De Algemene Rekenkamer besteedt in de aandachtspunten bij de begroting van het ministerie van Binnenlandse Zaken, die op 4 oktober jl. bekend zijn gemaakt, uitgebreid aandacht aan informatiebeveiliging bij de rijksoverheid (een verantwoordelijkheid van BZK) en de digitale overheid.
Ernstige onvolkomenheden cybersecurity rijksoverheid
De Rekenkamer roept de kritiek in het Verantwoordingsonderzoek 2016 in herinnering, waarin een hoog aantal onvolkomenheden in de informatiebeveiliging werden geconstateerd. Uit het Verantwoordingsonderzoek 2017 bleek dat de rijksoverheid een en ander nog steeds niet op orde had. De Rekenkamer deelt mee zeer teleurgesteld te zijn:
Daar waar we over 2017 hadden verwacht vooruitgang aan te treffen zagen we stilstand ten aanzien van de informatiebeveiliging. Dit is zorgelijk omdat het belang van informatiebeveiliging toeneemt door voortgaande digitalisering van de overheid enerzijds en de bijbehorende dreigingen anderzijds.
De Rekenkamer verwacht van het ministerie tekst en uitleg over de aanpak.
Digitale overheid
Het ministerie van BZK is verantwoordelijk voor de digitale overheid. De Rekenkamer vraagt het ministerie om speciale aandacht te besteden aan
- de basisregistraties, die burgers in staat moeten stellen hun eigen gegevens makkelijk in te zien, controleren en ook corrigeren (daar schreef ik al over) en aan
- een digitale communicatie met de burgers met focus op het gebruikersperspectief.
We gaan zien of het ministerie hier gehoor aan geeft.
—
Complete tekst Algemene Rekenkamer
2. Informatiebeveiliging en ICT (VII, 2.1, beleidsartikel 2, beleidsartikel 6.2)
Informatiebeveiliging
In de ontwerpbegroting 2019 schaart de minister van BZK de onvolkomenheden op het gebied van informatiebeveiliging die de laatste jaren door de Algemene Rekenkamer rijksbreed zijn aangewezen onder haar beleidsprioriteiten. In de ontwerpbegroting kondigt de minister aan dit najaar met een brief te komen voor een nadere uitwerking van het versterken van de centrale rol voor het Ministerie van BZK en voor de Chief Information Officer Rijk. In afwachting van deze brief wijzen wij u nog op enkele zaken.
In ons Verantwoordingsonderzoek 2016 was de situatie die we aantroffen voor wat betreft de sturing op informatiebeveiliging niet goed. Het hoge aantal onvolkomenheden dat daar het gevolg van was leidde ertoe dat Uw Kamer een motie aannam die de regering verzoekt “zich maximaal in te spannen om voor eind 2017 de onvolkomenheden op het gebied van informatiebeveiliging weg te werken”.[6] In ons Verantwoordingsonderzoek 2017 constateerden we wederom dat een groot aantal ministeries hun informatiebeveiliging (nog) niet voldoende op orde heeft.[7] 10 van de 14 onderzochte ministeries (en de Staten Generaal) en onderdelen van ministeries ontvingen een onvolkomenheid. Bij de Rijksdienst Caribisch Nederland was de situatie van dien aard dat we dat aanmerkten als een ernstige onvolkomenheid.[8]
Daar waar we over 2017 hadden verwacht vooruitgang aan te treffen zagen we stilstand ten aanzien van de informatiebeveiliging. Dit is zorgelijk omdat het belang van informatiebeveiliging toeneemt door voortgaande digitalisering van de overheid enerzijds en de bijbehorende dreigingen anderzijds. Stilstand is dan achteruitgang. Hoewel informatiebeveiliging de verantwoordelijkheid is van vakministers, heeft de minister van BZK een kaderstellende taak op het gebied van de informatiebeveiliging bij het Rijk. In ons Verantwoordingsonderzoek 2017 hebben we de minister aanbevolen haar rol nader te bezien. Het belang van informatiebeveiliging rechtvaardigt meer specifieke bevoegdheden voor de minister van BZK, analoog aan de rol die de minister van Financiën op het gebied van financiën heeft. Eerder gaf de minister in een brief aan Uw Kamer al aan de ruimte daarvoor ook te zien.[9] Concreet bevalen we de minister in het Verantwoordingsonderzoek 2017 aan om meer instrumenten ter hand te nemen om risico’s bij informatiebeveiliging in te dammen; een duidelijke plancyclus, het inrichten van minimum beheersmaatregelen en het voorafgaand plannen en regelen van toetsing en toezicht. Wij verwachten dat de minister van BZK in de toegezegde brief in zal gaan op onze aanbevelingen.
ICT/digitale overheid
In de ontwerpbegroting 2019 schaart de minister net als informatiebeveiliging ook de ontwikkeling van de digitale overheid onder haar beleidsprioriteiten. Zoals vermeld in het Verantwoordingsonderzoek 2017 (en ook in het advies van de Raad van State op de wet Digitale overheid) is bij de ontwikkeling van die digitale overheid verdere standaardisatie en harmonisatie van groot belang.[10] [11] De recente bundeling van de verantwoordelijkheid bij de minister van BZK voor de digitale overheid voor burgers en bedrijven is daarbij een stap vooruit. met basisregistraties, persoonsgegevens, open data en big data. In dat verband wijzen wij op ons lopende onderzoek naar de basisregistraties.
