Ministerraad geeft klap op het hernieuwd CIO-Stelsel Rijk
Het nieuwe Besluit CIO-stelsel Rijksdienst 2025 treedt per 1 januari 2026 in werking. De ministerraad heeft het besluit vandaag goedgekeurd. De digitale transformatie van de overheid moet effectiever en efficiënter ingezet worden. CIO Rijk krijgt hierin expliciete bevoegdheden om bindende kaders vast te stellen.
Om de slagvaardigheid te vergroten, kan CIO Rijk per 1 januari 2026 regels, normen en richtlijnen opstellen en controleren voor de informatiesystemen van alle ministeries. Tot nu toe vond besluitvorming in het CIO-beraad plaats op basis van consensus. Straks CIO Rijk, als er geen consensus wordt bereikt, zelf een besluit nemen. ‘Ik moet natuurlijk eerst goed naar iedereen luisteren,’ zegt CIO Rijk Art de Blaauw tegen iBestuur. ‘Maar in principe kan ik uiteindelijk een besluit nemen. Dat lijkt me wel prettig.’
Ook is de rol van CIO Rijk aangescherpt met betrekking tot de coördinatiebesluiten van de minister van Binnenlandse Zaken, die kaders mag stellen op het gebied van een aantal zaken onder informatiesystemen. Waar de CIO Rijk voorheen impliciet zulke afwegingen voor de minister maakte, wordt deze taak in het nieuwe besluit expliciet aan de CIO Rijk gedelegeerd.
De CIO Rijk heeft echter geen handhavingsmogelijkheden. In artikel 44 van de Grondwet staat dat elke minister verantwoordelijk is voor de eigen bedrijfsvoering. De Blaauw: ‘We hebben geen doorzettingsmacht. Met veel dialoog en het stellen van kaders kom je een heel eind, maar uiteindelijk maakt iedere minister toch een eigen afweging.’
Interoperabele IT-systemen
In het nieuwe stelsel zijn duidelijke taken opgenomen om de kwaliteit van ICT-systemen te verbeteren. Departementale CIO’s moeten zorgen voor interoperabiliteit. Dit betekent dat informatiesystemen goed met elkaar moeten kunnen communiceren en samenwerken, vooral bij de uitwisseling van gegevens en de aansluiting op gemeenschappelijke rijksbrede voorzieningen. Ook moeten CIO’s zorgen voor een solide informatiehuishouding. Dit is essentieel om ervoor te zorgen dat alle informatie duurzaam, vindbaar, juist en betrouwbaar bewaard blijft.
Verschillende rollen
Om de strategische digitale expertise op topniveau te borgen, zijn er naast de al bestaande CIO- en CISO-rollen nieuwe specialisten toegevoegd: de Chief Privacy Officer (CPO), Chief Data Officer (CDO) en Chief Technology Officer (CTO Deze inhoudelijke experts functioneren als adviseurs onder de departementale CIO. Ook is de rol van CIO voor de Rijksdienst Caribisch Nederland (CIO RCN) nu officieel onderdeel van het stelsel.
Samenwerking
Het CIO-beraad, onder leiding van de CIO Rijk, is het belangrijkste overlegorgaan. Hier nemen de CIO’s van departementen en enkele grotere publieke dienstverleners besluiten over rijksbrede digitaliseringsvraagstukken, zoals cloudbeleid en de verantwoorde inzet van generatieve AI door het Rijk.
Plaats een reactie
U moet ingelogd zijn om een reactie te kunnen plaatsen.
De term bedrijfsvoering wordt regelmatig gebruikt om de verantwoordelijkheid voor de nakoming van (wettelijke) verplichtingen te beleggen. Voor die verplichtingen gelden vaak ook al Bestuursrechtelijke verantwoordelijkheden en bevoegdheden, vanuit de taak of opdracht.
De Bestuursrechtelijke bevoegdheid betreft ook het opstellen van formeel juridische beleid. Kunst is om die verantwoordelijkheden juridisch en operationeel niet te laten overlappen, zonder de formaliteiten dubbel uit te moeten voeren.
Als het CIO-stelsel 2025 de stap is, dan zou de Agentic State de richting kunnen zijn. De kernles uit het Vision Paper https://agenticstate.org/paper.html#whitepaper-reader is dat overheidstransformatie namelijk pas versnelt, wanneer we van “processen digitaliseren” naar “uitkomsten sturen” gaan, via autonome, bestuurbare systemen en een samenhangend drielagen-denken van implementatie, enablement en governance.
