Handboek Portfoliomanagement Rijk voor projecten met een ICT-component van ten minste 5 miljoen

Transcriptie

1 Directoraat-Generaal Wonen, Bouwen en Integratie Handboek Portfoliomanagement Rijk voor projecten met een ICT-component van ten minste 5 miljoen Versie 8.03 Datum 29 november 2018 Status Definitief

2 Titel Handboek Portfoliomanagement Rijk voor projecten met een ICT-component van ten minste 5 miljoen Bijlagen 1. Politieke achtergrond 2. Eigenaarschap en beheer ICT-dashboard 3. ICT-kosten definitie Handboek PPM 2015 Beheer en eigenaarschap Het eigenaarschap van dit document ligt bij de dgoo. Wijzigingen worden voorgelegd aan het CIO-Beraad en vastgesteld door de CIO Rijk. Versie Vastgesteld Toelichting 5.01 CIO Beraad 9 december CIO Beraad december 2016 Aanpassingen: beheersmaatregelen voortaan ook door publieksrechtelijke zbo s toegepast, uitbreiding rapportagemodel, BIT-adviezen, interne personeelskosten melden, vervallen onderscheid al dan niet risicovolle projecten van ten minste 5 miljoen, vervallen oude uitzonderingen rapportage infrastructurele (MIRT)- projecten en projecten ten behoeve van releasematige onderhoudswerk zaamheden Geheel herschreven versie. Meer procesgericht: van identificatie en selectie van projecten tot publikatie op het ICT-dashboard. Meer gericht op de doelgroep opdrachtgevers en projectmanagers van projecten. Het proces rond het BIT en voor grote ICT-projecten relevante BIR- afspraken zijn meegenomen CIO Beraad november Accordering CIO s 29 november 2018 Aanpassingen: Nieuwe definitie ICT-kosten, schatting interne personeelskosten, al dan niet projectmatige aanpak van vernieuwing binnen releasematige onderhoudscyclus, decentraal CIO-stelsel en permanent proces van inventarisatie, nieuwe BIR, nieuw model gegevensbeschermingseffectbeoordeling rijksdienst (PIA). Aanpassingen: melden nog niet gestarte projecten, Agile en DevOps als ontwikkelsystematiek, aanpassing uitzonderingsgrond projecten Politie en Rechtspraak, onderdeel project als zelfstandig project, termijn actualiseren projectgegevens op het dashboard, Pagina 2 van 45

3 geactualiseerde Informatiebeveiligingsparagraaf, P(rivacy)AR-procedure voor rijksbrede projecten, nieuwe projectstatus in heroriëntatie. Pagina 3 van 45

4 Inhoudsopgave 1 Doel en doelgroep Afspraken over Projectportfoliomanagement Waarom Projectportfoliomanagement? Definitie Projectportfoliomanagement (PPM) Permanent proces van inventarisatie ICT als onderdeel van wet en regelgeving Projectportfoliomanagementproces Rol departementale CIO Publiekrechtelijke zbo s Selectie van projecten ten behoeve van het rijksbrede kader Definitie projecten en programma s Uitgangspunten bij selectie Omvang ICT-component Onderdeel van een project of programma als zelfstandige project Onzelfstandige onderdelen binnen projecten en programma s Projecten die tijdens looptijd aan criteria voldoen Projecten die tijdens looptijd niet meer aan criteria voldoen Rijksbrede projecten en departement-overstijgende projecten Verplichte ICT Markttoets ( 20 miljoen projecten) BIT-advies Relatie BIT-advies en CIO(-oordeel) Aanmelden voor een BIT-advies Informeren Tweede Kamer en publicatie Afspraken over beheersmaatregelen Eisen aan projectplan CIO-oordeel Externe kwaliteitstoetsen Afspraken over rapportage en verantwoording Jaarrapportage Bedrijfsvoering aan de Tweede Kamer Rijks ICT-dashboard Onderzoeksrapporten Auditdiensten Toelichting op het rapportagemodel Laatste projectupdate (voorheen Peildatum) Naam: project Ministerie, minister, zbo, organisatie-onderdeel Projectstatus Projectomschrijving Beleidsterrein Beheer: kosten, levensduur Ontwikkeling: maatwerk, functiepunten, ontwikkelwijze Startdatum Algemene systematiek kostentoerekening aan project Doorlooptijd en ICT-kosten: algemeen Projectplannen Externe kwaliteitstoetsen Tweede Kamerstukken Tussentijdse resultaten Baten Pagina 4 van 45

5 7.16 Marktpartijen Bijlage 1 Politieke achtergrond Bijlage 2 Eigenaarschap en beheer ICT-Dashboard Bijlage 3 ICT-kosten definitie Handboek PPM Pagina 5 van 45

6 1 Doel en doelgroep Dit document bevat alle rijksbrede afspraken over projecten met een ICTcomponent van ten minste 5 miljoen 1. Het gaat daarbij om de afspraken rond: het identificatie-, registratie- en selectieproces (onderdelen van het zogenaamde Project Portfoliomanagement: PPM); het proces rond het aanmelden en publiceren van de toets van het Bureau ICT Toetsing (BIT); (verplichte) beheersmaatregelen; de rapportage van projectgegevens aan de Tweede Kamer. Sinds 2011 is deze rapportage integraal onderdeel van de Jaarrapportage Bedrijfsvoering Rijk. Voor de rapportage wordt informatie op het Rijks ICT-dashboard gebruikt. De rijksbrede afspraken zijn verplicht voor projecten met een ICTcomponent van tenminste 5 miljoen meerjarig. Toepassing van deze afspraken voor het complete departementale portfolio, inclusief projecten onder de 5 miljoen, is wenselijk maar niet verplicht. De rijksbrede afspraken voor projecten met een ICT-component van ten minste 5 miljoen zijn afkomstig uit Tweede Kamerstukken en besluiten van het CIO-Beraad (en de voormalige ICCIO). In het Handboek Portfoliomanagement Rijk worden deze afspraken -minimaal jaarlijksverzameld, toegelicht voor de doelgroep(en) en voorzien van toepassingsvoorbeelden. Daarmee beoogt het Handboek PPM ook een handleiding te zijn voor de invoer van projectgegevens in het Rijks ICTdashboard. Daarnaast fungeert het Handboek PPM voor de Auditdienst Rijk (ADR) als (door BZK/DGOO) vastgesteld kader bij de uitvoering van haar taakopdracht. De doelgroep van dit document bestaat uit: CIO s binnen de Rijksoverheid en hun adviseurs; opdrachtgevers en projectmanagers van projecten binnen de Rijksoverheid; auditors (Rijk en zbo s). 1 Het gaat dus niet om projecten van tenminste 5 miljoen, maar om projecten waarvan de ICT-component tenminste 5 miljoen is. Pagina 6 van 45

