Lijst van vragen en antwoorden : Lijst van vragen en antwoorden, gesteld aan de Algemene Rekenkamer, over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van Justitie en Veiligheid (Kamerstuk 36740-VI-2), over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36740-VII-2) en over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van Economische Zaken (Kamerstuk 36740-XIII-2)

36 740
VII
Jaarverslag en slotwet Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 2024

36 740
XIII
Jaarverslag en slotwet Ministerie van Economische Zaken en Klimaat 2024

Nr. 6
LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 10 juni 2025

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de Algemene
Rekenkamer over de brief van 21 mei 2025 inzake het rapport Resultaten verantwoordingsonderzoek
2024 bij het Ministerie van Justitie en Veiligheid (Kamerstuk 36 740 VI, nr. 2), over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van
Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36 740 VII, nr. 2) en over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie
van Economische Zaken (Kamerstuk 36 740 XIII, nr. 2).

De Algemene Rekenkamer heeft deze vragen beantwoord bij brief van 10 juni 2025. Vragen
en antwoorden zijn hierna afgedrukt.

De voorzitter van de commissie, Wingelaar

Adjunct-griffier van de commissie, Muller

Vraag 1

Ziet u in de afgelopen jaren ontwikkelingen in de (kwaliteit van de) verantwoording
over ICT-uitgaven aan softwarelicenties, hardware en grote ICT-projecten?

Vragen om kosteninzicht raken aan veel onderwerpen die wij onderzoeken. In diverse
rapporten geven wij aan dat het lastig is om inzicht te krijgen in ICT-uitgaven. Dit
heeft onder meer te maken met het hanteren van twee boekhoudstelsels binnen de rijksoverheid
(kas-verplichtingen en baten-lasten). Bovendien is er nog geen uniforme interdepartementale
inrichting van de financiële administratie.

We hebben geen onderzoek uitgevoerd naar specifiek de verantwoording over ICT-uitgaven
en kunnen daarom geen schets geven over de ontwikkelingen daarin afgelopen jaren.
Informatie daarover is te vinden via bijvoorbeeld rijksfinancien.nl [https://www.rijksfinancien.nl/open-data/Ontvangers%20ICT%20uitgaven] of het rijksictdashboard [https://www.rijksictdashboard.nl/].

Vraag 2

Welke specifieke risico’s heeft de Rekenkamer gesignaleerd bij het rijksbrede IT-beheer,
met name bij Logius en SSC-ICT?

Onze IT-beheeronderzoeken richten zich met name op de voor de jaarrekening relevante
financiële systemen. We bekijken bijvoorbeeld of de cijfers die daarin staan juist
zijn, niet zomaar kunnen worden aangepast en alleen kunnen worden gewijzigd door geautoriseerde
medewerkers, of wijzigingen in de software beheerst plaatsvinden en hoe de beveiliging
van de applicaties is geregeld. We zien al jaren specifieke risico’s bij met name
(ongeautoriseerde) toegang tot systemen. De Algemene Rekenkamer vraagt al een aantal
jaren aan de Minister van BZK om duidelijke eisen te stellen aan IT-beheer waar de
Rijksoverheid aan moet voldoen. Op dit moment is er nog geen rijksbreed beeld over
de kwaliteit van IT-beheer. Wij hebben dus geen volledig zicht op alle ministeries
en de organisaties die daaronder liggen, omdat tot dit jaar geen kader was gesteld.
Rijksbreed toezicht op naleving van de minimale eisen is nog niet ingevuld door de
Minister van BZK. Wij hebben het IT-beheer van Logius en SSC-ICT dit jaar niet specifiek
onderzocht.

Vraag 3

Heeft u onderzocht of Logius en SSC-ICT voldoende cybersecuritymaatregelen treffen,
en zo ja, wat waren de bevindingen?

Ons onderzoek bij Logius en SSC-ICT ging over de manier waarop de Minister van BZK
stuurt op inhuur van IT-expertise. Dit onderzoek heeft zich niet gericht op cybersecuritymaatregelen.
Ons meest recente onderzoek naar cybersecuritymaatregelen bij SSC-ICT betrof het security
operations center (SOC) van SSC-ICT. Dit onderzoek is in 2023 gepubliceerd in het
rapport bij het jaarverslag van het Ministerie van BZK over 2022. We concludeerden
destijds dat het SOC van SSC-ICT een belangrijke bijdrage leverde aan het beheersen
van informatiebeveiligingsrisico’s voor afnemers van SSC-ICT, maar zagen ook ruimte
voor verdere doorontwikkeling en professionalisering.

In 2023 publiceerden we ook onderzoek naar DigiD en eHerkenning waarin we IT-beheersingsmaatregelen
bij Logius controleerden, waaronder maatregelen rondom informatiebeveiliging. We concludeerden
destijds dat bij Logius voldoende maatregelen zijn getroffen om ervoor te zorgen dat
DigiD en eHerkenning beschikbaar en veilig zijn.

Vraag 4

Kunt u in meer detail toelichten op welke manier aanbestedingswetgeving niet is nageleefd?

U vraagt naar een toelichting op welke manier aanbestedingswetgeving niet is nageleefd.
In het verantwoordingsonderzoek 2025 BZK hebben we gerapporteerd over de onrechtmatigheden
bij de agentschappen.

