Gegevens uit de Basisregistratie Personen (BRP) hoeven niet versleuteld te worden opgeslagen, en zullen niet uitsluitend centraal worden opgeslagen. Dat schrijft staatssecretaris Knops (BZK) aan de Tweede Kamer in reactie op een rapport over de veiligheid van de persoonsgegevens in de BRP.
Regeerakkoord
Het versleutelen van data in de BRP staat in het regeerakkoord, maar Knops wilde nog onderzoeken of zo’n maatregel zal bijdragen aan de veiligheid van de persoonsgegevens. Het rapport, uitgevoerd door ICT-adviesbureau Noordbeek, constateert dat de voordelen van een versleuteling van die gegevens niet groot is. Meer dan 600 organisaties en gemeenten maken immers gebruik van de BRP, en als die allemaal een versleuteling moeten gebruiken om de gegevens, onversleuteld, in hun eigen systemen te gebruiken, dan wordt het beveiligende effect van de maatregel teniet gedaan. Volgens Knops valt er met die maatregel dus geen veiligheidswinst te behalen.
Kwetsbaar
Het rapport stelt wel dat de beveiliging van data en de kwetsbaarheid voor misbruik van de BRP verbeterd kan worden. Zo zijn de wachtwoorden voor toegang tot de data te kort, en is er te weinig grip op de autorisaties voor het beheer en de toegang tot de gegevens. Daarnaast zijn de systemen ‘onvoldoende robuust’ tegen de dreiging van ransomware of andere bewuste cyberaanvallen-aanvallen. In sommige gevallen is het gebruik van de BRP-gegevens in strijd met de AVG. Het belangrijkste advies van de onderzoekers is om ‘bij de toekomstige ontwikkelingen van het BRP te overwegen af te stappen van de gedistribueerde structuur en over te gaan naar een centrale opslag van de persoonsgegevens die authentiek dienen te zijn.’
Beheer
Knops ziet echter niets in het centraliseren van de BRP. Dat grijpt volgens de staatssecretaris teveel in op de rol van de gemeenten in het beheren van de data van hun eigen burgers. ‘De bestuurlijke inrichting van taken en verantwoordelijkheden is leidend voor de ondersteunende techniek. Er zijn geen voornemens om deze opzet ingrijpend te gaan veranderen. Gemeenten zijn en blijven verantwoordelijk voor de registratie en het bijhouden van gegevens van hun inwoners.’ Knops wil de Autoriteit Persoonsgegevens wel vragen om medewerking te verlenen in de bewustwording van gemeenten over de AVG.
Bron: BinnenlandsBestuur Digitaal