Dat grote belangstelling bestaat om bij BPR binnen te kijken, blijkt uit de klantendag, die volgende week voor het eerst sinds januari 2007 wordt gehouden: bij de 900ste aanmelding moest BPR de inschrijving sluiten. En dan stuurt minister Donner (Binnenlandse Zaken) drie weken ervoor een auditrapport naar de Tweede Kamer, dat BPR opnieuw neerzet als instantie die aan ‘organisatieculturele aspecten als openheid en transparantie’ moet werken (zie Automatisering Gids 16 september). Vorig jaar hield men beveiligingsproblemen bij de Beheervoorziening Burgerservicenummer stil, volgens de Rijksauditdienst ‘een significante afwijking van de norm’.

Gerdine Keijzer, april 2010 aangetreden, benadrukt dat direct verbeteracties zijn gestart, maar erkent dat het niet was ‘zoals het hoort’. Als kersverse directeur wist ze dat er problemen waren en dat er iets aan werd gedaan, maar niet dat het niet aan het ministerie was gemeld. Dát hoorde ze pas van de auditors. Hun aanbeveling om een ‘adequate uitvoering van de afspraken’ te bevorderen en daarbij naar de bedrijfscultuur te kijken, is overgenomen. “Een leerpunt dus, dat we serieus nemen,” aldus Keijzer. Volgens het auditrapport zou het euvel worden weggewerkt in een in het eerste kwartaal van 2011 af te ronden hersteltraject. Het duurde langer. Het is nu ‘nagenoeg afgerond’, zegt ze: achterstallige software-updates uitgevoerd, back-up- en restoreproces verbeterd (nu wel met externe opslag van back-ups), informatiebeveiligingsplan geformaliseerd. En de ‘hardening’ van het besturingssysteem is ‘bijna gereed’.

Overigens blijkt er nog een incident te zijn geweest, bij het GBA-Verstrekkingensysteem, net als BV BSN technisch beheerd door Logica. “Het vermoeden bestond dat onbevoegden mogelijk toegang hadden tot GBA-V. Dat is wél meteen gemeld. De impact was eerst onduidelijk, maar bleek zeer gering. Vastgesteld is dat het niet het geval was.”

BPR is veranderd

BPR doet, buiten het burgerservicenummer, de uitvoering van het beleid rond reisdocumenten en bevolkingsadministratie. De ondoorzichtige totstandkoming van het biometrisch paspoort, beschreven in twee door de Wetenschappelijke Raad voor het Regeringsbeleid gepubliceerde studies en tijdens een hoorzitting in de Tweede Kamer, bezorgt BPR ook een imagodeuk. En dat terwijl Keijzer is aangesteld om de gesloten cultuur open te breken, verbindingen met de buitenwereld te leggen en BPR als gerespecteerde spil in de identiteitsinfrastructuur op de kaart te zetten. “Het is vervelend, maar het gaat niet over het BPR van nu. Conclusies uit het verleden worden doorgetrokken naar nu. De kritiek gaat over het beleid. Inmiddels is er een scheiding tussen beleid en uitvoering. Wij hebben geen beleids- en ontwikkeltaken meer. Die zijn naar het ministerie gegaan. Het is niet alleen een tijd geleden, wij hebben er ook geen verantwoordelijkheid meer voor.” Overigens heeft Donner de Leidse hoogleraar Roel Bekker, tot vorig jaar programma-secretaris-generaal Vernieuwing Rijksdienst, benoemd tot onafhankelijk onderzoeker van de ontwikkeling van het paspoort.

Bij bevolkingsadministratie gaat het er om de GBA met de Registratie Niet-Ingezetenen (RNI) te moderniseren tot Basisregistratie Personen (BRP). De modernisering van de GBA is, toen dat project in 2009 vastliep, voor een herstart naar het ministerie gehaald, al woont het programma omwille van korte communicatielijnen bij BPR in. BPR levert kennis en expertise, en is beoogd BRP-beheerder. De migratie is een jaar verschoven en nu voorzien voor 2013-2016. “Dat is een lange tijd, waarin twee stelsels naast elkaar draaien. Dat moet naadloos aansluiten. Iemand moet van een GBA-gemeente kunnen verhuizen naar een gemigreerde BPR-gemeente, maar omgekeerd ook. Een belangrijk aansturingsvraagstuk, waarop we ons volop voorbereiden.”

Dit voorjaar werd bekend dat het gegevensverstrekkingensysteem GBA-V ongeschikt is om door te ontwikkelen als robuust onderdeel van BRP, die daarom from scratch wordt ontwikkeld. Maar onlangs kondigde BPR aan dat de ‘uitbreiding van GBA-V gestart’ was. Die moet april 2012 af zijn. Het is niet dubbelop, stelt Keijzer. “We hebben de uitbreiding naar Full service nodig voor een beheerste migratie naar BRP en ook voor RNI. Die kent geen eigen verstrekkingensysteem en kan niet op BRP wachten. RNI moet oktober 2012 operationeel zijn. De bouw moet eind dit jaar starten. En GBA-V moet tot het eind van de migratie in 2016 functioneren. De uitbreiding is dus nodig en niet voor even.”