7 2 Afspraken over Projectportfoliomanagement 2.1 Waarom Projectportfoliomanagement? Het Kabinet heeft de afgelopen jaren bij meerdere gelegenheden het belang van projectportfoliomanagement voor het op orde krijgen van grote ICT-projecten benadrukt. Dat gebeurde ondermeer naar aanleiding van twee rapporten van de Algemene Rekenkamer: Lessen uit ICT-projecten bij de overheid (2007) en Aanpak van ICT door het Rijk: Lessons learned (2012), en het eindrapport Grip op ICT van de tijdelijke commissie ICTprojecten (commissie Elias) van de Tweede Kamer. In de betreffende Kamerstukken (zie Bijlage 1 Politieke achtergrond, voor een volledig overzicht) gaat het daarbij om: projectportfoliomanagement als één van de kerntaken van de CIO s ; waardoor betere prioritering en betere beheersing van ICT-projecten mogelijk wordt; en de mogelijkheden tot transparantie worden vergroot (kst , nr. 148) Naar aanleiding van de aanbevelingen van de commissie Elias heeft het Kabinet opnieuw het belang van portfoliomanagement onderschreven. Daarbij is aangegeven dat: het zwaartepunt van portfoliomanagement moet liggen in de departementale prioritering; het departementaal portfoliomanagement moet bijdragen aan het debat met de Kamer (kst , nr. 13). Het in dit Handboek beschreven Projectportfoliomanagement is dus verplicht voor projecten en programma s met een ICT-component van tenminste 5 miljoen meerjarig, maar wenselijk voor alle projecten en programma s. Het is bovendien een vereiste om tijdig projecten te kunnen identificeren en selecteren die onder de rijksbrede afspraken vallen (zie hoofdstuk 3). 2.2 Definitie Projectportfoliomanagement (PPM) Projectportfoliomanagement is dus een primair departementale verantwoordelijkheid die ingekaderd wordt door interdepartementale afspraken die beheersing van en transparantie rond projecten waarborgen. Het CIO Beraad baseert zich daarbij op onderstaande definitie van Projectportfoliomanagement: Het managementinstrument PPM is een samenhangend geheel van processen en besluiten met als doel het inventariseren, (her)prioriteren, selecteren, actief beheren en evalueren van de verzameling toekomstige en in uitvoering zijnde projecten met een ICT-component die de maximale bijdrage levert aan de rijksbrede en departementale doelstellingen, gegeven de beschikbare capaciteit en financiële middelen. Pagina 7 van 45

8 2.3 Permanent proces van inventarisatie De departementale CIO draagt zorg voor een permanent proces van inventarisatie, waarin (voorziene) projecten met een meerjarige ICTcomponent van ten minste 5 miljoen kunnen worden geïdentificeerd en centraal binnen het departement worden geregistreerd. Dit als eerste stap in het departementale Projectportfoliomanagementproces. Maar de selectie vindt ook plaats ten behoeve van: een verzoek om een BIT-advies; het van toepassing zijn van de rijksbrede beheersmaatregelen; de rapportageplicht in het kader van de Rapportage Grote ICTprojecten. Vanaf 2015 is een dergelijk proces ook bij zbo s een verplichting. Als er binnen het departement sprake is van een CIO-stelsel (zie ook 2.6. Rol departementale CIO), is beschreven hoe het delegeren van verantwoordelijkheid van de departementale CIO aan decentrale CIO s is geregeld voor wat betreft het identificeren en registreren van (beoogde) projecten. Vastgelegd is ook hoe en wanneer het proces van identificeren en registreren plaatsvindt. Nog niet gestarte en op het Rijks ICT-dashboard gepubliceerde, projecten worden ingebracht in de reguliere CIO-gesprekken met CIO Rijk en in bilaterale contacten met het BIT: *Voor het BIT gelden daarbij de afspraken uit het Instellingsbesluit BIT: zie hoofdstuk 4 (BIT-advies) *Voor de halfjaarlijkse CIO-gesprekken (tussen CIO Rijk en de departementale CIO) moeten in ieder geval de in de bilaterale contacten met het BIT op dat moment gewisselde projecten worden ingebracht. Daarnaast kan de departementale CIO andere nog niet gestarte projecten, die of nog niet met het BIT gewisseld zijn of die waarover nog vragen bestaan in het proces van inventarisatie (zie ook onder 3.2. Uitgangspunten bij selectie) inbrengen. Doelstelling daarbij is te komen tot een wederzijds volledig beeld van gestarte en nog niet gestarte projecten enerzijds, en te melden en niet te melden projecten anderzijds. De ADR onderzoekt jaarlijks in hoeverre er een permanent proces binnen het ministerie is ingericht om de volledigheid en juistheid van de identificatie, registratie en selectie van alle projecten met een ICTcomponent van ten minste 5 miljoen te waarborgen ICT als onderdeel van wet en regelgeving Als wet- en regelgeving wijzigt kan dat gevolgen hebben voor de ICT die het Rijk, medeoverheden en zelfstandige bestuursorganen met een publieke taak gebruiken ter ondersteuning van hun (keten)processen. Wijzigingen in wet- en regelgeving kunnen ook gevolgen hebben voor de 2 kst , nr.135 en kst nr. 13. Pagina 8 van 45

9 ICT die burgers, bedrijven en instellingen gebruiken. Door deze ex ante (vooraf) goed in kaart te brengen, kan een afgewogen beslissing genomen worden inzake voorgenomen regelgeving. In het Integraal Afwegingskader beleid en regelgeving (IAK) zijn daarom vragen opgenomen over ICTconsequenties. Deze zijn te vinden op: Projectportfoliomanagementproces De departementale CIO richt verder binnen het departement een PPMproces in (met mogelijk meerdere niveaus) waarin alle PPM-stappen voorkomen: a. Inventariseren: voor specificaties zie onder Ten behoeve van selectie en verdere PPM-stappen; b. Prioriteren:op basis van departementaal vastgestelde criteria worden de verschillende nog niet gestarte en lopende projecten geprioriteerd. De rol van de CIO in de prioriteitstelling verschilt per ministerie; c. Selecteren: afhankelijk van beschikbare resources en risico s worden de voor de komende periode uit te voeren projecten geselecteerd; d. Beheren: tijdens de uitvoering wordt de portfolio door de CIO gemonitord; e. Evalueren: na afronding van projecten met een ICT-component worden deze geëvalueerd en wordt de realisatie van de business case getoetst; f. De departementale CIO s bevorderen en bewaken een adequate uitvoering van dit proces. 2.6 Rol departementale CIO Het bevorderen en bewaken van de uitvoering van het proces van projectportfoliomanagement is dus de verantwoordelijkheid van de departementale CIO. Wanneer binnen een ministerie sprake is van een CIO-stelsel, waarbinnen er één departementale CIO is en grote onderdelen en/of agentschappen over een eigen CIO beschikken, zijn deze CIO s verantwoordelijk voor de informatievoorziening aan de departementale CIO, tenzij dit in de bestuursraad van dat departement anders besloten is. De (departementale) CIO is verantwoordelijk voor het beheer van het projectenportfolio en informeert de bestuursraad of, waar dit aan de orde is, het bevoegd bestuursorgaan. De opdrachtgevers zijn primair verantwoordelijk voor hun projecten en verstrekken informatie aan de (departementale) CIO zodat deze zijn rol in het kader van het projectportfoliomanagement en de projectbeheersing kan vervullen. 2.7 Publiekrechtelijke zbo s De afspraken over de beheersing van de projectportfolio zijn ook van toepassing voor de publiekrechtelijke zelfstandige bestuursorganen (zbo s) van de ministeries. Alle vakministers overleggen - in het kader van het recht de begroting van hun zbo s goed te keuren - met hun zbo s over de wijze waarop deze gebruik zullen maken van het toetsingsinstrumentarium. Pagina 9 van 45

