In het kort
- Dit stuk is geïnspireerd op een blogpost van Ronald Damhof over het sleutelbospatroon.
- Het BSN wordt overal als koppelsleutel gebruikt. Dat maakt grootschalige koppeling triviaal en burgers kwetsbaar.
- Het sleutelbospatroon degradeert betekenisvolle sleutels tot attribuut en geeft elke administratie een eigen betekenisloos nummer. De sleutelbos koppelt die, alleen met grondslag en doelbinding.
- In termen van gegevensgebieden: het persoonsgegeven blijft bij de bronhouder, een invoergebied. Een eigen gebied houdt alleen een sleutel en verwijst.
- Eenheid van beheer op het persoonsgegeven blijft bij de bron. Het eigen eigenaarschap gaat over de resultaatgegevens en de koppeling.
Met dank aan Ronald Damhof.
Dit stuk is geïnspireerd op een blogpost van Ronald Damhof, toen nog data architect nu inmiddels Chief Data Officer bij Justitie en Veiligheid, over wat hij het sleutelbospatroon noemt. Zijn patroon richt zich op een hardnekkig probleem: de ongecontroleerde verspreiding van persoonsidentificerende sleutels zoals het BSN door de digitale administraties van publieke en private partijen. Deze tekst vat dat patroon samen en bekijkt wat het betekent voor gegevensgebieden en eigenaarschap.
Één sleutel die overal past.
Het BSN staat in talloze administraties, kopieën, spreadsheets en datameren (data lakes). Juist omdat het overal hetzelfde nummer is, fungeert het als universele koppelsleutel: gegevens uit verschillende administraties laten zich triviaal aan elkaar joinen, oftewel koppelen op die ene gedeelde sleutel. Dat is precies het risico. Eén betekenisvolle sleutel die overal terugkomt, maakt ongecontroleerde koppeling over doelen heen technisch moeiteloos, buiten het zicht van zowel toezicht als betrokkene.
Leen een sleutel, niet de gegevens erachter.
Het probleem: een universele koppelsleutel
Niet over toegang, wel over verspreiding.
Het gaat hier nadrukkelijk niet over identificatie en toegang, het terrein van identity- en accessmanagement. Het gaat over alles wat gébeurt nadat de identiteit is vastgesteld: de ongecontroleerde proliferatie van die nummers en kenmerken in de vele administraties erna. Dat is een vraagstuk van datagovernance en data-architectuur, niet van inloggen.
Een rechtmatigheids- en privacyrisico.
Zolang dezelfde sleutel overal ligt, is combineren een kwestie van een join: het samenvoegen van twee gegevensbronnen op een gedeelde sleutel. Dat ondermijnt doelbinding, want gegevens die voor het ene doel zijn verzameld, koppelen ongemerkt aan een ander. Damhof vat de kern scherp samen in een andere column: gegevens delen maakt mensen kwetsbaar. De winst van vindbaarheid is meteen het verlies van controle.
Het sleutelbospatroon
Sleutel of gegeven? Een sleutel is in de eerste plaats een identificator, een verwijzing, niet de beschrijvende inhoud zelf. Het BSN is bovendien een betekenisloos nummer: het bevat geen geboortedatum, geslacht of andere kenmerken, anders dan sommige buitenlandse identifiers. Maar betekenisloos is niet hetzelfde als ongevaarlijk. Het BSN is zélf een persoonsgegeven; juist gevoelig omdát het koppelt, want het identificeert een persoon over alle administraties heen. Het sleutelbospatroon houdt sleutel en gegeven daarom streng uit elkaar: de betekenisvolle sleutel hoort niet thuis als koppelsleutel in elke administratie, de gegevens horen bij hun bronhouder. Daartussen zit een gecontroleerde verwijzing.
Degradeer de sleutel tot attribuut.
