Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft de broncode en bijbehorende stukken van de programmatuur voor de Basisregistratie Personen (BRP) vóór publicatie op verschillende aspecten getoetst waaronder privacy- en veiligheidsrisico’s. Een aanzienlijk deel van de door de operatie Basisregistratie Personen (oBRP) geproduceerde code en documenten is vanuit dat oogpunt niet op het softwareplatform Github openbaar gemaakt. Verder benadrukt BZK dat de openbaarmaking van de broncode niet bedoeld is om een herstart van de operatie BRP mogelijk te maken.
Gisteren meldde Computable dat de eind vorige maand op Github vrijgegeven broncode en bijbehorende functionele en technische documentatie van de programmatuur voor de BRP onvolledig is. In een verklaring laat het ministerie van BZK nu weten dat ‘de meest recente versie van de broncode en documentatie is nagekeken op te verwijderen persoonsinformatie, BSN-nummers en veiligheidsissues zoals relevante bedrijfsinformatie, wachtwoorden, authenticatie-sleutels, en copyright. Waar nodig zijn namen van projectmedewerkers gelakt en documenten, broncodebestanden en testbestanden uit de verzameling documenten en bestanden verwijderd.’ (zie ook kader onderaan)
De woordvoerder van BZK meldt verder dat ook de testcode en testverslagen buiten de openbaarmaking gehouden zijn ‘aangezien de testen toezagen op een juiste verwerking van persoonsgegevens in de BRP en daardoor veel persoonsgegevens en BSN-nummers bevatten.’ Hij wijst er op dat volgens BZK met de Tweede Kamer afgesproken is dat de in het leven geroepen Commissie BRP voor een op te leveren feitenrelaas mét analyse onder meer onderzoekt op welke wijze de onderdelen van de programmatuur zijn getest en op welke wijze is vastgesteld hoe ver de operatie gevorderd was.
Testen
René Veldwijk, ict-overheids-expert en kritisch volger van het BRP-debacle, is zwaar teleurgesteld over de handelswijze van BZK. ‘Het leek er even op dat onder het bewind de nieuwe staatssecretaris Raymond Knops van BZK de luiken open zouden gaan. Maar het ministerie schiet weer in die kramp van geheimzinnigheid waar ze al zo lang last van hebben. Bovendien blijkt weer eens het dramatisch gebrek aan ict-kennis bij beleidsambtenaren. Zij zien het verschil niet tussen programmateksten en bestanden. En ja, er is getest met BSN-nummers maar wel met nepnamen. Die testbestanden kun je gewoon vrijgeven. Dat heeft niets met privacygevoeligheid te maken’.
Ook Swier Jan Miedema van de bij de oBRP betrokken leverancier Gemboxx wijst er op dat in het project niet met productiedata getest was. ‘Het niet publiceren van deze testgevallen is ook in tegenspraak met de richtlijnen van de RIVG over allerlei testgevallen met syntethische data.’
Geen herstart
Voorts benadrukt de zegsman van het ministerie dat de openbaarmaking van de broncode niet beoogt een herstart van de operatie BRP mogelijk te maken, gelet op het Kamerbreed gesteunde besluit van de minister van Binnenlandse Zaken en Koninkrijksrelaties om de operatie afgelopen juli te stoppen. ‘In dat kader zijn ook door de Tweede Kamer kritische vragen gesteld bij het initiatief van de VNG om een verkenning te doen naar de bruikbaarheid van (delen) van de broncode ten behoeve van een Gemeentelijke Verenigde Registratie van persoonsgegevens – GVR.’
Voor de openbaarmaking geldt ook een disclaimer, blijkt uit het antwoord van BZK, namelijk: ‘Het ministerie van BZK heeft zich naar beste vermogen ingespannen om de meest recente versie van de ontwikkelde programmatuur en de bijbehorende technische en functionele documentatie samen te stellen. Het ministerie van BZK aanvaardt geen aansprakelijkheid met betrekking tot het gebruik (met inbegrip van het kopiëren, verhandelen, heruitgeven, of anderszins) van de programmatuur en documentatie.’