10 Met betrekking tot een BIT-advies is in het Instellingsbesluit BIT vermeld dat de vakministers met de publiekrechtelijke zbo s afspraken zullen maken over toetsing van hun ICT-projecten door het BIT. De ADR onderzoekt jaarlijks in hoeverre er een proces binnen het ministerie is ingericht om de volledige uitvraag (inclusief de zbo s) voor de rapportage Grote ICT-projecten uit te kunnen voeren. Het onderzoek naar de totstandkoming van de rapportage bij een zbo wordt door de auditor van het betreffende zbo verzorgd (zie ook 6.3 Auditdienst onderzoeksrapporten). Pagina 10 van 45

11 3 Selectie van projecten ten behoeve van het rijksbrede kader In dit hoofdstuk gaat het om het selecteren van alle projecten en programma s met een meerjarige ICT-component van ten minste 5 miljoen. Voor geselecteerde projecten gelden afspraken over: BIT-advies (zie verder hoofdstuk 4); departementale beheersmaatregelen, zoals projectplan en CIOoordeel (zie verder hoofdstuk 5); rapportage aan de Tweede Kamer (zie verder hoofdstuk 6). 3.1 Definitie projecten en programma s Een programma is daarbij gedefinieerd als een geheel van samenhangende projecten en activiteiten die gecoördineerd in een tijdelijke organisatie worden uitgevoerd teneinde vastgestelde doelstellingen te realiseren en geplande baten te genereren (definitie MSP). Een programma levert een verandering en baten op. Een project is gedefinieerd als een tijdelijke organisatie die is opgezet met als doel één of meer bedrijfsproducten op te leveren volgens een gespecificeerde Business Case (definitie Prince2). Deze definitie staat los van de gekozen ontwikkelsystematiek: waterval, Agile, DevOps of mengvormen. Een project levert een of meerdere producten op die door gebruikers in gebruik worden genomen. 3.2 Uitgangspunten bij selectie De rijksbrede afspraken over projecten en programma s met een ICTcomponent van ten minste 5 miljoen zijn van toepassing als voldaan wordt aan de volgende voorwaarden: 1. ICT vormt een essentiële factor om het vereiste project- of programmaresultaat te kunnen verwezenlijken. Andersom geredeneerd: een project dat zonder de inzet van ICT haar vereiste product niet kan verwezenlijken. Dit kan ook een onderdeel zijn van een groter project of programma. Voor de duidelijkheid wordt in de rest van dit Handboek over projecten gesproken (als pars pro toto voor programma s en projecten); 2. de meerjarige kosten van deze ICT-component bedragen ten minste 5 miljoen (zie onder 3.3 Omvang ICT-component); 3. In twijfelgevallen besluit de departementale CIO, eventueel na advies van CIO Rijk, over de selectie van projecten. Projecten bij publiekrechtelijke zbo s, die voldoen aan deze twee selectiecriteria zijn eveneens onderdeel van de rapportage aan de Tweede Kamer. De volgende projecten zijn uitgezonderd van deze selectie: *wapensystemen van het Ministerie van Defensie *de politie zal vanaf 2018 haar projecten geleidelijk aanbieden aan het BIT. De aanbevelingen van het BIT en de bestuurlijke reactie hierop zullen samen met de gegevens over de projecten worden gepubliceerd op het Rijks ICT-dashboard. Voor de overige afspraken Pagina 11 van 45

12 uit het Handboek blijft de uitzonderingspositie van de politie, zoals beschreven in het Handboek 2017, gehandhaafd. *ten aanzien van projecten van de Rechtspraak is de uitwerking van de afgesproken toetsing door het BIT en de daaropvolgende publicatie op het Rijks ICT-dashboard, die in de komende periode plaatsvindt, nog niet verwerkt in dit Handboek. Voor de overige afspraken uit het Handboek blijft de uitzonderingspositie van de Rechtspraak, zoals beschreven in het Handboek 2017, in afwachting van nadere afspraken gehandhaafd. 3.3 Omvang ICT-component 1. de ICT-component bestaat uit de meerjarige ICT-kosten, gedurende de looptijd van het project en/of programma, die gemaakt moeten worden om de ICT-deliverables te realiseren. Een ICT-deliverable kan ook een grote, projectmatig aangestuurde, aanpassing van een informatiesysteem zijn als onderdeel van een releasematige onderhoudscyclus. 2. het betreft ICT-kosten die ten laste gaan van of verantwoord worden in de rijksbegroting (met uitzondering van projecten bij publiekrechtelijke zbo s). De vraag hoe groot de ICT-component is staat los van het feit dat de ICTcomponent soms gemengd wordt gefinancierd. Ook EU-budgetten worden verantwoord via de Rijksbegroting (als inkomsten en uitgaven). 3. het gaat daarbij om, in het projectplan (inclusief business case) gespecificeerde, ICT-kosten, waarop door de projectleider invloed kan worden uitgeoefend. In het projectplan kunnen eventueel ook ICT-kosten van voor de startdatum van het project zijn opgenomen of de implementatiekosten na afloop van de decharge. Als dit het geval is worden die ICT-kosten ook tot de ICT-component gerekend. 4. de meerjarige kosten zijn ICT-kosten, conform de nieuwe definitie ICTkosten, gevat in kostensoorten uit de Rijksbegrotings- voorschriften: a. Kosten personeel werkzaam aan het ICT-project 3 b. Hardware, Standaard software en Spraak en Data Verbindingen Hardware i. Alle kosten voor computer hardware en telefoniehardware. Hiertoe behoren de aanschaf, lease, afschrijvingen en kosten voor 3.De geschatte inzet van personeel werkzaam aan het ICT-project wordt vastgesteld met behulp van het in het projectplan begrootte aantal dagen. De geschatte kosten voor personeel werkzaam aan het ICT-project worden berekend door de inzet van personeel om te rekenen: -conform tarieven uit de Handleiding overheidstarieven (kolom zonder of met overhead), met een voorkeur voor de kolom met overhead; of -andere binnen het departement geldende regels Pagina 12 van 45

