Ketenauditing “De toegevoegde waarde van een ketenaudit vanuit een bestuurlijke context” Scriptie ter afronding van de post-graduate opleiding IT-audit aan de Vrije Universiteit te Amsterdam
Document Titel Auteur Eind Datum Begeleiding/ Coaching
Ketenauditing drs. Michael Bosch april 2008 drs. Bart van Staveren RE, UWV, Universitair Begeleider Peter Spermon RE RI CISA, Inspectie Werk en Inkomen, Bedrijfscoach
Inhoudsopgave Voorwoord .............................................................................................................................3 Samenvatting..........................................................................................................................4 1 Inleiding .........................................................................................................................5 1.1 Probleemstelling .....................................................................................................5 1.2 Werkwijze...............................................................................................................6 1.3 Afbakening .............................................................................................................6 2 Openbaar bestuur en ketens.............................................................................................7 2.1 Wat is een keten ......................................................................................................7 2.2 Risico’s van ketens..................................................................................................9 2.3 Reguliere verantwoordingen in de sociale zekerheid ...............................................9 2.4 Ketencoördinatie en toezicht .................................................................................11 2.5 Conclusie ..............................................................................................................12 3 Theorie ketenauditing ...................................................................................................13 3.1 Bestaande ketenaudit definities, modellen en methoden ........................................13 3.1.1 Theorie De Bruijn e.a. ...................................................................................13 3.1.2 Di Maio .........................................................................................................14 3.1.3 Nederlandse Overheid Referentie Architectuur (NORA) ...............................15 3.1.4 Beschouwing .................................................................................................16 3.2 Randvoorwaarden ketenaudit ................................................................................16 4 Sociale zekerheid en ketenauditing ...............................................................................18 4.1 EDP-audit Beveiliging Suwinet .............................................................................18 4.1.1 Context..........................................................................................................18 Theoretische toetsing: NORA (Privacy en Beveiliging paragraaf) aan Suwinet audit 19 4.1.2 4.1.3 Praktijk: Suwinet audit ..................................................................................22 4.2 Ontwikkeling Digitaal Klantdossier.......................................................................23 4.2.1 Juridische context ..........................................................................................24 4.2.2 Theoretische toetsing: Raamwerk Di Maio aan ontwikkeling Digitaal Klantdossier .24 4.2.3 Praktijk: Ketentoets Digitaal Klantdossier .....................................................31 4.2.4 Theoretische toetsing: Raamwerk Di Maio aan P-direct .................................32 4.3 Theoretische toetsing: De Bruijn e.a. aan Suwinet audit / ketentoets DKD ............34 5 Conclusie: Toegevoegde waarde van een ketenaudit vanuit bestuurlijke context ...........35 5.1 Reflectie................................................................................................................37
2
Voorwoord Voor u ligt mijn afstudeerscriptie ter afronding van de postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Deze scriptie is het resultaat van een leerzaam, interessant en soms moeizaam traject, uitgevoerd van december 2007 tot en met april 2008. Het opdoen van inzicht in ketenauditing en de toegevoegde waarde hiervan voor het openbaar bestuur is een belangrijk persoonlijk resultaat van het onderzoek voor mij geweest. Met deze scriptie wil ik een bijdrage leveren aan de kennis met betrekking tot dit onderwerp. Op deze plaats wil ik graag mijn begeleidend docent Bart van Staveren bedanken voor zijn kritische op- en aanmerkingen en aanmoedigingen tijdens het scriptietraject. Daarnaast wil ik ook graag mijn bedrijfscoach Peter Spermon bedanken voor zijn inzet en het geven van adviezen en feedback op de conceptversies van deze scriptie. Verder wil ik alle contactpersonen en geïnterviewden die hebben bijgedragen aan het onderzoek oprecht bedanken voor hun inbreng en tijd. Tenslotte wil ik familie, vrienden en mijn vriendin bedanken voor de ondersteuning tijdens de studie en bij het schrijven van deze scriptie. Amsterdam, april 2008
3
Samenvatting Het ministerie van Sociale Zaken en Werkgelegenheid stelt zich meer en meer op als opdrachtverstrekker maar laat de uitvoering, zoals bij het programma Digitaal Klantdossier, veelal over aan ketenpartners. Dit neemt niet weg dat het ministerie nog wel eindverantwoordelijk is voor het resultaat, de sturing hierbij is op hoofdlijnen (outcome). ITauditing op ketenniveau als hulpmiddel voor het openbaar bestuur om adequaat te kunnen (bij)sturen is hierbij in beeld. Voor de opzet van een effectieve ketenaudit bestaat thans een theorie. Om een ketenaudit uit te kunnen voeren is ook een normenkader nodig. Normenkaders voor een ketenaudit zijn er op dit moment nog niet. In deze scriptie toets ik twee raamwerken aan twee typen ketenaudits met als doel de ketenauditor met deze twee raamwerken daadwerkelijk normenkaders in handen te geven bij de uivoering van ketenaudits. Bij een ketenaudit op E-overheid programma’s is het gebruik van het raamwerk van Di Maio als normenkader door een ketenauditor van toegevoegde waarde voor het openbaar bestuur omdat zo in een vroegtijdig stadium strategische risico’s voor het behalen van de doelstellingen worden geïdentificeerd. Bij toetsing van dit raamwerk aan het ketenbrede programma Digitaal Klantdossier (DKD) komt naar voren dat de gesignaleerde risico’s die ten grondslag liggen aan de initiatie van het programma DKD door een ketendauditor opgemerkt hadden kunnen worden. Daarnaast zijn ketenrisico’s geïdentificeerd op het lopende programma DKD bij het behalen van de ketenbrede E-overheid doelstelling van eenmalige gegevensuitvraag. Bij toetsing van dit raamwerk aan de gesignaleerde risico’s vanuit de lessons learned op het interdepartementale ICT project P-Direct komt naar voren dat het merendeel van deze risico’s eerder, of zelfs voor aanvang, geïdentificeerd hadden kunnen worden door een ketenauditor bij gebruik van dit raamwerk. De toereikendheid van dit raamwerk blijkt na toetsing ruim voldoende, echter er ontbreekt een toetspunt ten aanzien van de adequate inrichting van een kwaliteitsborgende ketenbrede rol. Bij een ketenaudit op het gebied van privacy en beveiliging bevat de privacy- en beveiligingsparagraaf van de NORA een bruikbaar toetsingskader voor een ketenauditor. Dit onderdeel van de NORA stelt dat samenwerken in de context van de elektronische overheid een aantal aanvullende inrichtingsprincipes met zich mee brengt op het gebied van de beheersing van de informatiebeveiliging. De Suwinet audit voldoet hier grotendeels aan. Aanvullend op de zaken die in de besproken normenkaders staan komt vanuit zowel de auditpraktijk, de toezichthouder als het ministerie naar voren dat een ketenaudit van maximale toegevoegde waarde voor het openbaar bestuur is als de volgende aandachtspunten bij de ketenauditor goed in beeld zijn: • Neem als ketenauditor (intergraal) de risico’s bij de externe leveranciers van de ketenpartners mee zodat deze risico’s niet onderbelicht blijven. Dit biedt de minister waarborgen dat een ketenaudit ook daadwerkelijk alle risico’s voor de keten bevat; • Vooraf als ketenauditor in beeld hebben of het wettelijk gevraagde oordeel ook daadwerkelijk (vaktechnisch) afgegeven kan worden; • Indien bij aanvang van een ketenaudit duidelijk is dat (kleine) organisaties geen ITauditors kunnen inzetten bij ketenaudits vooraf heldere afspraken maken over een review van een IT-auditor op de audit werkzaamheden van een niet gekwalificeerde auditor om toch het integrale kwaliteitsniveau van de uitvoering van de ketenaudit te borgen. 4
1 Inleiding Samenwerking in ketenverband is anno 2008 steeds meer noodzakelijk om tot een resultaat te komen dat van een toegevoegde waarde is voor de individuele burger en de samenleving als geheel. De strafrechtketen, de vreemdelingenketen en de zorgketen zijn hiervan sprekende voorbeelden. Een voorbeeld binnen de sociale zekerheid is de Wet eenmalige gegevensuitvraag die per 1 januari 2008 van kracht is. Hiermee wordt beoogd een administratieve lastenverlichting voor de burger te bewerkstelligen. Hiervoor wordt een keten binnen de sociale zekerheid ingericht. Wie zich inschrijft als werkzoekende of een uitkering aanvraagt hoeft daar in de toekomst nog maar één keer zijn gegevens voor te verstrekken. De wet verbiedt organisaties die de wetten voor werk en inkomen uitvoeren om bij hun klanten gegevens op te vragen die al bij hen of bij andere uitvoeringsorganisaties bekend zijn. Zij moeten gebruik gaan maken van het Digitaal Klantdossier (DKD). Het DKD is een virtueel dossier dat is opgebouwd uit de databestanden van gemeente, UWV, CWI, GBA, RDW en IBG. Het in ketenverband juist en tijdig (gaan) uitwisselen van gegevens over de burger vormt in dit voorbeeld een essentieel onderdeel. Ketens moeten hierbij beschikken over een goede ICT-voorziening om effectief hun taken te kunnen vervullen. Hoe en op welke wijze onder andere het ketenbrede programma Digitaal Klantdossier ook ketenbreed wordt ge-audit beschrijf ik als case in deze scriptie. De vraag wordt beatwoord in hoeverre er bij de ontwikkeling van het Digitaal Klantdossier toegevoegde waarde wordt toegekend aan ketenaudits vanuit een bestuurlijke context. Door de actualiteit van dit onderwerp en de toenemende vraag om IT-auditors in te zetten in ketenaudits, heb ik dit onderwerp gekozen voor mijn scriptie. Hiervoor maak ik gebruik van mijn ervaringen met ketenaudits bij de Inspectie Werk en Inkomen (IWI).
1.1 Probleemstelling De probleemstelling luidt: Wat is de toegevoegde waarde van een ketenaudit vanuit het openbaar bestuur gezien? Met deze hoofdvraag als uitgangspunt kunnen de volgende onderzoeksvragen worden geformuleerd: 1. Wat is een keten? 2. Welke afhankelijkheid heeft het openbaar bestuur van ketens en welke risico’s worden er op dit gebied gelopen? 3. Welke reguliere verantwoordingen zijn er? 4. Welke definities, modellen en methoden zijn er voor ketenauditing? Wat zijn de verschillen? 5. Wat zijn de randvoorwaarden waaraan je bij een ketenaudit moet voldoen? 6. Hoe verhoudt de theorie zich met de praktijk? 7. Wat zijn de problemen in de praktijk bij ketenaudits? 8. Wat heeft ketenaudit tot nu toe bijgedragen in de sociale zekerheid? 9. Wat kan ketenauditing nu aan extra toegevoegde waarde bieden?
5
1.2 Werkwijze Tijdens dit onderzoek is gebruik gemaakt van de volgende onderzoeksinstrumenten. • Deskresearch: het bestuderen van literatuur, openbare nota’s, rapporten, plannen van aanpak, etc. • Het voeren van gesprekken met hoger management en middenkader van het van het Ministerie van Sociale Zaken en Werkgelegenheid en de toezichthouder binnen de sociale zekerheid: Inspectie Werk en Inkomen. Beide organisaties zijn verantwoordelijk voor de inrichting en auditing van ketens. Ook ketendeskundigen, ketenauditoren en opdrachtgevers van ketenaudits zijn betrokken. • Het bestuderen van een tweetal bestaande cases (ketenaudits)
1.3 Afbakening Dit onderzoek richt zich uitsluitend op ketens binnen het openbaar bestuur. Dit zijn ketens die vallen onder de verantwoordelijkheid van ministeries en/of andere publieke organisaties. Veel kenmerken van ketens zijn hetzelfde maar ik richt mij in deze scriptie op de ketens binnen de sociale zekerheid. Dit doe ik omdat ik in deze sector werkzaam ben en het functioneren van ketens hier van dichtbij ervaar. Met deze scriptie wil ik een bijdrage leveren aan het adequaat inrichten en uitvoeren van een ketenaudit zodat (keten)problemen in de toekomst zoveel mogelijk kunnen worden voorkomen.
6
2 Openbaar bestuur en ketens Zoals in de inleiding van dit stuk geschetst nemen het aantal ketens bij de rijksoverheid gestaag toe. Ketens moeten beschikken over een goede informatievoorziening om effectief hun taken te kunnen vervullen. In dit hoofdstuk geef ik antwoord op drie vragen: • • •
Wat is een keten? Welke afhankelijkheid heeft het openbaar bestuur van ketens en welke risico’s worden er op dit gebied gelopen? Welke reguliere verantwoordingen zijn er?
2.1 Wat is een keten Het begrip keten is een breed toepasbaar begrip en creëert een beeld van aan elkaar gekoppelde schakels; een ketting. De brede toepasbaarheid van dit begrip heeft ertoe geleid dat er veel verschillende omschrijvingen van ketens in omloop zijn [DUI, POO]. In dit onderzoek maak ik gebruik van de definitie zoals die door het Ministerie van Binnenlandse Zaken wordt gegeven: Een keten is een samenwerkingsverband tussen partijen die zowel zelfstandig als afhankelijk van elkaar functioneren omdat ze volgtijdelijke handelingen uitvoeren, gericht op een afzonderlijk doel. Bij de afstemming van de activiteiten staat de cliënt die het primaire proces doorloopt centraal [MIB]. In de keten staat de logica van het primaire proces centraal, hiermee wordt gedoeld op alle activiteiten die waarde toevoegen in een keten. Het primaire proces bestaat uit een opeenvolging van contactmomenten met een cliënt. Een stap in deze keten van de publieke dienstverlening is een ‘schakel’. Een schakel dient niet verward te worden met een organisatie. Een schakel is een contactmoment met een cliënt. De organisatie van de dienstverlening vindt plaats vanuit de cliënt; organisaties en instellingen worden geprikkeld hun activiteiten zo op elkaar af te stemmen dat er geen overlap is in hun aanbod en er ook geen vragen van cliënten blijven liggen. De afstemming krijgt zo vorm dat er voor cliënten een doorlopend en samenhangend pakket aan dienstverlening ontstaat. In de ideale situatie hoeft de cliënt door de ongehinderde voortgang in de keten niet eens te merken dat hij/zij met verschillende organisaties te maken heeft [TWI]. Het is kenmerkend voor een keten dat ketenpartners samenwerken, hun eigen taken en bevoegdheden hebben, maar wederzijds afhankelijk zijn van elkaar. De partners maken hun samenwerking operationeel en hun inspanningen afrekenbaar door ketenafspraken [AAK]. Er zijn zeer veel verschillende type ketens: dynamische ketens, vraag- en aanbodgerichte ketens beleidsketens, fysieke ketens,complexe en eenvoudige ketens en verticale, horizontale en diagonale ketens. De indeling naar verticaal, horizontaal en diagonaal heeft betrekking op zowel de aansturing als op het proces van de keten. Qua aansturing is er sprake van een verticale keten als er één centrale eindverantwoordelijke is voor een keten die door opeenvolgende bestuurslagen heen loopt. Een voorbeeld hiervan is een ketenproces dat zich afspeelt binnen één departement waarvoor de minister de eindverantwoordelijke is. Een
7
horizontale keten daarentegen is een samenwerkingsverband waarbij niet één maar meer eindverantwoordelijken binnen één bestuurslaag zijn aan te wijzen. Bij een interdepartementale samenwerking bijvoorbeeld is de eindverantwoordelijkheid verdeeld over verschillende ministers. Qua ketenproces is ook een indeling te maken naar horizontaal en verticaal. Een ketenproces kan bestaan uit opeenvolgende fasen (verticaal). Een ketenproces kan evenwel ook bestaan uit parallelle fasen (horizontaal) [MEE]. Uit onderzoeksresultaten blijkt dat de systemen van de ketenpartijen hoofdzakelijk per organisatie zijn ingericht (verticaal), niet op het niveau van de keten (horizontaal). Met de komst van de SUWI-keten (zie hierna) is het koppelen van deze systemen op de agenda gekomen [EXP]. Het Digitaal Klantdossier is hier een sprekend voorbeeld van. SUWI-keten De samenwerking in de SUWI-keten (Structuur Uitvoeringsorganisatie Werk en Inkomen; de keten van CWI, gemeentes en UWV die zorgdraagt voor het verlenen van hulp aan werkzoekenden en het verzorgen van (tijdelijke) uitkeringen) krijgt de laatste jaren steeds meer vorm. De overheid stelt zich meer en meer op als regisseur. Zo is de rol van het Ministerie van SZW die van opdrachtverstrekker aan ketenpartijen om bijvoorbeeld de ketenbrede ontwikkeling van een Digitaal Klantdossier vorm te geven. De invulling hiervan is overgelaten aan de ketenpartners. In de sturing en beheersing staat het resultaat voorop, de opdrachtgever/minister van SZW maakt (meerjarige) afspraken over de resultaten. De nadruk ligt op sturen op hoofdlijnen/resultaat (outcome). Hieruit is de behoefte aan toezicht op het realiseren van beleidsdoelen, de effectieve en efficiënte inzet van middelen en de naleving van voorgeschreven kwaliteitsnormen ontstaan. Met het jaarlijkse SUWI-ketenprogramma worden een aantal belangrijke thema’s ketenbreed ontwikkeld, waaronder het afstemmen van ICT-oplossingen en -investeringen[AKO]. Elke ketenpartner heeft haar eigen werkveld en verantwoordelijkheid. Deze twee elementen dienen op elkaar afgestemd te zijn om zo een vloeiende samenhang in de samenwerking te creëren. Binnen de SUWI-keten zijn op diverse niveaus samenwerkingsverbanden ontstaan. Zo moet een burger een uitkering aanvragen bij CWI, de organisatie die in eerste instantie verantwoordelijk is voor de toeleiding naar werk. Voor informatie over scholing en begeleiding kan een burger in dit geval ook bij CWI terecht. Indien er naar verwachting ook recht op een uitkering bestaat verwijst CWI naar een uitkerende instantie door, UWV of de sociale dienst van een gemeente. Hiermee is sprake van een zogenoemde ‘uitkeringsketen’. Bovenstaand voorbeeld illustreert dat de inrichting van de sociale zekerheid zodanig is dat een burger die werk of een uitkering van de overheid wil aangewezen is op verschillende organisaties die allen hun eigen verantwoordelijkheid hebben voor de uitvoering van een deel van het proces. We spreken hier dus van een horizontale keten. Door alle handelingen als een keten te beschouwen worden deze beter op elkaar afgestemd en kan de burger beter worden bediend. Voor deze afstemming is informatie-uitwisseling over de klant noodzakelijk. Dit stelt hoge eisen aan de informatie-uitwisseling en de ICT-voorzieningen in de sociale zekerheidsketen.
