Plasterk wel érg voorzichtig met vrijgeven broncode BRP

Minister Ronald Plasterk (BZK) heeft de kamer gemeld hoe en onder welke voorwaarden de broncode van het (vertraagde) mGBA-project (dat de GBA-opvolger BRP op moet leveren) aan belangstellenden wordt vrijgegeven. Dat zal in ieder geval niet voor begin 2015 gebeuren. En veel te beperkt, vindt René Veldwijk van Ockham Groep.

In november beloofde de minister dat de broncode van de GBA-opvolger Basisregistratie Personen (BRP) op verzoek zou worden vrijgegeven, zodat deskundigen ernaar konden kijken en om transparant te zijn.

Gevoelige materie
Plasterk betoogt dat er met twee dingen rekening gehouden dient te worden. Ten eerste is de GBA erg belangrijk omdat de gegevens van alle Nederlanders (en niet-ingezetenen) erin zitten. "Door analyse van de code kunnen kwaadwillenden beveiligingstechnisch kritische plekken ontdekken en deze op een later moment, als de BRP-voorzieningen gebruikt worden, benutten. Dat kan leiden tot onrechtmatige toegang tot deze gegevens, met inbreuken op de privacy van burgers dan wel verstoring van de beschikbaarheid of de integriteit van het stelsel tot gevolg." Voorzichtigheid is dus geboden. Ten tweede gebeurt de ontwikkeling van de nieuwe GBA-software zodanig stapsgewijs, dat er alleen periodiek compleet werkende versies vrijgegeven kunnen worden.

Voorwaarden gesteld
Dat brengt Plasterk tot een aantal voorwaarden. De vrijgave zal periodiek geschieden als er stabiele werkende versies van de gehele software zijn; losse delen zullen niet worden vrijgegegeven. De eerste keer dat zo'n versie beschikbaar komt zal 'naar verwachting begin 2015' zijn. Een uitzondering geldt de onderdelen die de beveiliging raken (berichtenverkeer, firewall et cetera). Daarnaast zal daadwerkelijke inzage door derden alleen mogelijk zijn na ondertekening van een overeenkomst waarin een periode wordt vastgelegd om mogelijke lekken te melden en te (helpen) dichten. Dat is gelijk ook de enige voorwaarde; verder gelden geen selectiecriteria. BZK bepaalt op welke locatie de broncode mag worden ingezien.

'Doorzichtig ontwijkgedrag' 

René Veldwijk van Ockham Groep, die BZK onlangs expliciet om de broncode vroeg, laat geen spaan heel van de brief van Plasterk. Die probeert onder zijn belofte uit te komen, is zijn conclusie. "Het is verrassend dat het zo doorzichtig gebeurt. Er zit geen enkele subtiliteit in het verhaal." Veldwijk had onder andere willen zien hoe de code er in mei 2013 uitzag, op basis waarvan adviesbureau Gartner concludeerde dat er 32 procent van de programmatuur af was. Daar komt nu dus niets van terecht. Datzelfde dreigt te gelden voor inzage in de 'koppelvlakken' waarmee marktpartijen kunnen aansluiten op de BRP. "Nu zeggen ze: die software gaan we niet vrijgeven. Alles wat te maken heeft met berichten, kan geheim verklaard worden. Dat kan tachtig procent van de code zijn!"

Werkende software
Er zitten ook 'grappige inconsistenties' in Plasterks verhaal, vindt Veldwijk. "Er staat: we gaan alleen werkende software uitleveren. Maar niemand stelt die eis. En halverwege 2015 zal niemand kunnen vaststellen of de software daadwerkelijk werkt. Dan heeft het ook geen zin zolang te wachten." En dat er om veiligheidsredenen omzichtg moet worden omgesprongen met de broncode is ook een verkeerd argument, vindt hij. "De BRP is volledig gerealiseerd op basis van open source software: Java, Postgress, Linux." Hij verwacht van BZK een afwijzingsbrief op het verzoek van Ockham. "De kans is levensgroot dat deze kwestie weer over het kabinet heen wordt getild."