Vastgesteld 6 juni 2016
De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen voorgelegd aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties over het rapport van de Algemene Rekenkamer van 18 mei 2016 inzake de Resultaten verantwoordingsonderzoek 2015 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII) (Kamerstuk 34 475 VII, nr. 2).
De Minister heeft deze vragen beantwoord bij brief van 3 juni 2016. Vragen en antwoorden zijn hierna afgedrukt.
De voorzitter van de commissie, Pia Dijkstra
De adjunct-griffier van de commissie, Hendrickx
1
Wat is de stand van zaken bij de ontwikkeling van de handreiking voor gemeenteraden ter verbetering van de gemeentelijke accountantscontrole?
Antwoord: De VNG heeft conform afspraak het voortouw genomen bij de ontwikkeling van de bedoelde handreiking. Er is een werkgroep van start gegaan bestaande uit accountants, raadsleden, griffier, controllers en de VNG. Deze werkgroep hoopt uiterlijk begin volgend jaar haar werkzaamheden af te ronden.
2
Wat is de stand van zaken met betrekking tot de Handleiding Auditing Decentrale Overheden?
Antwoord: De betreffende werkgroep onder voorzitterschap van mijn departement is sinds afgelopen najaar aan het werk. De belangrijkste knelpunten, die gemeenten en provincies ervaren met betrekking tot de toepasbaarheid van de accountantscontrolestandaarden voor hun specifieke situatie zijn in beeld gebracht. Op basis hiervan zijn er afspraken gemaakt over de onderwerpen die door de Nederlandse Beroepsorganisatie van Accountants (NBA) worden uitgewerkt. De eerste versies worden in het najaar in de werkgroep besproken.
3
Welke concrete stappen heeft u tot nu toe gezet om in bredere zin te reflecteren op de verantwoordingssystematiek van gemeenten? Welke stappen bent u nog voornemens te zetten met betrekking tot de gevraagde reflectie?
Antwoord: Met deze vraag wordt gedoeld op de zogeheten Agenda van de werkgroep vernieuwing accountantscontrole (werkgroep Depla), die vorig jaar zomer haar rapport heeft uitgebracht. Bij de beantwoording van de vragen 1 en 2 hiervoor zijn twee van deze agendapunten genoemd.
Daarnaast zal in het najaar worden gestart met de wet- en regelgeving over het invoeren van de verplichte expliciete verantwoording door de colleges van BenW respectievelijk GS over het jaarverslag aan hun raden respectievelijk staten. Verder is overleg gaande met het samenwerkingsorgaan Kwaliteit Overheidsaccountants (KOA) over de beste vorm van toezicht op toekomstige (inter-)gemeentelijke accountantsorganisaties.
4
Kunt u specifiek aangeven aan welke vereiste beveiligingsnormen DigiD in 2015 niet voldeed?
Antwoord: Eind 2015 heeft er een audit plaatsgevonden door een externe auditor. Bij deze audit constateerde de auditor, onder gelijk gebleven omstandigheden, toch drie afwijkingen van de beveiligingsnormen. Ten eerste constateerde de auditor dat het uitvoeren van interne security scans nog niet genoeg was verankerd. Ten tweede stelde de auditor vast dat de controle op de logging nog onvoldoende proactief plaatsvond. Ten derde constateerde de auditor dat, ondanks het geheel aan beveiligingsmaatregelen, het restrisico dat de beperkte set aan gegevens in de DigiD-database bij een ongeautoriseerde toegang tot betekenisvolle informatie kan leiden, te groot was. Naar aanleiding hiervan is DigiD verder verbeterd en op 10 mei 2016 heeft de externe auditor een rapport opgeleverd met betrekking tot de her-audit naar aanleiding van de betreffende drie afwijkingen van de beveiligingsnormen. De auditor heeft daarbij vastgesteld dat de drie afwijkingen in voldoende mate zijn opgelost. Dit betekent dat DigiD thans in het geheel voldoet aan de normen van het ICT-beveiligingsassessment.
