Aan de Voorzitter van de Tweede Kamer der Staten-Generaal

Den Haag, 31 januari 2018

Met deze brief informeer ik u over de mogelijkheden voor verdere openbaarmaking van broncode en testbestanden van de operatie BRP en welke stappen ik daarin zet. Vervolgens ga ik in op de uitkomsten van het onderzoek door de Landsadvocaat of er kosten van operatie BRP te verhalen zijn op externen die aan de operatie BRP hebben gewerkt. Ook informeer ik u met deze brief over de stappen die ik dit jaar ga zetten om tot een plan van aanpak te komen dat leidt tot een toekomstvisie voor de Basisregistratie Personen (BRP) (motie van het lid Middendorp, Kamerstuk 34 775 VII, nr. 39). Tot slot voer ik met deze brief de toezegging van mijn voorganger op dit dossier aan de vaste Kamercommissie voor Binnenlandse zaken (Kamerstuk 27 859, nr. 114) uit om de Kamer in januari 2018 te informeren over de voortgang van het onderzoek naar de toekomstvastheid van de GBA-V.

Advies Autoriteit Persoonsgegevens: verdere openbaarmaking

In mijn streven naar maximale transparantie is mijn inzet om vóór 31 maart aanstaande het merendeel van nog niet openbaar gemaakte bestanden van de laatste versie van de broncode en bijbehorende functionele en technische documentatie van Operatie BRP te publiceren. Dit besluit heb ik genomen met inachtneming van de opmerkingen van de Autoriteit Persoonsgegevens (zie bijlage1) en zijn advies om programmeurs in staat te stellen bezwaar te maken tegen openbaarmaking, voor het geval zij hun eigen BSN hebben gebruikt.

Uit een nadere analyse door CIO-BZK is gebleken dat slechts een beperkt deel van de nog niet gepubliceerde bestanden om veiligheidsredenen niet kan worden vrijgegeven. Dit is vanwege te gedetailleerde informatie die gerelateerd kan worden aan de bestaande systemen en gebruikers van de BRP.

De openbaarmaking vindt op dezelfde wijze plaats zoals bij de eerdere openbaarmaking van de broncode en documentatie van de BRP is gebeurd; dat wil zeggen open source en onder dezelfde voorwaarden.

Om ook voor toekomstige situaties de privacyrisico’s met testbestanden zo klein mogelijk te maken wordt binnen de rijksoverheid een dataset ontwikkeld met daarin exclusief voor testen gereserveerde (fictieve) BSN’s. Dit ondersteunt opensourcebeleid, omdat dan vooraf al rekening gehouden kan worden met de privacyrisico’s bij openbaarmaking van testgegevens.

Onderzoek Landsadvocaat: aansprakelijkheid kosten

De Landsadvocaat concludeert dat het «zeer waarschijnlijk niet» mogelijk is om de betrokken partijen bij operatie BRP aansprakelijk te stellen voor de kosten die zijn gemaakt. Daarbij heeft de Landsadvocaat onderzoek gedaan naar de partijen die voor operatie BRP personeel aan de Staat uitleenden, het door de Staat ingeleende personeel en de adviseurs die de Staat bij dit project inschakelde.

De Landsadvocaat stelt dat door de aanpak van inhuur van IT-personeel en adviseurs de Staat in feite zelf het risico draagt voor slagen of voortijdig stoppen van het project. Daarnaast heeft de Staat, door de tussenkomst van ICTU en uitleenbedrijven, geen directe contractuele relatie met het ingehuurde personeel. Ook de kans van slagen om kosten te verhalen bij de uitleners en bij ICTU acht de Landsadvocaat zeer gering. Voor ingehuurd personeel en voor adviseurs geldt dat eventuele fouten alleen bewezen kunnen worden door deskundigenberichten om te kunnen beoordelen of er is voldaan aan een professionele norm. Daarmee – en met de juridische procedures – zijn aanzienlijke kosten gemoeid. Bovendien zijn met de betrokken partijen afspraken gemaakt die de schadeaansprakelijkheid sterk beperken. De Landsadvocaat denkt daarom dat er zeer waarschijnlijk geen betekenisvolle terugbetalingen of schadeloosstellingen gevorderd kunnen worden en ontraadt verder te investeren in het verhalen van de kosten.

