Wie het IT-nieuws de afgelopen tijd een beetje heeft bijgehouden, kan het niet zijn ontgaan. De Tweede Kamer zit bovenop de digitale overheid en de techsector. Het gaat om datalekken en haperende systemen bij het UWV. Ook de privacy-implicaties van software zoals Canvas in het onderwijs spelen een rol. Daarnaast zijn er discussies over digitale soevereiniteit en Europese plannen rondom chatcontrole. Tot slot is er de vraag over een betaalverbod bij ransomware-aanvallen. IT is hiermee verheven tot topprioriteit in de Haagse politiek.
Wanneer er IT-incidenten plaatsvinden of er omstreden tech-beleid wordt gevormd, grijpen Kamerleden massaal naar hun krachtigste controle-instrument: de schriftelijke Kamervraag. Maar hoe werkt dit mechanisme achter de schermen, welke operationele processen worden hiermee in gang gezet, en wat is de businesscase van zo’n formele vraag?
Van maatschappelijke ophef naar de ambtelijke molen
Voor een IT-professional lijkt het proces soms grillig en razendsnel te verlopen. Er verschijnt een kritisch artikel op een techwebsite over een kwetsbaarheid. Vervolgens ontstaat er onrust op sociale media. Nog geen dag later melden de media al dat er Kamervragen zijn gesteld. In de praktijk verloopt de route van een schriftelijke Kamervraag echter via strakke en formele lijnen. Het begint allemaal bij de signalering en de opstelling. Een Kamerlid signaleert een concreet knelpunt. Dit lid wordt vaak ondersteund door een fractie- of beleidsmedewerker met IT in de portefeuille. Vervolgens worden de vragen zorgvuldig geformuleerd en ingediend bij de Kamervoorzitter.
Na de indiening volgt de fase van inboeken en toewijzen. De Kamervoorzitter sluist de binnengekomen vragen door naar de politiek verantwoordelijke bewindspersoon. In het digitale domein gaat het daarbij vaak om de Staatssecretaris van Digitalisering en Koninkrijksrelaties. Ook de Minister van Justitie en Veiligheid krijgt deze vragen vaak op het bord. Zodra de vragen terechtkomen bij het betreffende ministerie, start de daadwerkelijke ambtelijke molen. IT-vragen zijn dikwijls zeer technisch van aard. Ze worden daarom uitgezet bij gespecialiseerde directies of externe toezichthouders zoals de Autoriteit Persoonsgegevens. Ook specifieke uitvoeringsorganisaties worden ingeschakeld. Daarbij kan gedacht worden aan het UWV of de Directie Informatievoorziening en ICT Organisatie.
Voordat de antwoorden naar de Tweede Kamer worden gestuurd, ondergaan ze een strenge juridische en beleidsmatige toetsing. De conceptantwoorden passeren meerdere ambtelijke schijven. Ze worden gewogen op juridische houdbaarheid, politieke gevoeligheid en technische accuraatheid. Pas wanneer alles klopt, zet de bewindspersoon zijn of haar handtekening. In de regel hebben Kamerleden recht op antwoord binnen drie weken. Mocht die deadline door de complexiteit van de IT-materie niet haalbaar zijn, dan is de bewindspersoon verplicht om de Kamer te informeren. Dit gebeurt via een formeel uitstelbericht.
De kosten van de democratische audit
Het controleren van de zittende macht is een grondwettelijk recht en vormt het fundament van onze rechtsstaat. Deze democratische controle is vanuit bedrijfskundig oogpunt zeker niet gratis. Het beantwoorden van Kamervragen is een uiterst arbeidsintensief proces. In de politieke en bestuurskundige wandelgangen wordt al jaren gerekend met een vaste gemiddelde kostprijs per ingediende vragenset. Analyses en historische ramingen van verschillende ministeries laten zien dat de kosten hiervoor aanzienlijk zijn. Het behandelen, uitzoeken, juridisch toetsen en definitief formuleren van zo’n set schriftelijke vragen kost gemiddeld rond de 3.750 euro.
Deze kostenpost is nagenoeg volledig te herleiden tot ambtelijke uren. Een gemiddelde IT-vraag kan immers niet worden afgedaan met een standaard PR-praatje. Denk hierbij aan vragen over de broncode van overheidssoftware of de exacte encryptiestandaarden bij de Europese chatcontroleplannen. Er moeten data-analisten, enterprise architecten en gespecialiseerde juristen aan te pas komen. Zij verifiëren wat de exacte status van een project of incident is. Jaarlijks worden er tussen de 2.000 en 2.500 schriftelijke vragensets ingediend, dus reken maar uit. Het gaat zodoende om een totale jaarlijkse uitgave van ruim 7,5 tot 9 miljoen euro aan de beantwoording van Kamervragen alleen.
Wie betaalt de rekening?
