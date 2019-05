En opnieuw velde de Algemene Rekenkamer een keihard oordeel over de staat van de Rijks-ICT. Sterker nog, op een groot aantal vlakken is de ICT bij de Rijksoverheid verslechterd ten opzichte van hetzelfde onderzoek uit 2017, zo meldt de Rekenkamer in haar rapport Staat van Rijksverantwoording 2018, en specifieker in het dieper gaande deelrapport Resultaten verantwoordingsonderzoek 2018-Ministerie van BZK.

De tekortkomingen binnen de overheid wat betreft ICT zijn legio. Velen van u denken daarbij aan het haast stelselmatig mislukken of vertragen van grote ICT-projecten bij de ministeries en -vooral- de uitvoeringsorganisaties die onder die ministeries vallen. Dat is logisch, gezien de publiciteit die dergelijke faalprojecten weten te scoren. Ook de Tweede Kamer houdt zich vooral daarmee bezig, als het gaat om 's Rijks ICT. Maar zo hebben zowel media als politiek onbewust een eigen blinde vlek ontwikkeld, die door de Rekenkamer (opnieuw) keihard is blootgelegd.

Nieuwe of vernieuwende ICT-projecten leggen 'slechts' beslag op 25 procent van het totale ICT-budget, rekent de Rekenkamer ons voor. Dus 75 procent van het budget is bedoeld voor de operationele ICT. Het functioneren van die operationele ICT gaat volkomen aan de Tweede Kamer voorbij, en uit het rapport van de Rekenkamer heeft ook de verantwoordelijke minister van Binnenlandse Zaken er geen goed zicht op, ondanks directe rapportage van de Rijks-CIO en de CIO's op de verschillende departementen. En op het functioneren van die operationele ICT is genoeg aan te merken.

Bevoegdheden

Ik sprak vorig jaar met Jan Gudde, op dat moment CIO op Binnenlandse Zaken en als zodanig in het epicentrum van het toezicht op 's Rijks ICT. Hoewel dat interview ging over de strategische inzet van cloud computing door de overheid, kwamen we in ons inleidende gesprek tevens op de (politieke) aansturing van ICT binnen de Rijksdiensten en dan vooral het mogelijke ideaalplaatje. Gudde pleitte voor een 'minister van ICT' en na het lezen van het rapport van de Rekenkamer snap ik nog beter waarom.

Laat ik eerst de woorden van Jan Gudde nog eens de revue passeren: "Net zoals de minister van Financiën de kaders stelt voor de vakministers zou een minister van IT dat ook kunnen doen. We hebben wel een Rijks-CIO, maar die heeft natuurlijk niet de bevoegdheden van een bewindspersoon. Het aanstellen van een Rijks-CIO was wel een enorme verbetering, maar er zou in politieke zin nog wat erboven moeten zijn."

Belangrijk is de vergelijking die Gudde hier maakt met de minister van Financiën. Hij staat daar namelijk niet alleen in, ook de Rekenkamer maakt die vergelijking al enige tijd, tot nu toe zonder dat de minister van Binnenlandse Zaken daarin meegaat, al lijkt er enige beweging te ontstaan op het ministerie. Maar om precies te begrijpen welke impact die vergelijking heeft, zullen we daar eerst dieper op ingaan.

De minister van Financiën is verantwoordelijk voor alle inkomsten en uitgaven van de Rijksoverheid en ziet erop toe dat het geld van de overheid doelmatig wordt besteed. In die zin leggen andere ministeries verantwoording af aan de minister van Financiën. De minister van Financiën kent daarin drie belangrijke bevoegdheden: bezwaar, instemming/goedkeuring en aanwijzing. De Rekenkamer geeft als voorbeeld voor Binnenlandse Zaken de (in haar ogen) fnuikende staat van informatiebeveiliging binnen het Rijk in het volgende citaat uit het rapport:

"Dit type bevoegdheden kan de minister van BZK meer mandaat geven om haar coördinerende rol op informatiebeveiliging goed uit te oefenen. De bevoegdheid van bezwaar zou betekenen dat de minister van BZK de informatiebeveiliging van een ministerie kan agenderen of zelfs kan escaleren naar de ministerraad. Met de bevoegdheid voor instemming zou de minister toestemming geven voordat een andere minister mag handelen. De bevoegdheid om een aanwijzing te geven, betekent dat een andere minister moet handelen volgens aanwijzing van de minister van BZK." Om er verder aan toe te voegen: "Wij verwachten dat de minister de grenzen opzoekt van haar huidige bevoegdheden", zolang die extra bevoegdheden er nog niet zijn.