In die lagen liggen precies de hefbomen die de CIO Rijk nodig heeft om
bindende, uitvoerbare kaders te verankeren.
(https://agenticstate.org/paper.html) De techniek is echt het probleem niet.
Om te beginnen moeten we compliance gaan zien als continu systeem, niet als periodiek ritueel (security-by-check-in-a-box bijvoorbeeld). Dit paper bepleit real‑time toezicht waarin agents aan markt- én overheidszijde samenwerken: bedrijven leveren machine‑leesbare bewijzen van naleving, toezichthoudende agents monitoren anomalieën en schendingen worden pro-actief voorkomen, in plaats van achteraf geconstateerd. Dit model van minimal disclosure, maximal assurance maakt ook veel lichtere regulering en snellere uitvoering mogelijk — precies wat nodig is als CIO‑kaders bindend, maar ook adaptief moeten zijn. (https://agenticstate.org/paper.html)
Als tweede principe worden regels en kaders voortaan “policy‑as‑code”. In plaats van PDF‑richtlijnen die per departement weer anders worden geïnterpreteerd, laat de Agentic State zien hoe beleid daadwerkelijk continu kan worden vertaald naar machine‑leesbare logica, gesimuleerd vóór invoering en daarna bijgesteld op basis van evidence. Zo ontstaat één bron van waarheid die de CIO Rijk zou kunnen publiceren, testen en versieren. De politiek blijft aan zet voor het “wat” (de beoogde Outcome), maar de agents zorgen voor het “hoe”. (https://agenticstate.org/paper.html)
Het derde principe is accountability by design. Dit paper, dat gepresenteerd werd op het Tallinn Digital Summit 2025 en waarnaar verwezen wordt via de www.gleif.org specificeert een publieke agent‑registry, gedragsattestatie en actie‑attributie: iedere betekenisvolle beslissing is cryptografisch herleidbaar tot een agent‑instantie en uiteindelijk tot een verantwoordelijke (geanonimiseere) functionaris. Logica, onzekerheden, gebruikte data en confidence‑scores zijn zo inspecteerbaar voor toezichthouders en, waar passend, ook voor burgers. Daarmee verandert “kaderstelling zonder doorzettingsmacht” heel snel in “machine‑gehandhaafde waarborgen” die politiek én juridisch standhouden. Het vierde principe waarnaar dit paper verwijst is "interoperabiliteit als infrastructuur". De agentische tech‑stack vraagt API‑gestuurde integratie, orkestratie tussen agents, encodeerbare beleidskaders en elasticiteit over departementen heen. Fragmentatie smoort doorgaans autonomie, maar consistente interfaces (zoals https://ngsild.org/ en orkestratie‑lagen (zoals https://www.fiware.org/catalogue/) maken zelforganiserende workflows mogelijk die aansluiten op gemeenschappelijke voorzieningen en het CIO‑kader ook echt automatisch afdwingen. Inclusief het vijfde principe: privacy als dynamische eigenschap. In plaats van perimeterdenken (outside-in Haagsche School denken) verschuift de bescherming naar data‑zelf (datacentrisch/context-centrisch(, met zero‑trust en privacy‑verhogende technologieën. Voor de Rijksdienst zou dit betekenen dat departementale CPO’s en CDO’s de privacy‑ en datastandaarden zouden kunnen laten “meelopen” in de orkestratie, zodat élke gegevensuitwisseling conform is nog vóórdat zij plaatsvindt. Technisch een gevalletje van de Policy Decision Points (PDP) en de Policy Enforcement Points (PEP) strak inregelen. Operationeel vertaald zou dit betekenen dat onder CIO‑regie een Rules & Kaders framework zou kunnen woredn ingericht, waar kaders als testbare regels worden beheerd. Er zou een Rijksbrede Agent Registry en Attestation Service vastgesteld kunnen worden. Met verplichte minimale integratiestandaarden (APIs, events, semantiek) en met automatische conformiteitschecks in CI/CD. Er zouden outcome‑gerichte audits kunnen worden ingericht, die op logs en bewijslast van agents zouden steunen. Zo zou slagvaardigheid groeien zonder de constitutionele ministeriële verantwoordelijkheid te schenden. Thorbecke 2.0: de politiek bepaalt de doelen, de kaders worden code en de uitvoering wordt aantoonbaar en uitlegbaar. Technisch geen probleem en ... gezien de ontwikkelingen als www.internationaldataspaces.org, https://agenticstate.org/, www.ishare.eu, www.fiware.org. https://dsif.eu/ etc. etc. duidelijk een concept waar de tijd voor gekomen is.