Door externe onderzoekers hebben er in 2015 diverse beveiligingsonderzoeken, zgn. pentesten, plaatsgevonden om de materiële veiligheid van DigiD te beoordelen. Bij deze onderzoeken zijn geen kwetsbaarheden aangetroffen. Deze onderzoeken vinden overigens op structurele basis plaats.
5
Hoe verhoudt de positieve grondtoon in het jaarverslag ten aanzien van de Generieke Digitale Infrastructuur zich tot de structurele onvolkomenheden die de Algemene Rekenkamer opmerkt ten aanzien van de beveiligingsnormen van DigiD?
Antwoord: De positieve grondtoon in het jaarverslag ten aanzien van de Generieke Digitale Infrastructuur betreft de onderdelen in hun samenhang. In het jaarverslag staat ook dat tegelijkertijd er verdere verbeteringen nodig zijn. Voor DigiD betreft dat het voldoen aan de beveiligingsnormen. Zie voor de ontwikkeling daarvan het antwoord op vraag 4.
6
Waarin schieten de beveiligingsnormen van DigiD en/of de praktische uitwerking daarvan exact te kort?
Antwoord: Zie antwoord op vraag 4.
7
Voldoet de beveiliging van DigiD op alle aspecten aan de ICT-beveiligingsrichtlijnen voor Transport Layer Security (TLS) van het Nationaal Cyber Security Centrum (NCSC)? Zo nee, op welke aspecten is dat niet het geval, sinds wanneer is dat, welk risico lopen gebruikers daarmee en wanneer zal dit opgelost zijn?
Antwoord: Ja.
8
Kunt u een eenduidige visie op de toekomst van DigiD geven? Zo ja, per wanneer?
Antwoord: Het voor medio dit jaar voorziene kabinetsbesluit inzake realisatie van de multimiddelenstrategie voor digitale inlogmiddelen in het BSN-domein zal ook een besluit omvatten over de toekomst van DigiD.
9
Kunt u specifiek aangeven op welke manier DigiD in 2015 is gefinancierd en of dit gefinancierd is uit structurele middelen of incidentele uitgaven waren?
Antwoord: Het beheer en de exploitatie van DigiD en DigiD Machtigen is in 2015 structureel gefinancierd uit de reguliere begroting. Voor de doorontwikkeling van beide voorzieningen en voor het opvangen van de volumegroei, mede als gevolg van de invoering van de Wet elektronisch berichtenverkeer Belastingdienst (Wet EBV), is in 2015 een incidenteel beroep gedaan op aanvullende gelden.
10
Waarom lukt het u niet de beoordelingen van toekenningen en vaststellingen van subsidies adequaat te onderbouwen?
Antwoord: De verlening en vaststelling van subsidies is gebonden aan wet- en regelgeving. In afstemming met de Auditdienst Rijk heeft BZK met ingang van 1 mei 2015 nieuwe subsidiekaders vastgesteld die ervoor moeten zorgen dat het vastleggen van uitgevoerde werkzaamheden en de onderbouwing van beslissingen omtrent subsidies volgens de regels gebeurt. Het vereist kennis en routine om aan deze kaders te voldoen. In de praktijk blijkt dat de uitvoering nog niet in alle gevallen in voldoende mate over deze expertise beschikt. In 2016 wordt door middel van opleidingen en monitoring aandacht besteed aan onderbouwingen en dossiervorming.
11
Kunt u aangeven of u maatregelen heeft genomen om de Haagse Inkoopsamenwerking in 2016 wel te laten voldoen aan de aanbestedingsregels?
