Report meeting Commissie voor Binnenlands Bestuur, Gelijke Kansen en Inburgering

– Wegens de coronamaatregelen werd deze vraag om uitleg via videoconferentie behandeld.

De heer De Roo heeft het woord.

Minister, ik had mijn vraag ook ingediend bij de minister-president, maar ze is naar deze commissie doorverwezen. Bedankt dat ik in deze commissie te gast mag zijn.

Vorige maand maakte Audit Vlaanderen zijn ondernemingsplan 2021 bekend. Dat bouwt verder op het meerjarenondernemingsplan 2020-2024 en bevat heel wat initiatieven die dit jaar zullen worden ontplooid, onder andere op het vlak van de versterking van het organisatie- en risicobeheer binnen de Vlaamse administratie, het optimaliseren van de afstemming tussen de verschillende auditactoren, de ondersteuning van initiatieven ter bevordering van cyberveilige steden en gemeenten enzovoort. Stuk voor stuk gaat het hier om belangrijke initiatieven en doelstellingen.

Tegelijkertijd bevat het ondernemingsplan de doelstellingen met betrekking tot de interne werking. Er worden een aantal acties omschreven die zullen worden ondernomen voor een aantal risico’s. Ik zal die risico’s hier niet opsommen wat ze komen terug in de vraag die ik daarover zal stellen.

Een performant werkende auditdienst is van ontzettend groot belang voor zowel de Vlaamse overheidsdiensten als de lokale besturen. Zij leveren een ontzettend grote bijdrage aan het beheersen van de diverse risico’s waarmee deze worden geconfronteerd. De dienst is de afgelopen jaren zeker uitgegroeid tot een belangrijke partner van de overheden voor wie ze werken. Zoals Audit Vlaanderen in zijn ondernemingsplan terecht opmerkt, creëren zij “een toegevoegde waarde bij de uitbouw van efficiënte, effectieve, ethische en kwaliteitsvolle organisaties”. Dat neemt niet weg dat over de vooropgestelde doelstellingen ook wel enige vragen kunnen worden gesteld.

Er wordt aangegeven dat binnen de Vlaamse administratie verder werk moet worden gemaakt van de professionalisering van de auditcomités binnen de agentschappen. Hoe wordt dat verder aangepakt en welke specifieke rol speelt Audit Vlaanderen daarbij? Hoe worden de activiteiten van Audit Vlaanderen afgestemd op de werking van de auditdiensten van de agentschappen?

Er wordt verwezen naar het risico op verhoogde uitval en het verloop van personeel ten gevolge van demotivatie. Welke maatregelen neemt Audit Vlaanderen concreet om die risico’s te beperken?

Er wordt melding gemaakt van een risico op een mismatch tussen de beschikbare en vereiste competenties. Is dat een gegeven dat zich nu al bij Audit Vlaanderen voordoet? Heeft men binnen de organisatie al vastgesteld dat ze niet over de vereiste competenties beschikken om de uitdagingen waarmee ze geconfronteerd worden aan te gaan? In welke mate ondervindt Audit Vlaanderen problemen om de vereiste profielen aan te werven?

Opvallend is het risico met betrekking tot het gebrek aan visie rond ICT. Welke inspanningen zullen worden geleverd om op dat vlak zeker up-to-date te blijven en een duidelijke visie te ontwikkelen?

De voorbije maanden kwamen ook regelmatig incidenten aan het licht over organisaties die werden gehackt. Cybersecurity is en blijft dus een zeer belangrijk aandachtspunt waarop volop moet worden ingezet. Welke initiatieven plant Audit Vlaanderen in dezen? En in welke mate hypothekeert het risico met betrekking tot het gebrek aan visie rond ICT mogelijkerwijs de activiteiten die Audit Vlaanderen wil ondernemen inzake cybersecurity?

Minister Somers heeft het woord.

Mijnheer De Roo, welkom in onze commissie.

De samenwerking tussen Audit Vlaanderen en de auditcomités binnen de agentschappen is gericht op een kwaliteitsvolle en efficiënte invulling van de interne auditfunctie met respect voor ieders autonomie, eigenheid, rol en verantwoordelijkheid. Het concept ‘single audit’ staat daarbij centraal. We proberen dubbele controles maximaal te vermijden en waar mogelijk bouwt Audit Vlaanderen verder op de werkzaamheden van de overige interne auditdiensten, of worden opdrachten, waar nodig, gezamenlijk aangepakt.