De kern van het patroon is eenvoudig. Betekenisvolle sleutels als BSN, RSIN, LEI, EORI of een KvK-nummer blijven in de maatschappij gewoon in gebruik, maar binnen de digitale administraties worden ze gedegradeerd tot attribuut. Ze zijn er dan wel, maar ze koppelen niet langer. Het echte koppelen verhuist naar één centraal koppelregister, dat de sleutels van verschillende administraties aan elkaar relateert: de sleutelbos.
Maar het BSN blijft toch nodig?
Zeker. Dat verandert ook niet. In het verkeer tussen burger, bedrijf en overheid blijft het BSN gewoon in gebruik. Het patroon raakt alleen de binnenkant: in de administraties zelf is het BSN niet langer de sleutel waarop alles aan elkaar wordt geknoopt, maar een attribuut dat op één plek staat.
Elke administratie krijgt een eigen betekenisloos nummer.
In plaats van het BSN slaat elke administratie een eigen, gegenereerd en betekenisloos nummer op, in feite een surrogaatsleutel: een technische sleutel zonder eigen betekenis, alleen bedoeld om records te identificeren. Dat nummer wordt geregistreerd in de sleutelbos, telkens met een houdbaarheidsdatum. Zolang het er staat, is het een pseudoniem in de zin van de AVG (artikel 4 lid 5); is de houdbaarheid voorbij, dan verdwijnt het, een vorm van anonimiseren. Lekt zo’n nummer onverhoopt uit, dan valt er weinig mee aan te vangen, want zonder de sleutelbos zegt het niets.
Hoe vinden de eigen systemen elkaar dan nog?
Binnen één administratie wordt consequent het eigen betekenisloze nummer gebruikt; aan de interne samenhang verandert niets. Pas bij koppelen over de grens van de administratie heen loopt dat via de sleutelbos. Het verschil is dat koppelen een bewuste, controleerbare handeling wordt in plaats van een vanzelfsprekendheid.
De sleutelbos is de enige doorgang.
De sleutelbos koppelt intern alle administratienummers van dezelfde persoon aan elkaar. Die interne koppeling blijft strikt binnen de sleutelbos: zou ze als sleutel buiten de sleutelbos worden gebruikt, dan is er feitelijk een nieuw universeel nummer gemaakt, een tweede BSN. Wie persoonsgegevens wil combineren, moet daarom langs de sleutelbos, uitsluitend met aantoonbare grondslag en doelbinding. Dat maakt de sleutelbos meteen een prachtige basis voor een informatieverwerkingsregister, een overzicht van wie welke persoonsgegevens voor welk doel verwerkt, bij voorkeur openbaar: regie op gegevens, zodat een burger kan zien wie wat waarom met zijn gegevens doet.
Is die sleutelbos dan niet juist één grote honeypot?
Een terechte vraag. Het antwoord zit in wat er wél en niet in staat. De sleutelbos bevat de koppeling tussen nummers, niet de persoonskenmerken zelf; die worden elders en gescheiden beheerd. De betekenisloze nummers zijn buiten de sleutelbos waardeloos. En anders dan bij het huidige, ongecontroleerde verspreiden van het BSN is de sleutelbos juist het ene punt waar toegang te bewaken, te loggen en aan een grondslag te binden is. Sterker nog, de sleutelbos kan met cryptografische pseudonimisering worden gebouwd, zodat zelfs het koppelregister geen platte tabel van BSN naar nummer hoeft te bevatten. De keerzijde blijft een ontwerpvraag: zo’n centrale voorziening vraagt om stevige beschikbaarheid en onafhankelijk beheer.
Hoe het werkt
Een aanvraag stap voor stap.
De werking laat zich in een paar stappen vangen. Een burger of bedrijf komt ergens binnen met een betekenisvolle sleutel. De administratie vraagt de sleutelbos om het bijbehorende betekenisloze nummer, krijgt het bestaande terug of laat er een aanmaken en werkt vervolgens alleen nog met dat nummer.
Waar zit de identiteitsmatch?
