Preview document (🔗 origineel)

---

Tweede Kamer der Staten-Generaal	2
Vergaderjaar 2021-2022

26 643 Informatie- en communicatietechnologie (ICT)

Nr. 803 LIJST VAN VRAGEN EN ANTWOORDEN

Vastgesteld 10 december 2021

De vaste commissie voor Digitale Zaken heeft een aantal vragen voorgelegd aan de Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties en de Ministers van Economische Zaken en Klimaat en van Justitie en Veiligheid over de brief van 22 oktober 2021 inzake de kabinetsreactie op de notitie ICT-investeringen door de overheid (Kamerstuk 26 643, nr. 794).

De Staatssecretaris en Ministers heeft deze vragen beantwoord bij brief van 22 november 2021. Vragen en antwoorden zijn hierna afgedrukt.

De fungerend voorzitter van de commissie,
Leijten

De adjunct-griffier van de commissie,
Van Tilburg

1

Op welke termijn zullen de verzoeken om verhoging van het budget van de Autoriteit Persoonsgegevens (AP) vanuit de Kamer in uitvoering worden gebracht

Antwoord:

De Minister voor Rechtsbescherming heeft per brief van 19 november 2020 de Tweede Kamer geïnformeerd over de taken en middelen van de AP (Kamerstukken 25 268 en 32 761, nr. 192). Vanaf 2022 ontvangt de AP structureel zes miljoen euro extra.

2

Hoe verhouden de investeringen van de overheid in online veiligheid en cybersecurity rond datalekken zich tot het budget van de AP?

Antwoord:

Investeringen van de overheid in online veiligheid en cybersecurity rond datalekken staan niet in directe relatie tot het budget van de AP. Voor een toelichting op de investeringen van de overheid in cybersecurity verwijs ik u naar het antwoord op vraag 18. De extra investeringen van het kabinet in de AP zoals genoemd in het antwoord op vraag 1 maken geen onderdeel uit van de 95 miljoen euro structureel die het kabinet in cybersecurity investeert.

3

Hoe verhoudt de stimulering van innovatie en de economische en maatschappelijke kansen van digitalisering door EZK zich tot de bescherming van digitale grondrechten en het budget van de AP?

Antwoord:

Het realiseren van maatschappelijke kansen van digitalisering lukt alleen als burgers erop vertrouwen dat hun grondrechten daarbij worden gerespecteerd. Deze verwevenheid is terug te zien in de Nederlandse Digitaliseringsstrategie (NDS). Deze strategie is gebaseerd op enerzijds het op orde brengen van de fundamenten die aan verantwoorde digitalisering ten grondslag liggen, zoals bijvoorbeeld door de introductie van nieuwe wetgeving voor het digitale domein, en anderzijds het stimuleren van digitalisering in verschillende domeinen om daar de kansen van digitalisering op een verantwoorde wijze te benutten. Een voorbeeld van genoemde verwevenheid betreft de aanpak van het kabinet op het gebied van artificiële intelligentie. Zo loopt er een programma met calls bij NWO, voor het realiseren van onderzoekslabs voor de ontwikkeling en toepassing van mensgerichte AI om publieke waarden en grondrechten bij AI-innovaties te borgen. Als persoonsgegevens worden verwerkt dan voert de AP hier toezicht op uit. In de focus AP 2020–2023 richt de AP zich op «dataprotectie in een digitale samenleving». Door de Minister voor Rechtsbescherming is Per brief van 19 november 2020 uw Kamer geïnformeerd over de taken en middelen van de AP (Kamerstukken 25 268 en 32 761, nr. 192). Vanaf 2022 ontvangt de AP structureel 6 miljoen euro extra. In de motie van de leden Klaver en Ploumen (Kamerstuk 28 362, nr. 44) wordt de AP genoemd als een uitvoeringsorganisatie waarin geïnvesteerd moet worden. Het is aan een volgend kabinet om te besluiten over een eventuele verdere uitbreiding van de AP.

4

Hoe verhoudt de focus (van BZK) op een digitale samenleving én digitale overheid zich tot de bescherming van digitale grondrechten en het budget van de AP?

