Reactie van Lourens Visser op de brief van Arre Zuurmond

Weblogbericht | 10-10-2023 | Gastauteur

Wilt u reageren op deze brief? Dan kunt u het formulier onderaan deze pagina gebruiken. 

Een overzicht van alle brieven vindt u op deze pagina.

Beste Arre, 

Mijn vakantie was goed, ondertussen alweer even geleden, en bood een mooie gelegenheid om over je vraag na te denken. Je vraag, wat er in termen van bevoegdheden in de informatiewet zou moeten worden geregeld, raakt namelijk aan de kern van de positie die de CIO Rijk in het I-stelsel van het Rijk heeft. Want om de juiste inzet en ontwikkeling van IV en ICT bij het Rijk te bevorderen en optimaal vorm te geven, wat grofweg de missie van CIO Rijk is, is natuurlijk meer nodig dan het leveren van kennisproducten en het aanmoedigen van kennisdeling.

Nu spreekt het Coördinatiebesluit van 2020 van “het vaststellen van kaders ter bevordering van de eenheid, kwaliteit of de efficiëntie van de bedrijfsvoering door de ministeries” door de CIO Rijk (namens de minister van BZK). Expliciet worden ook Informatiesystemen genoemd. Dit is in het Besluit CIO-stelsel Rijksdienst 2021 verder uitgewerkt. Dit gebeurt in de praktijk door kaders te ontwikkelen, te beschrijven en aan te scherpen, en via verschillende besluitvormingstrajecten vast te stellen. In de afgelopen jaren is een behoorlijk aantal kaders vastgesteld, gebundeld in het kaderboek. Voor de verschillende typen kaders hebben we verschillende termen bedacht, zoals “handreiking”, “handboek”, of “convenant”.

Vervolgens doet CIO Rijk de coördinatie en monitoring van de uitvoering van deze kaders, en de rapportage daarover naar Tweede Kamer en samenleving. Soms gebeurt dat vaststellen in het CIO Beraad, waarin alle 12 departementale CIO’s en 6 CIO’s van uitvoeringsorganisaties zitting hebben (bijvoorbeeld een update op het handboek Portfoliomanagement), maar vaak ook gaat het verder naar hogere gremia zoals de ICBR of de MR (zoals het vaststellen van het rijksbrede Cloudbeleid). 

Als het gaat om echte, harde bevoegdheden dan zijn dat er nu eigenlijk maar drie. Een is de bevoegdheid van de CIO Rijk om de minister van BZK, en dat is nu natuurlijk de staatssecretaris Digitalisering, rechtstreeks te informeren. De tweede is de betrokkenheid bij de aanstelling (en eventueel ontslag) van de departementale CIO’s. De derde, tenslotte, is de aanwijsbevoegdheid voor informatiesystemen die breder dan een ministerie gebruikt worden, vanwege interoperabiliteit of beveiliging. Voor de CISO Rijk, die onderdeel is van CIO Rijk - omdat die rol nieuw gedefinieerd is in 2020 -, zijn al meer bevoegdheden vastgesteld. De belangrijkste daarvan is de coördinatierol bij rijksbrede informatiebeveiligingsincidenten.

Wat is er dan nog te wensen op gebied van bevoegdheden? Ik heb ook nog even mijn zienswijze op de CIO Rijk, die ik in 2014 aan de Commissie Elias gestuurd heb, erop nageslagen. Terugkijkend (ik had toen natuurlijk nog geen idee dat ik ooit zelf CIO Rijk zou worden) was mijn kijk op de rol van CIO Rijk helemaal niet zo slecht. En het punt waar het meeste aan te doen is, en wat ik toen benoemde, is het mandaat van de CIO. Ik citeer:

“Een CIO kan pas meer betekenen dan alleen een visie neerleggen en beleid formuleren, als hij/zij ook daadwerkelijk mandaat (budget, resources, bevoegdheid, opdracht) krijgt om het tot uitvoering te brengen. De CIO Rijk heeft dit onvoldoende, waardoor voor uitvoering draagvlak gecreëerd moet worden, wat vervolgens realisatie bemoeilijkt en vertraagt.”

De informatiewet zou in mijn ogen dus moeten voorzien in een bevoegdheid/mandaat op die gebieden en in die situaties waar dat echt noodzakelijk is, en waar dat nu, onder meer door een beroep op de  befaamde artikelen 42 en 44 van de Grondwet, niet mogelijk is. Situaties waar convenanten, handreikingen, hoe goed deze ook voor veel zaken kunnen zijn, niet of onvoldoende werken, of voor te veel vertraging zorgen.

Een hardere, meer verplichtende aanwijsbevoegdheid voor een generieke IT-voorziening zou er zo eentje kunnen zijn, maar ook heldere architectuurkaders die echt toegepast en afgedwongen worden (en waar dus niet alleen maar uitgelegd wordt waarom het niet kan), of duidelijke standaarden op gebied van metadata-standaarden. Ook een arbitragefunctie zou bij CIO Rijk belegd kunnen worden, of een toestemmingsfunctie zoals nu bij de toepassing van het rijksbrede Cloudbeleid al het geval is. Door dit in de informatiewet vast te leggen, krijgt het een verplichtend en bindend karakter. Het hoeft geen grote bevoegdheid te zijn, maar wel een die duidelijk, specifiek en werkend is voor de “eenheid, kwaliteit of efficiëntie” van de IV en IT bij het Rijk.

Tenslotte zou het fijn zijn als de wet aanknopingspunten biedt om op het gebied van cyberweerbaarheid voor de overheid uniform beleid vast te stellen. Het wringt soms dat we voor de Rijksoverheid verdergaande bevoegdheden hebben ingericht dan voor de rest van de overheid, terwijl de data van de burger en bedrijven in alle lagen van de overheid gebruikt worden en we in de vele ketens waarin we werken afhankelijk zijn van elkaar.

Met vriendelijke groet,

Lourens Visser
CIO Rijk