Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 16 januari 2023

Transparantie en veiligheid zijn belangrijke waarden van de digitale overheid. Dit geldt ook voor software die de overheid ontwikkelt, zoals ik heb benoemd in mijn Werkagenda Waardengedreven Digitalisering1 en in lijn met eerder «open source, tenzij»-beleid2. Via deze brief informeer ik uw Kamer dat de broncode van de DigiD-app na een Woo-verzoek openbaar is gemaakt, na een open en zorgvuldig proces met de indiener van dit Woo-verzoek. Iedereen kan nu zelf de broncode van de mobiele app van DigiD bekijken en de werking ervan nagaan.

Aan de slag met het vrijgeven van broncode

Logius is een agentschap van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties dat producten en diensten voor de digitale overheid heeft, zoals DigiD, MijnOverheid en Digipoort. Logius heeft in 2022 besloten om actief maar beheerst aan de slag te gaan met het openbaar maken van broncode. Omdat de voorzieningen steeds veilig en betrouwbaar moeten blijven werken vraagt dit om een zorgvuldige aanpak.

In juni 2022 heeft Logius een Woo-verzoek ontvangen voor het openbaar maken van de broncode van DigiD. Met DigiD kunnen burgers op een veilige en betrouwbare manier inloggen bij publieke dienstverleners, waarna zij hun gegevens kunnen inzien en zaken kunnen afhandelen. Op basis van dit Woo-verzoek is Logius gestart met het onderzoeken hoe de broncode van DigiD verantwoord openbaar gemaakt kan worden.

Open proces

Logius heeft bij de afhandeling van het Woo-verzoek gekozen voor een open aanpak, in dialoog met de indiener van het Woo-verzoek. Logius onderzoekt het openbaar maken van de broncode van DigiD in twee fasen: eerst de broncode van de mobiele app van DigiD en daarna de broncode van de DigiD-software die bij Logius draait. Uit een review met interne en externe deskundigen is gebleken dat de broncode van de app vrijwel geheel vrijgegeven kan worden (zie toelichting onder Openbaar gemaakte broncode). Komende periode werkt Logius aan het tweede deel van het Woo-verzoek voor het deel van de DigiD-software die bij Logius draait. Ik zal u over de uitkomsten van deze verkenning informeren.

De broncode van de DigiD app die openbaar is gemaakt is een momentopname, een «foto» van de broncode op een bepaald moment in de tijd. Logius streeft ernaar om de broncode op termijn als «film» te kunnen publiceren, waarbij nieuwe versies steeds ook openbaar gemaakt worden. De software moet hiervoor geschikt gemaakt worden. Daarnaast moet ook de organisatie klaar zijn om deze andere manier van werken te ondersteunen. Het kost tijd om dit zorgvuldig te kunnen doen, naast de dagelijkse werkzaamheden om te zorgen dat DigiD veilig en betrouwbaar blijft werken.

Openbaar gemaakte broncode

De broncode van de DigiD-app is gepubliceerd in de broncodepublicatieruimte van het Ministerie van BZK op GitHub3. Enkele fragmenten in de broncode kunnen een beveiligingsrisico voor de continuïteit van DigiD opleveren. Denk daarbij aan informatie over de infrastructuur waar DigiD op draait. Deze fragmenten zijn in de gepubliceerde broncode vervangen door de letter «S» («security»). Daarnaast zijn fragmenten waaruit persoonsgegevens van ontwikkelaars te herleiden zijn vervangen door de letter «P» («privacy»). Deze uitzonderingen zijn in het deelbesluit op het Woo-verzoek toegelicht4.

Tot slot

Het openbaar maken van de broncode van de mobiele app van DigiD gebeurt op een zorgvuldige manier, zodat het gebruik van DigiD voor iedereen steeds veilig en betrouwbaar blijft.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, A.C. van Huffelen