Antwoord:

Het kabinet zet zich in voor een waardengedreven digitale samenleving waarin technologie door de overheid en door andere partijen op een verantwoorde wijze wordt ingezet. Dit betekent dat discriminatie of schendingen van de privacy door technologie moet worden voorkomen. Daarom werkt het Ministerie van BZK aan (niet verplichte) instrumenten zoals impact assessments op mensenrechten, handreikingen om discriminatie vroegtijdig te identificeren en de Code voor Goed Digitaal Bestuur. Deze instrumenten zijn aanvullend op verplichte instrumenten zoals het Data Protection Impact Assessment (DPIA) dat moet worden uitgevoerd wanneer persoonsgegevens worden verwerkt op een manier welke een hoog risico voor de rechten en vrijheden van personen inhoudt. Als persoonsgegevens worden verwerkt, dan voert de AP hier toezicht op uit. In de focus AP 2020–2023 richt de AP zich op «dataprotectie in een digitale samenleving». Per brief van 19 november 2020 is door de Minister voor Rechtsbescherming uw Kamer geïnformeerd over de taken en middelen van de AP (Kamerstukken 25 268 en 32 761, nr. 192). Vanaf 2022 ontvangt de AP structureel zes miljoen euro extra. Het is aan een volgend kabinet om te besluiten over een eventuele verdere uitbreiding van de AP.

5

Hoe verhoudt een versnelde digitalisering van het midden- en kleinbedrijf (mkb) zich tot de bescherming van digitale grondrechten en het budget van de AP voor voorlichting hierover?

Antwoord:

Ik verwijs voor het eerste gedeelte van de vraag naar het antwoord op vraag 3. Dit geldt ook voor de versnelde digitalisering van het mkb. Ten aanzien van het budget van de AP wordt erop gewezen dat de digitalisering van het midden- en kleinbedrijf niet in directe relatie staan tot het budget van de AP. Het is overigens aan de AP als zelfstandig bestuursorgaan om keuzes te maken en prioriteiten te stellen ten aanzien van haar budget en de inzet van haar medewerkers, waaronder op voorlichting.

6

Waarom valt de AP onder de verantwoordelijkheid van de bewindspersoon van Justitie en Veiligheid en niet onder de verantwoordelijkheid van de bewindspersoon van Economische Zaken en Klimaat?

Antwoord:

Onder de verantwoordelijkheid van de Minister voor Rechtsbescherming valt het gegevensbeschermingsrecht. De bescherming van persoonsgegevens is geregeld in de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet AVG (UAVG). De UAVG voorziet in de oprichting en inrichting van de Autoriteit Persoonsgegevens (AP) als toezichthouder op de toepassing van het gegevensbeschermingsrecht. Een en ander maakt dat de AP onderdeel is van de portefeuille van de Minister voor Rechtsbescherming. De AP is overigens een zelfstandig bestuursorgaan met eigen rechtspersoonlijkheid en de relatie met het Ministerie van Justitie en Veiligheid wordt bepaald door de Kaderwet zelfstandige bestuursorganen.

7

Bij de investeringen in informatie- en communicatietechnologie (ICT) wordt zeer kritisch gekeken naar netwerken en oplossingen uit bijvoorbeeld China en de al of niet veronderstelde overheidsbemoeienis aldaar. Is er een risico-analyse beschikbaar waarin voor de vijf belangrijkste landen waarin potentiele leveranciers gevestigd zijn of hun basis hebben, waaronder de Verenigde Staten, in beeld is gebracht wat de potentiele risico's van bemoeienis zijn van de overheid en/of veiligheidsdiensten met ICT-netwerken of oplossingen?

Antwoord:

Ja, het Cyber Security Beeld Nederland (CSBN) 2021 (Kamerstuk 26 643, nr. 767) beschrijft dat aanvallen op ICT-leveranciersketens, door misbruik van hard- en software van dienstverleners, een risico kunnen vormen voor de nationale veiligheid. Het is belangrijk ons hiertegen te beschermen. Wanneer het gaat om ongewenste activiteiten van statelijke actoren in ICT-leveranciersketens richten we ons primair op de landen waarvan bekend is dat ze een offensief cyberprogramma hebben dat ingaat tegen Nederlandse belangen, zoals Rusland, China en Iran. Op het moment dat er aanleiding toe is kan ook worden gekeken naar activiteiten van andere statelijke actoren. Het huidige dreigingsbeeld is leidend bij het bepalen van de in te zetten capaciteit voor het uitvoeren van risicoanalyses.