Verder verwijzen wij ook naar het Verantwoordingsonderzoek 2017 voor wat betreft het thema digitale communicatie met burgers.[12] Wij concludeerden dat deze communicatie beter kan en beter moet. Doorontwikkeling van de Berichtenbox voor burgers -door o.a. standaardisatie van het gebruik door overheidsdienstaanbieders en focus op het gebruikersperspectief- is daarvoor nodig.
In de ontwerpbegroting staat daarnaast dat er een Nationale Data Agenda komt waarin staat wat de overheid in haar geheel gaat doen om (nog) beter om te gaan
[Noten]
6 Motie Aukje de Vries c.s. over het voor eind 2017 wegwerken van onvolkomenheden op het gebied van informatiebeveiliging – Financieel jaarverslag van het Rijk 2016, 34 725, nr. 5.
7 Algemene Rekenkamer (2018), Rapport resultaten Verantwoordingsonderzoek 2017 bij het Ministerie van Wonen & Rijksdienst (XVIII), 34 950 XVIII, nr. 2, p28.
8 In de brief van de Algemene Rekenkamer (2018) aandachtspunten bij de ontwerpbegrotingen 2019 Koninkrijksrelaties (IV) en BES-fonds (H) wordt hier uitgebreider op ingegaan.
9 Vergelijking bevoegdheden en verantwoordelijkheden van de minister van BZK rond het thema ICT en die van de minister van Financiën rond de rijksfinanciën. Tweede Kamer, vergaderjaar 2016-2017, 26 643 nr. 485.
10 Algemene Rekenkamer (2018), Rapport resultaten Verantwoordingsonderzoek 2017 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (VII), 34 950 VII, nr. 2, p30.
11 Raad van State (2018), Algemene regels inzake het elektronisch verkeer in het publieke domein en inzake de generieke digitale infrastructuur (Wet digitale overheid), advies afdeling advisering Raad van State en nader rapport, Advies W04.17.0400/I, 34 972, nr. 4.
12 Algemene Rekenkamer (2018), Rapport resultaten Verantwoordingsonderzoek 2017 bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (XII), 34 950 VII, nr. 2, p5.
Aanvulling 17 oktober 2018
BZK gaat zijn leven beteren, zo blijkt uit een bericht van de Algemene Rekenkamer van 16 oktober: Minister BZK verscherpt sturing op informatiebeveiliging na rapport Rekenkamer.
Minister BZK verscherpt sturing op informatiebeveiliging na rapport Rekenkamer
Nieuwsbericht | 16-10-2018 | 13:37De minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) gaat scherper sturen op informatiebeveiliging. Zij schrijft dat aan de Tweede Kamer.
In de brief Sturing informatiebeveiliging en ICT binnen de Rijksdienst van 11 oktober 2018 citeert zij de president van de Algemene Rekenkamer. Die zei op Verantwoordingsdag 2018 dat hij zou verwachten dat informatiebeveiliging in tijden van digitale criminaliteit, digitale spionage en cyberoorlog hoog op de politieke agenda zou staan.
De minister van BZK, die de informatiebeveiliging van het Rijk coördineert, schrijft de Tweede Kamer dat zij van het kabinet meer ruimte heeft gekregen om haar rol te vervullen. Zo kan zij kaders gaan opstellen waaraan de informatiebeveiliging binnen het Rijk moet voldoen. Ook heeft zij het recht gekregen om informatie te ontvangen van andere ministers om te beoordelen of zij aan de gestelde kaders voldoen. In de brief kondigt zij ook een reeks maatregelen aan, die variëren van het scannen van alle systemen van de rijksdienst op kwetsbaarheden tot de inrichting van werkplekken waar staatsgeheime informatie veilig is.
Een belangrijke aanleiding voor de minister is het verantwoordingsonderzoek van de Algemene Rekenkamer over 2017, dat op de derde woensdag in mei 2018 verscheen. Daarin stond dat de informatiebeveiliging bij 10 van de 14 onderzochte ministeries (en de Tweede Kamer en onderdelen van ministeries niet op orde was.
Bij de Rijksdienst Caribisch Nederland zag de Algemene Rekenkamer een ‘ernstige onvolkomenheid’ op het gebied van de informatiebeveiliging. De reden was dat die al sinds 2014 onder de maat werd bevonden. Bovendien bestond het risico dat kwaadwillenden zich toegang zouden verschaffen tot het IT-systeem van deze dienst en daarmee tot systemen en voorzieningen op andere netwerken van de rijksoverheid.
Met het oog op het groeiend belang van een goede informatiebeveiliging adviseerde de Algemene Rekenkamer de Tweede Kamer om de minister van BZK meer armslag te geven om IT-risico’s rijksbreed beter te beheersen. In de brief bij de ontwerpbegroting van BZK van 4 oktober 2018 wees de Algemene Rekenkamer hier nogmaals op. De Tweede Kamer debatteert over de begroting van BZK op 16 oktober 2018.
De informatiebeveiliging bij het Rijk en de manier waarop de minister van BZK die aanstuurt zal ook in het verantwoordingsonderzoek over 2018, dat op woensdag 15 mei 2019 wordt gepubliceerd, de aandacht hebben van de Algemene Rekenkamer.
Op Twitter:
Eerst zien dan geloven @MinBZK @Logius_minbzk https://t.co/lAMSJWGYD7
— Ellen Timmer (@Ellen_Timmer) 16 oktober 2018
Minister BZK verscherpt sturing op informatiebeveiliging na rapport Rekenkamer | Nieuwsbericht @Rekenkamer https://t.co/ckytRTfCRf
— Ellen Timmer (@Ellen_Timmer) 16 oktober 2018
Ellen Timmer - juridische artikelen en berichten 