Ontvangen 2 mei 2023
Inhoudsopgave |
blz. |
||
I. |
Algemeen deel |
1 |
|
1. |
Inleiding |
3 |
|
2. |
Onafhankelijk adviescollege |
4 |
|
3. |
Taakomschrijving Adviescollege ICT-toetsing |
5 |
|
4. |
Samenstelling van het Adviescollege |
9 |
|
5. |
Advies en consultatie |
10 |
|
6. |
Overig |
11 |
|
II. |
Artikelsgewijs |
11 |
Het verheugt mij dat de leden van de fracties van de VVD, D66, de PVV, het CDA en de SP kennis hebben genomen van het voorstel van wet houdende regels omtrent de instelling van een adviescollege voor de algehele verbetering en beheersing van ICT-projecten en informatiesystemen bij de centrale overheid (Wet Adviescollege ICT-toetsing) (hierna: het wetsvoorstel).
De leden van voornoemde fracties hebben over het wetsvoorstel verschillende vragen en opmerkingen. Ik dank de fracties voor hun bijdrage en ga in deze nota naar aanleiding van het verslag graag daarop in. De vragen en opmerkingen van de fracties zijn in gecursiveerde vorm weergegeven, waarbij aan de verschillende (deel)vragen een nummer is toegekend. Hierbij is de indeling en volgorde van het verslag aangehouden.
De leden van de VVD-fractie hebben met belangstelling kennisgenomen van de Regels omtrent de instelling van een adviescollege voor de algehele verbetering en beheersing van ICT-projecten en informatiesystemen bij de centrale overheid (Wet Adviescollege ICT-toetsing). Deze leden kunnen zich vinden in het wetsvoorstel en hebben hierover nog een enkele vraag en opmerking.
De leden van de D66-fractie hebben kennisgenomen van het voorliggende wetsvoorstel. Deze leden zijn van mening dat een adviescollege voor de ICT-projecten en informatiesystemen zo onafhankelijk mogelijk zou moeten zijn en zijn dus positief jegens het wetsvoorstel. Wel willen deze leden de regering nog enkele vragen stellen.
De leden van de PVV-fractie hebben kennisgenomen van het wetsvoorstel en hebben daarover enkele vragen. Deze leden willen allereerst benadrukken dat het werk van het Adviescollege ICT-toetsing (hierna het Adviescollege) van grote waarde is. In de regel zouden de adviezen en aanbevelingen van het Adviescollege altijd opgevolgd moeten worden, voor zover dat niet al gebeurt. Ziet de regering mogelijkheden om dat verder te bevorderen, anders dan daartoe een harde verplichting op te nemen in de wet? Ziet de regering in dat kader nog mogelijkheden om de daadwerkelijke opvolging/implementatie van de adviezen en aanbevelingen van het Adviescollege toetsbaar te maken? (01)
Ik deel het standpunt van de PVV-fractie dat het verstandig is om de adviezen van het Adviescollege ICT-toetsing in beginsel op te volgen. Er kunnen zich echter altijd omstandigheden voordoen waardoor een advies niet (integraal) opgevolgd kan worden. Van belang is dat het Adviescollege ICT-toetsing de Minister adviseert die opdrachtgever is van een project.1 Het wel of niet opvolgen van de adviezen en de keuzes die daaruit voortkomen zijn besluiten van de verantwoordelijke Minister. Op deze verantwoordelijkheidsverdeling wil ik geen inbreuk maken met het wetsvoorstel door daarin op te nemen dat ieder advies altijd gevolgd dient te worden. Belangrijk is wel dat als een Minister afwijkt van het advies, dit met reden omkleed moet worden gemeld aan beide kamers der Staten-Generaal. Uw Kamer kan in reactie daarop bijvoorbeeld vragen stellen of een debat agenderen. Tot slot kan de Minister die opdrachtgever is ook om een nader advies vragen over de risico’s en slaagkansen van een ICT-project dat reeds is gestart. In zo een nader advies kan het Adviescollege vervolgens aandacht besteden aan de implementatie van het eerder uitgebrachte advies.
De leden van de CDA-fractie hebben met interesse kennisgenomen van het wetsvoorstel en steunen de inzet van het kabinet om het Adviescollege een permanente status te geven. Deze leden hebben nog enkele vragen over het wetsvoorstel.
De leden van de SP-fractie hebben de Wet Adviescollege ICT-toetsing gelezen en maken van de gelegenheid gebruik om nog enkele opmerkingen en vragen te maken. Deze leden erkennen de toegevoegde waarde van het Adviescollege en betreuren tegelijkertijd dat er binnen het Rijk niet voldoende kennis en kunde aanwezig lijkt te zijn om ICT-projecten uit te voeren. Deze leden vragen in dat kader hoe wordt gewaarborgd dat, zeker gezien de adviestaak van het Adviescollege, er wel voldoende toezicht blijft op de uitvoering van ICT-projecten en hoe dit toezicht nu praktisch en in theorie geregeld is. Wat is bijvoorbeeld nog de rol van de Minister van Binnenlandse Zaken? (02)
Het toezicht is ingericht volgens het «three lines model». Dit model is een belangrijke leidraad voor het inrichten van de governance. Daarin wordt onderscheid gemaakt naar de volgende driedeling:
1. departementale controle en projectbeheersing;
2. controle vanuit de departementale CIO;
3. externe controle door CIO Rijk, het Adviescollege ICT-toetsing, Auditdienst Rijk en de Algemene Rekenkamer.