De € 66,6 miljoen aan onrechtmatigheden bij Logius hebben betrekking op contracten
die al een aantal jaren zijn verlopen. Het verlengen van deze contracten is in strijd
met de aanbestedingsregels. Het verlengen van deze contracten is nodig voor het in
de lucht houden van de verschillende voorzieningen zoals de migratie naar een nieuwe
ICT-infrastructuur (€ 36 miljoen), DigiD (€ 17,5 miljoen), Digipoort (€ 7,8 miljoen)
en Globe (€ 2,9 miljoen).

SSC-ICT heeft voor 16,2 miljoen gebruik gemaakt van verlengingen van contracten die onrechtmatig
zijn aanbesteed (onjuiste formulering van verlengingsopties), voor een contract van
€ 4,4 miljoen is niet de juiste aanbestedingsprocedure gevolgd (de opdracht is uitgebreid
en had opnieuw via mini-competitie uitgevraagd moeten worden), ook is voor een bedrag
van € 1,3 miljoen sprake van facturering van prijzen en kortingen die afwijken van
de contractafspraken.

In het verantwoordingsonderzoek 2024 BZK hebben we onrechtmatigheden gerapporteerd
van € 9,3 miljoen bij het RVB en € 4,5 miljoen bij RvIG die grotendeels worden veroorzaak
door inhuren van adviesdiensten op een onrechtmatig verlengde overeenkomst. Dit is
de raamovereenkomst interim-management en organisatieadvies (IMOA) waarvoor het Ministerie
van Infrastructuur en Waterstaat als categoriemanager verantwoordelijk is. Het overige
bedrag van € 2 miljoen bij het RVB bestaat uit een aantal overeenkomsten die onrechtmatig
zijn aanbesteed waarbij verschillende redenen de oorzaak zijn voor de onrechtmatigheid,
zoals:

1) het voortzetten van een opdracht die meervoudig aanbesteed had moeten worden;

2) een wijziging in de opdracht nadat de aanbesteding heeft plaatsgevonden;

3) een opdracht die in eerste instantie als een inbesteding (opdrachtverstrekking aan
een onderdeel van de rijksoverheid) is uitgevraagd, echter bleek dit niet realiseerbaar
waarna de opdracht is verstrekt aan een leverancier;

4) een opdracht die is uitgezet via een versnelde uitvraagprocedure, dit terwijl het
raamcontract geen optie heeft tot een versnelde procedure.

Bij RvIG is er een onrechtmatigheid van € 2,5 miljoen als gevolg van het rechtstreeks
verstrekken van opdrachten aan leveranciers van reisdocumentenmodules en het daarbij
niet volgen van de juiste aanbestedingsprocedures. Ook is voor € 2,2 miljoen gebruik
gemaakt van een overbruggingsovereenkomst ICT. Met een overbruggingsovereenkomst zorgt
een ministerie ervoor dat na afloop van het oorspronkelijke contract, de inkoop van
diensten of leveringen doorgaat terwijl een nieuw contract wordt voorbereid. Het Ministerie
van Economische Zaken en Klimaat (EZK) is verantwoordelijk voor de overbruggingsovereenkomst
van ICT.

Vraag 5

Vergroot het niet naleven van aanbestedingswetgeving mogelijk de (strategische) afhankelijkheid
van één of enkele ICT-leveranciers?

We hebben dit niet onderzocht. Er zijn verschillende oorzaken die leiden tot niet
naleven van de aanbestedingswetgeving (blijkt ook uit de voorgaande antwoorden) die
niets van doen hebben met de afhankelijkheid van één of enkele ICT-leveranciers. Maar
ook: de afhankelijkheid van één of enkele ICT-leveranciers is er waarschijnlijk ook
als de aanbestedingswetgeving wel wordt nageleefd omdat strategische ICT-keuzes niet
voor een beperkt aantal jaar zijn.

Antwoorden Algemene Rekenkamer bij vragen van de Tweede Kamer over Overkoepelende/overige
vragen die betrekking hebben op bovenstaande rapporten Resultaten verantwoordingsonderzoek
2024

Vraag 6

Om welke risicomodellen gaat het die zijn onderzocht? Zijn deze risicomodellen opgenomen
in het algoritmeregister?

Dit jaar hebben we 3 risicomodellen onderzocht bij Dienst Toeslagen, de Belastingdienst
en UWV. Dit waren respectievelijk de algoritmen Persoonlijk begeleiden, Signaalmodel
OB Carrouselfraude en de Risicoscan Verwijtbare Werkloosheid. Risicomodellen zijn
algoritmes die gebruikt worden om burgers of bedrijven te selecteren die nader gecontroleerd
of geholpen worden. Het algoritme van Dienst Toeslagen is niet opgenomen in het algoritmeregister.
Het algoritme van UWV wel. Het algoritme van de Belastingdienst was dit ten tijde
van het onderzoek niet, maar momenteel wel.

Vraag 7

Hoe oordeelt u over het gebruik van verouderde ICT-systemen in de strafrechtketen?
Wordt modernisering voldoende aangepakt?

We hebben geen specifiek onderzoek uitgevoerd naar verouderde ICT-systemen in de strafrechtketen.
In ons verantwoordingsonderzoek 2024 bij het Ministerie van Justitie en Veiligheid
geven we wel aan dat de Minister de bedrijfsvoering van de strafrechtketen te weinig
coördineert. Hieronder valt ook digitalisering. Bovendien noemen de Directie Strafrechtketen
en ketenpartners digitalisering één van de prioriteiten om aan te pakken in de strafrechtketen.
Hiervoor is in 2024 een meerjarenvisie opgesteld, zie www.strafrechtketen.nl.