Kamervraag 2017Z11207

Het bericht dat DNB het beheer van vertrouwelijke data wil uitbesteden

Ingediend 30 augustus 2017
Beantwoord 3 oktober 2017 (na 34 dagen)
Indieners Maarten Hijink , Renske Leijten
Beantwoord door Jeroen Dijsselbloem (minister financiën) (PvdA)
Onderwerpen economie financiën ict organisatie en beleid
Bron vraag https://zoek.officielebekendmakingen.nl/kv-tk-2017Z11207.html
Bron antwoord https://zoek.officielebekendmakingen.nl/ah-tk-20172018-85.html
  • Vraag 1
    Wat is uw reactie op de plannen van De Nederlandsche Bank (DNB) om het databeheer uit te besteden?1 Kunt u uw antwoord toelichten?

    DNB heeft veel gevoelige en (toezichts-)vertrouwelijke data in haar beheer. Daarom moeten het databeheer en de bijbehorende informatiebeveiliging van DNB van het hoogste niveau zijn, om de snel wijzigende uitdagingen op het gebied van digitalisering het hoofd te bieden. Ik vind het daarom positief dat DNB onderzoekt wat de mogelijkheden zijn om op het terrein van databeheer samen te werken met een externe partij. Omdat DNB (toezichts)vertrouwelijke data onder zich heeft, vraagt dit maximale zorgvuldigheid in de aanbestedingsprocedure en in de samenwerking met de externe partij. DNB blijft uiteindelijk zelf verantwoordelijk voor de data die zij uit hoofde van haar taak heeft verkregen.

  • Vraag 2
    Welke scenario’s liggen er precies op tafel om de «datakluis» uit te besteden aan derden?

    DNB overweegt het beheer van haar datacentrum uit te besteden aan een externe partij. Het betreft dan middelen, personeel en diensten. Het programma van eisen wordt op dit moment bepaald. Vervolgens wordt de aanbestedingsstrategie bepaald. Indien wordt besloten tot uitbesteding dan wordt de start van de aanbestedingsprocedure voorzien in het eerste kwartaal van 2018. Naast datacentrumdiensten wordt ook gekeken naar de uitbesteding van werkplekbeheer en netwerkbeheer.

  • Vraag 3
    Wie zijn er betrokken bij het maken (en uitvoeren) van de plannen?

    Deze plannen worden gemaakt in opdracht van de directie van DNB. Er is een speciaal projectteam ingesteld dat zich onder andere bezighoudt met het maken van deze plannen. De Chief Information Officer van DNB heeft de dagelijkse leiding. Onder andere een adviseur van I-interim Rijk neemt deel aan het projectteam.

  • Vraag 4
    Onder welke voorwaarden valt deze uitbesteding, op welke wijze kan worden ingegrepen en welke middelen heeft DNB op het moment dat data in de verkeerde handen valt?

    DNB streeft naar een veilige, robuuste en betrouwbare beschikbaarheid van haar ICT-systemen en data. Dit streven zal bij een uitbesteding in de contractvoorwaarden worden vertaald, waaronder in een exitclausule voor het geval DNB ontevreden is over de kwaliteit van de dienstverlenging van de externe partij. De eindverantwoordelijkheid blijft bij DNB. Het uitbesteden van databeheer vraagt daarom actieve aansturing vanuit DNB om te borgen dat haar data op de juiste manier beheerd worden.

  • Vraag 5
    Gaat het om alle digitale gegevens die DNB wil laten uitvoeren door een derde? Kunt u de Kamer informeren welke impactstudies zijn gemaakt op alle onderdelen?