8

Wat is de verklaring voor het verschil tussen de berekening van de totale materiële ICT-uitgaven zoals blijkt uit een dataset op rijksfinancien.nl (ruim 3 miljard euro in 2020, zie de notitie over ICT-investeringen) en het bedrag van 2.803 miljoen euro volgens de Jaarrapportage Bedrijfsvoering Rijk (Kamerstuk 31 490, nr. 301, p. 66)?

Antwoord:

De Jaarrapportage Bedrijfsvoering Rijk is gebaseerd op de dataset op rijksfinancien.nl. In de kabinetsreactie op de notitie «ICT investeringen door de overheid» is aangegeven dat het verschil komt door een bedrag voor eigen ICT-personeel van Defensie dat in de dataset was opgenomen. Omdat eigen ICT-personeel strikt genomen niet onder materiele ICT-uitgaven valt, is dit in de Jaarrapportage Bedrijfsvoering Rijk gecorrigeerd.

9

Zullen in 2022 ook de kosten voor beheer en onderhoud van bestaande ICT-systemen (en niet alleen over nieuwe en lopende projecten) inzichtelijk worden op het Rijks ICT-dashboard?

Antwoord:

Ja, vanaf 2022 worden ook de kosten voor beheer en onderhoud van bestaande ICT-systemen toegevoegd aan het Rijks ICT-dashboard. Dit is onderdeel van het traject om te komen tot meer inzicht en transparantie in ICT-kosten.

Het verbeteren van het inzicht in de kosten van ICT vereist veranderingen in onder andere de financiële administratiesystemen. De uitbreiding van het Rijks ICT-dashboard is een groeimodel en zal in 2022, terugkijkend over 2021, starten met inzicht te geven in de kosten van beheer en onderhoud op departementaal niveau. In de jaren daarna wordt dit uitgebreid afhankelijk van welk detailniveau daarbij haalbaar is, ook in relatie tot de meerwaarde die het oplevert.

10

Kunt u deze (rijksbrede) informatie ook opnemen in de begroting, zodat er een logische koppeling komt tussen de informatie in het Rijks ICT-dashboard en de begroting, en de Kamer inzicht krijgt in de kosten voor beheer en onderhoud enerzijds en uitgaven voor nieuwe en lopende ICT-projecten anderzijds?

Kunt u hierin ook informatie opnemen over de status (kwaliteit, fase in levenscyclus, risico’s) van de ICT-systemen, zodat de Kamer deze kan betrekken bij te maken keuzes, bijvoorbeeld in de afweging tussen uitgaven voor beheer/onderhoud en nieuwe ICT-projecten?

Antwoord:

De focus lag de afgelopen jaren op het verbeteren van verantwoordingsinformatie over ICT-kosten. Het is de ambitie om deze verbeteringen ook door te voeren in begrotingsinformatie, maar daar is zoals aangegeven in het antwoord op vraag 9 aanpassing nodig van onder andere de financiële systemen. Dit jaar is wel het Kwaliteitskader Meerjarige Departementale IV-plannen vastgesteld. Het streven is om vanaf 2022 deze IV-plannen samen met de begroting aan te bieden. Deze IV-plannen geven in ieder geval meer inzicht en daarmee wordt een concrete stap gezet in de procesmatige koppeling tussen begroting en verantwoording.

11

Hoe wilt u rijksbreed de kosten van ICT-projecten beter beheersen nu uit de Jaarrapportage Bedrijfsvoering Rijk blijkt dat er in de afgelopen jaren geen structurele verbetering is te zien in de kostenramingen en de gemiddelde overschrijding 21% bedraagt (33% wanneer het omvangrijke project European Rail Traffic Management System (ERTMS) buiten beschouwing wordt gelaten)?