De eigenlijke matching, het herkennen dat twee keer dezelfde persoon binnenkomt, gebeurt binnen de sleutelbos. Alleen daar komt de betekenisvolle sleutel; naar buiten gaat uitsluitend het betekenisloze nummer. Het patroon lost daarmee geen dataqualiteit op: ontbreekt aan de poort een betrouwbare sleutel, dan blijft het klassieke matchingprobleem bestaan.
Bestaat hier al iets voor?
Het idee staat niet op zichzelf. Op de inlog- en identiteitslaag past de Nederlandse overheid al polymorfe pseudonimisering toe: via de BSN-koppelvoorziening krijgt elke dienst een eigen, wisselend pseudoniem in plaats van het kale BSN. Dat speelt op de toegangskant; het sleutelbospatroon richt zich op de laag dáárna, in de administraties waar gegevens worden bewaard en gecombineerd. De twee vullen elkaar aan.
Wat dit met gegevensgebieden doet
Leen een sleutel, geen gegevens.
In het denken over gegevensgebieden is dit precies de invoerkant. Een persoonsgegeven dat een ander beheert, is geen eigen bezit maar een waarneming, met de bronhouder buiten de organisatie. Het sleutelbospatroon maakt daar een scherpe vuistregel van: kopieer het gegeven niet, maar houd een betekenisloze sleutel en verwijs. De gegevens blijven bij hun bron, het eigen gebied bewaart alleen de verwijzing.
Een dunnere, hardere koppeling.
Daarmee wordt de koppeling tussen gebieden precies wat ze hoort te zijn: zo dun mogelijk en expliciet. Niet een gekopieerd persoonsgegeven dat overal opnieuw moet kloppen, maar een verwijzing die op één plek wordt beheerd. De afhankelijkheid wordt zichtbaar in plaats van verstopt in elke tabel. Voor de modelleur betekent dit een duidelijke knip: binnen een administratie blijft alles verwijzen naar de eigen surrogaatsleutel, maar over de grens heen vervalt de foreign key naar een vreemde sleutel. Een relatie tussen twee domeinen is dan geen databasejoin meer, maar een geregisseerde bevraging van de sleutelbos onder grondslag.
En cross-domein analyse?
De keerzijde is dat de vrije join over domeinen verdwijnt; dat is bewust. Analyse over administraties heen draait voortaan op een gepseudonimiseerde koppeling die via de sleutelbos onder grondslag is verkregen, of op geanonimiseerde gegevens. Voor wie een centraal datawarehouse of data lake bouwt is dat een reële beperking, maar tegelijk de borging die nu vaak ontbreekt.
Wat dit met eigenaarschap doet
Eenheid van beheer blijft bij de bron.
Het patroon trekt de eigenaarschapsvraag recht. Het persoonsgegeven heeft één beheerder, de bronhouder. Daar geldt de eenheid van beheer. Een afnemend gebied claimt dat eigenaarschap niet; het is verantwoordelijk voor de eigen resultaatgegevens en voor de koppeling die het onderhoudt. Wie alleen een sleutel leent, hoeft ook geen eigenaarschap te dragen dat niet van hem is.
En de sleutelbos zelf?
De sleutelbos is daarmee zelf een gegevensgebied met een eigen eigenaar. Damhof oppert nadrukkelijk dat het beheer ervan losstaat van de partijen die hem gebruiken, bijvoorbeeld bij een onafhankelijke beheerder. Dat is geen detail: juist omdat alles erlangs moet, bepaalt de eigenaar van de sleutelbos de spelregels voor grondslag, doelbinding en transparantie.
Waar hoort dit thuis binnen de overheid?