‘VNG wist er van’
Opmerkelijk is nog dat de spreekbuis van BZK stelt dat – anders dan wat in het artikel in Computable staat – de Vereniging van Nederlandse Gemeenten (VNG) wél van tevoren zowel mondeling (eind oktober) als bij een brief van 10 november jongstleden ‘op de hoogte is gesteld van de voor eind november geplande openbaarmaking en over de afspraken die daarover met de Kamer waren gemaakt.’
Een woordvoerder van de VNG zegt dat de vereniging zich herkent in het verhaal dat de vrijgegeven code en documentatie niet volledig zijn. ‘Wij zijn dat aan het checken. We kunnen dus nog niet zeggen hoeveel ontbreekt. We zullen dit ook checken bij BZK. We kijken ook wat we wel hebben.’ Hij kan nog niet beantwoorden wat de consequenties zijn van het programma GVR. Dit programma houdt zich onder de vlag van de Verenigde Nederlandse Gemeenten (VNG) bezig met een herstart van de stopgezette vernieuwing van de gemeentelijke basisadministratie, maar dan alleen onder gemeentelijke vlag.
Wel en niet vrijgegeven
– Vraag aan BZK: Wat is precies aan broncode openbaar gemaakt?
Antwoord van BZK: ‘Wat openbaar is gemaakt is, conform toezegging aan de Kamer, de laatste versie van de broncode BRP met bijbehorende technische en functionele documentatie. De code is getoetst op privacy en veiligheidsrisico’s. Bestanden met broncode en toelichtingen die deze toets niet hebben doorstaan zijn niet openbaargemaakt. BZK heeft een bijzondere verantwoordelijkheid op het vlak van persoonsgegevens en beveiliging en neemt op dat vlak daarom geen risico’s.’
– Vraag aan BZK: Wat is er niet aan broncode openbaar gemaakt?
Antwoord van BZK: ‘De testset en de onderdelen deployment, distributie en migratie zijn geen onderdeel van de gepubliceerde code omdat deze veel test-persoonsgegevens bevatten die niet allemaal gecontroleerd kunnen worden.’
‘Daarnaast bevatten de delen deployment, distributie en migratie veel technische informatie over de opbouw van het systeemlandschap in Modernodam (de ontwikkelomgeving van operatie BRP) en de aansluiting op de GBA-V, waarvan de risico’s bij publicatie te hoog zijn. De daadwerkelijke code van de BRP, voor zover deze gereed was, is in de publicatie opgenomen.’
– Vraag aan BZK: Waarom zijn er delen niet vrijgegeven?
Antwoord van BZK: ‘Bij steekproefsgewijze controles bleek dat niet uitgesloten kan worden dat voor testen gegenereerde BSN’s en gefingeerde persoonsgegevens ook in werkelijkheid voor kunnen komen.’
Als insider en belanghebbende ben ik natuurlijk niet onbevooroordeeld, maar zou iemand mij kunnen uitleggen waarom volksvertegenwoordigers in de tweede kamer zich inspannen om een poging van de VNG nog iets te maken van een schandalige verkwisting ter waarde van 100 miljoen, die deels door de kamer zelf is veroorzaakt, tegen te houden?
