Omzendbrief KBBJ/ABB 2026/2 over de basisregistersynchronisatie
- Documenttype
- Omzendbrief
- Publicatiedatum
- 21 april 2026
- Status
- Geldig
- Trefwoorden
- Basisregisters Synchronisatie Gegevenskwaliteit Gegevensbescherming Informatieveiligheid Governance
INHOUDSTAFEL
Hoofdstuk 1. Algemene bepalingen
Hoofdstuk 2. Verplichtingen inzake synchronisatie
Hoofdstuk 3. Technische uitvoering
Hoofdstuk 4. Gegevensbescherming en informatieveiligheid
Hoofdstuk 5. Governance, opvolging en rapportering
Hoofdstuk 6. Slot- en overgangsbepalingen
Hoofdstuk 1. Algemene bepalingen
Artikel 1. ( 01/06/2026 - Doel en draagwijdte )
Deze omzendbrief verstrekt bindende richtlijnen over de organisatie, uitvoering en kwaliteitsopvolging van de basisregistersynchronisatie binnen het Vlaams administratief ecosysteem. Zij beoogt de uniforme, tijdige en correcte uitwisseling van gegevens tussen de Vlaamse basisregisters en de aangesloten entiteiten, via het Vlaams Registerknooppunt, te verzekeren. De bepalingen zijn richtinggevend voor alle processen waarin authentieke gegevens uit de basisregisters worden geconsumeerd of bijgewerkt, en leggen minimumnormen vast inzake gegevenskwaliteit, beschikbaarheid en beveiliging.
Artikel 2. ( 01/06/2026 - Begripsomschrijvingen )
Voor de toepassing van deze omzendbrief wordt verstaan onder:
- basisregisters: de door of namens de Vlaamse overheid beheerde authentieke bronnen met identificerende en referentiële gegevens, met inbegrip van het Vlaams Basisadressenregister (VBAR), het Gebouwen- en Wooneenhedenregister (VGWR), het Straatnamenregister (VSR), het Perceel- en Kavelsregister (VPKR) en het Vlaams Organisatieregister (VOR);
- Vlaams Registerknooppunt (VRK): de centrale, door de Vlaamse overheid beheerde, berichtenhub en orkestratielaag voor publicatie en afname van mutaties op basisregisters;
- synchronisatie: het geheel van processen en technische handelingen waarmee wijzigingen in de basisregisters doorstromen naar aangesloten systemen, en terugmeldingen of correcties vanuit entiteiten naar de basisregisters worden aangeleverd;
- kritieke mutatie: een wijziging met onmiddellijke operationele impact, waaronder het intrekken of activeren van een adres, het wijzigen van de status van een wooneenheid, of het corrigeren van een identificerend kenmerk;
- API-BR Sync: de door de Vlaamse overheid gepubliceerde referentie-API voor basisregistersynchronisatie, versie 1.4 tenzij anders bepaald;
- OSLO-BR: de semantische en technische specificatie voor uitwisseling van basisregistergegevens, versie 2.1 tenzij anders bepaald;
- entiteit: een Vlaamse overheidsdienst, intern of extern verzelfstandigd agentschap, lokaal bestuur, erkende interbestuurlijke samenwerking of door hen gemandateerde verwerker die is aangesloten op het VRK voor basisregistersynchronisatie.
Artikel 3. ( 01/06/2026 - Toepassingsgebied en doelgroep )
Deze omzendbrief is van toepassing op alle entiteiten die basisregistergegevens publiceren, consumeren of corrigeren via het Vlaams Registerknooppunt. Leveranciers en implementatiepartners die in opdracht van deze entiteiten systemen bouwen of beheren, onderwerpen zich contractueel aan de bepalingen van deze omzendbrief. Voor federale en private afnemers wordt het naleven van deze omzendbrief aanbevolen wanneer zij gegevensstromen via het VRK benutten.
