Inleiding

Een ordentelijke, efficiënte bedrijfsvoering is een randvoorwaarde voor het kunnen realiseren van beleidsdoelstellingen. Het ministerie van Justitie en Veiligheid (JenV) belicht hier de vraag in hoeverre sprake is geweest van beheerste bedrijfsprocessen. Vanuit dat perspectief richt de aandacht zich op bijzonderheden, onvolkomenheden en onrechtmatigheden die zich in de bedrijfsvoering in 2021 hebben voorgedaan.

In 2021 is in de bedrijfsvoering specifiek aandacht besteed aan de aanpak van de onvolkomenheden en bevindingen die de Algemene Rekenkamer (AR) respectievelijk de Auditdienst Rijk (ADR) eerder hebben aangemerkt. Voortgang is geboekt bij de financiële administratie en het autorisatiebeheer. Voor de bedrijfsvoeringsaspecten van de afpakketen zijn de eerste vruchten geplukt van de inspanningen die in deze keten in de afgelopen jaren zijn verricht. In deze paragraaf komen zowel de onvolkomenheden in de bedrijfsvoering aan de orde die de AR in het Verantwoordingsonderzoek 2020 heeft geconstateerd als de bevindingen van de ADR.

Paragraaf 1 - Uitzonderingsrapportage voor de volgende vier verplichte onderwerpen

De belangrijkste tekortkomingen en risico’s in de bedrijfsvoering in 2021 inclusief de genomen maatregelen om deze risico's te beheersen staan hierna beschreven. De elementen van de bedrijfsvoering die op orde zijn, worden niet opgenomen.

1a. Rechtmatigheid

Voor de bepaling van fouten en onzekerheden is de rijksbrede normering toegepast.

Toelichting:

Overschrijding op agentschapsniveauDe overschrijding van de tolerantiegrens bij agentschappen wordt voornamelijk veroorzaakt door DJI en IND. Alleen de belangrijkste fouten en onzekerheden worden onderstaand toegelicht:

1b. Totstandkoming niet-financiële verantwoordingsinformatie

Voor dit onderdeel zijn geen bijzonderheden te melden.

1c. Begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering

Afpakketen van het Openbaar Ministerie (en ketenpartners)

De programma Directeur Generaal Ondermijning coördineert de aanpak van georganiseerde, ondermijnende criminaliteit binnen een brede maatschappelijke coalitie. De meerjarige aanpak van criminele geldstromen kent drie verbetersporen: beleidsmatige verbetering van de aanpak van het criminele verdienmodel; hogere resultaten c.q. effecten; en verbetering van het beheer waaronder de bedrijfsvoering van het beslagproces, een belangrijke schakel in de strafrechtelijke afpakketen. De DG ondermijning heeft daarbij de specifieke taak van regie op de afpakketen en geeft die regierol invulling in samenspraak met de strafrechtpartners in het Coördinerend Beraad Afpakketen. Het afgelopen jaar is belangrijke vooruitgang geboekt in het beheer van de afpakketen. Die progressie is het gevolg van onder meer: de projectmatige aanpak onder leiding van een ervaren en bevlogen beslagcoördinator, door de aandacht voor het beheer op het hoogste niveau van het OM, door de synergie van beleids- en beheersmaatregelen en de financiële bijdragen voor onder meer de ontwikkeling van het Beslag Informatie Systeem. Samen met de betrokken partners ziet de DG Ondermijning erop toe dat deze positieve lijn zich doorzet.

Financiële administratie en verantwoording

Gebruik derdenrekeningen

Het beheer op de derdenrekeningen is bij het Bestuursdepartement nauwelijks verder verbeterd ten opzichte van 2020. Voor een aantal projecten geldt dat door onder andere late oplevering of het ontbreken van projectrapportages geen goede aansluiting met de derdenrekening in de financiële administratie kan worden gemaakt. Met name is de in 2020 ingezette verbetering bij de Dienst Terugkeer en Vertrek in 2021 gestagneerd. Dit is te wijten aan een tekort aan capaciteit en aansluitproblemen over voorgaande jaren.

Verplichtingenbeheer

In 2021 is het beheer van de verplichtingen verder verbeterd en is het ministerie van JenV in control met betrekking tot de juistheid en volledigheid van de verplichtingen. De getroffen beheersmaatregelen, zoals de versterkte interne controle van DFEZ, werken goed zodat geborgd is dat de financiële verantwoording vrij is van materiële fouten en onzekerheden op het gebied van verplichtingenbeheer. De kwaliteit van de primaire vastlegging dient nog verder verbeteren. Een ander aandachtspunt is dat het verplichtingenbudget op een aantal artikelen tijdig moet worden verhoogd om overschrijding op het verplichtingenbudget te voorkomen.

Voorschotten

De in 2020 ingezette verbetermaatregelen zijn ook in 2021 uitgevoerd. Maandelijks worden interne controles doorlopen en per tertaal is integraal gecontroleerd of voorschotten met een «verlopen» einddatum terecht nog openstaan. Ook zijn in 2021 de voorschotten met een verlopen einddatum grotendeels afgerekend waardoor het aantal voorschotten met een verlopen einddatum aanzienlijk is gedaald. Natuurlijk blijft aandacht nodig voor een aantal onderdelen van het Bestuursdepartement om zorg te dragen dat vaststellingsbrieven tijdig bij de administratie worden aangeboden. Uit de bevindingen van interne controle door JenV blijkt dat dit nog verder kan worden verscherpt.