Graag geef ik een nadere toelichting op een aantal beheersmaatregelen om het toezicht op grote ICT-projecten vorm te geven. Drie wezenlijke maatregelen zijn het portfoliomanagementproces, het maken van een CIO-oordeel en het inschakelen van het Adviescollege ICT-toetsing voor een toets. Hiervoor gebruikt het CIO-stelsel het Handboek Portfoliomanagement Rijk en het Kwaliteitskader CIO-oordelen. Het doel van portfoliomanagement is het krijgen en behouden van een overzicht van het gehele portfolio. Een belangrijke stap is de evaluatie van het project. Het CIO-oordeel is een kwaliteitstoets op het welslagen van een groot ICT-project. Hiermee geeft een CIO een beoordeling met aanbevelingen aan de opdrachtgever over het project. Dit zorgt voor beter beheersbare ICT-projecten, een hogere slaagkans en een groeiend lerend vermogen binnen de organisatie zelf. Het Adviescollege ICT-toetsing adviseert de Minister die opdrachtgever is van een project. Dit advies, vergezeld van een reactie van de betrokken Minister, wordt aan beide Kamers gestuurd. Vanuit mijn coördinerende rol heb ik verder acties opgezet die de ICT-organisatie en -systemen van het Rijk versterken. Deze zijn terug te vinden in mijn werkagenda.2 Zo komt er bijvoorbeeld een vernieuwd Rijks ICT-dashboard dat meer inzicht geeft in de maatschappelijke baten van IT/IV en de (normen voor) inzicht in de kosten.
De leden van de VVD-fractie merken op dat het permanente Adviescollege ICT-toetsing niet valt onder artikel 79 van de Grondwet en dat ook de Kaderwet adviescolleges niet van toepassing is. Wat voor soort adviescollege wordt dan het Adviescollege ICT-toetsing, zo vragen deze leden. (03)
Het Adviescollege ICT-toetsing is een volwaardig adviescollege dat met het wetsvoorstel bevoegdheden en een permanente status krijgt. Het klopt dat artikel 79 van de Grondwet ziet op vaste colleges van advies in zaken van wetgeving en bestuur en ook dat de Kaderwet adviescolleges van toepassing is op een college dat krachtens publiekrecht tot taak heeft de regering te adviseren over algemeen verbindende voorschriften of te voeren beleid van het Rijk. Het voorgaande betekent niet dat het instellen van een adviescollege dat over een ander onderwerp adviseert niet mogelijk is. Het Adviescollege adviseert op zo een ander onderwerp, namelijk over specifieke informatiesystemen en ICT-projecten. Om toch zo veel mogelijk eenheid te bevorderen tussen de verschillende adviescolleges is in het wetsvoorstel, waar mogelijk, wel aansluiting gezocht bij de Kaderwet adviescolleges.
De leden van de CDA-fractie vragen of de regering een overzicht kan geven van de belangrijkste inhoudelijke wijzigingen in het wetsvoorstel ten opzichte van het Instellingsbesluit Adviescollege ICT-toetsing. (04)
Vooropgesteld kan worden dat de inhoudelijke wijzigingen in het wetsvoorstel ten opzichte van het Instellingsbesluit Adviescollege ICT-toetsing (hierna: het Instellingsbesluit) beperkt zijn. Dit valt te verklaren vanuit het feit dat het Instellingsbesluit is vastgesteld, vooruitlopend op het wetsvoorstel.3 Er zijn in het wetsvoorstel evenwel een aantal inhoudelijke wijzigingen opgenomen die ik wenselijk acht. In het onderstaande wordt ingegaan op de belangrijkste wijzigingen.
Ten eerste wordt de taak van het Adviescollege ICT-toetsing licht uitgebreid. Anders dan onder het Instellingsbesluit, kan het Adviescollege onder het wetsvoorstel adviseren over een doeltreffende en doelmatige inrichting en toepassing van een informatiesysteem ter uitvoering van beleid of regelgeving. Het gaat hier om advisering in een vroegtijdig stadium over de vraag of een informatiesysteem het voorgenomen beleid kan uitvoeren. Een dergelijk advies kan worden gegeven op verzoek van beide kamers der Staten-Generaal of de Minister die verantwoordelijk is voor het informatiesysteem. Ten tweede introduceert het wetsvoorstel een verplichting voor krachtens publiekrecht ingestelde zelfstandige bestuursorganen als bedoeld in artikel 4 van de Kaderwet zelfstandige bestuursorganen (hierna: zelfstandige bestuursorganen) om advies te vragen over de risico’s en slaagkans van een voorgenomen ICT-project van € 5 miljoen of meer en daarbij een oordeel te geven over de mate van beheersbaarheid. Een dergelijke verplichting kent het Instellingsbesluit niet. Ten derde kunnen onder het wetsvoorstel de leden voor ten hoogste vier jaar worden benoemd met een eenmalige herbenoeming voor ten hoogste vier jaar. Het Instellingsbesluit bepaalt dat benoeming voor de duur van ten hoogste twee jaar plaatsvindt, maar stelt geen regels over het aantal herbenoemingen.