Antwoord: De departementen, waaronder BZK, die gebruik maken van de diensten van de Haagse Inkoop Samenwerking (HIS) hebben zitting in het Afnemersberaad van de HIS. In het Afnemersberaad worden eventuele tekortkomingen geadresseerd, maatregelen afgestemd en bewaakt. Tevens worden door het Afnemersberaad Kritische Prestatie Indicatoren besproken en bewaakt. Deze zijn gericht op verbetering van de kwaliteit van dienstverlening en rechtmatigheid. De HIS zelf heeft de interne controle verscherpt.
12
Kunt u aangeven welke acties, bij welke onderdelen van het ministerie, in 2016 nog door u worden ondernomen om de beveiligingsnormen te implementeren?
Antwoord: Het implementeren van beveiligingsnormen is geen eenmalige gebeurtenis, maar vergt structurele aandacht en onderhoud. Daarom heb ik vanaf 2014 gewerkt aan het op orde krijgen van de security governance binnen BZK. Feitelijk komt het erop neer dat over het volledige verantwoordelijkheidsgebied van BZK een Plan-Do-Check-Act (PDCA) cyclus gerealiseerd wordt, zodat informatieveiligheid structureel geborgd is. In 2015 was dit deels gerealiseerd; maar verdere versterking en continue aandacht blijven noodzakelijk, ook in 2016.
Voor wat betreft het implementeren van beveiligingsnormen: het proces van selectie en implementatie van toepasselijke beveiligingsmaatregelen volgt op het verder inregelen van de PDCA-cyclus. Van belang is hierbij te onderkennen dat het toepassen van risicomanagement bij de selectie van maatregelen onderdeel is van het beveiligingsproces. Het is ook vanuit het proces van risicomanagement dat de PDCA-cyclus wordt ingevuld.
13
Welke acties gaat u ondernemen om in 2016 te voldoen aan de verplichtingen omtrent de afvloeiingsregelingen WNT?
Antwoord: In zijn algemeenheid zijn de eisen die de WNT stelt aan de verantwoording van afvloeiingsregelingen wel duidelijk en uitvoerbaar. Het door de ARK benoemde aandachtspunt geldt slechts voor een bepaald type afvloeiingsregeling, waar bovendien beperkt gebruik van is gemaakt. Het betreft hier de gevallen waarin het dienstverband van een medewerker (geen topfunctionaris) werd beëindigd in samenhang met contractovername door een mobiliteitsbureau. Uit de huidige wet vloeit voort dat deze afvloeiingsregelingen (boven een bepaald drempelbedrag) moeten worden verantwoord als ontslaguitkering. In de Evaluatiewet WNT, die als voorontwerp is bekendgemaakt in het kader van internetconsultatie, wordt geregeld dat de op grond van de WNT openbaar te maken gegevens niet langer worden genoemd in de wet, maar in een ministeriële regeling. Ik ben voornemens om in het kader van administratieve lastenverlichting de openbaarmakingsverplichting van ontslaguitkeringen aan niet-topfunctionarissen te laten vervallen m.i.v. verantwoordingsjaar 2016. De ervaring met de WNT-verantwoordingen 2013–2015 wijst uit dat deze stap gezet kan worden zonder dat het risico op misbruik of oneigenlijk gebruik toeneemt. Daarmee vervalt ook de verplichting om alle contractovernames van niet-topfunctionarissen door mobiliteitsbureaus te verantwoorden als ontslaguitkering. Deze verplichting blijkt niet uitvoerbaar te zijn met de bestaande capaciteit en naar mijn oordeel is de meerwaarde van openbaarheid van deze informatie – met de gegevensprecisie die de WNT vereist – onvoldoende, mede gezien de hoge uitvoeringslasten die ermee gemoeid zijn om volledig aan de openbaarmakingsplicht te voldoen.
14
Wanneer is het centrale meldpunt voor problemen in de basisregistratie gereed en actief?