13 onderhoud van werkplek apparatuur, faxapparatuur, printers, vaste en mobiele telefoons, mainframes, servers en server racks, modems/routers/switches, telefooncentrales. Ook de uitgaven voor rekencentrumsoftware dienen op deze post verantwoord te worden; ii. Op deze post worden de volgende uitgaven niet verantwoord: koelingapparatuur, antennemasten, gebouwbekabeling, verkeerslichten, matrixborden, sensoren, camera s. Standaard software i. Hieronder wordt verstaan de som van uitgaven voor aanschaf of afschrijving en onderhoud van licenties voor standaard ( packaged ) software. In deze categorie vallen ook uitgaven aan (abonnementen voor) SAAS- en IAAS-diensten (software as a service, Infrastructure as a service). Spraak en Data Verbindingen i. Alle uitgaven aan data communicatie waaronder: de kosten van externe data communicatie providers en abonnementen & specifieke kosten voor spraak- en datagebruik (waaronder VoIP) op draagbare communicatie apparatuur. c. Inhuur van personele capaciteit van externe bedrijven ten behoeve van ICT taken d. Uitbestede diensten aan ICT leveranciers i. hosting diensten, huur datacenter ruimte, gebundelde ICT diensten opdrachten, afschrijvingen van geactiveerde diensten en maatwerk software. e. Extra projectkosten In projectplan opgenomen budget dat niet de onder de andere kostensoorten valt. NB: De definitie geldt voor in 2018 nieuw te starten projecten. Voor de rapportage over 2017 moet nog gebruikt worden gemaakt van de oude definitie uit het Handboek Projectportfoliomanagement bij de projecten van Rijkswaterstaat worden onderstaande roodomlijnde elementen toegerekend aan de ICT-kosten 4 Zie bijlage 3: ICT-kosten definitie Handboek PPM 2015 Pagina 13 van 45

14 = Onderdelen toe te rekenen aan de ICT-kosten 5a L F V Lokaal (Object) 1 2 Nood Bedienpost (UWW) 3 LAN Audio Nb 4 5b Bedieningsview object Calamiteiten GUI Video Audio knop 10 ICT-kosten bij projecten Rijkswaterstaat Bedieningssysteem Cal Besturingssysteem L F V L F V L F V 5 L F V 11 L F V V i d e o L F V bediening Telefonie Intercom en omroep Video A u d I o 6 7/8 LFV Tel. Centr. Cal 9 Centraal (VC) Bedienpost (UWW) Bedieningsview object Calamiteiten GUI Video Audio knop WAN V Bedienwerkplek Lokaal (Object). Video Audio Nood bediening Telefonie Intercom en omroep Cal Nb 2. Bedienwerkplek Centraal (Verkeercentrale). 3. LAN in het object waarmee de lokale werkplek is verbonden met de overige IA/ICT-componenten in het object. 4. WAN; het eigen netwerk van RWS. 5. 3B-systeem, bediening en besturing, al dan niet onder te verdelen in: 5a; 3B-Bediening. 5b; 3B-Besturing. 6. Videoketen incl. de LFV (videocamera). 7. Audio-keten excl. de LFV. 8. Audio-LFV. 9. Telefooncentrale. 10. Lokale netwerk in het object die alle componenten met elkaar verbindt (veldnetwerk). 11. LFV s die niet afhankelijk zijn van het fysieke object 12. De civiele constructie van het object incl. de civiel-afhankelijke LFV s 12 Object LFV = logische functie vervuller. Bijv. ventilatie, nooddeuren, etc. Bij de vaststelling van de ICT-component bij deze projecten geldt voor dergelijke integrale contracten een voorbehoud. De geschatte en reëel gemaakte kosten kunnen vanwege aanbestedingsregels- alleen bij benadering worden vastgesteld. 6.de looptijd wordt gerekend vanaf de startdatum van een project tot het moment van decharge. Een project start op het moment dat het projectplan is goedgekeurd door de opdrachtgever. De einddatum van het project is het moment van decharge van het project door de opdrachtgever. 3.4 Onderdeel van een project of programma als zelfstandige project Het uitvoeren van grote ICT-projecten en programma s kan meestal het best in kleinere zelfstandige onderdelen gebeuren. Er is sprake van een zelfstandig project als de beoogde ICT-deliverable die opgeleverd wordt aan het eind van een dergelijk project: 1. in productie genomen is; en 2. het project of programma daarmee eventueel beëindigd zou kunnen worden. Onder in productie genomen wordt verstaan: een in beheer genomen voorziening die door alle eindgebruikers gebruikt wordt. Als aan deze voorwaarden niet voldaan wordt is er sprake van een onzelfstandig onderdeel van een project of programma (zie 3.5.). Pagina 14 van 45

