Brief van het Presidium over een verzoekonderzoek door de Algemene Rekenkamer inzake bevindingen ten aanzien van de informatiebeveiliging bij het ministerie van Volksgezondheid, Welzijn en Sport - Vaststelling van de begrotingsstaten van het Ministerie van Volksgezondheid, Welzijn en Sport (XVI) voor het jaar 2021 - Hoofdinhoud
Deze brief is onder nr. 37 toegevoegd aan wetsvoorstel 35570 XVI - Vaststelling begroting Volksgezondheid, Welzijn en Sport 2021 i.
Inhoudsopgave
| Officiële titel | Vaststelling van de begrotingsstaten van het Ministerie van Volksgezondheid, Welzijn en Sport (XVI) voor het jaar 2021; Brief Presidium; Brief van het Presidium over een verzoekonderzoek door de Algemene Rekenkamer inzake bevindingen ten aanzien van de informatiebeveiliging bij het ministerie van Volksgezondheid, Welzijn en Sport |
|---|---|
| Documentdatum | 26-11-2020 |
| Publicatiedatum | 26-11-2020 |
| Nummer | KST35570XVI37N1 |
| Kenmerk | 35570 XVI, nr. 37 |
| Externe link | origineel bericht |
| Originele document in PDF |  |
Tweede Kamer der Staten-Generaal
Vergaderjaar 2020-
2021
Vaststelling van de begrotingsstaten van het Ministerie van Volksgezondheid, Welzijn en Sport (XVI) voor het jaar 2021
Aan de Leden
Den Haag, 26 november 2020
Het Presidium legt hierbij conform artikel 30, tweede lid, van het Reglement van Orde aan u voor het verzoek van de vaste commissie voor Volksgezondheid, Welzijn en Sport, bij brief van 9 november 2020 (zie bijlage), om de Algemene Rekenkamer een nadere analyse te vragen over haar bevindingen ten aanzien van de informatiebeveiliging bij het Ministerie van VWS, naar aanleiding van de op 2 juli 2020 (Handelingen II 2019/20, nr. 91, item 103) door de Kamer aangenomen gewijzigde motie van het lid Van de Berg (Kamerstuk 35 470 XVI, nr. 13).
Het Presidium stelt u voor om hiermee in te stemmen en dit verzoek door te geleiden aan de Algemene Rekenkamer.
De voorzitter van de Tweede Kamer der Staten-Generaal,
Arib
1 I.v.m. een correctie in de verwijzing
kst-35570-XVI-37-n1 ISSN 0921 - 7371 's-Gravenhage 2020
BRIEF VAN DE VASTE COMMISSIE VOOR VOLKSGEZONDHEID, WELZIJN EN SPORT
BIJLAGE
Aan het Presidium
Den Haag, 9 november 2020
In de procedurevergadering van 5 november 2020 heeft de vaste commissie voor Volksgezondheid, Welzijn en Sport (VWS) besloten een voorstel aan de Kamer te doen om bij de Algemene Rekenkamer een verzoekonderzoek in te dienen over haar bevindingen ten aanzien van informatiebeveiliging bij het Ministerie van VWS, naar aanleiding van de op 2 juli 2020 door de Kamer aangenomen gewijzigde motie van het lid Van den Berg (Kamerstuk 35 470 XVI, nr. 13).
De aanleiding voor dit verzoek is de constatering dat de Algemene Rekenkamer in het verantwoordingsonderzoek over 2019 informatiebeveiliging en verouderde ICT-systemen wederom als onvolkomenheid heeft geduid. De Minister heeft in zijn reactie daarop aangeven dat hij de aanbevelingen van de Algemene Rekenkamer ter harte neemt en geeft aan dat in januari 2020 een nieuw draaiboek voor incidenten en datalekken is vastgesteld. Evenwel hebben zich in 2020 incidenten voorgedaan met betrekking tot informatiebeveiliging, zoals datalekken bij het donorregister en bij de infectieradar.
In dat licht wordt voorgesteld om de Algemene Rekenkamer een nadere analyse te vragen van hun eerdere bevindingen ten aanzien van de ICT-organisatie, de ICT-systemen, de governance en de processen en procedures met betrekking tot incidenten en datalekken. Hierbij zou gekeken kunnen worden naar het niveau van informatiebeveiliging en naar de wijze waarop opvolging is gegeven aan de eerdere aanbevelingen van de Algemene Rekenkamer op dit punt. De Algemene Rekenkamer wordt verzocht deze analyse, bij voorkeur in een afzonderlijke rapportage, uiterlijk op Verantwoordingsdag 2021 aan de Staten-Generaal te doen toekomen.
Voorgesteld wordt de Algemene Rekenkamer te verzoeken de volgende hoofdvraag centraal te stellen:
Hoe is de ICT-organisatie van VWS met betrekking tot informatiebeveiliging vorm gegeven, qua systemen, processen en procedures en hoe functioneert deze in de praktijk?
Ter beantwoording van deze hoofdvraag worden de volgende mogelijke sub-vragen voorgesteld:
-
•Hoe zijn de ICT-organisatie, de ICT-systemen, de governance en de processen en procedures met betrekking tot het voorkomen van incidenten en datalekken bij VWS vormgegeven en hoe wordt daar in de praktijk invulling aan gegeven?
-
•Wat is het niveau van informatiebeveiliging, ook in vergelijking tot andere ministeries?
-
•Wat is de cultuur binnen organisaties op het VWS-terrein wat betreft het melden van - en omgaan met incidenten en datalekken? Hoe is op centraal niveau binnen VWS het zicht en de regie op incidenten en datalekken?