De leden van de VVD-fractie kunnen zich vinden in de reactie van de regering op het advies van de Raad van State waarin wordt ingegaan op de wettelijke verankering van de permanente status van het Adviescollege. Deze leden achten het van belang dat dit college onafhankelijk advies kan geven over ICT-aangelegenheden en zijn daarom ook voorstander van de onafhankelijke positionering van het adviescollege ICT-toetsing.
De leden van de D66-fractie lezen over de keuze van de regering voor een onafhankelijk adviescollege, om belangenverstrengeling of de schijn daarvan te voorkomen. Deze leden vragen waarom er voor deze organisatievorm is gekozen. Kan de regering dit toelichten? Is er ook onderzoek gedaan naar andere organisatievormen? Wat heeft de doorslag gegeven in de keuze voor een onafhankelijk adviescollege? Deze leden vragen wat de gevolgen zullen zijn van het buiten de ministeriële verantwoordelijkheid zetten van zo’n essentieel onderdeel van de reguliere bedrijfsvoering, graag een toelichting. (05)
In de brief van 20 september 20194 heeft mijn ambtsvoorgang uw Kamer geïnformeerd over de scenario’s die toentertijd werden onderzocht om de voorganger van het Adviescollege, het Bureau ICT-toetsing (hierna: BIT), een wettelijke grondslag te geven. Er werd toentertijd onderzoek gedaan naar positionering als dienstonderdeel binnen de rijksoverheid, een verzelfstandiging binnen de rijksoverheid en een positionering buiten de rijksoverheid. In dat onderzoek zijn de volgende criteria betrokken om tot besluitvorming te komen: onafhankelijkheid van het BIT, samenhang met de andere sturingsmaatregelen op het gebied van ICT en informatiebeveiliging, aansturing van het BIT, toegang tot het BIT voor de Tweede Kamer, de juridische grondslag en doelmatigheid. Een ambtelijke werkgroep met vertegenwoordigers van BZK, het BIT, het Ministerie van Financiën en de Auditdienst Rijk heeft eind 2019 geadviseerd het BIT een permanente status te geven als adviescollege met wettelijke grondslag. Mijn ambtsvoorgang heeft uw Kamer in de brief van 20 december 20195 vervolgens geïnformeerd over het genomen besluit om het BIT op afstand te plaatsen waarbij ook onderhavig wetsvoorstel werd aangekondigd. Voornaamste redenen voor deze keuze zijn geweest dat met deze vormgeving belangenverstrengeling, in wezen en in schijn, het best voorkomen kan worden en dat uw Kamer alsmede de Eerste Kamer daarnaast toegang krijgen tot advisering. Om de continuïteit van advisering op ICT-projecten en informatiesystemen te waarborgen is vervolgens op 31 december 2020 het Instellingsbesluit in werking getreden. Hiermee kan de tijd tot inwerking van het wetsvoorstel worden overbrugd.
De leden van de SP-fractie ondersteunen de onafhankelijkheid van het Adviescollege. Tegelijkertijd merken deze leden op dat het van belang is dat het Adviescollege ook in praktijk in staat is hun taken uit te kunnen voeren. Kan hier nader op worden ingegaan? Kan het Adviescollege de huidige taak goed uitvoeren, qua middelen en capaciteit? (06) Deze leden vragen hier ook naar met het oog op de toenemende ICT-vraag vanuit de overheid. In hoeverre kan er bijvoorbeeld ook bespaard worden op externe adviezen op het gebied van ICT, door dure consultancybureaus, als we het Adviescollege verder versterken? (07)
Het Adviescollege ICT-toetsing kan de adviesbehoefte die er nu is invullen. De wet bepaalt dat ICT-projecten boven € 5 miljoen worden aangemeld. Het is aan het Adviescollege zelf om te bepalen welke verzoeken om advies in behandeling worden genomen. Het Adviescollege doet daar een risicoselectie voor. In het Algemeen Overleg met uw Kamer van 8 april 2015 over het rapport van de tijdelijke commissie Elias heeft de toenmalige Minister voor Wonen en Rijksdienst uitgelegd waarom dit nodig is, en het is nog steeds relevant: bepaalde projecten, zoals dataverbindingen, zijn belangrijk maar technisch niet complex. Toch komen zij vaak boven € 5 miljoen uit. Door deze grens in bedrag te combineren met de risicoselectie zorgt dit ervoor dat de kennis en kunde van het Adviescollege doelmatig ingezet wordt. Zoals naar voren komt in mijn antwoord op vraag 2, hebben de ministeries intern ook kennis in huis die wordt gebruikt ten behoeve van het toezicht op grote ICT-projecten, waardoor ook projecten met weinig complexiteit meegenomen worden. Soms zijn er ogen van buiten nodig omdat er juist een bredere blik vanuit de markt nodig is in plaats van de overheid, of omdat er specifieke expertise vereist is. In die gevallen kan een consultancybureau inzichten geven.
