Vastgesteld 6 juni 2023
De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de Algemene Rekenkamer over de over de brieven van 17 mei 2023 inzake het rapport Resultaten verantwoordingsonderzoek 2022 bij het Ministerie van Justitie en Veiligheid (Kamerstuk 36 360 VI, nr. 2), het rapport Resultaten verantwoordingsonderzoek 2022 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (Kamerstuk 36 360 VII, nr. 2), en het rapport Resultaten verantwoordingsonderzoek 2022 bij het Ministerie van Economische Zaken en Klimaat (Kamerstuk 36 360 XIII, nr. 2).
De Algemene Rekenkamer heeft deze vragen beantwoord bij brief van 6 juni 2023. Vragen en antwoorden zijn hierna afgedrukt.
De voorzitter van de commissie, Kamminga
De adjunct-griffier van de commissie, Muller
Vragen en antwoorden
Vraag 1
Hoe zou centraal inzicht in kwetsbaarheden door Dienst ICT Uitvoering (DICTU) vormgegeven kunnen worden?
Centraal inzicht kan op verschillende manieren tot stand worden gebracht. Bijvoorbeeld vastgelegd in een centrale administratie of juist in verschillende, onderling gestandaardiseerde administraties; onder directe verantwoordelijkheid van 1 team of juist in onderlinge samenwerking van diverse teams. Wij hebben geen voorkeur voor specifieke, technische of organisatorische aanpak hiervan.
Van belang is dat er te allen tijde een juist en actueel beeld van de kwetsbaarheden in het IT-landschap beschikbaar is. We constateren in ons onderzoek dat dit met de huidige manier van werken bij DICTU nog niet het geval is.
Vraag 2
Is er een inschatting te geven hoeveel procent van de algoritmes van de rijksoverheid niet voldoen aan de criteria, gesteld door de Algemene Rekenkamer (ARK)?
Helaas kunnen we dit percentage niet inschatten. Er is geen centraal overzicht van het aantal algoritmes dat binnen de rijksoverheid in gebruik is. Er is wel een algoritmeregister van de rijksoverheid (https://algoritmes.overheid.nl/nl), maar deze is beperkt gevuld. Ministeries of uitvoeringsorganisaties hebben soms een eigen algoritmeregister (bijvoorbeeld https://www.rijksoverheid.nl/ministeries/ministerie-van-justitie-en-veiligheid/algoritmen), maar koppelen dit vooralsnog niet consequent aan het centrale register.
Daarbij komt dat de door ons onderzochte algoritmes niet representatief zijn voor alle algoritmes die de rijksoverheid gebruikt. We hebben de algoritmes namelijk risicogericht geselecteerd.