Antwoord:

Het bijstellen van ramingen kent verschillende oorzaken. De bijgestelde ramingen worden toegelicht op het Rijks ICT-dashboard en bij grote mutaties in de Jaarrapportage Bedrijfsvoering Rijk. Het kabinet heeft de afgelopen jaren gewerkt aan betere beheersing van ICT-projecten. Een belangrijk onderdeel daarvan is de stapsgewijze ontwikkeling van projecten inclusief tussentijdse toetsing. Dit betekent dat gewerkt wordt in kleine stapjes, met zichtbare tussenresultaten, zodat op basis van de resultaten tijdig kan worden bijgestuurd. Daarnaast is de positie van de departementale CIO-functie versterkt met het Besluit CIO-stelsel Rijksdienst. Daarmee zorgen we voor meer grip op ICT-projecten. Deze ontwikkelingen kosten tijd en leiden niet direct tot andere kostenramingen op het Rijks ICT-dashboard, maar wel tot meer transparantie en beheersing.

12

Wat is uw reactie op de constatering dat volgens het Rijks ICT-dashboard de kostenoverschrijding van ICT-projecten van BZK hoger is (51%) dan gemiddeld voor het rijk als geheel (21% en 33% exclusief het project ERTMS)? Welke mogelijkheden tot verbetering ziet u?

Antwoord:

In 2016 zijn de geschatte initiële projectkosten van het project BRO verkeerd geregistreerd. Dit is later gecorrigeerd, maar deze correctie wordt meegeteld in het percentage kostenoverschrijdingen. Zonder deze registratiefout geldt voor de grote ICT-projecten van BZK een gemiddeld verschil van 32% tussen de actuele en initiële raming.

In de Jaarrapportage Bedrijfsvoering Rijk 2017 (Bijlage bij Kamerstuk 31 490, nr. 239) zijn de juiste gegevens aan de Kamer geleverd en zijn de cijfers correct opgeteld.

De mogelijkheden voor verbetering van projectbeheersing worden beantwoord bij vraag 11.

13

Is de conclusie van de Algemene Rekenkamer juist, dat u vaker gebruik zou moeten maken van uw wettelijke doorzettingsmacht om grip te krijgen op de rijksbrede ICT-systemen en dat onderlinge afstemming tussen overheidsorganisaties hiervoor niet voldoende is? Zo ja, kunt u dit toelichten?

Antwoord:

De verantwoordelijk bewindspersoon van BZK, in casu de Staatssecretaris, heeft voor de rijksbrede bedrijfsvoering een coördinerende, aanjagende en borgende rol wat betreft beleid- en kaderstelling. Daarbij wordt altijd eerst gezocht naar breed draagvlak binnen de rijksoverheid om zodoende samen tot resultaten te komen. Waar het inzetten van de doorzettingsmacht van BZK nodig is, wordt daar gebruik van gemaakt. Deze coördinerende bevoegdheid is anders dan de rol en verantwoordelijkheid van het Ministerie van Financiën, conform de Comptabiliteitswet, waar de Algemene Rekenkamer aan refereert.

In de brief van de Staatssecretaris van BZK aan de Tweede Kamer van 20 december 2019 «Beleidsreactie onderzoek besluit toekomst BIT (Kamerstuk 26 643, nr. 656) is aangegeven dat het ICT domein vraagt om gezamenlijke aanpak. Een goed voorbeeld daarvan is de I-Strategie Rijk die in samenwerking met alle CIO’s van de Rijksdienst tot stand is gekomen.

14

Is de constatering van de Algemene Rekenkamer juist, dat er nog veel onvolkomenheden zijn in de informatiebeveiliging bij de ministeries? Zo ja, kunt u dit toelichten?

Antwoord:

Het kabinet deelt het beeld van de AR dat de informatiebeveiliging veel vergt en blijvende aandacht nodig heeft. Informatiebeveiliging is nooit «af», want de technologie blijft zich ontwikkelen en dreigingen en afhankelijkheden blijven toenemen. Om het bestaande niveau van informatiebeveiliging te handhaven en waar nodig te versterken is dus blijvende aandacht en capaciteit nodig. De organisaties waarbij de informatiebeveiliging vorig jaar als onvolkomenheid is aangemerkt, hebben in 2020 bijna allemaal ontwikkeling getoond in het oplossen van de onvolkomenheid.

