Ketenauditing De toegevoegde waarde van een ketenaudit vanuit een bestuurlijke context

Transcriptie

1 Ketenauditing De toegevoegde waarde van een ketenaudit vanuit een bestuurlijke context Scriptie ter afronding van de post-graduate opleiding IT-audit aan de Vrije Universiteit te Amsterdam Document Titel Ketenauditing Auteur drs. Michael Bosch Eind Datum april 2008 Begeleiding/ drs. Bart van Staveren RE, UWV, Universitair Begeleider Coaching Peter Spermon RE RI CISA, Inspectie Werk en Inkomen, Bedrijfscoach

2 Inhoudsopgave Voorwoord...3 Samenvatting Inleiding Probleemstelling Werkwijze Afbakening Openbaar bestuur en ketens Wat is een keten Risico s van ketens Reguliere verantwoordingen in de sociale zekerheid Ketencoördinatie en toezicht Conclusie Theorie ketenauditing Bestaande ketenaudit definities, modellen en methoden Theorie De Bruijn e.a Di Maio Nederlandse Overheid Referentie Architectuur (NORA) Beschouwing Randvoorwaarden ketenaudit Sociale zekerheid en ketenauditing EDP-audit Beveiliging Suwinet Context Theoretische toetsing: NORA (Privacy en Beveiliging paragraaf) aan Suwinet audit Praktijk: Suwinet audit Ontwikkeling Digitaal Klantdossier Juridische context Theoretische toetsing: Raamwerk Di Maio aan ontwikkeling Digitaal Klantdossier Praktijk: Ketentoets Digitaal Klantdossier Theoretische toetsing: Raamwerk Di Maio aan P-direct Theoretische toetsing: De Bruijn e.a. aan Suwinet audit / ketentoets DKD Conclusie: Toegevoegde waarde van een ketenaudit vanuit bestuurlijke context Reflectie

3 Voorwoord Voor u ligt mijn afstudeerscriptie ter afronding van de postgraduate IT-audit opleiding aan de Vrije Universiteit te Amsterdam. Deze scriptie is het resultaat van een leerzaam, interessant en soms moeizaam traject, uitgevoerd van december 2007 tot en met april Het opdoen van inzicht in ketenauditing en de toegevoegde waarde hiervan voor het openbaar bestuur is een belangrijk persoonlijk resultaat van het onderzoek voor mij geweest. Met deze scriptie wil ik een bijdrage leveren aan de kennis met betrekking tot dit onderwerp. Op deze plaats wil ik graag mijn begeleidend docent Bart van Staveren bedanken voor zijn kritische op- en aanmerkingen en aanmoedigingen tijdens het scriptietraject. Daarnaast wil ik ook graag mijn bedrijfscoach Peter Spermon bedanken voor zijn inzet en het geven van adviezen en feedback op de conceptversies van deze scriptie. Verder wil ik alle contactpersonen en geïnterviewden die hebben bijgedragen aan het onderzoek oprecht bedanken voor hun inbreng en tijd. Tenslotte wil ik familie, vrienden en mijn vriendin bedanken voor de ondersteuning tijdens de studie en bij het schrijven van deze scriptie. Amsterdam, april

4 Samenvatting Het ministerie van Sociale Zaken en Werkgelegenheid stelt zich meer en meer op als opdrachtverstrekker maar laat de uitvoering, zoals bij het programma Digitaal Klantdossier, veelal over aan ketenpartners. Dit neemt niet weg dat het ministerie nog wel eindverantwoordelijk is voor het resultaat, de sturing hierbij is op hoofdlijnen (outcome). ITauditing op ketenniveau als hulpmiddel voor het openbaar bestuur om adequaat te kunnen (bij)sturen is hierbij in beeld. Voor de opzet van een effectieve ketenaudit bestaat thans een theorie. Om een ketenaudit uit te kunnen voeren is ook een normenkader nodig. Normenkaders voor een ketenaudit zijn er op dit moment nog niet. In deze scriptie toets ik twee raamwerken aan twee typen ketenaudits met als doel de ketenauditor met deze twee raamwerken daadwerkelijk normenkaders in handen te geven bij de uivoering van ketenaudits. Bij een ketenaudit op E-overheid programma s is het gebruik van het raamwerk van Di Maio als normenkader door een ketenauditor van toegevoegde waarde voor het openbaar bestuur omdat zo in een vroegtijdig stadium strategische risico s voor het behalen van de doelstellingen worden geïdentificeerd. Bij toetsing van dit raamwerk aan het ketenbrede programma Digitaal Klantdossier (DKD) komt naar voren dat de gesignaleerde risico s die ten grondslag liggen aan de initiatie van het programma DKD door een ketendauditor opgemerkt hadden kunnen worden. Daarnaast zijn ketenrisico s geïdentificeerd op het lopende programma DKD bij het behalen van de ketenbrede E-overheid doelstelling van eenmalige gegevensuitvraag. Bij toetsing van dit raamwerk aan de gesignaleerde risico s vanuit de lessons learned op het interdepartementale ICT project P-Direct komt naar voren dat het merendeel van deze risico s eerder, of zelfs voor aanvang, geïdentificeerd hadden kunnen worden door een ketenauditor bij gebruik van dit raamwerk. De toereikendheid van dit raamwerk blijkt na toetsing ruim voldoende, echter er ontbreekt een toetspunt ten aanzien van de adequate inrichting van een kwaliteitsborgende ketenbrede rol. Bij een ketenaudit op het gebied van privacy en beveiliging bevat de privacy- en beveiligingsparagraaf van de NORA een bruikbaar toetsingskader voor een ketenauditor. Dit onderdeel van de NORA stelt dat samenwerken in de context van de elektronische overheid een aantal aanvullende inrichtingsprincipes met zich mee brengt op het gebied van de beheersing van de informatiebeveiliging. De Suwinet audit voldoet hier grotendeels aan. Aanvullend op de zaken die in de besproken normenkaders staan komt vanuit zowel de auditpraktijk, de toezichthouder als het ministerie naar voren dat een ketenaudit van maximale toegevoegde waarde voor het openbaar bestuur is als de volgende aandachtspunten bij de ketenauditor goed in beeld zijn: Neem als ketenauditor (intergraal) de risico s bij de externe leveranciers van de ketenpartners mee zodat deze risico s niet onderbelicht blijven. Dit biedt de minister waarborgen dat een ketenaudit ook daadwerkelijk alle risico s voor de keten bevat; Vooraf als ketenauditor in beeld hebben of het wettelijk gevraagde oordeel ook daadwerkelijk (vaktechnisch) afgegeven kan worden; Indien bij aanvang van een ketenaudit duidelijk is dat (kleine) organisaties geen ITauditors kunnen inzetten bij ketenaudits vooraf heldere afspraken maken over een review van een IT-auditor op de audit werkzaamheden van een niet gekwalificeerde auditor om toch het integrale kwaliteitsniveau van de uitvoering van de ketenaudit te borgen. 4

