Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 24 september 2021
Via deze brief wil ik u, mede namens de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, informeren over de opvolging binnen mijn Ministerie van de aanbevelingen die door de Algemene Rekenkamer zijn gedaan in haar rapportages van het Verantwoordingsonderzoek 2020. Vorig jaar heb ik u, op uw verzoek, ook schriftelijk hierover geïnformeerd1.
Voor de opvolging van de aanbevelingen die zijn gedaan in de rapportages voor de begrotingshoofdstukken IIA en IIB, hebben de Hoge Colleges van Staat vanuit hun onafhankelijke positie een eigen verantwoordelijkheid. Met betrekking tot de daar geconstateerde onvolkomenheden en aandachtspunten bied ik, waar gewenst, te allen tijde ondersteuning en advisering.
Voor de opvolging van de aanbevelingen die betrekking hebben op de begrotingshoofdstukken IV, VII, het Gemeente- en Provinciefonds en het BES-fonds, heeft mijn directie Financieel Economische Zaken haar coördinerende rol in 2021 geïntensiveerd. Deze geïntensiveerde aanpak wil ik graag eerst toelichten voordat ik specifiek zal ingaan op de opvolging van de onvolkomenheden en de termijn waarbinnen ik verwacht die te hebben opgelost.
Geïntensiveerde aanpak van opvolging bij BZK
De aanpak van opvolging en monitoring van de punten die uit het auditrapport van de Auditdienst Rijk (ADR) en het verantwoordingsonderzoek van de Algemene Rekenkamer (AR) naar voren zijn gekomen, is in 2021 aangescherpt en bestaat uit de volgende elementen:
– Voor alle onvolkomenheden en aandachtspunten zijn, direct na Verantwoordingsdag, Plannen van Aanpak (PvA’s) uitgevraagd;
– Deze PvA’s worden nadrukkelijk getoetst op of ze het juiste probleem aanpakken en of ze concreet en meetbaar genoeg zijn;
– Voor verbeterpunten op het gebied van IT-beheer en informatiebeveiliging is de staf van CIO BZK aangehaakt voor de inhoudelijke toetsing op de aanpak en voortgang;
– Ook de ADR en AR zijn betrokken voor advisering over de PvA’s;
– Monitoring vindt net als afgelopen jaar ook weer vanuit de reguliere P&C- cyclus plaats, waarvan gesprekken tussen de secretaris-generaal en directeur-generaal onderdeel zijn;
– Aanvullend daarop is een monitoringscommissie ingesteld, die elke zes weken bij elkaar komt (van juli t/m januari) om de voortgang van de opvolging te monitoren en aan te jagen;
– Met de Algemene Rekenkamer zijn twee formele momenten (eind september en eind december) afgesproken om de voortgang van de opvolging te bespreken en vast te leggen.
Opvolging onvolkomenheden
In de onderstaande tabel zijn de onvolkomenheden die zijn gerapporteerd in het Verantwoordingsonderzoek 2020 gerangschikt naar de te verwachten termijn van oplossen. Hiervoor heb ik dezelfde categorieën aangehouden als in mijn brief van afgelopen jaar. Per categorie zal na de tabel voor iedere onvolkomenheid nader worden toegelicht hoe de opvolging is voorzien.
Categorie |
Onderwerpen |
---|---|
a. Beschouwd als opgelost, de verbetermaatregelen zijn geïmplementeerd en de werking wordt dit jaar aangetoond. |
|
b. Dit jaar oplosbaar, de verbetermaatregelen worden dit jaar in opzet geïmplementeerd. |
P-Direkt, Informatiebeveiliging BZK, RvIG, Voorschottenbeheer, Verplichtingenbeheer, Decentralisatie uitkeringen, Coördinatie SiSa-controle |
c. Langere termijn Vergen meerjarige aanpak |
SSC-ICT, SSO-CN, Rijksbreed IT-beheer |
d. Proactief handelen Er is nog geen sprake van onvolkomenheden en het streven is om dat te voorkomen. |
Aandachtspunten uit het verantwoordingsonderzoek 2020 |
a. Beschouwd als opgelost
Er zijn geen onvolkomenheden waar alle verbetermaatregelen al volledig voor waren uitgevoerd en waarvan alleen de werking nog in 2021 hoeft te worden aangetoond.
b. Dit jaar oplosbaar
Met dit jaar oplosbaar wordt bedoeld dat de voorziene verbetermaatregelen dit jaar in opzet worden geïmplementeerd. De vervolgstap is dat ook de werking van die verbetermaatregelen aantoonbaar moet zijn. Het kan zijn dat pas over het jaar 2022 die werking aantoonbaar wordt gevonden door de Algemene Rekenkamer.
– P-Direkt verwacht in 2021 alle verbetermaatregelen ten aanzien van het IT-beheer te hebben geïmplementeerd en spant zich maximaal in om de werking aan te tonen. Uit de controle van de ADR moet blijken of de werking voldoet.
– Met de actualisatie van het beleidskader Privacy- en Informatiebescherming dat per 1 januari 2021 in werking is getreden wordt een P&C-cyclus informatiebeveiliging bij de onderdelen afgedwongen. Ook stelt het de CIO BZK in staat nadrukkelijk op deze cyclus te sturen. De verwachting is dat de onvolkomenheid informatiebeveiliging BZK is opgelost zodra het effect hiervan voldoende zichtbaar is.
