M&O beleid

Begin 2015 is het Misbruik & Oneigenlijk gebruik (M&O)-beleid vastgesteld en de maatregelen ter voorkoming van M&O zijn in het subsidieproces verwerkt. In 2015 is tijdens opleidingsbijeenkomsten aandacht besteed aan het M&O-register en de check hierop. In 2015 is één organisatie aan het M&O-register toegevoegd.

Fraude en fraude bestrijding

Binnen het Ministerie van BZK is geborgd dat ieder vermoeden van fraude al dan niet via één van de Vertrouwenspersonen kan worden gemeld bij de Integriteitscoördinator van het Ministerie van BZK. Dit is sinds 2015 een zelfstandige functionaris die rechtstreeks verantwoording aflegt aan de Secretaris Generaal en hoofddirecteur Dienst Concernstaf en Bedrijfsvoering (DCB). De Integriteitscoördinator houdt een registratie van meldingen van (vermoedens van) integriteitsschendingen (waaronder fraudemeldingen) bij, conform de Uniforme Registratie Integriteitsschendingen. Als daar aanleiding toe is wordt onderzoek ingesteld. Mede op basis hiervan kan aan het bevoegd gezag worden geadviseerd passende maatregelen te treffen.

In 2015 zijn enkele vermoeden van fraude gemeld bij de Integriteitscoördinator BZK. Uit nader intern onderzoek blijkt het niet te gaan om meldingen met een financieel-materieel belang. Een enkele zaak is nog in onderzoek. In het kader van de controle van de jaarrekening bespreekt de Integriteitscoördinator BZK samen met de directie Financieel Economische Zaken eventuele gevallen van fraude met de Auditdienst Rijk. De Auditdienst Rijk heeft aanvullende werkzaamheden verricht op signalen die potentieel materieel leken. De onderzoeken van de auditdienst hebben niet geleid tot fouten of onzekerheden van materiële betekenis voor de jaarrekening en/of de bedrijfsvoering van het Ministerie.

Daarnaast wordt jaarlijks een verklaring bij de jaarrekening afgegeven aan de Auditdienst Rijk, de zogenaamde Letter of Representation (LoR). Onderdeel van de LoR is de verklaring van de Secretaris Generaal en de directeur Financieel Economische Zaken verantwoordelijkheid te erkennen om fraude te voorkomen en gevallen van fraude te melden.

Het Ministerie van BZK is actief betrokken bij de Rijksbrede aanpak fraude. De Minister van VenJ heeft mede namens de Minister van BZK op 19 december de Tweede Kamer geïnformeerd over de voortgang van de rijksbrede aanpak van fraude (Kamerstukken II 17050, nr 525). In 2015 is het project Landelijke Aanpak Adreskwaliteit van start gegaan. Daarmee wordt ook de adresfraude aangepakt. De participatiegraad van gemeenten is hoog, 160 gemeenten nemen dit jaar deel aan het project. Gemeenten hebben in de periode van april tot en met oktober 2015 4.897 huisbezoeken uitgevoerd. De verwachting is dat het aantal huisbezoeken tot eind maart 2016 oploopt tot tenminste 10.000.

Het fraudeteam van Logius onderzoekt signalen van afnemers van DigiD, burgers en eigen monitoring. Dit heeft in 2015 geleid tot het nemen van maatregelen bij bijna 15.000 DigiD’s in verband met mogelijke fraude en misbruik. In 2014 ging het om maatregelen bij ruim 8.000 DigiD’s in verband met mogelijke fraude en misbruik. De toename betekent overigens niet dat er ook daadwerkelijk meer misbruik gesignaleerd is: het werk van het fraude team is geïntensiveerd, wat ook bijdraagt aan een toenemend aantal voorzorgsmaatregelen.

Door het Centraal Meldpunt Identiteitsfraude en fouten wordt de slachtofferhulp gecontinueerd. In het afgelopen jaar werden circa 800 mensen geholpen. De KopieId app werd ook in 2015 veel gedownload, in totaal ongeveer 40.000 keer.