5 1 Inleiding Samenwerking in ketenverband is anno 2008 steeds meer noodzakelijk om tot een resultaat te komen dat van een toegevoegde waarde is voor de individuele burger en de samenleving als geheel. De strafrechtketen, de vreemdelingenketen en de zorgketen zijn hiervan sprekende voorbeelden. Een voorbeeld binnen de sociale zekerheid is de Wet eenmalige gegevensuitvraag die per 1 januari 2008 van kracht is. Hiermee wordt beoogd een administratieve lastenverlichting voor de burger te bewerkstelligen. Hiervoor wordt een keten binnen de sociale zekerheid ingericht. Wie zich inschrijft als werkzoekende of een uitkering aanvraagt hoeft daar in de toekomst nog maar één keer zijn gegevens voor te verstrekken. De wet verbiedt organisaties die de wetten voor werk en inkomen uitvoeren om bij hun klanten gegevens op te vragen die al bij hen of bij andere uitvoeringsorganisaties bekend zijn. Zij moeten gebruik gaan maken van het Digitaal Klantdossier (DKD). Het DKD is een virtueel dossier dat is opgebouwd uit de databestanden van gemeente, UWV, CWI, GBA, RDW en IBG. Het in ketenverband juist en tijdig (gaan) uitwisselen van gegevens over de burger vormt in dit voorbeeld een essentieel onderdeel. Ketens moeten hierbij beschikken over een goede ICT-voorziening om effectief hun taken te kunnen vervullen. Hoe en op welke wijze onder andere het ketenbrede programma Digitaal Klantdossier ook ketenbreed wordt ge-audit beschrijf ik als case in deze scriptie. De vraag wordt beatwoord in hoeverre er bij de ontwikkeling van het Digitaal Klantdossier toegevoegde waarde wordt toegekend aan ketenaudits vanuit een bestuurlijke context. Door de actualiteit van dit onderwerp en de toenemende vraag om IT-auditors in te zetten in ketenaudits, heb ik dit onderwerp gekozen voor mijn scriptie. Hiervoor maak ik gebruik van mijn ervaringen met ketenaudits bij de Inspectie Werk en Inkomen (IWI). 1.1 Probleemstelling De probleemstelling luidt: Wat is de toegevoegde waarde van een ketenaudit vanuit het openbaar bestuur gezien? Met deze hoofdvraag als uitgangspunt kunnen de volgende onderzoeksvragen worden geformuleerd: 1. Wat is een keten? 2. Welke afhankelijkheid heeft het openbaar bestuur van ketens en welke risico s worden er op dit gebied gelopen? 3. Welke reguliere verantwoordingen zijn er? 4. Welke definities, modellen en methoden zijn er voor ketenauditing? Wat zijn de verschillen? 5. Wat zijn de randvoorwaarden waaraan je bij een ketenaudit moet voldoen? 6. Hoe verhoudt de theorie zich met de praktijk? 7. Wat zijn de problemen in de praktijk bij ketenaudits? 8. Wat heeft ketenaudit tot nu toe bijgedragen in de sociale zekerheid? 9. Wat kan ketenauditing nu aan extra toegevoegde waarde bieden? 5

6 1.2 Werkwijze Tijdens dit onderzoek is gebruik gemaakt van de volgende onderzoeksinstrumenten. Deskresearch: het bestuderen van literatuur, openbare nota s, rapporten, plannen van aanpak, etc. Het voeren van gesprekken met hoger management en middenkader van het van het Ministerie van Sociale Zaken en Werkgelegenheid en de toezichthouder binnen de sociale zekerheid: Inspectie Werk en Inkomen. Beide organisaties zijn verantwoordelijk voor de inrichting en auditing van ketens. Ook ketendeskundigen, ketenauditoren en opdrachtgevers van ketenaudits zijn betrokken. Het bestuderen van een tweetal bestaande cases (ketenaudits) 1.3 Afbakening Dit onderzoek richt zich uitsluitend op ketens binnen het openbaar bestuur. Dit zijn ketens die vallen onder de verantwoordelijkheid van ministeries en/of andere publieke organisaties. Veel kenmerken van ketens zijn hetzelfde maar ik richt mij in deze scriptie op de ketens binnen de sociale zekerheid. Dit doe ik omdat ik in deze sector werkzaam ben en het functioneren van ketens hier van dichtbij ervaar. Met deze scriptie wil ik een bijdrage leveren aan het adequaat inrichten en uitvoeren van een ketenaudit zodat (keten)problemen in de toekomst zoveel mogelijk kunnen worden voorkomen. 6

7 2 Openbaar bestuur en ketens Zoals in de inleiding van dit stuk geschetst nemen het aantal ketens bij de rijksoverheid gestaag toe. Ketens moeten beschikken over een goede informatievoorziening om effectief hun taken te kunnen vervullen. In dit hoofdstuk geef ik antwoord op drie vragen: Wat is een keten? Welke afhankelijkheid heeft het openbaar bestuur van ketens en welke risico s worden er op dit gebied gelopen? Welke reguliere verantwoordingen zijn er? 2.1 Wat is een keten Het begrip keten is een breed toepasbaar begrip en creëert een beeld van aan elkaar gekoppelde schakels; een ketting. De brede toepasbaarheid van dit begrip heeft ertoe geleid dat er veel verschillende omschrijvingen van ketens in omloop zijn [DUI, POO]. In dit onderzoek maak ik gebruik van de definitie zoals die door het Ministerie van Binnenlandse Zaken wordt gegeven: Een keten is een samenwerkingsverband tussen partijen die zowel zelfstandig als afhankelijk van elkaar functioneren omdat ze volgtijdelijke handelingen uitvoeren, gericht op een afzonderlijk doel. Bij de afstemming van de activiteiten staat de cliënt die het primaire proces doorloopt centraal [MIB]. In de keten staat de logica van het primaire proces centraal, hiermee wordt gedoeld op alle activiteiten die waarde toevoegen in een keten. Het primaire proces bestaat uit een opeenvolging van contactmomenten met een cliënt. Een stap in deze keten van de publieke dienstverlening is een schakel. Een schakel dient niet verward te worden met een organisatie. Een schakel is een contactmoment met een cliënt. De organisatie van de dienstverlening vindt plaats vanuit de cliënt; organisaties en instellingen worden geprikkeld hun activiteiten zo op elkaar af te stemmen dat er geen overlap is in hun aanbod en er ook geen vragen van cliënten blijven liggen. De afstemming krijgt zo vorm dat er voor cliënten een doorlopend en samenhangend pakket aan dienstverlening ontstaat. In de ideale situatie hoeft de cliënt door de ongehinderde voortgang in de keten niet eens te merken dat hij/zij met verschillende organisaties te maken heeft [TWI]. Het is kenmerkend voor een keten dat ketenpartners samenwerken, hun eigen taken en bevoegdheden hebben, maar wederzijds afhankelijk zijn van elkaar. De partners maken hun samenwerking operationeel en hun inspanningen afrekenbaar door ketenafspraken [AAK]. Er zijn zeer veel verschillende type ketens: dynamische ketens, vraag- en aanbodgerichte ketens beleidsketens, fysieke ketens,complexe en eenvoudige ketens en verticale, horizontale en diagonale ketens. De indeling naar verticaal, horizontaal en diagonaal heeft betrekking op zowel de aansturing als op het proces van de keten. Qua aansturing is er sprake van een verticale keten als er één centrale eindverantwoordelijke is voor een keten die door opeenvolgende bestuurslagen heen loopt. Een voorbeeld hiervan is een ketenproces dat zich afspeelt binnen één departement waarvoor de minister de eindverantwoordelijke is. Een 7

