Lijst van vragen en antwoorden : Lijst van vragen en antwoorden, gesteld aan de regering, over Aanbieding van het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Justitie en Veiligheid Kamerstuk 36 560 VI-2), over Aanbieding van het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36 560 VII-2), en over Aanbieding van het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Economische Zaken en Klimaat (Kamerstuk 36560 XIII-2)

36 560
VII
Jaarverslag en slotwet Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 2023

36 560
XIII
Jaarverslag en slotwet Ministerie van Economische Zaken en Klimaat 2023

Nr. 11
LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 4 juni 2023

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de bewindspersonen
van Justitie en Veiligheid, Binnenlandse Zaken en Koninkrijkrelaties, Economische
Zaken en Klimaat over de brieven van 15 mei 2023 inzake het rapport Resultaten verantwoordingsonderzoek
2023 bij het Ministerie van Justitie en Veiligheid (Kamerstuk 36 560 VI, nr. 2), het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties (Kamerstuk 36 560 VII, nr. 2), en het rapport Resultaten verantwoordingsonderzoek 2023 bij het Ministerie van
Economische Zaken en Klimaat (Kamerstuk 36 560 XIII, nr. 2).

De Minister van Binnenlandse Zaken en Koninkrijkrelaties heeft deze vragen, mede namens
de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, de Minister van
Economische Zaken en Klimaat en de Minister van Justitie en Veiligheid, beantwoord
bij brief van 4 juni 2024. Vragen en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie, Kathmann

De adjunct-griffier van de commissie, Muller

Vragen en antwoorden inzake Resultaten verantwoordingsonderzoek 2023 bij het Ministerie
van Justitie en Veiligheid (36 560 VI-2)

1

Vraag:

Kunt u aangeven op welke manier de veiligheid van uw medewerkers in het geding was?
Had het gebrek aan veiligheid opgelost kunnen worden? Bij wie lag die verantwoordelijkheid?
Heeft u een gebrek aan medewerking of juist tegenwerking ervaren?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u
separaat ontvangen.

2

Vraag:

Kunt u aangeven welke maatregelen u treft om het IT-beheer van het algoritme structureel
te verbeteren?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u
separaat ontvangen.

3

Vraag:

Kunt u aangeven hoeveel hits in 2023 werden gemist doordat profielen niet het aantal
hits opleverden dan had gemoeten?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u
separaat ontvangen.

4

Vraag

Kunt u aangeven op welke manier de Minister van JenV en de Minister van Defensie van
mening verschillen over de verwerkingsverantwoordelijkheden? Hoeveel vertraging heeft
de voortgang van de Data protection impact assessment (DPIA) opgelopen doordat beide
Ministers geen overeenstemming hebben weten te bereiken?

Antwoord:

De beantwoording van de vragen aan de Minister van Justitie en Veiligheid heeft u
separaat ontvangen.

Vragen en antwoorden inzake Resultaten verantwoordingsonderzoek 2023 bij het Ministerie
van Binnenlandse Zaken en Koninkrijksrelaties (36 560 VII-2)

5

Vraag:

Wat zijn de achterliggende redenen dat er weinig progressie is geboekt op de grote
problemen bij het rijksbrede ICT-beheer?

Antwoord:

De Algemene Rekenkamer stelt dat daadkrachtige kaderstelling en eenduidige kwaliteitseisen
ontbreken en dat invulling van de kaders te langzaam gaat. Er zijn de afgelopen jaren
handreikingen opgesteld en stappen gezet maar die hebben de bevinding slechts ten
dele opgelost. Departementen zijn voor dit onderwerp terughoudend in het gezamenlijk
ontwikkelen en implementeren van uitgebreidere kaders, dit vraagt (veel) meer tijd
om de inhoudelijke argumenten af te stemmen en tot een Rijksbreed kader te komen.

De Algemene Rekenkamer constateert dat de kwaliteit van IT-beheer bij de financiële
systemen beter wordt; tegelijkertijd wordt een verschil met de kwaliteit van IT-beheer
buiten de financiële stromen gesignaleerd.

Inmiddels werkt CIO Rijk samen met vier departementen een normenkader uit dat zal
dienen als kader voor het Rijksbreed IT-beheer. Ik streef ernaar een duidelijk kader
in 2024 vast te stellen en daarop toe te zien.

