Lijst van vragen en antwoorden : Lijst van vragen en antwoorden, gesteld aan de regering, over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van Justitie en Veiligheid (Kamerstuk 36740-VI-2), over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36740-VII-2) en over het rapport Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van Economische Zaken (Kamerstuk 36740-XIII-2)

36 740
VI
Jaarverslag en slotwet Ministerie van Justitie en Veiligheid 2024

36 740
XIII
Jaarverslag en slotwet Ministerie van Economische Zaken en Klimaat 2024

Nr. 13
LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 11 juni 2025

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de Minister
van Binnenlandse Zaken en Koninkrijksrelaties over het Rapport Resultaten verantwoordingsonderzoek
2024 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Onderdeel Volkshuisvesting
en Ruimtelijke Ordening) (Kamerstuk 36 740 VII-2).

De Minister heeft deze vragen beantwoord bij brief van 11 juni 2025. Vragen en antwoorden
zijn hierna afgedrukt.

Voorzitter van de commissie, Wingelaar

Griffier van de commissie, Muller

Vragen inzake Resultaten verantwoordingsonderzoek 2024 bij het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties (36 740 VII-2)

Vraag 3.

In hoeverre worden Logius en SSC-ICT gestuurd om zich te houden aan de Roemernorm?

Antwoord

De reden dat Logius en SSC-ICT in 2024 niet onder de Roemernorm uitkomen, wordt onder
andere veroorzaakt doordat beide agentschappen IT-intensief zijn en een hoog aantal
vacatures hadden, die tijdelijk werden ingevuld met externen. De sturing vanuit BZK
en VRO vindt daarbij plaats vanuit de continuïteitsverantwoordelijke (voorheen eigenaar),
samen met de beleidsverantwoordelijke. Met alle agentschappen en andere uitvoeringsorganisaties,
waaronder Logius en SSC-ICT, worden daarbij jaarlijks afspraken gemaakt over de externe
inhuur. Dit wordt via de planning en control cyclus gemonitord en waar nodig bijgestuurd.
In 2024 is voor BZK en VRO met name ingezet op de aanpak van schijnzelfstandigheid.
SSC-ICT en Logius hebben daarvoor significante stappen gezet. Voor meer grip op de
externe inhuur wordt op dit moment een aanpak geïmplementeerd om de inhuur BZK en
VRO-breed terug te brengen.

Vraag 4.

Kunt u toelichten waarom aanbestedingswetgeving niet is nageleefd? Bent u van plan
dit zo mogelijk te corrigeren?

Antwoord

Het staande beleid is dat bij inkoopprocessen de aanbestedingswetgeving geldt en gehanteerd
wordt.

De redenen waarom aanbestedingsregelgeving niet is nageleefd zijn onder meer vanwege
de noodzaak tot het continueren van (primaire) processen (o.a. Logius en RvIG). Het
niet continueren zou dienstverlening aan burgers (kunnen) schaden. Daarnaast zijn
enkele overeenkomsten voor inhuur vanuit Rijksbreed categoriemanagement niet tijdig
opnieuw aanbesteed, waardoor gebruik wordt gemaakt van overbruggingsovereenkomsten.
Dit geldt voor overeenkomsten voor ICT-inhuur en inhuur van interim-management en
daarvoor geldt verplichte winkelnering (o.a. RVB en RvIG). Daarnaast is een aantal
gevallen ook sprake van gemaakte fouten tijdens de uitvoering van financiële-/inkoopprocessen
(SSC-ICT). Hierop zijn verbeteracties gezet, waarmee fouten worden voorkomen.

Een toelichting leest u ook in Bedrijfsvoeringsparagraaf van het jaarverslag 2024
van BZK. Ik licht daarin ook mijn verwachtingen van fouten- en onzekerheden voor de
toekomst toe.

Over de grootste fouten en onzekerheden zijn of worden naar aanleiding van de jaarverantwoording
met de betreffende organisatie afspraken gemaakt om nieuwe- en of aanvullende fouten
te voorkomen. Corrigeren is niet mogelijk. Voor een deel van de fouten is er sprake
van een meerjarig karakter of ben ik, zover het categoriemanagementcontracten betreft,
afhankelijk van de voortgang van andere departementen die daarvoor aan de lat staan.

Vraag 5.

Heeft het niet naleven van aanbestedingswetgeving de (strategische) afhankelijkheid
van één of enkele ICT-leverancier(s) vergroot?

Antwoord

Het niet naleven van de aanbestedingsregelgeving in 2024 heeft niet direct geleid
tot het vergroten van de (strategische) afhankelijkheid van één of enkele ICT-leverancier.

Aanvullend is het goed te benoemen dat het Rijksbrede beleid voor de verwerving van
IT-diensten (IT-sourcing) momenteel Rijksbreed wordt bijgesteld.

Vraag 6.

Wat is het plan van aanpak met betrekking tot het inkoopstelsel om processen, systemen
en verantwoordelijkheden te vereenvoudigen en minder gefragmenteerd te maken?

