Persoonsgegevens van alle Nederlanders worden geregistreerd in de Basisregistratie Personen. Samen met hackers, security officers en cryptografie architecten bewaken de Rijksdienst voor Identiteitsgegevens en ICT-dienstverlener DICTU dit 'fort'. Sjoerd Verheijden en Tessa Andrea vertellen hoe dit in zijn werk gaat.
Hacken om persoonsgegevens te beschermen
Sjoerd Verheijden
Chief security officer DICTU - Ministerie van Economische Zaken en Klimaat
Tessa Andrea
Functioneel beheerder RvIG - Ministerie van Binnenlandse Zaken en Koninkrijksrelaties
1.200 aangesloten partijen
Of je nu een kind krijgt, gaat trouwen of emigreert: elke Nederlander heeft te maken met de Basisregistratie Personen (BRP). In deze database registreren en wijzigen gemeenten zelfstandig persoonsgegevens van hun inwoners. De Rijksdienst voor Identiteitsgegevens (RvIG) beheert de centrale kopie hiervan, waaruit gemeenten weer gegevens kunnen opvragen. 'We registreren niet om te registreren', zegt Frans Rijkers, stelselverantwoordelijke bij de uitvoeringsorganisatie. 'De BRP is er om te gebruiken. Bijvoorbeeld bij de verstrekking van een vergunning of reisdocument. Ook de Belastingdienst, opsporingsdiensten en pensioenfondsen maken er gebruik van. De BRP is er voor organisaties die persoonsgegevens echt nodig hebben om hun wettelijke taak uit te voeren.' Op de BRP zijn zo'n 1.200 partijen aangesloten, maar het aantal gebruikers is veel groter. Frans: 'De Koninklijke Notariële Beroepsorganisatie heeft 1 aansluiting, maar daar hangen wel zo'n 900 notariskantoren onder.'
BRP is geen waterleiding
Frans: 'Wij moeten ervoor zorgen dat wie identiteitsgegevens nodig heeft er gemakkelijk in komt, en wie er niets te zoeken heeft, geen toegang krijgt. Persoonsgegevens transporteren is even ingewikkelder dan gas, water of licht vervoeren. Beveiliging en autorisatie zijn enorm belangrijk.' En bij dat beveiligingsvraagstuk komt DICTU, de Dienst ICT Uitvoering, om de hoek kijken. DICTU is een van de grootste ICT-leveranciers van de overheid en verantwoordelijk voor het ICT-beheer van de identiteitssystemen. 'Overheidsklanten kunnen in principe alles wat met ICT te maken heeft bij ons afnemen', zegt Sjoerd Verheijden, chief security officer bij DICTU. 'Applicaties, websites, databaseservers, platforms. We hebben enerzijds 'build'-taken: we maken bijvoorbeeld applicaties met infrastructuur met betrekking tot de BRP voor RvIG. Daarnaast doen we het 'run'-gedeelte: zorgen dat zo'n systeem draaiende en veilig blijft.'
Van beleidsvoorstel naar applicatiewijziging
DICTU en RvIG beheren de identiteitssystemen gezamenlijk. Gemeenten en afnemers werken ermee. Tessa Andrea is functioneel beheerder bij RvIG en zorgt er samen met DICTU voor dat de BRP naar behoren werkt en dat deze verbinding voor de gemeenten en afnemers goed functioneert. Continu schakelt zij met functioneel beheerders aldaar. 'Bijvoorbeeld als er problemen zijn met de aansluiting, als wachtwoorden zijn verlopen en niet op tijd gewijzigd of als nieuwe certificaten moeten worden geplaatst.' Ook is Tessa schakel tussen organisatie en ICT. 'Als er een wijzigingsvoorstel is, stemmen wij dat af met de aanvrager, de specifier en de applicatieontwikkelaars, die de technische vertaalslag maken. Ik heb dan ook regelmatig contact met beheerders van DICTU en zorg er met hen voor dat een nieuwe versie van een applicatie wordt geïnstalleerd in de verschillende omgevingen. DICTU en RvIG werken samen aan één doel: een veilig en bruikbaar systeem.'
