Gegevens in de Basisregistratie Personen worden voorlopig niet versleuteld. De regering had dat wel afgesproken, maar staatssecretaris Raymond Knops denkt dat er betere manieren zijn om de gegevens te beveiligen en dat encryptie weinig toevoegt.

De staatssecretaris van Binnenlandse Zaken liet eind vorig jaar een onderzoek uitvoeren naar de veiligheid van de Basisregistratie Personen of BRP, waar de gegevens van alle Nederlanders in staan opgeslagen. Hij deed dat omdat in het regeerakkoord stond opgenomen dat de 'de gegevens van burgers in basisadministraties en andere privacygevoelige informatie' versleuteld zouden moeten worden opgeslagen. Knops concludeert na het onderzoek echter dat versleuteling niet persé de beste maatregel is. Andere beveiligingsmaatregelen werken volgens hem net zo goed of zelfs beter. Dat schrijft hij in een brief aan de Tweede Kamer.

Het onderzoek keek onder andere naar de kosten van het toepassen van die versleuteling. Die werden afgewogen tegen de opbrengsten ervan. Volgens het onderzoek moeten gemeenten en grote aantallen gebruikers de gegevens uit de BRP in hun eigen systemen kunnen gebruiken. Daardoor wordt 'het beveiligende effect van de versleuteling teniet gedaan'. "Geen van de onderzochte vormen van aanvullend versleutelen is een zinvolle maatregel", staat in het onderzoek.

Knops wijst erop dat er andere maatregelen aanwezig zijn die misbruik van de gegevens voorkomen. Dat zijn zowel digitale maatregelen zoals authorisatietoegang, maar ook fysieke zoals toegang tot locaties of trainingen voor werknemers. "Op dit moment valt er meer winst te behalen door het nemen van andere maatregelen dan extra versleuteling", schrijft Knops. Wel houdt hij een slag om de arm: versleuteling kan in de toekomst mogelijk alsnog nodig zijn.

Volgens Knops is het doel van de passage in het regeerakkoord het beveiligen van persoonsgegevens en volgens hem is encryptie daarvoor niet het goede middel. "Versleuteling alleen is geen garantie voor veiligheid. Door het toepassen van de maatregelen (...) worden vertrouwelijke gegevens in de basisregistraties op het juiste niveau beveiligd zodat privacygevoelige gegevens alleen door bevoegden kunnen worden ingezien en bewerkt. Hiermee wordt invulling gegeven aan alternatieve maatregelen met hetzelfde doel als het voornemen uit het Regeerakkoord, namelijk adequate beveiliging van de gegevens."

De staatssecretaris neemt ook een andere belangrijke aanbeveling uit het onderzoek niet over. De Basisregistratie Personen wordt niet gecentraliseerd. Knops zegt dat de huidige decentrale opzet van de ict overeenkomt met hoe gemeentes de BRP gebruiken. "Er zijn geen voornemens om deze opzet ingrijpend te gaan veranderen. Gemeenten zijn en blijven verantwoordelijk voor de registratie en het bijhouden van gegevens van hun inwoners."

Tegelijkertijd wil Knops in de toekomst dat gemeentes meer aandacht besteden aan privacy bij het doorontwikkelen van de BRP. Dat kan dataminimalisatie zijn en het verminderen van kopieën van informatie. De Autoriteit Persoonsgegevens zou gemeentes daarin kunnen adviseren, zegt Knops.

Reacties mogelijk gemaakt door CComment