Met dit advies van de Landsadvocaat acht ik het niet zinvol en kansrijk om kosten te verhalen op ingehuurde partijen.

Tot slot vroeg de heer Bosma (PVV) tijdens het AO van 13 december jl. (Kamerstukken 27 859 en 25 764, nr. 120) of er nog claims bij de Staat zijn ingediend of zijn te verwachten vanwege het stoppen van operatie BRP. Tot op heden zijn hierover geen claims of aankondigingen van claims ontvangen.

Onderzoek toekomstvastheid centrale voorzieningen BRP

Op dit moment doe ik onderzoek naar de toekomstvastheid van de centrale voorzieningen van de BRP. Er wordt onderzocht wat er nodig is om de bestaande centrale voorzieningen van de BRP in hun huidige staat te laten functioneren voor de komende vijf tot zeven jaar, zonder dat daar functionele wijzigingen in hoeven te worden aangebracht. De uitkomsten hiervan moeten duidelijk maken of er aanpassingen nodig zijn om het huidige systeem toekomstvast te houden of te maken. CIO-BZK en de ADR (Audit Dienst Rijk) zien toe op de uitvoering van het onderzoek. Het onderzoek wordt eind maart opgeleverd, waarna ik u over de uitkomsten per brief verder informeer.

Plan van aanpak voor toekomstvisie op de BRP

Het plan van aanpak wordt opgeleverd nadat de Commissie BRP haar advies heeft uitgebracht. Ik acht het van belang dat de lessen die de Commissie BRP oplevert, meegenomen worden in dat plan van aanpak. Daarnaast wordt in het plan van aanpak rekening gehouden met het BIT-advies en de uitkomsten van het onderzoek naar de toekomstvastheid van de centrale voorzieningen van de BRP.

Zoals het BIT adviseert, ontwikkel ik een geheel nieuw plan waarbij ik eerst de behoeften van de afnemers en gemeenten inventariseer. Daarbij hanteer ik een stapsgewijze aanpak en maak ik voor het plan van aanpak onderscheid in drie categorieën: 1) de noodzakelijke aanpassingen die blijken uit het onderzoek naar de toekomstvastheid, 2) de strikt noodzakelijke behoeften van gemeenten en afnemers voor de korte tot middellange termijn (komende vijf tot zeven jaar) in het huidige systeem en 3) de behoeften voor de lange termijn (vanaf 2025).

Op basis van de gesprekken met gemeenten en afnemers moet een afweging worden gemaakt wat haalbaar is binnen de bestaande financiële en juridische kaders en de technische mogelijkheden van de huidige systemen. Een voorbeeld van een dergelijke wens die nu al opgepakt wordt en binnen die kaders past, is de verbetering van de Terugmeldvoorziening (TMV). De TMV is een centrale voorziening van de BRP waarmee afnemers – bijvoorbeeld de Belastingdienst – aan gemeenten kunnen melden wanneer er een vermoeden is dat een gegeven incorrect is. Deze terugmelding en het onderzoek hiernaar zijn wettelijk verplicht. De verbetering draagt bij aan de kwaliteit en betrouwbaarheid van persoonsgegevens in de BRP. Deze verbetering is niet afhankelijk van de toekomstige ontwikkeling van de BRP en kan daarom nu al doorgevoerd worden.

Voor de visie op de langere termijn (vanaf 2025) staan alle opties open en wordt niet alleen gesproken over wat afnemers en gemeenten van de BRP nodig hebben voor de uitvoering van hun taken, maar ook over andere aspecten zoals governance, financiering en digitale ontwikkelingen. Zoals in het AO van 13 december 2017 is toegezegd, stuur ik u voor de zomer van 2018 het plan van aanpak om tot die toekomstvisie te komen.

De Staatssecretaris van Binnenlandse Zaken en Koninkrijksrelaties, R.W. Knops