Wellicht weer in eigen huis

BPR verwierf (‘als eerste overheidsorganisatie’, aldus het persbericht) een certificaat van de Software Improvement Group voor GBA-V, maar dat verhinderde niet dat de gegevensverstrekking aan 880 afnemers dit voorjaar een tijdlang haperde. Het keurmerk betreft de onderhoudbaarheid van de broncode, die vier (van vijf mogelijke) sterren haalde. “We hebben lang moeten zoeken naar de oorzaak van de storing. In een weekend is onderhoud gepleegd aan de database, waardoor ook een upgrade nodig werd van RedHat 4 naar 6. Daarnaast waren er nog andere tegenvallers, waaronder enkele apparaten die het begaven. Het was de wet van Murphy, een domino-effect, maar dan zonder dat tussen de dominostenen een verband bestond. Dat maakte probleemdetectie en herstel lastig. Het heeft precies een maand geduurd.”

Keijzer heeft eerder de vraag opgeworpen of gevoelige data als burgerservicenummers, paspoort- en bevolkingsgegevens wel door particuliere bedrijven beheerd moeten worden. Buiten Logica is onder meer Inter Access hostingpartner. Inmiddels wordt bekeken of na expiratie van lopende contracten GBA-V, BV BSN en Basisregistratie Reisdocumenten (voorheen het Negatief Paspoortenregister, met reisdocumenten die niet meer in omloop mogen zijn) in beheer komen bij een van de vier of vijf rijksrekencentra, die in het programma Compacte Rijksdienst worden gevormd.

Uitdagingen

De GBA, straks BRP, is kern in het stelsel van basisregistraties, waarin ook de Basisregistratie Adressen en Gebouwen (BAG) een cruciale positie heeft. 1 juli moesten gemeenten de adressen voor de GBA uit de BAG halen, maar slechts 76 (van de 418) hadden een koppeling. BPR heeft er veel werk aan om gemeenten voor de nieuwe deadline van 1 november zover te krijgen. Een recent overzicht leert dat in oktober nog 212 gemeenten de koppeling moeten regelen en 18 nog helemaal niet zijn ingepland danwel een eerder bepaalde datum hebben verlaten en een nieuwe moeten afspreken. Dat de meeste wel ingepland zijn stemt Gerdine Keijzer optimistisch. Voor het overige is het: “Er ontzettend achteraan jagen, overleggen, nieuwe middelen inzetten, listen bedenken, een charmeoffensief beginnen.”

Zo ook vindt ze het Programma Vernieuwing, dat BPR bij de tijd moet brengen, een geweldige uitdaging. Medewerkers waren verbaasd over de ontevredenheid in de buitenwereld over BPR, terwijl de beheerprestaties (“De service levels worden ruimschoots gehaald”) goed waren. Bij haar aantreden trof ze ook een wens aan verandering in het ‘diffuse imago’ te brengen. “We hebben ons aangemeld bij de Programmaraad Stelsel van Basisregistraties. Nee, daar zaten we nog niet in. Men was verrast: Goed, dat je erbij komt.” Intern was behoefte aan een heldere koers. “Keuzes van het management waren voor medewerkers niet duidelijk. Er zijn 75 vaste krachten en 10 externen. Dan kan het met korte lijnen, maar er waren geen korte lijnen. Het ontbrak aan communicatie.” Inmiddels is Keijzer niet ontevreden. Duidelijkheid kan minder individuele vrijheid impliceren, maar over het algemeen gaat het ‘redelijk organisch’.

Met minder personeel

Daarbij heeft ze wel te dealen met aanhoudende personele en budgettaire beknotting. Haar voorganger schreef al in het jaarplan 2010: “De formatieve beperkingen […] zijn niet in harmonie te brengen met de groeiende werklast. Wanneer onverhoopt in 2010 tot een soortgelijke aanpak voor de externe inhuur wordt besloten, kan BPR niet meer instaan voor de goede werking van de systemen.” Het personeelsbudget zakte van 8,1 miljoen in 2009 tot 7,3 miljoen dit jaar, voor 1 december moet het vaste personeel naar 70 fte en de inhuur naar 13 procent van de begroting, en de 2000 fte die Binnenlandse Zaken moet inleveren, vertalen zich voor BPR in een ‘additionele taakstelling’ (= minder geld). Hoe kan Keijzer instaan voor het functioneren van haar systemen? “Door slim organiseren, niet zelf doen wat je een ander goed kunt laten doen, en door niet alles tegelijk aan te pakken, door te faseren. Het is wel een continu geschipper”, zegt de BPR-directeur. Ze laat er direct op volgen: “Maar de bedrijfsvoering is niet in gevaar.” Het houdt echter een keer op: “Nieuwe taken, zoals het beheer van RNI, kunnen echt niet met de toegestane formatie. Ik heb meer mensen gevraagd. Dat is een harde voorwaarde. Komen die er niet, dan kan ik niet werken. Je kunt zo’n nieuwe taak niet op je nemen zonder extra medewerkers. Voor de migratie naar de BRP geldt hetzelfde.”