Opdrachtgevers zijn in grote lijnen tevreden over de dienstverlening van de Justitiële Informatiedienst (Justid). Hoewel er geen grote storingen, ziet het Adviescollege ICT-toetsing (AcICT) wel enkele urgente problemen bij het beheer en onderhoud van de informatiesystemen.
In de toekomst kunnen die tot verstoringen leiden, zo blijkt uit het AcICT-advies dat deze week naar de Tweede Kamer is gestuurd. Noodzakelijke verbeteringen komen niet goed van de grond en de besluitvorming over beheer en onderhoud is niet slagvaardig. Ook is de financiering van Justid niet zeker.
Justid telt 26 opdrachtgevers uit de wereld van justitie en veiligheid maar ook enkele daarbuiten. Sinds ruim twee jaar heeft de organisatie voor beheer en onderhoud de status van een agentschap. Voornaamste kritiek van AcICT is dat Justid onvolwassen trekjes kent.
Garanderen
Professioneel beheer en onderhoud omvat het systematisch verbeteren van de organisatie, de processen en tools om de kwaliteit van de dienstverlening blijvend te garanderen. Justid start weliswaar veel verbeterinitiatieven, maar deze komen niet goed van de grond. Verder mist AcICT voldoende samenhang tussen deze initiatieven tot verbetering. Daardoor bestaat het risico dat er straks vergelijkbare procesbeschrijvingen en richtlijnen naast elkaar bestaan. Overlappende initiatieven zorgen voor dubbel werk en onduidelijkheid.
Bovendien is de aansturing van deze initiatieven tot verbetering onvoldoende waardoor resultaten uitblijven. Zo is de sturing gebrekkig op de projecten die zijn gestart na een kritisch Red Teaming-rapport van begin 2021. Toen werden meerdere hoog risico kwetsbaarheden gesignaleerd met impact op informatiebeveiliging. AcICT vindt het zorgelijk dat de mate waarin deze inmiddels zijn gereduceerd, niet inzichtelijk is. Het college vond bijna drie jaar na dato nog meerdere kwetsbaarheden.
Volgens AcICT lijkt de noodzaak tot verbetering niet breed in de organisatie gedragen te worden. Er zijn weliswaar beschrijvingen van werkprocessen, maar deze worden in de praktijk niet altijd toegepast. Ook ondersteunende administraties zoals een Configuratie Management Database (CMDB) of een Governance Risk en Compliance-tool zijn onvoldoende gevuld. AcICT: ‘Wij hebben gemerkt dat de teams weinig urgentie voelen als het gaat om potentiële beveiligingsincidenten.’