Hoofdstuk 2. Verplichtingen inzake synchronisatie
Artikel 4. ( 01/06/2026 - Synchronisatieprincipe en frequenties )
De basisregistersynchronisatie volgt het publish-subscribeprincipe via het Vlaams Registerknooppunt. Entiteiten abonneren zich op relevante gebeurtenissen per register en ontvangen alleen die mutaties waarvoor zij geautoriseerd zijn. Voor kritieke mutaties geldt near real time levering met een streeftijd van maximaal vijf minuten tussen publicatie door het register en ontvangst bij de entiteit, gemeten als het verschil tussen de door het register gegenereerde producer-tijdstempel en de door de entiteit gelogde consumer-tijdstempel (UTC, NTP-gesynchroniseerd met een toegestane drift van maximaal 50 milliseconden). Voor niet-kritieke mutaties geldt een batchlevering met een minimumfrequentie van één keer per kalenderdag. De dagelijkse batch wordt standaard gestart om 02:15:00 (Europe/Brussels) en wordt afgerond binnen 20 minuten, behoudens schriftelijke afwijking tussen partijen.
Wanneer de primaire gebeurtenisstroom tijdelijk niet beschikbaar is, wordt een gegarandeerde naverzending voorzien op basis van sequentiële offsets. Entiteiten implementeren idempotente verwerking om dubbele levering te vermijden. Bij een onderbreking langer dan zestig minuten schakelen entiteiten over op incrementele batchherstelbestanden die het VRK ter beschikking stelt.
Artikel 5. ( 01/06/2026 - Datavelden en kwaliteitsregels )
Entiteiten verwerken minstens de verplichte datavelden zoals opgesomd in de technische fiche BR-Q 2026/04 per register. Deze omvatten ten minste het persistente objectidentificatieveld, de levenscyclusstatus, de officiële benaming of nummering, en de geldigheidsperiode. Voor elk ontvangen record wordt validatie toegepast op syntaxis, semantiek en referentiële integriteit.
De volgende kwaliteitsnormen zijn van toepassing op de productieomgeving:
- juistheid: minimaal 99,2% van de ontvangen records voldoet aan alle validatieregels;
- volledigheid: minimaal 99,5% van de verplichte velden is gevuld conform de specificatie;
- tijdigheid: minimaal 95% van de kritieke mutaties is verwerkt binnen vijf minuten na ontvangst;
- traceerbaarheid: 100% van de mutaties is voorzien van een verifieerbare bron- en verwerkingsstempel.
Persistente identificatoren volgen het formaat urn:br:{register}:{object-id} en wijzigen niet gedurende de levenscyclus van het object. Voor {object-id} geldt de regex ^[a-z0-9-]{12,36}$ en wordt uitsluitend in kleine letters aangeleverd, zonder leidende of afsluitende scheidingstekens.
Artikel 6. ( 01/06/2026 - Tijdigheid en meldingsplicht bij anomalieën )
Entiteiten detecteren en melden anomalieën die de tijdige en correcte synchronisatie hinderen. Anomalieën worden geclassificeerd in categorie A (kritiek), B (significant) en C (beperkt). Categorie A omvat onder meer wijdverspreide verwerkingsfouten, verlies van berichten en integriteitsbreuken. Categorie B omvat structurele validatiewaarschuwingen en herhaaldelijke vertragingen. Categorie C omvat individuele records met verdachte waarden zonder brede impact.
De meldings- en interventietermijnen zijn als volgt:
- categorie A: onmiddellijke melding aan het VRK en de registerbeheerder, met initiële incidentfiche binnen twee uur;
- categorie B: melding binnen één werkdag met beschrijving van impact en geplande remediëring;
- categorie C: bundeling en periodieke melding binnen vijf werkdagen.
Incidentmeldingen bevatten minimaal: het getroffen register, de periode, het aantal vermoedelijk getroffen records, de foutcodes, de systeemversie, het tijdstip van eerste detectie, de voorlopige impactinschatting en de contactgegevens van de verantwoordelijke.
Hoofdstuk 3. Technische uitvoering
Artikel 7.
Dit artikel is nog niet in werking. Hieronder vindt u de eerste "toekomstige versie".