Commandostructuur

Dat het de minister ontbreekt aan verdergaande bevoegdheden schemert ook door in de manier waarop de commandostructuur functioneert. De verschillende CIO's van de losse departementen delen slechts minimaal informatie over ICT-beheer. Dat komt mede doordat in de afgelopen jaren veel beheeractiviteiten zijn losgemaakt van de ministeries en ondergebracht in aparte beheerorganisaties, zoals het shared servicecentrum ICT, oftewel SSC-ICT, waarvan zo'n acht ministeries gebruik maken "In 2017 constateerden we dat de ministers nauwelijks eisen stelden aan de beheeractiviteiten die zij aan deze organisaties hadden uitbesteed en dat zij onvoldoende op de hoogte waren in hoeverre de uitbestede beheerprocessen in control waren. Dat is in 2018 niet veranderd", concludeert de Rekenkamer.

Een probleem bij de sturing door de ministeries is dat zij niet beschikken over eenduidige normen om de werking van de IT-beheerprocessen te toetsen. Er is geen algemeen kader

binnen de rijksoverheid, dat voorschrijft waar het IT-beheer aan moet voldoen of eisen stelt aan de verantwoording door de beheerorganisaties, zegt de Rekenkamer. Daarnaast ontbreekt het aan expertise. "Met de uitbesteding zijn namelijk ook veel ICT-deskundigen en budgetten van de ministeries naar de sharedserviceorganisaties overgegaan."

Logisch dat de Rekenkamer het belangrijk vindt dat de minister van BZK het initiatief neemt om binnen de rijksoverheid bindende afspraken te maken over het beheer en de te treffen beheersmaatregelen. Daarnaast moet wat SSC-ICT betreft een keuze gemaakt worden, nu het functioneren ervan hapert. Óf de huidige beheerstructuur is niet afdoende en moet worden heroverwogen, óf de betrokkenheid van de deelnemende ministeries moet worden vergroot - plus dat er extra financiën bij moet.

Dat de commandostructuur en het afleggen van verantwoording nog wel wat scherper mag, blijkt ook uit onderstaand voorbeeld. Zo moeten de departementale CIO's op gezette tijden enkele zogeheten 'In Control Verklaringen' inleveren bij de CIO Rijk. Niet altijd gebeurt dat op tijd, maar de nasleep ervan geeft ook te denken. De CIO Rijk geeft naar aanleiding van de In Control Verklaringen een vrijblijvend advies aan de CISO's en CIO's op de departementen. Dit advies hoeven ministeries niet op te volgen, zo blijkt. De Rekenkamer vindt dat "de ministers van de andere ministeries zouden ervoor kunnen kiezen om, ook al is het een vrijblijvend advies van CIO Rijk, dit advies op te volgen zonder dat het een extra bevoegdheid van de minister van BZK vraagt."

Vraagtekens

Het zijn dit soort pijnlijke constateringen die - naast nog een flinke stapel andere onvolkomenheden in beheer en informatiebeveiliging - vraagtekens zetten bij het functioneren van Binnenlandse Zaken als aansturing van 's Rijks ICT. De verschillende ministeries hebben nog te veel autonomie, de onderlinge samenhang ontbreekt en de CIO Rijk lijkt een stevige sparringpartner te missen.

Een minister van ICT zou die sparringpartner kunnen zijn. Maar dan wel met de bevoegdheden om niet alleen leidend te zijn in 's Rijks ICT, maar tevens af te kunnen dwingen dat alle departementen en uitvoeringsorganisaties in hetzelfde gareel blijven lopen. Een minister van ICT dus met de 'macht' van een minister van Financiën.