8 horizontale keten daarentegen is een samenwerkingsverband waarbij niet één maar meer eindverantwoordelijken binnen één bestuurslaag zijn aan te wijzen. Bij een interdepartementale samenwerking bijvoorbeeld is de eindverantwoordelijkheid verdeeld over verschillende ministers. Qua ketenproces is ook een indeling te maken naar horizontaal en verticaal. Een ketenproces kan bestaan uit opeenvolgende fasen (verticaal). Een ketenproces kan evenwel ook bestaan uit parallelle fasen (horizontaal) [MEE]. Uit onderzoeksresultaten blijkt dat de systemen van de ketenpartijen hoofdzakelijk per organisatie zijn ingericht (verticaal), niet op het niveau van de keten (horizontaal). Met de komst van de SUWI-keten (zie hierna) is het koppelen van deze systemen op de agenda gekomen [EXP]. Het Digitaal Klantdossier is hier een sprekend voorbeeld van. SUWI-keten De samenwerking in de SUWI-keten (Structuur Uitvoeringsorganisatie Werk en Inkomen; de keten van CWI, gemeentes en UWV die zorgdraagt voor het verlenen van hulp aan werkzoekenden en het verzorgen van (tijdelijke) uitkeringen) krijgt de laatste jaren steeds meer vorm. De overheid stelt zich meer en meer op als regisseur. Zo is de rol van het Ministerie van SZW die van opdrachtverstrekker aan ketenpartijen om bijvoorbeeld de ketenbrede ontwikkeling van een Digitaal Klantdossier vorm te geven. De invulling hiervan is overgelaten aan de ketenpartners. In de sturing en beheersing staat het resultaat voorop, de opdrachtgever/minister van SZW maakt (meerjarige) afspraken over de resultaten. De nadruk ligt op sturen op hoofdlijnen/resultaat (outcome). Hieruit is de behoefte aan toezicht op het realiseren van beleidsdoelen, de effectieve en efficiënte inzet van middelen en de naleving van voorgeschreven kwaliteitsnormen ontstaan. Met het jaarlijkse SUWI-ketenprogramma worden een aantal belangrijke thema s ketenbreed ontwikkeld, waaronder het afstemmen van ICT-oplossingen en -investeringen[ako]. Elke ketenpartner heeft haar eigen werkveld en verantwoordelijkheid. Deze twee elementen dienen op elkaar afgestemd te zijn om zo een vloeiende samenhang in de samenwerking te creëren. Binnen de SUWI-keten zijn op diverse niveaus samenwerkingsverbanden ontstaan. Zo moet een burger een uitkering aanvragen bij CWI, de organisatie die in eerste instantie verantwoordelijk is voor de toeleiding naar werk. Voor informatie over scholing en begeleiding kan een burger in dit geval ook bij CWI terecht. Indien er naar verwachting ook recht op een uitkering bestaat verwijst CWI naar een uitkerende instantie door, UWV of de sociale dienst van een gemeente. Hiermee is sprake van een zogenoemde uitkeringsketen. Bovenstaand voorbeeld illustreert dat de inrichting van de sociale zekerheid zodanig is dat een burger die werk of een uitkering van de overheid wil aangewezen is op verschillende organisaties die allen hun eigen verantwoordelijkheid hebben voor de uitvoering van een deel van het proces. We spreken hier dus van een horizontale keten. Door alle handelingen als een keten te beschouwen worden deze beter op elkaar afgestemd en kan de burger beter worden bediend. Voor deze afstemming is informatie-uitwisseling over de klant noodzakelijk. Dit stelt hoge eisen aan de informatie-uitwisseling en de ICT-voorzieningen in de sociale zekerheidsketen. 8

9 2.2 Risico s van ketens De in de SUWI wetgeving neergelegde verantwoordelijkheidsverdeling op het gebied van werk en inkomen maakt het noodzakelijk dat de ketenpartners CWI, UWV en gemeenten bij het realiseren van de doelstellingen met elkaar samenwerken. Ketenpartners hebben elkaar steeds meer nodig voor het realiseren van een aantal gemeenschappelijke doelen, die ze in steeds mindere mate exclusief op eigen kracht kunnen bereiken. Het gaat in de uitwerking dan enerzijds om de vormgeving van een geïntegreerde en ontschotte frontoffice voor werkzoekenden en anderzijds om de geïntegreerde en ontschotte werkgeversbenadering en de relatie daartussen. Een afdoende resultaat wordt alleen bereikt als alle schakels in deze keten vlekkeloos samenwerken. In de praktijk lukt dit niet altijd even goed. Uit verschillende literatuur komt naar voren dat voorbeelden van risico s die het openbaar bestuur loopt bij een slecht of onvoldoende functionerende keten zijn: [GRI, STE, ZEE] Het ontbreken van één gezicht naar buiten als overheid; Het niet hebben van de (keten)regie; Inefficiënt en ineffectief functioneren van de overheid; Publieke verontwaardiging; Schade voor imago van de keten; Politieke escalatie; Niet meetbare ketenresultaten. 2.3 Reguliere verantwoordingen in de sociale zekerheid Deze paragraaf beantwoordt de vraag welke verantwoordingen er zijn binnen en over een keten. Ik gebruik hierbij als voorbeeld het SUWI-domein. Aan de orde komen achtereenvolgens de aansturing en de (reguliere) verantwoording hierover aan de minister van SZW en het toezicht dat hierop namens hem plaatsvindt. Aansturing De minister van SZW stuurt op beleids- en systeemniveau door goedkeuring te verlenen aan begroting, jaarplannen en meerjarenplannen waarvoor in SUWI-wet een kader is vastgesteld. Een ander instrument waarmee de minister van SZW stuurt is door het budget vast te stellen. Aan de te leveren diensten en producten zijn eisen geformuleerd. Prestatie-indicatoren spelen hierbij een belangrijke rol omdat ze informatie geven over de mate waarin aan de prestatieeisen is voldaan. Verantwoording CWI, UWV, SVB, RWI en het Inlichtingenbureau leggen ieder voor zich verantwoording af in één verantwoordingsdocument, de jaarverantwoording. De jaarverantwoording bevat de jaarrekening en het jaarverslag. In de verantwoording wordt ingegaan op de rechtmatigheid, de doelmatigheid van de uitvoering en op de bedrijfsvoering. Het gaat zowel om de beleidsuitgaven als de uitvoeringskosten. De jaarrekening en het jaarverslag zijn voorzien van een accountantsverklaring van getrouwheid; de rechtmatigheid valt onder de reikwijdte van de verklaring. Daarnaast stelt de accountant een verslag op over de doelmatigheid van het beheer en de organisatie van de rechtspersoon. De vaststelling van de jaarrekening behoeft de goedkeuring van de minister van SZW. 9

