De I-strategie voor het Rijk omvat maatregelen om de IT-voorzieningen te bundelen, te komen tot één IT-beveiligingsfunctie en de standaard IT-werkplek rijksbreed in te voeren. Minister Donner van BZK heeft de I-strategie aan de Tweede Kamer gezonden. Met de Informatisering (I-)strategie voor het Rijk wil het kabinet de IT van de rijksoverheid verbeteren. Behalve bundeling en standaardisatie zal ook de beheersing van grote IT-projecten verder worden versterkt. Daarnaast komt er meer aandacht voor het vergroten van IT-kennis bij management en medewerkers en hergebruik gaat voor het zelf ontwikkelen van nieuwe voorzieningen of systemen.
De I-strategie moet een einde maken aan de verbrokkelde IT-infrastructuur van het Rijk. Daarvoor in de plaats komt een samenhangende rijksbrede informatie-infrastructuur, die ook gebruik maakt van cloud-technologie. Met de marktpartijen wordt een convenant afgesloten om de samenwerking tussen overheid en marktpartijen te optimaliseren. De informatiseringstrategie is nauw verbonden met het programma Compacte Rijksdienst, dat tot doel heeft de bedrijfsvoering van het Rijk goedkoper en efficiënter te maken.
Of, zoals in de brief zelf wordt aangegeven:
‘De I-strategie is er, als uitwerking van het programma Compacte Rijksdienst, op gericht de onnodige verscheidenheid in de ICT-infrastructuur en de informatiehuishouding van het Rijk te bestrijden en de besturing te verbeteren. Waar bijvoorbeeld het project Digitale Werkomgeving Rijk (DWR) tot standaardisatie leidt van de werkplekinrichting, bestaan er anderzijds nog grote verschillen tussen de ministeries ten aanzien van het omgaan met ICT-beveiliging en de toegang tot gegevens, het aanschaffen van software, de digitalisering van de papierstroom, identitymanagement, en het inrichten en gebruiken van datacenters. Met de I-strategie wordt beoogd een rijksbrede informatie-infrastructuur (I-infrastructuur) te ontwikkelen. Deze I-infrastructuur omvat de ICT-infrastructuur, de informatiehuishouding en de besturing daarvan. Het gaat daarbij om generieke kaders, diensten en producten die, in het kader van standaardisatie en hergebruik, beschikbaar worden gesteld aan alle organisaties binnen de rijksdienst. Wanneer een onderdeel van het Rijk de functionaliteit van een bestaande generieke dienst of voorziening nodig heeft is het niet toegestaan daarvoor een alternatief in te richten. Voorbeelden zijn de werkplekfunctionaliteit, beveiligingsvoorschriften en –voorzieningen, toegang tot netwerken, de Berichtenbox en het e-depot voor digitale archivering’.
Grote IT-projecten van het Rijk moeten voortaan aan eisen van privacybescherming voldoen. Er worden risicoprofielen van projecten opgesteld en er komt een functionaris gegevensbescherming. Naar aanleiding van de incidenten waarbij overheden privacygevoelige gegevens lekten en het Diginotar-verhaal heeft Donner besloten de beheersing van grote IT-projecten uit te breiden met maatregelen om privacy te beschermen.
In projectplannen wordt voortaan opgenomen of er sprake is van het opnemen van privacygevoelige gegevens en koppelingen of verrijking ervan. Als dat het geval is, moet een risicoprofiel worden opgesteld. Als er vervolgens sprake is van een project met een hoog risico, wordt het project betrokken bij de jaarlijkse rapportage aan de Tweede Kamer.
IT-projecten worden vooraf ter beoordeling bekeken door de CIO van het betreffende ministerie. Als er privacygevoelige gegevens betrokken zijn, moet de CIO advies vragen aan de Functionaris gegevensbescherming, die bij elk ministerie is of wordt aangesteld. Die functionaris moet toezicht houden op de toepassing en naleving van de Wet bescherming persoonsgegevens.
Als tijdens een IT-project wijzigingen in een systeem worden aangebracht die gevolgen hebben voor het gebruik van privacygevoelige gegevens, moet dat gemeld worden aan de departementale CIO. Die beslist daar verder over. ‘Met deze uitbreiding van eisen wordt het zorgvuldig gebruik van privacygevoelige gegevens bevorderd’, schrijft Donner.
De netwerkbeveiliging wordt verbeterd door het aantal internetkoppelingen van de Rijksdienst terug te brengen tot één Rijksinternetkoppeling. Dat moet het beheer vereenvoudigen en de veiligheid vergroten. Verder zegt Donner het bewustzijn van de ambtenaren over veiligheidsrisico’s te vergroten.
‘Het kabinet hecht er aan dat de burger vertrouwen kan hebben in de wijze waarop het Rijk omgaat met de opslag en het gebruik van digitale gegevensbestanden. De rijksoverheid is er voor verantwoordelijk dat informatie die wordt gebruikt betrouwbaar is, en dat gegevens die van derden worden ontvangen zorgvuldig en rechtmatig worden gebruikt. Om dit te bewerkstelligen, dient permanent te worden geïnvesteerd in de weerbaarheid van de rijksoverheid tegen (on)opzettelijke inbreuken, in het vergroten van het herstelvermogen bij onverhoopt geslaagde inbreuken en in processen ten aanzien van het omgaan met privacygevoelige gegevens’.
En, tot slot:
‘Het kabinet verwacht met de hier gepresenteerde I-strategie een I-infrastructuur te kunnen realiseren waarmee flexibel kan worden ingespeeld op nieuwe ontwikkelingen, die leidt tot kostenverlaging, en die de interdepartementale samenwerking efficiënter maakt. Met deze I-strategie ontvouwt het kabinet een belangrijke drager voor het programma Compacte Rijksdienst, en wordt duurzaam geïnvesteerd in de professionaliteit, de slagvaardigheid en de efficiency van de rijksoverheid’.