( Datum afhankelijk van externe gebeurtenis - Publicatie van API-BR Sync v2.0 )
Met de publicatie van API-BR Sync v2.0 worden de volgende wijzigingen van kracht voor alle nieuwe implementaties: overgang van JSON naar JSON-LD als verplicht transportformaat, introductie van event-typen met expliciete causaliteitstags, ondersteuning van transacties over meerdere registers via correlatie-id’s, en vereiste ondersteuning van OAuth 2.1 met wederzijdse TLS. Voor bestaande implementaties geldt een migratievenster van twaalf maanden na publicatie, met parallelle ondersteuning van API-BR Sync v1.4 en v2.0. Na afloop van het migratievenster stopt de ondersteuning van v1.4 in de productieomgeving.
Artikel 8. ( 01/06/2026 - Test- en acceptatieprocedure )
Voor ingebruikname in productie doorlopen entiteiten de test- en acceptatieprocedure in de sandbox- en stagingomgevingen van het VRK. De procedure omvat het succesvol uitvoeren van representatieve testscenario’s voor creatie, wijziging, intrekking en herstel van records, het aantonen van idempotente verwerking en het bewijzen van correcte foutafhandeling conform de referentiefoutcodes. Testscenario’s worden uitgevoerd met gebruik van de referentieset BR-SANDBOX-2026/06 (snapshot 2026-05-15T00:00:00Z) en omvatten minimaal één scenario per foutcode uit de tabel FOUT-BR-1.4.
Acceptatie wordt bevestigd door een door de entiteit ondertekende conformatierapportage en een positief testrapport van het VRK. Substantiële wijzigingen aan de synchronisatieketen, waaronder versie-upgrades van de koppeling of wijzigingen aan het datamodel, vereisen hernieuwde acceptatie.
Artikel 9. ( 01/06/2026 - Continuïteit, onderhoud en incidentbeheer )
Entiteiten verzekeren de continuïteit van de synchronisatie met een beoogde RTO van maximaal dertig minuten en een RPO van maximaal vijf minuten voor kritieke mutaties. Zij onderhouden redundante aansluitingen op het VRK en monitoren de doorstroom met automatische alertering bij overschrijding van drempelwaarden.
Gepland onderhoud dat de synchronisatie beïnvloedt, wordt minstens vijf werkdagen vooraf aangekondigd aan het VRK. Voor productieonderbrekingen langer dan vijftien minuten publiceren entiteiten een statusbericht en voorzien zij in een herstelplan met tijdslijn en naverzendstrategie.
Artikel 10. ( 01/06/2026 - Koppelvlakken, standaarden en beveiliging )
De implementatie van de basisregistersynchronisatie gebeurt via API-BR Sync v1.4, beschreven in de OpenAPI-specificatie 3.1 en geserialiseerd volgens OSLO-BR 2.1. Berichten worden uitsluitend over beveiligde kanalen uitgewisseld met TLS 1.3 en wederzijdse authenticatie via door de Vlaamse overheid erkende certificaten. Autorisatie volgt het OAuth 2.1-profiel met fine-grained scopes per register en gebeurtenistype. De TLS-configuratie hanteert verplicht de cipher suite TLS_AES_128_GCM_SHA256 met OCSP-stapling geactiveerd aan serverzijde, en clientcertificaten bevatten een Subject Alternative Name met een unieke UUIDv4.
De sleutelmateriaalbeveiliging voldoet minimaal aan niveau HSM-BR-2026 en de client-identiteit van elke entiteit is uniek en niet-overdraagbaar. Rate limiting, backpressure en herleveringslogica worden geïmplementeerd conform de richtlijnen in de integratiehandleiding VRK-INT-2026/02.
Hoofdstuk 4. Gegevensbescherming en informatieveiligheid
Artikel 11. ( 01/06/2026 - Doelbinding, rechtmatigheid en minimale gegevensverwerking )
Het hergebruik van basisregistergegevens is beperkt tot taken van algemeen belang waarvoor de entiteit bevoegd is en waarvoor een rechtsgrond aanwezig is. Entiteiten documenteren de verwerkingsactiviteiten in hun register van verwerkingsactiviteiten en voeren, waar aangewezen, een gegevensbeschermingseffectbeoordeling uit. Enkel de strikt noodzakelijke gegevens worden verwerkt, en verdere verwerking voor onverenigbare doeleinden is uitgesloten.