8
2.2 Risico’s van ketens De in de SUWI wetgeving neergelegde verantwoordelijkheidsverdeling op het gebied van werk en inkomen maakt het noodzakelijk dat de ketenpartners CWI, UWV en gemeenten bij het realiseren van de doelstellingen met elkaar samenwerken. Ketenpartners hebben elkaar steeds meer nodig voor het realiseren van een aantal gemeenschappelijke doelen, die ze in steeds mindere mate exclusief op eigen kracht kunnen bereiken. Het gaat in de uitwerking dan enerzijds om de vormgeving van een geïntegreerde en ontschotte frontoffice voor werkzoekenden en anderzijds om de geïntegreerde en ontschotte werkgeversbenadering en de relatie daartussen. Een afdoende resultaat wordt alleen bereikt als alle schakels in deze keten vlekkeloos samenwerken. In de praktijk lukt dit niet altijd even goed. Uit verschillende literatuur komt naar voren dat voorbeelden van risico’s die het openbaar bestuur loopt bij een slecht of onvoldoende functionerende keten zijn: [GRI, STE, ZEE] • Het ontbreken van één gezicht naar buiten als overheid; • Het niet hebben van de (keten)regie; • Inefficiënt en ineffectief functioneren van de overheid; • Publieke verontwaardiging; • Schade voor imago van de keten; • Politieke escalatie; • Niet meetbare ketenresultaten.
2.3 Reguliere verantwoordingen in de sociale zekerheid Deze paragraaf beantwoordt de vraag welke verantwoordingen er zijn binnen en over een keten. Ik gebruik hierbij als voorbeeld het SUWI-domein. Aan de orde komen achtereenvolgens de aansturing en de (reguliere) verantwoording hierover aan de minister van SZW en het toezicht dat hierop namens hem plaatsvindt. Aansturing De minister van SZW stuurt op beleids- en systeemniveau door goedkeuring te verlenen aan begroting, jaarplannen en meerjarenplannen waarvoor in SUWI-wet een kader is vastgesteld. Een ander instrument waarmee de minister van SZW stuurt is door het budget vast te stellen. Aan de te leveren diensten en producten zijn eisen geformuleerd. Prestatie-indicatoren spelen hierbij een belangrijke rol omdat ze informatie geven over de mate waarin aan de prestatieeisen is voldaan. Verantwoording CWI, UWV, SVB, RWI en het Inlichtingenbureau leggen ieder voor zich verantwoording af in één verantwoordingsdocument, de jaarverantwoording. De jaarverantwoording bevat de jaarrekening en het jaarverslag. In de verantwoording wordt ingegaan op de rechtmatigheid, de doelmatigheid van de uitvoering en op de bedrijfsvoering. Het gaat zowel om de beleidsuitgaven als de uitvoeringskosten. De jaarrekening en het jaarverslag zijn voorzien van een accountantsverklaring van getrouwheid; de rechtmatigheid valt onder de reikwijdte van de verklaring. Daarnaast stelt de accountant een verslag op over de doelmatigheid van het beheer en de organisatie van de rechtspersoon. De vaststelling van de jaarrekening behoeft de goedkeuring van de minister van SZW.
9
Verantwoording over ICT De wet SUWI en de bijbehorende regelgeving stelt eisen aan de beveiliging van de eigen gegevensverwerking van de uitvoeringsorganisaties en van de gegevensuitwisseling door middel van Suwinet [RE5, RE6]. Met Suwinet worden de gegevens op basis van sofinummers toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking willen komen voor een uitkering. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Beveiliging van de gegevensverwerking Artikel 5.22 van de Regeling SUWI schrijft voor dat de uitvoeringsorganisaties zich ieder jaar verantwoorden over de opzet en werking van het stelsel van maatregelen en procedures, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. De rapportage wordt vergezeld van een oordeel en een rapport van bevindingen van een tot de Nederlandse Orde van Register EDP-Auditors (NOREA) toegelaten persoon. Hiermee heeft het oordeel van de EDP-auditor binnen de SUWI-keten een wettelijke basis gekregen [RE5]. Beveiliging van de gegevensuitwisseling Artikel 6.4 van de Regeling SUWI schrijft voor dat de Suwinetpartijen (BKWI, CWI, IB, UWV en gemeenten – de SVB is nog in pilotfase) zorg moeten dragen voor “de beveiliging van de gegevensuitwisseling tegen inbreuken op de beschikbaar, integriteit en vertrouwelijkheid”. De normen die daarbij moeten worden gehanteerd zijn opgenomen in Bijlage XIV bij de regeling SUWI. De genoemde partijen, met uitzondering van gemeenten, moeten zich op dezelfde manier verantwoorden over de beveiliging van Suwinet als ze dat over de beveiliging van de gegevensverwerking doen. BKWI stelt jaarlijks een samenvattende rapportage op. Artikel 6.4 verplicht gemeenten om zorg te dragen voor de beveiliging van Suwinet, en om minimaal een beveiligingsplan te hebben waarin staat beschreven hoe zij aan de beveiliging invulling geven. Sinds de invoering van de WWB per 1 januari 2004 zijn gemeenten verplicht om zich, als onderdeel van hun uitvoeringsverslag, hierover te verantwoorden. Deze verantwoording hoeft niet vergezeld te gaan van een verslag van bevindingen en een oordeel van een EDP-auditor. Het uitvoeringsverslag als geheel wordt wel voorzien van een accountantsverklaring [RE6]. Deze ‘Suwinet audit’ zal als casus in deze scriptie worden gebruikt. Recente ontwikkeling artikel 5.22 en 6.4 Bij de wijziging van de Regeling SUWI vanaf verantwoordingsjaar 2008, is onder meer betrokken de verantwoording over de betrouwbaarheid van de gegevensverwerking en gegevensuitwisseling via Suwinet op grond van de voornoemde artikelen 5.22 en 6.4. De vigerende regeling leidt er toe dat de verantwoording conform 5.22 en 6.4 in wezen geschiedt door de controlerend IT-auditor via diens oordeel en verslag van bevindingen. De wijziging houdt in dat het management zichzelf over de uitvoering van de regeling verantwoordt en dat de IT-auditor over die verantwoording een verklaring van getrouwheid verstrekt. Deze wijziging in de regelgeving komt voort uit de wens van de Raden van Bestuur van CWI en UWV op alle niveaus en voor alle beheeractiviteiten zelf en zichtbaar hun verantwoordelijkheid te nemen en zich over de uitvoering daarvan zelfstandig te verantwoorden. De taak van de auditor daarbij is zich te vergewissen van de getrouwheid van de verantwoording en daarover zijn oordeel uit te spreken.
10
In bijlage 2 staat een "stapsgewijze toelichting" op de gewijzigde verantwoording voor zowel 5.22 als 6.4. Verantwoording over prestatie-indicatoren De wet SUWI en de bijbehorende regelgeving stellen eisen aan de niet-financiële informatie, zijnde prestatie-indicatoren [RE1]. Via artikel 5.16 (lid d) van de Regeling SUWI: ‘Kwaliteit van de informatievoorziening’ bestaat een verwijzing naar het ‘Normenkader betrouwbaarheid niet-financiële informatie’, opgenomen in bijlage XVII van de Regeling SUWI. Als hulpmiddel voor de uitvoeringsorganisaties bij het invullen van de hoofdnormen heeft het Ministerie van SZW een handreiking opgesteld. In deze handreiking zijn normen opgenomen die uitgangspunten vormen voor het toezicht. De handreiking heeft geen verplichtend karakter, maar als de uitvoeringsorganisatie hiervan afwijkt bij haar invulling van de normen, moet zij dit wel beargumenteren. Implementatie van het ‘Normenkader betrouwbaarheid niet-financiële informatie’ vergt een specifieke uitwerking per uitvoeringsorganisatie, als gevolg van het abstractieniveau van de normen en de verschillen tussen de uitvoeringsorganisaties. Na toetsing aan de eigen normen komt de uitvoeringsorganisatie jaarlijks tot een oordeel over de mate waarin het totstandkomingsproces in het verslagjaar ordelijk, deugdelijk en controleerbaar was. Daarover verantwoordt de uitvoeringsorganisatie zich in haar jaarverslag. Op het niveau van de keten zijn in 2005 en 2006 door ketenpartners ketenprestatieindicatoren ontwikkeld die het resultaat van de gezamenlijke inspanning ten aanzien van werkzoekenden inzichtelijk maken. Deze worden niet meegenomen in de jaarlijkse verantwoording van de uitvoeringsorganisaties.
2.4 Ketencoördinatie en toezicht Ketencoördinatie Om een klantgerichte en efficiënte uitvoering te waarborgen verplicht de wet SUWI de uitvoeringsorganisaties en gemeenten om samen te werken [WET]. Om de samenwerking te ondersteunen en de inrichting van de keten te coördineren hebben uitvoeringsorganisaties en gemeenten zich verenigd in het Algemeen Ketenoverleg (AKO). Het AKO maakt afspraken met de minister van SZW over de eisen waaraan de prestaties van de keten moeten voldoen en de manier waarop daar invulling aan wordt gegeven, en bewaakt de voortgang. Toezicht De Inspectie Werk en Inkomen is belast met het toezicht op de rechtmatigheid en doelmatigheid van actoren, inclusief de samenwerking tussen deze actoren. Het toezicht heeft een signalerende functie. Om de onafhankelijkheid van het toezicht te waarborgen moet de minister van SZW het jaarplan, jaarverslag en alle door de Inspectie voor Werk en Inkomen relevant geachte rapportages ongeclausuleerd aan de Tweede Kamer sturen. De minister van SZW kan zijn oordeel daaraan toevoegen. Daarnaast informeert de inspecteur-generaal van IWI de minister en de secretaris-generaal over bevindingen, ontwikkelingen en gebeurtenissen die van zodanig maatschappelijk en/of politiek belang zijn - of die anderszins zodanig de aandacht kunnen trekken - dat tijdige kennisneming door hen gewenst is. De minister van SZW beschikt bij CWI, UWV en SVB over instrumenten om te interveniëren.
11
Binnen het domein beoordeelt de Inspectie als onderdeel van haar wettelijke taak onder andere ieder jaar de verantwoordingen over ICT en niet-financiële informatievoorziening (SUWI-regeling 5.22, 6.4 en 5.16), en voorziet deze in haar jaarverslag van een oordeel.
2.5 Conclusie De in de SUWI wetgeving neergelegde verantwoordelijkheidsverdeling op het gebied van werk en inkomen maakt het noodzakelijk dat de ketenpartners CWI, UWV en gemeenten bij het realiseren van de doelstellingen met elkaar samenwerken. Ketenpartners hebben elkaar steeds meer nodig voor het realiseren van een aantal gemeenschappelijke doelen, welke ze in steeds mindere mate exclusief op eigen kracht kunnen bereiken. Maatschappelijk is zichtbaar dat de overheid zich terugtrekt als uitvoerder en toezichthouder maar nog wel de randvoorwaarden schept voor organisaties om bepaalde overheidstaken te kunnen uitvoeren. De overheid stelt zich meer en meer op als regisseur. Zo is de rol van het Ministerie van SZW die van opdrachtverstrekker aan ketenpartijen om bijvoorbeeld de ontwikkeling van een Digitaal Klantdossier vorm te (laten) geven. De invulling hiervan is overgelaten aan de ketenpartners. In de sturing en beheersing staat het resultaat voorop, de opdrachtgever/minister SZW maakt (meerjarige) afspraken over de resultaten. De nadruk ligt op sturen op hoofdlijnen/resultaat (outcome). Wel blijft de overheid eindverantwoordelijke. Hieruit is de behoefte aan toezicht op het realiseren van beleidsdoelen, de effectieve en efficiënte inzet van middelen en de naleving van voorgeschreven kwaliteitsnormen ontstaan. Op basis van de inrichting van de verantwoordingen in de SUWI-keten concludeer ik dat CWI, UWV, SVB, RWI en het Inlichtingenbureau ieder voor zich verantwoording af leggen in één eigen verantwoordingsdocument, de jaarverantwoording. Op ketenniveau vindt beperkt verantwoording plaats. De minister van SZW heeft niet één specifiek verantwoordingsdocument wat alle ketenpartners gezamenlijk dragen over bijvoorbeeld de keten-informatievoorziening. Dit maakt het minder inzichtelijk voor de minister om in één oogopslag risico’s en aanbevelingen voor zich te zien. Positief is dat ketenpartners zich over de beveiliging van de gegevensuitwisseling ook aan elkaar verantwoorden middels de samenvattende rapportage van het BKWI. De werkwijze bij het inrichten van de verantwoording over de prestatieindicatoren waarbij individuele uitvoeringsorganisaties de inrichting en verantwoording op basis van uitgangspunten verder moeten uitwerken, lijkt eveneens voor de ketenprestatieindicatoren bruikbaar. Op deze wijze kan ook over deze indicatoren meer zekerheid worden verkregen.
12
3 Theorie ketenauditing Dit hoofdstuk behandelt de theorie rondom ketenauditing. In dit hoofdstuk bespreek ik deze theorievorming op hoofdlijnen, in de hoofdstukken hierna zal ik de theorie toetsen aan een tweetal praktijkcases uit de sociale zekerheid. Ik kijk in hoeverre er theorie is ontwikkeld voor ketenauditing en wat de NOREA hieraan bijdraagt. Een belangrijk onderwerp is hoe een IT-auditor een bijdrage kan leveren aan ketenauditing. In dit hoofdstuk geef ik antwoord op twee vragen: • •
Welke definities, modellen en methoden zijn er voor ketenauditing? Wat zijn de verschillen? Wat zijn de randvoorwaarden waaraan een ketenaudit moet voldoen?
