Kamerbrief over ICT bij het CBR

09-05-2019

Minister Van Nieuwenhuizen informeert de Tweede Kamer over enkele onderwerpen die te maken hebben met ICT bij het CBR (Centraal Bureau Rijvaardigheidsbewijzen).

In het VAO over het CBR op 17 april 2019 heb ik u toegezegd dat ik voor 8 mei een brief zou sturen over de ICT bij het CBR ter voorbereiding op een debat. In deze brief ga ik in op de volgende aspecten rond dit onderwerp:

  1. De kostenstijgingen van het programma Rijgeschiktheid aan het Stuur, inclusief de vraag van het lid Van Brenk (50plus) over de informatie op het ICT-dashboard;
  2. De veiligheid van klantgegevens en de privacy in relatie tot de vraag van het lid Groothuizen (D66) over de verouderde ICT bij het CBR (1);
  3. De feiten rond het vertrek van een voormalige ICT-manager;
  4. De vraag van het lid Laçin (SP) tijdens het VAO van 17 april 2019 over een Wob-verzoek.

1. Programma Rijgeschiktheid aan het Stuur

Het ICT-project van het CBR waarover in de Zembla uitzending van 18 april 2019 werd bericht, is het programma Rijgeschiktheid aan het Stuur (hierna: RGahS). U bent de afgelopen jaren via de zbo-bijlage van het IenW-jaarverslag op hoofdlijnen geïnformeerd over dit programma, omdat het een belangrijk programma is binnen het CBR voor de verbetering van de dienstverlening aan de klanten van het CBR. Het eerste moment waarop richting uw Kamer bedragen zijn genoemd voor het programma RGahS is de publicatie op het Rijks ICT-dashboard van april 2017, waarin de stand per ultimo 2016 is opgenomen (2). Daarbij is tevens informatie opgenomen over de diverse kwaliteitstoetsen die door externe partijen op het programma zijn uitgevoerd.

Vermelding RGahs op het Rijks ICT-dashboard

Het Rijks ICT-dashboard is ingesteld als één van de beheersingsmaatregelen om meer zicht en sturing te krijgen op ICT-projecten bij de overheid. Zbo’s vallen daaronder en dienen hun projecten te melden aan de verantwoordelijke minister. De regels rond de publicatie van projecten op het Rijks ICT-dashboard gelden voor het CBR sinds het in 2013 een publiekrechtelijk zbo is geworden. Tot en met november 2015 heeft het CBR aan het ministerie aangegeven dat zij volgens hun interpretatie géén projecten hadden die voldeden aan de rapportage-eisen voor het Rijks ICT-dashboard, omdat de ICT-component van het programma RGahS kleiner was dan € 5 miljoen. In de bijlage bij deze brief is een toelichting opgenomen over de regels rond het melden van grote ICT-projecten op het Rijks ICT-dashboard.

In de brief van november 2015 heeft het CBR aan het ministerie aangegeven dat er één project onderhanden was met een ICT-component van ruim € 4 miljoen. Hiervoor is op 13 november 2015 een offerte-aanvraag verzonden naar beoogde uitvoerende partijen. Het CBR gaf aan dat de biedingen op de offerte-aanvraag invloed konden hebben op de omvang van het project. Eind januari 2016 waren de offertes beschikbaar. Na de keuze die daarop volgde en de gesprekken tussen de gekozen uitvoerende partij en de eigen IT-afdeling van het CBR is door het CBR een aangepaste business case gemaakt. Op basis van mondelinge signalen over de aanpassing van de business case is begin mei 2016 door het ministerie aan het CBR de vraag gesteld of de ICT-component van het programma RGahS de grens van € 5 miljoen zou gaan overschrijden. Daarop is door het CBR en het ministerie alsnog vastgesteld dat de raming van de ICT-component van het programma Rijgeschiktheid aan het Stuur hoger was dan € 5 miljoen en is de procedure opgestart om het programma op te nemen op het Rijks ICT-dashboard. Het programma is gepubliceerd in april 2017 bij de jaarlijkse actualisatie van het Rijks ICT-dashboard. De Kamer is vanaf dat moment jaarlijks geïnformeerd over het kostenverloop van het programma.

Gezien het bovenstaande is mijn conclusie dat de publicatie van RGahS op het Rijks ICT-dashboard één jaar eerder had kunnen plaatsvinden, in het voorjaar van 2016 in plaats van het voorjaar 2017, als eerder in 2016 de conclusie was getrokken dat de raming van de ICT-kosten van het project over de € 5 miljoen grens was gegaan. Bij de publicatie van RGahS op het Rijks ICT-dashboard is ervoor gekozen om informatie te publiceren vanaf de bijgestelde business case van februari 2017, omdat de ramingen daarvoor sterk fluctueerden.