10 Verantwoording over ICT De wet SUWI en de bijbehorende regelgeving stelt eisen aan de beveiliging van de eigen gegevensverwerking van de uitvoeringsorganisaties en van de gegevensuitwisseling door middel van Suwinet [RE5, RE6]. Met Suwinet worden de gegevens op basis van sofinummers toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking willen komen voor een uitkering. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Beveiliging van de gegevensverwerking Artikel 5.22 van de Regeling SUWI schrijft voor dat de uitvoeringsorganisaties zich ieder jaar verantwoorden over de opzet en werking van het stelsel van maatregelen en procedures, gericht op het waarborgen van een exclusieve, integere, beschikbare en controleerbare gegevensverwerking. De rapportage wordt vergezeld van een oordeel en een rapport van bevindingen van een tot de Nederlandse Orde van Register EDP-Auditors (NOREA) toegelaten persoon. Hiermee heeft het oordeel van de EDP-auditor binnen de SUWI-keten een wettelijke basis gekregen [RE5]. Beveiliging van de gegevensuitwisseling Artikel 6.4 van de Regeling SUWI schrijft voor dat de Suwinetpartijen (BKWI, CWI, IB, UWV en gemeenten de SVB is nog in pilotfase) zorg moeten dragen voor de beveiliging van de gegevensuitwisseling tegen inbreuken op de beschikbaar, integriteit en vertrouwelijkheid. De normen die daarbij moeten worden gehanteerd zijn opgenomen in Bijlage XIV bij de regeling SUWI. De genoemde partijen, met uitzondering van gemeenten, moeten zich op dezelfde manier verantwoorden over de beveiliging van Suwinet als ze dat over de beveiliging van de gegevensverwerking doen. BKWI stelt jaarlijks een samenvattende rapportage op. Artikel 6.4 verplicht gemeenten om zorg te dragen voor de beveiliging van Suwinet, en om minimaal een beveiligingsplan te hebben waarin staat beschreven hoe zij aan de beveiliging invulling geven. Sinds de invoering van de WWB per 1 januari 2004 zijn gemeenten verplicht om zich, als onderdeel van hun uitvoeringsverslag, hierover te verantwoorden. Deze verantwoording hoeft niet vergezeld te gaan van een verslag van bevindingen en een oordeel van een EDP-auditor. Het uitvoeringsverslag als geheel wordt wel voorzien van een accountantsverklaring [RE6]. Deze Suwinet audit zal als casus in deze scriptie worden gebruikt. Recente ontwikkeling artikel 5.22 en 6.4 Bij de wijziging van de Regeling SUWI vanaf verantwoordingsjaar 2008, is onder meer betrokken de verantwoording over de betrouwbaarheid van de gegevensverwerking en gegevensuitwisseling via Suwinet op grond van de voornoemde artikelen 5.22 en 6.4. De vigerende regeling leidt er toe dat de verantwoording conform 5.22 en 6.4 in wezen geschiedt door de controlerend IT-auditor via diens oordeel en verslag van bevindingen. De wijziging houdt in dat het management zichzelf over de uitvoering van de regeling verantwoordt en dat de IT-auditor over die verantwoording een verklaring van getrouwheid verstrekt. Deze wijziging in de regelgeving komt voort uit de wens van de Raden van Bestuur van CWI en UWV op alle niveaus en voor alle beheeractiviteiten zelf en zichtbaar hun verantwoordelijkheid te nemen en zich over de uitvoering daarvan zelfstandig te verantwoorden. De taak van de auditor daarbij is zich te vergewissen van de getrouwheid van de verantwoording en daarover zijn oordeel uit te spreken. 10

11 In bijlage 2 staat een "stapsgewijze toelichting" op de gewijzigde verantwoording voor zowel 5.22 als 6.4. Verantwoording over prestatie-indicatoren De wet SUWI en de bijbehorende regelgeving stellen eisen aan de niet-financiële informatie, zijnde prestatie-indicatoren [RE1]. Via artikel 5.16 (lid d) van de Regeling SUWI: Kwaliteit van de informatievoorziening bestaat een verwijzing naar het Normenkader betrouwbaarheid niet-financiële informatie, opgenomen in bijlage XVII van de Regeling SUWI. Als hulpmiddel voor de uitvoeringsorganisaties bij het invullen van de hoofdnormen heeft het Ministerie van SZW een handreiking opgesteld. In deze handreiking zijn normen opgenomen die uitgangspunten vormen voor het toezicht. De handreiking heeft geen verplichtend karakter, maar als de uitvoeringsorganisatie hiervan afwijkt bij haar invulling van de normen, moet zij dit wel beargumenteren. Implementatie van het Normenkader betrouwbaarheid niet-financiële informatie vergt een specifieke uitwerking per uitvoeringsorganisatie, als gevolg van het abstractieniveau van de normen en de verschillen tussen de uitvoeringsorganisaties. Na toetsing aan de eigen normen komt de uitvoeringsorganisatie jaarlijks tot een oordeel over de mate waarin het totstandkomingsproces in het verslagjaar ordelijk, deugdelijk en controleerbaar was. Daarover verantwoordt de uitvoeringsorganisatie zich in haar jaarverslag. Op het niveau van de keten zijn in 2005 en 2006 door ketenpartners ketenprestatieindicatoren ontwikkeld die het resultaat van de gezamenlijke inspanning ten aanzien van werkzoekenden inzichtelijk maken. Deze worden niet meegenomen in de jaarlijkse verantwoording van de uitvoeringsorganisaties. 2.4 Ketencoördinatie en toezicht Ketencoördinatie Om een klantgerichte en efficiënte uitvoering te waarborgen verplicht de wet SUWI de uitvoeringsorganisaties en gemeenten om samen te werken [WET]. Om de samenwerking te ondersteunen en de inrichting van de keten te coördineren hebben uitvoeringsorganisaties en gemeenten zich verenigd in het Algemeen Ketenoverleg (AKO). Het AKO maakt afspraken met de minister van SZW over de eisen waaraan de prestaties van de keten moeten voldoen en de manier waarop daar invulling aan wordt gegeven, en bewaakt de voortgang. Toezicht De Inspectie Werk en Inkomen is belast met het toezicht op de rechtmatigheid en doelmatigheid van actoren, inclusief de samenwerking tussen deze actoren. Het toezicht heeft een signalerende functie. Om de onafhankelijkheid van het toezicht te waarborgen moet de minister van SZW het jaarplan, jaarverslag en alle door de Inspectie voor Werk en Inkomen relevant geachte rapportages ongeclausuleerd aan de Tweede Kamer sturen. De minister van SZW kan zijn oordeel daaraan toevoegen. Daarnaast informeert de inspecteur-generaal van IWI de minister en de secretaris-generaal over bevindingen, ontwikkelingen en gebeurtenissen die van zodanig maatschappelijk en/of politiek belang zijn - of die anderszins zodanig de aandacht kunnen trekken - dat tijdige kennisneming door hen gewenst is. De minister van SZW beschikt bij CWI, UWV en SVB over instrumenten om te interveniëren. 11

