Handleiding zelfevaluatie Basisregistratie Personen 2016
Transcript of Handleiding zelfevaluatie Basisregistratie Personen 2016
Versie 1.0
Datum 30 maart 2016
Status Definitief
Handleiding vragenlijst Basisregistratie Personen 2016
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 2 van 36
Vraag 1
Er is volgens de Wet BRP geen verplichting tot het verstrekken
van gegevens aan overheidsorganen. De verstrekkingen van
gegevens aan organen van de eigen gemeente verloopt doorgaans
door middel van inzage, mutatieberichten, selecties etc. Volgens
de Rijksdienst voor Identiteitsgegevens (RvIG) verstrekt iedere
gemeente, tot aan de invoering van de BRP-voorziening, nog op
deze manier gegevens aan organen van de eigen gemeente. Het
verstrekken van gegevens aan overheidsorganen kan ingevolge
artikel 3.8 van de Wet BRP alleen door bij Verordening nadere
regels te stellen.
RvIG heeft geredeneerd dat zolang de gemeente nog zelf een
lokale voorziening in huis heeft, dat er dan een verordening móet
zijn voor de verstrekkingen, maar strikt genomen schrijft de wet
het niet voor.
Op grond van de Wet BRP is de gemeenteraad verplicht kaders te
stellen voor het verstrekken van gegevens aan derden die niet al
zijn geregeld in de Wet. (Zie ook de modelverordening van de
NVVB).
Een verordening is actueel als hij vastgesteld is na ingangsdatum
Wet BRP en als hij overeenkomt met de actuele stand van zaken.
Vraag 2
Het wel of niet verstrekken aan derden is een beleidskeuze van de
gemeente zelf.
Vraag 3
Bij verstrekking aan derden dient de Verordening te zijn voorzien
in de aanwijzing van door derden verrichte werkzaamheden met
een gewichtig maatschappelijk belang voor de gemeente.
De Wet BRP heeft al voorzien in de verstrekking van gegevens uit
de BRP aan een groot aantal derden. Deze verstrekkingen volgen
rechtstreeks uit de wet of vinden plaats op grond van een
autorisatiebesluit van de minister. Desondanks kunnen er lokale
maatschappelijke belangen zijn, waarin de wetgever niet heeft
voorzien. In die gevallen is de gemeenteraad bevoegd om
werkzaamheden met een maatschappelijk belang, dat samenvalt
met een gemeentebelang aan te wijzen als werkzaamheden
waarvoor gegevens mogen worden verstrekt.
Die gegevens mogen worden verstrekt aan nader te bepalen
categorieën derden die deze werkzaamheden uitvoeren. De
Verordening dient te voorzien in de aanwijzing van deze
categorieën van derden.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 3 van 36
Tevens dient in de Verordening geregeld te zijn dat deze
verstrekking alleen mag plaatsvinden voor zover deze noodzakelijk
is voor de behartiging van het gerechtvaardigde belang van de
derde en het belang of de fundamentele rechten en vrijheden van
de ingeschrevene niet aan de verstrekking in de weg staan.
Zolang de Wet BRP door de gemeente wordt uitgevoerd met
behulp van de systemen die zij al gebruikte onder het regime van
de wet GBA, is er nog geen sprake van systematische verstrekking
van persoonsgegevens met betrekking tot de eigen inwoners. De
gemeente beschikt immers nog over de persoonsgegevens van
haar eigen inwoners. Hierdoor moet in de Verordening ook de
verstrekking aan de gemeentelijke organen, worden geregeld.
Daarbij geldt de voorwaarde dat slechts gegevens worden
verstrekt die noodzakelijk zijn voor de goede vervulling van de
taak van de betreffende organen (zie artikel 3.8, tweede lid, van
de Wet BRP).