Memo- en herstelboekingen

De reeds in 2020 geïmplementeerde beheersmaatregelen zoals het systeemtechnisch afdwingen om een onderbouwing bij te voegen en de 100%-controle bij de invoer op de kwaliteit van de aanlevering werken over het algemeen goed. Er kan worden geconstateerd dat de memo- en herstelboekingen over het algemeen in control zijn.

Prestatieverklaringen

JenV is in 2021 verder gegaan met het verbeteren van de vastlegging van prestatieverklaringen in het centrale financieel informatie en registratiesysteem. Een deel van de analyse richtte zich op het vaststellen van de aanwezigheid van bijlagen bij facturen en ontvangsten. In het andere deel van de analyse wordt gebruik gemaakt van Machine Learning, waarmee de kans wordt bepaald of een prestatieverklaring al dan niet aan de kwaliteitseisen voldoet. De resultaten van deze analyse zijn gebruikt ter ondersteuning van de handmatige controles op prestatieverklaringen binnen de financiële administratie (betaalproces) en zijn gebruikt voor het verder op orde brengen van het proces en de beheersmaatregelen.

Uit de resultaten van de afsluiting blijkt dat het NFI en het OM de noodzakelijke verbeteringen in 2021 hebben doorgevoerd. Voor DJI geldt dat uit de interne controle en de audit van de ADR blijkt dat de kwaliteit van de prestatieverklaring te wensen over laat. Het ontbreken van de prestatieverklaringen en een deugdelijke aansluiting tussen hoeveelheden en tarieven (factuur versus contract) zijn belangrijke verbeterpunten. Door DJI is een verbeterplan voor 2022 opgesteld.

Autorisatiebeheer Leonardo

JenV heeft de twee aanbevelingen zoals opgenomen in het auditrapport 2020 uitgevoerd en geïmplementeerd. Er is een formele autorisatiematrix voor het centraal functioneel beheer opgesteld en de procedure is geactualiseerd zodat er bij eventuele bevindingen een maximale reactietermijn en escalatie mogelijkheid bestaat. Tevens is in 2021 invulling gegeven aan de taken binnen het stelsel Kwaliteitsborging Toegang Leonardo door het uitvoeren van de 2e lijns controle voor het proces gebruikersbeheer centraal en het JenV brede concern-toezicht. Daarnaast wordt gestuurd op de periodieke concern-toets aangevuld met een aantal nieuwe data-analyses. Deze zijn in lijn met het ADR-advies bij het vraaggestuurde assurance onderzoek 3000d. Het concern-toezicht is op deze wijze nog verder verstevigd.

Technisch beheer Leonardo

De systeemeigenaar van het financieel en inkoopsysteem van JenV heeft de ADR verzocht om assurance onderzoek uit te voeren naar het technisch beheer Leonardo, dat in opdracht van JenV wordt uitgevoerd door SSC-ICT (van het ministerie van BZK). Het technisch beheer heeft aan het einde van 2021 in opzet verbeteringen laten zien. Dit is een eerste stap geweest om de beperkingen die ook in 2020 zijn geconstateerd weg te werken. In 2022 moeten de verbeteringen tijdig zijn geïmplementeerd om de beperking op te heffen. JenV verwacht dat dit conform ADR advies in 2022 wordt gerealiseerd en monitort de voortgang in deze op basis van de reguliere ISAE verantwoordingsrapportage.

Inkoopbeheer

Inhuur Rijkscontract IenW

Het Ministerie van Infrastructuur en Waterstaat (IenW) is verantwoordelijk voor een aantal (Rijksbrede) aanbestedingen voor inhuurdiensten. JenV is afnemer van deze diensten. IenW heeft de contracten hiervoor niet tijdig weten te verlengen, waardoor onrechtmatige overbruggingsovereenkomsten gesloten moesten worden. Hierdoor heeft in 2020 en 2021 onrechtmatige inkoop plaatsgevonden. Mede hierdoor is ook het Dynamische Aankoop Systeem (DAS) nog niet volledig afgesloten. In afwachting van definitieve gunning verantwoordt JenV deze inkopen als (geïmporteerde) onrechtmatigheid.

Tolkdiensten

Het programma Tolken in de Toekomst is oktober 2020 afgerond en de nieuwe werkwijze is belegd bij de categorie Tolk- en Vertaaldiensten. Het Inkoop Uitvoeringcentrum (IUC) van JenV heeft de hieruit voortvloeiende Europese aanbestedingen uitgevoerd in samenspraak met DGRR/DRB die de beleidsmatige coördinatie van dit dossier onder zijn hoede heeft. In augustus 2020 is gestart met de reeks aanbestedingen. Inmiddels zijn er zes aanbestedingen gegund en hieruit zijn acht overeenkomsten ingeregeld en operationeel. De zevende aanbesteding is vertraagd door een kort geding en wordt op dit moment her-beoordeeld. De aanbestedingen die hierna nog moeten volgen, lopen vertraging op door nieuwe discussies over de tariefsystematiek. Naar verwachting zijn alle tolk- en vertaaldiensten medio 2023 aanbesteed en geïmplementeerd (in totaal 28 aanbestedingen en 49 overeenkomsten).

