Lijst van vragen en antwoorden : Lijst van vragen en antwoorden, gesteld aan de Algemene Rekenkamer, over het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36 560 VII-2) en het Ministerie van Economische Zaken en Klimaat (Kamerstuk 36560 XIII-2)

36 560
XIII
Jaarverslag en slotwet Ministerie van Economische Zaken en Klimaat 2023

Nr. 6
LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 4 juni 2024

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de Algemene
Rekenkamer over de brieven van 15 mei 2024 inzake het rapport Resultaten verantwoordingsonderzoek
2023 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36 560 VII, nr. 2) en het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Economische
Zaken en Klimaat (Kamerstuk 36 560 XIII, nr. 2).

De Algemene Rekenkamer heeft deze vragen beantwoord bij brief van 4 juni 2024. Vragen
en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie, Kathmann

De adjunct-griffier van de commissie, Muller

Vraag 1

Kunt u aangeven wat de administratieve verbeterpunten voor de beveiliging van IT-componenten
bij het Shared Service Centrum (SSC)-ICT zijn? (bladzijde 17)

SSC-ICT test periodiek de beveiliging van IT-componenten, bijvoorbeeld of er bekende
kwetsbaarheden worden gevonden en de patch-processen zijn uitgevoerd. Hierover wordt
maandelijks gerapporteerd aan het management. Rondom deze rapportages zijn er nog
verschillende verbeterpunten. Zo is in de rapportages de status van uitgevoerde controles
niet altijd helder. Ook blijkt uit de rapportages niet duidelijk hoe vaak controles
plaatsvinden. Verder is het versiebeheer onvoldoende duidelijk en is het proces van
vaststelling niet goed te reconstrueren.

Vraag 2

Kunt u aangeven waaruit de restrisico’s voor de volledigheid van de financiële omzet
van de Rijksdienst voor Identiteitsgegevens (RvIG) en de juistheid van de facturering
aan de afnemers uit bestaan?

Met ingang van 2023 beschikt RvIG over voldoende informatie om de kwaliteit van het
IT-beheer van de externe dienstverleners te beoordelen en te monitoren. Na het treffen
van beheersingsmaatregelen blijft er altijd een beperkt risico dat beheersingsdoelstellingen
niet worden gerealiseerd. Gezien de getroffen maatregelen wordt het risico op het
missen van omzet als gering ingeschat. Het restrisico voor de volledigheid van de
omzet is mede verder beperkt doordat gewerkt wordt met staffels en tarieven.

Bij de onjuiste verwerking van het aantal keren dat gebruik is gemaakt van het opvragen
van gegevens door de verschillende afnemers bestaat het risico dat er een verkeerd
bedrag wordt gefactureerd.

Vraag 3

Waaruit bestaat het verschil tussen de kwaliteit van IT-beheer binnen de financiële
systemen en buiten de financiële stromen precies? Kunt u hierover uitweiden? (bladzijde
20)

IT-beheer binnen de financiële systemen toetsen wij in het kader van de jaarrekeningcontrole.
In onze onderzoeken buiten de financiële systemen, bijvoorbeeld onze algoritmeonderzoeken,
nemen wij IT-beheer ook mee. In deze onderzoeken zien we dat IT-beheer minder goed
op orde is. We kunnen bijvoorbeeld vaak niet met zekerheid vaststellen wie er allemaal
wijzigingen kunnen doorvoeren in de code van een algoritme en wie dat hebben gedaan.
Wanneer dit aspect van IT-beheer niet op orde is, bestaat het risico dat gegevens
onrechtmatig worden gewijzigd of verwijderd. Verder wordt er vaak gebruikt gemaakt
van uitbesteding en is het daardoor ingewikkeld om zicht te krijgen welke maatregelen
er worden genomen om risico’s te verminderen. In de algoritmeonderzoeken bleek ook
dat we niet altijd alle voor het onderzoek benodigde informatie konden verkrijgen
van bij de ontwikkeling of het beheer van het algoritme betrokken «onderaannemers».

Vraag 4

Kunt u aangeven waarom de handreikingen die de Minister van BZK het afgelopen jaar
heeft opgesteld om de ministeries te helpen volgens u niet voldoende zijn? Verschillen
de kwaliteitseisen binnen deze handreikingen te zeer van elkaar? Mist er informatie?
Waaraan moet het kwaliteitskader voldoen en waaraan voldoen de handreikingen die reeds
zijn opgesteld niet? (bladzijde 20)

Hoewel er door de Minister van BZK handreikingen zijn opgesteld voor IT-beheer, is
er nog geen kader vastgesteld waartegen de naleving van kan worden getoetst. De opgestelde
handreikingen zijn daarom geen volledige invulling van de kaderstellende rol van de
Minister van BZK. Met de handreikingen alleen is nog niet vastgesteld welke kaders
het Ministerie van BZK aanhoudt voor IT-beheer binnen de rijksoverheid. Hierdoor is
geen uniform beeld aan welke normen departementen en uitvoeringsorganisaties minimaal
moeten voldoen.

Vraag 5

Kunt u aangeven in hoeverre de inhuur van extern personeel door SSC-ICT leidt tot
hogere kosten ten opzichte van het in dienst nemen van dergelijk personeel?

U vraagt in hoeverre de inhuur van extern personeel door SSC-ICT leidt tot hogere
kosten ten opzichte van het in dienst nemen van personeel. Hier hebben wij geen onderzoek
naar gedaan.

Antwoorden Algemene Rekenkamer bij vragen van de Tweede Kamer over het Verantwoordingsonderzoek
Ministerie van Economische Zaken en Klimaat (36 560 XIII, nr. 2), Rapport bij het Jaarverslag 2023

Vraag 6

Zijn er nog dingen opgevallen als het gaat om de budgetten voor digitale infrastructuur
en hoogwaardige technologieën?

Wij hebben deze budgetten tijdens dit verantwoordingsonderzoek niet onderzocht of
beoordeeld.

Vraag 7

Wat zijn de risico’s die gepaard gaan met een te late controle op uitdiensttredingen?
(bladzijde 20)

Als controles op uitdiensttredingen te laat plaatsvinden, bestaat het risico dat medewerkers
die uit dienst zijn getreden bij een andere afdeling zijn gaan werken of een andere
rol hebben gekregen nog rechten hebben in IT-systemen. Daardoor kunnen zij ten onrechte
nog handelingen verrichten in die systemen, zoals wijzigingen aanbrengen of informatie
raadplegen, terwijl zij daartoe niet meer geautoriseerd vanwege het einde van hun
dienstverband.

Antwoorden Algemene Rekenkamer bij vragen van de Tweede Kamer over Overkoepelende/overige
vragen die betrekking hebben op bovenstaande rapporten Resultaten verantwoordingsonderzoek
2023

Vraag 8

In hoeverre weegt u strategische afhankelijkheden van niet-Europese ICT-leveranciers
mee in uw beoordeling over de informatiebeveiliging van ICT-diensten?

Strategische afhankelijkheden van niet-Europese ICT-leveranciers waren geen onderdeel
van onze beoordelingen binnen het verantwoordingsonderzoek 2023.