Als laatste vragen deze leden of het Adviescollege bijvoorbeeld ook toetst waarom en hoe het project «Open op Orde» zoveel meer gaat kosten. Zo nee, kan er toegelicht worden waarom hierover onder deze wet dan niet geadviseerd zou worden? (08)
De ICT-projecten die geld krijgen uit het generieke actieplan «Open op Orde» dienen – mits van toepassing – zorg te dragen voor de eigen behandeling bij het Adviescollege. Als er informatiesystemen of ICT-projecten worden opgericht die door het Adviescollege moeten worden getoetst, dan moeten deze dus door het eigen ministerie worden aangemeld voor een adviesaanvraag. Een generieke toets op het generieke actieplan «Open op Orde» is dan ook niet aan de orde.
De leden van de D66-fractie hebben een aantal vragen over de taken van het Adviescollege. Deze leden lezen dat het Adviescollege adviseert op verzoek van de Eerste en Tweede Kamer en de verantwoordelijke Ministers. Ook kan het Adviescollege uit eigen beweging een type 2-en type 3-advies uitbrengen. Kan de regering toelichten waarom hiervoor is gekozen? Waarom kan het Adviescollege niet uit eigen beweging adviezen geven over een ICT-project of informatiesysteem van de politie of de Raad voor de rechtspraak? Daarnaast is het voor deze leden niet duidelijk welke overwegingen ten grondslag van de reikwijdte van de taken van het college liggen, dus over welke overheidsinstanties mag het college adviseren, en waarom en op basis waarvan zijn deze gekozen? (09)
Er liggen verschillende redenen ten grondslag aan de keuze om het Adviescollege de bevoegdheid te geven om uit eigen beweging te kunnen adviseren. Ten eerste biedt het een spreekwoordelijke stok achter de deur voor gevallen waarin een Minister of een zelfstandig bestuursorgaan, in afwijking van het wetsvoorstel, afziet van een verplichte aanvraag tot advisering over een ICT-project van € 5 miljoen of meer. In dergelijke gevallen, waarvan ik er overigens niet vanuit ga dat dit praktijk zal worden, kan het Adviescollege besluiten alsnog een advies uit te brengen over het ICT-project. Ten tweede is het op eigen beweging adviseren belangrijk voor de invulling van de taak van het Adviescollege om te voorzien in kennisoverdracht en kennisbevordering. Wanneer het Adviescollege bijvoorbeeld een trend signaleert op het gebied van ICT-systemen of onderhoud- en beheeractiviteiten van informatiesystemen, dan kan het besluiten uit eigen beweging een advies uit te brengen waar ook de andere organisaties in het CIO-stelsel lering uit kunnen trekken.
Ik heb er in dit wetsvoorstel voor gekozen om het Adviescollege niet uit eigen beweging te kunnen laten adviseren over een ICT-project of een informatiesysteem van de politie of de Raad voor de rechtspraak omdat deze mogelijkheid onder het Instellingsbesluit ook ontbreekt en in de praktijk er geen aanleiding is gebleken om dit te wijzigen. Beide sui generis organisaties melden in praktijk de relevante ICT-projecten aan voor advies. Verder kan uw Kamer onder het wetsvoorstel een advies ten aanzien van deze organisaties aanvragen bij het Adviescollege. Ook bestaat voor de Minister voor Rechtsbescherming de bevoegdheid om een algemene aanwijzing te geven aan de Raad voor de rechtspraak, die ook kan zien op de automatisering en bestuurlijke informatievoorziening van de Raad.6 Een soortgelijke bevoegdheid bestaat voor de Minister van Justitie en Veiligheid ten aanzien van de korpschef.7 Gelet op deze omstandigheden zie ik af van een uitbreiding van de bevoegdheden van het Adviescollege op dit punt.
Ter verduidelijking op de memorie van toelichting bij het wetsvoorstel zijn de regels ten aanzien van de verschillende typen advies in de bijlage bij deze nota naar aanleiding van het verslag nog eens schematisch uiteengezet.