Vraag 4
Vooral ook voor de verstrekking van de gegevens uit de BRP is
risicobewustzijn heel belangrijk. In de Verordening BRP met de
eventuele Regeling of bijlagen staat beschreven aan wie en voor
welke doeleinden gegevens verstrekt mogen worden. Dit
document zou dan ook minimaal jaarlijks door de betrokkenen
moeten worden gelezen. Dit geldt niet alleen voor de
medewerkers van de afdeling Burgerzaken of Publiekszaken zelf,
maar ook voor alle gemeentemedewerkers die met
persoonsgegevens werken. Vooral zij moeten bewust gemaakt
worden van de privacygevoeligheid van de persoonsgegevens.
Vraag 5
Beleid moet zijn vastgesteld door het college (of namens het
college d.m.v. mandatering) en actueel zijn. Dit laatste is het
geval als er aansluiting is met de laatst geldende wet- en
regelgeving, maar ook afstemming is op de huidige technische
mogelijkheden en de actuele stand van zaken met betrekking tot
de organisatie. Het beleid dient vastgestelde doelen, de
vaststelling van de verantwoordelijkheden en de controle hierop te
beschrijven.
Het beleid moet in ieder geval de volgende bepalingen bevatten
over en eisen stellen aan:
Beschikbaarheid van het informatiesysteem
Het college spreekt zich uit wat het verlangt op het gebied van de
beschikbaarheid van het informatiesysteem. Getalsmatige
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 4 van 36
aanduidingen in dit verband zijn het meest helder. Voorbeeld: ‘de
technische en organisatorische inrichting van het
informatiesysteem is zodanig van aard en opzet dat gedurende
reguliere bedrijfstijden het informatiesysteem op jaarbasis voor
96% beschikbaar is. De verantwoordelijke personen en afdelingen
van onze gemeentelijke organisatie treffen hiervoor de nodige
maatregelen’.
Vertrouwelijkheid van het informatiesysteem
Ook hier moet het college een duidelijke richtlijn aan de
ambtelijke organisatie geven. Niet vrijblijvend, maar dwingend en
dus ook verplichtend als het gaat om dit mogelijk te
maken,bijvoorbeeld:
‘De technische en organisatorische inrichting van het
informatiesysteem is zodanig van aard en opzet dat de gegevens
daarin alleen ter kennis kunnen komen van personen of instanties
die daartoe bevoegd zijn. De verantwoordelijke personen en
afdelingen van onze gemeentelijke organisatie treffen hiervoor de
nodige maatregelen’.
Betrouwbaarheid van het informatiesysteem
De gegevens die in het informatiesysteem zijn opgenomen moeten
van zo hoog mogelijke kwaliteit zijn. Deze kwaliteit wordt bepaald
door meerdere criteria. Is de informatie compleet, staat alles
vermeld wat verwacht mag worden, is de opgenomen informatie
juist, op basis van geldende richtlijnen en brondocumenten
ingevoerd en tot slot is de informatie actueel. Om hiervoor een
beleidsbasis te leggen kan een tekst in de beleidsnotitie van het
college als volgt luiden:
‘De technische en organisatorische inrichting van het
informatiesysteem is zodanig van aard en opzet dat de gegevens
daarin volledig, juist en actueel zijn. De verantwoordelijke
personen en afdelingen van onze gemeentelijke organisatie treffen
hiervoor de nodige maatregelen’. Een meer concreet voorbeeld
zou kunnen zijn: ‘de kwaliteit van de gegevens behoort in
vergelijking met andere gemeenten tot de 20% best presterende
gemeenten. Een ander voorbeeld: het aantal briefadressen neemt
jaarlijks af met xx%, of het aantal fouten in de diverse klassen
jaarlijks percentueel gezien afneemt met xx %’.
Controleerbaarheid van de waarborgen
Het stellen van doelen is pas effectief als je ook vaststelt of ze
worden behaald. Het vaststellen gebeurt door controle achteraf.
