Kosten die vijf keer hoger uitvallen dan het oorspronkelijk geraamde bedrag. Schending van de AVG door medische gegevens te verwerken met verouderde systemen (Windows XP en Oracle-database versie 9). Een voormalig-ict-manager die via tv-programma Zembla de zaak aan de kaak stelt doordat een klokkenluidersregeling ontbreekt. Minister Cora van Nieuwenhuizen schetst in een Kamerbrief een onthutsend beeld van een opeenstapeling van fouten rondom een grootschalig ict-project bij CBR. Hoe kon het zo fout lopen?
Aan de hand van haar Kamerbrief nemen we een voorschot op de uitkomsten van een onderzoek dat de minister heeft aangekondigd.
Hoe verliep de kostenontwikkeling van het project?
Oorspronkelijk werden de kosten van het programma Rijgeschiktheid aan het Stuur (zie kader) geraamd op zeven miljoen euro. In juli 2016 bedroeg de totale prognose 13,3 miljoen euro. Bij de eerste melding op het Rijks ICT-dashboard, een overzicht van grote ict-projecten binnen het rijk, werd 23,7 miljoen euro vermeld. CBR schat de programmakosten van het project dat eind 2019 moet zijn afgerond op 34,2 miljoen euro. Daar moet een reorganisatievoorziening van 4,6 miljoen euro nog bij worden opgeteld.
Waardoor liepen de kosten zo uit de hand?
Van Nieuwenhuizen schrijft over de eerste kostenverhoging (van zeven naar 13,3 miljoen) dat die op basis van de nadere detaillering van de processen, de inschatting van de benodigde tijd voor de bouw van het systeem en op basis van de uitgevoerde functiepuntenanalyse van de aanbesteding is bijgesteld.
Ze vervolgt: ‘Bij de start van de bouwfase bleek na korte tijd (ongeveer een kwartaal) dat de bouw van het systeem langer zou gaan duren en daardoor significant meer zou gaan kosten dan gedacht. Als gevolg daarvan heeft het CBR de raming bijgesteld.’
Lag er dan geen contract met een vaste aanneemsom (fixed price)?
Nee, zo blijkt. ‘Doordat sprake is van een ontwikkelcontract (een zogenoemd time and material contract) in plaats van een contract met een vaste aanneemsom (fixed price ) ligt het risico voor kostenoverschrijdingen bij de opdrachtgever (het CBR)’, aldus de minister. Bij de eerste melding op het Rijks ICT-dashboard in april 2017 was de totale programmakostenprognose van het CBR 23,7 miljoen euro. Verderop in de brief noemt ze de prognose van 34,2 miljoen plus 4,6 miljoen reorganisatiekosten.
Was van begin af aan de scope duidelijk?
Nee. Volgens de minister is de kostenstijging veroorzaakt doordat er pas gaandeweg volledig inzicht kwam in de reikwijdte van het programma. ‘Ook zijn gaandeweg de inzichten gewijzigd over de te hanteren projectaanpak en ontwikkelmethodiek en heeft zich een aantal tegenvallers voorgedaan tijdens de bouw van het systeem, zoals de inschatting van de benodigde tijd om de gevraagde systeemfunctionaliteit op te leveren’, schrijft ze.
Ze concludeert dat bij het ict-programma vooraf onvoldoende duidelijk was wat er precies nodig was, welke aanpak tot het beste resultaat zou leiden en hoeveel dit zou gaan kosten.
Ze kondigt een onderzoek aan om helder te krijgen wat er is gebeurd en daarvan te leren. Dat moet voor de zomer van 2020 zijn afgerond door een externe partij en leidt dus tot extra kosten.
Wat is er nu eigenlijk opgeleverd en werkt dat systeem naar behoren?