12 Binnen het domein beoordeelt de Inspectie als onderdeel van haar wettelijke taak onder andere ieder jaar de verantwoordingen over ICT en niet-financiële informatievoorziening (SUWI-regeling 5.22, 6.4 en 5.16), en voorziet deze in haar jaarverslag van een oordeel. 2.5 Conclusie De in de SUWI wetgeving neergelegde verantwoordelijkheidsverdeling op het gebied van werk en inkomen maakt het noodzakelijk dat de ketenpartners CWI, UWV en gemeenten bij het realiseren van de doelstellingen met elkaar samenwerken. Ketenpartners hebben elkaar steeds meer nodig voor het realiseren van een aantal gemeenschappelijke doelen, welke ze in steeds mindere mate exclusief op eigen kracht kunnen bereiken. Maatschappelijk is zichtbaar dat de overheid zich terugtrekt als uitvoerder en toezichthouder maar nog wel de randvoorwaarden schept voor organisaties om bepaalde overheidstaken te kunnen uitvoeren. De overheid stelt zich meer en meer op als regisseur. Zo is de rol van het Ministerie van SZW die van opdrachtverstrekker aan ketenpartijen om bijvoorbeeld de ontwikkeling van een Digitaal Klantdossier vorm te (laten) geven. De invulling hiervan is overgelaten aan de ketenpartners. In de sturing en beheersing staat het resultaat voorop, de opdrachtgever/minister SZW maakt (meerjarige) afspraken over de resultaten. De nadruk ligt op sturen op hoofdlijnen/resultaat (outcome). Wel blijft de overheid eindverantwoordelijke. Hieruit is de behoefte aan toezicht op het realiseren van beleidsdoelen, de effectieve en efficiënte inzet van middelen en de naleving van voorgeschreven kwaliteitsnormen ontstaan. Op basis van de inrichting van de verantwoordingen in de SUWI-keten concludeer ik dat CWI, UWV, SVB, RWI en het Inlichtingenbureau ieder voor zich verantwoording af leggen in één eigen verantwoordingsdocument, de jaarverantwoording. Op ketenniveau vindt beperkt verantwoording plaats. De minister van SZW heeft niet één specifiek verantwoordingsdocument wat alle ketenpartners gezamenlijk dragen over bijvoorbeeld de keten-informatievoorziening. Dit maakt het minder inzichtelijk voor de minister om in één oogopslag risico s en aanbevelingen voor zich te zien. Positief is dat ketenpartners zich over de beveiliging van de gegevensuitwisseling ook aan elkaar verantwoorden middels de samenvattende rapportage van het BKWI. De werkwijze bij het inrichten van de verantwoording over de prestatieindicatoren waarbij individuele uitvoeringsorganisaties de inrichting en verantwoording op basis van uitgangspunten verder moeten uitwerken, lijkt eveneens voor de ketenprestatieindicatoren bruikbaar. Op deze wijze kan ook over deze indicatoren meer zekerheid worden verkregen. 12

13 3 Theorie ketenauditing Dit hoofdstuk behandelt de theorie rondom ketenauditing. In dit hoofdstuk bespreek ik deze theorievorming op hoofdlijnen, in de hoofdstukken hierna zal ik de theorie toetsen aan een tweetal praktijkcases uit de sociale zekerheid. Ik kijk in hoeverre er theorie is ontwikkeld voor ketenauditing en wat de NOREA hieraan bijdraagt. Een belangrijk onderwerp is hoe een IT-auditor een bijdrage kan leveren aan ketenauditing. In dit hoofdstuk geef ik antwoord op twee vragen: Welke definities, modellen en methoden zijn er voor ketenauditing? Wat zijn de verschillen? Wat zijn de randvoorwaarden waaraan een ketenaudit moet voldoen? 3.1 Bestaande ketenaudit definities, modellen en methoden Hieronder beschrijf ik kort wat ik aan bestaande ketenauditdefinities, -modellen en -methoden in de literatuur heb gevonden. Voor een nadere uitwerking van de theorieën verwijs ik naar de bijlagen. In de literatuur wordt een ketenaudit gedefinieerd als een onderzoek dat moet leiden tot een gefundeerd oordeel of advies over de beheersing van een keten als geheel ten aanzien van een gekozen object van onderzoek. De ketenaudit richt zich alleen op dát aspect of onderdeel van zelfstandige organisaties dat bijdraagt aan het gemeenschappelijke doel en de beheersing van de gehele keten [MEE]. Door het toenemen van het aantal uitvoeringsketens is het van belang is dat IT-governance en IT-auditing op ketenniveau onderwerpen op de bestuurlijke agenda worden. Waarbij er een dringende noodzaak is tot zorgvuldige sturing met meer aandacht voor risicomanagement, meer ruimte voor uitvoeringsorganisaties en het terugdringen van de vraag naar allerlei zekerheden.[mat] Theorie De Bruijn e.a. De enige bestaande recent ontwikkelde theorie ten aanzien van ketenauditing is de theorie van van Adri de Bruijn, Anastasia van der Meer, Peter Nieuwenhuizen, Maarten Slot en Bart van Staveren. De Bruijn e.a. geven een beeld van de verschillende soorten ketens die binnen het publieke domein aanwezig zijn. Daarnaast geven ze een opsomming van de mogelijke samenwerkingsvormen voor de auditors die bij de keten betrokken zijn. Op deze wijze zijn De Bruijn e.a. tot een normatief model gekomen waarmee de verschillende vormen van ketensamenwerking vanuit de audit bediend kunnen worden. Samenwerkingsmodellen voor ketenaudits Er worden een viertal samenwerkingsmodellen onderscheiden. Deze modellen beschrijven de mate van samenwerking tussen de auditdiensten en de omvang van de beoordeling van de keten [BRU]: In het grondmodel is er geen sprake van een gemeenschappelijke basis voor het uitvoeren 13

14 van een audit. Hierbij worden de audits uitgevoerd door één auditdienst en hebben de audits betrekking op één processtap uit de keten. In het consolidatiemodel is er sprake van twee partijen, waarbij één partij uitvoerend is en de andere eindverantwoordelijk is voor het ketenproces. De mededeling die de auditdienst van de uitvoerende partij afgeeft, wordt gebruikt door de eindverantwoordelijke voor het ketenproces. Hiervoor voert de eindverantwoordelijke reviews uit op de werkzaamheden van de auditdienst van de uitvoerende organisatie. Het kokermodel gaat uit van een gedeelte van het ketenproces dat afzonderlijk en een gedeelte dat gezamenlijk door beide organisaties wordt uitgevoerd. Hierbij wordt voor het gezamenlijke deel een mededeling verstrekt onder verantwoordelijkheid van de auditdienst van beide partijen. Het gezamenlijke deel vormt een brugfunctie tussen de beide afzonderlijke delen. Het centrifugemodel gaat uit van een gezamenlijke uitvoering van de gehele ketenaudit. Hierbij is sprake van grote mate van samenwerking tussen de auditdiensten. Voor de gehele keten wordt een gezamenlijke verklaring of mededeling afgegeven. In bijlage 1 is bovenstaande gevisualiseerd. Veder zijn er vier ketentypes gedefinieerd aan de hand van in de praktijk aangetroffen situaties. Kennisnemend van het onderzoeksrapport van Van der Meer [MEE] is een samenhang tussen de ketentypes en de samenwerkingsmodellen zoals hierboven genoemd opgesteld. Daartoe is een nadere analyse gegeven van de overeenkomsten van verschillende aspecten van ketentypes enerzijds en de samenwerkingsmodellen anderzijds [BRU]. Voor nadere uitwerking, en visualisering, verwijs ik naar bijlage 1 In de praktijk is er een diversiteit aan koppelingen. Deze koppelingen kunnen uitgaande van de gedefinieerde ketentypes bestaan uit de minimale variant van het afgeven van een mededeling aan de opdrachtgevende partij of contractbepalingen worden nageleefd. En kan oplopen tot een verklaring uit een audit die onder gezamenlijke verantwoordelijkheid van de auditors van beide partners in de keten op het gehele ketenproces plaats heeft gevonden [BRU]. Voor nadere uitwerking, en visualisering, verwijs ik naar bijlage 1. Conclusie De normatieve opzet waarmee de verschillende vormen van ketensamenwerking vanuit de audit bediend kunnen worden zoals hierboven in de literatuur beschreven is naar mijn mening een belangrijke leidraad voor het opzetten van de samenwerking tussen auditors om een goede invulling aan ketenaudits te kunnen geven. Vanuit theoretisch perspectief zouden auditors verschillende invulling kunnen geven aan de normatieve opzet van een ketenaudit indien zij een verschillend, of zelfs geen theoretisch model zouden gebruiken. Dit zou als gevolg hebben dat onderzoeksresultaten uit ketenaudits onvoldoende uniform zijn. Hierdoor ontstaan gaten in de scope van de audit op de gehele keten. De overheid heeft (vanuit het bestuurlijke perspectief) in dat geval nog te weinig zekerheid. Hoe deze theorie zich verhoudt tot de praktijkcases is beschreven in paragraaf Di Maio Naast de theorie van De Bruijn e.a. bestaat er de door Gartner ontwikkelde vragenlijst waarvan Di Maio de auteur is. Dit is een hulpmiddel om risico s op het gebied van de E- overheid strategie vast te stellen teneinde bijbehorende verbetermaatregelen te formuleren zodat (strategische) E-overheid doelen wel behaald (kunnen) worden. Dit raamwerk kan worden toegepast op E-overheid programma s die zowel op overheidsorganisatie individueel 14