– Om de onzekerheid over de volledigheid van de BRP-opbrengsten op te lossen, heeft de Rijksdienst voor Identiteitsgegevens (RvIG) in 2020 met één van de betrokken partijen afspraken gemaakt over de te hanteren normen waar de interne beheersing aan moet voldoen en deze afspraken zullen in 2021 ook met de andere betrokken partij worden gemaakt.
– In 2021 wordt verder onderzoek verricht en worden aanvullende verbetermaatregelen uitgevoerd om voorschotten voldoende te onderbouwen en monitoren, verbreed naar alle agentschappen waaraan BZK voorschotten verstrekt.
– Er is geanalyseerd waardoor verplichtingen te laat worden vastgelegd en waar nodig worden procedures aangescherpt, waarbij ook aandacht wordt besteed aan bekendheid ervan en gedrag. Met een monitor (in ontwikkeling) wordt blijvend bewaakt en gestuurd op verplichtingen die te laat zijn vastgelegd.
– Voor het oplossen van de onvolkomenheid met betrekking tot de decentralisatie uitkeringen moeten deels nog afspraken en convenanten aangepast worden. Bij de voorjaarsnota 2021 zijn ook onrechtmatige decentralisatie uitkeringen uit de fondsen gehaald en teruggeboekt naar de departementale begroting. De kritische toetsing van ieder voorstel om een decentralisatie uitkering toe te passen, wordt ondertussen voortgezet door de fondsbeheerders (BZK en Financiën). Er zijn dan ook geen nieuwe onrechtmatigheden bijgekomen.
– Voor de nieuwe onvolkomenheid coördinatie SiSa-controle zal BZK haar regie hierop beter zichtbaar maken en de risico’s en afwegingen beter in kaart brengen (en vastleggen). Ook is al met de ADR afgesproken dat het aantal waarnemingen uitgebreid wordt omdat de omvang van het aantal uitkeringen is toegenomen in 2020 (waarover de reviews dit jaar worden uitgevoerd).
c. Langere termijn
Binnen de categorie «langere termijn» vallen de onvolkomenheden waarvoor de aanpak om ze op te lossen langer nodig heeft dan het lopende jaar, dus wanneer de verbetermaatregelen ook nog na het jaar 2021 worden uitgevoerd. De werking van deze verbetermaatregelen is pas daarna aantoonbaar.
– De onvolkomenheden van SSC-ICT hebben betrekking op het gebruikersbeheer en op de beveiliging van IT-componenten. Door SSC-ICT is in 2020 een meerjarige transitie gestart met een security spoor dat deze twee tekortkomingen adresseert en risico’s reduceert. Dit spoor loopt nog door tot eind 2022. Om het gebruikersbeheer structureel te verbeteren is het noodzakelijk om de bestaande rechten op te schonen en de rechtenstructuur verder aan te scherpen. In 2020 is daar voortgang op geboekt.
– Zoals was voorzien worden de maatregelen in 2021 en 2022 verder geïmplementeerd en/of verbeterd.
– Voor wat betreft de tweede onvolkomenheid, beveiliging IT-componenten, vindt ook overloop van de maatregelen naar 2022 plaats. Het «hardenen»2 van de infrastructuur is een belangrijke maatregel om de beveiliging van de componenten structureel te verbeteren. Hiertoe zijn beleid en verschillende security baselines opgesteld. In 2022 wordt het traject van het daadwerkelijk «hardenen« van de IT-infrastructuur én het monitoren van de security baselines (gewenste beveiligingsniveaus) verder gecontinueerd.
– SSO-CN heeft in 2021 het beleid voor informatiebeveiliging opgeleverd, dit betreft een aanvulling op het beleidskader van BZK. Het uitwerken van alle stappen voor Plan-Do-Check-Act (PDCA) is het belangrijkste waar in 2021 nog verder aan gewerkt wordt en de verwachting is dat medio 2022 de werking daarvan aantoonbaar gemaakt kan worden.
– Voor de onvolkomenheid Rijksbreed IT-beheer ligt de focus in 2021 op een evaluatie met stakeholders bij departementen en SSO’s van de bestaande kaders. CIO Rijk wil een voorstel uitwerken voor een meer risicogerichte aanpak van IT-beheersing, gebaseerd op de genoemde evaluatie. CIO Rijk monitort ook de verdere implementatie en uitwerking van het besluit CIO-stelsel. In samenspraak met de andere departementen is een traject tot in 2023 afgesproken voor de implementatie van het CIO-stelsel. Maatregelen voor het oplossen van deze onvolkomenheid zijn mede afhankelijk van de volledige implementatie van dit CIO stelsel.
d. Proactief handelen
Zoals beschreven in de aanpak van de opvolging, is ook voor alle aandachtspunten uit het verantwoordingsonderzoek een plan van aanpak opgesteld, en getoetst, en wordt ook daarvan de opvolging door de monitoringscommissie bewaakt.
Tot slot
Met deze brief wil ik u informeren over de opvolging van de onvolkomenheden die zijn gerapporteerd in het Verantwoordingsonderzoek 2020. Uiteraard is het voorbehoud op zijn plaats dat pas uit het Verantwoordingsonderzoek over 2021 het oordeel van de Algemene Rekenkamer zal volgen welke onvolkomenheden zij als opgelost beschouwt.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties, K.H. Ollongren