-
•Welke tekortkomingen heeft de Algemene Rekenkamer in haar verantwoordingsonderzoeken op het punt van informatiebeveiliging op VWS-terrein gesignaleerd? Tot welke aanbevelingen heeft dit geleid en (hoe) is daar opvolging aan gegeven?
-
•Ziet de Algemene Rekenkamer, ook gezien datalekken die in 2020 zijn opgetreden, nog mogelijkheden voor verbetering van de informatiebeveiliging op VWS-terrein?
De commissie voor Financiën heeft over het voorstel positief geadviseerd, conform de procedure van artikel 21a van het Reglement van Orde. De briefwisseling met de commissie Financiën is als bijlage bij deze brief gevoegd.
De commissie verzoekt de Kamer overeenkomstig haar voorstel te besluiten.
De voorzitter van de commissie,
Lodders
De griffier van de commissie,
Post
Aan de Voorzitter van de vaste commissie voor Volksgezondheid, Welzijn en Sport
Den Haag, 9 oktober 2020
Op 1 oktober jl. heeft de commissie Financiën van u een brief ontvangen met het verzoek om (conform artikel 16a, tweede lid, Reglement van Orde Tweede Kamer) aan uw commissie een advies uit te brengen over een conceptverzoek van de Kamer aan de Algemene Rekenkamer om een nadere analyse over haar bevindingen ten aanzien van informatiebeveiliging bij het Ministerie van Volksgezondheid, Welzijn en Sport (VWS).
De commissie Financiën brengt een positief advies uit over het verzoek en bericht de vaste commissie voor Volksgezondheid, Welzijn en Sport hierbij dat het verzoek, inclusief het advies van de commissie Financiën, door uw commissie ter besluitvorming aan de plenaire vergadering kan worden voorgelegd.
De staf Financiën heeft het verzoek getoetst aan de criteria voor verzoeken van de Kamer aan de Algemene Rekenkamer. Ook heeft op ambtelijk niveau afstemming plaatsgevonden met de Algemene Rekenkamer. Op basis daarvan brengt de commissie Financiën haar positief advies uit. Het voorstel is getoetst aan de hieronder genoemde criteria.
-
1.Heeft de Algemene Rekenkamer voldoende bevoegdheden?
Ja, de Algemene Rekenkamer beschikt over voldoende bevoegdheden om dit onderzoek uit te voeren. Het betreft een nadere analyse van eerdere bevindingen uit het verantwoordingsonderzoek 2019.
-
2.Beschikt de Algemene Rekenkamer over de vereiste kennis en expertise?
Ja. De Algemene Rekenkamer heeft in het verantwoordingsonderzoek 2019 de informatiebeveiliging en verouderde ICT-systemen bij VWS (wederom) als onvolkomenheid geduid. De Minister heeft in zijn reactie daarop aangeven dat hij de aanbevelingen van de Algemene Rekenkamer ter harte neemt en dat er in januari 2020 een nieuw draaiboek voor incidenten en datalekken is vastgesteld. Niettemin hebben zich in 2020 incidenten voorgedaan met betrekking tot informatiebeveiliging, zoals datalekken bij het donorregister en bij de infectieradar. Om die reden wordt voorgesteld om de Algemene Rekenkamer een nadere analyse te vragen van hun eerdere bevindingen ten aanzien van de ICTorganisatie, de ICT-systemen, de governance en de processen en procedures met betrekking tot incidenten en datalekken.
-
3.Heeft uitvoering door de Algemene Rekenkamer meerwaarde?
Hierbij gaat het om de vraag welke meerwaarde een onderzoek door de Algemene Rekenkamer oplevert ten opzichte van een onderzoek door de Kamer zelf of door een ander onderzoeksbureau. Het verzoek aan de Algemene Rekenkamer heeft meerwaarde, omdat zij al veel kennis en expertise op dit terrein heeft en het een nadere analyse van reeds bestaande onderzoekgegevens betreft. De wens van de vaste commissie VWS is om de resultaten van het onderzoek ter beschikking te hebben op Verantwoordingsdag 2021, waardoor het tijdpad relatief kort is. Dit is voor de Algemene Rekenkamer haalbaar, gezien de al aanwezige kennis, expertise en onderzoeksgegevens. (Onderzoeksbureaus zouden meer tijd nodig hebben om de kennis en expertise op te doen en kunnen mogelijkerwijs niet zonder procedurele problemen gebruik maken van de onderzoeksgegevens van de Algemene Rekenkamer.
-
4.Is de probleemstelling en vraagstelling helder?
Het probleem en de vraagstelling is helder. De commissie VWS wenst inzicht in de situatie waarbij er op het Ministerie van VWS incidenten met betrekking tot informatiebeveiliging hebben kunnen plaatsvinden ondanks een recent ingevoerd draaiboek voor incidenten en datalek-ken. De vraagstelling is duidelijk en goed afgebakend en luidt als volgt: Hoe is de ICT-organisatie van VWS met betrekking tot informatiebeveiliging vormgegeven, qua systemen, processen en procedures en hoe functioneert deze in de praktijk? Deze vraag is uitgesplitst in vijf duidelijke sub-vragen.
-
5.Is helder op welk termijn het onderzoek moet plaatsvinden?
In het voorstel van de vaste commissie VWS staat dat het onderzoek moet worden afgerond voor Verantwoordingsdag 2021, zodat het kan worden meegenomen bij de verantwoording over de begroting VWS 2020. Op basis van de toetsing acht de commissie Financiën dit haalbaar.
De voorzitter van de commissie,
Tielen
De griffier van de commissie,
Weeber
Tweede Kamer, vergaderjaar 2020-2021, 35 570 XVI, nr. 37 5