouwing van het afwijken
van de benoemingstermijn. Er wordt aangegeven dat dit te maken heeft met de snelle
ontwikkelingen op ICT-gebied maar deze leden vinden deze onderbouwing te mager. Er
zijn immers veel meer terreinen waar ontwikkelingen snel gaan. Daarbij valt er ook
iets te zeggen voor continuïteit in adviezen en de meerwaarde van ervaring. (18)
Hiervoor verwijs ik u naar het antwoord op vraag 16.
De continuïteit van adviezen ligt voornamelijk bij de medewerkers. Het Adviescollege
heeft aangegeven dat zij gecontroleerd willen groeien, omdat nieuwe medewerkers zorgvuldig
ingewerkt moeten worden voor het behouden van de kwaliteit en continuïteit.
5. Advies en consultatie
De leden van de CDA-fractie lezen in de reactie van de politie dat hun zorgen over
de taakuitbreiding van het Adviescollege voortkomen uit het gesignaleerde gebrek aan
capaciteit en vragen of de regering hier nog op kan reflecteren, aangezien deze leden
dit missen in de toelichting. (19)
Voor het vraagstuk rond capaciteit wil ik u verwijzen naar mijn antwoord op de vragen
12 en 17.
6. Overig
De leden van de D66-fractie hebben tot slot nog vragen over de evaluatie van deze
wetswijziging. Kan de regering aangeven wat de evaluatietermijn is? Hoe gaat de regering
het functioneren van het Adviescollege evalueren? (20)
In het wetsvoorstel is bepaald dat beide kamers der Staten-Generaal binnen vier jaar
na de inwerkingtreding van het wetsvoorstel een verslag ontvangen over de doeltreffendheid
en de effecten daarvan. Vervolgens zal ik het wetsvoorstel elke vier jaar opnieuw
evalueren en daarvan een verslag aan beide Kamers doen toekomen. Waar in het algemeen
bij wetten wordt gekozen voor een evaluatietermijn van vijf jaar, verkort ik deze
tot vier jaar. Reden hiervoor is de ontwikkelingen op het gebied van ICT snel gaan
waardoor ik een kortere evaluatietermijn passend acht.
Het is op dit moment te vroeg om vooruit te lopen op de definitieve criteria die in
de evaluatie zullen worden meegenomen. Dit zal immers afhankelijk zijn van het functioneren
van het Adviescollege de komende jaren, waarbij accenten in de evaluatie gelegd kunnen
worden op punten die beter kunnen of juist goed gaan. Het ligt op dit moment wel in
de rede om in ieder geval een evaluatie uit te laten voeren naar de kwaliteit van
de adviezen en de opvolging daarvan door ministeries, zelfstandige bestuursorganen,
de Raad voor de rechtspraak en de politie en de uitbreiding van het taak van het Adviescollege
ten opzichte van het Instellingsbesluit.
II. ARTIKELSGEWIJZE TOELICHTING
Artikel VII
De leden van de PVV-fractie vragen wat de definitie is van «onderhoud- en beheersactiviteiten
van een informatiesysteem», zoals bedoeld in artikel 7 lid 1 sub 3. Kan de regering
aangeven welk soort activiteiten hieronder vallen? Wat is de reden dat dit begrip
niet duidelijker omschreven wordt in de wet? (21)
Er is sprake van beheer en onderhoud als de ICT-middelen worden gebruikt voor het
in werkzame staat houden van de dienstverlening en producten. Daarbij gaat het om
het in stand houden van de bestaande informatiesystemen en de daarbij benodigde wijzigingen.
Er kan hierbij gedacht worden aan bijvoorbeeld software-updates, het vervangen van
legacy, of groot onderhoud waar cyclisch alles nagelopen, vervangen en geüpdatet wordt.
Op het Rijks ICT-dashboard staat verder informatie over alle projecten van de rijksoverheid
met een ICT-component van tenminste € 5 miljoen.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen
Bijlage 1 bij vraag 9 – schematisch overzicht verschillende typen advies
Soort advies
Wie vraagt aan
Waarover
Verplicht
Doeltreffend en doelmatig inrichting en toepassing informatiesysteem (type 1)
Minister die verantwoordelijk is voor de ICT-voorziening
Informatiesysteem van het eigen ministerie
Nee
Doeltreffend en doelmatig inrichting en toepassing informatiesysteem (type 1)
Tweede of Eerste Kamer
Informatiesysteem van een ministerie, de politie, de Raad voor de rechtspraak of een
zelfstandig bestuursorgaan
Nee
Risico slaagkans voorgenomen ICT-project (type 2)
Minister die verantwoordelijk is voor de ICT-voorziening
ICT-project van het eigen ministerie
Ja
Risico slaagkans voorgenomen ICT-project (type 2)
Tweede of Eerste Kamer
ICT-project van een ministerie, de politie, de Raad voor de rechtspraak of een zelfstandig
bestuursorgaan
Nee
Risico slaagkans voorgenomen ICT-project (type 2)
Adviescollege uit eigen beweging
ICT-project van een ministerie of een zelfstandig bestuursorgaan
Nee
Risico slaagkans voorgenomen ICT-project (type 2)
Politie
ICT-project van de politie
Nee
Risico slaagkans voorgenomen ICT-project (type 2)
Raad voor de rechtspraak
ICT-project van de Raad voor de rechtspraak
Nee
Risico slaagkans voorgenomen ICT-project (type 2)
Zelfstandig bestuursorgaan
ICT-project van het zelfstandig bestuursorgaan
Ja
Onderhoud en beheer (type 3)
Minister die verantwoordelijk is voor de ICT-voorziening
Informatiesysteem van het eigen ministerie
Nee
Onderhoud en beheer (type 3)
Tweede of Eerste Kamer
Informatiesysteem van de Minister, politie, raad voor de rechtspraak of een zelfstandig
bestuursorgaan
Nee
Onderhoud en beheer (type 3)
Adviescollege uit eigen beweging
Informatiesysteem van de Minister of een zelfstandig bestuursorgaan
Nee
Onderhoud en beheer (type 3)
Politie
Informatiesysteem van de politie
Nee
Onderhoud en beheer (type 3)
Raad voor de rechtspraak
Informatiesysteem van de Raad voor de rechtspraak
Nee
Onderhoud en beheer (type 3)
Zelfstandig bestuursorgaan
Informatiesysteem van het zelfstandig bestuursorgaan
Nee
Indieners
-
Indiener
A.C. van Huffelen, staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties