Inleiding
De bedrijfsvoering, inclusief het begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering binnen het Ministerie van OCW, is op orde. De financiële overzichten geven een getrouw beeld van de uitkomsten van de begrotingsuitvoering.
Paragraaf 1 – Uitzonderingsrapportage
Rechtmatigheid
De verantwoording in het departementale jaarverslag is in overeenstemming met de begrotingswetten, de Europese regelgeving, Nederlandse wetten, algemene maatregelen van bestuur en in ministeriële regelingen opgenomen bepalingen. Voor de bepaling van fouten en onzekerheden is de rijksbrede normering toegepast. Rapporteren over onrechtmatigheden is verplicht als deze onrechtmatigheden meer bedragen dan de betreffende tolerantiegrens. Er zijn geen tolerantiegrenzen overschreden.
Totstandkoming niet-financiële verantwoordingsinformatie
Er zijn geen bijzonderheden te melden.
Begrotingsbeheer, financieel beheer en de materiële bedrijfsvoering
De Algemene Rekenkamer heeft bij het departementale jaarverslag 2023 op de volgende twee aspecten onvolkomenheden op het gebied van financieel- en/of materieel beheer geconstateerd:
– Informatiebeveiliging: autorisatiebeheer Dienst Uitvoering Onderwijs;
– Misbruik en oneigenlijk beleid (M&O beleid) subsidies onderwijsinstellingen.
Informatiebeveiliging: autorisatiebeheer Dienst Uitvoering Onderwijs
Veel bedrijfsprocessen bij de Dienst Uitvoering Onderwijs (DUO) zijn gedigitaliseerd en ondergebracht in een complex IT-landschap. In het verantwoordingsonderzoek van de Algemene Rekenkamer (AR) 2023 constateert de AR dat er nog verbeterpunten zijn voor autorisatiebeheer, back-ups en recovery en wachtwoordbeheer, aspecten die vallen onder informatiebeveiliging. Het wijzigingsbeheer is in 2023 voldoende op orde gebracht. DUO heeft in 2024 verdere significante verbeteringen gerealiseerd in informatiebeveiliging. Deze worden hieronder nader toegelicht.
In het verbeteren van autorisatiebeheer heeft DUO in 2024 aanzienlijke vooruitgang geboekt, met als belangrijkste focus de overdracht naar de lijn en de periodieke controle van de ICT-platformen. Eind 2024 zijn de volgende beheersmaatregelen afgerond en/of (verder) ingericht en/of aangescherpt:
– op basis van in-, door-, en uitstroomprocessen worden rollen via het principe van Role Based Access Control (RBAC), automatisch toegekend en ingetrokken;
– op basis van de ingerichte Plan-Do-Check-Act-cycli, worden risicogericht verbeteracties voor autorisatiebeheer opgepakt om het autorisatiebeheer binnen DUO op een steeds hoger volwassenheidsniveau te krijgen;
– er zijn controle processen ingericht waarmee de kwaliteit en het gebruik van het nieuwe autorisatiebeheer wordt gemonitord;
– specifiek voor de ICT-platformen zijn de autorisatiematrices geactualiseerd en zijn hoge rechten geschoond. Dit heeft gezorgd voor een zorgvuldige controle van toegangsrechten, waarbij verouderde en onterecht toegekende rechten verder zijn geschoond;
– specifiek voor het SAP-gebruikersbeheer is de nadruk gelegd op te ruim toegekende rechten aan beheerders en een beperkt aantal gebruikers. Hier heeft DUO acties op gezet en de aantallen fors beperkt;
– de overdracht naar de lijn is afgerond, waarbij er een Autorisatiebeheer Competence Center (AbCC) is opgericht ter ondersteuning van de DUO-organisatie over de volledige breedte en het doorontwikkelen van autorisatiebeheer op basis van het opgestelde ambitieplan.
Geen onderdeel van de onvolkomenheid, maar wel een manier om nog beter grip te krijgen op hoge rechten is het werken met Privileged Access Management (PAM)-tooling. DUO start in Q1-2025 met de marktconsultatie voor PAM-tooling en in 2025 wordt de PAM-tooling verder uitgerold. Deze tool zorgt ervoor dat beheerders alleen tijdelijk toegang krijgen en de autorisatie na de handeling automatisch weer wordt teruggetrokken. Zodoende zorgt deze tooling ervoor dat DUO op dit aspect structureel in control blijft en dus dat benodigde hoge rechten tot een minimum beperkt worden.
DUO gaat naast de implementatie van PAM door met de realisatie van de vastgestelde roadmap en hiermee werken aan een continue verbetering van haar autorisatiebeheer.
IT-beheersmaatregelen Dienst Uitvoering Onderwijs
Back-ups en recoveryBack-ups zijn kopieën van data. Het is niet alleen noodzakelijk om back-ups te maken, maar ook om te testen of deze back-ups juist en volledig zijn. Ook moeten de back-ups, als het nodig is, weer teruggezet kunnen worden (restore). In 2022 voldeed DUO op dit laatste punt niet. Daardoor was onduidelijk of de back-ups in een noodgeval teruggeplaatst kunnen worden, zodat DUO kan blijven functioneren als er een calamiteit heeft plaatsgevonden. Zo kunnen scholen en studenten hun geld blijven ontvangen. Op het gebied van Back-ups en Recovery heeft DUO in 2024 stappen gezet. Het voorschrift voor Back-up & Recovery (B&R) werd herzien in 2023, ondertekend in 2024 en de procedures zijn opgesteld op verschillende ICT-niveaus.
Het instellen van een offline back-up op een fysieke locatie buiten het netwerk van DUO stond gepland voor 2023. Deze actie is in 2024 afgerond; alle geplande systemen zijn gekoppeld aan BaaS (Back-up As A Service) en worden nu opgeslagen op offline back-up tapes met encryptie.
WachtwoordbeheerEen laatste openstaande punt is het wachtwoordbeheer. In 2023 heeft DUO het wachtwoordbeheer van diverse omgevingen verbeterd. Het wachtwoordbeheer van één omgeving, is nog niet van voldoende niveau. In 2023 heeft DUO wel passende maatregelen genomen voor de eigen databases, maar nog niet voor de databases die voor het hele Ministerie van OCW worden gebruikt. In 2024 heeft DUO het wachtwoordvoorschrift vastgesteld en goedgekeurd en deze zal in 2025 worden geïmplementeerd. Bij een van de applicaties waarvan DUO niet de beheerder is, maar die wel een relatie heeft met de OCW-database en het wachtwoordbeheer, vindt nieuwbouw plaats.
M&O-beleid subsidies onderwijsinstellingenDe AR rapporteerde bij het Jaarverslag 2023 dat in het beleid om misbruik en oneigenlijk gebruik (M&O) bij onderwijsinstellingen tegen te gaan, belangrijke verbeteringen zichtbaar zijn. Zo zijn onder andere formats voor de risicoanalyses en het controlebeleid vastgesteld. Het gebruik van de formats heeft tot een beter inzicht in de gemaakte afwegingen geleid. Daarnaast worden omvangrijke subsidies met voorwaarden die alleen achteraf getoetst kunnen worden, niet meer per definitie direct vastgesteld. Dit ziet de AR als een belangrijke stap om te komen tot een goed M&O-beleid. De AR concludeerde dat in opzet het M&O-beleid nu op orde is, maar dat zij de werking in de praktijk toen nog niet heeft vast kunnen stellen.
Wij hebben dit jaar ons proces rondom de totstandkoming van subsidieregelingen aangescherpt en beschreven. Hierbij is expliciet aandacht geschonken aan het opstellen van een risicoanalyse en een hierop gebaseerd controlebeleid. Zo hebben onder andere de verplichte formats een duidelijke plek gekregen. Daarnaast is de interne beoordeling van conceptregelingen door het expertisecentrum subsidies (ECS) beter geborgd en is consulatie van financiële beleidsmedewerkers binnen een beleidsdirectie verplicht gesteld. De procesbeschrijving draagt ook bij aan betere bewustwording van het belang van een sluitend M&O-beleid rondom subsidies en welke elementen daarbij een rol spelen. Daardoor is de kwaliteit van de subsidiedocumentatie verbeterd.
Om de werking van het M&O beleid rondom subsidies te kunnen toetsen is ook over 2024 een M&O inventarisatie uitgevoerd, waarbij de signalen van M&O bij de uitvoerders van de subsidieregelingen zijn meegenomen.
M&O- bekostiging
Daarnaast is uit het auditrapport 2024 een aanvullend aspect op het gebied van financieel beheer geconstateerd met betrekking tot M&O- bekostiging.
NieuwkomersregelingBij de nieuwkomersregeling gaat het om de aanvullende bekostiging voor nieuwkomers. Met het oog op de privacy, het beperken van administratieve lasten, de kwetsbaarheid van de doelgroep en de plotselinge hoge instroom van nieuwkomers heeft het Ministerie van OCW de bewijslast van nieuwkomers in 2021 voor het het primair onderwijs (PO) en in 2022 het voorgezet onderwijs (VO) laten vervallen. De instellingen hoeven de leerlingen voor de aanvullende bekostiging niet meer op persoonsniveau te onderbouwen en administreren. Door het vervallen van de bewijslast kan niet met zekerheid worden vastgesteld of de bekostigingsvoorwaarden zijn nageleefd. Het Ministerie van OCW werkt aan om een structurele oplossing te creëren, waardoor de onzekerheid in de juistheid van de bekostiging van deze leerlingen verder afneemt.
ToelaatbaarheidsverklaringSamenwerkingsverbanden passend onderwijs ontvangen een vast budget voor zware ondersteuning. Een deel van dit budget wordt direct uitgekeerd aan de scholen voor (voortgezet) speciaal onderwijs. Dit gebeurt op basis van de zwaartecategorie in de toelaatbaarheidsverklaring die het samenwerkingsverband afgeeft. Deze categorie wordt niet door DUO gecontroleerd, waardoor niet met zekerheid kan worden vastgesteld of voor de betaling van de zware ondersteuningsbekostiging aan (v)so-scholen vanuit het budget van samenwerkingsverbanden aan de bekostigingsvoorwaarden is voldaan. De bevinding heeft geen impact op de omvang van de totale uitgaven van OCW zelf. Bezien wordt nog of en hoe hier invulling aan gegeven kan worden.
Fraude & corruptierisico’s
Het Ministerie van OCW besteedt aandacht aan het voorkomen van fraude en het actief handelen mocht er onverhoopt toch fraude plaatsvinden. Er zijn in 2024 geen fraudemeldingen geweest die betrekking hebben op de interne (financiële) processen van het Ministerie van OCW. Het Ministerie van OCW blijft alert om fraude te voorkomen.
De primaire verantwoordelijkheid voor het voorkomen, detecteren en reageren op fraude, gerelateerd aan de financiële processen, is bij het Ministerie van OCW decentraal belegd bij de directies, diensten en agentschappen. Binnen het ministerie wordt er centraal toezicht gehouden op dit beheersstelsel.
Het Ministerie van OCW geeft aandacht aan het voorkomen van fraude door maatregelen te nemen op basis van de belangrijkste materiele frauderisico's. Bij fraude kan er sprake zijn van interne fraude door ambtenaren of bestuurders van het Ministerie van OCW of externe fraude (jegens de overheid). Bij interne fraude betreft het medewerkers van het Ministerie met betrekking tot programmagelden (subsidies, uitkeringen, bijdragen, opdrachten, etc.) en apparaatsgelden (personele en materiële uitgaven). Bij externe fraude gaat het om fraude door derden en valt het onder misbruik en oneigenlijk gebruik. Zie hiervoor de nadere uitwerking onder de paragraaf «Misbruik en Oneigenlijk gebruik». De belangrijkste materiële risico’s op interne fraude zijn te onderkennen bij:
– inkoop- en aanbestedingstrajecten;
– verstrekken en vaststellen van subsidies, verstrekken van studiefinanciering, lerarenbeurzen en registratie van diploma’s;
– personele vergoedingen (zoals onterechte of te hoge declaraties), aannemen geschenken en diefstal;
– doorbreking van interne beheersmaatregelen in financiële en betaalprocessen (zoals functievermenging, samenspanning, valsheid in geschrifte) door onvoldoende autorisatiebeheer en informatiebeveiliging;
– niet volledig verantwoorden van de opbrengsten.
Het algemene beeld van het Ministerie van OCW is dat er voldoende aandacht wordt besteed aan het voorkomen van fraude. Deze conclusie is gebaseerd op de beoordeling van de ontvangen informatie, die centraal binnen OCW is uitgevraagd en beoordeeld, en de advisering door de Audit Dienst Rijk (ADR). Ook stond risicomanagement in 2024 diverse keren op de agenda bij zowel het Bestuursraad als de Audit Committee. Daarnaast zijn in de diverse financiële processen stappen ingebouwd om te voorkomen dat en om na te gaan of er per ongeluk dan wel met opzet oneigenlijke betalingen plaatsvinden ten gunste van eigen medewerkers. Deze stappen worden beschreven in de procesbeschrijvingen. Voorbeelden hiervan zijn autorisatiebeheer, functiescheiding en logische toegangscontrole.
Het Ministerie van OCW heeft de ADR gevraagd om in 2024 op basis van hun expertise op dit terrein, OCW te adviseren wat er nog kan worden ontwikkeld. OCW is met de aanbevelingen aan de slag gegaan. Zo is de governance van het risicomanagement binnen OCW verder ingericht, waarbij ook fraude als risico in beeld kan komen.
In samenwerking met de ADR gaat OCW met behulp van data-analyse onderzoeken waar mogelijk frauderisico’s aanwezig zijn binnen de organisatie. Vervolgens zullen rapportages ontwikkeld worden die periodiek informatie opleveren over de mogelijke risico’s. Ook de adviezen voortkomend uit besprekingen in het Audit Committee, neemt het Ministerie van OCW mee in onze werkzaamheden. Verder wordt in 2025 binnen het ministerie centraal een werkgroep opgericht, met als doel het verder ontwikkelen van toezicht op fraudebeheersing.
Misbruik en oneigenlijk gebruik (M&O)
Het Ministerie van OCW heeft als uitgangspunt regelgeving tot stand te brengen die zo min mogelijk gevoelig is voor fraude, misbruik of oneigenlijk gebruik. Jaarlijks worden de risico’s op M&O geïnventariseerd. Waar nodig wordt het voorlichtings-, controle-, sanctie- en/of evaluatiebeleid aangepast, daarbij de wenselijkheid en doelmatigheid van deze middelen in ogenschouw nemend.
Restrisico’s op M&OIn sommige gevallen zijn de getroffen beheersmaatregelen niet voldoende om M&O geheel uit te sluiten, bijvoorbeeld wanneer de kosten van de controles hoger zijn dan de baten, wettelijke mogelijkheden begrensd zijn of risico op (indirecte) discriminatie ontstaat. Er is dan sprake van een restrisico, oftewel restant M&O. Dit is de gevoeligheid voor M&O die (bewust) overblijft nadat alle adequate maatregelen ten aanzien van voorlichting, controle, sanctie en evaluatie zijn getroffen.
Onderstaande tabel beschrijft per begrotingsartikel de geldstroom met restant M&O die overblijft na inzet van beheersmaatregelen als aan het betreffende begrotingsartikel een restant M&O kleeft groter dan €1 miljoen.
Tevens is het totaal aan restrisico opgenomen van de geldstromen met een restant M&O groter dan €1 miljoen als percentage van de totale uitgaven op artikelniveau.
Artikel 11 Studiefinanciering | ||
|---|---|---|
Aanvullende beurs | 59,3 | 1,09% |
Uitwonende beurzen | ‒ | ‒ |
Artikel 12 Tegemoetkoming onderwijsbijdrage en schoolkosten | ||
Uitwonende beurzen | 5,9 | 7,54% |
Hieronder volgt een toelichting op de geldstromen met een restant M&O groter dan € 1 miljoen. Vervolgens wordt ook kort ingegaan op de signalen die aangeven dat specifiek controles op uitwonendheid disproportioneel vaak voorkomen bij studenten met een migratieachtergrond. Het onderzoek hiernaar loopt en de uitkomsten van deze onderzoeken worden betrokken bij zowel de toekomstige vormgeving van het beleid als de beheersing van de restrisico’s.
Aanvullende beurs
Studenten kunnen in aanmerking komen voor een aanvullende beurs. De hoogte hiervan is mede afhankelijk van het ouderlijk inkomen. Vanaf september 2024 bedraagt de maximale aanvullende beurs voor een ho-student € 457,60 per maand. Het maximale bedrag aan aanvullende beurs is vanaf augustus 2024 € 439,62 voor een uitwonende mbo-student en € 413,24 voor een thuiswonende mbo-student.
Het risico op misbruik van de aanvullende beurs is beperkt wanneer de ouders van de student in Nederland wonen. De Belastingdienst beheert de inkomensgegevens vanuit het basisregister inkomen. DUO is bevoegd deze inkomensgegevens van de Belastingdienst te gebruiken en is ook afhankelijk van deze gegevens.
Het restrisico zit bij gevallen waarin inkomensgegevens uit het buitenland nodig zijn. In 2024 is er circa € 1088,0 miljoen aan aanvullende beurs toegekend. Daarvan heeft € 73,2 miljoen betrekking op studenten met ouders in het buitenland. Voor deze groep vraagt DUO de inkomensbewijsstukken zelf bij de ouders of de student op. Echter is de juistheid en volledigheid van het opgegeven inkomen niet met volledige zekerheid door DUO vast te stellen. Uitzondering hierop zijn de voormalige Nederlandse Antillen (€ 13,9 miljoen), waar dit wel mogelijk is. Hierdoor is er sprake van een restrisico omtrent studenten met een aanvullende beurs, wiens ouders in het buitenland wonen, van € 59,3 miljoen.
Beurzen voor uitwonenden
Op grond van de Wet Studiefinanciering 2000 (WSF 2000) en de Wet Tegemoetkoming Onderwijsbijdrage en Schoolkosten (WTOS) komt een deel van de studerenden in aanmerking voor een hogere beurs wanneer ze uitwonend zijn. DUO kent op aanvraag een uitwonendenbeurs toe aan een mbo-, hbo- of wo-studerende indien de studerende op een ander adres woont dan zijn ouder(s). Deze studerende ontvangt in dat geval een toelage op de basisbeurs.
WSF 2000In 2024 bedraagt de basisbeurs voor een uitwonende mbo-student € 326,16 per maand en voor een thuiswonende mbo-student € 99,94 per maand. De basisbeurs voor een uitwonende ho-student bedraagt € 302,39 per maand en € 121,33 voor een thuiswonende ho-student.
In het reguliere aanvraagproces bepaalt DUO of een studerende (die een aanvraag heeft gedaan) aanspraak maakt op een uitwonendenbeurs. Dit doet DUO door allereerst te controleren of het geregistreerde adres in de Basisregistratie Personen (BRP) een ander adres is dan het BRP-adres van de ouder(s). Aangezien niet alle studerenden daadwerkelijk op het door hun geregistreerde adres wonen, voert DUO -aanvullend op de BRP-controle- een steekproefsgewijze controle uit of desbetreffende studenten feitelijk wonen op het opgegeven adres. In 2024 hebben de controles plaatsgevonden op basis van aselecte steekproef. De risicoselectie waar voorheen gebruik van werd gemaakt bleek namelijk indirect discriminerend (zie toelichting hieronder). Op basis van de nu gehanteerde systematiek is nog weinig te zeggen over het nieuwe restrisico. Oude misbruikpercentages uit eerdere onderzoeken zijn niet meer representatief omdat sinds de herinvoering van de basisbeurs de desbetreffende populatie sterk is veranderd, en de controlesystematiek veranderd is. Daarom worden hiervoor geen cijfers weer gegeven.
De bovenstaande passage betreft alleen studerenden die in Nederland wonen. Studenten met een woonadres in België of Duitsland, ook wel grensbewoners genoemd, zijn uitgesloten van controle indien hun ouders op meer dan 120 km van de studieplaats van de student woonachtig zijn. De meest recente cijfers van het restrisico zijn gebaseerd op controles uit studiejaar 2019/2020 maar zijn sinds de herinvoering van de basisbeurs in het hbo en wo niet volledig representatief. Voor studenten met een buitenlands woonadres buiten de grensgebieden wordt meegelift met de controle op de inschrijving aan de buitenlandse onderwijsinstelling. Indien de student daadwerkelijk studeert in het gastland wordt verondersteld dat deze ook feitelijk in het gastland verblijft en betrouwbaar uitwonend is. Het is niet mogelijk een inschatting te maken van de mogelijke uitzonderingsgevallen in deze groep.
Ontwikkelingen in 2024In maart 2024 heeft het voormalige kabinet naar aanleiding van de uitkomsten van het PwC onderzoek (Kamerstukken II 2023/2024, 24724, nr. 220) excuses aangeboden voor indirecte discriminatie bij controles op uitwonendheid. In november 2024 heeft het kabinet besloten(Kamerstukken II 2024/2025, 24724, nr. 243) om alle financiële maatregelen die zijn genomen richting (oud-)studenten, na controle tussen januari 2012 en juni 2023 op basis van het oude risicogerichte selectieproces, terug te draaien. In 2024 hebben er op basis van aselecte steekproeven controles in de vorm van huisbezoeken plaatsgevonden. Tevens is er in 2024 gestart met (een pilot) schriftelijke controles waarbij studenten wordt gevraagd om met bewijsstukken aan te tonen dat ze uitwonend zijn. Deze schriftelijke controles worden ook gedaan op basis van aselecte steekproeven. OCW en DUO gaan in 2025 aan de slag met het ontwerpen van een volledig nieuw controleproces omtrent uitwonendheid dat goed onderbouwd is en niet discrimineert. Het vertrekpunt is dat het nieuwe controleproces wederom risicogericht zal zijn.
WTOSDe uitwonende basistoelage die op grond van de WTOS (regeling meerderjarige vo-scholieren) aan een uitwonende scholier wordt verstrekt, bedroeg in 2024, € 320,78 per maand en voor thuiswonende scholieren € 137,58 per maand. Bij vaststelling van de tegemoetkoming scholieren (WTOS) wordt ook het adres van de leerling geverifieerd bij de BRP. Daarnaast verklaren de ouders dat de leerling uitwonend is, het adres van de ouders wordt niet standaard gecontroleerd bij de BRP. Dit adres wordt alleen vastgelegd als het inkomensafhankelijke deel van de tegemoetkoming is aangevraagd. Ook vindt er bij verhuizing van de leerling een controle plaats. Er vinden vanwege het beperkte budgettaire beslag geen aanvullende controles plaats zoals die wel worden uitgevoerd bij de uitwonende beurs van de WSF 2000. Het restrisico betreft daarom het volledige bedrag wat aan uitwonende scholieren is toegekend, dit risico wordt als laag ingeschat. In studiejaar 2023/2024 beslaat dit een bedrag van € 5,9 miljoen (7,53%), dit is fors hoger dan voorgaande studiejaren wegens de koopkrachttoeslag die aan uitwonenden is uitbetaald.
Overige aspecten van de bedrijfsvoering
Er zijn geen bijzonderheden te melden.
Paragraaf 2 - Rijksbrede bedrijfsvoeringsonderwerpen
Grote lopende ICT-projecten
Het Ministerie van OCW en de aan haar gerelateerde zbo’s kenden in 2024 acht ICT-projecten groter dan €5 miljoen. Al deze projecten zijn al voor 2024 gestart. Het betreft één project bij het kerndepartement, Programma Doorontwikkeling Leeroverzicht, en 7 projecten bij DUO: Digitaal Klantinteractie Platform, Enterprise Cloud, Moderniseren Examens, Moderniseren SAP, Doorontwikkelen Applicatielandschap Bekostiging, Vervangen Legacy Innen en Vervangen Legacy Toekennen. De laatstgenoemde 3 zijn in heroriëntatie.
De projecten Digitaal Klantinteractie Platform en Doorontwikkelen Applicatielandschap Bekostiging zijn getoetst en voorzien van een oordeel van de Chief Information Officer (CIO) van het Ministerie van OCW. Moderniseren Examens en Doorontwikkelen Applicatielandschap Bekostiging zijn ook getoetst door het Adviescollege ICT-toetsing. Toetsing door CIO OCW van de andere projecten staat gepland voor 2025.
Van alle projecten wordt de stand van zaken openbaar gemaakt via het Rijks ICT-dashboard. Voor alle projecten geldt dat de centrale en decentrale CIO, Chief Information Security Officers en privacyfunctionarissen adviseren over de risico’s. De risico's worden in beeld gebracht, decentraal door het betreffende dienstonderdeel, en centraal door het integrale risicobeeld en eerdergenoemde CIO-oordelen.
Beleid en kaders worden concern-breed besproken in het OCW-netwerken van CIO’s, CISO’s, CDO’s en CPO’s.
Gebruik open standaarden en open source software
De Instructie Rijksdienst schrijft voor dat bij de aanschaf en ontwikkeling van ICT-diensten of ICT-producten in beginsel gebruik moet worden gemaakt van open standaarden van de lijst van het Forum Standaardisatie (www.forumstandaardisatie.nl). Valide afwijkingsgronden zijn opgenomen in de Instructie Rijksdienst. Indien er sprake is van een afwijking van de Instructie Rijksdienst, dan wordt dit gemotiveerd aangegeven. Bij het Ministerie van OCW is in 2024 geen sprake geweest van afwijking van de Instructie Rijksdienst voor gebruik open standaarden.
OCW maakt waar mogelijk gebruik van open source en kijkt bij het ontwikkelen van software naar de mogelijkheid om deze als open source beschikbaar te stellen. Gebruik en beschikbaar stellen van open source vergt een zorgvuldige afweging. Voor gebruik en beschikbaar stellen van open source software heeft BZK een afwegingskader opgesteld dat echter nog in het CIO Beraad moet worden afgestemd met de departementen. Waarbij ook gekeken moet worden naar de consequenties van het afwegingskader voor de uitvoering. OCW kan pas rapporteren over gebruik open source software als er een afgestemd afwegingskader is.
Betaalgedrag
Het streefpercentage voor tijdig betalen is 95% van alle facturen binnen 30 dagen na datum van ontvangst van de factuur. Het Ministerie van OCW voldoet al jarenlang aan de gestelde norm. Over 2024 is het percentage tijdig betalen bij het Ministerie van OCW uitgekomen op 97,1%.
Audit Committee
Conform de Regeling Audit Committees van het Rijk heeft in het jaar 2024 geen evaluatie plaatsgevonden.