Artikel 12. ( 01/06/2026 - Toegangsbeheer, logging en bewaartermijnen )
Toegang tot de basisregistersynchronisatie is gebaseerd op rollen en minimale rechten. Authenticatie en autorisatiebeslissingen worden gelogd, samen met de unieke client-identiteit, tijdstempels, betrokken registers en uitgeoefende scopes. Verwerkings- en toeganglogs worden gedurende achttien maanden bewaard en zijn uitsluitend toegankelijk voor geautoriseerde medewerkers voor audit en incidentonderzoek.
Gegevens in transit worden versleuteld. Gegevens in rust in tijdelijke buffers of wachtrijen worden versleuteld met een sleutelbeheerbeleid conform de richtlijn IBZ-BR-SEC-2026/01.
Hoofdstuk 5. Governance, opvolging en rapportering
Artikel 13. ( 01/06/2026 - Rollen en verantwoordelijkheden )
De registerbeheerder is verantwoordelijk voor de juistheid en volledigheid van het respectieve basisregister en publiceert mutaties via het VRK. Het Vlaams Registerknooppunt beheert de gebeurtenissenstroom, waarborgt de levering en levert operationele ondersteuning. Entiteiten zijn verantwoordelijk voor de correcte en tijdige verwerking van ontvangen mutaties en voor het terugmelden van vastgestelde inhoudelijke onjuistheden.
Elke entiteit wijst een functioneel verantwoordelijke en een technisch aanspreekpunt aan voor de basisregistersynchronisatie. Wijzigingen aan deze contactpunten worden binnen vijf werkdagen aan het VRK gemeld.
Artikel 14. ( 01/06/2026 - Rapportering, KPI’s en audit )
Entiteiten rapporteren per kwartaal de volgende indicatoren aan het VRK en de betrokken registerbeheerders:
- verwerkingsgraad: het percentage ontvangen mutaties dat met succes is verwerkt per register;
- latentie: de gemiddelde en p95-verwerkingstijd tussen ontvangst en toepassing;
- foutpercentage: het aandeel mutaties met definitieve verwerkingsfouten per foutcode;
- terugmeldingen: het aantal en de afhandelingsgraad van inhoudelijke correctieverzoeken.
Het VRK publiceert halfjaarlijks een geaggregeerd conformiteitsrapport. Entiteiten verlenen toegang tot relevante logs en documentatie voor onafhankelijke audits die door of namens de Vlaamse overheid worden uitgevoerd. De kwartaalrapportering door entiteiten wordt uiterlijk op de tiende kalenderdag na afloop van het kwartaal aangeleverd in CSV-formaat (scheidingsteken ';', decimaalteken ',', codering UTF-8 met BOM) via het VRK-portaal.
Hoofdstuk 6. Slot- en overgangsbepalingen
Artikel 15. ( 01/06/2026 - Overgangsmaatregelen )
Entiteiten die op de datum van inwerkingtreding nog niet voldoen aan alle bepalingen, realiseren uiterlijk op 30/09/2026 aansluiting op het VRK voor de in dit document vermelde registers. Bestaande punt-tot-puntfeeds worden uiterlijk op 31/12/2026 uitgefaseerd. Gedurende het overgangsvenster geldt een best effort-verplichting voor de tijdigheid en volledigheid, met behoud van de meldingsplicht bij anomalieën.
Artikel 16. ( 01/06/2026 - Inwerkingtreding en opheffing van tegenstrijdige bepalingen )
Deze omzendbrief treedt in werking op 01/06/2026. De bepalingen die strijdig zijn met deze omzendbrief in eerdere richtlijnen of dienstnota’s binnen het toepassingsgebied, worden opgeheven vanaf de datum van inwerkingtreding. Waar nodig worden aanvullende uitvoeringsrichtlijnen bekendgemaakt via het Vlaams Registerknooppunt.