Lijst van vragen en antwoorden : Lijst van vragen en antwoorden, gesteld aan de regering, over het rapport Resultaten verantwoordingsonderzoek 2018 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII)

Nr. 10
LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 7 juni 2019

De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen voorgelegd aan
de Minister van Binnenlandse Zaken en Koninkrijksrelaties over de brief van 15 mei
2019 inzake het rapport Resultaten verantwoordingsonderzoek 2018 bij het Ministerie
van Binnenlandse Zaken en Koninkrijksrelaties (VII) (Kamerstuk 35 200 VII, nr. 2).

De Minister heeft deze vragen beantwoord bij brief van 5 juni 2019. Vragen en antwoorden,
voorzien van een inleiding, zijn hierna afgedrukt.

De voorzitter van de commissie, Ziengs

De griffier van de commissie, Roovers

Inleiding

Ik heb helaas geconstateerd dat door een rapportagefout van de Belastingdienst op
het Rijks ICT Dashboard ook in de Jaarrapportage Bedrijfsvoering Rijk (JBR), die ik
eerder met uw Kamer heb gedeeld, onjuiste cijfers zijn opgenomen. Het gaat hierbij
om het totaalbedrag van daadwerkelijk in 2018 gemaakte kosten en de totale meerjarige
kosteninschatting van grote ICT-projecten. De correcte cijfers zijn in de beantwoording
van deze schriftelijke Kamervragen opgenomen. Het totaal aan daadwerkelijke uitgaven
aan grote ICT-projecten binnen het Rijk komt uit op € 648 mln. waar eerder € 564 mln.
was gemeld. De totale meerjarige kosteninschatting van grote ICT-projecten komt uit
op € 3.137 mln. waar eerder € 3.032 mln. was gemeld. Omdat bij diverse berekeningen
in de JBR van de eerder gemelde totaalbedragen gebruik is gemaakt, zal ik u tevens
zo snel mogelijk een rectificatie van de volledige ICT-paragraaf van de JBR over 2018
doen toekomen. Ik betreur uiteraard deze gang van zaken.

1

Vraag:

Wat zijn de redenen geweest om te kiezen voor een agentschap als het gaat om het Shared
Service Center ICT (SSC-ICT)? Wat zijn de voor- en nadelen van deze vorm?

Antwoord:

SSC-ICT is in zijn huidige vorm ontstaan als gevolg van het kabinetsbeleid inzake
de vorming van een compacte Rijkdienst. De instelling van SSC-ICT als agentschap met
een baten-lastenadministratie is verwoord in Kamerstuk 33 464, nr. 1. Deze instelling is gericht op het vormgeven van een verzakelijkte, resultaatgerichte
en doelmatige bedrijfsvoering. Daarbij worden tussen opdrachtgever, eigenaar en agentschap
vooraf afspraken gemaakt over prestaties, kwaliteit en kosten en hierover wordt verantwoording
afgelegd. In deze constructie worden binnen het stelsel van Rijksbrede dienstverlening
checks and balances geborgd. Een agentschap valt geheel onder de ministeriële verantwoordelijkheid.

Het voeren van een batenlastenadministratie maakt het onder andere mogelijk dat SSC-ICT
voor de financiering van investeringen gebruik kan maken van de leenfaciliteit van
het Ministerie van Financiën. De opdrachtgevers van SSC-ICT werken doorgaans met een
verplichtingen-kasadministratie. De aansluiting op hun departementale begrotingscyclus
vergt daardoor de nodige afstemming.

Bronnen

– Kamerstuk 33 464, nr. 1: De Minister van Binnenlandse Zaken en Koninkrijksrelaties heeft de Tweede Kamer
in haar brief van 30 oktober 2012 het voornemen gemeld om SSC-ICT Den Haag per 1 januari
2013 de status van baten-lastendienst toe te kennen. Met de beantwoording van een
aantal Tweede Kamervragen (Kamerstuk 33 464, nr. 2) is vervolgens de «voorhangprocedure» afgerond zoals die in het kader van artikel
10 van de Comptabiliteitswet 2001 is bepaald.

– Instellingsbesluit baten-lastendienst SSC-ICT Den Haag. (Stcrt. 2012, nr. 27098)

– Regeling Agentschappen, 01-01-2018 t/m heden.