Niet bij een afzonderlijke uitvoeringsorganisatie, want die wordt dan zelf het koppelpunt dat het patroon juist wil vermijden. De logische plek is een neutrale, centrale identiteitsautoriteit met onafhankelijke governance, een eigen wettelijke grondslag en toezicht door de Autoriteit Persoonsgegevens. In Nederland beheert de Rijksdienst voor Identiteitsgegevens het BSN-stelsel. Met het BSN-koppelpunt (BSNk) bestaat bovendien al verwante infrastructuur: dat zet het BSN op de inlogkant om in versleutelde, per dienst wisselende pseudoniemen. Logius beheert die techniek, RvIG toetst de grondslag. De sleutelbos voor de administratie-laag daarna is echter nog niet als landelijke voorziening belegd; het blijft vooralsnog een stelselkeuze die nog gemaakt moet worden, geen bestaande dienst bij één partij.
Edge-cases: hoe pakt dit uit?
| # | Case | Oplossing |
|---|---|---|
| 1 | Iemand krijgt een nieuw BSN, bijvoorbeeld na identiteitsfraude. | Het nieuwe BSN wordt aan dezelfde persoon gekoppeld; het oude krijgt een einddatum. De administraties merken niets, want hun eigen betekenisloze nummers blijven gelijk. |
| 2 | Twee organisaties willen gegevens van dezelfde persoon combineren. | De sleutelbos vertaalt tussen beide nummers, uitsluitend met grondslag en doel. Zonder grondslag geen koppeling. De koppeling wordt een vastgelegde gebeurtenis in plaats van een onzichtbare join. |
| 3 | Een nog onbekende persoon meldt zich. | De administratie genereert een vers betekenisloos nummer en registreert het in de sleutelbos. Bij een volgend contact levert de sleutelbos hetzelfde nummer terug. |
| 4 | Een proces dat de persoon niet hoeft te kennen. | Leg geen sleutel vast; werk met geaggregeerde of anonieme gegevens. Het patroon dwingt de vraag af of identificatie echt nodig is. |
| 5 | Een bewaarplicht botst met de houdbaarheidsdatum. | Een bewuste keuze: het pseudoniem onder grondslag verlengen, of de historie losknippen van de identiteit. De dossierhistorie blijft op de eigen surrogaatsleutel staan. |
| 6 | Het gaat niet alleen om personen. | Dezelfde aanpak geldt voor een KvK-nummer, RSIN, kenteken of EORI: behandel elke betekenisvolle sleutel als attribuut, niet als koppelspil. Bij organisatie- en objectsleutels weegt vooral het architectuurvoordeel; bij persoonsgebonden sleutels komt het privacyvoordeel erbij. Een kenteken is bovendien vaak een omweg naar de eigenaar, dus daar telt privacy alsnog mee. |
Het criterium is niet de persoon, maar de koppelsleutel.
Of het patroon van toepassing is, hangt niet af van de vraag of iets een persoonsgegeven is, maar of het een betekenisvolle, breed gedeelde sleutel is die zich leent als universele join. Elke identifier die overal hetzelfde is en in veel administraties terugkomt, geeft hetzelfde risico op ongecontroleerde koppeling. Daarom geldt het voor BSN, RSIN, KvK-nummer, kenteken en EORI.
De winst verschilt per geval.
Het architectuurvoordeel, gecontroleerde koppeling en betere masterdata, geldt altijd. Het privacyvoordeel telt alleen voor zover de sleutel herleidbaar is tot een persoon; de scheidslijn loopt dus niet tussen persoon en niet-persoon, maar tussen wel of niet herleidbaar. Een kenteken of een eenmanszaak-KvK wijst indirect naar een mens en valt daarmee toch onder privacy. Overbodig wordt het patroon voor een interne, betekenisloze surrogaatsleutel, die immers al is wat het nastreeft. Hetzelfde geldt voor een sleutel die niet breed wordt gedeeld.
Ook buiten de overheid
Hetzelfde patroon, andere sleutels.