Antwoord

Het verbeteren van het inkoopstelsel door processen, systemen en verantwoordelijkheden
te vereenvoudigen en minder gefragmenteerd te maken vraagt om een herziening van de
rol van BZK in relatie tot de inkopende departementen, de wijze van samenwerken en
de wijze waarop wordt ingekocht over de grenzen van de departementen heen. Op basis
van een onlangs uitgevoerd Gateway onderzoek zet BZK in op verdere versteviging van
het stelsel en de sturing. Ook wordt concentratie van strategische inkoopuitvoering
en vereenvoudiging van administratieve processen onderzocht. Hierbij hoort ook de
Rijksinkooparchitectuur waarmee de departementale inkoopsystemen vereenvoudigd worden.

Overkoepelende/overige vragen die betrekking hebben op bovenstaande rapporten Resultaten
verantwoordingsonderzoek 2024

Vraag 11.

Op welke wijze worden de beleidsdoelen voortaan concreter geformuleerd om een betere
evaluatie van de resultaten mogelijk te maken?

Antwoord

In de beleidsvoorbereidingsfase wordt zo veel mogelijk gebruik gemaakt van het Beleidskompas
om de afwegingen die leiden tot een beleidskeuze expliciet te maken. Bij de eerste
vraag van het Beleidskompas (Wat is het probleem?) worden het probleem en de oorzaken
daarvan in beeld gebracht. Deze probleem- en oorzakenanalyse vormt een belangrijke
basis voor het scherp definiëren van de beleidsdoelen. Door de doelen die met het
voorstel worden nagestreefd te formuleren in termen van beoogde prestaties (ouput)
en effecten (outcome) kan de voortgang van het doelbereik in een latere fase worden
gemonitord en de doeltreffendheid en doelmatigheid van het beleid worden geëvalueerd.
Het Beleidskompas biedt handvatten voor het op deze manier formuleren van de beleidsdoelen.

Het streven is om de beleidsdoelen middels het doorlopen van het Beleidskompas zo
concreet mogelijk te formuleren.

Het doorlopen van het Beleidskompas is echter een gedegen proces dat tijd vergt. Voor
het maken van een verbeterslag in het formuleren van doelen en het evalueren daarvan
zal aan deze voorwaarde voldaan moeten worden.

Vraag 12.

Welke investeringen zijn er gedaan in 2024 voor de beveiliging van staatsgeheimen
en andere hoog gerubriceerde data?

Antwoord

In 2024 zijn er, naast de reguliere departementale en organisatie specifieke budgetten,
geen aanvullende investeringen gedaan in de beveiliging van staatsgeheimen en andere
hoog gerubriceerde data. Het jaarlijks te besteden interdepartementale NCS-budget
van 10 Meur/jaar is ook in 2024 uitgegeven. Het geld is uitgegeven aan de ontwikkeling
van (en ondersteuning hierbij) van middelen voor de beveiliging van staatsgeheimen.

Vraag 13.

Welke maatregelen neemt u om de kansen en risico’s van het gebruik van AI-systemen
binnen de Rijksoverheid af te wegen?

Antwoord

Om de kansen en risico’s van AI-systemen goed in beeld te brengen, heeft het kabinet
de afgelopen jaren meerdere instrumenten ontwikkeld. Zo is er het Impact Assessment
Mensenrechten en Algoritmes (IAMA), een afwegingsinstrument voor algoritmes en AI-systemen
met aandacht voor mensenrechten. Ook kunnen organisaties het Algoritmekader gebruiken
om risicobeperkende maatregelen of alternatieve risico-instrumenten te vinden. Tot
slot biedt het Algoritmeregister een overzicht van de gebruikte (vooral hoog-risico
en impactvolle) algoritmes en AI binnen de (Rijks)overheid, en dient het tevens als inspiratiebron voor medeoverheden om AI op verantwoorde
wijze in te zetten.

Daarnaast bereidt de Rijksoverheid zich voor op de AI-verordening. In de verordening
is bepaald dat voor hoog risico AI-systemen de risico’s geanalyseerd en gemitigeerd
moeten worden. De hiervoor genoemde instrumenten kunnen hierbij ondersteuning bieden.

Vraag 14.

Wat is de reden dat bij twee derde van de belangrijkste clouddiensten de vereiste
strategische risicoanalyse niet is uitgevoerd?

Antwoord

De departementen zijn zelf verantwoordelijk voor hun cloudgebruik en de bijbehorende
risicoanalyses. Zij nemen hierover besluiten binnen hun eigen mandateringsregelingen.
CIO Rijk faciliteert het uitvoeren van goede risicoanalyses met beleid en handreikingen.

Vraag 15.

Hoe wordt ervoor gezorgd dat de middelen voor het detecteren van cyberaanvallen vanaf
heden optimaal worden benut?

Antwoord

In dit kader werkt het Nationaal Cyber Security Centrum dit jaar aan de doorontwikkeling
van het Nationaal Detectie Netwerk (NDN). Binnen dit vertrouwelijke samenwerkingsverband
delen het NCSC, de AIVD, de MIVD en aangesloten organisaties dreigingsinformatie ter
ondersteuning van detectie, zodat cyberrisico’s sneller kunnen worden gesignaleerd
en geanalyseerd. Deze informatie-uitwisseling stelt het NCSC in staat een actueel
situationeel beeld te vormen.