Afwijkingen instructie rijksdienst bij aanschaf ICT diensten of ICT producten

Het Ministerie van BZK heeft in 2015 gehandeld conform artikel 3, eerste lid van de «Instructie rijksdienst bij aanschaf ICT-diensten of ICT-producten». Er zijn in de regel geen ICT-diensten of -producten aangeschaft waarbij is afgeweken van de open standaarden op de «pas toe of leg uit»-lijst van College Standaardisatie. Van afwijkingen is sprake bij de aanschaf van licenties en tooling voor de dienstverleningssystemen SAP en Oracle van bijvoorbeeld P-Direkt en Rijksvastgoedbedrijf (RVB). Doordat de dienstverlening draait op gesloten systemen, kan de tooling niet op basis van open standaarden worden geselecteerd. Logius past relevante open standaarden toe in haar overheidsbrede ICT-producten, zoals MijnOverheid, e-Herkenning en DigiD. Jaarlijks publiceert Logius in zijn online jaaroverzicht een overzicht van de toepassing van open standaarden binnen de Logius-producten met eventuele afwijkingen en toelichting.

Aanbevelingen van de AR

Financiële functie kerndepartement

Het programma financieel beheer, gestart in 2013, is in 2015 afgerond. Diverse maatregelen zijn genomen om de financiële functie van het kerndepartement op orde te brengen. In 2015 zijn de kaders en processen ingericht, mandaten zijn ingeregeld, managementinformatie voor financieel, inkoop- en subsidiebeheer is operationeel en er zijn opleidingsdagen georganiseerd om kennis bij betrokken medewerkers actueel te houden. Hiermee is de opzet van het financieel beheer op orde. Dit moet zijn uitwerking krijgen in de werking. Uit interne audits blijkt dat voor de werking van het financieel beheer onverminderd aandacht nodig is.

Subsidiebeheer kerndepartement

In 2015 is de opzet van het subsidiebeheer gerealiseerd. Er zijn in 2015 opleidingsbijeenkomsten georganiseerd waar veel aandacht is besteed aan het versterken van de basiskennis bij de medewerkers van het Ministerie van BZK op het gebied van het subsidiebeheer. Onderwerpen die aan de orde zijn gekomen zijn dossiervorming, inhoudelijke beoordeling en het M&O-beleid/register. Via interne audits worden knelpunten gesignaleerd en indien nodig worden maatregelen getroffen.

Inkoopbeheer kerndepartement

In 2015 zijn de inkoopprocessen aangepast aan de herijking van de taken, bevoegdheden en verantwoordelijkheden in het financieel beheer. In samenwerking met belangrijke IUC’s (inkoop uitvoer centra) zijn procesafspraken gemaakt over het inschakelen van deze IUC’s en het proces voor de registratie van de waiver- en managementbesluiten is aangeschept. Veel aandacht, ondermeer op bestuursraadniveau, was er voor de werking en de naleving van de afgesproken procedures.

Voor het kerndepartement geldt dat vanaf 15 november 2015 alle afwijkingen van de aanbestedingsregels aan de Secretaris-Generaal (SG) worden voorgelegd voor een besluit. Alle bewuste afwijkingen van de Europese aanbestedingsregels waar een managementbesluit aan ten grondslag ligt, worden opgenomen in een centraal register.

Elk half jaar is een onrechtmatigheidsanalyse uitgevoerd met als doel de organisatie te voorzien van monitorinformatie. Voor het kerndepartement zijn twee spendanalyses uitgevoerd om achteraf te signaleren of het juiste inkooptraject is gevolgd. Op basis van Kritische Prestatie Indicatoren (KPI’s) is gestuurd op inschakeling van de Haagse Inkoop Samenwerking en de volledigheid van de contractregistratie.

Beveiligingsnormen DigiD

Gedurende het jaar 2015 is het project Arend bij de beheerorganisatie Logius, onderdeel van het Ministerie van BZK, uitgevoerd. Doel van dit project was om de beveiliging van de DigiD-omgeving verder te versterken door het wegnemen van eerder in audits geconstateerde tekortkomingen. Dit project is eind 2015 beëindigd. Tevens is in 2015 gewerkt aan een informatieveiligheidsplan voor 2016 waarin verdere invulling wordt gegeven aan de verankering van ingezette maatregelen als onderdeel van de PDCA-cyclus.