Overzicht kostenstijging RGahS in de afgelopen jaren

In de Zembla-uitzending is gemeld dat de uiteindelijke kosten van het programma RGahS uitkomen op € 50 miljoen. Ik geef u hieronder de ontwikkeling van de kostenramingen van het project, eindigend met het meest actuele inzicht.

In de initiële raming van het CBR van juli 2014 werden de totale programmakosten voor het programma Rijgeschiktheid aan het Stuur geraamd op € 7 miljoen. De ICT-component daarbinnen was kleiner dan € 5 miljoen, waardoor het project niet voldeed aan de rapportage-eisen voor vermelding op het Rijks ICT-dashboard. Op basis van de nadere detaillering van de processen, de inschatting van de benodigde tijd voor de bouw van het systeem op basis van de uitgevoerde functiepuntenanalyse en de uitkomsten van de aanbesteding is de kostenprognose bijgesteld. In juni 2016 bedroeg de totale programmakostenprognose van het CBR € 13,2 miljoen. Bij de start van de bouwfase bleek na korte tijd (ongeveer een kwartaal) dat de bouw van het systeem langer zou gaan duren en daardoor significant meer zou gaan kosten dan gedacht. Als gevolg daarvan heeft het CBR de raming bijgesteld. Doordat sprake is van een ontwikkelcontract (een zgn. time and material contract) in plaats van een contract met een vaste aanneemsom (een zgn. fixed price contract) ligt het risico voor kostenoverschrijdingen bij de opdrachtgever (het CBR). Bij de eerste melding op het Rijks ICT-dashboard in april 2017 was de totale programmakostenprognose van het CBR € 23,7 miljoen. De huidige programmakostenprognose van het CBR tot de afronding van het project eind 2019 bedraagt € 34,2 miljoen (excl. reorganisatievoorziening ad € 4,6 miljoen). Dit is de laatste prognose van het CBR die ik eind maart 2019 heb gepubliceerd op het Rijks ICT-dashboard bij de jaarlijkse actualisatie.

De kostenstijging tussen de start van het programma in 2014 en de huidige prognose is veroorzaakt doordat er pas gaandeweg volledig inzicht kwam in de reikwijdte van het programma. Ook zijn gaandeweg de inzichten gewijzigd over de te hanteren projectaanpak en ontwikkelmethodiek en heeft zich een aantal tegenvallers voorgedaan tijdens de bouw van het systeem, zoals de inschatting van de benodigde tijd om de gevraagde systeemfunctionaliteit op te leveren. Ik concludeer dat bij het programma RGahS vooraf onvoldoende duidelijk was wat er precies nodig was, welke aanpak tot het beste resultaat zou leiden en hoeveel dit zou gaan kosten. Om helder te krijgen wat hier is gebeurd en hiervan te leren, heb ik het CBR gevraagd om na de volledige oplevering van het systeem het programma RGahS voor de zomer van 2020 onafhankelijk te laten evalueren.

Eerste resultaten van het systeem

Het programma RGahS is in gebruik. In april 2019 nam het CBR 75% van de besluiten met het nieuwe systeem. Het CBR heeft mij gemeld dat er de komende maanden een stapsgewijze verdere uitrol van het systeem zal plaatsvinden. Het CBR verwacht dat rond de zomer 100% van de nieuwe aanvragen ‘Medisch’ wordt behandeld in het nieuwe systeem, gevolgd door het operationaliseren van het proces ‘Mededelingen’ (het afhandelen van mededelingen van politie en justitie) in het najaar van 2019. Op dat moment zal deze noodzakelijke investering voor de verbetering van het klantproces, het verkorten van de doorlooptijden en de ontwikkeling van de Divisie Rijgeschiktheid om kostendekkend te gaan werken, volledig operationeel zijn.

2. Veiligheid klantgegevens / privacy

In het AO CBR van 12 maart 2019 heb ik u gemeld dat het CBR nog niet voldoet aan de AVG (Algemene Verordening Gegevensbescherming) en dat ik het CBR heb gevraagd om met een plan van aanpak te komen. Het CBR heeft dit opgesteld en toegezegd dat de uitvoering dit jaar zal zijn afgerond. Daarmee voldoet het CBR eind 2019 aan de AVG.

In de Zembla-uitzending werd aandacht besteed aan het feit dat door het CBR nog gebruik gemaakt wordt van verouderde ICT-systemen voor de opslag van medische gegevens (Windows XP en Oracle 9). Het lid Groothuizen (D66) heeft hierover een vraag gesteld. Het CBR heeft mij toegelicht dat de verouderde ICTsystemen voor het rijgeschiktheidsproces en voor de opvolging van mededelingen van politie en justitie deels nog werken met het besturingssysteem Windows XP. Zij maken daarbij gebruik van een Oracle database versie 9. Het CBR heeft mij gemeld dat dit op beperkte schaal en in een veilige afgesloten omgeving gebeurt, tot het moment dat het nieuwe systeem volledig operationeel is. Om beveiligingsrisico’s van buitenaf zo veel mogelijk uit te sluiten treft het CBR technische beveiligingsmaatregelen. Het CBR heeft het vertrouwen dat deze maatregelen afdoende zijn om de vertrouwelijkheid van de gegevens van burgers te waarborgen, totdat de verouderde systemen eind van dit jaar zijn uitgefaseerd.

