Vastgesteld 8 juni 2022
De vaste commissie voor Binnenlandse Zaken heeft een aantal vragen voorgelegd aan de Minister-President, Minister van Algemene Zaken over het rapport van de Algemene Rekenkamer inzake Resultaten verantwoordingsonderzoek 2021 bij het Ministerie van Algemene Zaken, het Kabinet van de Koning en de Commissie van Toezicht betreffende de Inlichtingen- en Veiligheidsdiensten (Kamerstuk 36 100 III, nr. 2).
De Minister heeft deze vragen beantwoord bij brief van 7 juni 2022. Vragen en antwoorden zijn hierna afgedrukt.
De voorzitter van de commissie, Hagen
Adjunct-griffier van de commissie, Honsbeek
Vraag 1
Kan een concreet tijdpad gegeven worden van de verbeteringen die het Ministerie van plan is door te voeren naar aanleiding van de aanbevelingen van de Algemene Rekenkamer?
Antwoord op vraag 1
De Algemene Rekenkamer vraag aandacht voor verdere verbeteringen op het gebied van general IT-controls, lifecyclemanagement, inzicht en beheer van ICT middelen en informatiebeveiliging. Bij de general IT-controls gaat het vooral aantal beheeraccounts met vergaande bevoegdheden. Bij onderstaande vraag wordt hier op ingegaan. Dit wordt in 2022 afgerond. Op dit moment ligt het zwaartepunt van de ICT-inspanningen op het realiseren van AZ Next. Hiermee zal AZ beschikken over state of the art infrastructuur, werkplek en Document Management Systeem. De afgelopen tijd is door de introductie van nieuwe werkwijzen en beheersystemen een start gemaakt met een meer gestructureerd Life Cycle Management. In 2023 zal dit naar een hoger volwassenheidsniveau worden gebracht, in lijn met de rijksbrede ICT-agenda. In de eerste helft van 2022 is al een aantal nieuwe procedures ingevoerd om het inzicht en beheer van de ICT middelen te verbeteren. Eind dit jaar moet dit volledig op orde zijn. De Algemene Rekenkamer constateert dat de informatiebeveiliging grotendeels op orde is. Het is echter een belangrijk aspect dat blijvend aandacht behoeft. Ook moet een aantal al langer geplande activiteiten nog worden opgepakt of afgerond. Inmiddels is het CISO-office kwantitatief op peil gebracht, met tijdelijke aanvullende capaciteit worden de achterstanden weggewerkt. Echter, gezien het grote beslag dat AZ Next en de tijdelijke huisvesting/renovatie Binnenhof op de capaciteit legt zal het nog tot in 2023 duren tot alle voorziene acties zijn afgerond.
Vraag 2
Kunt u uiteenzetten waarom er vanwege het programma AZ Next geen oplossing is voor het te hoge aantal beheeraccounts met vergaande bevoegdheden bij belangrijke onderdelen van de IT-infrastructuur binnen het Ministerie van Algemene Zaken?
Antwoord op vraag 2
In het kader van AZ Next zijn nieuwe (tijdelijke) medewerkers aangetrokken. Tot voor kort ontbrak een zogenaamde autorisatiematrix, waardoor sommige medewerkers over meer bevoegdheden beschikten dan strikt genomen nodig was voor de uitvoering van hun werkzaamheden. Door actieve monitoring zijn potentiële risico’s die hier uit voortvloeien gemitigeerd. Inmiddels is door een opschoning van de Active Directory het aantal beheeraccounts met vergaande bevoegdheden al voor een belangrijk deel teruggebracht. De introductie van de autorisatiematrix zorgt er voor dat de bevoegdheden voortaan direct goed ingeregeld zijn.
Vraag 3
Kunt u aangeven hoe u het risico op foutieve handelingen of bewust misbruik van bevoegdheden binnen het Ministerie van Algemene Zaken tegengaat als u het hoge aantal beheeraccounts met vergaande bevoegdheden niet aanpakt?
Antwoord op vraag 3
Zoals hierboven aangegeven is dit inmiddels wel aangepakt en zijn door actieve monitoring potentiële risico’s gemitigeerd.