15 3.5 Onzelfstandige onderdelen binnen projecten en programma s Als een onderdeel van een project of programma niet aan beide criteria voor zelfstandigheid voldoet is sprake van een onzelfstandig onderdeel binnen een project of programma. 3.6 Projecten die tijdens looptijd aan criteria voldoen Projecten waarvan duidelijk wordt dat de kosten gedurende de looptijd de grens van 5 miljoen overschrijden, moeten vanaf dat moment voldoen aan de beheersmaatregelen en rapportageafspraken uit het Handboek. Zodra duidelijk is dat de grens van 5 miljoen wordt overschreden, wordt het project bij het BIT gemeld. De rijksbrede kaders en afspraken gelden vanaf het moment dat vastgesteld wordt dat een project de grens van 5 miljoen overschrijdt. Dit betekent dat eisen aan bijvoorbeeld het projectplan of externe kwaliteitstoetsen niet met terugwerkende kracht van toepassing zijn voor gepasseerde projectfasen. 3.7 Projecten die tijdens looptijd niet meer aan criteria voldoen Projecten waarvan de kosten gedurende de looptijd onder de grens van 5 miljoen uitkomen blijven gerapporteerd op het ICT-dashboard en in de Jaarrapportage Bedrijfsvoering Rijk. Dit om de informatievoorziening aan de Tweede Kamer volledig te kunnen laten plaatsvinden en trendgegevens te kunnen leveren. De interdepartementale beheersmaatregelen zijn vanaf dat moment niet meer verplicht. 3.8 Rijksbrede projecten en departement-overstijgende projecten Dezelfde uitgangspunten voor selectie en voor vaststelling van de omvang van de ICT-component gelden ook voor departement-overstijgende projecten en projecten die vanuit verschillende budgetten worden gefinancierd. Een dergelijk project wordt als één geheel beschouwd. Het departement dat beslist over de aanwending van het budget, rapporteert. 3.9 Verplichte ICT Markttoets ( 20 miljoen projecten) Bij nieuw te starten projecten, waarvan naar verwachting de begroting meer dan 20 miljoen bedraagt, moet een ICT Markttoets (voorheen ICT Haalbaarheidstoets) worden uitgevoerd voor de start van het project. Indien deze niet is uitgevoerd moet dat worden toegelicht ( pas toe of leg uit -principe). Dit geldt voor alle per 1 juli 2013 gestarte projecten (kst , nr. 1). De ICT Markttoets moet gerapporteerd worden als Externe kwaliteitstoets (zie 7.12). Ingeval van het niet-uitvoeren wordt de uitleg gerapporteerd onder Projectomschrijving (zie 7.4) De ICT Markttoets moet worden uitgevoerd om te waarborgen dat: kennisdeling met de markt plaatsvindt in de precompetitieve fase (marktconsultatie); toetsing van haalbaarheid van ICT projecten plaatsvindt; aanbestedingen beter kunnen worden uitgevoerd. Pagina 15 van 45

16 De rapporten van de ICT Markttoetsen zijn openbaar en worden gedeeld via de website van Nederland ICT, de CIO Community en de Nieuwsbrief CIO BeraadDe ervaringen van opdrachtgevers met de resultaten van de ICT Markttoets worden periodiek opgehaald en gedeeld binnen de het CIO Beraad. Pagina 16 van 45

17 4 BIT-advies Onderdeel van de rijksbrede beheersmaatregelen die gelden voor programma s en projecten met een meerjarige ICT-component van ten minste 5 miljoen, is het BIT-advies. Afspraken zijn gemaakt over het aanmelden voor een BIT-advies, het toetsproces en het informeren van de Tweede Kamer. Achtergrondinformatie over het BIT en het toetsproces staat op de website: Het instellingsbesluit van het BIT is te vinden op Relatie BIT-advies en CIO(-oordeel) In de kabinetsreactie op het rapport van de tijdelijke commissie ICTprojecten (commissie Elias) is opnieuw aangegeven dat vakministeries in de toekomst zelf voldoende moeten zijn toegerust om ICT-projecten beheerst uit te voeren. Het BIT ondersteunt de departementale CIO s en de publiekrechtelijke zbo s door bij aanvang, en waar nodig tussentijds, een onafhankelijke toets uit te voeren op de risico s en de kans van slagen van een ICT-project en oordeelt daarbij over de mate van beheersbaarheid. De departementale CIO neemt het BIT-advies expliciet mee in zijn oordeel over het te starten ICT-project. De departementale CIO kan ook voorafgaand aan het BIT-advies een oordeel afgeven. Het BIT kan geen bindende uitspraak doen of het ICT-project moet starten of niet; ICTprojecten blijven de verantwoordelijkheid van de betreffende vakminister. 4.2 Aanmelden voor een BIT-advies De afspraken over het proces en de wijze van aanmelding voor een BITtoets zijn als volgt Wie initieert? Een BIT-toets kan op 3 manieren worden geïnitieerd: door de verantwoordelijke vakminister*; door de Tweede Kamer; door het BIT Wanneer? De vakminister* verzoekt altijd voor aanvang van een ICT-project met een ICT-component van ten minste 5 miljoen het BIT om advies over de risico s en slaagkans; De vakminister* of de Tweede Kamer kan het BIT verzoeken om nader advies over de risico s en slaagkans van een al gestart ICT project; Het BIT kan zelfstandig besluiten te adviseren over lopende of te starten ICT-projecten. Pagina 17 van 45

18 4.2.3 Wat is voor de aanvang van een project? Een goed moment om een BIT-toets te starten is het moment waarop een programma- of projectplan bijna gereed is, de oplossingsrichting is beschreven en de zakelijke rechtvaardiging helder is. Dus voor een eventuele aanbesteding. De voorbereiding voor een BIT-toets kan al eerder starten om de doorlooptijd van de toets zo kort mogelijk te houden. De BIT-toets zelf start echter pas als het daartoe strekkende verzoek ontvangen is Hoe? de vakminister* richt een verzoek tot de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties; een verzoek van de Tweede Kamer wordt aan de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties; wanneer het BIT zelfstandig besluit een BIT-advies op te stellen, informeert de staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties de betrokken minister, en wordt een afschrift gestuurd aan de opdrachtgever en de betreffende departementale CIO Benodigde informatie bij aanmelding In het schriftelijke verzoek dienen te worden vastgelegd: naam van het project; organisatie die de eigenaar is van het project; opdrachtgever (naam en functie); verantwoordelijke CIO (naam en functie); programma/projectmanager (naam). * Waar vakminister staat mag verantwoordelijk bewindspersoon gelezen worden. 4.3 Informeren Tweede Kamer en publicatie Proces en termijnen Maximaal vier weken na de aanbieding van het definitieve BIT-advies aan de vakminister, stuurt deze het advies integraal, eventueel met de bestuurlijke reactie, aan de Tweede Kamer. Gelijktijdig informeert het departement het BIT/de CIO Rijk dat het BIT-advies naar de Kamer is verstuurd Publicatie op Rijks ICT-dashboard De BIT-adviezen, plus de bestuurlijke reactie daarop, worden door het departement als Kamerstukken op het dashboard gepubliceerd bij het betreffende project. Publicatie vindt zo snel mogelijk, maar uiterlijk 2 weken na de start van dat project, plaats. Al op het dashboard aanwezige projectinformatie wordt zodra de Tweede Kamer is geïnformeerd, meteen door het departement op Pagina 18 van 45

19 het Rijks ICT-dashboard geactualiseerd met de nieuwe gegevens over -bijvoorbeeld- budget en doorlooptijd; Pagina 19 van 45