Audit Vlaanderen ontplooide in overleg met de interne auditdiensten en auditcomités binnen het werkterrein verschillende initiatieven voor professionalisering. Zo creëerden ze een praktische handleiding voor de werking van een auditcomité met goede praktijken en voorbeelden. Er is een auditcomitécharter als deel van het bredere charter goed bestuur, er is het jaarlijks overleg waarbij auditcomités van elkaar kunnen leren en ervaringen kunnen delen. En er is ook een opleiding voor nieuwe leden van auditcomités.

Audit Vlaanderen voert daarbij periodiek kwaliteitstoezicht uit op de werking van de auditcomités en auditdiensten binnen zijn werkterrein. Audit Vlaanderen waakt daarbij ook over zijn eigen kwaliteit.

Het tweede deel van uw vragen betreft eigenlijk risico’s die in het ondernemingsplan van Audit Vlaanderen geïdentificeerd werden.

Net zoals verwacht wordt van de andere entiteiten binnen de Vlaamse administratie, past Audit Vlaanderen daarom ook zelf risicomanagement toe om zijn eigen werking bij te sturen, waar nodig te optimaliseren en voorbereid te zijn op de belangrijkste risico’s die zich kunnen voordoen. Het is dankzij het systeem van risicoanalyse dat de organisatie zich periodiek een spiegel voorhoudt en kritisch naar zichzelf kijkt en verbeterpunten detecteert voordat de problemen zich voordoen. Voordát de problemen zich voordoen, dat is natuurlijk heel belangrijk.

Audit Vlaanderen beschikt zo momenteel over de belangrijkste competenties die nodig zijn, maar wil reeds voorbereid zijn op de toekomstige ontwikkelingen in audit. Dat risico op een toekomstige mismatch tussen competenties en noden zal Audit Vlaanderen geclusterd aanpakken onder het project ‘Uitwerken HR-beleid en competentiemanagement’. In dat project zal Audit Vlaanderen de structurele noden aan vaardigheden verder in kaart brengen. Als – ik zeg het in de voorwaardelijke wijs – een kloof vastgesteld wordt tussen de beschikbare en de vereiste competenties, zal de afweging gemaakt worden of deze kloof ofwel via interne competentieopbouw, ofwel via talentontwikkeling ofwel via het extern inhuren van competenties kan worden gedicht. Binnen datzelfde project zal ook het risico op verhoogde uitval en op verloop van personeel ten gevolge van demotivatie aangepakt worden.

In het Jaaractieplan Welzijn 2021 van Audit Vlaanderen zijn reeds de welzijnsaspecten opgenomen die een belangrijke rol spelen bij het uitwerken van concrete acties. Zo zal Audit Vlaanderen bijvoorbeeld aandacht besteden aan de verbondenheid en het psychisch welzijn bij veelvuldig thuiswerken bij het ontwikkelen van het afsprakenkader hybride werken.

Het risico ‘gebrek aan visie rond ICT’, waar u naar verwijst, werd geïdentificeerd in de risicoanalyse van 2019. De analyse in 2019 maakte dus duidelijk dat er op ICT-vlak nog ruimte voor verbetering was. Audit Vlaanderen meldt me dat dit risico vooral te maken had met de werking van enkele gebruikte ICT-systemen op dat moment en de evolutie naar een nieuwe ICT-omgeving, die altijd ook wel wat kinderziektes met zich meebrengt. In 2020 werd de risicoanalyse geactualiseerd en werd dit risico beduidend lager ingeschat. Dat is dus een positieve evolutie. Inmiddels heeft Audit Vlaanderen ook een ICT-beleid en visie voor 2021-2022 uitgewerkt.

In het ondernemingsplan staat ook een plan van aanpak om blijvend in te zetten op een kwaliteitsvolle inzet van ICT binnen Audit Vlaanderen. U kunt al die specifieke verbeteracties in het ondernemingsplan lezen. Dat gaat bijvoorbeeld over meer opleidingen, sterkere opvolging van updates van systemen enzovoort.