3.1 Bestaande ketenaudit definities, modellen en methoden Hieronder beschrijf ik kort wat ik aan bestaande ketenauditdefinities, -modellen en -methoden in de literatuur heb gevonden. Voor een nadere uitwerking van de theorieën verwijs ik naar de bijlagen. In de literatuur wordt een ketenaudit gedefinieerd als ‘een onderzoek dat moet leiden tot een gefundeerd oordeel of advies over de beheersing van een keten als geheel ten aanzien van een gekozen object van onderzoek. De ketenaudit richt zich alleen op dát aspect of onderdeel van zelfstandige organisaties dat bijdraagt aan het gemeenschappelijke doel en de beheersing van de gehele keten’[MEE]. Door het toenemen van het aantal uitvoeringsketens is het van belang is dat IT-governance en IT-auditing op ketenniveau onderwerpen op de bestuurlijke agenda worden. Waarbij er een dringende noodzaak is tot zorgvuldige sturing met meer aandacht voor risicomanagement, meer ruimte voor uitvoeringsorganisaties en het terugdringen van de vraag naar allerlei zekerheden.[MAT]
3.1.1 Theorie De Bruijn e.a. De enige bestaande recent ontwikkelde theorie ten aanzien van ketenauditing is de theorie van van Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren. De Bruijn e.a. geven een beeld van de verschillende soorten ketens die binnen het publieke domein aanwezig zijn. Daarnaast geven ze een opsomming van de mogelijke samenwerkingsvormen voor de auditors die bij de keten betrokken zijn. Op deze wijze zijn De Bruijn e.a. tot een normatief model gekomen waarmee de verschillende vormen van ketensamenwerking vanuit de audit bediend kunnen worden. Samenwerkingsmodellen voor ketenaudits Er worden een viertal samenwerkingsmodellen onderscheiden. Deze modellen beschrijven de mate van samenwerking tussen de auditdiensten en de omvang van de beoordeling van de keten [BRU]: • In het grondmodel is er geen sprake van een gemeenschappelijke basis voor het uitvoeren
13
van een audit. Hierbij worden de audits uitgevoerd door één auditdienst en hebben de audits betrekking op één processtap uit de keten. • In het consolidatiemodel is er sprake van twee partijen, waarbij één partij uitvoerend is en de andere eindverantwoordelijk is voor het ketenproces. De mededeling die de auditdienst van de uitvoerende partij afgeeft, wordt gebruikt door de eindverantwoordelijke voor het ketenproces. Hiervoor voert de eindverantwoordelijke reviews uit op de werkzaamheden van de auditdienst van de uitvoerende organisatie. • Het kokermodel gaat uit van een gedeelte van het ketenproces dat afzonderlijk en een gedeelte dat gezamenlijk door beide organisaties wordt uitgevoerd. Hierbij wordt voor het gezamenlijke deel een mededeling verstrekt onder verantwoordelijkheid van de auditdienst van beide partijen. Het gezamenlijke deel vormt een brugfunctie tussen de beide afzonderlijke delen. • Het centrifugemodel gaat uit van een gezamenlijke uitvoering van de gehele ketenaudit. Hierbij is sprake van grote mate van samenwerking tussen de auditdiensten. Voor de gehele keten wordt een gezamenlijke verklaring of mededeling afgegeven. In bijlage 1 is bovenstaande gevisualiseerd. Veder zijn er vier ketentypes gedefinieerd aan de hand van in de praktijk aangetroffen situaties. Kennisnemend van het onderzoeksrapport van Van der Meer [MEE] is een samenhang tussen de ketentypes en de samenwerkingsmodellen zoals hierboven genoemd opgesteld. Daartoe is een nadere analyse gegeven van de overeenkomsten van verschillende aspecten van ketentypes enerzijds en de samenwerkingsmodellen anderzijds [BRU]. Voor nadere uitwerking, en visualisering, verwijs ik naar bijlage 1 In de praktijk is er een diversiteit aan koppelingen. Deze koppelingen kunnen uitgaande van de gedefinieerde ketentypes bestaan uit de ‘minimale variant’ van het afgeven van een mededeling aan de opdrachtgevende partij of contractbepalingen worden nageleefd. En kan ‘oplopen tot’ een verklaring uit een audit die onder gezamenlijke verantwoordelijkheid van de auditors van beide partners in de keten op het gehele ketenproces plaats heeft gevonden [BRU]. Voor nadere uitwerking, en visualisering, verwijs ik naar bijlage 1. Conclusie De normatieve opzet waarmee de verschillende vormen van ketensamenwerking vanuit de audit bediend kunnen worden zoals hierboven in de literatuur beschreven is naar mijn mening een belangrijke leidraad voor het opzetten van de samenwerking tussen auditors om een goede invulling aan ketenaudits te kunnen geven. Vanuit theoretisch perspectief zouden auditors verschillende invulling kunnen geven aan de normatieve opzet van een ketenaudit indien zij een verschillend, of zelfs geen theoretisch model zouden gebruiken. Dit zou als gevolg hebben dat onderzoeksresultaten uit ketenaudits onvoldoende uniform zijn. Hierdoor ontstaan gaten in de scope van de audit op de gehele keten. De overheid heeft (vanuit het bestuurlijke perspectief) in dat geval nog te weinig zekerheid. Hoe deze theorie zich verhoudt tot de praktijkcases is beschreven in paragraaf 4.3.
3.1.2 Di Maio Naast de theorie van De Bruijn e.a. bestaat er de door Gartner ontwikkelde vragenlijst waarvan Di Maio de auteur is. Dit is een hulpmiddel om risico’s op het gebied van de Eoverheid strategie vast te stellen teneinde bijbehorende verbetermaatregelen te formuleren zodat (strategische) E-overheid doelen wel behaald (kunnen) worden. Dit raamwerk kan worden toegepast op E-overheid programma’s die zowel op overheidsorganisatie individueel 14
als op overheidsketenniveau plaatsvinden. De vragen zijn verdeeld in twee sets van criteria. Met behulp van de eerste set van criteria kan worden vastgesteld of de E-overheid strategie wel die ingrediënten bevat om tot een goede aanpak te komen (Completeness of vision). Met de tweede set van criteria kan worden vastgesteld of de doelen die voortvloeien uit de Eoverheid strategie wel behaald kunnen worden door de organisatie(s) (Ability to execute) [MAI]. Onderliggend aan de evaluatiecriteria vragen zijn opgesteld met een bijbehorende normering. De normering loopt in de regel van één tot vijf. Zo is bijvoorbeeld een vraag onder het evaluatiecriteria ‘organisatie en beheersing’: is er een overheidsbrede Chief Information Officer (CIO) aanwezig? Waarbij de normering loopt van ‘er is geen CIO’ oplopend tot ‘De CIO is actief betrokken bij de planning, het opstellen van de business case en rapportering over de behaalde resultaten. Voor nadere uitwerking van deze evaluatiecriteria verwijs ik naar bijlage 1. Conclusie Het raamwerk van Di Maio om risico’s op het gebied van de E-overheid strategie vast te stellen teneinde bijbehorende verbetermaatregelen te formuleren zodat (strategische) Eoverheid doelen wel behaald (kunnen) worden vormt naar mijn mening een goede basis voor ketenauditors om ketenbrede onderzoeken op de E-overheid uit te voeren. Door het gebruik van de besproken evaluatiecriteria, onderliggende vragen en bijbehorende normering ontstaat een gemeenschappelijk referentiekader waaraan ketenbrede E-overheid programma’s kunnen worden getoetst. Ik zal in het volgende hoofdstuk deze theorie, waar mogelijk, toetsen aan het ketenbrede Eoverheid programma Digitaal Klantdossier en het interdepartmentale IT project P-Direct.
3.1.3 Nederlandse Overheid Referentie Architectuur (NORA) De NORA biedt een set van multilaterale afspraken (inrichtingsprincipes) voor het gehele publieke domein, met zijn vele honderden overheidsorganisaties. De inrichtingsprincipes hebben betrekking op diensten, werkprocessen, berichtformaat, gegevensdefinities, infrastructuur, privacy- en beveiligingsaspecten. Alleen door hierover gezamenlijk afspraken te maken, kan de dienstverlening aan burgers en bedrijven naadloos op elkaar gaan aansluiten. Door middel van 140 principes krijgen architecten, ICT-professionals, EDP-auditors en ICTprojectleiders handvatten voor de inrichting van de E-overheid. De inrichtingsprincipes en de daarbij behorende modellen dienen door hen omgezet te worden in concrete ontwerpen voor onderdelen van de E-overheid. Bestaande programma’s, projecten, organisaties en voorzieningen voor de E-overheid kunnen de NORA gebruiken als middel om hun huidige situatie te toetsen. In handen van (EDP-) auditors biedt de NORA een referentiekader om te kunnen meten of de ontwikkelingen, inhoudelijk gezien, volgens het uitgestippelde beleid verlopen [NOR]. Eén hoofdstuk binnen NORA gaat over de beveiliging- en privacyaspecten die aandacht behoeven in het kader van samenwerkende overheidsorganisaties. Het hoofdstuk richt zich vooral op die zaken die de gangbare normenkaders en best practices overstijgen. Concrete beveiligingsmaatregelen worden niet genoemd, met uitzondering van enkele maatregelen die specifieke aandacht behoeven voor samenwerkende organisaties en elektronische dienstverlening. Vertrekpunt voor de nadere invulling van beveiliging en privacy is dat de individuele organisaties hun zaken al op orde hebben. Ze beheersen hun informatiebeveiliging en privacy goed en reageren slagvaardig en voorspelbaar op verstoringen in hun bedrijfsvoering.
15
Samenwerken in het algemeen en in de context van de elektronische overheid in het bijzonder, brengt een aantal aanvullende (keten)zaken met zich mee op het gebied van beheersing en informatiebeveiliging. Specifiek rondom de afstemming van informatiebeveiliging- en privacystelsels, governance van informatiebeveiliging en te gebruiken gemeenschappelijke normenkaders. Voor nadere uitwerking van deze aanvullende (keten)zaken verwijs ik naar bijlage 1. Conclusie Ik ben van mening dat een meerwaarde van NORA is het uitgangspunt dat een organisatie een bepaald niveau van beheersing (van informatiebeveiliging) heeft bereikt gemeten aan enkele inrichtingsprincipes alvorens deze op verantwoorde wijze te kan samenwerken aan de Eoverheid. Door het benoemen van aanvullende zaken die samenwerken in het algemeen en in de context van de elektronische overheid in het bijzonder met zich mee brengen is een gemeenschappelijk referentiekader ontstaan waaraan IT-auditors kunnen meten of de privacy en beveiliging ontwikkelingen, volgens het uitgestippelde beleid verlopen. Ik zal in het volgende hoofdstuk deze theorie, waar mogelijk, toetsen aan de Suwinet audit.
3.1.4 Beschouwing Als ik de theorie van De Bruijn e.a. vergelijk met de theorie van Di Maio dan concludeer ik dat De Bruijn e.a. vooral een leidraad geven voor het opzetten van de wijze van samenwerking tussen auditors om een goede invulling aan ketenaudits te kunnen geven. Di Maio geeft een gemeenschappelijk referentiekader waaraan ketenbrede E-overheid programma’s kunnen worden getoetst. De Bruijn e.a. gaan in op de opzet van een ketenaudit terwijl Di Maio een handvat tracht te geven voor de uitvoering van een ketenbrede audit op E-overheid programma’s. Ditzelfde geldt voor de NORA. De NORA biedt een gemeenschappelijk referentiekader waaraan IT-auditors kunnen meten of de privacy- en beveiligings ontwikkelingen, inhoudelijk gezien binnen de E-overheid, volgens het uitgestippelde beleid verlopen. Echter de NORA is ontwikkeld voor en door architecten, concrete beveiligingsmaatregelen worden niet genoemd, met uitzondering van enkele maatregelen die specifieke aandacht behoeven voor samenwerkende organisaties en elektronische dienstverlening. Hierdoor biedt dit referentiekader voor IT auditors wel een houvast, maar geen vragen met bijbehorende normering bevat zoals Di Maio deze wel beschrijft.
3.2 Randvoorwaarden ketenaudit Doordat er verschillende partijen zijn betrokken bij de keten en de keteninformatisering is er behoefte aan inzicht in de beheersing van de gehele keten. Deze behoefte is aanwezig bij zowel de ketenpartners, de verantwoordelijke bewindvoerder, de politiek en het maatschappelijke verkeer. Het verschil tussen een ketenaudit en een reguliere audit is dat de resultaten in het algemeen breder beschikbaar worden gesteld dan een organisatiegerichte audit en daarmee meer openbaar van aard zijn. Verder zijn bij een ketenaudit de raakvlakken tussen verschillende ketenpartners van cruciaal belang. Wie audit deze tegen welke normen? Een ander aspect van ketenauditing is de vraag wie de ketenaudit gaat uitvoeren en wat de rol daarbij is van de verschillende ketenpartners. Er kan ervoor gekozen worden om één auditor alle schakels van een keten te laten beoordelen of er kan gebruik worden gemaakt van de auditors die al bij de verschillende organisaties werkzaam zijn. In beide gevallen gelden een 16
aantal randvoorwaarden. Ik ben van mening dat het voordeel van het uitvoeren van een ketenaudit door één auditor is dat deze het gehele object onderzoekt en er geen discussie is over raakvlakken. Ook wordt in dit geval ‘automatisch’ hetzelfde toetsingskader gebruikt. Echter deze wijze van uitvoeren van een ketenaudit blijkt in de praktijk veelal niet haalbaar doordat eigen auditors van organisaties veelal ook al periodiek audits uitvoeren. Hierdoor is afstemming tussen de auditors van organisaties noodzakelijk. De NOREA als beroepsgroep voor IT auditors biedt hiervoor thans nog geen (toetsings)kaders, handreikingen of richtlijnen. Geïnterviewden uit de auditpraktijk geven aan dat dit misschien wel tot de mogelijkheden van de NOREA zou behoren, echter dat het ‘volwassenheidsniveau’ van een keten wel van een dergelijk niveau moet zijn om dit ook op te kunnen leggen dan wel aan te kunnen reiken. Van belang hierbij is om te constateren of een keten wel een echte keten is met een gemeenschappelijk belang (zie theorie de Bruijn e.a.) of dat er sprake is van een beperkte of zelfs geen keten. De EDP-audit-Pool (Ministerie van Binnenlandse Zaken) heeft een aantal punten opgesteld waaraan bij ketenauditing aandacht kan worden geschonken. Het gaat om de volgende [EDP]: • Opdrachtgever en doel van de opdracht; • Medewerking van de ketenpartners; • Bekostiging van de opdrachtuitvoering; • Teamsamenstelling (deskundigheid teamleden); • Opstellen gemeenschappelijk werkprogramma/ normenkader; • Coördinatie auditteam (samenwerking, kennisuitwisseling, uniforme aanpak/weging); • Gebruikmaking van resultaten uit onderzoeken door derden. Van der Meer voegt hier nog aan toe [MEE]: • Een duidelijke rol van de auditdienst; • Rekening houden met complicerende factoren; • Een ketenbeheersing die zich richt op de keten als geheel; • Een gesloten managementcyclus binnen de keten; • Vertrouwde en hechte relaties tussen ketenpartners. Samengevat geeft Van der Meer aan dat het belangrijk is om duidelijk te krijgen welke partijen betrokken zijn bij een audit op een keten. Daarbij past dat afspraken zijn gemaakt over de wijze waarop binnen de keten verantwoording wordt afgelegd. Conclusie Mijn conclusie is dat een ketenaudit in de context van bestuurlijke verantwoordelijkheid toegevoegde waarde kan hebben mits aan een aantal noodzakelijke randvoorwaarden wordt voldaan. Van belang is dat er aandacht is voor de raakvlakken tussen ketenpartners en hoe deze geaudit worden tegen welke normen. Eenduidige afspraken tussen (keten)auditors en het gebruik van een uniform normenkader binnen de keten door verschillende auditors is cruciaal, waar mogelijk is hier een (toekomstige) rol voor de NOREA weggelegd. De combinatie van de drie behandelde theoretische kaders vormen samen een basis voor de aanpak van een ketenaudit.
17
4 Sociale zekerheid en ketenauditing In dit hoofdstuk geef ik antwoord op twee vragen: • Hoe verhoudt de theorie zich met de praktijk? • Wat zijn de problemen in de praktijk bij ketenaudits?
4.1 EDP-audit Beveiliging Suwinet In hoofdstuk 2 heb ik al de beveiliging van de gegevensuitwisseling als reguliere verantwoording aangehaald (Artikel 6.4 van de Regeling SUWI). In deze paragraaf wil ik nader ingaan op de (keten)auditaspecten die betrekking hebben op dit onderwerp.
4.1.1 Context Het Bureau Keteninformatisering Werk en Inkomen (BKWI), het Centrum voor Werk en Inkomen (CWI), de Stichting Inlichtingenbureau Gemeenten (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur. Met de faciliteit ’Suwinet-Inkijk‘ worden de gegevens op basis van sofi-nummers toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking willen komen voor een uitkering. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Suwinet normenkader Om de SUWI-keten effectief te laten functioneren moeten partijen erop kunnen vertrouwen dat ‘hun’ gegevens door de partners in de SUWI-keten op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. Voor alle Suwinet-partijen is dit met beveiligingsvoorschriften uitgewerkt in bijlage XIV van de regeling SUWI. De in de Regeling SUWI en Bijlage XIV genoemde afspraken en eisen zijn echter niet zodanig geformuleerd dat er operationeel een gelijkwaardig oordeel1 uit kan voortvloeien. Daarom hebben de SUWI-partijen het initiatief genomen om gezamenlijk een gemeenschappelijke richtlijn en normenkader vast te stellen voor de inrichting van de beveiliging alsmede de jaarlijkse verantwoording daarover aan het Ministerie van Sociale Zaken en Werkgelegenheid, de Inspectie Werk & Inkomen en aan elkaar (via de Samenvattende Rapportage van het BKWI). Deze onder de verantwoordelijkheid van de Domeingroep Privacy & Beveiliging (DPB) opgestelde Verantwoordingsrichtlijn EDP-audit Suwinet [VER] gaat in op de wijze waarop de verplichte EDP-audit van de beveiliging van Suwinet vorm en inhoud moet worden gegeven. Naast een eenduidig inzicht maakt de voorgeschreven rapportagevorm het tevens mogelijk om op evenwichtige wijze het totaaloverzicht over de beveiliging van het Suwinet (Samenvattende Rapportage) samen te stellen. De Security Officer van het BKWI brengt in 1
Een ‘gelijkwaardig oordeel’ houdt in dat de EDP-auditors zodanige normen en werkwijzen hanteren dat, rekening houdend met de specifieke situatie bij het object van onderzoek / de opdrachtgever, de uitkomsten leiden tot een gelijkluidend oordeel ongeacht de EDP-auditor die de audit heeft uitgevoerd.
