Adviescollege ICT-toetsing: Miljoenenproject IT-outsourcing SVB is riskant
De Sociale Verzekeringsbank (SVB) moet pas op de plaats maken bij de grootschalige aanbesteding van haar IT-infrastructuur. Hoewel de bank grote ambities heeft, waarschuwt het Adviescollege ICT-toetsing (AcICT) in een recent advies dat de huidige aanpak waarschijnlijk slechts tot beperkte verbeteringen zal leiden. Er is onvoldoende grip op de risico's van één centrale leverancier en een duidelijke toekomstvisie ontbreekt.
De SVB, verantwoordelijk voor de uitbetaling van onder meer de AOW en kinderbijslag aan 5,6 miljoen burgers, zit in een lastig parket. De huidige contractgrenzen met IT-dienstverlener Atos zijn bereikt, terwijl die partij bovendien in financieel zwaar weer verkeert. Om de continuïteit te waarborgen, wil de SVB haar volledige IT-infrastructuur – inclusief het complexe mainframe en de eigen datacenters – onderbrengen bij één nieuwe partner.
Alles op één kaart
Het college zet grote vraagtekens bij de keuze om alle eieren in één mandje te leggen. Hoewel een contract met één leverancier voordelen kan bieden, ontbreekt bij de SVB een integraal overzicht van de zogeheten 'concentratierisico’s'."De concentratierisico's, zoals vendor lock-in, onderbreking van de dienstverlening en verlies van eigen kennis, zijn niet gestructureerd uitgewerkt," aldus het AcICT.
Het rapport wijst erop dat geleerde lessen uit de eerdere onzekere situatie rondom Atos niet aantoonbaar zijn geborgd. Hierdoor loopt de SVB het gevaar opnieuw in een afhankelijke positie te belanden zonder dat de risico's worden beheerst.
Kompas ontbreekt
Naast de risico's bij de leverancier, kampt de SVB volgens de toezichthouder met een gebrek aan interne richting. Er is geen 'gezamenlijk kompas' in de vorm van een doelarchitectuur. Hierdoor is het onduidelijk hoe de bank toekomstige technieken, zoals de overstap naar de publieke cloud, wil gaan inzetten.
Zonder dit toekomstbeeld is de kans groot dat de nieuwe infrastructuur niet aansluit bij de ambities voor digitalisering, of dat de SVB gaat betalen voor diensten die zij eigenlijk niet nodig heeft.
Regie op orde brengen
De kritiek beperkt zich niet tot de techniek; ook de zakelijke sturing laat te wensen over. De huidige businesscase is volgens het college "niet bruikbaar als sturingsmiddel" omdat concrete, meetbare doelen (SMART) ontbreken. De SVB stelt zich bovendien te afwachtend op tegenover de markt en rekent te veel op de kennis van de toekomstige leverancier om de vernieuwing vorm te geven.
Het college adviseert de SVB om de tijd te nemen voordat de dialoogfase met marktpartijen start. De belangrijkste aanbevelingen zijn:
Beheers de concentratierisico's: Breng de gevaren van één leverancier in kaart en bepaal welke risico's acceptabel zijn.
Ontwerp een road-map: Zorg voor een gedeeld beeld van het ICT-landschap voor de komende vier jaar.
Versterk de eigen regie: Maak de businesscase concreet en zorg voor voldoende eigen kennis om de leverancier aan te sturen.
Miljoenenproject
Het project 'Sourcing IT-infrastructuur SVB' heeft een geraamd budget van 17,6 miljoen euro. De totale contractwaarde voor de komende 15 jaar wordt geschat op maar liefst 300 miljoen euro. De beoogde datum voor het nieuwe contract is november 2026, waarna de volledige transitie in de zomer van 2028 afgerond moet zijn.
Meer over Overheid
Over Witold Kepinski