6

Vraag:

Kunt u aangeven welke lessen er zijn getrokken uit de vertraging voor de nieuwbouw
van digitale voorzieningen voor Logius? Maakt u naar aanleiding van deze vertragingen
andere inschattingen ten aanzien van de duur van toekomstige nieuwbouw? Wat zijn de
gevolgen daarvan voor andere contracten van Logius die op het punt staan af te lopen?

Antwoord:

Naar aanleiding van het AcICT Advies Logius ICT-infrastructuur (Kamerstukken II 2022/23,
26 643, nr. 1014) en de bestuurlijke reactie daarop (Kamerstukken II 2022/23, 26 643, nr. 1050) hebben Logius en de opdrachtgever bij BZK de zakelijke sturing verbeterd, ondersteund
door een periodiek opdrachtgevers-opdrachtnemersoverleg waarin de voortgang en status
van opdrachten, waaronder programma’s, wordt gevolgd. Daarbij is specifieke aandacht
voor het samen doorlopen van de voorfase van nieuwe opdrachten. Ook wordt expliciet
in een vroeg stadium gesproken over haalbaarheid en uitvoerbaarheid van nieuwe wensen,
zodat een meer realistische programmering tot stand komt. Er is voortdurend aandacht
bij de betrokken partijen voor het verder verbeteren van de zakelijke sturing. Zo
is bij de opdrachtgever extra capaciteit voor quality assurance en portfoliomanagement
aangetrokken.

De opvolging van het AcICT-advies wordt programmatisch aangepakt in samenwerking tussen
Logius en het Ministerie van BZK. Via Dashboards worden ontwikkelingen op wekelijkse
basis gevolgd en met elkaar besproken. De mogelijke gevolgen van eventuele wijzigingen
in planningen voor lopende contracten wordt hierbij steeds in beeld gebracht.

7

Vraag:

Heeft Logius veranderingen doorgevoerd in de manier waarop het zicht en grip houdt
op de duur van nieuwbouw? Waar bestaan deze veranderingen uit?

Antwoord:

Zie antwoord bij vraag 6.

8

Vraag:

Kunt u aangeven hoeveel algoritmes van ministeries en organisaties nog missen in het
algoritmeregister? Welke ministeries en organisaties blijven in absolute en relatieve
aantallen algoritmes het meest achter bij het aangeven van hun algoritmes in het algoritmeregister?

Antwoord:

Er is geen volledig beeld van het aantal algoritmes dat in het register ontbreken.
Eind 2023 en begin 2024 hebben departementen zogenoemde planningsbrieven gestuurd
over de vulling van het algoritmeregister en toegezegd uiterlijk 2025 het algoritmeregister
gevuld te hebben met ten minste hoog risico algoritmen. Sommige departementen hebben
toen aangegeven hoeveel algoritmen zij verwachten op te nemen in het register, maar
sommige departementen zijn of waren nog bezig met een inventarisatie. Departementen
zullen vanaf volgend jaar rapporteren over hun voortgang hierover via de Jaarrapportage
Bedrijfsvoering Rijk.

Op 24 mei 2024 hadden de volgende departementen – en gerelateerde organisaties – algoritmen
in het register:

• Binnenlandse Zaken en Koninkrijksrelaties (22)

• Buitenlandse Zaken (1)

• Economische Zaken en Klimaat (6)

• Financiën (11)

• Infrastructuur en Waterstaat (2)

• Justitie en Veiligheid (13)

• Onderwijs, Cultuur en Wetenschap (1)

• Sociale Zaken en Werkgelegenheid (16)

• Volksgezondheid, Welzijn en Sport (4)

9

Vraag:

Kunt u aangeven tegen welke problemen u aanloopt bij het oplossen van de onvolkomenheden
voor rijksbreed IT-beheer?

Antwoord:

Bij de eerste constatering van de Algemene Rekenkamer was onvoldoende helder hoe definities
van beheer en kaders in de rapporten bedoeld waren. De verantwoordelijkheidsverdeling
tussen systeemeigenaren, CIO’s van departementen en de centrale kadersteller stond
ook ter discussie, specifiek voor het beheervraagstuk. Het verkrijgen van een Rijksbreed
beeld van de opgave en de mogelijk interventie vereiste meer werk dan verwacht. Prioriteit
is gegeven aan beveiligingsvraagstukken en nieuw beleid op dit gebied.

Inmiddels is het CIO-stelsel inclusief de CISO’s geëngageerd; handreikingen en kaders
worden voortdurend doorontwikkeld met doorwerking naar het informatiestatuut. Een
kopgroep van vier departementen werkt aan een in 2024 vast te stellen kader voor IT-beheer.