2

Vraag:

Wanneer en hoe worden de agentschappen geëvalueerd, en met welk doel?

Antwoord:

De Regeling Agentschappen schrijft voor dat de Minister en de Minister van Financiën
gezamenlijk, tenminste eens in de vijf jaar, de doelmatigheid en doeltreffendheid
van het functioneren van een agentschap beoordelen door middel van het uitvoeren van
een agentschapsdoorlichting. De doelstelling van deze doorlichting is het geven van
inzicht in het functioneren van het agentschap in het licht van de Regeling Agentschappen
op de gebieden Governance, Financieel beheer, Doelmatigheid en Bekostiging. Vanaf
de Ontwerpbegroting 2020 melden de agentschappen in welk jaar de eerstvolgende evaluatie
staat gepland.

3

Vraag:

Welke acties worden ondernomen om onder de tolerantiegrens voor fouten en onzekerheden
met betrekking tot de huurtoeslag te komen?

Antwoord:

De rapporteringstolerantie voor de huurtoeslag is lager dan voor de andere toeslagen,
omdat de uitgaven en ontvangsten voor de huurtoeslag een groot deel van de uitgaven
en ontvangsten van de begroting van BZK uitmaken. Voor de huurtoeslag geldt daardoor
een tolerantie van € 145,9 mln., wat overeenkomt met 3,3% van de uitgaven en ontvangsten
van de huurtoeslag. Voor de andere toeslagen is de rapporteringstolerantie 5% van
de uitgaven en ontvangsten op het desbetreffende begrotingsartikel.

Voor de huurtoeslag wordt een overschrijding gemeld omdat volgens de Rijksbegrotingsvoorschriften
bij gebruik van statistische steekproeven uitgegaan moet worden van de maximale fout.
Voor de huurtoeslag bedraagt de meest waarschijnlijke fout en onzekerheid € 91,8 mln.
Dit blijft onder de genoemde tolerantie.

Het beperken van (de gevoeligheid voor) fouten is onderwerp van het reguliere contact
tussen BZK en de Belastingdienst en van de toetsing van de uitvoerbaarheid van nieuwe
beleidsvoornemens.

4

Vraag:

Wat is de stand van zaken van de maatregelen op kwetsbaarheden in de informatiebeveiliging,
zoals genoemd in de brief «Sturing Informatiebeveiliging en ICT binnen de Rijksdienst»
uit oktober 2018?

Antwoord:

In oktober 2018 heb ik de Kamer het gewijzigde Coördinatiebesluit gestuurd waarin
aanvullende bevoegdheden zijn geregeld (Kamerstuk 26 643, nr. 573), deze vul ik nu in. In de Strategische I-agenda staan korte- en lange termijn maatregelen.
Dit moet helpen om in de toekomst meer grip te krijgen op IT en informatiebeveiliging.

• CISO-profiel: het profiel van de Chief Information Security Officer (CISO) binnen departementen
wordt in 2019 verduidelijkt en geformaliseerd.

• Vulnerability scanning: ontwikkeling van een gezamenlijke voorziening voor controleren op kwetsbaarheden
van systemen binnen de Rijksdienst die met het internet zijn verbonden is in voorbereiding
en wordt binnen de planperiode van de I-agenda ontwikkeld.

• Uitbouw van het Nationaal Detectie Netwerk (NDN) bij de Rijksdienst: het NDN is steeds effectiever als meer partijen aansluiten. Om de uitbouw te bevorderen
heeft NCSC aanvullende capaciteit ingezet en heeft BZK ook extra budget uit de eigen
begroting beschikbaar gesteld voor de aanschaf van extra sensoren door JenV (NCSC).
Dit is een doorlopend meerjarig proces.

• Staatsgeheime werkplek: er wordt binnen de planperiode van de Strategische I-agenda 2019–2021 een gezamenlijk
kader voor een voorziening voor staatsgeheime toepassingen ontwikkeld. De interdepartementale
verkenning van wensen en benodigde functionaliteiten is gestart. Op basis van de analyse
zal nadere uitwerking plaatsvinden.

• Ten aanzien van het afsprakenkader wordt hard gewerkt aan een beveiligingsniveau in
de BIR 2017 dat weerstand biedt tegen hogere dreigingen. Gestreefd wordt naar oplevering
in 2019.