Stel dat met een geringe investering van een privaat bedrijf de volledige 100 miljoen “terug komt”? Was er ook niet zo iets als “het Huis van Thorbecke”? Waarom zou de kamer de VNG willen tegenhouden? Er moet linksom of rechtsom iets gedaan worden aan het in elkaar stortende applicatielandschap (bij alle 388 gemeenten), gebaseerd op een ernstig verouderde architectuur bij gemeenten, ook alle 388. De mGBA, oBRP en VGR zijn daar een randvoorwaarde voor. Ik zou mij toch eens afvragen of alle tekorten en uitvoeringsproblemen in het sociaal domein uitsluitend te maken hebben met de verrekingsmethodieken tussen centrale en lokale overheid? Mijn stelling: ICT bij gemeenten is een onvoorstelbaar risico voor een kwalitatief goede uitvoering van allerlei wetgeving, verbetering doelmatigheid en het centraal stellen van de (zelfredzame en participerende) burger en zonder een vorm van modernisering van de persoonsregistratie is dat onmogelijk. Er zijn twee tegengestelde bewegingen noodzakelijk, kamerleden en bestuurders die dat niet snappen zouden zich moeten laten adviseren door mensen die kunnen bewijzen wat ze beweren. De twee tegengestelde bewegingen: 1. centraliseren ICT en 2. decentraliseren van werkzaamheden, daar moet toch een goedkope ICT-oplossing voor te vinden zijn? Lijkt me een makkie en bespaart ook nog eens op een jaarlijkse verkwisting van 2 miljard, waar kennelijk niemand zich druk over maakt behalve types zoals de moedige Rene Veldwijk als witte ridders. Mensen wordt wakker, het gaat om veel meer dan 100 miljoen.
Hoe het ook zij, we kunnen gewoon stellen dat het niet de bedoeling is geweest de gehele broncode vrij te geven. Net al werd gesteld, de stuitende tekort aan gedegen en actuele IT kennis bij ambtenaren en hen die strategisch ‘een scepter’ over de gang van zaken zwaaien binnen ministerie en ambtenaren apparaat, moet uiteraard onbeschadigd blijven. Weerzinwekkend dat ambtenaren en politici over geen enkele zelfreinigende vermogens blijken te beschikken en de schade onverkort bij de burgers neer legt.
Mocht nog eens gesteld worden hoe het toch komt dat de burger geen enkele fiducie heeft in politiek en ambetnarij, dan is hier de basis en een van de tal van redenen. Laten we het boek maar weer fijn sluiten.
In de ICT van de overheid wordt jaarlijks miljarden verknoeit en verziekt het hele landschap. Hoeveel parasieten leven hiervan? Als de samenleving hier niet constante druk op blijft uitoefenen zal het gewoon door blijven gaan want degenen die hier willens en wetens aan meewerken zullen net zo lang doorgaan totdat ze eindelijk een halt zijn toegeroepen.
@John Duinkerken
Als we alleen al kijken naar het circus wat er momenteel plaats neemt wanneer een toeleverancier de tender heeft verloren, dat breed uit etaleert en vervolgens roept een rechter te overwegen, vraag ik mij professioneel wel eens af wie er nou de idioten zijn. Als je aansluitend leest, met jammerlijke regelmaat, hoeveel aan miljoenen mislukken, domweg omdat diezelfde partijen, klaarblijkelijk niet weten wat basale kennis van een IT keten is, klantbegeleiding, eigen verantwoordelijkheid, en al die rekeningen gewoon bij de burger worden neer gelegd, pleit ik voor een zwarte lijst. Gewoon een zwarte lijst van bedrijven en personen die aantoonbaar ‘het’ niet hebben waar kunnen maken en dan voor drie of vijf jaar worden uitgesloten van overheids opdrachten. Uiteraard geld dit ook de falende ambtenaar, staats secretaris of minister. Stel een eenvoudig mechanisme in die wij ook in het bedrijfsleven zien. Geen achtergrond en kennis met de materiem gewoon niet aan nemen. U en ik krijgen ook een positie niet als wij daar geen achtergrond, kennis en affiniteit mee hebben.
Dit hele debacle is een aaneesluiting van aanwijsbare en aantoonbare fouten. Fouten die met hele eenvoudige keten regie en processen eenvoudig voorkomen hadden kunnen worden. De rest? Ach…
Als de overheid nu eens het oorspronkelijk idee van open source zou omarmen….. dan hadden er wellicht al slimme mensen en partijen meegeholpen om wel tot een goed eindresultaat te komen.
Maar ja ik ben te pragmatisch en snap niets van politiek denk ik. Anders zou ik het wel begrijpen.