Inkoop Openbaar Ministerie (OM)

Bij het OM is sprake van specifieke casuïstiek binnen het inkoopbeheer inzake twee IT-contracten (bedrijfsapplicaties en IT-infrastructuur). Op basis van gedegen onderzoek en risicoanalyse heeft het OM besloten om, in het kader van het borgen van het primaire proces, deze reeds geëxpireerde contracten te verlengen waardoor onrechtmatigheid in inkoop is ontstaan. Het herstelplan gaat uit van een termijn tot eind 2024 om de inkooponrechtmatigheid op te lossen.

Inhuur zorgpersoneel DJI

De Inhuur zorgpersoneel is in 2018 aanbesteed. Deze aanbesteding was gericht op het effectief aanvullen van roosters bij piekdrukte en ziekte van het vaste personeel. Door een structureel personeelstekort voor medisch personeel wordt deze behoefte uitgezet bij de huidige leveranciers van de raamovereenkomst inhuur medisch personeel. Deze leveranciers kunnen echter niet voorzien in deze aanvullende behoefte waardoor DJI, vanwege de zorgplicht, genoodzaakt is zelf extra in te huren. Deze inhuur loopt buiten het lopende contract om en is daarmee in strijd met de geldende aanbestedingsregelgeving. Bovendien is hierbij vaak sprake van de inzet van ZZP-ers, hetgeen niet past binnen de wet DBA. Binnen DJI loopt een traject deze problematiek integraal op te lossen. De oplossing van deze complexe problematiek zal enige tijd vergen. Ten opzichte van 2020 is de omvang van de onrechtmatigheid in 2021 gereduceerd.

Administratieve omissie bij contracteren ICT inhuur DJI

Bij de eindejaarscontrole van de inhuur van ICT-professionals is geconstateerd dat er geen einddatum is opgenomen in de contracten. Omdat de opname van een einddatum een verplichting is in de aanbestedingsregelgeving is deze inhuur onrechtmatig. Het betreft een structurele administratieve omissie. Het IUC van DJI stelt een verbeterplan op om dergelijke fouten eerder te constateren en te voorkomen. De verwachting is dat de onrechtmatige inhuur uit de lopende contracten in 2022 wordt beëindigd.

1d. Overige aspecten van de bedrijfsvoering

Personeelsbeheer

Personeel en Organisatie

Ook in 2021 had de COVID-19 nog veel impact op de uitvoering van de JenV werkzaamheden. Mede daarom is extra aandacht gegeven aan het welbevinden en de betrokkenheid van de medewerker, verzuim en vitaliteit, maar ook op de relatie tussen manager en medewerker. Ondanks dat is het verzuim mede als gevolg van COVID-19 licht gestegen. Wel is gebleken dat JenV medewerkers wendbaar zijn en zich over het algemeen goed hebben kunnen aanpassen aan het hybride werken. Als gevolg van de uitkomsten van de Parlementaire Onderzoekscommissie Kinderopvangtoeslag en het traject Werk aan Uitvoering is het ambtelijk vakmanschap van de medewerker centraal komen te staan. Ook wordt nadrukkelijk geïnvesteerd in de duurzame inzetbaarheid, waardoor de medewerker van nu ook voor de toekomstige opgaven is geëquipeerd. Tot slot spant JenV zich in om een evenwichtige en inclusieve werkgever te zijn, onder andere door de maand van de Diversiteit, diversiteitstrainingen en themabijeenkomsten te organiseren. Maar ook in de werving en selectie van nieuwe medewerkers wordt veel aandacht besteed om dit op een inclusieve wijze te doen.

Personeelsbeheer

In 2021 zijn concrete stappen gezet om het personeelsbeheer verder te verbeteren. Zo zijn er meer trainingen dan het jaar ervoor gegeven aan managers om hun kennis over personeelsbeheer te verbeteren. Ook is in 2021 begonnen met een dashboard met managementinformatie over Personeelsbeheer die besproken wordt in het P&O directeuren overleg. Personeelsprocessen zijn vereenvoudigd en de gebruiksvriendelijkheid van het salarissysteem wordt vergroot. Tot slot zijn er extra controles uitgevoerd op de aanwezigheid van de verplichte documenten in de P-dossiers, o.a. de VOG, arbeidsovereenkomst en het ID-bewijs. Ondanks dat blijkt uit interne controles en de ADR-controle dat er verbeteringen zichtbaar zijn blijft de lichte bevinding gehandhaafd. DP&O dient meer aandacht te schenken aan de regierol. JenV zal zich in 2022 verder inspannen om deze bevinding op te lossen.

Informatievoorziening

Problematische legacy

In 2021 is door het CIO Stelsel binnen JenV de omvang van de aanwezige legacy geïnventariseerd en welke kosten gepaard gaan met het wegwerken van deze legacy problemen. Deze informatie is opgenomen in een fiche «Toekomstvaste IV». Aanvullend wordt jaarlijks geïnventariseerd hoe de kritieke systemen in het kader van applicatie lifecylemanagement ervoor staan. Het gecreëerde inzicht in legacy (systemen) wordt gebruikt om JenV breed aandacht te vragen voor het wegwerken van achterstanden. Onder legacy worden informatiesystemen verstaan welke op functioneel, technisch en financieel gebied beneden gemiddeld presteren.