15 als op overheidsketenniveau plaatsvinden. De vragen zijn verdeeld in twee sets van criteria. Met behulp van de eerste set van criteria kan worden vastgesteld of de E-overheid strategie wel die ingrediënten bevat om tot een goede aanpak te komen (Completeness of vision). Met de tweede set van criteria kan worden vastgesteld of de doelen die voortvloeien uit de E- overheid strategie wel behaald kunnen worden door de organisatie(s) (Ability to execute) [MAI]. Onderliggend aan de evaluatiecriteria vragen zijn opgesteld met een bijbehorende normering. De normering loopt in de regel van één tot vijf. Zo is bijvoorbeeld een vraag onder het evaluatiecriteria organisatie en beheersing : is er een overheidsbrede Chief Information Officer (CIO) aanwezig? Waarbij de normering loopt van er is geen CIO oplopend tot De CIO is actief betrokken bij de planning, het opstellen van de business case en rapportering over de behaalde resultaten. Voor nadere uitwerking van deze evaluatiecriteria verwijs ik naar bijlage 1. Conclusie Het raamwerk van Di Maio om risico s op het gebied van de E-overheid strategie vast te stellen teneinde bijbehorende verbetermaatregelen te formuleren zodat (strategische) E- overheid doelen wel behaald (kunnen) worden vormt naar mijn mening een goede basis voor ketenauditors om ketenbrede onderzoeken op de E-overheid uit te voeren. Door het gebruik van de besproken evaluatiecriteria, onderliggende vragen en bijbehorende normering ontstaat een gemeenschappelijk referentiekader waaraan ketenbrede E-overheid programma s kunnen worden getoetst. Ik zal in het volgende hoofdstuk deze theorie, waar mogelijk, toetsen aan het ketenbrede E- overheid programma Digitaal Klantdossier en het interdepartmentale IT project P-Direct Nederlandse Overheid Referentie Architectuur (NORA) De NORA biedt een set van multilaterale afspraken (inrichtingsprincipes) voor het gehele publieke domein, met zijn vele honderden overheidsorganisaties. De inrichtingsprincipes hebben betrekking op diensten, werkprocessen, berichtformaat, gegevensdefinities, infrastructuur, privacy- en beveiligingsaspecten. Alleen door hierover gezamenlijk afspraken te maken, kan de dienstverlening aan burgers en bedrijven naadloos op elkaar gaan aansluiten. Door middel van 140 principes krijgen architecten, ICT-professionals, EDP-auditors en ICTprojectleiders handvatten voor de inrichting van de E-overheid. De inrichtingsprincipes en de daarbij behorende modellen dienen door hen omgezet te worden in concrete ontwerpen voor onderdelen van de E-overheid. Bestaande programma s, projecten, organisaties en voorzieningen voor de E-overheid kunnen de NORA gebruiken als middel om hun huidige situatie te toetsen. In handen van (EDP-) auditors biedt de NORA een referentiekader om te kunnen meten of de ontwikkelingen, inhoudelijk gezien, volgens het uitgestippelde beleid verlopen [NOR]. Eén hoofdstuk binnen NORA gaat over de beveiliging- en privacyaspecten die aandacht behoeven in het kader van samenwerkende overheidsorganisaties. Het hoofdstuk richt zich vooral op die zaken die de gangbare normenkaders en best practices overstijgen. Concrete beveiligingsmaatregelen worden niet genoemd, met uitzondering van enkele maatregelen die specifieke aandacht behoeven voor samenwerkende organisaties en elektronische dienstverlening. Vertrekpunt voor de nadere invulling van beveiliging en privacy is dat de individuele organisaties hun zaken al op orde hebben. Ze beheersen hun informatiebeveiliging en privacy goed en reageren slagvaardig en voorspelbaar op verstoringen in hun bedrijfsvoering. 15

16 Samenwerken in het algemeen en in de context van de elektronische overheid in het bijzonder, brengt een aantal aanvullende (keten)zaken met zich mee op het gebied van beheersing en informatiebeveiliging. Specifiek rondom de afstemming van informatiebeveiliging- en privacystelsels, governance van informatiebeveiliging en te gebruiken gemeenschappelijke normenkaders. Voor nadere uitwerking van deze aanvullende (keten)zaken verwijs ik naar bijlage 1. Conclusie Ik ben van mening dat een meerwaarde van NORA is het uitgangspunt dat een organisatie een bepaald niveau van beheersing (van informatiebeveiliging) heeft bereikt gemeten aan enkele inrichtingsprincipes alvorens deze op verantwoorde wijze te kan samenwerken aan de E- overheid. Door het benoemen van aanvullende zaken die samenwerken in het algemeen en in de context van de elektronische overheid in het bijzonder met zich mee brengen is een gemeenschappelijk referentiekader ontstaan waaraan IT-auditors kunnen meten of de privacy en beveiliging ontwikkelingen, volgens het uitgestippelde beleid verlopen. Ik zal in het volgende hoofdstuk deze theorie, waar mogelijk, toetsen aan de Suwinet audit Beschouwing Als ik de theorie van De Bruijn e.a. vergelijk met de theorie van Di Maio dan concludeer ik dat De Bruijn e.a. vooral een leidraad geven voor het opzetten van de wijze van samenwerking tussen auditors om een goede invulling aan ketenaudits te kunnen geven. Di Maio geeft een gemeenschappelijk referentiekader waaraan ketenbrede E-overheid programma s kunnen worden getoetst. De Bruijn e.a. gaan in op de opzet van een ketenaudit terwijl Di Maio een handvat tracht te geven voor de uitvoering van een ketenbrede audit op E-overheid programma s. Ditzelfde geldt voor de NORA. De NORA biedt een gemeenschappelijk referentiekader waaraan IT-auditors kunnen meten of de privacy- en beveiligings ontwikkelingen, inhoudelijk gezien binnen de E-overheid, volgens het uitgestippelde beleid verlopen. Echter de NORA is ontwikkeld voor en door architecten, concrete beveiligingsmaatregelen worden niet genoemd, met uitzondering van enkele maatregelen die specifieke aandacht behoeven voor samenwerkende organisaties en elektronische dienstverlening. Hierdoor biedt dit referentiekader voor IT auditors wel een houvast, maar geen vragen met bijbehorende normering bevat zoals Di Maio deze wel beschrijft. 3.2 Randvoorwaarden ketenaudit Doordat er verschillende partijen zijn betrokken bij de keten en de keteninformatisering is er behoefte aan inzicht in de beheersing van de gehele keten. Deze behoefte is aanwezig bij zowel de ketenpartners, de verantwoordelijke bewindvoerder, de politiek en het maatschappelijke verkeer. Het verschil tussen een ketenaudit en een reguliere audit is dat de resultaten in het algemeen breder beschikbaar worden gesteld dan een organisatiegerichte audit en daarmee meer openbaar van aard zijn. Verder zijn bij een ketenaudit de raakvlakken tussen verschillende ketenpartners van cruciaal belang. Wie audit deze tegen welke normen? Een ander aspect van ketenauditing is de vraag wie de ketenaudit gaat uitvoeren en wat de rol daarbij is van de verschillende ketenpartners. Er kan ervoor gekozen worden om één auditor alle schakels van een keten te laten beoordelen of er kan gebruik worden gemaakt van de auditors die al bij de verschillende organisaties werkzaam zijn. In beide gevallen gelden een 16

