Overheid laat ICT-systemen verouderen door gebrek aan beheer
Het Adviescollege ICT-toetsing (AcICT) heeft haar Jaarrapportage 2025 officieel aangeboden aan staatssecretaris Aerdts van Digitale Economie en Soevereiniteit. Hoewel het college in het afgelopen jaar een recordaantal van twintig adviezen uitbracht en positieve ontwikkelingen ziet in de projectbeheersing, is de overkoepelende conclusie scherp: topbestuurders, directeuren en politiek leiders binnen de overheid tonen te weinig structurele aandacht voor kritieke ICT-vraagstukken. Het college roept op tot het direct en dwingend invullen van de bestuurlijke verantwoordelijkheid.
Volgens het college worden de risico’s bij zowel de ontwikkeling als het beheer van overheids-ICT vergroot doordat eindverantwoordelijken wegkijken van drie essentiële, risicovolle onderwerpen: digitale veiligheid, de volledige levenscyclus van systemen en de invulling van de opdrachtgeversrol, zo meldt de Jaarrapportage 2025.
Stuur op digitale veiligheid (Geen technisch feestje)
Digitale veiligheid is volgens het AcICT geen IT-vraagstuk dat onderin de organisatie kan worden weggeschoven, maar vraagt om strategische sturing op het allerhoogste niveau. Terwijl het aantal beveiligingsincidenten stijgt, is de basisbeveiliging bij veel overheidsorganisaties nog altijd niet op orde.
In de praktijk ziet het college dat risico's stelselmatig worden onderschat en dat het bestuurlijk aan de nodige IT-kennis ontbreekt. Gevaren ontstaan niet alleen door de toenemende dreiging van statelijke en criminele actoren, maar juist ook van binnenuit: door onvoldoende eigenaarschap van kritieke systemen, een te grote afhankelijkheid van leveranciers en het gebruik van verouderde, slecht onderhouden software (problematische legacy). Het AcICT adviseert bestuurders om concrete, toetsbare beveiligingseisen te stellen, risicoanalyses structureel te bespreken en bewust te kiezen welke restrisico’s zij wel of niet accepteren.
Investeer gedurende de hele levensduur (Stop de focus op de 'go-live')
Een ander hardnekkig pijnpunt is het gebrek aan structurele investeringen in het beheer en onderhoud van bestaande informatiesystemen. "Goed onderhouden systemen waarborgen de continuïteit, betrouwbaarheid en veiligheid van de dienstverlening aan burgers en bedrijven", schrijft voorzitter Adri de Bruijn in het voorwoord. Toch ziet het college dat er op bestuursniveau te weinig budget wordt toegekend voor de beheerfase.
Vaak wordt er bij de start van een nieuw project geen realistische financiële reservering gemaakt voor de jaren die vólgen op de ingebruikname. Hierdoor blijven noodzakelijk onderhoud en proactieve updates achter, waardoor systemen op den duur dreigen om te vallen en de overheid vastloopt bij het invoeren van nieuw beleid. Het college heeft in 2025 een specifiek 'toetskader Beheer en Onderhoud' gepubliceerd, maar merkt op dat er vanuit overheidsinstanties nog veel te weinig aanmeldingen zijn voor onderzoeken op dit cruciale terrein.
Verstevig de opdrachtgeversrol
De Rijksoverheid werkt op ICT-gebied intensief samen met interne en externe overheidsorganisaties, maar de rol van actieve en duidelijke opdrachtgever wordt nog te vaak verwaarloosd. Dit leidt tot vage verantwoordelijkheden, stroeve samenwerkingen en een gebrek aan grip op de kwaliteit en veiligheid van het eindproduct.
Projecten lopen volgens het rapport voornamelijk vast omdat opdrachtgevers blind leunen op de uitvoerende partij en zelf geen concrete, meetbare eisen formuleren. Tegelijkertijd waarschuwt het college voor de omgekeerde situatie: wanneer een opdrachtgever op de stoel van de techneut gaat zitten en specifieke oplossingen gaat voorschrijven in plaats van te sturen op de behoefte ('het wat'), ontstaat er direct vertraging en frictie. Een professionele, rolvaste regie en adequaat portfoliomanagement zijn vereist om de capaciteit tussen beheer en vernieuwing goed te verdelen.
Een mijlpaal met een schaduwrand
Het jaar 2025 markeerde een operationele mijlpaal voor het AcICT: voor het eerst werden er twintig onderzoeken in één jaar tijd afgerond. Deze adviezen hadden betrekking op projecten met een gezamenlijk begroot ICT-budget van meer dan 1,1 miljard euro.
Hoewel bewindspersonen in het overgrote deel van de gevallen netjes aangeven de adviezen van het college over te nemen, plaatst het AcICT hier een kritische kanttekening bij. De bestuurlijke reacties zijn in de praktijk vaak erg vaag en weinig specifiek. Er wordt wel gezegd dat een advies wordt opgevolgd, maar hoe en binnen welk tijdsbestek blijft onduidelijk. Dit maakt het voor de Eerste en Tweede Kamer, evenals voor interne CIO-offices, nagenoeg onmogelijk om effectief toezicht te houden op de daadwerkelijke verbeteringen. In slechts één geval werd een advies expliciet niet overgenomen: dit betrof het Project Herbouw Digipoort bij Logius (Ministerie van Binnenlandse Zaken en Koninkrijksrelaties).