Wat deze leden missen in het voorstel is een adviestaak betreffende ICT of digitalisering in wetgevingstrajecten. Steeds vaker worden er wetten gemaakt met een digitaal component (expliciet, en soms impliciet). Deze leden zien hier een rol voor het Adviescollege in, waarbij het Adviescollege, gevraagd of ongevraagd de Tweede Kamer of de regering kan adviseren over ICT in wetten, zoals algoritmes. Hoe kijkt de regering hier tegenaan? Is de regering bereid dit ook in overweging te nemen? Zo nee, kan de regering dan uitleggen waarom niet? (10)
Allereerst vind ik het belangrijk op te merken dat ik op het gebied van algoritmes momenteel werk aan het versterken van het toezicht daarop. In mijn brief van 7 oktober 20228 heb ik uiteengezet hoe ik dit toezicht vorm wil geven. Ten eerste is van belang dat de interne controle en toezicht versterkt wordt. Het toetsingskader van de Algemene Rekenkamer zal de basis vormen voor CIO-oordelen. Daarnaast zijn interne toezichthouders op de overheid zoals de Audit Dienst Rijk (ADR) ten aanzien van audits en de Algemene Rekenkamer (ARK) als het gaat om onderzoek, actief met onderzoek en het verder ontwikkelen van toezicht op inzet van algoritmen door de overheid. Ten tweede investeert het kabinet in een algoritmetoezichthouder. In januari 2023 is de algoritmetoezichthouder bij de Autoriteit Persoonsgegevens van start gegaan. In mijn brief van 22 december 2022 heb ik uw Kamer daarover geïnformeerd.9
Daarnaast adviseert de Afdeling Advisering van de Raad van State reeds op wet- en regelgeving, ook wanneer deze een digitale component bevat. In mei 2021 heeft de Raad van State het toetsingskader10 aangepast gelet op de steeds grotere rol die digitalisering speelt in onze samenleving. In dit toetsingskader komt onder andere naar voren dat als gebruik wordt gemaakt van automatische besluitvorming en algoritmen, voldoende in de toelichting daarbij is ingegaan op transparantie, controleerbaarheid en rechtsbescherming. Verder adviseert de Autoriteit Persoonsgegevens op grond van de AVG over wet- en regelgeving waarin verwerking van persoonsgegevens aan de orde komt.11 Het toetsen van wet- en regelgeving is daarmee reeds op stevige en kwalitatief hoogstaande wijze geborgd.
Overigens zal wet- en regelgeving (ook zonder een digitale component) in veel gevallen moeten worden geëffectueerd in nieuwe of bestaande informatiesystemen door middel van ICT-projecten of via regulier beheer en onderhoud. Hierbij is de uitvoerbaarheid van belang van hetgeen in wet- en regelgeving is voorzien. Zowel beide kamers der Staten-Generaal als de verantwoordelijk Minister kan over de risico’s voor uitvoerbaarheid advies vragen aan het Adviescollege. Hierover kan het Adviescollege vervolgens adviseren, voor zover deze systemen onder de taakbeschrijving van het Adviescollege vallen.12 Een voorbeeld van een dergelijke situatie is het advies over het Digitaal Stelsel Omgevingswet (DSO-LV).
De leden van de PVV-fractie vragen of dit wetsvoorstel in voldoende mate «toekomst-proof» is, met name gezien de uitbreiding van het takenpakket en de werklast van het Adviescollege. Kan de regering daar een reflectie op geven? Moet de eerste evaluatie van deze wet niet eerder plaatsvinden dan over vier jaar? Aangezien het Adviescollege al «up en running» is en er dus geen sprake is van een aanlooptijd zien deze leden liever een evaluatie over twee jaar. (11)
Ik verwacht dat het wetsvoorstel ook aan de toekomstige behoeften voldoet. De taken van het Adviescollege worden met dit wetsvoorstel namelijk licht uitgebreid ten opzichte van het Instellingsbesluit; er kan ook advies worden uitgebracht over een doeltreffende en doelmatige inrichting en toepassing van een informatiesysteem ter uitvoering van beleid of regelgeving. Een verdere uitbreiding van taken vind ik nu echter niet wenselijk. Het Adviescollege is betrekkelijk nieuw en functioneert momenteel goed. Een nog verdere uitbreiding van werkzaamheden kan hiermee op gespannen komen te staan. Vier jaar na inwerkingtreding van het wetsvoorstel zal ik de wet evalueren. Hiermee hanteer ik reeds een kortere termijn dan algemeen gebruikelijk.13 Een termijn van twee jaar acht ik echt te kort om voldoende ervaringen met het functioneren van het Adviescollege op grond van het wetsvoorstel te verzamelen, te onderzoeken en te evalueren. Ik ben voornemens de hiervoor genoemde taakuitbreiding mee te nemen in de evaluatie. Verder verwijs ik naar mijn antwoord op vraag 20 van de D66-fractie.
De leden van de CDA-fractie lezen in de toelichting dat departementen verplicht zijn om projecten met een ICT-component van meer dan vijf miljoen euro aan te melden voor advies van het Adviescollege. Deze leden lezen in de jaarrapportage 2021 van het Adviescollege dat dit heeft geleid tot 43 adviesaanvragen en 14 uitgebrachte adviezen. Deze leden constateren dat dus over tweederde van de aanvragen geen advies wordt uitgebracht. Deze leden hechten net als de regering veel waarde aan het advies van het Adviescollege en vragen daarom of de regering het wenselijk acht dat het Adviescollege over alle aanvragen advies uitbrengt. Deze leden vragen verder waarom er nu niet over alle aanvragen advies wordt uitgebracht. (12)
Het Adviescollege geeft inderdaad niet op alle aanvragen een advies, zij maken een afweging welke aanvragen zij oppakken. Ik verwijs naar mijn antwoord op vraag 6 voor de criteria die het Adviescollege bij die keuze toepast. Capaciteit speelt ook een rol. Het Adviescollege wil groeien in de beschikbare capaciteit, wat ik graag ondersteun. De collegeleden hebben in de technische briefing van 15 september 2022 aangegeven dat zij willen focussen op een gecontroleerde groei, wat tijd kost.14 Niet alleen is er een tekort van I-kennis op de arbeidsmarkt, maar ook moeten medewerkers goed ingewerkt worden voor het behouden van de kwaliteit en continuïteit in het opstellen van de adviezen.