Informatiehuishouding - open op orde

De uitvoering van het Rijksbrede Actieplan Informatiehuishouding ‘Open op orde’ wordt door een regeringscommissaris geleid en voor de rijksbrede uitvoering is voor de periode 2021-2026 een bedrag van €800 miljoen uitgetrokken. In het Rijksbrede actieplan worden actielijnen geschetst hoe de informatiehuishouding op orde gebracht moet worden. Op basis hiervan heeft JenV in 2021 een departementaal actieplan opgesteld, na een intensieve inventarisatie bij ruim 20 deelnemende taakorganisaties. Later in 2021 is een herzien departementaal actieplan opgesteld en gestart. De tweede helft van 2021 is gebruikt voor het inrichten van een programmastructuur, het uitvoeren van een nulmeting en uitvoeringstoets, het inrichten van een verdelingsmechanisme en rapportagestructuur. Er is een resourcepool opgericht met door de onderdelen beschikbaar gestelde medewerkers, aangevuld met externe expertise voor ondersteuning. Meer doelgericht heeft er planvorming plaatsgevonden en is waar mogelijk gestart met de implementatie van de rijksprioriteiten en de JenV prioriteiten, startend met websitearchivering en het versneld wegwerken van archiefachterstanden

Informatiebeveiliging en Digitale Weerbaarheid JenV

Het doel van het Plan van Aanpak Informatiebeveiliging 1.0 voor 2021/2022 is om op niveau 4 te geraken volgens het volwassenheidsmodel NBA op de aandachtsgebieden governance, organisatie, risicomanagement en incidentmanagement. Dit doel is al door veel organisaties in 2021 bereikt. Andere organisaties verwachten dit in 2022 te bereiken. In 2021 is de operationele informatieveiligheid onderzocht van de JenV-organisaties door red teaming onderzoeken uit te voeren. Op basis daarvan is een strategie Informatiebeveiliging ontwikkeld. Deze heeft geleid tot het Plan van Aanpak Informatiebeveiliging 2.0. Het Plan van Aanpak IB 2.0 is door de minister van JenV eind 2021 vastgesteld.

Met de uitvoering van het Plan van Aanpak IB 2.0 wordt beoogd om in een tijdsperk van sterk toenemende kwetsbaarheden, risico’s en incidenten de kans en gevolgen van verstoringen van de processen en dienstverlening van JenV aan burgers en bedrijven zo veel als mogelijk te beperken. Ook is het doel om financiële chantage, verlies van (persoons)gegevens, spionage etc. te voorkomen. De looptijd van dit Plan van aanpak IB is van 2021 tot en met 2026 en verder.

Het programma Weerbaar JenV voert sinds 2019 activiteiten uit om medewerkers te ondersteunen in het risicobewust en alert handelen met informatie en voorzieningen. Hiervoor worden verschillende instrumenten en ondersteunende communicatie ingezet die de kennis en vaardigheden van medewerkers vergroten en concrete handelingsperspectieven bieden. De basisinstrumenten zijn online cursussen op verschillende niveaus en onderwerpen, phishing simulaties en een informatie-portaal ‘Hoe alert ben jij’ op intranet. Er wordt gewerkt met een integrale aanpak en periodieke meting en evaluatie vindt plaats via onder meer een weerbaarheidsmeting en risicoweging. Verplichting van de basiscursus is, met instemming van de departementale ondernemingsraad, opgenomen in het personeelsreglement en is daarmee ook onderwerp van het personeelsgesprek. Het centrale inzicht in weerbaarheid vindt plaats met behulp van de planning- en begrotingscyclus.

Daarnaast is de control van de informatiebeveiliging geïntensiveerd om de basis van de informatiebeveiliging op orde te houden. In de departementale In Control Verklaring Informatiebeveiliging (ICV-IB) over 2020 die is opgesteld op basis van de ICV-IB van de JenV onderdelen zijn vier risico’s gemeld. De uitvoering van de mitigerende maatregelen is in 2021 voortgezet. Tenslotte is de ICV-IB 2020 op een hoger niveau gebracht door verfijning van de weging van de risico’s.

De aanbevelingen van de Auditdienst Rijk over 2020 inzake het decentrale risicomanagement zijn bijna allemaal opgevolgd.

Datagedreven werken

Het datalab JenV is in 2020 opgericht voor de JenV onderdelen als vervolg op de eerdere Living Labs. Het datalab is in 2021 verder ingericht en versterkt voor het uitvoeren van zowel eigen als gezamenlijke data-analyses door de verschillende JenV onderdelen. In 2021 is het aantal deelnemende partijen toegenomen. Ook zijn trajecten met andere organisaties in voorbereiding. Er zijn inmiddels meerdere dashboards en andersoortige dataproducten operationeel in gebruik. In 2021 zijn belangrijke randvoorwaarden voor het uitvoeren van de data-analyses doorontwikkeld. Zo zijn de nieuwe richtlijnen voor ‘toepassen van algoritmen door overheden en publieksvoorlichting over data-analyses’ gepubliceerd en is de ‘gedragscode voor behoorlijk datagebruik’ binnen het JenV datalab in gebruik genomen. Verdere doorontwikkeling van datagedreven werken vraagt een departementale datastrategie. Deze datastrategie heeft als focus: (1) het faciliteren van hergebruik van data op veilige, proportionele, doelmatige en herleidbare wijze, (2) het versterken en delen van kennis en competenties op het gebied van data en (3) het vertalen van maatschappelijke, Europese, Rijksoverheid en departementale ontwikkelingen op het gebied van informatie en data naar een inclusieve visie en architectuur op data.

