Staat van de IV/ICT
In de staat van de IT zijn in 2014 tekortkomingen geconstateerd. De technische staat van de IV/ICT-infrastructuur was onder de maat. Door veroudering van apparatuur nam de kans op uitval van netwerken en rekencentra toe. Daarnaast schoot de besturing (governance) van het IV/ICT-domein tekort. Het ontbrak aan een duidelijke visie, ondanks het belang van IT binnen Defensie voor de operaties en de bedrijfsvoering. Tevens was er een verstoorde verhouding tussen twee belangrijke spelers in de uitvoering van de IV/ICT-dienstverlening, namelijk het Joint IV Commando (JIVC) en IV Operaties (OPS).
Toen bovenstaande problemen in de IT aan het licht kwamen, zijn voor de meest dringende problemen meteen maatregelen genomen. Om te zorgen dat de problemen permanent tot het verleden gaan behoren, waren maatregelen voor de toekomst nodig. Zoals gemeld aan de Kamer in de brief van 16 september 2014 (Kamerstuk 31 125, nr. 41) en in de brief van 19 december 2014 (Kamerstuk 31 125, nr. 52) heeft Defensie, met het oog op de toekomst, maatregelen genomen ter verbetering van de vernieuwing van de IT-infrastructuur en de herijking van de sourcing van IT-systemen aangekondigd.
Om tot een nieuwe, toekomstbestendige IT te komen is een richtinggevende IT-visie nodig. Deze visie «Let’s make IT happen» is met de brief van 24 oktober 2014 (Kamerstuk 31 125, nr. 45) aan de Kamer aangeboden.
Grote IT Projecten
Rijksbreed zijn in 2008 en 2011 maatregelen getroffen om de beheersing van grote IT-projecten te verbeteren (Kamerstuk 26 632, nr. 135 en nr. 172). De uitvoering en monitoring van grote IT-projecten bij Defensie volgen deze rijksbrede afspraken. Eén van deze afspraken is de jaarlijkse rapportage op het Rijks ICT-dashboard. Dit is een website die informeert over grote en hoogrisico projecten, beheerd door de Minister van Wonen & Rijksdienst (W&R). De rapportageplicht geldt voor grote(re) ICT-projecten. Een ICT-project wordt als «groot» aangemerkt vanaf een projectomvang van € 20 miljoen of met een projectomvang van € 5 miljoen als de risicobeoordeling hoog is. De risicobeoordeling wordt uitgevoerd volgens een format van W&R. De risicoprojecten bij Defensie worden geselecteerd uit het Defensie Investeringsplan (DIP). Projecten waarvan het product uitsluitend een militair-operationele toepassing krijgt (wapensysteem/inzet bij militaire conflicten) vallen buiten de scope van de Rijks ICT-rapportage. Deze projecten worden vanaf een projectomvang van € 25 miljoen gerapporteerd in het Materieel Projecten Overzicht (MPO). Op deze wijze wordt niet dubbel gerapporteerd.
De rapportageplicht geldt tenslotte uitsluitend voor projecten die daadwerkelijk in uitvoering zijn. Dit betreft projecten waarvan het project initiatiedocument (PID) is vastgesteld. Daarnaast is voor projecten met een omvang groter dan € 20 miljoen die zijn gestart na 2012, een Privacy Impact Assessment (PIA) van toepassing. Defensie heeft op dit moment zes ICT-projecten waarover op deze wijze gerapporteerd wordt. Twee hiervan zijn voor 31 december 2014 officieel voltooid.
Audit Comité (AC)
Het Audit Comité Defensie is een adviesorgaan van de SG en een platform voor het bespreken van sturings- en beheersingsvraagstukken met als doel de bedrijfsvoering op het gewenste niveau te krijgen en te houden.
Het Audit Comité is in 2014 vijf keer bij elkaar gekomen. De voornaamste agendapunten betroffen het op orde krijgen en houden van het beheer (personeel, materieel en financieel), de defensiebrede risicoanalyse, een nieuwe werkwijze voor de auditplanning en de uniformering van stuur- en verantwoordingsinformatie.
Het aantal externe leden van het Audit Comité Defensie is in 2014 vergroot van twee naar drie. Er zijn twee nieuwe leden aangetreden (één ter vervanging van een in 2013 vertrokken lid). De externe leden zijn zodanig geselecteerd dat zij elkaar en de overige leden van het Audit Comité aanvullen als het gaat om achtergronden, deskundigheden en disciplines. Hierbij is onder meer gekeken naar werkinhoudelijke, financieel-economische, ICT en bedrijfskundige achtergronden.
Cryptosleutels en publicaties
Eén van de aanbevelingen van de ADR uit 2013 was de implementatie van een self-assessmenttool voor het van beheer van Cryptosleutels en -Publicaties (CSP). Deze tool, de CSP-monitor, is vergelijkbaar met Monitor Kwaliteit Materieelbeheer. Vanaf 1 februari 2015 vindt met de CSP-Monitor op basis van checklisten een systeemgerichte controle plaats. De lijn wordt op deze manier in staat gesteld zelf knelpunten te signaleren en, waar nodig, gerichte verbetermaatregelen te treffen. De ADR toetst de werking van de monitor.
Personeelsbeheer
Incomplete personeelsdossiers zijn één van de onvolkomenheden van de Algemene Rekenkamer. In 2013 is aangegeven dat de focus is gelegd op het treffen van maatregelen om nieuwe incomplete dossiers vanaf 2014 te voorkomen. Met de kamerbrief «stand van zaken verbeterprogramma beheer» is gemeld dat de maatregelen in het derde kwartaal nog onvoldoende effect hadden. Sindsdien zijn de maatregelen verder aangescherpt. Inmiddels is circa 98 procent van alle personeelsdossiers van burgers en beroepsmilitairen aangesteld na 1 januari 2014 voorzien van een identiteitsbewijs en verklaring omtrent de loonheffingen wat voldoet aan de eisen. Het resterende deel betreft met name documenten waar de kwaliteit nog niet voldoet. Het aantal personeelsdossiers van medewerkers die zijn aangesteld voor 1-1-2014 en voorzien zijn van een identiteitsbewijs en de verklaring omtrent de loonheffingen is licht gestegen naar 81 procent. Dit is de minimumpositie omdat niet alle dossiers meer worden gevolgd op completering.