In 2015 zijn externe auditors ingeschakeld om de status van de beveiliging van de DigiD omgeving te onderzoeken. Op basis van de door hen uitgevoerde onderzoeken, concludeert het Ministerie van BZK dat de kans op ongeautoriseerde toegang tot, of compromitatie van DigiD klein is.

De impact van ongeautoriseerde toegang tot de database van DigiD wordt door het Ministerie van BZK als hoog geclassificeerd vanwege de gevoeligheid van de opgeslagen data. Om deze reden zijn er diverse maatregelen (preventief en reactief) getroffen die de kans op ongeautoriseerde toegang sterk verminderen. Het project Arend heeft geresulteerd in een verdere versterking van deze maatregelen. De resultaten van de externe penetratietesten die recentelijk zijn uitgevoerd, bevestigen dit.

Niettemin zal, mede naar aanleiding van het signaal van de Auditdienst Rijk, er in 2016 een analyse plaatsvinden op verdere verbeteringen van de beveiliging van DigiD en de set gegevens in de database. Hierbij zal het Ministerie van BZK een afweging maken tussen kosten en impact op performance enerzijds en het netto beveiligings- en privacyrendement anderzijds. Zowel de vereisten vanuit de Wet bescherming persoonsgegevens als de richtlijnen beveiliging webapplicaties van het Nationaal Cyber Security Centrum (NCSC) zullen bij deze analyse worden betrokken.

Informatiebeveiliging kerndepartement/implementatie BIR

De aanpak «implementatie Baseline Informatiebeveiliging Rijk (BIR) kerndepartement» gaat uit van de totale set aan beveiligingsdoelstellingen en beheersmaatregelen van de BIR. Daarbij wordt eveneens aansluiting gezocht bij het Voorschrift Informatiebeveiliging Rijk (VIR) 2007, waarin staat dat de informatiebeveiliging op basis van risicomanagement tot stand komt. Het Ministerie van BZK geeft een In Control Verklaring (ICV) af voor het voldoen aan de BIR.

De ICV van het Ministerie van BZK over 2015 heeft betrekking op een selectie van meer dan 20 informatiesystemen en diensten, waarbij de keuze gebaseerd is op de belangen die met deze systemen en diensten beschermd worden. Beveiligingsdoelstellingen die meer aan de organisatorische kant liggen (P-beleid, informatiebeveiligingsbeleid, bewustwording) worden opgenomen in de ICV van het Ministerie van BZK. De organisatieonderdelen is gevraagd de stand van zaken per 31-12-2015 door te geven aan de CIO BZK. Op basis hiervan is door het Ministerie van BZK op 15 februari 2015 de ICV afgegeven, conform een rijksbreed format.

Informatiebeveiliging RCN

In 2015 is het Verbeterplan BIR implementatie Rijksdienst Caribisch Nederland (RCN)/Centraal 2015/2016», vastgesteld. Op basis van dit plan wordt de fysieke beveiliging verbeterd door versneld te digitaliseren, het Centraal Archief te verplaatsen, de kwaliteit van de bewakingsdiensten te verbeteren en bouwtechnische aanpassingen uit te voeren. Verder worden werkplekapparatuur, gegevensdragers en verbindingen beveiligd, onder meer door migratie naar de Rijksstandaard Digitale Werkplek Rijk en aansluiting op de Rijks Mail Relay. Tot slot is aandacht voor de werkwijze ten aanzien van functiewisselingen en de in- en uitdienstprocedure.

De actiepunten die voortvloeien uit het verbeterplan werden in 2015 voortdurend gemonitord, dit wordt gecontinueerd in 2016. Op dit moment zijn enkele actiepunten opgelost, de meeste zijn echter nog «in progress» en lopen door in 2016.

Raamwerk P-direkt

In 2015 heeft shared service organisatie P-Direkt, onderdeel van het Ministerie van BZK, het gebruik van «service-users» zo veel mogelijk verder beperkt. Aandachtspunt hierbij was beperking van autorisaties zonder de continuïteit van de dienstverlening in gevaar te brengen. Hiervoor is specifieke SAP-deskundigheid ingeschakeld. Inzake «service-users» is een (deel)oplossing gevonden en geïmplementeerd. De definitieve eindoplossing wordt bereikt na de migratie van de huidige leverancier naar SSC-ICT.

