Het Adviescollege ICT (AcICT) vindt dat veel topambtenaren, overheidsbestuurders en -directeuren te weinig aandacht hebben voor digitale veiligheid. Ook beheer en onderhoud zijn vaak een ondergeschoven kindje. De opdrachtgeversrol komt mede door kennisgebrek geregeld onvoldoende uit de verf. Politieke leiders schieten hier eveneens tekort.
Het onafhankelijk adviesorgaan stuitte tijdens de twintig onderzoeken die vorig jaar zijn uitgevoerd naar ict-projecten binnen de overheid telkens op dezelfde manco’s. Hoge functionarissen nemen hun eindverantwoordelijkheid op ict-gebied onvoldoende serieus. Ze besteden te weinig structurele aandacht aan essentiële onderwerpen zoals security en onderhoud. Dat vergroot de risico’s bij zowel de ontwikkeling als het beheer van ict.
Neem bestuurlijk leiderschap serieus en neem verantwoordelijkheid, maant het Adviescollege ICT in het jaarverslag 2025. Het AcICT wijst op de noodzaak om beter te sturen op digitale veiligheid. Security binnen overheden is geen technisch vraagstuk, maar vraagt strategische aandacht op het hoogste bestuurlijke niveau. Het aantal beveiligingsincidenten neemt toe, terwijl de basisbeveiliging vaak nog niet op orde is, met verstrekkende gevolgen. Uit de onderzoeken blijkt dat beveiligingsrisico’s regelmatig worden onderschat. Bestuurders hebben hier te weinig aandacht voor, terwijl de beschikbare inhoudelijke kennis ‘niet altijd toereikend’ is.
Het AcICT doet de volgende aanbevelingen:
- Zorg dat strategische beveiligingseisen concreet, toepasbaar en toetsbaar zijn en zie toe op naleving;
- Richt risicobeheersing van informatiesystemen in met zowel preventieve als reactieve maatregelen en herijk dit regelmatig;
- Bespreek resultaten van risicobeheersing en incidentanalyses periodiek met eindverantwoordelijken;
- Maak een bewuste afweging over het al dan niet accepteren van resterende risico’s.
Beheer en onderhoud
Naast security blijven ook beheer en onderhoud van bestaande systemen een zwak punt. Te vaak ziet het Adviescollege dat in projecten geen realistische reservering voor beheer en onderhoud wordt gemaakt. Op bestuursniveau wordt onvoldoende budget vrijgemaakt. Daardoor ontbreken in de beheerfase de middelen om ict-problemen te voorkomen. Noodzakelijk onderhoud en doorontwikkeling blijven achter, waardoor problematische legacy ontstaat.
Ook op dit punt doet het AcICT aanbevelingen:
- Investeer gedurende de volledige levensduur in systemen en houd ict zowel functioneel als technisch actueel;
- Plan updates tijdig, voer preventief onderhoud uit en verwerk wijzigingen op verzoek van gebruikers, zodat systemen bruikbaar en veilig blijven;
- Zorg voor structurele financiering voor toekomstvast onderhoud en beoordeel de fitheid van applicaties en landschap continu;
- Houd al in de projectfase rekening met beheer en onderhoud en borg de benodigde reservering.
Rol overheid
Ook de rol van de overheid als opdrachtgever moet sterker, zeker wanneer het Rijk met andere overheden samenwerkt. Vaak ontbreekt een duidelijke en actieve opdrachtgeversrol. Dit belemmert sturing op resultaten, kwaliteit en risico’s en leidt tot vage verantwoordelijkheden, moeizame samenwerking en onvoldoende grip op veiligheid en kwaliteit.
Het AcICT doet ook hier aanbevelingen:
- Zorg voor sterke regievoering. Projecten lopen vast wanneer opdrachtgevers te veel leunen op uitvoering en onvoldoende concrete, meetbare eisen stellen;
- Richt een heldere rolverdeling in tussen opdrachtgever en opdrachtnemer en gebruik passende stuur- en verantwoordingsinformatie. Wanneer een opdrachtgever op de stoel van de opdrachtnemer gaat zitten door oplossingen voor te schrijven in plaats van te sturen op het ‘wat’, ontstaat wrijving en vertraging. Deze rolvastheid is gedurende de gehele levensduur nodig, zowel in project- als beheerfase;
- Richt adequaat portfoliomanagement in om capaciteit en middelen goed te verdelen over beheer en vernieuwing.
Het is overigens niet alleen kommer en kwel rond ict-projecten binnen de Rijksoverheid. Het Adviescollege ziet ook positieve ontwikkelingen, zoals een meer resultaatgerichte en gedisciplineerde aanpak, met focus op kleine stappen en direct bruikbare resultaten.

Na twintig onderzoeken zijn ze eruit: overheidsbestuurders gedragen zich als ambtenaren 😉
Een advies bureau dat adviseert verantwoordelijkheid te nemen ..
Waarom je daar nou naar zou luisteren is me een raadsel.
Je zou ook de overheid kunnen verwijten dat ze de adviezen niet dwingender maken.
Als je tientallen jaren ziet dat ICT bij overheid faalt, zou je iets anders kunnen proberen dan op meer verantwoording wijzen via een adviescollege.
De overheid die zelf blaffende waakhond instelt die niet bijt.
Over regie gesproken.
Hoe kun je trouwens verantwoordelijkheid nemen als je geen kennis hebt ?
Ben je ook verantwoordelijk voor je kennis ?
Had je daar daarvoor niet juist al die adviesbureaus voor?
Volgens AcICT zou sterke regievoering zich moeten richten op concrete meetbare eisen.
En hoe bepaal je de redelijkheid daarvan als je geen kennis hebt ?
“Houd al in de projectfase rekening met beheer en onderhoud en borg de benodigde reservering.”
klinkt als een budgetcoach voor armlastig gezin : houdt wat in reserve want de wasmachine kan zomaar ineens stuk gaan.
De ambtenarij heeft al de grootste moeite om überhaupt iets op te leveren wat werkt, laat staan dat ze ook nog eens moeten nadenken over security en onderhoud.
Ik ben van mening dat veel ambtenaren opzettelijk ICT implementaties lopen te saboteren om hun eigen koninkrijkjes in stand te houden. Halverwege de implementatie eisen ze plots dat het 180 graden omgedraaid wordt en gaan stennis lopen maken als ze niet hun zin krijgen. De aannemer is in alle staten omdat hij dan geen winst meer kan maken.
Vanwege de vergadercultuur bij de overheid is de beste oplossing om het aantal ambtenaren *fors* te verminderen om zo sneller te kunnen schakelen.
Ook dit kabinet heeft (zoals veel vorige kabinetten) de ambitie om het aantal (leidinggevende) ambtenaren te verkleinen maar als ze niet iets dappers doen, zoals het compleet opheffen van ministeries, zie ik het niet gebeuren. Het wordt weer kaasschaven met een ambtenaartje hier of daar weg terwijl er via de achterdeur duizenden binnenkomen. Net als bij asiel en migratie lijkt het erop of niemand hier grip op heeft.