18
overleg met de DPB jaarlijks de Samenvattende Rapportage uit aan de minister van SZW en IWI. IWI ziet namens de minister van SZW toe op de kwaliteit van de EDP-audits en het niveau van beveiliging. Voor verdere uitwerking van de vereisten aan het scope, reikwijdte en oordeel, alsmede de te bestekken kwaliteitscriteria verwijs ik naar bijlage 2. Implicatie recente ontwikkeling In hoofdstuk 2 en bijlage 2 is de recente wijzing van de Regeling SUWI vanaf verantwoordingsjaar 2008 voor de artikelen 5.22 en 6.4 besproken. De wijziging houdt in dat het management zichzelf over de uitvoering van de regeling verantwoordt en dat de IT-auditor over die verantwoording een verklaring van getrouwheid verstrekt. Vanuit de Inspectie Werk en Inkomen is aangegeven dat deze wijziging overeenkomsten heeft met opmerkingen die de inspectie eerder maakte naar aanleiding van het beoordelen van de jaarverslagen over voorgaande jaren. Dit vind ik dan ook positief omdat er in voorgaande jaren wel audits werden uitgevoerd op de betrouwbaarheid van de gegevensverwerking en gegevensuitwisseling via Suwinet op grond van de voornoemde artikelen 5.22 en 6.4, er werd echter niet door een IT-auditor beoordeeld wat het management / directie hier over verklaarde in de jaarverslagen. Dit terwijl de jaarverslagen juist de publiekelijk verspreide documenten zijn, waar de onderliggende IT-audit rapporten niet publiekelijk verspreid worden. De Inspectie heeft wel de kanttekening gemaakt dat bij een verklaring van getrouwheid het totaaloordeel van de IT-auditor vervalt over de mate waarin de gegevensverwerking en uitwisseling aan de gestelde eisen voldoen. De situatie in voorgaande jaren was namelijk zo dat uit het niet voldoen aan bepaalde essentiële normen uit Suwinet normenkader automatisch een afkeurend oordeel volgde. In de nieuwe situatie wordt het Suwinet normenkader nog wel gebruikt, echter de IT-auditor is niet meer verplicht een oordeel te geven. De IT-auditor kan zich nu een eigen beeld vormen over die verantwoording van het management en een (positieve of negatieve) verklaring van getrouwheid verstrekken. Deze verklaring van getrouwheid is minder strak langs normen af te meten dan het oordeel dat ‘automatisch’ terug te herleiden was naar het Suwinet normenkader. De inspectie beziet dan ook hoe deze recente ontwikkeling in de praktijk zal uitpakken en heeft hier evaluatiemomenten met het Ministerie van SZW voor afgesproken.
4.1.2 Theoretische toetsing: NORA (Privacy en Beveiliging paragraaf) aan Suwinet audit De NORA benoemt aanvullende zaken (zie hoofdstuk 3 en bijlage 1) die samenwerken in het algemeen en in de context van de elektronische overheid in het bijzonder met zich mee brengen op het gebied van privacy en beveiliging. Deze toets ik in deze paragraaf aan de hierboven besproken Suwinet audit. Principe NORA: • De samenwerkende partijen richten gezamenlijk de governance in voor hun informatiebeveiliging, privacy en continuïteit van de (belangrijkste processen in de) bedrijfsvoering. Suwinet audit: • De uitvoeringsorganisaties in de SUWI-keten en de gemeenten zijn primair verantwoordelijk voor hun eigen informatievoorziening, ICT en de uitwisseling met directe partners. De minister van SZW heeft de verantwoordelijkheid om die randvoorwaarden te scheppen die het voor de uitvoeringsorganisaties mogelijk maken hun taken en verantwoordelijkheden uit te voeren. Om afstemming binnen de keten goed 19
plaats te laten vinden is het Algemeen Ketenoverleg (AKO) in het leven geroepen. Het AKO bestaat uit vertegenwoordigers van CWI, Divosa, UWV en VNG en komt regelmatig bij elkaar. Het AKO heeft geen eigenstandige bestuurlijke bevoegdheden maar is vooral een afstemmend orgaan dat zich richt op coördinatie van activiteiten in ketenverband. Tweemaal per jaar vindt er een overleg plaats tussen het AKO en de staatssecretaris van SZW. In dit overleg worden de doelstellingen en ambities van de keten (het ketenprogramma) vastgesteld en worden de behaalde resultaten besproken. • Er zijn binnen de SUWI-keten domeingroepen ingesteld. Een domeingroep is een expertiseplatform binnen de SUWI-keten, waarin diverse personen vanuit organisaties binnen de keten plaatsnemen. Een domeingroep heeft een adviserende en toetsende rol. De domeingroepen die zich met ICT bezig houden zijn: Architectuur (DA), Gegevens & Berichten (DGB), Privacy & Beveiliging (DPB) en ICT Beheer (DIB). DPB coördineert de afstemming rondom het gemeenschappelijk beveiligingsniveau van de keten. Ook wordt door materiedeskundigen ingegaan op nieuwe ontwikkelingen binnen de SUWIketen. • Binnen het Suwinet Normenkader wordt meermaals verwezen naar de Keten SLA Suwinet [SUW]. Hier zijn ketenbrede afspraken gemaakt die gelden voor alle aangesloten partijen op het Suwinet over zowel de performance als het beheer van Suwinet. Verder zijn er ook afspraken opgenomen over de logging van het gebruik van Suwinet, over beveiliging en over de stappen die genomen kunnen worden zodra een van de partijen de gemaakte afspraken niet kan realiseren. Bovendien is aangegeven hoe alles wordt gemonitord. • BKWI verzorgt iedere maand een managementrapportage voor de ketenpartners. Hierin staat in hoeverre aan de afspraken en normen is voldaan zoals deze zijn vastgelegd in de Keten SLA Suwinet. • Echter in de scope van de Suwinet audit worden om politiek bestuurlijke redenen niet alle partijen meegenomen die zijn aangesloten op het Suwinet zoals gemeenten. Principe NORA: • Alle organisaties in de E-overheid dragen bij en maken gebruik van een te ontwikkelen gemeenschappelijk normenkader. Suwinet audit: • De SUWI-partijen hebben het initiatief genomen om gezamenlijk een gemeenschappelijke richtlijn en normenkader vast te stellen voor de inrichting van de beveiliging (Verantwoordingsrichtlijn EDP-audit Suwinet) alsmede de jaarlijkse verantwoording daarover aan het Ministerie van Sociale Zaken en Werkgelegenheid, de Inspectie Werk & Inkomen en naar elkaar (via de Samenvattende Rapportage van het BKWI). • Uit de volgende publicaties is een selectie gemaakt van normen die het voor het Suwinet noodzakelijke beveiligingsniveau het best tot uitdrukking brengen: o Code voor Informatiebeveiliging en studierapport AV23 van het CBP; o CobiT van het IT Governance Institute; o IT Infrastructure Library (ITIL); o Basisnormen Beveiliging en Beheer ICT-infrastructuur van het Platform Informatiebeveiliging. Principe NORA: • E-overheidsorganisaties zorgen voor een uniforme en betrouwbare wijze waarmee burgers en bedrijven zaken met haar kunnen doen. Suwinet audit:
20
•
(Nog) niet van toepassing voor het Suwinet, er is geen gebruik door burgers en bedrijven, maar alleen door ketenpartners.
Principe NORA: • Informatiebeveiliging, privacy en continuïteit van bedrijfsprocessen vormen een integraal onderdeel van een service of dienst. Suwinet audit: • De organisaties hebben de gegevens vanuit het Suwinet nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. De informatiebeveiliging, privacy en continuïteit van het Suwinet is deels geborgd in de Keten SLA Suwinet en Verantwoordingsrichtlijn EDP-audit Suwinet. • Echter het gemeentelijk domein bevat een groot deel van de gebruikspopulatie van het Suwinet. Voor dit deel van de gemeentelijke dienstverlening is informatiebeveiliging, privacy en continuïteit van het Suwinet niet aantoonbaar geborgd doordat er geen verplichting is zich te houden aan de Keten SLA Suwinet en Verantwoordingsrichtlijn EDP-audit Suwinet. Principe NORA: Bij intensive vormen van samenwerken in ketens of netwerken, is het belangrijk dat de beveiliging van de samenwerkende organisaties (of organisatiedelen) vergelijkbaar is. • Ketenpartijen maken in het kader van ketengovernance afspraken over de te realiseren informatiebeveiliging / privacy / continuïteit van de bedrijfsvoering. Verantwoording over de (mate van) nakoming van deze afspraken is tenslotte een onlosmakelijk element van keten governance. Suwinet audit: • Bij zowel de Keten SLA Suwinet als de Verantwoordingsrichtlijn EDP-audit Suwinet zijn er ketenbrede afspraken gemaakt over de informatiebeveiliging, privacy en continuïteit van het Suwinet. • Verantwoording vindt bij zowel de Keten SLA Suwinet als de Verantwoordingsrichtlijn EDP-audit Suwinet ketenbreed aan elkaar plaats middels de samenvattende rapportage van BKWI, en in het geval van de Verantwoordingsrichtlijn ook aan de minister van SZW en de Inspectie (zie eerder). • Echter ketenpartners leggen ieder voor zich verantwoording af in één verantwoordingsdocument, de jaarverantwoording en doen dit niet gezamenlijk als SUWIketen. Conclusie De NORA is ontwikkeld voor en door architecten, concrete beveiligingsmaatregelen worden niet genoemd, met uitzondering van enkele maatregelen die specifieke aandacht behoeven voor samenwerkende organisaties en elektronische dienstverlening. Deze specifieke maatregelen bieden de IT-auditor, gelet op de toetsing aan de Suwinet audit, wel een referentiekader om vast te kunnen stellen in welke mate de SUWI-keten hieraan voldoet. Zo komt uit de toetsing van de NORA aan de Suwinet audit naar voren dat er een heel aantal zaken goed geregeld zijn waaronder een gemeenschappelijk normenkader en ketenbrede afspraken over de verantwoording. Echter er blijkt dat wanneer een groot deel van de gebruikerspopulatie van een gemeenschappelijke ICT voorziening geen onderdeel uitmaakt van de afspraken met betrekking tot de governance voor hun informatiebeveiliging, privacy en continuïteit dit onzekerheden geeft. De ketenbrede borging van informatiebeveiliging, privacy en continuïteit van een gemeenschappelijke ICT voorziening kan dan niet aantoonbaar geborgd worden 21
doordat er geen verplichtingen in de vorm van ketenaudits of andere ketenbrede afspraken kunnen worden opgelegd voor dit deel van de gebruikspopulatie. Ook komt naar voren dat de wijze van verantwoorden als één keten in de SUWI-keten nog voor verbetering vatbaar is.
4.1.3 Praktijk: Suwinet audit Geïnterviewden uit de auditpraktijk geven aan dat de Suwniet audit in vergelijking met andere sectoren in normen en kaderstelling verder is dan gemiddeld. Er zijn eenduidige afspraken tussen de verschillende auditors, niet alleen in de vorm van het normenkader, maar ook in rapportagerichtlijn. Significant is dat binnen deze ketenaudit ook de werking van de keten uniform wordt getoetst. Ook vind er periodiek vaktechnisch overleg plaats tussen de auditors van de verschillende ketenpartijen. Feitelijk worden aan alle voornoemde randvoorwaarden voor een ketenaudit voldaan. Echter, doordat een groot deel van de gebruikspopulatie van het Suwinet binnen het gemeentelijk domein ligt en hier geen wettelijk verplichte audit plaats vindt, hier sprake is van een onzekerheid. In de scope van de Suwinet audit worden ook niet alle partijen meegenomen die zijn aangesloten op het Suwinet. Hierdoor ontstaat een onevenwichtig beeld ten aanzien van de ketenbrede beveiliging. Dit wordt veroorzaakt door het bestuurlijke perspectief, en de autonomie van gemeentelijk domein hierin. Een autonome gemeente is een gemeente waarbij zowel het bestuur als het ambtelijk apparaat zelfstandig is. Dit betekent dat het betreffende college van burgemeester en wethouders (B&W) formeel alleen verantwoording verschuldigd is aan één gemeenteraad, en dat het ambtelijke apparaat (onder aanvoering van één gemeentesecretaris) alleen verantwoording verschuldigd is aan één enkel college van B&W. Vanuit dit bestuurlijke perspectief is het daarom niet haalbaar om alle partijen dezelfde audit op te leggen, iets wat vanuit de vaktechniek wel wenselijk is. Over de mate van zekerheid van het af te geven oordeel (redelijke of hoge mate van zekerheid), en het geven van inzicht in individuele bevindingen is in de praktijk discussie. Vanuit vaktechnisch perspectief blijkt het niet voor iedere audit organisatie haalbaar om een oordeel af te geven met een hoge mate van zekerheid. Het Suwinet normenkader schreef tot voor kort een oordeel met een hoge mate van zekerheid voor, dit is verlaagd naar een redelijke mate van zekerheid. Reden is dat bij een oordeel met een hoge mate van zekerheid er dermate eisen worden gesteld in termen van statistische steekproeven dat deze niet konden worden geboden door de audit organisaties binnen een aanvaardbaar budget voor de klant. Vanuit de toezichthouder wordt genoemd dat de review methode zoals deze wordt gehanteerd bij de beoordeling de verantwoordingen over de ICT (SUWI-regeling 5.22, 6.4) met de thans veel gebruikte Third Party Mededeling (TPM) methode complexer is geworden. De ITauditor die nu bijvoorbeeld het Suwinet normenkader hanteert bij de uitvoering van de Suwinet audit kijkt op onderdelen wat er is geraakt door de TPM-auditor. Waar zich nog onderdelen bevinden die niet geraakt zijn voert de IT-auditor zelf werkzaamheden uit. Vanuit de toezichthouder is het daarom noodzakelijk dat er een heldere werkverdeling tussen de ITauditor en de TPM-auditor aanwezig is in het auditdossier van de IT-auditor zodat dit reviewbaar is. Daarnaast dient inzichtelijk te worden gemaakt door de IT-auditor op welke wijze hij op welke bevindingen van de TPM steunt bij de beoordeling. Geïnterviewden uit de auditpraktijk vinden dat er meer aandacht zou kunnen worden gevestigd op het totaaloverzicht over de beveiliging van het Suwinet dat de Security Officer van het BKWI in overleg met ketenpartners jaarlijks uitbrengt aan de minister van SZW en IWI (Samenvattende Rapportage). Dit openbaar maken heeft namelijk als voordelig effect dat
22
dit dwingt tot ‘presteren’ omdat de resultaten publiekelijk bekend zullen worden gemaakt. Wel missen betrokkenen bij deze samenvattende rapportage het inzicht in de onderliggende individuele bevindingen per ketenpartner. Vooral de vraag waarom er op een bepaalde norm voldoende of onvoldoende is gescoord door een ketenpartij is niet inzichtelijk. Dit is weliswaar niet wettelijk verplicht, maar zou wel meer transparantie geven in de ketenproblematiek zoals die is geconstateerd. Vanuit het openbaar bestuur wordt aangeven dat partijen de Suwinet audit zichtbaar zeer serieus nemen. Hierdoor is er meer inzicht in het niveau van de beveiliging dan voor de start van de Suwinet audit in 2002. Overleg tussen de uitvoering en het openbaar bestuur over de opzet van de Suwinet audit maakt dat de wederzijdse perspectieven kunnen worden gewisseld en hier begrip voor ontstaat. Conclusie Ik ben van mening dat het model voor de Suwinet mededeling over de beveiliging van de gegevensuitwisseling in essentie voldoet. Het zou dan ook op grotere schaal, en naast de beveiliging, voor alle binnen de keten gebruikte informatie zou kunnen worden ingevoerd. Deze mededeling beschouw ik als een ‘best practice’ op het gebied van ketenauditing vanwege het uniforme normenkader, rapportagerichtlijn en de (in opzet) transparantie aan elkaar. Wel dienen van een aantal problemen op het gebied van de Suwinet audit de consequenties nog in kaart te worden gebracht. Zo geeft de samenvattende rapportage geen inzicht in de onderliggende bevindingen, hierdoor ontbreekt naar mijn mening de volledige transparantie voor de gehele keten. Op deze wijze heeft de minister niet in één oogopslag inzicht in alle risico’s en aanbevelingen zoals die voortkomen uit de Suwinet audit. Ook is de scope van de Suwinet audit door politiek bestuurlijke redenen te beperkt, hetgeen niet tot het probleemgebied van de IT-auditor behoort, maar wel van invloed is op de (kwaliteit van de) informatievoorziening die in de keten wordt gebruikt. Doordat geen verplichtingen in de vorm van ketenaudits of andere ketenbrede afspraken kunnen worden opgelegd voor het gemeentelijk domein betekent dit een risico want er is geen ketenbreed totaaloverzicht is op het gebruik van de Suwinet als keten ICT voorziening. Bovenstaande punten ten aanzien van de verantwoording en de scope hadden door een ketenauditor ook kunnen worden geïdentificeerd bij het gebruik van NORA (privacy- en beveiligingsparagraaf) als normenkader. Andere belangrijke aandachtspunten bij de uitvoering van een ketenaudit zijn dat de wettelijke eisen ten aanzien van het oordeel behorende bij de Suwinet audit mijns inziens dienen te worden gematcht met de vaktechnische richtlijnen in algemene zin. Ook het goed in beeld hebben, en rapporteren over de risico’s bij de externe leveranciers van de ketenpartner zodat deze risico’s niet onderbelicht blijven is van importantie.
