Managed hosting door True

BZK: veel code BRP niet vrij uit oogpunt beveiliging

Ministerie: Openbaarmaking broncode moet niet leiden tot herstart operatie BRP

 

Het ministerie van Binnenlandse Zaken en Koninkrijksrelaties (BZK) heeft de broncode en bijbehorende stukken van de programmatuur voor de Basisregistratie Personen (BRP) vóór publicatie op verschillende aspecten getoetst waaronder privacy- en veiligheidsrisico’s. Een aanzienlijk deel van de door de operatie Basisregistratie Personen (oBRP) geproduceerde code en documenten is vanuit dat oogpunt niet op het softwareplatform Github openbaar gemaakt. Verder benadrukt BZK dat de openbaarmaking van de broncode niet bedoeld is om een herstart van de operatie BRP mogelijk te maken.

Gisteren meldde Computable dat de eind vorige maand op Github vrijgegeven broncode en bijbehorende functionele en technische documentatie van de programmatuur voor de BRP onvolledig is. In een verklaring laat het ministerie van BZK nu weten dat 'de meest recente versie van de broncode en documentatie is nagekeken op te verwijderen persoonsinformatie, BSN-nummers en veiligheidsissues zoals relevante bedrijfsinformatie, wachtwoorden, authenticatie-sleutels, en copyright. Waar nodig zijn namen van projectmedewerkers gelakt en documenten, broncodebestanden en testbestanden uit de verzameling documenten en bestanden verwijderd.' (zie ook kader onderaan)

De woordvoerder van BZK meldt verder dat ook de testcode en testverslagen buiten de openbaarmaking gehouden zijn 'aangezien de testen toezagen op een juiste verwerking van persoonsgegevens in de BRP en daardoor veel persoonsgegevens en BSN-nummers bevatten.' Hij wijst er op dat volgens BZK met de Tweede Kamer afgesproken is dat de in het leven geroepen Commissie BRP voor een op te leveren feitenrelaas mét analyse onder meer onderzoekt op welke wijze de onderdelen van de programmatuur zijn getest en op welke wijze is vastgesteld hoe ver de operatie gevorderd was.

Testen

René Veldwijk, ict-overheids-expert en kritisch volger van het BRP-debacle, is zwaar teleurgesteld over de handelswijze van BZK. 'Het leek er even op dat onder het bewind de nieuwe staatssecretaris Raymond Knops van BZK de luiken open zouden gaan. Maar het ministerie schiet weer in die kramp van geheimzinnigheid waar ze al zo lang last van hebben. Bovendien blijkt weer eens het dramatisch gebrek aan ict-kennis bij beleidsambtenaren. Zij zien het verschil niet tussen programmateksten en bestanden. En ja, er is getest met BSN-nummers maar wel met nepnamen. Die testbestanden kun je gewoon vrijgeven. Dat heeft niets met privacygevoeligheid te maken'.  

Ook Swier Jan Miedema van de bij de oBRP betrokken leverancier Gemboxx wijst er op dat in het project niet met productiedata getest was. 'Het niet publiceren van deze testgevallen is ook in tegenspraak met de richtlijnen van de RIVG over allerlei testgevallen met syntethische data.'

Geen herstart

Voorts benadrukt de zegsman van het ministerie dat de openbaarmaking van de broncode niet beoogt een herstart van de operatie BRP mogelijk te maken, gelet op het Kamerbreed gesteunde besluit van de minister van Binnenlandse Zaken en Koninkrijksrelaties om de operatie afgelopen juli te stoppen. 'In dat kader zijn ook door de Tweede Kamer kritische vragen gesteld bij het initiatief van de VNG om een verkenning te doen naar de bruikbaarheid van (delen) van de broncode ten behoeve van een Gemeentelijke Verenigde Registratie van persoonsgegevens - GVR.'

Voor de openbaarmaking geldt ook een disclaimer, blijkt uit het antwoord van BZK, namelijk: 'Het ministerie van BZK heeft zich naar beste vermogen ingespannen om de meest recente versie van de ontwikkelde programmatuur en de bijbehorende technische en functionele documentatie samen te stellen. Het ministerie van BZK aanvaardt geen aansprakelijkheid met betrekking tot het gebruik (met inbegrip van het kopiëren, verhandelen, heruitgeven, of anderszins) van de programmatuur en documentatie.'

'VNG wist er van'

Opmerkelijk is nog dat de spreekbuis van BZK stelt dat - anders dan wat in het artikel in Computable staat - de Vereniging van Nederlandse Gemeenten (VNG) wél van tevoren zowel mondeling (eind oktober) als bij een brief van 10 november jongstleden 'op de hoogte is gesteld van de voor eind november geplande openbaarmaking en over de afspraken die daarover met de Kamer waren gemaakt.'

Een woordvoerder van de VNG zegt dat de vereniging zich herkent in het verhaal dat de vrijgegeven code en documentatie niet volledig zijn. 'Wij zijn dat aan het checken. We kunnen dus nog niet zeggen hoeveel ontbreekt. We zullen dit ook checken bij BZK. We kijken ook wat we wel hebben.' Hij kan nog niet beantwoorden wat de consequenties zijn van het programma GVR. Dit programma houdt zich onder de vlag van de Verenigde Nederlandse Gemeenten (VNG) bezig met een herstart van de stopgezette vernieuwing van de gemeentelijke basisadministratie, maar dan alleen onder gemeentelijke vlag.

Wel en niet vrijgegeven

- Vraag aan BZK: Wat is precies aan broncode openbaar gemaakt?

Antwoord van BZK: 'Wat openbaar is gemaakt is, conform toezegging aan de Kamer, de laatste versie van de broncode BRP met bijbehorende technische en functionele documentatie. De code is getoetst op privacy en veiligheidsrisico’s. Bestanden met broncode en toelichtingen die deze toets niet hebben doorstaan zijn niet openbaargemaakt. BZK heeft een bijzondere verantwoordelijkheid op het vlak van persoonsgegevens en beveiliging en neemt op dat vlak daarom geen risico’s.'

- Vraag aan BZK: Wat is er niet aan broncode openbaar gemaakt?

Antwoord van BZK: 'De testset en de onderdelen deployment, distributie en migratie zijn geen onderdeel van de gepubliceerde code omdat deze veel test-persoonsgegevens bevatten die niet allemaal gecontroleerd kunnen worden.'

'Daarnaast bevatten de delen deployment, distributie en migratie veel technische informatie over de opbouw van het systeemlandschap in Modernodam (de ontwikkelomgeving van operatie BRP) en de aansluiting op de GBA-V, waarvan de risico’s bij publicatie te hoog zijn. De daadwerkelijke code van de BRP, voor zover deze gereed was, is in de publicatie opgenomen.'

- Vraag aan BZK: Waarom zijn er delen niet vrijgegeven? 

Antwoord van BZK: 'Bij steekproefsgewijze controles bleek dat niet uitgesloten kan worden dat voor testen gegenereerde BSN’s en gefingeerde persoonsgegevens ook in werkelijkheid voor kunnen komen.' 

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/6258749). © Jaarbeurs IT Media.

?


Lees meer over



Lees ook


 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×