15

Bent u bereid om in de begroting het inzicht te verbeteren in de doorvertaling van doelen, activiteiten en bijbehorende middelen, zodat de Kamer beter betrokken wordt bij de te maken keuzes? Op welke wijze zou de maatschappelijke meerwaarde van uitgaven aan ICT beter zichtbaar gemaakt kunnen worden in de begroting?

Antwoord:

De Rijksbegroting valt onder verantwoordelijkheid van de Minister van Financiën die jaarlijks de rijksbegrotingsvoorschriften bijstelt om de informatie en detailniveau van de begroting aan te laten sluiten bij de wensen van de Kamer.

Het Ministerie van BZK werkt naast beter inzicht in de kosten van ICT aan beter inzicht in de maatschappelijke opbrengsten van de inzet van ICT. Op het Rijks ICT-dashboard zijn bijvoorbeeld de maatschappelijke baten van ICT-projecten te zien. In het antwoord bij vraag 9 en 10 is aangegeven welke verdere verbeteracties met betrekking tot inzicht in ICT-kosten en de koppeling met de begroting worden opgepakt.

16

Kunt u de inkomsten van Kamer van Koophandel (KvK) uitsplitsen naar herkomst? Welk deel van de KvK begroting komt voort uit datahandel?

Antwoord:

Op bladzijde 43 van het jaarverslag 2020 van KVK (https://www.kvk.nl/download/KVK_Jaarverslag_2020_tcm109-497534.pdf) staat een uitsplitsing van de inkomsten:

De post bij HR-informatieproducten betreft de zgn. «datahandel».

De opbrengstenkant wordt gecompleteerd met een rijksbijdrage om zo de totale begroting van € 220 mln. te vullen:

Van de rijksbijdrage heeft ongeveer de helft betrekking op het handelsregister («registratietaak»). Van die taak worden de kosten dus ongeveer 50/50 gedekt uit rijksbijdrage en opbrengsten van informatieproducten.

17

Wat is de laatste stand van zaken van het onderzoek naar een rijksbreed algoritmeregister?

Antwoord:

Diverse overheden doen ervaring op met het algoritmeregister en deze zijn overwegend positief. Er leven nog wel veel vragen wat nu de beste vorm is, wat er precies in moet komen te staan en hoe het register het beste kan aansluiten bij de behoeften van burgers en toezichthouders. Tijdens de begrotingsbehandeling van BZK op 28 oktober jl. (Handelingen II 2021/22, nr. 15, item 11) heeft de Staatssecretaris van BZK toegezegd om in januari 2022 namens het kabinet een brief naar de Kamer te sturen met daarin zijn visie hoe het register vorm te geven.

18

Kunnen de uitgaven aan cybersecurity uitgesplitst worden per departement?

Antwoord:

Zoals aangegeven in de kabinetsreactie op de notitie «ICT investeringen door de overheid» is een totaaloverzicht van de uitgaven van het kabinet aan cybersecurity niet te geven. Het huidige kabinet heeft er voor gekozen om structureel extra te investeren in cybersecurity, maar daarnaast doen departementen ook buiten deze investering uitgaven die (ook) kunnen bijdragen aan cybersecurity. Een uitsplitsing van de extra investering oplopend tot 95 miljoen euro structureel per departement is te vinden in het budgettair overzicht als bijlage bij het regeerakkoord «Vertrouwen in de toekomst».

19

Wat zijn de rijksbrede uitgaven aan ICT onderhoud uitgesplitst per departement? Kan hierbij vermeld worden welke percentage dit bevat van de totale ICT-kosten?

Antwoord:

Er is op dit moment geen volledig inzicht beschikbaar van de rijksbrede uitgaven aan ICT onderhoud. Zoals aangegeven in het antwoord bij vraag 9 worden vanaf 2022 ook de uitgaven aan ICT-onderhoud op het Rijks ICT-dashboard gepubliceerd.

20

Wanneer wordt beheer en onderhoud toegevoegd aan het Rijks ICT-dashboard?

Antwoord:

Zie het antwoord op vraag 9.