‘Een ICT-systeem is een fort dat we moeten beveiligen’
Sjoerd Verheijden
Zo sterk als zwakste schakel
'Informatiebeveiliging is niet iets wat we erbij doen', zegt Frans. 'Onze hele organisatie is erop ingericht. Maar een veilig systeem creëren wij niet alleen bij RvIG. We hebben daarbij DICTU, maar ook onze gebruikers hard nodig. Je bent zo sterk als de zwakste schakel en kunt niet zeggen: zo, nu is het voor elkaar. Je moet samen alert blijven en met slimme ICT'ers werken die bedreigingen voor zijn.' Dat beaamt ook Sjoerd Verheijden, die binnen DICTU dit team experts, gespecialiseerd in informatiebeveiliging, leidt. Sjoerd: 'Ik werk met goede security officers, onze 'politieagenten': zij geven aan hoe je wet- en regelgeving rond persoonsgegevens technisch en procesmatig toepast in een ICT-oplossing. Ook stuur ik cryptografie architecten aan, de technisch consultants. Zij verzinnen cryptografische oplossingen voor systemen die persoonsgegevens bevatten.'
IT slopen om te testen
Dan leidt Sjoerd ook nog het SOC: het Security Operating Center. 'Hier zitten de echte 'techies': de hackers die alles weten van netwerken en programmeren. Zij testen producten door het kapot te maken en de applicatie dan te gebruiken zoals het niet bedoeld is. Als we een product releasen, mag het niet misbruikt worden. We moeten zeker weten dat alle fouten eruit zijn.' Ook monitort het SOC-team netwerken en applicaties met monitoringsoftware. 'Als er iets vreemds gebeurt, zoals een virusuitbraak of een hackerspoging, dan zijn we daar vroeg bij. Dit team monitort vreemde bewegingen en acteert daarop.' Een systeem als de GBA-V is als een 'fort' dat bewaakt moet worden, zegt Sjoerd. 'Je moet zeker weten dat degene die hij zegt te zijn, dat ook is.'
Dubbele uitkering dankzij dubbele identiteit
Regelmatig vinden wijzigingen plaats in de GBA-V, zo ook in oktober van dit jaar. Vaak is maatschappelijk of politiek debat aanleiding voor een wijziging. Frans: 'We hadden het vermoeden dat sommige Oost-Europeanen die in Nederland stonden ingeschreven, in hun eigen land een nieuwe naam aanvroegen. Met die naam meldden ze zich opnieuw in Nederland, waardoor ze mogelijk dubbele toeslagen ontvingen. Dit hebben we opgelost door een extra ruimte in de BRP te creëren voor buitenlandse persoonsnummers, die in het paspoort staan. Ook al vraagt iemand een nieuwe naam aan, dit nummer blijft hetzelfde. Nu gaat er een belletje rinkelen als we een dubbel persoonsnummer tegenkomen. Op deze manier kunnen we fraude en onbewuste dubbele inschrijvingen voorkomen.
‘Geen toegang tot de BRP betekent een stadhuis vol boze burgers’
Tessa Andrea
Meer regie over eigen gegevens
Ook dataportabiliteit wordt een belangrijker item bij RvIG. Frans: 'Het klassieke beeld is dat informatiebeveiliging gaat over anderen buitenhouden. Maar mijn privacy is er niet altijd bij gebaat dat niemand mijn persoonsgegevens krijgt. Soms wil ik juist wel dat mijn gegevens op het juiste moment op de juiste plek beschikbaar zijn. De nieuwe Europese privacyverordening, die in 2018 ingaat, speelt hierop in met het recht op dataportabiliteit. Burgers krijgen meer zeggenschap en controle over de eigen persoonsgegevens. Zodat je zelf kunt besluiten jouw gegevens te delen met, bijvoorbeeld, de hypotheekverstrekker. Gemakkelijk, want je hoeft niet alles opnieuw aan te leveren. Voor ons een uitdaging hoe dit recht in te passen in ons stelsel.'
Rood lampje bij minderjarige klant
'We bedenken voortdurend nieuwe oplossingen voor veilig beheer van persoonsgegevens en privacybescherming', zegt Frans. 'Als je onder de 25 bent, moet je nu nog je ID laten zien als je alcohol wilt kopen. Maar in feite heeft een cassière niets te maken met hoe jij op de foto staat, in welke maand je bent geboren en wat jouw BSN-nummer is. Veel handiger is bijvoorbeeld een koppeling van identiteitsgegevens met een betaalmiddel. Als je betaalt, gaat er bij de cassière een groen of rood lampje branden. We studeren hard op dit soort oplossingen. Want zo'n systeem moet door en door betrouwbaar zijn. Met ICT-oplossingen willen we bereiken dat 17 miljoen Nederlanders nu en in de toekomst over een betrouwbare elektronische identiteit beschikken.'