Deze leden maken zich in toenemende mate zorgen over de strategische autonomie van Nederland en Europa, niet in de laatste plaats op het gebied van digitale technologie. Deze leden vragen daarom of het Adviescollege in haar adviezen op dit moment aandacht heeft voor deze problematiek, bijvoorbeeld als het gaat om de aanbesteding en inkoop van ICT-hardware en/of software afkomstig uit landen buiten Europa. Deze leden vragen of regering het met hen eens is dat hier aandacht voor moet zijn, en of hierover bijvoorbeeld in de taakomschrijving of werkwijze van het Adviescollege kaders opgenomen zouden moeten worden. (13)
Het Adviescollege richt zich in zijn adviezen in principe slechts op de risico’s en slaagkans van projecten, de doeltreffendheid en doelmatigheid van onderhoud- en beheeractiviteiten en met betrekking tot inrichting en toepassing van een informatiesysteem. In technische zin kan het Adviescollege wel aspecten signaleren die buiten die scope vallen. Als zij risico’s zien op strategische autonomie kunnen zij dat meenemen in het advies. Het kabinet voelt zeker de noodzaak om met de problematiek van digitale autonomie nadrukkelijker aan de slag te gaan. Graag geef ik een toelichting op wat het kabinet al doet als het gaat om aanbesteding en inkoop, zoals te lezen in de brief van 28 november 2022 over de aanpak statelijke dreigingen.15
Het uitgangspunt is bij iedere inkoopopdracht risico’s voor de nationale veiligheid in kaart te brengen en hier waar nodig maatregelen op te treffen. Het kabinet heeft instrumentarium ontwikkeld dat organisaties handvatten biedt bij het maken van een risicoanalyse en het treffen van maatregelen. Momenteel werkt het kabinet aan de doorontwikkeling en aanscherping van dit instrumentarium. Doel is met het instrumentarium bij te dragen aan het identificeren en mitigeren van risico’s bij dienstverleners en in de (toe)leveranciersketen. De toepassing van dit instrumentarium wordt verplicht gesteld voor relevante inkoopopdrachten binnen het Rijk. Het kabinet werkt tevens aan een Rijksbrede regeling voor aanbestedingen die de nationale veiligheid raken (ABRO, Algemene beveiligingseisen rijksoverheid opdrachten). De nieuwe regeling zal eisen stellen aan opdrachtnemers op het gebied van fysieke beveiliging, (digitale) informatiebeveiliging en cybersecurity, (wijzigingen in) eigendomsstructuren, economische veiligheid, screening van personeel en procedures bij incidenten. Daarnaast wordt ook in dit traject doorlopend ingezet op bewustwording van de dreiging die uitgaat van statelijke actoren bij inkopers, binnen de rijksoverheid en bij vitale aanbieders.
Voor het Nederlandse beleid ten aanzien van open strategische autonomie verwijs ik u naar de brief aan uw Kamer van 8 november 2022.16
Het programma Economische Veiligheid beschermt onze nationale veiligheidsbelangen bij buitenlandse overnames, investeringen en de inkoop van (buitenlandse) goederen en diensten. De Nationaal Coördinator Terrorismebestrijding en Veiligheid (NCTV) coördineert het programma. Zo zijn er handreikingen, quickscans en criteria voor de verschillende onderdelen waar ICT-middelen moeten worden ingekocht. Zo is er de Quickscan, de Risicoanalyse en de Handvatten risicomitigatie van de reeks voor nationale veiligheid bij inkoop en aanbesteden.
De leden van de SP-fractie willen graag van de gelegenheid gebruik maken enkele verduidelijkende vragen te stellen. Zo vragen deze leden waarom het Adviescollege geen advies uitbrengt over ICT of informatiesystemen die onderdeel zijn van een wapensysteem van Defensie. (14)
Bij de informatievoorziening aan de Tweede Kamer over IT-projecten maakt Defensie onderscheid tussen wapensysteemgebonden IT en reguliere IT. Voor wapensysteemgebonden IT geldt het Defensie Materieel Proces (DMP), waarbij IT-aspecten worden meegenomen in de reguliere rapportages over het desbetreffende materieelproject. Over reguliere IT-projecten van meer dan € 5 miljoen rapporteert het Ministerie van Binnenlandse Zaken en Koninkrijkrelaties aan de Tweede Kamer via het Rijks ICT-dashboard. Defensie levert hiervoor de gegevens aan. Daarnaast informeert Defensie de Tweede Kamer periodiek over de voortgang van grote IT-projecten en programma’s via het Defensie Projectenoverzicht.
Wapensysteemgebonden IT betreft (embedded) software en simulatoren die integraal onderdeel zijn van het wapensysteem en noodzakelijk zijn voor de goede werking van wapensystemen. Deze IT wordt door de leverancier geleverd en kan niet los van het wapensysteem worden gezien.