4.2 Ontwikkeling Digitaal Klantdossier Om de tekortschietende informatievoorziening tussen ketenpartners in de sociale zekerheid te verbeteren wordt er een Digitaal Klantdossier ontwikkeld. De knelpunten die ten grondslag liggen aan de initiatie van de ontwikkeling van het DKD zijn opgetekend in het rapport van de Expertcommissie informatievoorziening en elektronische dienstverlening SUWI getiteld `De burger bediend!' [EXP]. De Expertcommissie constateert ook dat er duidelijke knelpunten in de informatievoorziening en elektronische dienstverlening van de keten van werk en inkomen
23
zitten. De belangrijkste knelpunten zijn door mij hieronder gekoppeld aan de algemene ketenrisico’s uit de literatuur zoals beschreven in hoofdstuk twee: • Knelpunt Expertcommissie: geen eenduidige ketenprestatie-indicatoren; o Algemeen ketenrisico: niet meetbare ketenresultaten. • Knelpunt Expertcommissie: geen gemeenschappelijke visie op dienstverlening als basis voor herinrichting van werkprocessen en ICT; o Algemeen ketenrisico: het ontbreken van één gezicht naar buiten als overheid. • Knelpunt Expertcommissie: onvoldoende politieke verankering, ontbreken van de opdrachtgeverrol en een digitale taskforce; o Algemeen ketenrisico: het niet hebben van de (keten)regie. • Knelpunt Expertcommissie: geen optimale intake en werkprocessen in de frontoffices. Gegevens worden meerdere keren uitgevraagd; o Algemeen ketenrisico: inefficiënt en ineffectief functioneren van de overheid. De belangrijkste oorzaak van het tekortschieten van de dienstverlening is volgens de Expertcommissie dat de dienstverleningsprocessen onvoldoende uitgaan van de burger als centrale factor, maar de afzonderlijke organisaties centraal stellen. De kern van de oplossing ligt volgens de Expertcommissie in een dienstverleningsconcept dat de burger centraal stelt.
4.2.1 Juridische context De Wet eenmalige gegevensuitvraag verbiedt organisaties die de wetten voor werk en inkomen uitvoeren om bij hun klanten gegevens op te vragen die al bij hen of bij andere uitvoeringsorganisaties bekend zijn. Zij moeten hiervoor gebruik gaan maken van het digitale Klantdossier’ (DKD) dat in fases wordt ingevoerd. In dit elektronische dossier staan de bij de verschillende organisaties bekende gegevens van de klant. Met het DKD kan de klant vanuit huis een uitkering aanvragen. Hierbij wordt gebruikgemaakt van een ‘omgekeerde intake’. Dat houdt in dat de burger alleen die gegevens hoeft te verstrekken die nog niet bekend zijn. Hij ontvangt derhalve inschrijfformulieren waarop de bij de organisaties bekende gegevens al zijn ingevuld. Die hoeft hij alleen nog maar te controleren op juistheid en - waar nodig - te corrigeren of aan te vullen. Dat levert de burger naar schatting per keer een tijdsbesparing van circa twee uur op.
4.2.2 Theoretische toetsing: Raamwerk Di Maio aan ontwikkeling Digitaal Klantdossier In deze paragraaf toets ik het raamwerk van Di Maio (zie hoofdstuk 3) die tot doel heeft om risico’s op het gebied van de E-overheid strategie vast te stellen aan het Digitaal Klantdossier. De vragen zijn verdeeld in twee sets van criteria. Met behulp van de eerste set van criteria kan worden vastgesteld of de strategie onderliggend aan het programma Digitaal Klantdossier wel die ingrediënten bevat om tot een goede aanpak te komen (Completeness of vision). Di Maio heeft onderliggend aan de evaluatiecriteria vragen opgesteld met een bijbehorende normering die loopt van één (laag) tot vijf (hoog). Ik zal deze score op de onderliggende vragen aangeven bij de situatie van het Digitaal Klantdossier. Waar van toepassing worden de besproken knelpunten van de Expertcommissie aangehaald middels literatuurverwijzing.
24
Raamwerk Di Maio: • Gemeenschappelijk begrip: De vaardigheid om gemeenschappelijke dienstverlening behoefte te identificeren en deze te incorporeren en te prioriteren in nieuwe en bestaande veranderprogramma’s: o Worden er vragenlijsten uitgezet, of focusgroep bijeenkomsten gehouden om gemeenschappelijke dienstverlening behoefte te identificeren? o Is er wel interactie tussen ketenpartners om pijnpunten en gemeenschappelijke dienstverlening behoefte te identificeren? o Worden de gemeenschappelijke dienstverlening behoefte die voortkomen uit vragenlijsten, focusgroepen en interactie ook in bestaande strategieën en plannen geïncorporeerd en op tactisch niveau in bestaande activiteiten geïntegreerd? Programma Digitaal Klantdossier: o Aan de initiatie van de ontwikkeling van het DKD ligt rapport van de Expertcommissie ten grondslag [EXP]. Hiervoor zijn alle ketenpartners geïnterviewd. Van alle bovenstaande punten was dus sprake in deze context. (Score 5) Raamwerk Di Maio: • Gemeenschappelijke strategie: De vaardigheid om mensen en kennis zo te positioneren dat er kan worden voldaan aan de behoefte om aan een specifiek gemeenschappelijke segment te kunnen voldoen. o Bevat de strategie het perspectief om binnen een E-overheid programma een specifiek gemeenschappelijke segment te gaan bewerkstelligen? Bevat de strategie een duidelijke inzet om processen en techniek zo te veranderen dat de klant centraal komt te staan? o Bevat de strategie een onderdeel dat beschrijft hoe systemen, processen en diensten van de keten kunnen worden samengevoegd? Programma Digitaal Klantdossier: Hier zijn twee knelpunten die ten grondslag liggen aan de initiatie van de ontwikkeling van het DKD aan de orde [EXP]: o Risico Expertcommissie: geen optimale intake en werkprocessen in de frontoffices. Gegevens worden meerdere keren aan klanten uitgevraagd; [EXP] (Score 0) o Risico Expertcommissie: geen gemeenschappelijke visie op dienstverlening als basis voor herinrichting van werkprocessen en ICT; [EXP] (Score 0) NB: De Expertcommissie doet wel aanbevelingen om deze risico’s te mitigeren wanneer er zou worden aangevangen met de ontwikkeling van het DKD. Raamwerk Di Maio: • E-overheid diensten opleverstrategie: De vaardigheid om de E-overheid dienstverlening aan te bieden via een combinatie aan fysieke en elektronische kanalen. o Is er een strategie die herkent dat klanten zich van één kanaal naar een ander kanaal begeven? o Worden toekomstige elektronische kanalen voor de dienstverlening gelinkt aan gemeenschappelijke behoeften? Is hier een lange termijn strategie voor? Programma Digitaal Klantdossier: o Niet van toepassing. Digitaal Klantdossier is alleen elektronisch. (Geen score). o Digitaal Klantdossier wordt ontwikkeld voor de dienstverlening van SUWI ketenpartners, private partijen spelen (vooralsnog) geen rol. (score 3)
25
Raamwerk Di Maio: • E-overheid diensten ontwikkelstrategie: De vaardigheid tot een aanpak te komen voor ontwikkeling en oplevering van E-overheid diensten op zo een wijze dat deze zowel operationele, gemeenschappelijke als politieke waarde heeft. o Is er een dienstverlening analyse uitgevoerd? (bijvoorbeeld volume versus complexiteit van de dienstverlening en generieke versus specialistische kennis benodigd voor een interactie met de klant) o Vind er een meting plaats die de behoefte van de burgers en vraag van ketenpartners meet als onderdeel van de E-overheid ontwikkel- en opleverstrategie? Programma Digitaal Klantdossier: Hier zijn twee knelpunten die ten grondslag liggen aan de initiatie van de ontwikkeling van het DKD aan de orde [EXP]: o De belangrijkste oorzaak van het tekortschieten van de dienstverlening is volgens de Expertcommissie dat de dienstverleningsprocessen onvoldoende uitgaan van de burger als centrale factor [EXP]. (Score 0) o Globale business case, op een hoog abstractie niveau en informele wijze zonder link naar gemeenschappelijke of politieke agenda’s. Er zijn geen eenduidige ketenprestatie-indicatoren [EXP]. (Score 1) Raamwerk Di Maio: • Transformatie en vernieuwing: De mate waarin de E-overheid strategie zich verhoudt tot de dagelijkse tactische uitvoering en de behoefte om te veranderen. o Is het gat dat overbrugd moet worden met het huidige niveau inzichtelijk? Zijn de transformatie doelstellingen helder? o Is in de transformatie voorstellen het samengaan van de menselijke, proces en technologische kant duidelijk? Programma Digitaal Klantdossier: o In de bijlagen van de Wet eenmalige gegevensuitvraag staat per wanneer welke gegevenselementen van de diverse ketenpartners niet meer dubbel uitgevraagd mogen worden. Het principe van eenmalige gegevensuitvraag was vooraf wel helder echter de betrokken gegevenselementen die (middels een groeipad) onder het verbod van dubbele uitvraag waren niet vooraf bij de start van het programma DKD helder. (Score 2) o In het rapport van de Expertcommissie [EXP] dat onderliggend is aan de ontwikkeling van het Digitaal Klantdossier wordt de menselijke, proces en technologische component belicht. In de (tussen)evaluatie worden deze componenten niet altijd geraakt. (Score 4) Raamwerk Di Maio: • E-overheid marketing strategie: De mate waarin strategieën, doelen, plannen en principes intern en extern worden gecommuniceerd. o Is er een document met een E-overheid strategie en daaraan gerelateerd marketing materiaal? Worden boodschappen duidelijk intern en extern gecommuniceerd? (Zoals toegankelijkheid en personalisatie van E-diensten door burgers) o Zijn er verschillende marketing strategieën beschikbaar voor gemeenschappelijke diensten en de (elektronische) kanalen die het meest gebruikt worden? Programma Digitaal Klantdossier: o Een zeker strategie document voor de ontwikkeling van het DKD is aanwezig. Bij de eerste pilot van het Digitaal Klantdossier bleek dat er te weinig aandacht was
26
besteed om richting burgers te communiceren dat het vooraf aanvragen van een Dig-ID noodzakelijk was om eigen gegevens in het DKD in te zien. Dit promotiemateriaal voor Dig-ID was wel aanwezig bij een andere instantie, maar werd door segmentering in de keten in eerste instantie niet gebruikt. (Score 2) o Er is wel marketing materiaal, echter dit kan alleen via verschillende kanalen worden benaderd. (Score 2) Geen doelgerichte berichten via verschillende kanalen aan divers publiek. Met de tweede set van criteria kan worden vastgesteld of de doelen die voortvloeien uit de Eoverheid strategie wel behaald kunnen worden door het programma Digitaal Klantdossier (Ability to execute). Di Maio heeft onderliggend aan de evaluatiecriteria vragen opgesteld met een bijbehorende normering die loopt van één (laag) tot vijf (hoog). Ik zal wederom deze score op de onderliggende vragen aangeven bij de situatie van het Digitaal Klantdossier. Raamwerk Di Maio: • Uitvoerbaarheid binnen budget: het budget dat beschikbaar is voor de ondersteuning om E-overheid programma’s en investeringen te ondersteunen: o Is er een specifiek budget beschikbaar dat buiten een individuele organisatie omgaat? o Is het programma in lijn met de politieke agenda en bijbehorende prioriteiten? o Is er een ketenbrede businesscase aanwezig voor deze investering? Programma Digitaal Klantdossier: o Er is volledig specifiek budget beschikbaar voor het programma DKD dat via één centrale organisatie (eindverantwoordelijke) beschikbaar wordt gesteld aan de overige meewerkende ketenpartners. Dit gebeurt op basis van budgetaanvragen behorende bij plannen van aanpak die worden ingediend bij een centraal programmabureau. Echter ketenbrede urenverantwoordingen / roosters worden niet geëvalueerd via een centraal programmabureau. (Score 4.5) o De uitgave is volledig in lijn met de politieke agenda. Dit blijkt onder andere uit de recent ingevoerde Wet eenmalige gegevensuitvraag. (Score 5) o Er is sprake van een ad-hoc businesscase voor dit programma. Er is geen systematisch proces om ketenbrede business cases op te stellen, in te dienen en te laten goedkeuren. (Score 2) Raamwerk Di Maio: • Aanpassingsvermogen: de mate om flexibel te reageren op veranderingen in de wet en behoeften aan nieuwe gemeenschappelijke diensten. o Kan het programmabudget anders toegewezen worden? o Is er een ketenbreed veranderraamwerk aanwezig met daarin het wettelijk kader? o Wordt het programma in verband gebracht met E-overheid veranderingen en met deze bestaande budgetten gelinkt? o Wordt personeel opgeleid en/of omgeschoold op basis van de veranderingen? Programma Digitaal Klantdossier: o Het programmabudget kan wel worden doorgeschoven naar een volgend jaar (na goedkeuring Ministerie SZW), maar niet op een andere manier worden toegewezen. (Score 0) o Er is geen ketenbreed verander raamwerk aanwezig. Het is nu vaak wel impliciet duidelijk wat de impact van de verschillende ketenbrede initiatieven en veranderprogramma’s op elkaar zijn. (score 0).
27
o Er wordt wel verband aangebracht vanuit het programma DKD met E-overheid veranderingen waaronder correctiemechanisme en dienstverleningsconcepten. Geen expliciete link plaats met de bestaande budgetten. (Score 3) o (Nog) niet van toepassing door de beperkte uitrol. (Geen score) Raamwerk Di Maio: • Link met de politiek: de bijdrage van E-overheid programma’s aan het creëren van positieve politieke opbrengsten op korte en lange termijn. o Is de verantwoordelijkheid voor de overheidsbrede E-overheid strategie belegd bij een toonaangevend persoon? o Zijn de E-overheid doelen verbonden aan de politieke prioriteiten? o Is er een communicatiestrategie en plan aanwezig om publiekelijk over de voortgang te communiceren? o Is er extern contact met de politiek en met juridische en andere organen? Programma Digitaal Klantdossier: o De voorzitter van de RvB CWI heeft budget en is eindverantwoordelijk voor de uitvoering (Score 5) o Lastenverlichting voor burgers en efficiency in de uitvoering zijn de doelen die worden nagestreefd met het DKD. Dit zijn ook politieke speerpunten (Score 5) o Rapportering vanuit het programma vindt regulier plaats volgens planning. (Score 5) o Ja, de Tweede Kamer wordt op de hoogte gehouden van de voortgang rondom het programma DKD en er is bijvoorbeeld contact met het College Bescherming Persoongegevens (CBP) (Score 5) Raamwerk Di Maio: • Keten dienstverlening: de mate waarin (keten)relaties en E-overheid programma’s aantoonbare waarde voor de (overheids)keten(partners) opleveren. o Hoe wordt de toegevoegde waarde voor de keten gemeten? o Hoe groot is het totale percentage van de publieke dienstverlening dat online is? o Welk percentage van de publieke dienstverlening waarmee de burger transacties met de overheid kan doen is online? Programma Digitaal Klantdossier: o Dit is thans nog niet gebeurd, maar zal wel de komende maanden plaats gaan vinden. (Geen score) o (Nog) Niet van toepassing, programma is nog in de uitrol fase. (Geen score) o (Nog) Niet van toepassing, programma is nog in de uitrol fase. (Geen score) Raamwerk Di Maio: • Organisatie en beheersing: de mate waarin de verantwoordelijkheden goed belegd zijn en er juist verantwoording wordt afgelegd om te komen tot E-overheid doelen en afspraken. o De senior programmaleden hebben de juiste rollen, verantwoordelijkheden, autoriteit en beslissingbevoegdheid. o Is er een enterprise architectuur aanwezig? o Is er een gegevensdeling en interoperabiliteit raamwerk aanwezig dat is gelinkt aan het programma? o Is er een E-overheid programmabureau aanwezig? o Is er een overheidsbrede CIO aanwezig?