Om te begrijpen wie deze rekening uiteindelijk betaalt, moet er gekeken worden naar de verdeling in het politieke spectrum. Hierin onderscheiden we de vraagkant en de antwoordkant. Aan de vraagkant staan de Kamerleden en hun fracties. Zij ontvangen voor hun werkzaamheden een schadeloosstelling. Daarnaast krijgen fracties een budget voor ambtelijke en beleidsmatige ondersteuning. Dat budget wordt berekend op basis van hun zetelaantal in de Kamer. Het stellen van een extra vraag kost een fractie zelf dus geen additioneel geld. Deze werkzaamheden vallen binnen de reguliere bedrijfsvoering en de vaste budgetten van de volksvertegenwoordiging.
De daadwerkelijke financiële druk ligt dan ook bij de antwoordkant, oftewel het ambtelijke apparaat. Ministeries maken kosten om de onderste steen boven te krijgen en de antwoorden te formuleren. Deze kosten worden rechtstreeks gedekt uit de operationele begroting van het ontvangende ministerie. Aangezien deze begrotingen worden gevuld met publiek geld, is het uiteindelijk de Nederlandse belastingbetaler die de operationele kosten van dit controlesysteem financiert.
Waarom vraagstukken over technologie meer kosten
Binnen de rijksoverheid zijn er dossiers waarbij vragen relatief snel en eenvoudig beantwoord kunnen worden. IT-dossiers vallen daar echter zelden onder. De technologiesector kent een aantal specifieke dynamieken. Hierdoor zijn Kamervragen over digitale onderwerpen vaak aanzienlijk complexer en daarmee kostbaarder dan het gemiddelde politieke dossier. In de eerste plaats is er sprake van een grote informatie-asymmetrie. Kamerleden zijn over het algemeen generalisten, terwijl IT-vraagstukken over deep-tech gaan. Dit dwingt ambtenaren om veel tijd te besteken aan een lastige vertaalslag. Zij moeten de technische realiteit omzetten naar begrijpelijke, politiek verantwoorde taal. Daarbij mogen de cruciale nuances niet verloren gaan.
Daarnaast heeft de overheid te maken met een sterk versnipperd technologielandschap. Neem bijvoorbeeld een vraag over de software van Canvas in het onderwijs. De leverancier is in dat geval een commerciële, internationale partij. De onderwijsinstellingen zelf zijn autonoom in hun inkoop. Het ministerie heeft ondertussen slechts een kaderstellende rol. Het verzamelen van betrouwbare data over zoveel verschillende schijven heen kost simpelweg veel tijd en afstemming.
Tot slot spelen er bijna altijd juridische mijnenvelden. Vragen over een mogelijk betaalverbod bij ransomware raken tegelijkertijd aan het strafrecht en het verzekeringsrecht. Ook internationale sanctielijsten spelen een rol. Elk antwoord moet daarom door een batterij aan juristen worden gewogen. Dit voorkomt dat de Staat onbedoeld aansprakelijkheid erkent of lopende opsporingsonderzoeken doorkruist.
Een bedrijfskundige evaluatie van de ROI
Vanuit een puur bedrijfskundig perspectief zou een analist kritisch kunnen kijken naar dit proces. Het stellen van zoveel vragen van duizenden euro’s per stuk kan bestempeld worden als inefficiënt. Ook brengt het een hoog risico op fragmentatie met zich mee. Critici in de bestuurskunde wijzen er weleens op dat Kamervragen soms worden ingezet voor kortstondig politiek gewin. Het scoren van een snelle kop in de media krijgt dan de voorkeur boven een fundamentele, structurele controle van het beleid.
Toch is de maatschappelijke Return on Investment van de Kamervraag in een gezonde democratie uiteindelijk onbetaalbaar. Dit geldt overduidelijk voor het IT-domein. In het verleden zagen overheidsprojecten hier regelmatig miljarden euro’s verdampen door gebrekkig beheer en miscommunicatie. In deze context fungeren Kamervragen als een essentieel, vroegtijdig waarschuwingssysteem. Kamerleden stellen kritische vragen over de opslag van gevoelige cloud-data of de cybersecurity bij vitale infrastructuur. Zonder deze vragen zouden veel misstanden pas aan het licht komen wanneer systemen daadwerkelijk falen. De uiteindelijke maatschappelijke en financiële schade van zo’n crash is vele malen groter dan de ambtelijke kosten aan de poort.
Voor IT-leveranciers en tech-ondernemers die zakendoen met de publieke sector bevat dit proces een heldere les. Het is van cruciaal belang dat de eigen IT-huishouding, privacy-compliance en informatiebeveiliging tot in de puntjes verzorgd zijn. In een digitaliserende samenleving kan er zomaar een plotselinge ambtelijke audit plaatsvinden. Een nieuwe reeks Kamervragen is immers altijd slechts één muisklik van een kritisch Kamerlid verwijderd.