Knops: versleutelen data in Basisregistratie Personen 'geen zinvolle maatregel'

Knops liet in het afgelopen jaar een onderzoek uitvoeren naar de beveiliging van de BRP. In de BRP staan de gegevens van alle Nederlands opgeslagen. Uit het onderzoek blijkt nu dat versleuteling nu "niet de meest passende maatregel is voor het verbeteren van de bescherming van privacygevoelige informatie in basisregistraties", aldus Knops in zijn Kamerbrief. "Er valt meer winst te behalen door het nemen van andere maatregelen."

De reden dat encryptie niet de meest passende maatregel is, is omdat grote aantallen gebruikers en gemeenten de gegevens ontsleuteld moeten kunnen gebruiken in de eigen processen. Daardoor wordt "het beveiligende effect van de versleuteling teniet gedaan". Bovendien is versleuteling alleen niet genoeg om de beveiliging te garanderen, benadrukt Knops in zijn brief. "Er zal altijd een combinatie van maatregelen nodig zijn die op diverse terreinen kunnen liggen." Het gaat dan bijvoorbeeld om  fysieke maatregelen als toegangscontrole tot locatie en apparatuur, of organisatorische maatregelen als opleiding van personeel. 

De beslissing van nu betekent echter niet dat versleuteling nooit meer overwogen wordt. "Het stelsel van maatregelen is continue aan verandering onderhevig door technische doorontwikkeling, nieuwe dreigingen en veranderende mogelijkheden", zegt de staatssecretaris. "In de toekomst kan blijken dat extra versleuteling wel een adequate maatregel kan worden."

Geen gecentraliseerd BRP

De onderzoekers hebben wel een aantal andere aanbevelingen gedaan, maar Knops neemt die niet allemaal over. Eén daarvan is het centraliseren van de BRP. Als reden geeft Knops dat de inrichting van de ICT-voorzieningen gebaseerd is op de "decentraal belegde verantwoordelijkheden van onder andere gemeentes en BZK binnen het BRP-stelsel". "Er zijn geen voornemens om deze opzet ingrijpend te gaan veranderen. Gemeenten zijn en blijven verantwoordelijk voor de registratie en het bijhouden van gegevens van hun inwoners."

Wel moet er bij de doorontwikkeling van de BRP aandacht besteed worden aan mogelijkheden om de privacy van burgers beter te borgen. "Denk daarbij aan dataminimalisatie en meer bevragen bij de bron in plaats van het werken met kopieën."