BPR hield probleem onder de pet

16 september 2011

De dienst werd februari vorig jaar over de manco’s ingelicht door Logica, dat de BV BSN beheert. Ze ondernam weliswaar direct actie om de situatie (die waarschijnlijk al langer aanwezig was geweest) stapsgewijs te verbeteren en zou dat hersteltraject voorjaar 2011 afsluiten, maar het ministerie kreeg er niets over te horen. Reden: BPR vond dat de problemen zich snel zouden laten oplossen.

Dat blijkt uit onderzoek van de Rijksauditdienst naar de inrichting, werking en beveiliging van de beheervoorziening. De BV BSN is operationeel sinds november 2007. Ze genereert de unieke persoonsnummers voor iedereen met een relatie met de Nederlandse overheid, distribueert deze over instanties die ze toekennen (gemeenten, Belastingdienst), legt vast aan wie ze zijn toegekend en is raadpleegbaar voor instanties voor controledoeleinden en voor het benaderen van achterliggende persoonsregistraties. De aanmaakdatum van elk BSN wordt niet vastgelegd, wat in strijd is met de norm en een risico vormt voor het doelmatig analyseren van foutsituaties.

Jaarlijks levert Logica aan BPR een ‘assurance rapport’, opgesteld door een externe auditor. Het beperkt zich tot een momentopname van maatregelen uit het beveiligingsplan, waarbij ‘deels gesteund wordt’ op de certificering van Logica op basis van beveiligingsnorm ISO 27001. De Rijksauditdienst noemt dit onwenselijk vanwege het risico van een onvolledig beeld. Uit het rapport van mei 2010 bleek dat restore-testen van back-ups ‘niet aantoonbaar uitgevoerd’ werden en opslag van back-ups op externe locaties ook niet plaatsvond. Voorts was het besturingssysteem niet ‘gehard’, door de auditdienst verklaard als ‘niet optimaal beveiligd’. Software-updates waren sinds oktober 2008 niet meer uitgevoerd. Binnen BPR lag een groot aantal functies op het gebied van beveiliging bij één persoon. Mede daardoor werden beveiligingsactiviteiten niet geïntegreerd uitgevoerd met andere beheeractiviteiten.

De BSN-voorziening draait in duplo in twee gescheiden rekencentra. Het informatiebeveiligingsplan van Logica en een door BPR opgestelde appendix zijn nooit geformaliseerd en bovendien onvolledig, waardoor een compleet beeld van de maatregelen ontbreekt en van de toereikendheid daarvan dus ook. De Rijksauditdienst vindt dat het beveiligingsplan ten onrechte niet ingaat op de privacyrechtelijke aspecten van de inzet van een vestiging in India voor het monitoren van de BV BSN.

Elke drie jaar moet de BV BSN worden geaudit. Dit was de eerste keer. De Rijksauditdienst denkt dat de beveiligingsproblemen ‘niet hebben geleid tot het optreden van incidenten’, maar spreekt met betrekking tot het niet melden van ‘een significante afwijking van de norm’. Minister Donner heeft de rapportage, gedateerd 9 mei 2011, vorige week naar de Tweede Kamer gestuurd, midden in de ophef over de hack van DigiNotar en de poging van dat bedrijf om de vuile was binnen te houden.

De audit heeft nog een ander opmerkelijk feit aan het licht gebracht. Er is altijd gesteld (en wettelijk vastgelegd) dat het BSN ‘informatieloos’ is. Er zou niets uit af te leiden zijn over de genummerde persoon. Dat blijkt onwaar. Je kunt er weliswaar geen geslacht of leeftijd aan aflezen, maar wel of het voor of na 26 november 2007 is toegekend en of een BSN van na die datum eerst door de Belastingdienst als sofinummer was uitgegeven. Ook is de willekeurige uitgifte, gebaseerd op een ‘pseudo randomgenerator’, niet helemaal willekeurig. De Rijksauditdienst spreekt van ‘een beperkte mate van indirecte informatie’, die het Burgerservicenummer herbergt, en heeft ‘geen belangrijke scenario’s voor misbruik’ in beeld gekregen. Maar wet en praktijk zijn niet in overeenstemming met elkaar. Daarin verandering brengen is ‘complex en duur’.

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Neem contact met ons op!