20 5 Afspraken over beheersmaatregelen In dit hoofdstuk worden de beheersmaatregelen beschreven die in ieder geval gelden voor de projecten met een ICT-component van tenminste 5 miljoen. Het gaat om drie instrumenten: eisen die de CIO kan stellen aan het projectplan, het geven van een CIO-oordeel en het laten uitvoeren van een kwaliteitstoets door een externe partij. Gebruik van deze instrumenten is wenselijk voor alle projecten. 5.1 Eisen aan projectplan Als startpunt voor de eisen aan het projectplan geldt de lijst uit de brief van de minister van Binnenlandse Zaken en Koninkrijksrelaties van 12 december 2008 (kst , nr. 135). Bij de start van een project zijn de volgende aspecten in elk geval in het projectplan aanwezig: a. algemene projectinformatie, resultaat en sturing; b. zakelijke rechtvaardiging (businesscase); c. planning en beheersing; d. informatievoorziening richting opdrachtgever; e. samenwerkingsverbanden; f. beveiligings- en privacyaspecten. Afgesproken is dat in het projectplan alle onderstaande elementen in ieder geval aan de orde moeten komen. Dat is tevens een voorwaarde voor het kunnen afgeven van een CIO-oordeel. Een verdere uitwerking van de aspecten uit het projectplan volgt hieronder Algemene projectinformatie, resultaat en sturing de doelstelling, het te bereiken resultaat, de kwalitatieve en/ of kwantitatieve eisen en de afbakening van het project; aan welke beleids- of bedrijfsdoelstellingen het project bijdraagt; hoe de besturing van het project is ingericht en de rollen en verantwoordelijkheden zijn belegd; wie de opdrachtgever en/of uitbestedende functionele eenheid is; de wijze waarop de beheersbaarheid van het project wordt gewaarborgd en de maatregelen die hiervoor worden getroffen de resultaten van een ICT Markttoetsen (bij projecten van tenminste 20 miljoen) of een uitleg ( explain ) waarom van een dergelijke toets is afgezien; wie de belanghebbenden bij dit project zijn alsook de aard van hun belang en hoe zij bij het project betrokken zijn; de relatie met andere projecten en systemen en de afhankelijkheid ervan; de relatie met wet- en regelgeving en de afhankelijkheid ervan een Project Start Architectuur (PSA) die is opgesteld in lijn met de geldende kaders Pagina 20 van 45

21 5.1.2 Zakelijke rechtvaardiging (businesscase) een meerjarige kostenanalyse waarin kosten zijn opgesplitst naar de verschillende projectfasen inclusief de fase van het beheer; een batenanalyse waarin zowel financiële als eventuele nietfinanciële baten zijn opgenomen; informatie over de wijze waarop gedurende de looptijd in de financiering van het project zal worden voorzien; een marktverkenning en een onderzoek naar soortgelijke bestaande oplossingen bij andere ministeries en bedrijven; een alternatievenanalyse (incl. een nul-alternatief) waarin wordt aangegeven welke alternatieven zijn onderzocht en waarom deze zijn afgevallen; een overzicht van de voor het project voorziene contracten. Daarbij wordt aangegeven wat de aard van deze contracten is en wat de consequenties zijn voor lopende contracten; informatie over de aanbestedingsstrategie Planning en beheersing een fasering en mijlpalenplanning waarin (deel)producten en kostenverloop in tijd zijn opgenomen en de belangrijkste beslismomenten zijn aangegeven; een analyse van de mogelijke projectrisico s op technisch, sociaal, organisatorisch, economisch en bestuurlijk vlak; informatie over de maatregelen die genomen zijn ter beheersing van de gesignaleerde risico s; een vastlegging van het risicoprofiel; een inzichtelijke projectadministratie conform kostenindeling zoals opgenomen in het rapportagemodel; informatie over het systeem van kwaliteitsborging waar externe kwaliteitstoetsen deel van uit maken, inclusief: o een vastlegging van de uitgevoerde externe kwaliteitstoetsen op de projectstart; o een vastlegging (motivatie) van hoe binnen het project met externe kwaliteitstoetsen zal worden omgegaan (keuze uitvoerende partijen en objecten waarnaar gekeken zal worden); o een overzicht van de belangrijkste beslismomenten na de start; o een planning van de uit te voeren externe kwaliteitstoetsen. Bij belangrijke wijzigingen in het projectplan gedurende de projectduur, wordt deze paragraaf met externe kwaliteitstoetsen herbeoordeeld en zo nodig herzien; een vastgestelde procedure voor het wijzigen van kwaliteitscriteria en productspecificaties Informatievoorziening een overzicht van de door de opdrachtgever vastgestelde kwaliteitseisen met betrekking tot de te leveren informatie; informatie over de periodiciteit van de voortgangs- en uitzonderingsrapportages aan opdrachtgever/programmaboard. Pagina 21 van 45

22 5.1.5 Samenwerkingsverbanden Voor projecten die worden uitgevoerd door of in opdracht van meerdere partijen (andere ministeries en/of andere partijen in de publieke of private sector) wordt duidelijk vastgelegd welke afspraken er zijn met betrekking tot de bekostigingsstructuur, verantwoordelijkheidsstructuur, rechtsvorm en exit-constructie Informatiebeveiliging 5 Bij alle projecten moet de vaststelling van betrouwbaarheidseisen in termen van vereiste beschikbaarheid, integriteit en vertrouwelijkheid zo vroeg mogelijk worden uitgevoerd. Ook een inventarisatie van relevante dreigingen completeert deze belangenanalyse en is nodig voor goed (beveiligings)risicomanagement. De Rijksdienst past risicomanagement toe om tot de juiste beveiliging van informatie en informatiesystemen te komen. Risicomanagement is het inzichtelijk en systematisch inventariseren, beoordelen en door het treffen van maatregelen beheersbaar maken van risico s en kansen, die het bereiken van de doelstellingen van de organisatie bedreigen dan wel bevorderen, op een zodanige wijze dat verantwoording kan worden afgelegd over de gemaakte keuzes. De CIO betrekt de CISO bij het risicomanagement. De projectbeheersingdocumentatie bevat informatie over beveiligingsissues m.b.t. het geplande project en de wijze waarop de geformuleerde betrouwbaarheidseisen worden getoetst in de projectfasen Privacyaspecten en PAR procedure In het projectplan wordt informatie opgenomen over de vraag of er bij het project sprake is van het opnemen van privacygevoelige gegevens of van het koppelen of verrijken van data. Indien er sprake is van gebruik van persoonsgegevens moet het model gegevensbeschermings effectbeoordeling rijksdienst (PIA) vanaf 29 september 2017 worden toegepast. (kst 26643, nr. 490, 29 september 2017). De uitkomsten hiervan moeten in het projectplan zijn beschreven. Projecten die gebruik maken van persoonsgegevens van medewerkers moeten worden voorgelegd aan de departementale OR. Voor Rijksbrede projecten Bedrijfsvoering is de PAR procedure van toepassing, zodat privacy én betrokken departementen vroegtijdig worden betrokken in de ontwikkeling van beleid, product of dienst. De PARprocedure verloopt volgens een aantal afgesproken stappen: zie Bijlage 4. Indien er bij Rijksbrede projecten Bedrijfsvoering gebruik wordt gemaakt van persoonsgegevens van medewerkers moet de GORijk instemmen. Het is aan te raden de GOR in een vroeg stadium te betrekken. 5 Relevante regelgeving is terug te vinden in BVR 2013, VIR 2007, VIR-BI 2013 en BIR Pagina 22 van 45