Digitalisering

Beleid en wetgeving van JenV eindigt in een digitale context bij de publieke organisaties op het JenV-domein, bij burgers en/of bij bedrijven. De proactieve betrokkenheid van de CIO-gemeenschap bij beleidsvorming en -uitvoering en de vertaling daarvan naar de digitale wereld is daarom onontbeerlijk om beleid en wetgeving de beoogde impact te laten maken. Andersom dienen beleidsmakers en wetgevingsjuristen rekening te houden met de digitale mogelijkheden op het JenV-domein. Verbetering van de dienstverlening van JenV aan de maatschappij vraagt om een duurzame samenwerking tussen de CIO-gemeenschap met beleidsmakers, wetgevingsjuristen en uitvoeringsorganisaties. Daartoe is het nodig dat de CIO-gemeenschap nauw betrokken wordt bij de beleidsvorming en ontwikkeling van wet- en regelgeving binnen JenV, bij de Rijksbrede i-Agenda en bij de digitaliseringsagenda op het Europese domein. Zo wordt informatievoorziening in het hart van beleid en uitvoering gebracht. De CIO heeft bij deze ontwikkelingen een belangrijke rol, naast haar toetsende en kaderstellende rol. Binnen Justitie en Veiligheid is Hoofddirecteur Bedrijfsvoering (HDBV) tevens de Chief Information Officer JenV. De CIO JenV is binnen de bedrijfsprocessen van JenV, beleids- en systeemverantwoordelijk voor de strategische informatievoorziening en generieke en gemeenschappelijke ICT-dienstverlening en daarbij direct verantwoordelijk voor enkele gemeenschappelijke ICT-voorzieningen. De HDBV wordt in haar rol als CIO JenV ondersteund door het CIO-Office JenV dat wordt gevormd door een deel van de directie Informatievoorziening en Inkoop. Het CIO-office JenV is onderdeel van het CIO-stelsel JenV. In het CIO-office JenV wordt onder andere beleid geformuleerd, is het opdrachtgeverschap van diverse gemeenschappelijke ICT-voorzieningen belegd en het control ten aanzien van de bedrijfsvoeringsgerelateerde informatievoorziening van de JenV (taak)organisaties.

Privacy

In 2021 zijn, na een succesvolle pilot, de privacymanagement KPI ’s onderdeel geworden van de bedrijfsvoeringsrapportages. Deze geven inzicht in het niveau van de naleving en draagt bij aan duurzame aandacht voor het onderwerp privacy aan de bestuurstafel. In de pilotfase (2020) is gebleken dat de JenV organisatie in de lijn een tot tien, gemiddeld op een zes zit. Ten opzichte van de afgelopen jaren is dit een aanzienlijke verbetering. Een enkele organisatie heeft te maken met de aanpassing van omvangrijke verouderde ict systemen en scoort om die reden op dat punt lager. Op het moment van schrijven van dit jaarverslag worden de resultaten van de uitvraag van 2021 geanalyseerd. Borgen van de naleving van privacywetgeving bij de verwerking van (bijzondere en strafrechtelijke) persoonsgegevens is een voorwaarde voor duurzaam en verantwoord delen, combineren en analyseren van data. Tegen deze achtergrond is in 2021 gestart met de gerichte uitvoering van het in 2020 opgestelde JenV brede privacy by design beleid. Uitgangspunt van beleid is dat privacy vereisten worden meegenomen bij het (laten) ontwikkelen, veranderen en beheren van processen, programma’s, producten en diensten. Deze vereisten zien op de rechtmatigheid, dataminimalisatie, rechten van betrokkenen, en datakwaliteit, gegevensdoorgifte en herleidbaarheid. Privacy Enhancing Technologies is een onderdeel van privacy by design en maakt het mogelijk om zowel het datapotentieel te benutten alsook de privacy van personen te beschermen. In 2021 was JenV actief betrokken bij verschillende PET-initiatieven en werkte aan verdere ontwikkeling van deze technieken.

Incidenten

Datalek JenV

In juli 2021 heeft zich een informatiebeveiligingsincident voorgedaan. Het betrof persoonsgegevens van 65.000 JenV medewerkers en een aantal medewerkers van andere organisaties. Het incident werd veroorzaakt door een voormalige externe medewerker bij het ministerie die - tegen de regels in - een analysetool van JenV naar een eigen werkomgeving had gekopieerd en vervolgens naar twee andere overheidsorganisaties, waarvoor hij opdrachten uitvoerde.

Het incident is gemeld bij de Autoriteit Persoonsgegevens en nagenoeg alle betrokken medewerkers zijn hiervan op de hoogte gesteld. Er is een email-correspondentieadres ingesteld waar men vragen kon stellen over dit incident. Er is geen reden te veronderstellen dat de gegevens op straat zijn gekomen.