    Nee, gegevens met de rubricering «staatsgeheim» zijn uitgezonderd en blijven fysiek bewaard in de kluis van DNB. DNB is van plan om haar overige digitale gegevens bij een externe partij onder te brengen, met extra waarborgen ten aanzien van informatiebeveiliging naarmate de gegevens hoger geclassificeerd zijn.
    DNB heeft twee marktanalyses uitgevoerd. De eerste marktanalyse had betrekking op de sourcing naar commerciële partijen en het bepalen van een business case. Hierbij is DNB geholpen door een gerenommeerd adviesbureau. In de tweede marktanalyse is vergaand gekeken naar samenwerking met niet-commerciële partijen in Nederland (zelfstandige bestuursorganen en ministeries) en in het buitenland (met name andere centrale banken in het Europees Stelsel van Centrale Banken).
    Ook is onderzocht of het voornemen van DNB in overeenstemming is met de geldende wet- en regelgeving van Nederland (waaronder de Wet op het Financieel Toezicht) en regels vanuit de Europese Centrale Bank. DNB concludeert dat dit het geval is.
    Tot slot zijn er diverse referentieonderzoeken uitgevoerd bij andere centrale banken die DNB al voor zijn gegaan bij het uitbesteden van databeheer.

  • Vraag 6
    Welke samenloop hebben deze plannen met het ontwikkelen van nieuwe zaken zoals het aandeelhoudersregister?

    Het voornemen van DNB om haar databeheer uit te besteden staat los van de ontwikkeling van een centraal aandeelhoudersregister. DNB is een potentiële publieke gebruiker van het nog nader uit te werken en ontwikkelen centraal aandeelhoudersregister.

  • Vraag 7
    Vindt u het wenselijk dat de toezichthouder op de financiële sector haar gegevens door derden laat beheren? Wat zegt het over haar positie in het veld als DNB zelf het beheer niet kan voeren? Kunt u uw antwoord toelichten?

    Het voornemen van DNB sluit aan bij de ontwikkelingen in de financiële markt en de ICT-industrie in het algemeen. Ook andere toezichthouders in Europa hebben reeds gekozen om hun databeheer extern onder te brengen, waaronder enkele Scandinavische centrale banken.
    Het databeheer en de bijbehorende informatiebeveiliging van DNB moeten van het hoogste niveau zijn. Ik vind het daarom positief dat DNB onderzoekt wat de mogelijkheden zijn om op het terrein van databeheer samen te werken met een externe partij. Dit vraagt wel maximale zorgvuldigheid in de aanbestedingsprocedure en in de samenwerking met de externe partij. DNB blijft uiteindelijk zelf verantwoordelijk voor de data die zij uit hoofde van haar taak heeft verkregen.

  • Vraag 8
    Vindt u dat DNB, als toezichthouder op een sector waarin technologie een steeds grotere rol speelt, zelf de kennis en kunde dient te ontwikkelen om goed toezicht te kunnen blijven uitoefenen? Kunt u uw antwoord toelichten?

    Ja. Ook DNB is van mening dat eigen kennis, kunde en ervaring een goede basis vormen voor goed toezicht op een sector waarin technologie een steeds grotere rol speelt. Daarom blijft DNB investeren in de kennis en expertise van de eigen medewerkers binnen de toezichtdivisies.

  • Vraag 9
    Kunt u ingaan op de stelling: «Je moet als uitbestedende partij voortdurend blijven monitoren en aansturen. Hoe gevoeliger de te beveiligen informatie, hoe meer er afhangt van dat toezicht. Daar heb je deskundigen voor nodig»? In hoeverre deelt u deze mening?

    Ik onderschrijf deze stelling. De eindverantwoordelijkheid voor het databeheer blijft bij DNB. DNB zal zich daarom versterken met kennis, kunde en ervaring om de externe partij goed aan te kunnen sturen.

  • Vraag 10
    Welke deskundigen zijn nodig om voortdurend te kunnen blijven monitoren en aansturen? Moet DNB hiervoor ook op zoek naar technisch personeel? Is het aantrekken van het personeel dat hiervoor nodig is gemakkelijker dan het aantrekken van het personeel dat data beheert? Kunt u uw antwoord toelichten?