Vraag 16.

Welke stappen worden ondernomen om het probleem van versnippering van IT-systemen
binnen de Rijksoverheid aan te pakken?

Antwoord

Versnippering van IT systemen wordt via meerdere lijnen tegengegaan met bindende afspraken
en samenwerkingsverbanden. Hierbij moet wel opgemerkt worden dat de overheid federatief
is georganiseerd (art. 44 van de Grondwet). Ieder departement kan om moverende redenen
voor de bedrijfsvoering eigen keuzes maken:

• Over de as van de Rijksbrede Digitale Infrastructuur worden generieke voorzieningen
aangeboden (Zoals bijvoorbeeld P-direct, Single Sign on of de Rijkspas). Daarnaast
worden over de as van de Generieke Digitale Infrastructuur voorzieningen centraal
aangeboden naar de samenleving toe (Zoals bijvoorbeeld DIgid). Dit portfolio wordt
door het programma Open Overheid en Beter Samenwerken verbreedt en vernieuwd;

• Door zoveel mogelijk diensten te beleggen bij shared service centers (zoals bijvoorbeeld
SSC-ICT) wordt centraal gestuurd op oplossingen. Daarnaast wordt versnippering tegengegaan
door de inzet van de Rijksdienst voor Informatiehuishouding (RvIHH);

• Met regie op inkoop en sturing via categoriemanagement enerzijds en strategische leveranciersmanagers
(SLM) anderzijds wordt rijksbreed met de ICT leveranciers samengewerkt om tot uniforme
of interoperabele dienstverlening te komen;

• Binnen het CIO Stelsel wordt maximaal ingezet op het tegengaan van versnippering in
diverse interdepartementale overlegorganen (zoal bijvoorbeeld het CIO Beraad en de
CTO Raad).

Vraag 17.

Wanneer worden de risicomodellen ook getoetst op indirecte discriminatie en wat is
de planning daarvoor?

Antwoord

Wanneer overheidsorganisaties algoritmen inzetten voor het uitvoeren van geautomatiseerde
risicoselecties, zijn deze organisaties in eerste instantie zelf verantwoordelijk
voor de rechtmatigheid en rechtvaardigheid daarvan. Vanuit het Ministerie van Binnenlandse
Zaken en Koninkrijksrelaties worden overheidsorganisaties hierbij wel ondersteund,
onder meer met informatie en hulpmiddelen ten behoeve van het toetsen van algoritmen
op indirecte discriminatie. Deze hulpmiddelen, waaronder de «handreiking non-discriminatie
by design» en het Impact Assessment Mensenrechten en Algoritmes (IAMA) zijn in het
Algoritmekader te vinden. Bij voorkeur wordt bij het ontwerp voor en de ontwikkeling
van een algoritme reeds getoetst op het zich kunnen voordoen van indirecte discriminatie
en vindt deze toetsing ook na ingebruikname periodiek plaats.

De AI-verordening vereist straks ook dat organisaties ervoor zorgen dat de trainingsdata
die voor hun hoog risico AI-systemen wordt gebruikt representatief is. Dit is een
maatregel om indirecte discriminatie te voorkomen. Daarnaast vereist de AI-verordening
dat risico’s voor onder andere mensenrechten worden geïdentificeerd en gemitigeerd,
zowel bij de ontwikkeling als het gebruik van hoog risico AI-systemen door overheden.

Vraag 18.

Hoe worden burgers en bedrijven in het vervolg beter geïnformeerd over het gebruik
van algoritmes en de verwerking van hun persoonsgegevens?

Antwoord

Op dit moment onderzoekt het kabinet de mogelijkheden om de informatievoorziening
over het gebruik van algoritmes bij het nemen van besluiten te verbeteren. In 2024
is bij de consultatie over het ontwerpwetsvoorstel «Wet versterking waarborgfunctie
Awb» ook het reflectiedocument «Algoritmische besluitvorming en de Awb» in consultatie
gebracht. De reacties op dit document zijn verzameld en geanalyseerd. De analyse zal
binnenkort aan de Tweede Kamer worden gezonden. Daarnaast helpt het algoritmeregister
bij het verkrijgen van inzicht op de inzet van algoritmes.

Vraag 19.

Op welke termijn wordt sturing gegeven aan de naleving van de Roemernorm bij agentschappen?

Antwoord

In de brief aan de Tweede Kamer over terugdringen externe inhuur d.d. 18 april 2025
(Kamerstuknr: 31 490-363) is aangegeven dat het de verantwoordelijkheid van de ministeries en hun uitvoeringsorganisaties
is om de externe inhuur terug te dringen. De ministeries en hun uitvoeringsorganisaties
kunnen immers zelf het beste beoordelen of, en voor welke termijn, in bepaalde, specifieke
gevallen externe inhuur nodig is voor de taakuitvoering en maatschappelijke dienstverlening.