Het Dienstencentrum (DC) heeft de werkafspraken en procedures bij inhuur van externe medewerkers aangescherpt: zij voert nu start- en exitgesprekken, waarin integriteit en gedragsregels aan bod komen. Daarnaast kijkt het DC nog scherper naar voor welk doel welke informatie echt nodig is (dataminimalisatie) en bewaakt de bewaartermijnen scherper. Hierover maakt het DC afspraken met de decentrale JenV-organisatieonderdelen. Er is gestart met een project voor het inrichten van een datawarehouse. Hierdoor wordt het gebruik van de analyse-tool op termijn overbodig. Ook staat de invoering van Data Loss Prevention (DLP) gepland. DLP herkent vertrouwelijke en niet-gerubriceerde informatie en merkt het transporteren daarvan op.

Log4J incident

Apache log4j is opensourcesoftware (Opensourcessoftware is software waarvan de gebruiker de licentie heeft om de broncode te bestuderen, aan te passen, te verbeteren, te verspreiden of te verkopen) die deel uitmaakt van veel software. Er is een kwetsbaarheid gevonden in deze software. Het NCSC heeft op 10 december 2021 deze kwetsbaarheid gepubliceerd, de kans en (mogelijke) schade op hoog geschat en dringend geadviseerd om de kwetsbaarheid te mitigeren. Kwaadwillende actoren kunnen de kwetsbaarheid misbruiken om bijvoorbeeld websites van organisaties te overbelasten, gijzelsoftware te installeren en/of informatie te ontvreemden. Sinds 10 december 2021 zijn de (JenV-) organisaties bezig met het scannen van de standaard- en maatwerksoftware en het mitigeren van de kwetsbaarheden. JenV heeft een incidentorganisatie opgericht om de organisaties te adviseren en ondersteunen met onder andere externe specialisten. Er is tot nu toe nog geen misbruik van de kwetsbaarheid geconstateerd. Gezien de stand van zaken en getroffen maatregelen heeft de CIO JenV de incident-organisatie inmiddels opgeheven. Het scannen, mitigeren en misbruik monitoren van kwetsbare software maakt sindsdien weer deel uit van de reguliere informatiebeveiligingsprocessen.

IT-storing

Op vrijdag 15 oktober 2021 is een grote storing opgetreden in een centraal dataopslag systeem van SSC-ICT (onderdeel ministerie BZK). Vanaf het moment van optreden van deze storing waren meerdere systemen van het ministerie van JenV niet meer beschikbaar. De gevolgen waren divers voor de verschillende systemen. Systemen die als optie voor hoge beschikbaarheid hadden gekozen, hadden nauwelijks last van deze storing omdat hun data ook op een tweede omgeving stond die deze storing naadloos opving. Dit betrof onder andere het systeem Leonardo (inkoop en administratie). Voor een groot deel was dit echter niet het geval en deze applicaties zijn met behulp van back-ups en restore acties teruggezet. De doorlooptijd hiervan verschilde van enkele dagen tot ruim twee weken (het COVOG-systeem van Justis voor het verwerken van VOG aanvragen). Inmiddels heeft SSC ICT over de oorzaak van deze storing gerapporteerd en zijn maatregelen getroffen om herhaling te voorkomen.

Duurzaam JenV

Om meer inzicht in de verduurzamingsproblematiek te krijgen is in 2021 JenV breed de CO2 voetafdruk opgesteld. Op basis van deze voetafdruk zijn prioriteiten bepaald die in 2022 tot verdere uitvoering worden gebracht. Voor het huisvestingsdeel van de opgave ontbreken financiële middelen. Daarmee lopen we steeds meer risico dat ons vastgoed niet kan voldoen aan in wet- en regelgeving vastgelegde doelstellingen op het gebied van verduurzaming. Veel prioriteiten voor verduurzaming hebben een relatie met het een inkoopdomein. Tevens zal in 2022 de CO2 Prestatieladder binnen JenV worden geïmplementeerd. Deze CO2 management methodiek zal er voor zorgen dat de voortgang op de duurzaamheidsdoelstellingen wordt gemonitord.

Paragraaf 2 - Rijksbrede bedrijfsvoeringsonderwerpen

Grote lopende ICT-projecten

De control van de naleving van de afspraken over ICT-projecten groter dan vijf miljoen euro, zoals het opstellen van CIO-oordelen en BIT-adviezen en de beheersing van de risico’s, blijft aandacht vragen. Alle ICT-projecten groter dan één miljoen euro zijn vastgelegd in een database om de monitoring en verantwoording te vergemakkelijken. In 2021 zijn voor JenV zes CIO-oordelen gemaakt en geen AcICT Bit-adviezen uitgebracht. Deze cijfers zijn exclusief rechtspraak en politie, zij rapporteren zelfstandig over hun grote ICT-projecten.

Audit Committee

Ondanks het veelvuldig thuiswerken is de frequentie van het bijeenkomsten van het Audit Committee (AC) verhoogd naar negen. Het betreft hier zes digitale (reguliere) vergaderingen, een fysieke (reguliere) vergadering, een werkbezoek aan Justid en een AC-symposium van Justitie en Veiligheid (JenV).