Het probleem is niet exclusief publiek. Een commerciële organisatie gebruikt een e-mailadres, een klantnummer of een KvK-nummer net zo makkelijk als universele koppelsleutel, met dezelfde gevolgen. Dezelfde aanpak werkt: koppel intern op een eigen betekenisloos nummer en houd de verspreiding van externe identifiers minimaal. Damhof wijst er zelf op dat het patroon allesbehalve nieuw is; het is een bekend patroon uit masterdatamanagement (MDM, het vakgebied dat kernobjecten als persoon en organisatie consistent beheert), verwant aan Common Ground en aan privacy by design. Internationaal hebben sommige overheden het al verder doorgevoerd; zie hieronder.
Hoe doen andere overheden dit?
Twee modellen, vaak gecombineerd.
Internationaal lopen twee bewegingen door elkaar. De ene is niet kopiëren maar bij de bron bevragen. De andere is werken met sectorspecifieke identifiers in plaats van één universele sleutel.
| Land | Aanpak | Sinds | Kerncijfer |
|---|---|---|---|
| Estland | Bevragen bij de bron via X-Road; wel één universeel nummer. | 2001 | ~1.300 gekoppelde systemen; ~52.000 organisaties |
| Oostenrijk | Per overheidssector een afgeleide, niet-herleidbare sleutel (bPK). | 2004 | één Stammzahl, sleutel per sector |
| België | Centrale broker (Kruispuntbank) routeert in plaats van kopiëren. | 1990 | ~2.000 aangesloten instellingen |
| Duitsland | Steuer-ID als koppelnummer over registers (omstreden). | 2021 | opslag bij ~50 registers |
| Nederland | Polymorfe pseudonimisering op de inlogkant (BSNk); sleutelbos nog niet belegd. | – | per dienst een wisselend pseudoniem |
Lopende initiatieven die deze kant op bewegen
Het patroon staat niet alleen.
De gedachte achter de sleutelbos, niet kopiëren maar verwijzen, is precies de richting waarin een aantal overheidsinitiatieven al beweegt.
- Data bij de Bron. Gegevens niet als kopie door de keten sturen, maar bij de bron raadplegen via API’s, met transparantie en eenvoudiger correctie aan die bron.
- Common Ground (VNG). De beweging om het aantal kopieën te beperken en gegevens zoveel mogelijk bij de oorspronkelijke bron op te vragen; meer kopieën betekent meer databases en meer risico.
- Interbestuurlijke Datastrategie en Federatief Datastelsel. Rijk, provincies, waterschappen en gemeenten werken samen aan verantwoord datagebruik volgens het data-bij-de-bron-principe, met gedeelde afspraken en standaarden.
- Regie op Gegevens. Het streven naar meer regie en transparantie over wie welke gegevens gebruikt, met als ideaal dat een burger ziet wat er met zijn gegevens gebeurt.
- Polymorfe pseudonimisering (BSNk PP). Op de inlogkant al in gebruik: per dienst een wisselend pseudoniem in plaats van het kale BSN.
De sleutelbos is het stukje eronder.
Waar deze initiatieven vooral over het delen en raadplegen van gegevens gaan, geeft het sleutelbospatroon het antwoord op het identifier-probleem daaronder: hoe personen te koppelen zijn zonder de betekenisvolle sleutel overal te verspreiden. Het is de specifieke ontwerpkeuze binnen diezelfde beweging.
Het patroon binnen één organisatie
Wachten op het stelsel hoeft niet.
Het sleutelbospatroon wordt meestal landelijk gedacht, maar de logica werkt net zo goed binnen de muren van één organisatie. Een uitvoeringsorganisatie hoeft niet te wachten op een nationale sleutelbos om er nu al naar te handelen.
Degradeer het BSN ook intern.
De eerste les is de externe identifier ook binnen de eigen systemen tot attribuut te maken. Het BSN komt binnen, wordt op één plek vastgelegd, maar dient niet als de sleutel waarop de eigen applicaties aan elkaar worden geknoopt. Daarvoor gebruikt de organisatie een eigen, betekenisloze interne sleutel.
