Brief aan de Voorzitter van de Tweede Kamer der Staten-Generaal, Kamerstukken II 2013-2014, 26 643, nr. 307.
In het AO Overheid en ICT/mGBA op 7 november 2013 (Kamerstuk 26 643, nr. 303) heb ik aan uw Kamer toegezegd de broncode van de Basisregistratie Personen (BRP) op verzoek te zullen vrijgeven. Met deze brief informeer ik u over de wijze waarop de code beschikbaar wordt gesteld en de randvoorwaarden die daarbij gelden. Het vrijgeven van de broncode van software is een goede manier om transparant te zijn over de kwaliteit van de software en is ook een goede manier om een «gratis kwaliteitscontrole» te organiseren. Daarom stel ik de broncode graag beschikbaar.
Bij het definiëren van de werkwijze voor het vrijgeven en het moment waarop dat plaatsvindt zijn twee zaken van belang.
Allereerst brengt het vrijgeven van de broncode van de BRP een inherent risico mee. Dat is gelegen in het feit dat de BRP de gegevens van alle in Nederland woonachtige personen bevat (en ook van een groot aantal niet-ingezetenen). Door analyse van de code kunnen kwaadwillenden beveiligingstechnisch kritische plekken ontdekken en deze op een later moment, als de BRP-voorzieningen gebruikt worden, benutten. Dat kan leiden tot onrechtmatige toegang tot deze gegevens, met inbreuken op de privacy van burgers dan wel verstoring van de beschikbaarheid of de integriteit van het stelsel tot gevolg. Dit moet uiteraard worden vermeden.
Aan het vrijgeven van de code kunnen dus, indien het niet weloverwogen gebeurt, risico’s zijn verbonden. Om de beveiliging van de BRP en de daarin in de toekomst opgeslagen persoonsgegevens te waarborgen, zal het vrijgeven van de broncode van de BRP daarom onder voorwaarden gebeuren.
Ten tweede komt de BRP stapsgewijs tot stand, in de vorm van volgtijdelijk op te leveren werkende versies, waarbij de functionaliteit van versie tot versie groeit. De volgorde waarin de onderdelen van de BRP beschikbaar komen is vastgelegd in het opleveringsplan van de BRP1. Als gevolg van deze stapsgewijze ontwikkeling van de BRP is sprake van vooraf gedefinieerde werkende versies van (delen van) de BRP die voor vrijgave in aanmerking komen.
Met inachtneming van deze twee zaken heb ik de voorwaarden voor vrijgave van de broncode opgenomen in een beleidskader. Het beleidskader is tot stand gekomen na consultatie van het Centrum voor Informatiebeveiliging en Privacy van de Manifestgroep, de Informatiebeveiligingsdienst voor gemeenten (IBD) van KING, het Bureau Forum Standaardisatie en beveiligingsexperts van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties (waaronder die van het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten). Daarnaast zijn ook de leveranciers van burgerzakenmodules die participeren in regulier overleg met het programma Operatie BRP (voorheen mGBA) betrokken.
Het beleidskader kent de volgende elementen:
Om te beginnen wordt periodiek, op een logisch moment, een versie van de code opgeleverd ten behoeve van vrijgave aan geïnteresseerden. Het zal gaan om de momenten waarop een stabiele, werkende versie van (delen van) de software voor de Basisregistratie Personen beschikbaar is. Die versie van de software wordt beschikbaar gesteld. Er zullen geen «losse» onderdelen van de code beschikbaar worden gesteld.
De eerste oplevering van een versie van de broncode van de Basisregistratie zal in verband hiermee naar verwachting begin 2015 plaatsvinden. Dat is namelijk de periode waarin de voorzieningen voor Levering worden opgeleverd, het eerste onderdeel van de Basisregistratie Personen dat gereed zal zijn.
De onderdelen van de code die de toegang tot c.q. de beveiliging van de Basisregistratie Personen betreffen worden om redenen van veiligheid niet vrijgegeven (d.w.z. worden uit de code verwijderd). Bij deze te verwijderen onderdelen van de code gaat het in ieder geval om delen die de uitwisseling van gegevens betreffen (berichten), om de firewall(instellingen), de onderdelen voor identificatie en authenticatie c.q. de PKIO-certificaten, de IP-adressen, beveiligingssleutels respectievelijk -codes en om de definitie en de wijze van aanroepen van webservices. Het voornoemde is een indicatie, in een externe (code) review zal de vraag worden meegenomen welke onderdelen een zodanig beveiligingsrisico met zich brengen dat ze niet zouden moeten worden vrijgegeven.
In het verlengde daarvan zal het Ministerie met partijen die de code willen inzien een overeenkomst sluiten rond «responsible disclosure». Die overeenkomst komt erop neer dat partijen die de broncode willen inzien met BZK een periode overeenkomen (variërend van een paar weken tot enige maanden) waarin
– de partijen die de broncode inzien kwaliteitsproblemen en kwetsbaarheden melden2;
– de ontwikkelaars dergelijke gesignaleerde problemen en kwetsbaarheden verhelpen.
Het sluiten van een dergelijke overeenkomst is mogelijk voor alle organisaties of individuen die daarvoor in aanmerking wensen te komen. Er vindt geen selectie plaats, de enige voorwaarde voor het kunnen inzien van de broncode is dus de bereidheid zich aan de overeenkomst te verbinden. Inzage in de broncode zal plaatsvinden op een vooraf door BZK ingerichte locatie.
Met de betrokken partijen zal na afloop van de overeenkomst bekeken worden of een volgende stap in de beschikbaarstelling van de broncode toegevoegde waarde heeft. Die volgende stap behelst het plaatsen van de broncode op een website die voor iedereen toegankelijk is.
Ten slotte, het intellectueel eigendom van de code berust bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.
De Minister van Binnenlandse Zaken en Koninkrijksrelaties,
R.H.A. Plasterk