10

Vraag:

Kunt u aangeven welke administratieve verbeterpunten bij het Shared Service Centrum
(SSC)-ICT nog open staan? Tegen welke moeilijkheden loopt u aan bij het oplossen van
deze verbeterpunten? Kunt u aangeven wat het tijdspad is om deze verbeterpunten door
te voeren?

Antwoord:

Het betreft verbeterpunten die door de ADR zijn geclassificeerd als een laag risico
en die betrekking hebben op het actualiseren van procesbeschrijvingen, waarbij in
de huidige werkwijzen verbeterde beheersmaatregelen zijn doorgevoerd. De verbeterpunten
zijn oplosbaar en naar verwachting opgelost in het derde kwartaal van 2024.

11

Vraag:

Hoe duidt u de kritiek van de Algemene Rekenkamer dat het bij het rijksbrede IT-beheer
ontbreekt aan een daadkrachtige kaderstelling?

Antwoord:

De constatering dat de huidige aanpak onvoldoende is erkent de Staatssecretaris van
BZK en heeft haar volle aandacht. Onder andere om dit op te lossen is aangegeven dat
de sturing op het digitale domein versterkt moet worden. Daarom werkt de Staatssecretaris
van BZK aan een herziening van het CIO Stelsel. Het doel van deze herziening is om
het volwassenheidsniveau van de sturing op het digitale domein te verhogen.

12

Vraag:

Hoe wilt u realiseren dat de geplande verbeteracties op toezicht IT-beheer wel worden
gerealiseerd in 2024?

Antwoord:

Om de geplande verbeteracties wel te realiseren zijn op basis van de eerder uitgevoerde
pilot en de nulmeting van vorig jaar contouren van de benodigde kaderstelling zichtbaar
geworden. Hierop wordt in 2024 doorgepakt. CIO Rijk gaat samen met vier departementen
het proces en de methodiek uitwerken om het inzicht in het IT-Beheer te verkrijgen.
Daarnaast werkt de Staatssecretaris van BZK samen met vier departementen een normenkader
uit dat zal dienen als kader voor het Rijksbreed IT-beheer. Op basis van dit kader
zal ook toezicht op de naleving worden vormgegeven.

13

Vraag:

Kunt u aangeven waarom het nog niet gelukt is om eenduidige kwaliteitseisen te stellen
waaraan het IT-beheer minimaal moet voldoen?

Antwoord:

De reden waarom het nog niet is gelukt om een eenduidige kader voor IT-beheer te maken
heeft te maken met prioriteitsstellingen op het vlak van security en pas opvolgend
het IT-beheer.

In lijn met de voorgaande rapporten van de AR is de focus primair gericht op de financiële
systemen. Opvolgend is gekeken naar een risico gebaseerde aanpak waarbij te beschermen
belangen zijn toegevoegd aan het informatiebeveiligingsbeeld. Vorig jaar zijn stappen
gezet om te komen tot een duidelijke handreiking rondom Life Cycle Management.

14

Vraag:

Hoe wilt u zorgen dat de maatregelen voor betere inkoop- en inhuurprocessen bij SSC-ICT
wel structureel doorwerken?

Antwoord:

In 2023 is een aanzienlijke verbetering opgetreden in de rechtmatigheid van externe
inhuur (onrechtmatigheid van € 12,4 mln. in 2022 teruggedrongen naar € 2,5 mln. in
2023). Dit dankzij een verbeterplan dat onder andere striktere toetsing van knock-out
criteria en beter beheer van verlengingsopties bevat. Ik ga ervan uit dat hierdoor
ook in 2024 een positief effect optreedt.

15

Vraag:

Kunt u aangeven waarom SSC-ICT de keuze maakt voor het inhuur van relatief veel extern
personeel? Waarom wordt dergelijk personeel niet in dienst genomen?

Antwoord:

In de huidige krappe ICT-arbeidsmarkt is het een uitdaging om voldoende gekwalificeerde
ambtelijke medewerkers aan te trekken. Om de continuïteit van de primaire en ondersteunende
processen te waarborgen, is SSC-ICT genoodzaakt ook een beroep te doen op externe
medewerkers, waarbij SSC-ICT ernaar streeft deze medewerkers te verambtelijken. Dit
is in lang niet alle gevallen mogelijk: sommige ICT-professionals geven de voorkeur
aan een externe positie vanwege redenen als flexibiliteit, salaris en diversiteit
aan opdrachten.