23 5.2 CIO-oordeel De CIO heeft tot taak de ambtelijke en politieke leiding gevraagd en ongevraagd te adviseren over de doelstelling, uitvoering, kosten en risico s van projecten met een ICT-component. Een project zal niet kunnen starten, respectievelijk voortgezet worden, zonder een positief oordeel van de CIO over een project. Het CIO-oordeel wordt daarom gegeven bij de start, bij fase-overgangen en bij andere kritische momenten van een project. Ingeval van een negatief oordeel door de departementale CIO wordt dit geagendeerd bij het bevoegd bestuursorgaan binnen het ministerie. Bij een CIO-stelsel binnen een departement wordt het CIOoordeel door de verantwoordelijke CIO afgegeven. De secretaris-generaal van het betrokken ministerie kan dit oordeel beargumenteerd terzijde leggen (kst , nr.172). Het CIO-oordeel is geen onderdeel van de rapportage aan de Tweede Kamer. Het oordeel van de CIO wordt gegeven vanuit de rol van de CIO en richt zich daarmee met name op de inrichting van de organisatie en governance, kosten en risico s; de aansluiting op de departementale projectenportfolio; op de toepassing van rijksbrede en departementale architectuur en standaarden; het gebruik van projectbeheersingsmethodieken en externe kwaliteitstoetsen (zie hieronder); privacy-aspecten (zie hieronder); beveiligingsaspecten. Het gaat hierbij om het toetsen aan de relevante Beheersmaatregel uit het Voorschrift Informatiebeveiliging Rijksdienst (VIR) 2007 en de BIR2017 (of BIR 2012): Informatiebeveiliging behoort aan de orde te komen in projectbeheer, ongeacht het soort project. De CIO betrekt de CISO bij zijn oordeel over de beveiligingsaspecten; de wijze waarop een eventueel BIT-advies is meegenomen. De CIO baseert zijn oordeel mede op het Toetskader van het Bureau ICTtoetsing: Dit toetskader bevat guiding principles en is geen vinklijstje, dat zonder interpretatie als een concrete en toetsbare norm kan worden ingezet CIO Rijk De CIO Rijk ontvangt bij de voorgenomen start van de ICT-projecten een afschrift van het oordeel van de departementale CIO en zijn toetsing aan de rijksbreed afgesproken kaders. De CIO Rijk ontvangt ook een afschrift van een tussentijds oordeel over de voortzetting van een project Privacy en PIA Wanneer het CIO-oordeel betrekking heeft op het opnemen van privacygevoelige gegevens of van verrijkte of gekoppelde data, laat de departementale CIO zich bij het opstellen van dit oordeel adviseren door de Functionaris Gegevensbescherming die bij elk ministerie is aangesteld en Pagina 23 van 45

24 die toezicht houdt op toepassing en naleving van de AVG en andere privacywetgeving. De opdrachtgevers van ICT-projecten zijn gehouden om wijzigingen in een systeem ten aanzien van het gebruik van privacygevoelige gegevens en koppelingen of verrijking daarvan te melden aan de departementale CIO. Als hier sprake van is moet vanaf 29 september 2017 het model gegevensbeschermingseffectbeoordeling rijksdienst (PIA) worden toegepast. De CIO kan op basis daarvan besluiten of een nieuw oordeel noodzakelijk is Toepassing van rijksbrede architectuur en standaarden De departementale CIO toetst de toepassing van de rijksbreed geldende kaders (zoals bijvoorbeeld projectplaneisen, de pas-toe-of-leg-uit lijst met verplichte open standaarden, informatiebeveiligingskaders (VIR, BIR), baseline informatiehuishouding, etc). 5.3 Externe kwaliteitstoetsen De ministeries zijn vrij in de keuze van gehanteerde externe kwaliteitstoetsen, mits die aan professionele standaarden en eisen als deskundigheid en onafhankelijkheid voldoen. De keuze is aan de verantwoordelijken binnen een departement (over het algemeen een samenspel tussen projectverantwoordelijken, CIO en departementsleiding/audit committee). Externe kwaliteitstoetsen worden uitgevoerd door voldoende onafhankelijke en professionele partijen en hebben betrekking op (de objecten): de meest kritische aspecten van de projectbeheersing (kosten, baten, risico's, mijlpalen en planning) gebruik makend van breed geaccepteerde beheersingsmodellen als MSP en Prince2, waarbij het niet alleen gaat om procedurele correctheid (formele toets), maar vooral ook of er sprake is van een adequate projectbeheersing voor het realiseren van de gestelde projectdoelen; de (beheersing van de) kwaliteit van de door het project opgeleverde (deel-) producten. De uitvoering van externe kwaliteitstoetsen wordt bij voorkeur gerelateerd aan beslismomenten, waarbij de projectstart als een belangrijk beslismoment wordt gezien. De datum waarop een externe kwaliteitstoets is uitgevoerd wordt opgenomen in het ICT-dashboard. De CIO toetst bij de start en gedurende het project of sprake is van een adequate aanpak voor externe kwaliteitstoetsen (mede gegeven het departements- of domeinbrede beleid op dit terrein). De CIO wordt geïnformeerd over de uitkomsten van externe kwaliteitstoetsen. Hierna volgt een opsomming van mogelijke externe kwaliteitstoetsen Gateway review Gateway-reviews kenmerken zich door het peer-to-peer karakter, de uitvoering in een relatief korte periode, het alleen aan de opdrachtgever rapporteren en de focus: breed met beperkte diepgang. Gateway-reviews zijn bedoeld als hulpmiddel voor de opdrachtgever om zijn project beter in Pagina 24 van 45