Bouw een sleutelbos op organisatieschaal.
Die interne sleutel hoort thuis in een centrale master-datafunctie: het golden-record- of masterdatamanagement dat veel organisaties al kennen. Dat is in feite een sleutelbos op organisatieschaal. Het koppelt de interne nummers van dezelfde persoon over afdelingen en systemen heen. Het is zelf een gegevensgebied met een eigen eigenaar.
Maak ook interne koppelingen bewust.
Ook tussen afdelingen geldt dat koppelen een handeling is, geen vanzelfsprekendheid. Leg vast welke afdeling welk gegeven voor welk doel opvraagt; log die koppeling. Zo daalt het privacyrisico binnen de organisatie net zo hard als tussen organisaties.
Begin klein.
Een werkbare start is één gegevensgebied of één proces: haal daar het BSN uit de rol van koppelsleutel, introduceer een interne sleutel en laat de koppelingen via de centrale functie lopen. Het patroon schaalt mee, van één proces tot het hele landschap.
Kanttekeningen
Geen technologieprobleem.
Eén waarschuwing geeft Damhof nadrukkelijk mee: dit is geen technologievraagstuk, hoezeer bestuurders het ook graag zo framen. De implementatie kent vele opties, maar de kern is een ontwerpkeuze over governance en architectuur. Daarbij hoort realisme over de transitie, want het bestaande landschap verdwijnt niet vanzelf. Daarbij hoort ook een eerlijk antwoord op de vraag wie de sleutelbos beheert. Binnen de overheid geldt bovendien dat de noodzaak om een identifier vast te leggen herleidbaar moet zijn tot wet of beleid en niet tot gewoonte.
Een eerlijke afweging.
Het patroon ruilt triviale maar gevaarlijke joins in voor bestuurde, controleerbare koppeling. De prijs is extra integratiecomplexiteit en een kritische centrale voorziening die hoge eisen stelt aan beschikbaarheid en beheer. De winst is afdwingbare doelbinding en een privacyrisico dat structureel daalt.
Samenvattend
Leen een sleutel, geen gegevens.
De boodschap van Damhof laat zich samenvatten in één regel: behandel een identifier als een geleende sleutel, niet als eigen data. Degradeer betekenisvolle sleutels tot attribuut, geef elke administratie een eigen betekenisloos nummer en koppel alleen via de sleutelbos, met grondslag. Dan blijft het persoonsgegeven bij de bronhouder, daalt het privacyrisico en wordt het eigen eigenaarschap juist scherper.
Zelf aan de slag, of samen?
Valorix denkt graag mee.
Identifiers behandelen als geleende sleutels raakt architectuur, privacy en governance tegelijk. Valorix helpt organisaties om hun gegevensgebieden en bronhouderschap zo in te richten dat persoonsgegevens bij de bron blijven en koppelingen dun en aantoonbaar zijn. Voor een gesprek over een concreet landschap is Valorix bereikbaar via valorix.nl.
Bronnen en verder lezen
Inspiratie en primaire bron. Ronald Damhof, “Het sleutelbospatroon voor het ‘BSN’ probleem”, Prudenza (Data Management & Decision Support), 2021.
Verder van Damhof. Column “Gegevens delen maakt mensen kwetsbaar” (DJIzien, 2022); “Wat als de overheid geen persoonsgegevens meer bezit?” (iBestuur).
Verwante overheidsmechanismen. BSN-koppelregister met polymorfe pseudonimisering (NORA); Privacyvriendelijk BSN (Logius).
Verwant artikel. Verkavel je gegevenslandschap: eigenaarschap dat een reorganisatie overleeft, over gegevensgebieden, invoergebieden en bronhouderschap.
Kaders. AVG artikel 4 lid 5 (pseudonimisering); Common Ground; privacy by design.
Beeld: illustraties gegenereerd met OpenAI (model gpt-image-2); diagram door de redactie.