Reguliere vergaderingen en themasessies

Het borgen van de kwaliteit van de bedrijfsvoering en financiële verslaggeving, de regie op het auditbeleid en het risicomanagementbeleid behoren tot de reguliere AC-taken. In navolging hierop zijn in 2021 wederom de volgende reguliere onderwerpen geagendeerd: Het departementaal jaarverslag JenV 2020, het auditrapport 2020 van de Auditdienst Rijk (ADR), het rapport Verantwoordingsonderzoek 2020 JenV van de Algemene Rekenkamer(AR), de voortgang van de auditprogrammering, de wettelijk taak en de risicoanalyse van de ADR, het interim-rapport 2021 van de ADR, het rapport over de tweede tertaalafsluiting 2021 van de ADR, het projectplan Verantwoordingsonderzoek 2021 JenV van de AR, de stand van zaken m.b.t. de aanpak van de onvolkomenheden door JenV, aandachtspunten bij de ontwerpbegroting 2022, het risicomanagement en de impact van het coronavirus op de continuïteit van JenV. Naast de standaarditems, heeft het AC ook aandacht besteed aan de kritische JenV-brede ketens (afpakketen, migratieketen en strafrechtketen) en enkele, specifieke bedrijfsvoeringsonderwerpen: Bekostiging van JenV, Rechtsbijstand, Algemene verordening gegevensbescherming (AVG), Artificial Intelligence (AI), ICT-landschap, Wendbaarheid (personeel), Informatiehuishouding (Open op Orde) en Informatiebeveiliging. De voortgang van de JenV-ketens en deze bedrijfsvoeringsonderwerpen hebben een repeterend karakter en keren daarom terug op de jaaragenda van de jaren 2022 en 2023. Het hoofdthema voor het jaar 2022 is: Veiligheid.

Bijeenkomsten 

Met in achtneming van de coronamaatregelen heeft Justid te Almelo begin september het voltallige AC mogen verwelkomen en was in dezelfde maand het eerste AC-symposium JenV voor alle AC-leden van het Bestuursdepartement, Rechtspraak, OM, Politie, IND en DJI georganiseerd. Het werkbezoek was niet alleen informatief en plenair, maar het was ook interactief en vonden gesprekken in vijf oplossingstafels plaats. De AC-leden hebben samen met de vertegenwoordigers van Justid gekeken naar maatschappelijke vraagstukken en er werden onder meer ketensamenwerking, datasecurity en informatiehuishouding aan de orde gesteld om tot waardevolle en constructieve inzichten te komen. Tijdens het AC-symposium kregen de AC-leden de gelegenheid om voor het eerst persoonlijk met elkaar kennis te maken en vier gastsprekers hebben samen met de aanwezigen gediscussieerd over de rol en positie van een Audit Committee, cultuur en gedrag, Governance en de status van de sui generis organisaties.

Tweejaarlijkse evaluatie

In afwijking van het besluit in 2020 heeft de zelfevaluatie niet plaatsgevonden, maar heeft het AC besloten de evaluatie uit te besteden aan de Auditdienst Rijk(ADR). Niet alleen het functioneren van het Audit Committee van het ministerie van JenV wordt onderzocht, maar ook de mogelijkheden om de toegevoegde waarde te vergroten. Naar verwachting wordt het onderzoek in het eerste tertaal van 2022 afgerond.

Paragraaf 3 - Belangrijke ontwikkelingen en verbeteringen in de bedrijfsvoering

Misbruik en oneigenlijk gebruik (M&O)

Met ontvangsten uit boeten, transacties, leges, uitgaven aan subsidies, bijdragen en aanbestedingen/inkopen en interne betalingen (personeel, declaraties, e.d.) kent JenV diverse terreinen die gevoelig zijn voor vormen van misbruik of oneigenlijk gebruik (waaronder fraude) door interne en externe partijen. De voor misbruik en oneigenlijk gebruik (M&O) gevoelige terreinen zijn systematisch voorzien van specifieke maatregelen en andere preventieve maatregelen zoals kaders, richtlijnen, protocollen, controle en toezicht om misbruik tegen te gaan of zo snel mogelijk te kunnen detecteren en aanpakken. Ook in de betreffende informatie verwerkende (financiële (ERP)) systemen zijn technische maatregelen ingebouwd die misbruik moeten voorkomen. Wanneer er fraude in een systeem wordt ontdekt, wordt onderzoek gedaan en worden zo snel mogelijk, indien van toepassing, systeemtechnische maatregelen doorgevoerd in het betreffende (financiële) systeem. De ADR heeft vastgesteld dat voor subsidie- en bijdragebeheer de juiste maatregelen zijn toegepast. Met betrekking tot M&O voor bijdragen heeft de ADR aangeraden om e.e.a. te formaliseren.