Ik vind het zeer belangrijk dat de relevante technische maatregelen zijn getroffen om de risico’s op het lekken van medische en andere klantgegevens tot een absoluut minimum te beperken. Daarom heb ik, naar aanleiding van de Zembla uitzending, het CBR gevraagd om een externe partij een second opinion te laten geven op de bovengenoemde technische beveiligingsmaatregelen om ongewenste toegang van buitenaf te voorkomen.

3. Voormalig ICT-manager in Zembla-uitzending

Bij het CBR is navraag gedaan naar de omstandigheden rond het vertrek van de voormalige ICT-manager die in de Zembla-uitzending aan het woord kwam. In de uitzending werd de voormalig ICT-manager gepresenteerd als klokkenluider en werd gemeld dat hij vanwege vermeende malversaties moest vertrekken bij het CBR. Het betrof een extern ingehuurde medewerker, voor wie ook de klokkenluidersregeling geldt. Het CBR heeft geen melding van betrokkene gekregen in het kader van de klokkenluidersregeling. Zoals gebruikelijk als het gaat om een casus van een individu, ga ik hier om privacy redenen verder niet op in. In algemene zin vind ik het belangrijk dat er ruimte is voor medewerkers om misstanden te kunnen melden. Daarom heb ik bij het CBR het belang benadrukt van een goede klokkenluidersregeling.

4. Stand van zaken Wob-verzoek CBR

Door het lid Laçin (SP) is gevraagd naar de stand van zaken van een Wobverzoek. Ik ga er vanuit dat het hier gaat om het Wob-verzoek dat RTL op 7 mei 2014 heeft gedaan aan het CBR om informatie uit documenten over uitgevoerde interne audits. Het CBR heeft mij gemeld dat, na diverse juridische procedures, de Afdeling bestuursrechtspraak van de Raad van State op 18 januari 2018 het hoger beroep van RTL gegrond heeft verklaard en het CBR heeft opgedragen om, met inachtneming van de uitspraak, een nieuwe beslissing op bezwaar te nemen. Het CBR heeft hieraan gevolg gegeven en heeft bij brief van 28 februari 2018 een nieuwe beslissing op bezwaar aan RTL verzonden. Naar aanleiding van de uitspraak van de Raad van State heeft het CBR een aantal passages uit de documenten over uitgevoerde interne audits openbaar gemaakt. RTL heeft tegen deze laatste beslissing geen beroep ingesteld waarmee de Wobprocedure is beëindigd.

Bijlage

Regels rond het melden van grote ICT-projecten Grote ICT-projecten bij de overheid dienen te worden gemeld op het Rijks ICTdashboard. Het Rijks ICT-dashboard bestaat sinds 2011. Het is ingesteld als één van de beheersingsmaatregelen om meer zicht en stuur te krijgen op ICTprojecten bij de overheid. Deze verplichting geldt ook voor zbo’s. Zij melden hun projecten aan de verantwoordelijke minister.

In de periode waarin het Programma Rijgeschiktheid aan het Stuur bij het CBR van start ging (2014/2015) waren de rapportage-eisen voor het Rijks ICTdashboard in beweging. Zo golden tot en met 2014 de volgende rapportage-eisen voor publicatie op het Rijks ICT-dashboard:

  • Projecten met een I-component (meerjarige ontwikkelkosten) van meer dan € 20 miljoen;
  • Projecten met een I-component (meerjarige ontwikkelkosten) van meer dan € 5 miljoen met een hoog risicoprofiel.

Medio 2015 werden deze rapportage-eisen aangescherpt naar aanleiding van het rapport ‘Grip op ICT’ opgesteld door de commissie-Elias. Vanaf dat moment dienen ministeries en zbo’s alle projecten met een meerjarige ICT-component vanaf € 5 miljoen op te nemen op het Rijks ICT-dashboard.

Bij de publicatie op het Rijks ICT-dashboard dienen alle projectkosten te worden opgenomen, dus naast de ICT-kosten ook aanverwante kosten, zoals interne personeelskosten die zijn gerelateerd aan het betreffende project of programma.

(1) De vraag van het lid Groothuizen (D66) is gesteld in het ordedebat op 17 april 2019.
(2) Zie: www.rijksictdashboard.nl/projecten/404973/kosten.

bron: Rijksoverheid

Van onze partners

Checklist Privacy AVG

→ Lees meer

Nieuwsbrief

Blijf op de hoogte van het laatste nieuws over privacy, cybersecurity en data. Abonneer op onze gratis nieuwsbrief.

Abonneer