17 aantal randvoorwaarden. Ik ben van mening dat het voordeel van het uitvoeren van een ketenaudit door één auditor is dat deze het gehele object onderzoekt en er geen discussie is over raakvlakken. Ook wordt in dit geval automatisch hetzelfde toetsingskader gebruikt. Echter deze wijze van uitvoeren van een ketenaudit blijkt in de praktijk veelal niet haalbaar doordat eigen auditors van organisaties veelal ook al periodiek audits uitvoeren. Hierdoor is afstemming tussen de auditors van organisaties noodzakelijk. De NOREA als beroepsgroep voor IT auditors biedt hiervoor thans nog geen (toetsings)kaders, handreikingen of richtlijnen. Geïnterviewden uit de auditpraktijk geven aan dat dit misschien wel tot de mogelijkheden van de NOREA zou behoren, echter dat het volwassenheidsniveau van een keten wel van een dergelijk niveau moet zijn om dit ook op te kunnen leggen dan wel aan te kunnen reiken. Van belang hierbij is om te constateren of een keten wel een echte keten is met een gemeenschappelijk belang (zie theorie de Bruijn e.a.) of dat er sprake is van een beperkte of zelfs geen keten. De EDP-audit-Pool (Ministerie van Binnenlandse Zaken) heeft een aantal punten opgesteld waaraan bij ketenauditing aandacht kan worden geschonken. Het gaat om de volgende [EDP]: Opdrachtgever en doel van de opdracht; Medewerking van de ketenpartners; Bekostiging van de opdrachtuitvoering; Teamsamenstelling (deskundigheid teamleden); Opstellen gemeenschappelijk werkprogramma/ normenkader; Coördinatie auditteam (samenwerking, kennisuitwisseling, uniforme aanpak/weging); Gebruikmaking van resultaten uit onderzoeken door derden. Van der Meer voegt hier nog aan toe [MEE]: Een duidelijke rol van de auditdienst; Rekening houden met complicerende factoren; Een ketenbeheersing die zich richt op de keten als geheel; Een gesloten managementcyclus binnen de keten; Vertrouwde en hechte relaties tussen ketenpartners. Samengevat geeft Van der Meer aan dat het belangrijk is om duidelijk te krijgen welke partijen betrokken zijn bij een audit op een keten. Daarbij past dat afspraken zijn gemaakt over de wijze waarop binnen de keten verantwoording wordt afgelegd. Conclusie Mijn conclusie is dat een ketenaudit in de context van bestuurlijke verantwoordelijkheid toegevoegde waarde kan hebben mits aan een aantal noodzakelijke randvoorwaarden wordt voldaan. Van belang is dat er aandacht is voor de raakvlakken tussen ketenpartners en hoe deze geaudit worden tegen welke normen. Eenduidige afspraken tussen (keten)auditors en het gebruik van een uniform normenkader binnen de keten door verschillende auditors is cruciaal, waar mogelijk is hier een (toekomstige) rol voor de NOREA weggelegd. De combinatie van de drie behandelde theoretische kaders vormen samen een basis voor de aanpak van een ketenaudit. 17

18 4 Sociale zekerheid en ketenauditing In dit hoofdstuk geef ik antwoord op twee vragen: Hoe verhoudt de theorie zich met de praktijk? Wat zijn de problemen in de praktijk bij ketenaudits? 4.1 EDP-audit Beveiliging Suwinet In hoofdstuk 2 heb ik al de beveiliging van de gegevensuitwisseling als reguliere verantwoording aangehaald (Artikel 6.4 van de Regeling SUWI). In deze paragraaf wil ik nader ingaan op de (keten)auditaspecten die betrekking hebben op dit onderwerp Context Het Bureau Keteninformatisering Werk en Inkomen (BKWI), het Centrum voor Werk en Inkomen (CWI), de Stichting Inlichtingenbureau Gemeenten (IB), het Uitvoeringsinstituut Werknemersverzekeringen (UWV) en gemeenten wisselen persoonsgegevens met elkaar uit via Suwinet, een elektronische infrastructuur. Met de faciliteit Suwinet-Inkijk worden de gegevens op basis van sofi-nummers toegankelijk gemaakt voor bevoegde medewerkers. Het gaat om privacygevoelige gegevens over arbeidsverleden, loon, uitkeringen en opleiding van burgers die in aanmerking willen komen voor een uitkering. De organisaties hebben die gegevens nodig om het recht op een uitkering vast te kunnen stellen en de juiste dienstverlening te kunnen leveren. Suwinet normenkader Om de SUWI-keten effectief te laten functioneren moeten partijen erop kunnen vertrouwen dat hun gegevens door de partners in de SUWI-keten op een zorgvuldige en controleerbare wijze worden behandeld. De wetgever heeft bij de start van Suwinet in 2002 aangegeven dat gegevensbeveiliging noodzakelijk is. Voor alle Suwinet-partijen is dit met beveiligingsvoorschriften uitgewerkt in bijlage XIV van de regeling SUWI. De in de Regeling SUWI en Bijlage XIV genoemde afspraken en eisen zijn echter niet zodanig geformuleerd dat er operationeel een gelijkwaardig oordeel 1 uit kan voortvloeien. Daarom hebben de SUWI-partijen het initiatief genomen om gezamenlijk een gemeenschappelijke richtlijn en normenkader vast te stellen voor de inrichting van de beveiliging alsmede de jaarlijkse verantwoording daarover aan het Ministerie van Sociale Zaken en Werkgelegenheid, de Inspectie Werk & Inkomen en aan elkaar (via de Samenvattende Rapportage van het BKWI). Deze onder de verantwoordelijkheid van de Domeingroep Privacy & Beveiliging (DPB) opgestelde Verantwoordingsrichtlijn EDP-audit Suwinet [VER] gaat in op de wijze waarop de verplichte EDP-audit van de beveiliging van Suwinet vorm en inhoud moet worden gegeven. Naast een eenduidig inzicht maakt de voorgeschreven rapportagevorm het tevens mogelijk om op evenwichtige wijze het totaaloverzicht over de beveiliging van het Suwinet (Samenvattende Rapportage) samen te stellen. De Security Officer van het BKWI brengt in 1 Een gelijkwaardig oordeel houdt in dat de EDP-auditors zodanige normen en werkwijzen hanteren dat, rekening houdend met de specifieke situatie bij het object van onderzoek / de opdrachtgever, de uitkomsten leiden tot een gelijkluidend oordeel ongeacht de EDP-auditor die de audit heeft uitgevoerd. 18

