Schouwen & Toetsen bij RvIG - het verhaal achter de toets

Binnen RvIG zijn we verantwoordelijk voor een goed functionerend Basisregistratie Personen (BRP)-stelsel. Dat betekent niet alleen dat systemen technisch met elkaar kunnen communiceren, maar vooral dat deze communicatie inhoudelijk juist is en voldoet aan het Logisch Ontwerp BRP (LO BRP) en relevante wet- en regelgeving.

In het LO BRP staat hierover het volgende:

“Schouwing en toetsing bestaat uit een aantal procedures en gereedschappen waarmee gecontroleerd wordt of de BRP-systemen voldoen aan de specificaties zoals deze in het voorliggende Logisch Ontwerp BRP gedefinieerd worden.”
Dit betekent concreet:

  • RvIG controleert of systemen voldoen aan het LO BRP;

  • Deze controle betrekking heeft op zowel techniek als inhoud;

  • De toetsing een verplicht onderdeel van het BRP-stelsel is en geen vrijblijvende activiteit.

Wat voorheen “Schouwen & Toetsen” (S&T) werd genoemd, is in de praktijk het aantonen van BRP- of LO-compliancy. Hoewel de term S&T sinds 2024 formeel niet meer wordt gebruikt, blijft de activiteit nog steeds erg belangrijk.

Wat toetsen we precies?

Bij het aantonen van compliancy kijken we niet naar de interne inrichting van systemen of ontwikkelprocessen van een organisatie. Hoe een organisatie haar interne processen of testaanpak organiseert, valt buiten de scope van de toetsing. Wel toetsen we of een aangesloten systeem zich richting het BRP-stelsel gedraagt conform het LO BRP. Dat betekent dat we toetsen of de berichten, de volgorde en de inhoud van de gegevens allen verklaarbaar zijn door een LO-conforme interne verwerking. RvIG is en blijft verantwoordelijk voor het borgen van de juiste en rechtmatige verwerking van persoonsgegevens binnen het BRP-stelsel. Het LO BRP beschrijft dit als volgt:

“Het Logisch Ontwerp BRP moet de centrale overheid een instrument in handen geven om de consistentie en de kwaliteit van de persoonsgegevens en de gegevensverstrekking naar de afnemers te garanderen.”

Concreet beantwoorden we vragen als:

  • Worden berichten correct opgebouwd volgens het LO BRP?

  • Is de inhoud juridisch en logisch juist?

  • Gedraagt een systeem zich in alle voorgeschreven scenario’s zoals verwacht?

  • Wat is de impact van LO-wijzigingen op de keten?

Dit maakt compliancy aantonen een bijzondere vorm van een koppelvlaktest, en daarmee een verplicht onderdeel van het RvIG-testbeleid.

Voor welke systemen doen we dit?

We voeren deze toets uit voor zowel interne als externe systemen die aansluiten op het BRP-stelsel. Afhankelijk van de manier van berichtenuitwisseling worden verschillende middelen en testvormen ingezet:

  • Mailboxverkeer
    Voor het berichtenverkeer via de mailboxserver worden de bestaande scenario’s voor de compliancy-test (voorheen "Schouwen & Toetsen") gebruikt.

  • StuurGBABericht
    Voor StuurGBABericht worden gerichte testen uitgevoerd op onder andere spontane verstrekkingen.

  • BRP Berichten API
    Voor de BRP Berichten API wordt nieuwe, schaalbare testtooling ontwikkeld. Hierbij worden bestaande scenario’s en testdata uit de huidige toetsaanpak hergebruikt.

Het doel blijft in alle gevallen hetzelfde: aantonen dat berichten correct worden verzonden, ontvangen en verwerkt binnen het BRP-stelsel.

Lichte of zware toets: wanneer welke aanpak?

Niet elke aansluiting is hetzelfde. Daarom maken we onderscheid tussen een lichte en een zware toets.

Een nieuwe aansluiting is een organisatie die:

  • Voor het eerst aansluit op het BRP-stelsel

  • Overstapt van een oplossing via een softwareleverancier naar zelfbouwoplossing.

Belangrijk: een overstap van softwareleverancier A naar softwareleverancier B is geen nieuwe aansluiting.

Voor nieuwe aansluitingen en situaties met hogere risico’s hanteren we een zware toets, met een vaste set scenario’s en diepgaande controles. In minder risicovolle situaties volstaat een lichtere toets. Deze afweging wordt gemaakt op basis van een product-risicoanalyse en vastgelegd in de testplannen.

Hoe voeren we de test uit?

De toetsing wordt gestructureerd en reproduceerbaar: Daarbij maken we gebruik van:

  • een vaste set scenario’s, gebaseerd op het LO BRP;

  • tooling die schaalbaar is en meegroeit met nieuwe vormen van gegevensuitwisseling;

  • simulaties van het verzenden en ontvangen van berichten binnen het BRP-stelsel.

De inhoudelijke kennis van scenario’s, interpretatie van wet- en regelgeving liggen bij de LO- en BRP-specialisten. De uitvoering en borging van het proces ligt bij het Test & Deployment team, onder verantwoordelijkheid van de Test (Proces) Manager.

Governance en verantwoordelijkheid

Sinds mei 2024 is het aantonen van compliancy expliciet opgenomen in het testbeleid van RvIG. Dit betekent dat:

  • Het een verplichte testvorm is binnen het voortbrengingsproces;

  • Het eigenaarschap ligt bij het Test & Deployment team;

  • De inhoudelijke expertise wordt geleverd door de afdeling Kwaliteit;

  • De resultaten onderdeel zijn van vrijgave-adviezen en input vormen voor Go/No-Go-besluiten.

Het is dus geen losstaand controlemechanisme, maar een integraal onderdeel van professioneel test- en releasemanagement.

Waarom is dit belangrijk?

De ontwikkelingen binnen RvIG, nieuwe API’s en het uitfaseren van de mailboxserver maken één ding duidelijk: zonder eenduidige, goed ingerichte compliancy-toets verliezen we grip op het BRP-stelsel.

Door deze activiteit stevig binnen het testbeleid te positioneren:

  • Voorkomen we versnippering;

  • Borgen we kennis en tooling;

  • Houden we controle op kwaliteit, wetgeving en ketenwerking.

Het aantonen van compliancy is daarmee geen belemmering, maar juist een randvoorwaarde voor een veilig, betrouwbaar en toekomstbestendig BRP-stelsel.