‘In april 2019 nam het CBR 75 procent van de besluiten met het nieuwe systeem. Het CBR heeft mij gemeld dat er de komende maanden een stapsgewijze verdere uitrol van het systeem zal plaatsvinden’, schrijft de minister. Het CBR verwacht volgens haar dat rond de zomer van 2019 alle nieuwe aanvragen ‘Medisch’ worden behandeld in het nieuwe systeem, gevolgd door het operationaliseren van het proces ‘Mededelingen’ (het afhandelen van mededelingen van politie en justitie) in het najaar van 2019. ‘Op dat moment zal deze noodzakelijke investering voor de verbetering van het klantproces, het verkorten van de doorlooptijden en de ontwikkeling van de divisie Rijgeschiktheid om kostendekkend te gaan werken, volledig operationeel zijn’, schrijft ze.
Volgens de uitzending van Zembla waren er problemen met privacy en de veiligheid van klantgegevens. Hoe zit dat?
De minister meldde eerder al aan de Kamer dat CBR nog niet voldoet aan de AVG (Algemene Verordening Gegevensbescherming). Volgens de minister is er inmiddels een plan opgesteld om eind 2019 aan die AVG te voldoen.
Over de inzet van het niet langer ondersteunde Windows XP en de verouderde opslaginfrastructuur Oracle-database versie 9, meldt de minister dat dit op ‘beperkte schaal’ en in ‘een veilige afgesloten omgeving gebeurt’, tot het moment dat het nieuwe systeem volledig operationeel is. Om beveiligingsrisico’s van buitenaf zoveel mogelijk uit te sluiten treft het CBR technische beveiligingsmaatregelen. Eind 2019 moeten de systemen zijn uitgefaseerd. Volgens CBR zijn de systemen veilig, maar de minister laat door een externe partij onderzoeken of dat zo is.
Van Nieuwenhuizen: ‘Ik vind het zeer belangrijk dat de relevante technische maatregelen zijn getroffen om de risico’s op het lekken van medische en andere klantgegevens tot een absoluut minimum te beperken. Daarom heb ik, naar aanleiding van de Zembla-uitzending, het CBR gevraagd om een externe partij een second opinion te laten geven op de bovengenoemde technische beveiligingsmaatregelen om ongewenste toegang van buitenaf te voorkomen.’
De ict-problemen zijn aan het licht gekomen nadat een voormalig ict-manager in een uitzending van Zembla een boekje open deed over de problemen. Waarom meldde hij dat in de media?
De minister schrijft dat bij het CBR is gevraagd naar de omstandigheden rond het vertrek van de voormalige ict-manager die in de Zembla-uitzending aan het woord kwam. Van Nieuwenhuizen: ‘In de uitzending werd de voormalig ict-manager gepresenteerd als klokkenluider en werd gemeld dat hij vanwege vermeende malversaties moest vertrekken bij het CBR. Het betrof een extern ingehuurde medewerker, voor wie ook de klokkenluidersregeling geldt. Het CBR heeft geen melding van betrokkene gekregen in het kader van de klokkenluidersregeling.’
Ze zegt dat ze verder niet op die zaak in kan gaan omdat het om de privacy van een individu gaat.
In algemene zin vindt Van Nieuwenhuizen het belangrijk dat er ruimte is voor medewerkers om misstanden te kunnen melden. Daarom heeft ze bij het CBR het belang benadrukt van een goede klokkenluidersregeling.
Rijksgeschiktheid aan het Stuur
Rijgeschiktheid aan het Stuur is een veelomvattend verandertraject waarmee alle medewerkers van die divisie te maken krijgen. Doel is om tot een gestroomlijnde verstrekking van de Verklaring van Geschiktheid aan rijbewijshouders te komen en op die manier bij te dragen aan de verkeersveiligheid op de weg.
De divisie Rijgeschiktheid van het CBR is verantwoordelijk voor de verstrekking van de Verklaring van Geschiktheid aan rijbewijshouders. Binnen het programma Rijgeschiktheid aan het Stuur worden nieuwe werkprocessen en nieuwe ondersteunende ict-systemen ontworpen. Doel is om een zo optimaal en effectief mogelijke bijdrage te leveren aan de verkeersveiligheid op de weg. Bij het project zijn meerdere leveranciers betrokken.