25 de grip te krijgen en hebben dus vooral een interne kwaliteitsverhogende werking binnen het project of programma Interne audits Audits door interne auditdiensten kenmerken zich door de uitvoering door onafhankelijke auditors met kennis en begrip van de organisatie en - wel afhankelijk van de soort opdracht - heldere en onderbouwde conclusies, mogelijkheid tot meer specifiek gerichte onderzoeken (maatwerk) en een bredere verspreidingskring. Audits kunnen zowel betrekking hebben op de projectbeheersing als de (beheersing van de) kwaliteit van de door het project opgeleverde (deel-)producten. Audits kunnen worden gebruikt om vast te stellen of de projectbeheersing voldoet aan de daaraan te stellen eisen (gerelateerd aan breed geaccepteerde beheersingsmodellen als MSP en Prince2) en bieden zowel projectverantwoordelijken als de CIO inzicht in de verbetermogelijkheden rond de projectbeheersing. Naast onderzoeken naar de projectbeheersing, kunnen auditors rond grote ICT-projecten ook onderzoeken vanuit de wettelijke controletaak, in het kader van rijksbrede regelingen, naar een door een project opgeleverd informatiesysteem en naar specifieke objecten binnen een project uitvoeren of vanuit een adviesof ondersteuningsopdracht bij een ICT-project betrokken zijn Externe audits Audits door externe auditors zijn vergelijkbaar met de audits door interne auditdiensten met als verschil dat de externe auditor over het algemeen minder bekend is met de organisatie Advies Adviezen door experts kenmerken zich door de uitvoering door onafhankelijke adviseurs en zijn veelal gericht op de beantwoording van een specifieke, specialistische vraag Interne reviews Er kan ook sprake zijn van departement specifieke kwaliteitstoetsen, zoals reviews door andere medewerkers van het departement die niet direct bij het project zijn betrokken. Pagina 25 van 45

26 6 Afspraken over rapportage en verantwoording Over alle projecten en programma s met een meerjarige ICT-component van ten minste 5 miljoen wordt verantwoording afgelegd. Het gaat daarbij om de voor dit rijksbrede kader geselecteerde projecten (zie hoofdstuk 3). Voor gerubriceerde projecten gelden andere, met het BIT gemaakte afspraken. Die zijn van onderstaande afspraken uitgezonderd. Niet alle projecten die werken met gerubriceerde informatie zijn gerubriceerde projecten. De rapportage vindt plaats: -Jaarlijks via het Rijks ICT-dashboard en via de aan de Kamer aangeboden Jaarrapportage Bedrijfsvoering, met als peildatum xx; -Permanent, via het Rijks ICT-dashboard met een termijn van uiterlijk twee weken: na de start van een project, of na informering van de Kamer over een lopend project. 6.1 Jaarrapportage Bedrijfsvoering aan de Tweede Kamer Tijdpad Het tijdpad voor de totstandkoming van de rapportage Grote ICT-projecten aan de Tweede Kamer, als onderdeel van de Jaarrapportage Bedrijfsvoering Rijk, is als volgt: november: de door het CIO Beraad vastgestelde versie van het Handboek PPM (over het dan lopende jaar) is beschikbaar; november: CIO Rijk verstuurt een herinnering voor het actualiseren van projecten op het dashboard per peildatum 31 december; 15 maart: rapportage is beschikbaar voor interne auditdiensten; 1 april: de projecten worden op het dashboard gepubliceerd en verzonden aan het ministerie van BZK t.a.v. de CIO Rijk; 3 april: de rapportage wordt verwerkt in de Jaarrapportage Bedrijfsvoering Rijk Rapportageproces De departementale CIO draagt voor zijn ministerie zorg voor het verzamelen van de benodigde informatie conform beschrijving in dit document; ook voor de informatievergaring vanuit de publiekrechtelijke zbo s die onder de beleidsverantwoordelijkheid van het ministerie vallen. De departementale CIO s informeren de CIO Rijk welke projecten op het dashboard zijn geactualiseerd met daarbij de specificatie welke zijn afgerond of nieuw zijn opgevoerd. Projecten die op of voor de peildatum van de jaarlijkse rapportage zijn afgerond worden nog eenmaal meegenomen in de Jaarrapportage Bedrijfsvoering. Eveneens wordt aangegeven bij nieuw gestarte projecten met een ICT-component van meer dan 20 miljoen of een ICT Markttoets is uitgevoerd volgens het pas toe of leg uit -principe. Daarnaast wordt gemeld wanneer en met welke partijen eventueel een schikking is overeengekomen in het afgeronde jaar. Pagina 26 van 45

27 Ook worden de onderzoeksrapporten van de auditdienst(en) door de CIO s aan de CIO Rijk verstuurd (versturen naar Postbus.CIOberaad@minbzk.nl). 6.2 Rijks ICT-dashboard Het Rijks ICT-dashboard is benaderbaar via het internet adres: De Ministerraad heeft in mei 2011 het ICT-dashboard vastgesteld als instrument dat ieder ministerie gebruikt voor de rapportage aan de Tweede Kamer over de grote ICT-projecten. Bijlage 2 beschrijft de afspraken omtrent eigenaarschap en beheer van het dashboard. Het Rijks ICT-dashboard vormt met ingang van de rapportage over 2011 de basis voor de rapportage Grote ICT-projecten aan de Tweede kamer, als onderdeel van de Jaarrapportage Bedrijfsvoering. Dit laat onverlet de rapportageverplichting rondom bestaande andere, rapportageafspraken met de Tweede Kamer. Elk ministerie is zelf verantwoordelijk voor een ordentelijk proces voor het actualiseren van het ICT-dashboard - ook bij tussentijdse wijzigingen - en voor correcte informatie in het ICT-dashboard over de eigen projecten Tussentijdse wijzigingen op het Rijks ICT-dashboard De informatie over een project op het dashboard wordt in een aantal gevallen daarnaast zo snel mogelijk, maar uiterlijk na twee weken geactualiseerd: -na de start van een project, nadat daarvoor de Tweede Kamer is geïnformeerd over de BIT-toets en de reactie daarop; -na de verzending van TK stukken met nieuwe of geactualiseerde informatie over het betreffende project Tussentijdse wijzigingen tussen xx en xx+1 In de periode tussen xx (peildatum voor de jaarlijkse rapportage aan de Kamer) en xx+1 (uiterste publicatiedatum van die jaarlijkse rapportage) kan het departement (nog) een aanpassing of herijking willen publiceren. In dat geval is het volgende afgesproken: de Kamer wordt in de Jaarrapportage Bedrijfsvoering in alle gevallen geïnformeerd over de stand van zaken op de peildatum x, gebaseerd op een in het dashboard aanwezige rapportage van die peildatum. Aanpassingen en herijkingen met een peildatum tot x+1, moeten hier al aan toegevoegd worden en (ook) uiterlijk x+1 op het dashboard gepubliceerd worden. In dat laatste geval leidt dat tot twee regels op het dashboard, met elk een eigen peildatum Publicatie van BIT-adviezen op het Rijks ICT-dashboard Vanaf 2015 worden ook de BIT-adviezen (plus de eventuele bestuurlijke reactie daarop) door het departement als Kamerstuk op het dashboard gepubliceerd bij het betreffende project. Publicatie vindt plaats direct, maar uiterlijk twee weken na de start van het project. Daarnaast wordt een overzicht van alle uitgebrachte adviezen van het BIT, inclusief de bestuurlijke reactie daarop, op de website van het BIT gepubliceerd. Pagina 27 van 45