28
Programma Digitaal Klantdossier: o Er is een stuurgroep waarin leden van de RvB van de diverse ketenpartners zitting nemen. Deze vergaderen één keer per maand en hebben de autoriteit om beslissingen te nemen. Zij bekijken de voortgang en adviseren over het verdere verloop van het programma DKD aan de minister van SZW. (Score 5) o Niet van toepassing. Het DKD is een virtueel dossier dat is opgebouwd uit de databestanden van gemeente, UWV, CWI, GBA, RDW en IBG. (Geen score) o Uitgangspunt is dat gegevens eenmalig worden uitgevraagd bij de klant. De klant krijgt wettelijk recht om dubbele aanlevering van gegevens te weigeren. Gegevens van en over klanten worden eenmalig vastgelegd bij de ‘eigenaar’ van het gegeven: CWI, UWV of gemeenten. In het Suwi Gegevens Register (SGR) wordt geregeld wie de ‘eigenaar’ is van welke gegevenscomponent. Deze ‘eigenaar’ maakt gegevens via het DKD raadpleegbaar. Dit wordt niet afgedwongen door een financiële incentive toe te kennen als het SGR ook daadwerkelijk wel of niet wordt gebruikt door een partij. (Score 4) o Het programma DKD heeft een eigen programmabureau DKD, echter geen mandaat voor het opleggen van standaarden omdat ketenpartners eigen templates etc. gebruiken. Het programmabureau zorgt niet voor financiering en geschikt personeel, dit doen ketenpartners zelf. Ook worden geen corrigerende acties uitgevoerd met een mandaat, dit doet de minister van SZW. (Score 2) o Nee, wel een voorzitter van de RvB CWI die resultaatverantwoordelijk is voor het programma DKD. Deze geeft advies over mitigerende maatregelen voor risico’s (zie ketentoets DKD) en hoe het programma te continueren. Verder wordt door hem de voortgang van het programma gerapporteerd aan de minister van SZW. Actieve betrokkenheid bij het opstellen van de business case is niet aan de orde geweest. (Score 4) Raamwerk Di Maio: • Efficiency: de mate waarin de E-overheid strategie heeft bijgedragen aan het efficiënter uitvoeren van overheidstaken. o Is er een performance management raamwerk aanwezig? o Worden er consolidatie activiteiten uitgevoerd die toegevoegde waarde hebben? Programma Digitaal Klantdossier: o Er is geen performance managementraamwerk aanwezig specifiek voor de Eoverheid. (Score 0) o Consolidatie is niet van toepassing omdat dit geen doel is geweest bij de ontwikkeling en invoering van het Digitaal Klantdossier. (Geen score) Conclusie Ik ben van mening dat met het raamwerk van Di Maio een ketenauditor in staat wordt gesteld om risico’s op het gebied van de E-overheid strategie te identificeren. Naar aanleiding van de toetsing aan het programma DKD zijn risico’s geïdentificeerd en kunnen bijbehorende verbetermaatregelen geformuleerd worden zodat de (strategische) E-overheid doelen wel behaald gaan worden. Het raamwerk vormt naar mijn mening een goede normering voor ketenauditors om ketenbrede onderzoeken op de E-overheid uit te voeren. De scores/normering die uit de toetsing aan het programma DKD naar voren zijn gekomen wijzen het volgende uit: • De gemeenschappelijke dienstverlening behoefte onderliggend aan het programma DKD goed is geïdentificeerd en is geïncorporeerd in het nieuwe opgestarte programma DKD.
29
•
• •
•
• • •
• • • •
Twee knelpunten die ten grondslag liggen aan de initiatie van de ontwikkeling van het DKD [EXP], komen ook naar voren bij de toetsing aan het raanwerk van Di Maio. Mensen en kennis zijn voor de start van het programma DKD onvoldoende gepositioneerd om te voldoen aan de eenmalige gegevensuitvraag: o Geen optimale intake en werkprocessen in de frontoffices van ketenpartners. Gegevens worden meerdere keren aan klanten uitgevraagd; [EXP] o Geen gemeenschappelijke visie op dienstverlening als basis voor herinrichting van werkprocessen en ICT; [EXP] Private partijen niet in beeld zijn bij de ontwikkeling van de diensten van het Digitaal Klantdossier Twee knelpunten die ten grondslag liggen aan de initiatie van de ontwikkeling van het DKD [EXP], komen ook naar voren bij de toetsing aan het raamwerk van Di Maio. Er is voor de start van het programma DKD geen heldere dienstverlenings analyse is uitgevoerd en er geen ketenbrede metingen naar behoefte en vraag van burgers en ketenpartners plaatsvinden: o De dienstverleningsprocessen gaan onvoldoende uit van de burger als centrale factor [EXP]. (Score 0) o Globale business case, op een hoog abstractie niveau en informele wijze zonder link naar gemeenschappelijke of politieke agenda’s. Er zijn geen eenduidige ketenprestatie-indicatoren [EXP]. (Score 1) Het groeipad naar eenmalige gegevensuitvraag onvoldoende duidelijk was bij aanvang van het programma DKD. Het voorstel onderliggend aan de ontwikkeling van het Digitaal Klantdossier [EXP] de menselijke, proces en technologische component goed belicht. In de (tussen)evaluatie worden deze componenten niet altijd geraakt. Marketingmateriaal voor Dig-ID breder beschikbaar gesteld dient te worden om effectief gebuikt te kunnen worden. De pilot DKD had hiermee een groter succes geworden. Er specifiek budget voor het programma DKD beschikbaar is en dit in lijn is met politieke prioriteiten, echter dat het opstellen van een ketenbrede businesscase voor het programma DKD nog ad-hoc is gegaan. Het aanpassingsvermogen om te reageren op veranderingen in de wet en behoeften aan nieuwe gemeenschappelijke diensten nog beperkt is: o Er is er niet altijd expliciet inzichtelijk wat de samenhang tussen de verschillende veranderprogramma’s is die lopen binnen de E-overheid. o Het DKD programmabudget niet op een andere manier kan worden toegewezen dan aan het programma zelf. Het programma DKD een positieve bijdrage levert aan het creëren van positieve politieke opbrengsten op korte en lange termijn. Doordat het programma DKD zich nog in de uitrol fase bevindt er nog niets bekend is over de mate waarin het programma DKD aantoonbare waarde voor de betrokken ketenpartners oplevert. De organisatie en beheersing op orde is, echter het programmabureau DKD heeft beperkte bevoegdheden in termen van corrigerende acties. Dit is bij de minister van SZW belegd. Er is nog beperkt aandacht is voor een ketenbreed performance management raamwerk, waardoor het meten van de programma resultaten aan de strategische doelstellingen (eenmalige gegevensuitvraag) niet zonder meer mogelijk is.
30
4.2.3 Praktijk: Ketentoets Digitaal Klantdossier Vanuit het Ministerie van SZW is aan de SUWI ketenpartners verzocht het initiatief te nemen tot de uitvoering van een ketentoets DKD die tot integraal inzicht moet leiden in alle onderdelen die relevant zijn voor het ontwikkelproces van het DKD. Hierbij gaat het zowel om de onderdelen die binnen de reikwijdte van het programma DKD als die onder de directe verantwoordelijkheid van de ketenpartners vallen. CWI treedt op als gedelegeerd opdrachtgever voor de uitvoering van het werkprogramma 2007 (DKD fase 1) en is uit dien hoofde verantwoordelijk voor de uitvoering van de ketentoets DKD. Voor de componenten van het DKD die onder de verantwoordelijkheid van het programma DKD worden gerealiseerd, is het programma zelf verantwoordelijk voor de kwaliteitsborging conform reeds gemaakte afspraken. De componenten die onder verantwoordelijkheid van ketenpartners worden ontwikkeld worden door de interne auditdiensten beoordeeld. De resultaten van de uitgevoerde audits worden door het programma DKD in een samenvattende rapportage opgenomen. Ook de afzonderlijke rapportages van de ketenpartners worden als bijlagen meegestuurd. De rapportage is voorzien van een oordeel over de actuele stand van zaken en signaleert de belangrijkste risico's voor een succesvolle implementatie en gebruik vanaf 1 januari 2008. Een tussen de uitvoering, Ministerie van SZW en Inspectie Werk en Inkomen afgestemd toetsingskader wordt voor de ketentoets DKD als uitgangspunt gehanteerd. Dit toetsingskader bevat toetspunten op het gebied van privacy en beveiliging, systeemcomponenten, correctieen terugmelding, kwaliteit van de ontsloten gegevens, voortgang implementatie en samenwerking ketenbelang en sturing. In de opdracht is opgenomen dat voor een evenwichtig beeld het van belang is dat de toetspunten op een eenduidige wijze worden beoordeeld en hierover op een uniforme wijze en met vergelijkbare diepgang wordt gerapporteerd. Vanuit het openbaar bestuur wordt aangegeven dat er met de ketentoets DKD is bereikt dat de kwaliteitsborging zich niet alleen beperkt tot het programma DKD, maar dat nu ook de componenten die onder verantwoordelijkheid van ketenpartners worden ontwikkeld door worden beoordeeld. Vanuit verschillende perspectieven wordt dit als positief beoordeeld: • Het openbaar bestuur vindt het positief dat het onderzoek heeft plaatsgevonden aan de hand van een uniform toetsingskader dat door alle ketenpartners gehanteerd is. Dit biedt een goed vergelijk tussen de toetspunten van de ketenpartners; • Vanuit de auditpraktijk komt, evenals bij de Suwinet audit, naar voren dat een samenvattende rapportage als voordelig effect heeft dat dit dwingt tot ‘presteren’ omdat de resultaten breder bekend zullen worden gemaakt dan alleen in de eigen organisatie; • Vanuit de toezichthouder wordt aangegeven dat er bij deze samenvattende rapportage, in tegenstelling tot de Suwinet audit, inzicht in de onderliggende individuele bevindingen per ketenpartner doordat de afzonderlijke rapportages van de ketenpartners, als bijlage meegestuurd werden. Waarom er op een bepaalde toetspunt voldoende of onvoldoende gescoord is door een ketenpartij is hiermee inzichtelijk en geeft overzicht in de ketenproblematiek rondom de ontwikkeling van het DKD zoals deze is geconstateerd. In de praktijk van de ketentoets DKD zijn nog wel punten voor verbetering vatbaar: • Vanuit de toezichthouder bezien had men idealiter wel een IT-audit over de gehele keten gehad met bijbehorend oordeel van een IT-auditor. Op deze wijze had een gestructureerder onderzoek per auditobject met bijbehorende kwaliteitsaspecten uitgevoerd kunnen worden.
31
•
Geïnterviewden uit het openbaar bestuur geven aan dat het belangrijk is dat aan het Ministerie van SZW met voldoende zekerheid wordt gerapporteerd. Een IT-auditor kan hieraan een bijdrage leveren. In de praktijk bleek dit echter niet haalbaar bij de ketentoets DKD. Het is namelijk zo dat de kleinere organisaties binnen de sociale zekerheid alsmede de organisatie die de begeleiding van het gemeentelijk domein verzorgen niet over eigen auditdiensten beschikken. Hier is ook geen budget voor gereserveerd. Er zijn zeer beperkt kruislingse reviews uitgevoerd door IT-auditors op de resultaten van de ketenaudits uitgevoerd door de kleinere organisaties zonder IT-auditor. Doordat er geen IT-auditors voor handen waren wordt er ook niet over een ‘audit’ gesproken maar over een ‘toets’ en is er van een oordeel zoals door de NOREA gehanteerd geen sprake geweest.
Conclusie Ik ben van mening dat er met de ketentoets DKD een goede eerste aanzet is gedaan om integraal inzicht te verkrijgen in alle onderdelen die relevant zijn voor het ontwikkelproces van het DKD. Zowel over de onderdelen binnen de reikwijdte van het programma DKD alsmede de onderdelen onder de directe verantwoordelijkheid van de ketenpartners vallen. Wanneer een ketenauditor het raamwerk van Di Maio in handen had gehad dan zouden er binnen deze ketentoets andere punten geadresseerd zijn die nu niet geadresseerd zijn. Uniforme van rapportages en toetsingskaders, evenals het afleggen van verantwoording in één document hadden door een ketenauditor positief kunnen worden geïdentificeerd als een ketenauditor NORA (privacy- en beveiligingsparagraaf) had gebruikt bij een ketenaudit. Andere belangrijke aandachtspunten bij de uitvoering van een ketenaudit zijn kleinere organisaties geen gekwalificeerde IT-auditors in dienst hebben om ketenaudits uit te voeren. Dit is van invloed op de wijze van het onderzoek en de kwaliteit van de IT audit op ketenniveau.
4.2.4 Theoretische toetsing: Raamwerk Di Maio aan P-direct Het interdepartementale project P-Direkt is in 2003 opgestart met de doelstelling een shared service center voor Human Resource (HR) processen en salarisadministratie te realiseren. Dit shared service center had als taak de personeelsinformatievoorziening (personeelsregistratie en salarisadministratie) centraal vanuit één uitvoeringsorganisatie te verzorgen voor twaalf ministeries en ruim 130.000 personeelsleden. Nagenoeg alle ministeries voerden een eigen personeelsadministratie, waarbij de wijze waarop dit binnen de ministeries was georganiseerd sterk verschilde. Uit analyse van dit interdepartementale ITproject zijn risico’s naar voren gekomen [KER]. Ik toets het raamwerk van Di Maio aan deze risico’s: Raamwerk Di Maio: • Organisatie en beheersing: de mate waarin de verantwoordelijkheden goed belegd zijn en er juist verantwoording wordt afgelegd om te komen tot E-overheid doelen en afspraken. o De senior programmaleden hebben de juiste rollen, verantwoordelijkheden, autoriteit en beslissingbevoegdheid. P-Direct: • De besluitvorming over issues met betrekking tot de oprichting van P-Direkt vond in de tweede fase van het project plaats in het plaatsvervangende Secretarissen-Generaal (pSG)-beraad. In deze periode is een kernteam van pSG’s ingesteld, dat geen besluiten nam, maar vaststelde wat ‘besluitrijp’ was en wat verdere verdieping nodig had. Het pSGberaad had geen formele bevoegdheden. (Score 2: Wel advies raad, geen stuurgroep)
32
Raamwerk Di Maio: • Transformatie en vernieuwing: De mate waarin de E-overheid strategie zich verhoudt tot de dagelijkse tactische uitvoering en de behoefte om te veranderen. o Is in de transformatie voorstellen het samengaan van de menselijke, proces en technologische kant duidelijk? P-Direct: • Bij de invulling van de doelstelling is door opdrachtgever onvoldoende rekening gehouden met het feit dat de oprichting van P-Direkt onderdeel moet zijn van de integrale herinrichting van de HR-kolom. (Score 1: Voornamelijk technologie gedreven.) Raamwerk Di Maio: • E-overheid marketing strategie: De mate waarin strategieën, doelen, plannen en principes intern en extern worden gecommuniceerd. o Is er een document met een E-overheid strategie en daaraan gerelateerd marketing materiaal? Worden boodschappen duidelijk intern en extern gecommuniceerd? (Zoals toegankelijkheid en personalisatie van E-diensten door burgers) P-Direct: • De doelstelling van P-Direkt is onvoldoende naar de toekomstige gebruikers van het systeem (managers en medewerkers) gecommuniceerd, waardoor nut en noodzaak voor deze gebruikers niet helder waren. (Score 0: Geen communicatie) Raamwerk Di Maio: • Organisatie en beheersing: de mate waarin de verantwoordelijkheden goed belegd zijn en er juist verantwoording wordt afgelegd om te komen tot E-overheid doelen en afspraken. o Is er een E-overheid programmabureau aanwezig? P-Direct: • Er is aan de stakeholders via meerdere kanalen informatie geleverd. Doordat de volledigheid en tijdigheid van de aanlevering van informatie niet werd gewaarborgd, konden de opdrachtgever, de stuurgroep en de leden van het algemeen projectoverleg onvoldoende invulling geven aan hun verantwoordelijkheden. (Score 0: Geen coördinatie van aanlevering van informatie door een programmabureau) • De bewaking van de risico’s is door de opdrachtgever grotendeels overgelaten aan de projectorganisatie P-Direkt en deels aan de contractpartner. Hierbij is niet aangegeven op welke wijze het risicomanagement vorm moest krijgen en hoe de opdrachtgever hierover zou worden geïnformeerd. (Score 0: Zie uitleg hierna) • Door de projectorganisatie zijn risicoanalyses opgesteld, maar de risico’s werden niet op gestructureerde en controleerbare wijze geïdentificeerd, geanalyseerd en bewaakt. In de risicoanalyse is geen rekening gehouden met risico’s die samenhangen met de uitgangspunten in het kabinetsbesluit, zoals het korte tijdpad, de wijze van aanbesteding en de keuze van het contract. (Score 0: Geen programmabureau dat verantwoordelijkheid en autoriteit heeft om regelmatige reviews te doen op risicoanalyses en hier met toestemming vanuit de ministeries corrigerende actie op uit te voeren) Raamwerk Di Maio: • Is er een ketenbrede businesscase aanwezig voor deze investering? P-Direct: • Bij koerswijzigingen werd de opgestelde business case wel op haalbaarheid van de geformuleerde doelstellingen getoetst. (Score 5: Aanwezig inclusief proces voor indien, bijstellen en goedkeuren)
33
P-Direct: • Voor het toetsen van de inhoudelijke kwaliteit van de door de contractpartner opgeleverde producten maakte P-Direkt gebruik van de input van externe deskundigen. • Vanuit de opdrachtgever heeft onvoldoende onafhankelijk toezicht op de uitvoering plaatsgevonden. Zo hadden bijvoorbeeld de auditdiensten geen rol in het toetsen van de kwaliteitsborging binnen het project. Raamwerk Di Maio: Deze twee risico’s worden niet afgedekt in het raamwerk van Di Maio Conclusie Bij gebruik van het raamwerk van Di Maio door een ketenauditor had het grootste deel van de risico’s zoals voortkomend uit de analyse op het interdepartementale IT project P-Direct vroegtijdig geïdentificeerd kunnen worden. Het raamwerk identificeert echter niet de risico’s die samenhangen met de een onvoldoende ingerichte kwaliteitsborgende functie binnen het project zoals een auditdienst die niet betrokken is en een onafhankelijke toetsing van (extern) opgeleverde producten. Dit zou een aanvulling kunnen zijn op het raamwerk van Di Maio onder het kopje ‘organisatie en beheersing’. Met de vraag: Is er een onafhankelijke kwaliteitsborgende functie ingericht?