Op het gebied van leveranciersmanagement zijn rollen en verantwoordelijkheid herijkt. De dienstverlening door externe partijen is in 2015 strak gemonitord. Dat wil zeggen dat alle acties uit formele overleggen werden vastgelegd en opvolging werd bewaakt.

Inkoopbeheer Rijksgebouwendienst

In 2015 is de in 2014 in gang gezette verbetering in het inkoopbeheer geïmplementeerd. De werking begint zichtbare vruchten af te werpen, er is sprake van een duidelijk stijgende lijn. De kwaliteit van de IC-onderzoeken, t.a.v. inkoop, is dusdanig verbeterd dat de ADR kan steunen op deze onderzoeken. Het contractenregister is geïmplementeerd. Het beheer van de contracten van de Rijksgebouwendienst (anticiperen op contractverlengingen en starten nieuwe aanbestedingen) verliep in 2015 gestructureerd. Tot slot is in 2015 het inkoopbeslissingsformulier geïmplementeerd waarmee vastlegging plaatsvindt van de inkoopbeslissingen en de motiveringen op het inkoopbeslissingsformulier.

Coördinatie rijksbrede informatiebeveiliging

In 2015 is met de Chief Information Officers (CIO’s) van alle departementen gesproken over de voortgang en belemmeringen rondom de BIR implementatie, mede op basis van de in control verklaring (ICV) 2014 en de BIR audits. Resultaat is het model ICV 2015, dat is aangeboden aan het CIO beraad door CIO rijk. Daarbij is tevens duidelijk aangegeven welke informatie door de Ministeries in beginsel moet worden aangeleverd ter onderbouwing van de ICV. Om tot een gelijkluidende aanpak en interpretatie te komen, is ook gewerkt aan het opstellen van eenduidige criteria voor kritieke systemen en risico’s.

De Minister voor Wonen en Rijksdienst (WenR) heeft samen met de departementen, AR en ADR ingezet op sterkere sturing. Ten aanzien van de rol- en verantwoordelijkheidsverdeling zijn er nu geen acties ondernomen in lijn met de eerdere reactie van de Minister voor WenR naar de AR. Wel is ingezet op de versterking van (het zicht op) de departementale sturing met de ICV uitvraag, waar doorgevraagd wordt op de noodzakelijke elementen om in control te kunnen zijn.

Inkoopcirculaire rijk

Na intensief overleg met de AR is medio augustus 2015 een nieuwe circulaire gepubliceerd met datum inwerkingtreding 1 september 2015. Deze circulaire bepaalt dat tot € 33.000 opdrachten rechtstreeks mogen worden gegund aan leveranciers. Opdrachten boven de € 50.000 worden op basis van een procedure van het vragen van meerdere offertes gegund. Bij opdrachten met een waarde tussen de € 33.000 en € 50.000 geldt dat op basis van de elementen uit de Gids Proportionaliteit een maatwerkafweging wordt gemaakt welke procedure (een of meerdere offertes) het meest aangewezen is. Deze maatwerkafweging wordt opgenomen in het inkoopdossier.

Bij alle departementen is aandacht gevraagd voor de correcte toepassing van de circulaire. Hieruit komt een beeld naar voren dat de nieuwe werkwijze als gevolg van de nieuwe circulaire per 1 september 2015 in de werkprocessen van de Inkoop en Uitvoeringscentra (IUC's) is geïncorporeerd.

Inkoopbeheer HIS

De nieuwe circulaire is met ingang van 15 augustus doorgevoerd en de processen worden per 1 september 2015 toegepast. Hiermee is nadere concurrentiestelling/mini-competitie geïmplementeerd. In 2015 is uitgewerkt in welke situaties verplichte consultatie van een aanbestedingsjurist plaats dient te vinden, worden (verbijzonderde) interne controles (IC) uitgevoerd en vindt de collegiale beoordeling zichtbaar plaats.

De keuzes voor de aanbestedingsprocedures en uit te nodigen ondernemers is onderwerp van discussie tussen de beleidsmaker en de Algemene Rekenkamer.