Brief Presidium : Brief van het Presidium over een verzoekonderzoek door de Algemene Rekenkamer inzake bevindingen ten aanzien van de informatiebeveiliging bij het ministerie van Volksgezondheid, Welzijn en Sport

Nr. 37 HERDRUK1

BRIEF VAN HET PRESIDIUM

Aan de Leden

Den Haag, 26 november 2020

Het Presidium legt hierbij conform artikel 30, tweede lid, van het Reglement van Orde
aan u voor het verzoek van de vaste commissie voor Volksgezondheid, Welzijn en Sport,
bij brief van 9 november 2020 (zie bijlage), om de Algemene Rekenkamer een nadere
analyse te vragen over haar bevindingen ten aanzien van de informatiebeveiliging bij
het Ministerie van VWS, naar aanleiding van de op 2 juli 2020 (Handelingen II 2019/20,
nr. 91, item 103) door de Kamer aangenomen gewijzigde motie van het lid Van de Berg (Kamerstuk 35 470 XVI, nr. 13).

Het Presidium stelt u voor om hiermee in te stemmen en dit verzoek door te geleiden
aan de Algemene Rekenkamer.

De voorzitter van de Tweede Kamer der Staten-Generaal, Arib

BIJLAGE BRIEF VAN DE VASTE COMMISSIE VOOR VOLKSGEZONDHEID, WELZIJN EN SPORT

Aan het Presidium

Den Haag, 9 november 2020

In de procedurevergadering van 5 november 2020 heeft de vaste commissie voor Volksgezondheid,
Welzijn en Sport (VWS) besloten een voorstel aan de Kamer te doen om bij de Algemene
Rekenkamer een verzoekonderzoek in te dienen over haar bevindingen ten aanzien van
informatiebeveiliging bij het Ministerie van VWS, naar aanleiding van de op 2 juli
2020 door de Kamer aangenomen gewijzigde motie van het lid Van den Berg (Kamerstuk
35 470 XVI, nr. 13).

De aanleiding voor dit verzoek is de constatering dat de Algemene Rekenkamer in het
verantwoordingsonderzoek over 2019 informatiebeveiliging en verouderde ICT-systemen
wederom als onvolkomenheid heeft geduid. De Minister heeft in zijn reactie daarop
aangeven dat hij de aanbevelingen van de Algemene Rekenkamer ter harte neemt en geeft
aan dat in januari 2020 een nieuw draaiboek voor incidenten en datalekken is vastgesteld.
Evenwel hebben zich in 2020 incidenten voorgedaan met betrekking tot informatiebeveiliging,
zoals datalekken bij het donorregister en bij de infectieradar.

In dat licht wordt voorgesteld om de Algemene Rekenkamer een nadere analyse te vragen
van hun eerdere bevindingen ten aanzien van de ICT-organisatie, de ICT-systemen, de
governance en de processen en procedures met betrekking tot incidenten en datalekken.
Hierbij zou gekeken kunnen worden naar het niveau van informatiebeveiliging en naar
de wijze waarop opvolging is gegeven aan de eerdere aanbevelingen van de Algemene
Rekenkamer op dit punt. De Algemene Rekenkamer wordt verzocht deze analyse, bij voorkeur
in een afzonderlijke rapportage, uiterlijk op Verantwoordingsdag 2021 aan de Staten-Generaal
te doen toekomen.

Voorgesteld wordt de Algemene Rekenkamer te verzoeken de volgende hoofdvraag centraal
te stellen:

Hoe is de ICT-organisatie van VWS met betrekking tot informatiebeveiliging vorm gegeven,
qua systemen, processen en procedures en hoe functioneert deze in de praktijk?

Ter beantwoording van deze hoofdvraag worden de volgende mogelijke sub-vragen voorgesteld:

• Hoe zijn de ICT-organisatie, de ICT-systemen, de governance en de processen en procedures
met betrekking tot het voorkomen van incidenten en datalekken bij VWS vormgegeven
en hoe wordt daar in de praktijk invulling aan gegeven?

• Wat is het niveau van informatiebeveiliging, ook in vergelijking tot andere ministeries?

• Wat is de cultuur binnen organisaties op het VWS-terrein wat betreft het melden van
– en omgaan met incidenten en datalekken? Hoe is op centraal niveau binnen VWS het
zicht en de regie op incidenten en datalekken?

• Welke tekortkomingen heeft de Algemene Rekenkamer in haar verantwoordingsonderzoeken
op het punt van informatiebeveiliging op VWS-terrein gesignaleerd? Tot welke aanbevelingen
heeft dit geleid en (hoe) is daar opvolging aan gegeven?

• Ziet de Algemene Rekenkamer, ook gezien datalekken die in 2020 zijn opgetreden, nog
mogelijkheden voor verbetering van de informatiebeveiliging op VWS-terrein?

De commissie voor Financiën heeft over het voorstel positief geadviseerd, conform
de procedure van artikel 21a van het Reglement van Orde. De briefwisseling met de
commissie Financiën is als bijlage bij deze brief gevoegd.