Antwoord: Ik ben voornemens op korte termijn een (praktijk-)onderzoek te doen, onder welke voorwaarden zo’n meldpunt kan worden ingesteld. In 2017 kunnen we bezien of aan die voorwaarden kan worden voldaan ten behoeve van de inrichting van zo’n meldpunt. Er is al een meldpunt voor fouten en fraude met identiteitsgegevens, het Centraal Meldpunt Identiteitsfraude en -fouten (CMI). CMI helpt mensen om de fouten te herstellen bij de organisatie waar die zijn geconstateerd. Dit meldpunt wordt bij het onderzoek betrokken.
15
Bent u voornemens een centraal meldpunt in te stellen waar burgers/geregistreerden terecht kunnen voor het melden en oplossen van problemen met de basisregistraties? Zo ja, wanneer komt dit meldpunt er?
Antwoord: Zie antwoord op vraag 14.
16
Op welke wijze uit de door de Algemene Rekenkamer gesignaleerde hoge werkdruk bij de AIVD zich binnen de organisatie?
Antwoord: Er is al langere tijd sprake van een aanzienlijke werkdruk binnen de primaire en ondersteunende processen van de AIVD. Signalen hieromtrent komen vanuit het reguliere contact tussen leidinggevenden en medewerkers naar voren. Het gehouden medewerkerstevredenheidsonderzoek bevestigde dit voor enkele afdelingen van de dienst. De werkdruk valt te verklaren door de ontwikkeling van de dreiging die hoge eisen stelt aan de beschikbare medewerkers. Inspanningen zijn daarmee gericht op het verkrijgen van een maximale (personele) inzet enerzijds en het verder versterken van het uithoudingsvermogen anderzijds. Dit uithoudingsvermogen is noodzakelijk aangezien de huidige dreigingssituatie naar verwachting nog langere tijd zal aanhouden. De AIVD draagt zorg voor het in stand houden van volledige en tijdige opleidingen voor nieuw ingestroomd personeel.
17
Kunt u uitsluiten dat ten gevolge van de hoge werkdruk bij de AIVD primaire processen onder druk komen te staan of opleiding van de nieuwe ingestroomde medewerkers onvolledig of verlaat is? Zo nee, waarom niet?
Antwoord: Zie antwoord op vraag 16.
18
Wat was, na het zeer kritische Rekenkameronderzoek over de bezuinigingen op de AIVD, het oorspronkelijke tijdpad om te komen tot het opstellen en uitvoeren van een meerjarig organisatorisch visiedocument? Loopt dat nog geheel op schema? Zo nee, waarom niet en welke gevolgen heeft dat?
Antwoord: Binnen de AIVD worden activiteiten uitgevoerd gericht op een resultaatgerichte en toekomstbestendige bedrijfsvoering. De onderwerpen opleiding, ICT en permanente innovatie krijgen hierin, naast enkele andere onderwerpen, een plek. Deze activiteiten lopen op schema. In het interne meerjarig organisatorisch visiedocument worden deze activiteiten vanuit een meerjarig perspectief en in samenhang gebundeld. De beoogde oplevering van het visiedocument was eind 2015, maar is inmiddels vastgesteld.
19
Kunt u uitsluiten dat de hoge werkdruk bij de AIVD gevolgen heeft voor de ICT-ontwikkelingen die de dienst nodig heeft om op de langere termijn goed te kunnen blijven functioneren? Zo nee, waarom niet, waar dreigt te weinig ontwikkelingsruimte te ontstaan, en hoe kan die ruimte geschapen worden?
Antwoord: De werkdruk binnen de AIVD heeft in 2015 gevolgen gehad voor ICT-ontwikkeling. Bij de prioritering van de ICT-capaciteit is de focus bewust gelegd op het primaire proces. Voor het goed functioneren daarvan zijn de daartoe benodigde ICT-middelen versneld geoperationaliseerd met de inzet van moderne ontwikkelmethoden. Dit met het oog op de investeringen die de dienst de komende jaren gaat doen in permanente innovatie en ICT. Waar nodig is er sprake van inhuur van aanvullende ICT-capaciteit, vooruitlopend op de lopende structurele werving van ICT-specialisten.