Departementale checks and balances subsidieregelingen
Nieuwe en gewijzigde subsidieregelingen worden vóór publicatie beoordeeld in het departementale Expertise Centrum Subsidies (ECS). In dit ECS hebben medewerkers/experts zitting met de voor de casus relevante proceskennis op het gebied van wetgeving, financieel beheer en uitvoering. Deze beoordeling is gericht op de kwaliteit van de risicoanalyse en de wijze waarop gesignaleerde (M&O-, staatssteun- en quisuitvoerings-) risico’s zijn afgedekt. In de in 2024 vastgestelde procesbeschrijving is vastgelegd welke documentatie er, onder andere ten behoeve van het ECS, verplicht moet worden opgesteld. Een staatssteunanalyse, risicoanalyse en controlebeleid maken daar onderdeel van uit.
Normenkader financieel beheer zbo’s en rwt’s
Het normenkader financieel beheer maakt vast onderdeel uit van het toezichtkader zbo’s en rwt’s. Binnen het Ministerie van OCW is dit kader ook verankerd in een handreiking die handvatten biedt bij het reguliere toezicht op individuele zbo’s en het inrichten van het sturingsmodel (eigenaar, opdrachtgever en opdrachtnemer).
Paragraaf 3 - Belangrijke ontwikkelingen en verbeteringen in de bedrijfsvoering
Datalekken bij het Ministerie van OCW en DUO
Er zijn 354 potentiële datalekken gemeld bij de interne datalekmeldpunten. Hiervan kwalificeerden 87 uiteindelijk niet als datalek. Dit brengt het totaal aantal daadwerkelijke datalekken op 267. Er zijn 30 datalekken gemeld aan betrokkenen en 32 aan de Autoriteit Persoonsgegevens.
De datalekken zijn uitgesplitst naar organisatieonderdelen.
Waarvan geen datalek | |||||
|---|---|---|---|---|---|
Totaal | 354 | 87 | 267 | 32 | 30 |
Bestuursdepartement | 27 | 9 | 18 | 3 | 1 |
DUO | 286 | 75 | 211 | 26 | 28 |
Inspectie vh Onderwijs | 31 | 2 | 29 | 3 | 1 |
Nationaal Archief | 9 | 1 | 8 | 0 | 0 |
Rijksdienst voor Cultureel Erfgoed | 1 | 0 | 1 | 0 | 0 |
Qua totaalaantallen was er in 2024 sprake van een toename van datalekken (267) t.o.v. 2023 (101). Op inhoud is er geen significante verschuiving in de soorten of oorzaken van datalekken geconstateerd. De aard van de datalekken wordt gemonitord om te bepalen of eventuele aanpassingen in processen noodzakelijk zijn. In 2024 zijn er informatiebeveiliging en privacy e-learnings aangeboden, dat het voorkomen, herkennen en melden van datalekken als belangrijke focus had.
DUO heeft in 2024 286 meldingen van potentiële datalekken ontvangen waarvan in 211 gevallen daadwerkelijk sprake was van een datalek. Hiervan is in 26 gevallen een melding bij de Autoriteit Persoonsgegevens (AP) gedaan. Het verschil tussen het aantal gemelde potentiële datalekken en het aantal meldingen bij de AP is te verklaren. Bij de meeste datalekken is de inschatting dat het risico op ernstige mogelijke gevolgen voor betrokkenen verwaarloosbaar klein is en deze worden daarom niet bij de AP of bij een betrokkene gemeld.
Lerend OCW: identificatie en herstel van discriminatoir beleid en uitvoering.
In maart heeft de toenmalige minister van OCW geconstateerd dat sprake was van indirecte discriminatie bij de voormalige risicogerichte controlewerkwijze bij de uitwonendenbeurs. Hierdoor hadden bepaalde groepen studenten een onevenredig verhoogde kans op een controle. Bij dit risicogerichte controleproces is onvoldoende sprake geweest van een zorgvuldige en rechtvaardige behandeling richting gecontroleerde (oud-)studenten. De controle op de beurs voor uitwonende studenten (CUB) heeft geleerd dat als er sprake is van (indirecte) discriminatie, dit sneller moet worden gesignaleerd en hersteld.
Met betrekking tot lopende regelingen zal een lijst worden opgesteld met alle regelingen die een individu direct raken. Hiermee bedoelen we regelingen waar een individu aanspraak op kan maken, rechten aan kan ontlenen of die een individu verplichtingen opleggen. Deze regelingen worden doorgelicht op mechanismen die mogelijk leiden tot (indirecte) discriminatie. In die gevallen zullen mogelijkheden voor herstel worden onderzocht, daarbij ook rekening houdend met M&O- beleid.