19 overleg met de DPB jaarlijks de Samenvattende Rapportage uit aan de minister van SZW en IWI. IWI ziet namens de minister van SZW toe op de kwaliteit van de EDP-audits en het niveau van beveiliging. Voor verdere uitwerking van de vereisten aan het scope, reikwijdte en oordeel, alsmede de te bestekken kwaliteitscriteria verwijs ik naar bijlage 2. Implicatie recente ontwikkeling In hoofdstuk 2 en bijlage 2 is de recente wijzing van de Regeling SUWI vanaf verantwoordingsjaar 2008 voor de artikelen 5.22 en 6.4 besproken. De wijziging houdt in dat het management zichzelf over de uitvoering van de regeling verantwoordt en dat de IT-auditor over die verantwoording een verklaring van getrouwheid verstrekt. Vanuit de Inspectie Werk en Inkomen is aangegeven dat deze wijziging overeenkomsten heeft met opmerkingen die de inspectie eerder maakte naar aanleiding van het beoordelen van de jaarverslagen over voorgaande jaren. Dit vind ik dan ook positief omdat er in voorgaande jaren wel audits werden uitgevoerd op de betrouwbaarheid van de gegevensverwerking en gegevensuitwisseling via Suwinet op grond van de voornoemde artikelen 5.22 en 6.4, er werd echter niet door een IT-auditor beoordeeld wat het management / directie hier over verklaarde in de jaarverslagen. Dit terwijl de jaarverslagen juist de publiekelijk verspreide documenten zijn, waar de onderliggende IT-audit rapporten niet publiekelijk verspreid worden. De Inspectie heeft wel de kanttekening gemaakt dat bij een verklaring van getrouwheid het totaaloordeel van de IT-auditor vervalt over de mate waarin de gegevensverwerking en - uitwisseling aan de gestelde eisen voldoen. De situatie in voorgaande jaren was namelijk zo dat uit het niet voldoen aan bepaalde essentiële normen uit Suwinet normenkader automatisch een afkeurend oordeel volgde. In de nieuwe situatie wordt het Suwinet normenkader nog wel gebruikt, echter de IT-auditor is niet meer verplicht een oordeel te geven. De IT-auditor kan zich nu een eigen beeld vormen over die verantwoording van het management en een (positieve of negatieve) verklaring van getrouwheid verstrekken. Deze verklaring van getrouwheid is minder strak langs normen af te meten dan het oordeel dat automatisch terug te herleiden was naar het Suwinet normenkader. De inspectie beziet dan ook hoe deze recente ontwikkeling in de praktijk zal uitpakken en heeft hier evaluatiemomenten met het Ministerie van SZW voor afgesproken Theoretische toetsing: NORA (Privacy en Beveiliging paragraaf) aan Suwinet audit De NORA benoemt aanvullende zaken (zie hoofdstuk 3 en bijlage 1) die samenwerken in het algemeen en in de context van de elektronische overheid in het bijzonder met zich mee brengen op het gebied van privacy en beveiliging. Deze toets ik in deze paragraaf aan de hierboven besproken Suwinet audit. Principe NORA: De samenwerkende partijen richten gezamenlijk de governance in voor hun informatiebeveiliging, privacy en continuïteit van de (belangrijkste processen in de) bedrijfsvoering. Suwinet audit: De uitvoeringsorganisaties in de SUWI-keten en de gemeenten zijn primair verantwoordelijk voor hun eigen informatievoorziening, ICT en de uitwisseling met directe partners. De minister van SZW heeft de verantwoordelijkheid om die randvoorwaarden te scheppen die het voor de uitvoeringsorganisaties mogelijk maken hun taken en verantwoordelijkheden uit te voeren. Om afstemming binnen de keten goed 19

20 plaats te laten vinden is het Algemeen Ketenoverleg (AKO) in het leven geroepen. Het AKO bestaat uit vertegenwoordigers van CWI, Divosa, UWV en VNG en komt regelmatig bij elkaar. Het AKO heeft geen eigenstandige bestuurlijke bevoegdheden maar is vooral een afstemmend orgaan dat zich richt op coördinatie van activiteiten in ketenverband. Tweemaal per jaar vindt er een overleg plaats tussen het AKO en de staatssecretaris van SZW. In dit overleg worden de doelstellingen en ambities van de keten (het ketenprogramma) vastgesteld en worden de behaalde resultaten besproken. Er zijn binnen de SUWI-keten domeingroepen ingesteld. Een domeingroep is een expertiseplatform binnen de SUWI-keten, waarin diverse personen vanuit organisaties binnen de keten plaatsnemen. Een domeingroep heeft een adviserende en toetsende rol. De domeingroepen die zich met ICT bezig houden zijn: Architectuur (DA), Gegevens & Berichten (DGB), Privacy & Beveiliging (DPB) en ICT Beheer (DIB). DPB coördineert de afstemming rondom het gemeenschappelijk beveiligingsniveau van de keten. Ook wordt door materiedeskundigen ingegaan op nieuwe ontwikkelingen binnen de SUWIketen. Binnen het Suwinet Normenkader wordt meermaals verwezen naar de Keten SLA Suwinet [SUW]. Hier zijn ketenbrede afspraken gemaakt die gelden voor alle aangesloten partijen op het Suwinet over zowel de performance als het beheer van Suwinet. Verder zijn er ook afspraken opgenomen over de logging van het gebruik van Suwinet, over beveiliging en over de stappen die genomen kunnen worden zodra een van de partijen de gemaakte afspraken niet kan realiseren. Bovendien is aangegeven hoe alles wordt gemonitord. BKWI verzorgt iedere maand een managementrapportage voor de ketenpartners. Hierin staat in hoeverre aan de afspraken en normen is voldaan zoals deze zijn vastgelegd in de Keten SLA Suwinet. Echter in de scope van de Suwinet audit worden om politiek bestuurlijke redenen niet alle partijen meegenomen die zijn aangesloten op het Suwinet zoals gemeenten. Principe NORA: Alle organisaties in de E-overheid dragen bij en maken gebruik van een te ontwikkelen gemeenschappelijk normenkader. Suwinet audit: De SUWI-partijen hebben het initiatief genomen om gezamenlijk een gemeenschappelijke richtlijn en normenkader vast te stellen voor de inrichting van de beveiliging (Verantwoordingsrichtlijn EDP-audit Suwinet) alsmede de jaarlijkse verantwoording daarover aan het Ministerie van Sociale Zaken en Werkgelegenheid, de Inspectie Werk & Inkomen en naar elkaar (via de Samenvattende Rapportage van het BKWI). Uit de volgende publicaties is een selectie gemaakt van normen die het voor het Suwinet noodzakelijke beveiligingsniveau het best tot uitdrukking brengen: o Code voor Informatiebeveiliging en studierapport AV23 van het CBP; o CobiT van het IT Governance Institute; o IT Infrastructure Library (ITIL); o Basisnormen Beveiliging en Beheer ICT-infrastructuur van het Platform Informatiebeveiliging. Principe NORA: E-overheidsorganisaties zorgen voor een uniforme en betrouwbare wijze waarmee burgers en bedrijven zaken met haar kunnen doen. Suwinet audit: 20