Inzake cyberveiligheid voert Audit Vlaanderen sinds 2017 zelf audits uit in de Vlaamse administraties en in de lokale besturen. Vorig jaar heb ik in samenwerking met Audit Vlaanderen ook het initiatief genomen om lokale besturen te cofinancieren wanneer zij een audit cyberveiligheid laten uitvoeren door een gespecialiseerd bedrijf. Niet minder dan 115 gemeenten maakten hier al gebruik van. Dat is meer dan 1 op de 3, een opvallend cijfer. Het duidt ook op het bewustzijn bij onze lokale besturen dat daarrond gewerkt moet worden.

Om al deze inspanningen omtrent informatiebeveiliging en cybersecurity goed te kunnen uitvoeren, wordt een beroep gedaan op gespecialiseerde IT-auditoren en ethische hackers, deels ook extern ingehuurde experten. Audit Vlaanderen heeft groeiende en bewezen expertise in de materie cyberveiligheid, zoals de voorbije jaren gebleken is. Het is voor mij en vele organisaties een betrouwbare partner voor initiatieven inzake cyberveiligheid. Daarnaast werkt Audit Vlaanderen als mature organisatie in alle transparantie aan de optimalisatie van zijn interne ICT, wat intussen ook daaromtrent tot verbetering heeft geleid.

Ik hoop dat ik daarmee enkele antwoorden heb kunnen geven op uw terechte vragen, mijnheer De Roo.

De heer De Roo heeft het woord.

Dank u, minister, voor uw uitgebreid antwoord. U hebt mij over een aantal zaken ook in zekere zin gerust kunnen stellen. Er worden een aantal risico’s vastgesteld en uit de uitleg die u gaf, blijkt dat Audit Vlaanderen die goed oppakt.

Ik zou nog eventjes willen inzoomen op die cyberveiligheid, dat is een heel belangrijk thema. Het is goed dat meer dan een op drie gemeenten die stap al zetten om daar audits over te ondernemen maar er is nog werk aan de winkel om ook andere gemeenten ervan te overtuigen om veilig met informatie om te gaan. Ik heb u dat ook horen zeggen maar ik wilde toch nog eens benadrukken dat het heel belangrijk is om daar samen met een aantal gespecialiseerde diensten en met Audit Vlaanderen en andere auditorganisaties stappen in te zetten.

Wat ICT betreft, ben ik tevreden met uw rechtzetting. Ik ben blij dat de visie van een aantal jaren geleden geactualiseerd is en dat het risico kleiner wordt maar sowieso zullen ICT en infrastructuur in de toekomst nog meer hand in hand gaan met cyberveiligheid en veiligheid van data. We zullen in de toekomst steeds meer data gebruiken en nodig hebben.

Minister Somers heeft het woord.

Mijnheer De Roo, ik dank u nogmaals voor uw vraag. Dit belangrijke thema is in onze commissie al meermaals aan bod gekomen en zal in de toekomst inderdaad alleen maar belangrijker worden. We zullen meer met data werken maar daarnaast is er het probleem van hacking wat onze privacy en veiligheid in gevaar kan brengen. We moeten daar dus werken aan meer bewustzijn en aan een betere bescherming. Dat is een project dat ik samen met de Vereniging van Vlaamse Steden en Gemeenten (VVSG) wil verderzetten. Ik denk aan de actie cyberveilige gemeenten die we samen met de VVSG hebben uitgewerkt. U weet dat we met de Hogeschool West-Vlaanderen, Howest, samenwerken waarbij studenten als ethische hackers functioneren. Verder werken we ook aan een toolkit met handvaten voor de gemeenten die dan met die toolkit aan de slag kunnen gaan om hun eigen ICT-infrastructuur verder te beveiligen.

Dit onderwerp moet hoog op de agenda blijven staan. We weten dat hackers met slechte bedoelingen zich ook steeds vernieuwen. Wij moeten proberen voorop te blijven in die strijd en de beschermingsmuren voldoende hoog te houden ten aanzien van onze organisaties. 

De heer De Roo heeft het woord.

Ik denk dat alles gezegd is maar er is nog veel werk aan de winkel.