Vastgesteld 8 juni 2017
De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen voorgelegd aan de Algemene Rekenkamer over de brief van 17 mei 2017 inzake het rapport Resultaten verantwoordingsonderzoek 2016 bij de overige Hoge Colleges van Staat en de Kabinetten van de Gouverneurs (IIB) (Kamerstuk 34 725 IIB, nr. 2).
De Algemene Rekenkamer heeft deze vragen beantwoord bij brief van 8 juni 2017. Vragen en antwoorden zijn hierna afgedrukt.
De fungerend voorzitter van de commissie, Pia Dijkstra
Adjunct-griffier van de commissie, Hendrickx
Vraag 1
Wat moet er nog gebeuren bij de Raad van State, Algemene Rekenkamer en de Nationale ombudsman om voldoende inzicht te hebben in de beveiliging van hun informatiesystemen?
Deze organisaties hebben nog niet alle risico’s in beeld gebracht en zullen de komende periode allereerst moeten gebruiken om het inzicht in de mogelijke risico’s rond de beveiliging van hun informatiesystemen compleet te maken en vervolgens bijpassende maatregelen te nemen. Welke die maatregelen zijn hangt af van de risico’s die in beeld komen.
Vraag 2
Welke risico’s loopt de Raad van State nu met de beveiliging van zijn informatiesystemen? Waarom duurt het tot eind 2018 voordat er zicht is op de beveiligingsrisico’s voor zijn kritieke systemen? Wat zijn de kritieke systemen van de Raad van State? Wanneer zijn dan de beveiligingsrisico’s van de kritieke systemen voor de Raad van State opgelost? Op welke wijze houdt de Minister van Binnenlandse Zaken toezicht? Heeft de rechterlijke macht te maken met dezelfde soort beveiligingsrisico’s, omdat zij voor een deel ook met dezelfde systemen werkt?
De vragen betreffende de aard van de kritieke systemen, de risico’s die daarbij worden gelopen en de relatie met de informatiesystemen van de rechterlijke macht zouden door tussenkomst van de Minister van Binnenlandse Zaken en Koninkrijkrelaties (BZK) aan de Raad van State gesteld kunnen worden.
De Minister van BZK is verantwoordelijk voor het beheer van de begroting van de Overige Hoge Colleges van Staat en Kabinetten van de Gouverneurs als geheel, maar deze organisaties voeren zelf het beheer over hun begrotingsdeel. De Minister houdt vanuit deze hoedanigheid geen toezicht op de beveiliging van de informatiesystemen van de Hoge Colleges. Deze zijn daar zelf voor verantwoordelijk.
In reactie op ons onderzoek heeft de Raad van State – via de Minister van BZK – gemeld ernaar te streven dat eind 2017 volledig zicht is op de beveiligingsrisico’s voor zijn kritieke systemen, zodat er begin 2018 hierover verantwoording kan worden afgelegd. Evenals bij de andere Hoge Colleges speelt de beperkte capaciteit en soms beperkte specialistische kennis voor onderdelen van de bedrijfsvoering bij elk van de Colleges een rol. In ons nawoord onderschrijven wij daarom het voordeel van hun gezamenlijke inspanning om verbeteringen bij de informatiebeveiliging te realiseren.