Risicomanagement (RM)

In 2021 hebben de sponsoren Risicomanagement (RM) en de Brede Bestuursraad (BBR) besloten om het Risicomanagement minimaal twee keer per jaar te agenderen. De leden hebben eveneens het besluit genomen om het goede gesprek over de in 2018 gedefinieerde risicothema’s voort te zetten. Het risicothema in 2021 was: ‘De rechtsstatelijke kernwaarden en de toegang tot het rechtsbestel staan onder druk’. De risicosessies m.b.t. dit thema zijn in 2021 twee keer aan de orde gekomen. Overigens vonden deze sessies door de corona-situatie digitaal plaats. Tijdens de eerste sessie is gesproken over de ontwikkelingen, doelen en de onzekerheden die kunnen optreden m.b.t. het risicothema. Het doel was vooral om de dilemma’s in relatie tot het risicothema boven tafel te krijgen en te inventariseren aan de hand van actuele casuïstiek. De subgroepen discussieerden over de dilemma’s en het effect hiervan op de opgaven dan wel de taken van JenV. Het doel van de tweede risicosessie op is een verdiepingsslag. Aan de hand van de inventarisatie aan dilemma’s uit de eerdere risicosessie (en eventueel actuele dilemma’s) is ook nagedacht over wat het handelingsrepertoire zou kunnen zijn en wat het betekent voor JenV. De intentie van de BBR is om op basis van de uitkomsten een aantal oplossingsrichtingen in de praktijk op te pakken. Begin 2022 vinden nieuwe risicosessies met de Brede Bestuursraad plaats. De thema’s en opzet worden in overleg met de sponsoren Risicomanagement en de leden van de Brede Bestuursraad bepaald.

Corona

Ook in 2021 hebben de onderdelen van JenV te maken gehad met de gevolgen van de pandemie. De processen zijn in 2020 reeds aangepast. Te denken valt hierbij aan onder andere de voorzorgmaatregelen in de inrichtingen bij de Dienst Justitiële Inrichtingen, het op afstand horen bij de Immigratie- en Naturalisatiedienst en het telehoren bij de rechtspraak. Het aanpassingsvermogen van alle justitie-medewerk(st)ers valt te prijzen. Alle werkzaamheden zijn weliswaar met enige vertraging toch gewoon door gegaan.

Data-analyse in de F-kolom

Om deze ambitie te verwezenlijken is een data-analyseomgeving ingericht waar verschillende bronnen aan kunnen worden gekoppeld zoals Leonardo (financiële administratie, inkoop) en P-Direkt. Verder is OAS (Oracle Analytics Server) beschikbaar gekomen als vervanger van de klassieke BI (Business Intelligence) tool. In 2022 worden vervolgstappen gezet om data gedreven control in het DNA van de medewerkers te krijgen. De beschikbare tooling, content en opgedane datavaardigheden moeten worden gebruikt in de dagelijkse praktijk.

Betaalgedrag

Het betaalgedrag van JenV is verbeterd en ongeveer 97% van het aantal facturen wordt binnen de gestelde termijn van 30 dagen betaald. JenV zit dit jaar weer boven de norm van 95%. Het betaalgedrag wordt continue gemonitord en indien organisatieonderdelen de termijn niet halen wordt hierover verantwoording afgelegd in de tertaal rapportage. Tevens wordt gevraagd hiervoor een verbeterplan op te stellen.

Planning en Begrotingscyclus

In het jaar 2021 heeft het Plannings- en Control cyclus (P&C-cyclus) binnen JenV een verandering ondergaan. Door de integratie van de P&C- en de begrotingscyclus is hoofdzakelijk beoogd deze cycli qua data beter op elkaar aan sluiten en eerder inzicht te krijgen in problematiek op budgettair vlak en/of inhoudelijke opdracht van een JenV-organisatie. Het wijzigen van de cycli heeft verder zorggedragen voor een betere aansluiting op het Rijksbrede proces, meer uniformering in de werkwijze binnen JenV, duidelijkheid over de momenten waarop claims ingediend kunnen worden en wanneer besluitvorming plaatsvindt en meer duidelijkheid over de verantwoordelijkheidsverdeling in het proces. Het bestuursdepartement en de taakorganisaties binnen het JenV domein hebben vlak na de zomer van 2021 inzicht gegeven in de mogelijke knelpunten (budgettaire problemen of knelpunten in de inhoud/opdracht) voor het komende uitvoeringsjaar. Hierdoor kon voor de start van het uitvoeringsjaar eerder gekeken worden naar oplossingen en/of te maken afspraken. In de aangepaste cyclus is duidelijker vastgesteld dat er maar drie momenten zijn waarop binnen JenV de integrale (financiële) besluitvorming plaatsvindt in de Brede Bestuursraad (BBR) en met de Ministers en Staatssecretaris over de verdeling van de middelen. In 2022 wordt het proces van de P&B-cyclus in 2021 geëvalueerd en zal JenV aan de slag gaan met een evaluatie van de inhoud van de aanschrijvingen en de producten die in dit proces worden opgeleverd (bijvoorbeeld bij jaarplannen en de rapportages).

Toezichtsbeleid en review

Het ministerie van JenV heeft - rekeninghoudend met hoofdstuk 6 van de Comptabiliteitswet 2016 - het review-beleid nader ingevuld. Hierin is onder meer vastgelegd dat DFEZ jaarlijks, op basis van een risicoanalyse en eventueel ontvangen signalen, beslist bij welke organisaties de accountantscontrole wordt gereviewd. Hierbij wordt doorgaans uitgegaan van een periodiciteit van eenmaal in de drie of vier jaar. Bij de reviews speelt het financieel belang een voorname wegingsfactor. Om deze reden wordt de Nationale Politie vaker gereviewd dan andere organisaties. De reviews worden in beginsel uitgevoerd door de ADR. Bij gebrek aan capaciteit kan in het uiterste geval een openbaar accountant worden ingezet.