Tevens vragen deze leden waarom er is gekozen voor een grens van vijf miljoen euro, voor ICT-projecten waarover geadviseerd wordt door het Adviescollege. Waarom is dit bijvoorbeeld geen twee of drie miljoen euro? (15)
Deze grens is vanuit een aanbeveling uit het rapport van de commissie Elias in 2015 vastgesteld op € 5 miljoen.17 De projecten boven € 5 miljoen hebben vaak de omvang waar die extra aandacht nodig is. We spreken dan van de grote ICT-projecten, omdat deze grotere projecten meer complexiteit met zich meebrengen. Hier kan dus ook meer fout gaan. Ik verwijs verder naar vraag 6 voor een verdere uiteenzetting over de selectiecriteria van het Adviescollege.
De leden van de PVV-fractie vragen of de regering kan aangeven of een eenmalige herbenoeming van vier jaar niet een mogelijke belemmering kan blijken, aangezien de juiste expertise en voldoende mankracht voor het Adviescollege de komende jaren een lastige opgave zal zijn en het dus van belang is om bestaande expertise te behouden. Moet er in het wetsvoorstel niet een mogelijkheid open gehouden worden voor een tweede herbenoeming, van desnoods twee jaar? (16)
Zoals ik in mijn antwoord op vraag 2 uiteen heb gezet, is het toezicht op de grote ICT-projecten ingericht volgens het «three lines model»:
1. departementale controle en projectbeheersing;
2. controle vanuit de departementale CIO;
3. externe controle door CIO Rijk, het Adviescollege ICT-toetsing, Auditdienst Rijk en de Algemene Rekenkamer.
Algemene expertise is aanwezig bij de verschillende departementen en CIO-offices. Het is daarom belangrijk dat juist het Adviescollege gefocust is op actuele expertise, expertise die niet altijd aanwezig is bij de departementen zelf en snel verandert. Ik heb in het wetsvoorstel dus bewust gekozen voor een eenmalige herbenoeming, omdat digitale ontwikkelingen in de samenleving snel gaan en dat de urgentie voor actuele expertise in het college vergroot. Door het reduceren van de mogelijkheid tot herbenoeming wordt de flexibiliteit van het Adviescollege vergroot. Vijf jaar geleden was privacy-expertise actueel, nu is expertise over algoritmes wenselijk. Een eenmalige herbenoeming geeft een collegelid de mogelijkheid alsnog acht jaar aan te blijven. Bij een herbenoeming voor een tweede maal wordt dit twaalf jaar, een periode waarin veel verandert op dit gebied.
Het capaciteitsvraagstuk van het Adviescollege ICT-toetsing focust zich op de medewerkers, niet de collegeleden. Voor dit vraagstuk wil ik u verwijzen naar het antwoord op vraag 12.
De leden van de CDA-fractie constateren dat de regering, bij monde van de Staatssecretaris Digitalisering, in het debat over informatiehuishouding op 13 april 2022 18 heeft aangegeven dat tijdens de behandeling van dit wetsvoorstel nader gesproken zou moeten worden over de vraag of het Adviescollege voldoende omvang en capaciteit heeft. Deze leden vragen of de regering op dit moment vindt dat het Adviescollege voldoende omvang heeft. Deze leden vragen of het aantal uitgebrachte adviezen ten opzichte van het aantal aanvragen aanleiding geeft om uitbreiding van het Adviescollege te overwegen. Zo ja, hoeveel extra capaciteit is er nodig? (17)
Voor het vraagstuk rond capaciteit wil ik verwijzen naar mijn antwoord op vraag 12. Eind 2019 is via een interdepartementale verdeelsleutel besloten dat het Adviescollege jaarlijks € 5,4 miljoen ontvangt. Het Adviescollege maakt hier nog niet volledig gebruik van en wil naar dit kader toe groeien.
De leden van de SP-fractie vragen naar onderliggende onderbouwing van het afwijken van de benoemingstermijn. Er wordt aangegeven dat dit te maken heeft met de snelle ontwikkelingen op ICT-gebied maar deze leden vinden deze onderbouwing te mager. Er zijn immers veel meer terreinen waar ontwikkelingen snel gaan. Daarbij valt er ook iets te zeggen voor continuïteit in adviezen en de meerwaarde van ervaring. (18)
Hiervoor verwijs ik u naar het antwoord op vraag 16.
De continuïteit van adviezen ligt voornamelijk bij de medewerkers. Het Adviescollege heeft aangegeven dat zij gecontroleerd willen groeien, omdat nieuwe medewerkers zorgvuldig ingewerkt moeten worden voor het behouden van de kwaliteit en continuïteit.
De leden van de CDA-fractie lezen in de reactie van de politie dat hun zorgen over de taakuitbreiding van het Adviescollege voortkomen uit het gesignaleerde gebrek aan capaciteit en vragen of de regering hier nog op kan reflecteren, aangezien deze leden dit missen in de toelichting. (19)
Voor het vraagstuk rond capaciteit wil ik u verwijzen naar mijn antwoord op de vragen 12 en 17.