4.3 Theoretische toetsing: De Bruijn e.a. aan Suwinet audit / ketentoets DKD Als ik de theorie van de Bruijn e.a. (zie hiervoor paragraaf 3.1.1) link aan deze ketenaudits uit de sociale zekerheid dan kom ik tot de conclusie dat de SUWI-keten een voorbeeld van een echte keten (met gelijkwaardige partners) is waarbij middels de Suwinet audit een gemeenschappelijk oordeel wordt geformuleerd op basis van de audits bij de verschillende ketenpartners. Dit komt overeen met het beschreven centrifugemodel. De ketentoets op de ontwikkeling van het Digitaal Klantdossier is een voorbeeld van een ‘toets’ die voor het gehele ketendeel door een derde auditpartij op de gehele keten wordt uitgevoerd. De afzonderlijke audits worden uitgevoerd naar analogie van het brugmodel. Voor een beeld van de gehele keten heeft men bij de ketentoets DKD de uitkomsten uit de gemeenschappelijke audit over het beperkte, gemeenschappelijke deel uitgevoerd door de externe partij plus de afzonderlijke audits op de schakels van de keten die als onderdeel van ketenpartners zijn gedefinieerd. Ik concludeer dat een normatieve opzet van De Bruijn e.a. bij de genoemde ketenaudits (Suwinet en DKD) in de sociale zekerheid een aanknopingspunt biedt voor het opzetten van de wijze van samenwerking tussen auditors om een goede invulling aan ketenaudits te kunnen geven.
34
5 Conclusie: Toegevoegde waarde van een ketenaudit vanuit bestuurlijke context In dit laatste hoofdstuk worden ketenaudits binnen de sociale zekerheid getoetst op toegevoegde waarde vanuit bestuurlijke context bezien. De belangrijkste conclusies die voortkomen uit de gestelde centrale onderzoeksvragen worden behandeld. Deze onderzoeksvragen, gepresenteerd in hoofdstuk één, zijn een afgeleide van de doelstelling van het onderzoek. In dit hoofdstuk geef ik antwoord op twee vragen: • Wat heeft ketenaudit tot nu toe bijgedragen in de sociale zekerheid? • Wat kan ketenauditing aan extra toegevoegde waarde bieden? Tot slot wordt een reflectie gegeven op het onderzoek en de resultaten die hieruit naar voren zijn gekomen. Wat heeft ketenaudit tot nu toe bijgedragen in de sociale zekerheid? Op basis van de inrichting van de verantwoordingen in de SUWI-keten valt te concluderen dat CWI, UWV, SVB, RWI en het Inlichtingenbureau ieder voor zich verantwoording af leggen in één verantwoordingsdocument, de jaarverantwoording. Op ketenniveau vindt beperkt verantwoording plaats. Positief is dat ketenpartners zich over de beveiliging van de gegevensuitwisseling (Suwinet audit) ook aan elkaar verantwoorden middels de samenvattende rapportage van het BKWI. Ik neem verscheidenheid aan andere ketenaudits binnen de sociale zekerheid waar. Zo is de ketentoets op de ontwikkeling van het Digitaal Klantdossier een (voornamelijk op het eigen) objectgeoriënteerde ketentoets zonder oordeel, terwijl bij de hiervoor genoemde reguliere Suwinet audit over de beveiliging van de gegevensuitwisseling wel een gemeenschappelijk oordeel wordt geformuleerd op basis van de audits bij de verschillende ketenpartners. Belangrijke aandachtspunt bij de uitvoering van een ketenaudit is dat (kleinere) organisaties geen register IT-auditors in dienst hebben om een ketenaudit uit te voeren. Dit is van invloed op de (gestandaardiseerde) aanpak van een audit en de borging van de kwaliteit van de IT audit op ketenniveau. Uit de praktijk van de Suwinet audit en de ketentoets DKD blijkt dat er vanuit het openbaar bestuur toegevoegde waarde wordt gezien in het uitvoeren van ketenaudits. De toegevoegde waarde van ketenaudits binnen de sociale zekerheid bestaan thans uit: • Het effect dat een publiekelijke samenvattende rapportage over een ketenaudit dwingt tot ‘presteren’ omdat de resultaten uit ketenaudits breder bekend zullen worden gemaakt dan alleen de eigen organisatie; • Eenduidige afspraken tussen (keten)auditors en het gebruik van een uniform normenkader binnen de keten door verschillende auditors biedt een vergelijk van resultaten; • Rapportagerichtlijnen voor ketenaudits bieden een eenduidig inzicht in de onderliggende audit resultaten van de afzonderlijke ketenpartners; • Meer zekerheid over de beheersing van de keten doordat er een breder perspectief wordt gehanteerd dan alleen een IT audit op de eigen organisatie, nu worden ook de raakvlakken geaudit; • Dat auditors van ketenpartners met elkaar (vaktechnisch) overleggen en zich ook aan elkaar verantwoorden middels samenvattende rapportages, deze uitwisseling van resultaten geeft inzicht in de problematiek van elkaar.
35
Wat kan ketenauditing aan extra toegevoegde waarde bieden? Vanuit de literatuurstudie blijkt dat De Bruijn e.a. een leidraad geven voor het opzetten van de wijze van samenwerking tussen auditors om een goede invulling aan ketenaudits te kunnen geven. Er zijn echter nog geen normenkaders in gebruik voor het uivoeren van ketenaudits door ketenauditors. Hiertoe zijn in deze scriptie het raamwerk van Di Maio en de privacy- en beveiligingsparagraaf van de NORA. Di Maio geeft een raamwerk om risico’s op het gebied van de E-overheid strategie vast te stellen teneinde bijbehorende verbetermaatregelen te formuleren zodat (strategische) Eoverheid doelen wel behaald (kunnen) worden. Het privacy en beveiliging onderdeel van de NORA stelt dat samenwerken in de context van de elektronische overheid een aantal aanvullende inrichtingsprincipes met zich mee brengt op het gebied van de beheersing van de informatiebeveiliging. Echter de NORA is ontwikkeld voor en door architecten, concrete beveiligingsmaatregelen worden niet genoemd, met uitzondering van enkele maatregelen die specifieke aandacht behoeven voor samenwerkende organisaties en elektronische dienstverlening. Hierdoor biedt dit referentiekader voor IT auditors wel een houvast, maar geen vragen met bijbehorende normering bevat zoals Di Maio deze wel beschrijft. Met het raamwerk van Di Maio wordt een ketenauditor in staat gesteld om risico’s op het gebied van de E-overheid strategie te identificeren. Naar aanleiding van de toetsing aan het programma DKD zijn risico’s geïdentificeerd en kunnen bijbehorende verbetermaatregelen geformuleerd worden zodat de (strategische) E-overheid doelen wel behaald gaan worden. Ook had bij het gebruik van het raamwerk van Di Maio door een ketenauditor het grootste deel van de risico’s zoals voortkomend uit de analyse op de lessons learned van het interdepartementale IT project P-Direct vroegtijdig geïdentificeerd kunnen worden. Het raamwerk identificeert echter niet de risico’s die samenhangen met de een onvoldoende ingerichte kwaliteitsborgende functie binnen een ketenproject / programma zoals bijvoorbeeld een auditdienst die niet betrokken is en een onafhankelijke toetsing van (extern) opgeleverde producten. Dit zou een aanvulling kunnen zijn op het raamwerk. Bij een ketenaudit op het gebied van privacy en beveiliging bevat de privacy- en beveiligingsparagraaf van de NORA een bruikbaar toetsingskader voor een ketenauditor. Uit de toetsing van deeze privacy- en beveiligingsparagraaf aan de Suwinet audit komt naar voren dat er een heel aantal zaken bij de Suwinet audit goed geregeld is. Ook zijn er nog verbeterpunten naar voren gekomen. Aanvullend op de zaken die in de besproken normenkaders staan komt vanuit zowel de auditpraktijk, de toezichthouder als het ministerie naar voren dat een ketenaudit van maximale toegevoegde waarde voor het openbaar bestuur is als de volgende aandachtspunten bij de ketenauditor goed in beeld zijn: • Neem als ketenauditor (intergraal) de risico’s bij de externe leveranciers van de ketenpartners mee zodat deze risico’s niet onderbelicht blijven. Dit biedt de minister waarborgen dat een ketenaudit ook daadwerkelijk alle risico’s voor de keten bevat; • Vooraf als ketenauditor in beeld hebben of het wettelijk gevraagde oordeel ook daadwerkelijk (vaktechnisch) afgegeven kan worden; • Indien bij aanvang van een ketenaudit duidelijk is dat (kleine) organisaties geen ITauditors kunnen inzetten bij ketenaudits vooraf heldere afspraken maken over een review van een IT-auditor op de audit werkzaamheden van een niet gekwalificeerde auditor om toch het integrale kwaliteitsniveau van de uitvoering van de ketenaudit te borgen.
36
5.1 Reflectie Dit onderzoek, wat geleid heeft tot normenkaders voor ketenaudits, is voor mij een leerzaam maar complex traject geweest. Het onderwerp zelf bleek soms moeilijker dan verwacht. De literatuur om een effectieve opzet van een ketenaudit te bewerkstelligen is er wel, echter normenkaders om ketenaudits mee uit te voeren waren nog niet voor handen. Wel waren in de praktijk enkele voorbeelden van ketenaudits zichtbaar. Ik denk dat het resultaat van toegevoegde waarde is bij de uitvoering van ketenaudits door vroegtijdig identificeren van risico’s en tekortkomingen op keten niveau aan het openbaar bestuur. Hiervoor bestonden deze raamwerken wel maar werden niet als zodanig door ketenauditors gehanteerd. Daarnaast kan de IT-auditor deze normenkaders voor ketenaudits nader concretiseren en gebruiken bij de beoordeling van ketenbrede IT-projecten en privacy en beveiliging op ketenniveau. Bij doorontwikkeling en nadere concretisering van normenkaders spelen de huidige en toekomstige eisen aan de informatievoorziening in de keten een prominente rol. Hierbij denk ik aan online en real-time inzage van burgers in eigen gegevens die door de gehele keten zijn opgeslagen alsmede de toenemende publieke ketendienstverlening via het internet. Zichtbaar is dat mindere recente normenkaders zoals gehanteerd bij de Suwinet audit hier nog niet voor uitgerust zijn, terwijl het raamwerk van Di Maio wel al spreekt over online publieke dienstverlening in een keten.
37
Bijlage 1: Theorie Ketenauditing Deze bijlage bevat de nadere uitwerking van theorie rondom ketenauditing zoals in hoofdstuk 3 op hoofdlijnen beschreven. Theorie De Bruijn e.a. Samenwerkingsmodellen voor ketenaudits De Bruijn e.a. onderscheiden een viertal samenwerkingsmodellen. Deze modellen beschrijven de mate van samenwerking tussen de auditdiensten en de omvang van de beoordeling van de keten. Figuur 1 visualiseert de samenhang tussen de samenwerkingsmodellen tussen de auditdiensten en het zicht op de keten als geheel.
Figuur 1: Samenhang auditmodellen met zicht op keten als geheel (De Bruijn e.a.)
Ketentypes Er zijn vier ketentypes gedefinieerd aan de hand van in de praktijk aangetroffen situaties. Kennisnemend van het onderzoeksrapport van Van der Meer [MEE] is een samenhang tussen de ketentypes en de samenwerkingsmodellen zoals hierboven genoemd opgesteld. Daartoe is een nadere analyse gegeven van de overeenkomsten van verschillende aspecten van ketentypes enerzijds en de samenwerkingsmodellen anderzijds. Dat leidde tot de volgende normatieve opzet: • De klassieke uitbesteding (klant/leverancierrelatie) Hierbij is sprake van uitbesteding van werkzaamheden zonder dat dit is gebaseerd op wettelijke bepalingen. Dit is een al lang bestaand type van samenwerking tussen klant en leverancier en ook binnen de overheid vaak voorkomend. Uit de lange ervaring die met dit ketentype is opgedaan, is in de praktijk de situatie ontstaan dat bij dit type voor de auditaanpak het consolidatiemodel wordt gebruikt. • Semi-trust (uitbesteding op wettelijke basis) Hier is sprake van een organisatie die werkzaamheden uitvoert ten behoeve van één of meerdere departementen die de eindverantwoordelijkheid dragen. Het betreft een op wettelijke gronden gebaseerde verhouding. Een specifiek kenmerk is bijvoorbeeld dat door de wet- en regelgeving een gezamenlijke verantwoordelijkheid van overheidsinstanties aanwezig
38
blijft. Daardoor is als auditmodel in die situatie het centrifugemodel beter passend. Daarin wordt de gehele keten gezamenlijk door de auditors beschouwd. • Semi-keten (eenzijdige gegevensaanlevering) Kenmerkend in dit ketentype is gegevensverstrekking met veelal vooral een belang bij de ontvanger. Bij dit ketentype is uitsluitend sprake van gegevensaanlevering, en wel op wettelijke grondslag. Een uitbesteding is niet aanwezig; het betreft immers gegevens die de leverancier voor haar eigen processen ook nodig heeft. Evenmin is er een gemeenschappelijk ketendeel aanwezig. Het grondmodel is daarom van toepassing. • Echte keten (met gelijkwaardige partners) Hierbij is sprake van een samenwerking van gelijkwaardige partners in een keten. Voor dit type is het centrifugemodel het meest passend volgens De Bruijn e.a. vooral omdat dan het geheel van de keten gezamenlijk in de audit wordt bezien. Figuur 2 toont het samenvattende beeld van de normatieve samenhang tussen de samenwerkingsmodellen en de onderscheiden ketentypes.
Figuur 2: Normatieve samenhang auditmodellen met ketentypes (De Bruijn e.a.)
De praktijk van de samenhang van samenwerkingsmodellen en ketentypes • De klassieke uitbesteding (klant/leverancierrelatie) De opdrachtgevende partij zal in de situatie van een klassieke uitbesteding de zekerheid willen hebben dat de contractbepalingen worden nageleefd. In die informatiebehoefte kan een audit bij de uitvoerende partij voorzien. Deze zal veelal worden uitgevoerd door de auditor van die uitvoerende partij die over de uitkomsten een mededeling afgeeft. Het consolidatiemodel past daarom goed bij dit ketentype; dit komt overeen met de normatieve opzet. • Semi-trust (uitbesteding op wettelijke basis) Een gangbaar model is dat de uitvoerder door de eigen auditdienst een audit laat uitvoeren. De daarop gebaseerde Third Party Mededeling (TPM) wordt aan de eindverantwoordelijken verstrekt, die vervolgens een reviewmogelijkheid hebben. Daarom is op dit type keten in eerste instantie het consolidatiemodel van toepassing. Er kunnen in dit ketentype meerdere eindverantwoordelijken aanwezig zijn. Daarom kan ook het centrifugemodel van toepassing zijn. In de situatie van meerdere eindverantwoordelijken kan ook gekozen worden voor een onder gezamenlijke verantwoordelijkheid van de auditdiensten van de betrokken departementen uitgevoerd onderzoek naar de gehele keten. 39
• Semi-keten (eenzijdige gegevens aanlevering) In deze keten zijn de te leveren gegevens voor de ontvanger essentieel voor zijn primaire processen. Daarom is de kwaliteit van die gegevens voor de ontvanger belangrijk. De ontvanger zou de behoefte aan zekerheid kunnen hebben over de mate van betrouwbaarheid van de ontvangen gegevens. De auditor van de verstrekkende partij kan daarnaar een onderzoek instellen en daarover een mededeling afgeven. Anderzijds kan de verstrekker van de gegevens behoefte hebben aan zekerheid over de zorgvuldige omgang door de ontvanger met de gegevens. Privacyaspecten spelen hier een rol. De auditor van de ontvangende partij kan daarnaar een onderzoek instellen en daarover een mededeling afgeven. In beide gevallen is het grondmodel het meest van toepassing. Een gemeenschappelijk deel is niet aanwezig. • Echte keten (met gelijkwaardige partners) Bij gelijkwaardige partners in een keten ligt het voor de hand om volgens het centrifugemodel gezamenlijk een audit uit te voeren. De verklaring of mededeling uit deze audit is een gezamenlijke verantwoordelijkheid van de auditors van beide partners in de keten en is van toepassing op het gehele ketenproces. Een andere optie is een audit door een derde auditpartij op de gehele keten. In de praktijk wordt in de ontwikkelfase van een project wel het centrifugemodel gebruikt. In de uitvoeringsfase komt veelal het kokermodel (brugmodel) naar voren. Het centrifugemodel kan door keuzes vanuit de politiek groeien naar een brugmodel. Voor een beeld van de gehele keten heeft men dan de uitkomsten uit de gemeenschappelijke audit over het beperkte, gemeenschappelijke deel plus de twee afzonderlijke audits op de schakels van de keten die als onderdeel van twee partners zijn gedefinieerd. Samenvattend ontstaat het volgende beeld van de praktijksituaties van de samenhang tussen de auditmodellen en de onderscheiden ketentypes.