    Goed databeheer door een externe partij vraagt voortdurende en kwalitatief hoogstaande aansturing vanuit de uitbestedende partij. DNB zal hiervoor een regieorganisatie inrichten. DNB verwacht dat hierbij functies ontstaan op het gebied van o.a. contractmanagement. DNB zal deze medewerkers werven, en het is de verwachting dat deze expertise op de arbeidsmarkt beschikbaar is.
    Daarnaast zal DNB met het huidige eigen personeel richting blijven geven aan de ICT-strategie en het gebruik van technologie en data. Daarom wordt kennis van de bedrijfskritische applicaties en pakketten niet uitbesteed. DNB heeft het vertrouwen dat zij adequaat de aansturing van het uitbestede werk langdurig op zich kan nemen.

  • Vraag 11
    Ziet u ook de gevaren als verminderde flexibiliteit, meer bureaucratie en beperkingen in de aanbestedingsprocedure als gevolg van het uitbesteden van het databeheer? Zo nee, waarom niet? Welke andere gevaren ziet u?

    Elke vorm van uitbesteding heeft voor- en nadelen. Schaalbaarheid en het op de voet volgen van technologische ontwikkelingen zijn aansprekende voordelen. Een nadeel kan zijn de meer zakelijke relatie met de externe partij gebaseerd op contractafspraken, wat als bureaucratisch ervaren kan worden, maar anderzijds ook scherpte kan brengen in de afspraken.

  • Vraag 12
    Klopt het dat het niet gemakkelijk is om te borgen dat degene aan wie de data wordt verstrekt, deze data goed beheert, zoals hoogleraar cybersecurity Michel van Eeten aangaf?2 Waaruit bestaat deze moeilijkheid?

    Zie antwoord vraag 10.

  • Vraag 13
    Deelt u de mening dat de overheid zelf de nodige expertise moet opbouwen om data veilig te kunnen beheren, zodat dit niet aan marktpartijen over hoeft te worden gelaten? Zo nee, waarom niet?

    Ik vind het van belang dat de rijksoverheid blijvend expertise opbouwt op het terrein van het veilige beheer van data. Die expertise is zowel nodig wanneer dat beheer intern plaatsvindt, alsook wanneer wordt besloten om dit beheer uit te besteden.

  • Vraag 14
    Welke vorderingen in het aantrekken en opleiden van in ICT-gespecialiseerde werknemers zijn gemaakt sinds Minister van Wonen en Rijksdienst in zijn reactie op het rapport van de Tijdelijke commissie ICT (commissie-Elias) heeft toegezegd meer ICT-expertise binnen de rijksoverheid op te bouwen? In hoeverre kunnen uitvoerende organisaties als DNB hiervan gebruik maken?

    De Minister van Wonen en Rijksdienst realiseert dit jaar de beoogde verdubbeling van de formatie van I-Interim Rijk, de interne pool van flexibel inzetbare en ervaren professionals op het gebied van informatiemanagement en ICT. Daarnaast start dit jaar ook de tweede tranche van het Rijks ICT-traineeproject. De Minister van Wonen en Rijksdienst zal de Kamer eind dit jaar een plan sturen ter versterking van de arbeidsmarktpositie van het Rijk als ICT-werkgever.
    Zelfstandige bestuursorganen zoals DNB kunnen onder voorwaarden gebruik maken van voorzieningen van de rijksoverheid. Hiervoor gelden de voorwaarden zoals vastgelegd in artikel 21a van de Kaderwet Zelfstandige Bestuursorganen.

  • Mededeling - 26 september 2017

    Hierbij deel ik u mede dat de schriftelijke vragen van de leden Leijten en Hijink (beiden SP) over het bericht dat DNB het beheer van vertrouwelijke data wil uitbesteden (ingezonden 30 augustus 2017) niet binnen de gebruikelijke termijn kunnen worden beantwoord. De beantwoording van deze Kamervragen vergt nadere afstemming. Ik streef ernaar de vragen zo spoedig mogelijk te beantwoorden.


Kamervraag document nummer: kv-tk-2017Z11207
Volledige titel: Het bericht dat DNB het beheer van vertrouwelijke data wil uitbesteden
Kamerantwoord document nummer: ah-tk-20172018-85
Volledige titel: Antwoord op vragen van de leden Leijten en Hijink over het bericht dat De Nederlandsche Bank (DNB) het beheer van vertrouwelijke data wil uitbesteden