Het vergroten van kennis over potentiële bias is onderdeel van het leren en dit zal samen met het OCW Programma tegen Discriminatie en Racisme verder vormgegeven worden.
Overige ontwikkelingen DUO
Meerjaren Herijking Lifecycle Management
DUO gebruikt sinds 2019 Lifecycle Management (LCM) als instrument voor vervanging en modernisering van haar ICT-systemen. In 2019 is met OCW een financieel arrangement LCM afgesproken. In 2024 heeft DUO teruggekeken naar de resultaten van de afgelopen vijf jaar en heeft DUO ook vooruitgekeken om inzicht te geven in het werk wat nog moet gebeuren, de lessons learned en de vertaling die nog onderhanden is van beide zaken naar een meerjarige LCM-planning voor de komende vijf jaar.
Rijksbreed Compliance 2025-2029DUO ziet een toename van generieke wet- en regelgeving op zowel nationaal als Europees niveau, waar DUO compliant aan moet zijn. De capaciteit en middelen die benodigd zijn voor implementatie van deze trajecten is vele malen omvangrijker dan vijf jaar geleden. Het gaat om trajecten met aanzienlijke uitvoeringsconsequenties, waarbij binnen het Rijk vooralsnog geen rekening gehouden wordt met de samenloop en de verandercapaciteit op totaalniveau (niet alle trajecten kunnen gelijktijdig geïmplementeerd worden). Enkel het ter beschikking stellen van middelen kan dit niet ondervangen. Niet alle gewenste capaciteit kan geworven worden gelet op arbeidsmarktkrapte (ICT en juridisch) en verhoudt zich niet tot de huidige taakstelling. Dit leidt er vermoedelijk toe dat binnen het Rijk scherpe keuzes gemaakt moeten worden over de prioritering van deze trajecten op rijksbreed niveau.
Het gaat hierom grote digitaliseringsslagen vanuit de EU en op nationaal niveau, zie bijvoorbeeld de Werkagenda Waardengedreven Digitalisering. Opvolging hiervan vindt plaats via de Nationale Digitaliseringsstrategie (NDS). Daarnaast spelen in de buitenwereld belangrijke ontwikkelingen met verschillende achtergronden. Artificial Intelligence en algoritmes bijvoorbeeld zijn onderwerpen die enorm in ontwikkeling zijn. Ze vragen van de overheid veel om hier blijvend op in te kunnen spelen en vragen om forse aanpassingen in de bedrijfsvoering en kennen een urgent karakter. Daarnaast heeft DUO te maken met lopende wetstrajecten zoals de Wet versterking waarborgfunctie Awb, de Wet modernisering elektronisch bestuurlijk verkeer, geslachtsvermelding ‘X’ en meerouderschap.
DuurzaamheidOCW draagt bij aan de rijksbrede duurzaamheidsdoelen door actief in te spelen op verschillende thema’s. Op het gebied van klimaatneutrale bedrijfsvoering is OCW sinds 2022 gecertificeerd voor de CO2-prestatieladder. Sindsdien heeft OCW jaarlijks de CO2-uitstoot in kaart gebracht van het vastgoed en de zakelijke reizen. Uit de analyse blijkt dat een groot deel van de CO2-uitstoot van OCW komt door de aardgasverwarming en het elektriciteitsgebruik in de panden. Een bijna net zo groot deel komt door de autokilometers, voor woon-werk en dienstreizen en de vliegkilometers van buitenlandse vluchten. Om de CO2-uitstoot terug te dringen neemt OCW verschillende maatregelen, zoals het inzetten op duurzaam reizen, bewustwording over vliegen en gasbesparing in de OCW panden.
Daarnaast voert OCW de Wet banenafspraak en de quotumregeling uit. Deze wet heeft tot doel duurzame banen te realiseren voor mensen met een beperking/bijzonderheid die in het doelgroepenregister van UWV staan. Het gaat om zowel individuele plaatsingen bij directies als collectieve banen (groepsplaatsingen) via de rijksdienst Binnenwerk. In 2024 zijn 241,1 FTA aan banen gerealiseerd. Ook werkt OCW mee aan de circulaire economie. Zo is er Rijksbreed een circulair contract voor kantoormeubilair met refurbished meubilair. Ook met de contracten voor afvalscheiding met monostromen, voor bijvoorbeeld plastic en koffieresten, wordt er bijgedragen aan een circulaire economie.
OCW maakt elk jaar een openbaar CO2 managementplan met de doelen, de maatregelen en de voortgang. Ook rijksbreed vindt jaarlijkse monitoring en rapportage plaats via het jaarverslag bedrijfsvoering rijk.