16

Vraag:

Hoe kan het dat uit de door de Rekenkamer onderzochte algoritmes 67% niet helemaal
voldoen aan de voorwaarden in het toetsingskader en hoe wilt u ervoor zorgen dat dit
in de toekomst verbeterd?

Antwoord:

De Algemene Rekenkamer heeft voor het verantwoordingsonderzoek 2023 drie algoritmen
onderzocht. Het algoritme Risicotaxatie-model Jeugdstrafrechtketen van het Ministerie
van Justitie en Veiligheid voldeed aan de eisen. De Algemene Rekenkamer heeft aangegeven
dat er bij de Marechaussee risico was op toegang door onbevoegden. Over het algoritme
bij Rijkswaterstaat geeft de Algemene Rekenkamer aan dat Rijkswaterstaat onvoldoende
aangeeft hoe zij omgaat met de gegevens.

De Staatssecretaris van BZK werkt aan een nieuwe versie van het Algoritmekader, voorheen
implementatiekader. Daarin maakt zij duidelijk richting overheidsorganisaties aan
welke vereisten zij moeten voldoen. Het toetsingskader van de Algemene Rekenkamer
maakt daar deel van uit. Bij de vereisten wordt aangegeven welke maatregelen zij moeten
nemen om aan die vereisten te voldoen en worden best practices gedeeld. Het Algoritmekader
wordt zo ingericht dat het praktisch uitvoerbaar is voor ook uitvoeringsorganisaties.

Vragen en antwoorden inzake Resultaten verantwoordingsonderzoek 2023 bij het Ministerie
van Economische Zaken en Klimaat (36 560 XIII-2)

17

Vraag:

Wat zijn de risico’s die gepaard gaan met een te late controle op uitdiensttredingen?
Heeft u maatregelen genomen om deze risico’s te mitigeren of om de controle op uitdiensttredingen
te bespoedigen? Zijn er moeilijkheden bij het treffen van deze maatregelen en wat
zijn deze moeilijkheden?

Antwoord:

Bij uitdiensttreding wordt de werkplekomgeving van DICTU van EZK geautomatiseerd beëindigd.
Hierdoor is het dan niet meer mogelijk gebruik te maken van toegang tot het financiële
pakket ondanks het feit dat de toegangsrechten voor dat financiële pakket nog niet
ingetrokken zijn.

Wanneer medewerkers hun toegang tot het financiële administratiepakket Oracle EBS
behouden na uitdiensttreding, dan kunnen zij de rechten die zij daarvoor hadden nog
uitoefenen, mits zij nog toegang hebben tot het pakket. Het risico daarvan acht ik
beperkt, omdat de toegang tot Oracle EBS alleen mogelijk is via de werkplekomgeving
van DICTU van EZK die, zoals hierboven aangegeven, geautomatiseerd wordt beëindigd
bij uitdiensttreding.

Ik heb maatregelen getroffen om de controle op uitdiensttredingen te intensiveren.
Hierbij ligt de nadruk op periodieke controle door de lijnmanagers op de geldigheid
van de gebruikerspopulatie en hun rollen en rechten. Hiervoor heb ik zowel een generiek
project gestart om een nieuw bevoegdhedenbeheersysteem in gebruik te nemen, als een
specifieke controle opgezet gericht op de beheersing van de toegang tot Oracle EBS.

De oorzaak van het issue is het feit dat het bijhouden van de medewerkergegevens in
Oracle EBS niet geautomatiseerd plaatsvindt op basis van de registratie in P-Direkt
en de identiteitenregistratie. Mijn ministerie heeft in het verleden (2011 en 2015)
twee mislukte pogingen gedaan om hiervoor een geautomatiseerde koppeling te realiseren,
waardoor er nu nog steeds handmatige doorgifte plaatsvindt. Ook hindert de verschillende
toewijzing van verantwoordelijkheid voor gegevens van eigen personeel en van inhuurkrachten
(personeelsadministratie versus inkoop) het goed organiseren van de informatiestroom
rond uitdiensttredingen. Het vraagstuk van uitdiensttreding speelt breder dan alleen
in de financiële administratie en wil ik bij voorkeur generiek oplossen.

Overkoepelende/overige vragen die betrekking hebben op bovenstaande rapporten Resultaten
verantwoordingsonderzoek 2023

Geen vragen.