Staatssecretaris Raymond Knops (BZK) wil voor 31 maart 2018 het merendeel van de nog niet openbaar gemaakte bestanden van de laatste versie van de broncode van Operatie Basisregistratie Personen (oBRP) alsnog publiceren. Inclusief de bijbehorende functionele en technische documentatie. Uit een nadere analyse door de chief information officer (cio) van BZK blijkt namelijk dat slechts een beperkt deel van de nog niet gepubliceerde bestanden om veiligheidsredenen niet kan worden vrijgegeven.
Die veiligheid heeft te maken met te gedetailleerde informatie die gerelateerd kan worden aan de bestaande systemen en gebruikers van de BRP, schrijft de bewindsman van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) deze week in een brief aan de Tweede Kamer. Hij zegt zijn besluit ook te hebben genomen na advies te hebben ingewonnen bij de Autoriteit Persoonsgegevens. Die adviseert programmeurs in staat te stellen bezwaar te maken tegen openbaarmaking, mochten zij hun eigen Burgerservicenummer (BSN) hebben gebruikt of deze informatie te verwijderen.
Begin december 2017 bleek dat het ministerie van BZK uit zogenaamde privacy- en veiligheidsrisico’s een aanzienlijk deel van de door de oBRP geproduceerde code en documenten niet op het softwareplatform Github openbaar had gemaakt. Ondanks de belofte aan de Tweede Kamer om dit wel te doen.
VNG
Dit vormde voor de Vereniging Nederlandse Gemeenten (VNG) aanleiding om het idee van een eigen Gemeentelijke Verenigde Registratie Persoonsgegevens (GVR), gebaseerd op de recente BRP-code, te laten varen. Het bijbehorende programmabureau werd ook ontbonden. Of de VNG dit plan alsnog nieuw leven inblaast nu staatssecretaris Knops alsnog bijna alle recente broncode laat vrijgegeven, is nog onduidelijk.
De openbaarmaking vindt op dezelfde wijze plaats zoals eerder is gebeurd; dat wil zeggen open source en onder dezelfde voorwaarden. Verder schrijft Knops dat om ook voor toekomstige situaties de privacyrisico’s met testbestanden zo klein mogelijk te maken er binnen de rijksoverheid een dataset wordt ontwikkeld met daarin exclusief voor testen gereserveerde (fictieve) BSN’s. Dit ondersteunt opensourcebeleid, omdat dan vooraf al rekening gehouden kan worden met de privacyrisico’s bij openbaarmaking van testgegevens.
Onderzoek landsadvocaat
De bewindsman laat verder in zijn brief weten dat de landsadvocaat concludeert dat het ‘zeer waarschijnlijk niet’ mogelijk is om de betrokken partijen bij oBRP aansprakelijk te stellen voor de kosten die voor het mislukte project zijn gemaakt. Daarbij heeft de landsadvocaat onderzoek gedaan naar de partijen die voor oBRP personeel aan de Staat uitleenden, het door de Staat ingeleende personeel en de adviseurs die de Staat bij dit project inschakelde. (zie kader onderaan)
De staatssecretaris meldt dat hij het met dit advies van de landsadvocaat op zak het niet zinvol en kansrijk acht om kosten te verhalen op ingehuurde partijen. Hij meldt overigens ook nog dat er tot op heden geen claims zijn ingediend van partijen die benadeeld zijn door het stopzetten van de oBRP in juli 2017.
Onduidelijk is of de landsadvocaat ook onderzoek heeft gedaan naar de rol die de onderzoeksbureaus Gartner en KPMG hebben gespeeld vanwege het maken van ondeugdelijke rapporten over de voortgang van de oBRP. De vaste Kamercommissie BZK wilde speciale aandacht voor en Knops voorganger – minister Ronald Plasterk – had dit toegezegd.
Toekomstvast?
Momenteel loopt er nog een onderzoek naar de toekomstvastheid van de centrale voorzieningen van de BRP. Dat onderzoek – onder coördinatie van cio-BZK en de ADR (Audit Dienst Rijk) – wordt eind maart opgeleverd. Daarnaast is een ingestelde Commissie BRP een evaluatie en een feitenrelaas over het gesneefde oBRP aan het opstellen.
Knops wil uiteindelijk een plan van aanpak maken over wat er de komende jaren – vijf tot zeven jaar – moet gebeuren om de huidige BRP up & running te houden. Daarin wil hij de lessen die de Commissie BRP trekt, het eerdere advies van Bureau ICT Toetsing én de uitkomsten van het onderzoek naar de toekomstvastheid van de centrale voorzieningen van de BRP meenemen. Ook worden de uitkomsten van de gesprekken met gemeenten en afnemers meegewogen.
Verder werkt Knops aan een visie op de langere termijn (vanaf 2025). Daarin staan alle opties open. De bewindsman stuurt voor de zomer van 2018 het plan van aanpak naar de Tweede Kamer om tot die toekomstvisie te komen.
Geen terugbetaling
In zijn Kamerbrief vat staatssecretaris Knops de bevindingen van de landsadvocaat samen: volgens deze staatsjurist draagt de Staat door de aanpak van inhuur van it-personeel en adviseurs in feite zelf het risico voor het slagen of voortijdig stoppen van het project. Daarnaast heeft de Staat, door de tussenkomst van de rijksstichting Ictu en diverse uitleenbedrijven, geen directe contractuele relatie met het ingehuurde personeel. Ook de kans van slagen om kosten te verhalen bij de uitleners en bij Ictu acht de landsadvocaat zeer gering.
Voor ingehuurd personeel en voor adviseurs geldt bovendien dat eventuele fouten alleen bewezen kunnen worden door zogeheten deskundigenberichten om te kunnen beoordelen of er is voldaan aan een professionele norm. Daarmee – en met de juridische procedures – zijn aanzienlijke kosten gemoeid. Bovendien zijn met de betrokken partijen afspraken gemaakt die de schadeaansprakelijkheid sterk beperken. De landsadvocaat denkt daarom dat er zeer waarschijnlijk geen terugbetalingen of schadeloosstellingen gevorderd kunnen worden en ontraadt verder te investeren in het verhalen van de kosten, aldus Knops.