De commissie verzoekt de Kamer overeenkomstig haar voorstel te besluiten.

De voorzitter van de commissie, Lodders

De griffier van de commissie, Post

Bijlage BRIEF VAN DE VASTE COMMISSIE VOOR FINANCIËN

Aan de Voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport

Den Haag, 9 oktober 2020

Op 1 oktober jl. heeft de commissie Financiën van u een brief ontvangen met het verzoek
om (conform artikel 16a, tweede lid, Reglement van Orde Tweede Kamer) aan uw commissie
een advies uit te brengen over een conceptverzoek van de Kamer aan de Algemene Rekenkamer
om een nadere analyse over haar bevindingen ten aanzien van informatiebeveiliging
bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS).

Advies

De commissie Financiën brengt een positief advies uit over het verzoek en bericht
de vaste commissie voor Volksgezondheid, Welzijn en Sport hierbij dat het verzoek,
inclusief het advies van de commissie Financiën, door uw commissie ter besluitvorming
aan de plenaire vergadering kan worden voorgelegd.

Toelichting

De staf Financiën heeft het verzoek getoetst aan de criteria voor verzoeken van de
Kamer aan de Algemene Rekenkamer. Ook heeft op ambtelijk niveau afstemming plaatsgevonden
met de Algemene Rekenkamer. Op basis daarvan brengt de commissie Financiën haar positief
advies uit. Het voorstel is getoetst aan de hieronder genoemde criteria.

1. Heeft de Algemene Rekenkamer voldoende bevoegdheden?

Ja, de Algemene Rekenkamer beschikt over voldoende bevoegdheden om dit onderzoek uit
te voeren. Het betreft een nadere analyse van eerdere bevindingen uit het verantwoordingsonderzoek
2019.

2. Beschikt de Algemene Rekenkamer over de vereiste kennis en expertise?

Ja. De Algemene Rekenkamer heeft in het verantwoordingsonderzoek 2019 de informatiebeveiliging
en verouderde ICT-systemen bij VWS (wederom) als onvolkomenheid geduid. De Minister
heeft in zijn reactie daarop aangeven dat hij de aanbevelingen van de Algemene Rekenkamer
ter harte neemt en dat er in januari 2020 een nieuw draaiboek voor incidenten en datalekken
is vastgesteld. Niettemin hebben zich in 2020 incidenten voorgedaan met betrekking
tot informatiebeveiliging, zoals datalekken bij het donorregister en bij de infectieradar.
Om die reden wordt voorgesteld om de Algemene Rekenkamer een nadere analyse te vragen
van hun eerdere bevindingen ten aanzien van de ICTorganisatie, de ICT-systemen, de
governance en de processen en procedures met betrekking tot incidenten en datalekken.

3. Heeft uitvoering door de Algemene Rekenkamer meerwaarde?

Hierbij gaat het om de vraag welke meerwaarde een onderzoek door de Algemene Rekenkamer
oplevert ten opzichte van een onderzoek door de Kamer zelf of door een ander onderzoeksbureau.
Het verzoek aan de Algemene Rekenkamer heeft meerwaarde, omdat zij al veel kennis
en expertise op dit terrein heeft en het een nadere analyse van reeds bestaande onderzoekgegevens
betreft. De wens van de vaste commissie VWS is om de resultaten van het onderzoek
ter beschikking te hebben op Verantwoordingsdag 2021, waardoor het tijdpad relatief
kort is. Dit is voor de Algemene Rekenkamer haalbaar, gezien de al aanwezige kennis,
expertise en onderzoeksgegevens. (Onderzoeks)bureaus zouden meer tijd nodig hebben
om de kennis en expertise op te doen en kunnen mogelijkerwijs niet zonder procedurele
problemen gebruik maken van de onderzoeksgegevens van de Algemene Rekenkamer.

4. Is de probleemstelling en vraagstelling helder?

Het probleem en de vraagstelling is helder. De commissie VWS wenst inzicht in de situatie
waarbij er op het Ministerie van VWS incidenten met betrekking tot informatiebeveiliging
hebben kunnen plaatsvinden ondanks een recent ingevoerd draaiboek voor incidenten
en datalekken. De vraagstelling is duidelijk en goed afgebakend en luidt als volgt:
Hoe is de ICT-organisatie van VWS met betrekking tot informatiebeveiliging vormgegeven,
qua systemen, processen en procedures en hoe functioneert deze in de praktijk? Deze
vraag is uitgesplitst in vijf duidelijke sub-vragen.

5. Is helder op welk termijn het onderzoek moet plaatsvinden?

In het voorstel van de vaste commissie VWS staat dat het onderzoek moet worden afgerond
voor Verantwoordingsdag 2021, zodat het kan worden meegenomen bij de verantwoording
over de begroting VWS 2020. Op basis van de toetsing acht de commissie Financiën dit
haalbaar.

De voorzitter van de commissie, Tielen

De griffier van de commissie, Weeber