5

Vraag:

Wat is de stand van zaken omtrent de formalisering van de Chief Information Security
Officer (CISO)-rol? Wanneer is de rol daadwerkelijk geformaliseerd?

Antwoord:

Het profiel van de Chief Information Security Officer (CISO) wordt in 2019 verduidelijkt
en geformaliseerd.

6

Vraag:

Worden andere ministers aangesproken als zij toch overgaan tot «Gunning uit de Hand»?

Antwoord:

Binnen de inhuurketen wordt door UBR|Inhuurdesk getoetst of voor een gunning uit de
hand een mandaatbesluit vanuit de opdrachtgever aanwezig is. Zodra dit wordt bevestigd
wordt de aanvraag door UBR| Inhuurdesk in behandeling genomen. De opdrachtgevers zijn
primair zelf verantwoordelijk voor een juiste en volledige registratie van Waivers/managementbesluiten
binnen hun organisatie, veelal de CDI-office.

In periodieke voortgangsgesprekken en rapportages worden de gunningen uit de hand
vanuit UBR| Inhuurdesk besproken respectievelijk gerapporteerd aan de opdrachtgevers.
UBR| Inhuurdesk is een uitvoeringsorganisatie en heeft geen enkel mandaat om opdrachtgevers
resp. de verantwoordelijke Minister(s) aan te spreken.

7

Vraag:

Sinds wanneer was u bekend dat een aantal van de verbetermaatregelen waar P-Direkt
en SSC-ICT in 2018 mee zijn gestart pas eind 2018 of begin 2019 geëffectueerd zou
kunnen worden?

Antwoord:

Dat bleek tijdens de uitvoering in de loop van 2018. Het tempo wordt beïnvloed door
de omvang en complexiteit van het P-Direkt landschap tezamen met de hoge beschikbaarheidseisen.
Maatregelen dienen hierdoor gefaseerd uitgerold te worden. Inmiddels zijn deze maatregelen
geëffectueerd.

8

Vraag:

Is er een «plan B» indien de verwachting dat SSC-ICT dit jaar het IT-beheer op orde
krijgt voor de meest essentiële IT-systemen, niet gehaald wordt?

Antwoord:

De Staatssecretaris heeft geen aanleiding om te veronderstellen dat zijn eerder uitgesproken
verwachting niet haalbaar is, maar mocht blijken dat de huidige maatregelen het gewenste
effect nog niet volledig hebben bereikt, dan zal daar in de verbetercyclus van 2020
nader aandacht aan worden besteed.

9

Vraag:

Hoeveel jaar gaat het duren tot de gehele portefeuille van applicaties geüniformeerd
zal zijn?

Antwoord:

De opmerking in het rapport betreft hier uitsluitend het uniformeren van het beheer
van applicaties. Voor 2019 is de inspanning vooral gericht op het uniformeren van
de beheerprocessen van de meest essentiële applicaties. Volgend jaar zal deze werkwijze
ook worden toegepast op alle overige applicaties waar SSC-ICT het applicatiebeheer
van uitvoert.

10

Vraag:

Welke (nieuwe) bevoegdheden zijn voor u onmisbaar om uw rol van het bevorderen van
Rijksbrede informatiebeveiliging uit te voeren?

Antwoord:

Het herziene Coördinatiebesluit geeft mij nu de mogelijkheid om uitvoering te geven
aan de brief die ik u in oktober 2018 heb gestuurd en in de Strategische I-agenda
Rijksdienst 2019–2021 die u dit jaar hebt ontvangen.

Ik zal kaders stellen ter bevordering van de eenheid, de kwaliteit of de efficiëntie
van de bedrijfsvoering én de informatiesystemen van de ministeries. Nieuw is dat ik
in dat verband ICT voorzieningen kan aanwijzen die ten behoeve van de noodzakelijke
uitwisselbaarheid of beveiliging Rijksbreed gebruikt moeten worden. Ik zal bovendien
monitoren dat collega Ministers uitvoering geven aan deze kaders. Met deze maatregelen
ga ik nu aan de slag. Uit de praktijk moet blijken of hiermee voldoende voortgang
wordt bereikt.