De leden van de D66-fractie hebben tot slot nog vragen over de evaluatie van deze wetswijziging. Kan de regering aangeven wat de evaluatietermijn is? Hoe gaat de regering het functioneren van het Adviescollege evalueren? (20)
In het wetsvoorstel is bepaald dat beide kamers der Staten-Generaal binnen vier jaar na de inwerkingtreding van het wetsvoorstel een verslag ontvangen over de doeltreffendheid en de effecten daarvan. Vervolgens zal ik het wetsvoorstel elke vier jaar opnieuw evalueren en daarvan een verslag aan beide Kamers doen toekomen. Waar in het algemeen bij wetten wordt gekozen voor een evaluatietermijn van vijf jaar, verkort ik deze tot vier jaar. Reden hiervoor is de ontwikkelingen op het gebied van ICT snel gaan waardoor ik een kortere evaluatietermijn passend acht.
Het is op dit moment te vroeg om vooruit te lopen op de definitieve criteria die in de evaluatie zullen worden meegenomen. Dit zal immers afhankelijk zijn van het functioneren van het Adviescollege de komende jaren, waarbij accenten in de evaluatie gelegd kunnen worden op punten die beter kunnen of juist goed gaan. Het ligt op dit moment wel in de rede om in ieder geval een evaluatie uit te laten voeren naar de kwaliteit van de adviezen en de opvolging daarvan door ministeries, zelfstandige bestuursorganen, de Raad voor de rechtspraak en de politie en de uitbreiding van het taak van het Adviescollege ten opzichte van het Instellingsbesluit.
Artikel VII
De leden van de PVV-fractie vragen wat de definitie is van «onderhoud- en beheersactiviteiten van een informatiesysteem», zoals bedoeld in artikel 7 lid 1 sub 3. Kan de regering aangeven welk soort activiteiten hieronder vallen? Wat is de reden dat dit begrip niet duidelijker omschreven wordt in de wet? (21)
Er is sprake van beheer en onderhoud als de ICT-middelen worden gebruikt voor het in werkzame staat houden van de dienstverlening en producten. Daarbij gaat het om het in stand houden van de bestaande informatiesystemen en de daarbij benodigde wijzigingen. Er kan hierbij gedacht worden aan bijvoorbeeld software-updates, het vervangen van legacy, of groot onderhoud waar cyclisch alles nagelopen, vervangen en geüpdatet wordt. Op het Rijks ICT-dashboard staat verder informatie over alle projecten van de rijksoverheid met een ICT-component van tenminste € 5 miljoen.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen
Soort advies |
Wie vraagt aan |
Waarover |
Verplicht |
---|---|---|---|
Doeltreffend en doelmatig inrichting en toepassing informatiesysteem (type 1) |
Minister die verantwoordelijk is voor de ICT-voorziening |
Informatiesysteem van het eigen ministerie |
Nee |
Doeltreffend en doelmatig inrichting en toepassing informatiesysteem (type 1) |
Tweede of Eerste Kamer |
Informatiesysteem van een ministerie, de politie, de Raad voor de rechtspraak of een zelfstandig bestuursorgaan |
Nee |
Risico slaagkans voorgenomen ICT-project (type 2) |
Minister die verantwoordelijk is voor de ICT-voorziening |
ICT-project van het eigen ministerie |
Ja |
Risico slaagkans voorgenomen ICT-project (type 2) |
Tweede of Eerste Kamer |
ICT-project van een ministerie, de politie, de Raad voor de rechtspraak of een zelfstandig bestuursorgaan |
Nee |
Risico slaagkans voorgenomen ICT-project (type 2) |
Adviescollege uit eigen beweging |
ICT-project van een ministerie of een zelfstandig bestuursorgaan |
Nee |
Risico slaagkans voorgenomen ICT-project (type 2) |
Politie |
ICT-project van de politie |
Nee |
Risico slaagkans voorgenomen ICT-project (type 2) |
Raad voor de rechtspraak |
ICT-project van de Raad voor de rechtspraak |
Nee |
Risico slaagkans voorgenomen ICT-project (type 2) |
Zelfstandig bestuursorgaan |
ICT-project van het zelfstandig bestuursorgaan |
Ja |
Onderhoud en beheer (type 3) |
Minister die verantwoordelijk is voor de ICT-voorziening |
Informatiesysteem van het eigen ministerie |
Nee |
Onderhoud en beheer (type 3) |
Tweede of Eerste Kamer |
Informatiesysteem van de Minister, politie, raad voor de rechtspraak of een zelfstandig bestuursorgaan |
Nee |
Onderhoud en beheer (type 3) |
Adviescollege uit eigen beweging |
Informatiesysteem van de Minister of een zelfstandig bestuursorgaan |
Nee |
Onderhoud en beheer (type 3) |
Politie |
Informatiesysteem van de politie |
Nee |
Onderhoud en beheer (type 3) |
Raad voor de rechtspraak |
Informatiesysteem van de Raad voor de rechtspraak |
Nee |
Onderhoud en beheer (type 3) |
Zelfstandig bestuursorgaan |
Informatiesysteem van het zelfstandig bestuursorgaan |
Nee |