Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 14 mei 2024
Met deze brief informeer ik uw Kamer dat het tweede deel van de DigiD-broncode, op
grond van een beroep op de Wet open overheid (Woo), vandaag openbaar is gemaakt. Het
eerste deel betrof de broncode van de DigiD app en is op 16 januari 2023 gepubliceerd,
waarover ik uw Kamer destijds heb geïnformeerd.1
Openbaar gemaakte broncode
De broncode van de DigiD software is gepubliceerd in de broncodepublicatieruimte van
het Ministerie van BZK op GitHub2. Deze openbaarmaking is na een zorgvuldig proces met de indiener van het Woo-verzoek
en een extern onderzoek naar beveiligingsaspecten van de meest kritieke onderdelen
van de broncode tot stand gekomen. De managementsamenvatting van dit onderzoek en
de reactie van Logius erop stuur ik mee met deze brief.
Enkele fragmenten in de broncode kunnen een beveiligingsrisico voor de continuïteit
van DigiD en gerelateerde voorzieningen opleveren. Deze fragmenten zijn in de gepubliceerde
broncode vervangen door de letter «s» («security»). Daarnaast zijn fragmenten waaruit
persoonsgegevens van ontwikkelaars te herleiden zijn vervangen door de letter «P»
(«privacy»). Deze uitzonderingen zijn in het deelbesluit op het Woo-verzoek toegelicht.3
De broncode van DigiD die openbaar is gemaakt is een momentopname, een «foto» van
de broncode op een bepaald moment in de tijd. Logius streeft ernaar om de broncode
op termijn als «film» te kunnen publiceren, waarbij nieuwe versies steeds ook openbaar
gemaakt worden.
De Wet digitale overheid (Wdo) en het «Open, tenzij» principe
De Wet digitale overheid (Wdo) schrijft voor dat de broncode van inlogmiddelen die
vallen binnen de reikwijdte van de wet moet worden vrijgegeven, tenzij dat om veiligheidsredenen
niet verantwoord is.
Deze regeling komt in feite neer op het «open, tenzij»-principe voor dergelijke inlogmiddelen
en geldt ook voor DigiD.
De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties,
A.C. van Huffelen