Figuur 3: Samenhang auditmodellen met zicht op keten als geheel (De Bruijn e.a.)
Di Maio De vragen zijn verdeeld in twee sets van criteria. Met behulp van de eerste set van criteria kan worden vastgesteld of de E-overheid strategie wel die ingrediënten bevat om tot een goede aanpak te komen (Completeness of vision). De zes evaluatiecriteria zijn: [MAI]. • Gemeenschappelijk begrip: De vaardigheid om gemeenschappelijke dienstverlening behoefte te identificeren en deze te incorporeren en te prioriteren in nieuwe en bestaande veranderprogramma’s
40
• • • • •
Gemeenschappelijke strategie: De vaardigheid om mensen en kennis zo te positioneren dat er kan worden voldaan aan de behoefte om aan een specifiek gemeenschappelijke segment te kunnen voldoen. E-overheid diensten opleverstrategie: De vaardigheid om de E-overheid dienstverlening aan te bieden via een combinatie aan fysieke en elektronische kanalen. E-overheid diensten ontwikkelstrategie: De vaardigheid tot een aanpak te komen voor ontwikkeling en oplevering van E-overheid diensten op zo een wijze dat deze zowel operationele, gemeenschappelijke als politieke waarde heeft. Transformatie en vernieuwing: De mate waarin de E-overheid strategie zich verhoudt tot de dagelijkse tactische uitvoering en de behoefte om te veranderen. E-overheid marketing strategie: De mate waarin strategieën, doelen, plannen en principes intern en extern worden gecommuniceerd.
Met de tweede set van criteria kan worden vastgesteld of de doelen die voortvloeien uit de Eoverheid strategie wel behaald kunnen worden door de organisatie(s) (Ability to execute). De zes evaluatiecriteria zijn: [MAI] • Uitvoerbaarheid binnen budget: het budget dat beschikbaar is voor de ondersteuning om E-overheid programma’s en investeringen te ondersteunen. • Aanpassingsvermogen: de mate om flexibel te reageren op veranderingen in de wet en behoefte aan nieuwe gemeenschappelijke diensten. • Link met de politiek: de bijdrage van E-overheid programma’s aan het creëren van positieve politieke opbrengsten op korte en lange termijn. • Keten dienstverlening: de mate waarin (keten)relaties en E-overheid programma’s aantoonbare waarde voor de (overheids)keten(partners) opleveren. • Organisatie en beheersing: de mate waarin de verantwoordelijkheden goed belegd zijn en er juist verantwoording wordt afgelegd om te komen tot E-overheid doelen en afspraken. • Efficiency: de mate waarin de E-overheid strategie heeft bijgedragen aan het efficiënter uitvoeren van overheidstaken. Nederlandse Overheid Referentie Architectuur (NORA) Samenwerken in het algemeen en in de context van de elektronische overheid in het bijzonder, brengt een aantal aanvullende (keten)zaken met zich mee volgens de NORA: Allereerst moet een organisatie een bepaald niveau van beheersing hebben bereikt om op een verantwoorde wijze te kunnen samenwerken en aan de E-overheid te kunnen bijdragen. Een mate van beheersing waarover zij ook verantwoording aflegt. Het betreft de volgende aspecten: • De organisatie beheerst haar informatiebeveiliging; • De organisatie beheerst haar bescherming van persoonsgegevens ter bescherming van de persoonlijke levenssfeer van de betrokkenen; • De organisatie beheerst de continuïteit van haar belangrijkste bedrijfsprocessen. Ten tweede impliceert de samenwerking van organisaties het maken van gezamenlijke afspraken, gericht op het op elkaar afstemmen en afgestemd houden van de informatiebeveiliging- en privacystelsels, van beleid tot en met controle. • De samenwerkende partijen richten gezamenlijk de governance in voor hun informatiebeveiliging, privacy en continuïteit van de (belangrijkste processen in de) bedrijfsvoering.
41
Samenwerkende organisaties maken geharmoniseerde afspraken over de governance van informatiebeveiliging, privacy en continuïteit van de bedrijfsvoering. Alle organisaties in de E-overheid dragen bij en maken gebruik van een te ontwikkelen gemeenschappelijk normenkader. • Alle organisaties in de E-overheid dragen bij en maken gebruik van een te ontwikkelen gemeenschappelijk normenkader. Bestaande normenkaders zoals de Code voor Informatiebeveiliging (ISO 17799, ISO 27000 serie) en meer technische richtlijnen zoals gepubliceerd door het NIST en in Nederland het Platform Informatiebeveiliging, vormen een solide basis voor een dergelijk gemeenschappelijk normenkader. • E-overheidsorganisaties zorgen voor een uniforme en betrouwbare wijze waarmee burgers en bedrijven zaken met haar kunnen doen. Services hebben, als onderdeel van het beschreven service level, eenduidig beschreven eigenschappen op het gebied van informatiebeveiliging, privacy en continuïteit van bedrijfsprocessen. • Informatiebeveiliging, privacy en continuïteit van bedrijfsprocessen vormen een integraal onderdeel van een service of dienst. Bij intensive vormen van samenwerken in ketens of netwerken, is het belangrijk dat de beveiliging van de samenwerkende organisaties (of organisatiedelen) vergelijkbaar is. Voorkomen moet worden dat de ene schakel in de keten veel zwakker is dan de andere schakel. De sterkte van (bijvoorbeeld) de beveiliging in de verschillende schakels dient dus ongeveer gelijk te zijn, maar ook moeten de maatregelen in werking bij elkaar passen. Dit is onderdeel van ketengovernance. • Ketenpartijen maken in het kader van ketengovernance afspraken over de te realiseren informatiebeveiliging / privacy / continuïteit van de bedrijfsvoering. Verantwoording over de (mate van) nakoming van deze afspraken is tenslotte een onlosmakelijk element van keten governance.
42
Bijlage 2: EDP-audit Beveiliging Suwinet Deze bijlage bevat de nadere uitwerking van de EDP- audit Beveiliging Suwinet zoals in hoofdstuk 2 op hoofdlijnen beschreven. Het oordeel van de EDP-auditor houdt een uitspraak in over de bij een SUWI-partij aangetroffen situatie in relatie tot de norm zoals is gedefinieerd in Bijlage XIV. Deze verantwoordingsrichtlijn bevat een normenkader voor de beveiliging van het Suwinet (Suwinet-Normenkader) dat meer aansluit op de operationele bedrijfsvoering dan de inhoud van Bijlage XIV en dat deze bijlage vervangt bij de uitvoering van de EDP-audit Beveiliging Suwinet. Deze verantwoordingsrichtlijn met bijlagen is daarom onderdeel van de opdracht aan de EDP-auditor. De reikwijdte van het onderzoek omvat het beoordelen van de opzet, het bestaan en de werking van het stelsel van procedures en maatregelen gericht op de beveiliging van de gegevensuitwisseling via Suwinet. De scope van het onderzoek omvat de beveiliging van de gegevensuitwisseling via het Suwinet. Deze scope is, gegeven de functie van het Suwinet (het beschikbaar stellen van de infrastructuur voor gegevensuitwisseling tussen aanleverende en afnemende systemen), beperkt tot de koppelvlakken en de centrale processen en systemen die nodig zijn voor de gegevensuitwisseling via Suwinet en die niet integraal aan een van de SUWI-partijen zijn toe te wijzen. Het beheer van dit centrale domein ligt bij het BKWI. Voor de EDP-audit Beveiliging Suwinet wordt het volgende samenstel van kwaliteitscriteria en de betekenis daarvan gehanteerd: • Beschikbaarheid (continuïteit): De mate waarin de bedrijfsprocessen voor het beheer van het Suwinet en de koppelvlakken gericht op de gegevensuitwisseling, ongestoord voortgang kunnen vinden. • Exclusiviteit (vertrouwelijkheid): De mate waarin de toegang tot de gegevensuitwisseling via het Suwinet en de koppelvlakken en de kennisname van de informatie daarin, is beperkt tot een gedefinieerde groep van gerechtigden. • Integriteit (volledigheid, juistheid, tijdigheid): De mate waarin de gegevensuitwisseling via het Suwinet en in het koppelvlak zonder fouten is. • Controleerbaarheid: De mate waarin door de mens kan worden vastgesteld dat de bedrijfsprocessen gericht op de gegevensuitwisseling via het Suwinet en het koppelvlak tot het beoogde resultaat hebben geleid.
Recente Ontwikkeling artikel 5.22 en 6.4 De "stapsgewijze toelichting" op de gewijzigde verantwoording voor zowel 5.22 als 6.4 is hieronder opgenomen. Dit is een nadere uitwerking van wat is besproken in hoofdstuk 2. Onderzoek IT-auditor • De IT-auditor voert een audit uit op opzet, bestaan en werking van de set informatiebeveiligingsmaatregelen. Het onderzoek is voor de gegevensuitwisseling (6.4) 43
•
gebaseerd op de normen uit de Verantwoordingsrichtlijn, die door de Suwi-partijen is vastgesteld in afstemming met SZW en IWI. Voor de gegevensverwerking (5.22) worden de normen gehanteerd die door de individuele organisaties zijn vastgesteld. Het is overigens niet onlogisch dat de betrokken organisaties in onderling overleg en afstemming met IWI de normen voor 6.4 en 5.22 gelijktrekken. De IT-auditor toetst de maatregelen (zoals voorheen) aan de onderhavige normen en verantwoordingsrichtlijn en rapporteert de bevindingen aan het management.
Verantwoording management • Het management verantwoordt zich in het jaarverslag over de betrouwbaarheid van zowel de gegevensverwerking als de gegevensuitwisseling. • Het management geeft in het verslag aan in hoeverre is voldaan aan de normen / afspraken over informatiebeveiliging. Dit is een uitzonderingsrapportage waarbij met name de risicovolle aspecten zullen worden benoemd die relevant zijn voor de zowel de interne bedrijfsdoelstellingen als de ketendoelstellingen. Bij materiele afwijkingen bij een norm geeft het management op basis van een risicoafweging aan: o Welke risico’s de organisatie/keten ten gevolge van deze afwijking(en) worden gelopen; o welke (beheers)maatregelen het management treft om aan de norm te voldoen c.q. het risico weg te nemen; • Het management baseert zich op interne controle- en beheermaatregelen en het onderzoek dat door de IT-auditor is uitgevoerd. • Het management stuurt de relevante informatie (6.4) aan het BKWI waarmee het BKWI een totaalrapportage kan samenstellen. Het management van het BKWI verantwoordt zich in de mededeling bedrijfsvoering en tevens over de totaalrapportage van de gegevensuitwisseling via Suwinet. Oordeel getrouwheid managementverantwoording • De IT-auditor geeft een oordeel over de getrouwheid van het verslag van het management in de vorm van een verklaring met een redelijke mate van zekerheid. Het oordeel zegt iets over de volgende punten: o Het management verantwoordt zich op de juiste manier ("zegt wat het moet zeggen"). o De verantwoording geeft een getrouw beeld van de werkelijkheid. • De IT-auditor is gehouden aan raamwerk/richtlijn assurance-opdrachten van de NOREA. Vaktechnisch gezien is er een heldere relatie tussen hetgeen het management vastlegt, de bevindingen van de auditor en de gehanteerde normen.
44
Literatuurlijst [AAK] Aa, A.H.E. van der, & Konijn, T., Ketens, ketenregisseurs en ketenontwikkeling, het ontwikkelen van transparante en flexibele samenwerkingsverbanden in netwerken, Lemma B.V. Utrecht, 2001. [AKO] Algemeen Keten Overleg, SUWI ketenprogramma 2008, oktober 2007. [BRU] Bruijn, de A.J.M., Meer, van der A.J., Nieuwenhuizen, Slot, M.C.M en Staveren, van B.J.; Ketengovernance: ketensamenwerking binnen het publieke domein. De EDP-auditor nr. 2 2006. [DUI] Duivenboden, H. van, M. van Twist, M. Veldhuizen e.a. (red.), Ketenmanagement in de publieke sector, LEMMA, Utrecht, 2000. [EDP] EDP Audit Pool, Productsheet Ketengovernance, 060131.pdf. [EXP] Expertcommissie informatievoorziening en elektronische dienstverlening SUWI, De burger bediend! - rapport - 49 pagina's, april 2005. [GRI] Grijpink, Prof. dr mr J. H.A.M. (Jan), “presentatie Keteninformatisering” Symposium 'Praktische keteninformatisering', oktober 2005. [KER] Kerkkamp, I., Timmer, N.; Governance van interdepartementale IT projecten. De EDP-auditor nr: 1 2008. [MAI] Maio Di, Andrea., McClure, David.; Using the E-Government Assesment Questionnaire, Gartner, 15 February 2008. [MAT] Matthijsse, René, “E-Overheid versnipperd, IT-governance moet versnippering digitale dienstverlening terugdringen”, Automatiseringsgids 28 september 2007. [MEE] Meer, drs. A.J. van der Meer e.a., Ketenauditing, nieuw en daarom spannend, Auditdienst Ministerie van Financiën; 2004. [MIB] Ministerie van binnenlandse zaken en koninkrijksrelaties, Ruimte voor regie. Handreiking voor ketenregie in het openbaarbestuur. Quantes, Rijswijk, 2003. [NOR] NORA 2.0 (Nederlandse Overheid Referentie Architectuur), Samenhang en samenwerking binnen de elektronische overheid, vóór en dóór Architecten, Kenniscentrum, 25 april 2007. [POO] Poorthuis A.M. e.a., Ketens en netwerken–een zoektocht naar samenhang, Utrecht, Uitgeverij Lemma BV, 1e druk, 2003, ISBN 90-5931-237-6. [RE1] Regeling SUWI, Art. 5.16. Kwaliteit van de informatievoorziening, Ministerie van Sociale Zaken en Werkgelegenheid, 2002. [RE5] Regeling SUWI, Art. 5.22 Verantwoording gegevensverwerking, Ministerie van Sociale Zaken en Werkgelegenheid, 2002.
45
[RE6] Regeling SUWI, Art. 6.4 Beveiliging Suwinet, Ministerie van Sociale Zaken en Werkgelegenheid, 2002. [STE] Steenkamp, R., Prestaties en effecten meten in ketens - Geboeid door ketens, Platform Keteninformatisering, maart 2007. [SUW] Suwiketen Service Level Agreement, versie 4.0, 6/13/2007. [TWI] Twist. van, e.a., Naar een methodisch kader voor ketenregie in het openbaar bestuur, Bestuur en management consultants, De verbinding, Berenschot procesmanagement, 2002. [VER] Verantwoordingsrichtlijn voor de edp-audit van de beveiliging van Suwinet, Conceptversie 2.0 definitief. [WET] Wet Structuur Uitvoeringsorganisatie Werk en Inkomen (Wet SUWI), Ministerie van Sociale Zaken en Werkgelegenheid, 2002. [ZEE] Zeeuw, drs. M. de, Ketenbeheersing door Operational Auditing. Een nieuw analysemodel voor ketens, Tilburg, maart 2005.
46
Lijst van afkortingen AKO Algemeen Ketenoverleg B&W Burgemeester en Wethouders BKWI Bureau Keteninformatisering Werk in Inkomen CWI Centrum voor Werk en Inkomen DKD Digitaal Klantdossier EDP Electronic Data Processing GBA Gemeentelijke Basis Administratie IB (Stichting) Inlichtingenbureau IBG Informatie Beheer Groep ICT Informatie en Communicatie Technologie IOAZ Wet inkomensvoorziening oudere en gedeeltelijk arbeidsongeschikte gewezen zelfstandigen ISO International Organization for Standardization IT Informatietechnologie IWI Inspectie Werk en Inkomen NIST National Institute of Standards and Technology NOREA Nederlandse Orde van Register EDP-Auditors NORA Nederlandse Overheid Referentie Architectuut RDW Rijksdienst voor het Wegverkeer SUWI Structuur Uitvoering Werk en Inkomen SVB Sociale Verzekeringsbank SZW Sociale Zaken en Werkgelegenheid TPM Third Party Mededeling UWV Uitvoeringsinstituut Werknemersverzekeringen WWB Wet Werk en Bijstand ZBO Zelfstandig bestuursorgaan
47