Om het proces van informatievoorziening nauwkeurig te kunnen
volgen kan het college in de beleidsnotitie het volgende opnemen:
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 5 van 36
‘De verantwoordelijke personen en afdelingen van onze
gemeentelijke organisatie treffen maatregelen zodat op ieder
gewenst moment het basisregistratie Informatiesysteem kan
worden gecontroleerd. Deze controle kan bestaan uit intern of
extern onderzoek. De resultaten van dergelijke onderzoeken
worden in de vorm van een schriftelijke rapportage verantwoord
aan het college’.
Vraag 6
Voor de gemeentelijke voorziening van de BRP als waardevol
informatiesysteem zullen de mogelijke dreigingen die verbonden
zijn aan het gebruik van dit systeem en de gevolgen als een
dergelijke dreiging zich openbaart in kaart moeten worden
gebracht.
Dit kan worden beschreven in een beveiligingsplan of een
calamiteitenplan. Dit plan dient altijd actueel gehouden te worden
en bevat de te nemen maatregelen, de aanwijzing van de
verantwoordelijken daarvoor en de termijn waarbinnen dit
gerealiseerd moet zijn. Met gemeentelijke voorziening wordt de
'oude' GBA-applicatie bedoeld.
Vraag 7
Een goed beveiligingsplan bestaat uit het nadenken over de
mogelijke risico’s, wat oorzaken kunnen zijn van deze risico’s (de
dreigingen) en welke maatregelen genomen zijn of moeten
worden. Deze elementen leiden tot een afweging om in actie te
komen. Vooral met preventieve maatregelen om ongewenste
gebeurtenissen zo lang mogelijk buiten de deur te houden.
De risicoanalyse is een zeer nuttig en bruikbaar instrument om,
nog vóórdat een incident heeft plaatsgevonden, een voorstelling te
maken van de mogelijke risico’s en de mogelijke gevolgen
daarvan. Een risico is altijd het gevolg van een vermenigvuldiging:
kans x gevolg. Effectieve beveiligingsmaatregelen zorgen daarom
altijd voor óf het verminderen van de kans óf het verminderen van
het gevolg.
Een plan is niets anders dan een (schriftelijk) voornemen om iets
te doen. Het is beslist aan te raden om de te nemen maatregelen
en acties te verbinden aan een einddatum waarop deze
gerealiseerd moeten zijn en tevens vast te leggen wie voor de
uitvoering verantwoordelijk is. Alleen dan kan gemeten worden of
de voorgenomen acties ook daadwerkelijk worden uitgevoerd.
Gelijktijdig met het vaststellen van de maatregelen moet de
opdrachtgever aangeven binnen welke termijn de te treffen
maatregelen zijn gerealiseerd. Voor minder ingrijpende zaken kan
dit een maand of een kwartaal zijn en voor meer complexe
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 6 van 36
maatregelen misschien wel een jaar of zelfs langer. In alle
gevallen geldt dat de opdrachtgever de uiteindelijke beslissing
neemt.
Gemeentebreed liggen er taken en verantwoordelijkheden die
bijdragen aan een veilig informatiesysteem. Een goed
informatiebeveiligingsplan moet dan ook tot stand komen door
samenwerking tussen de diverse betrokken disciplines en
verantwoordelijken.
Vraag 8
Een incident is ieder voorval dat schade toebrengt of kan
toebrengen aan het systeem. Hiermee wordt bedoeld iedere
inbreuk op het gebied van beschikbaarheid, betrouwbaarheid,
vertrouwelijkheid en/of controleerbaarheid.
Schending van de geheimhouding van gegevens of een handeling
die in strijd is met de beveiligingsprocedures van de gemeente is
een voorbeeld. Andere mogelijke incidenten zijn:
Onbevoegde aanwezigheid;
Uitlekken van gevoelige informatie;
Fraude onder druk (door klant);
Interne fraude (door medewerker);
Poging tot identiteitsfraude (lookalike) tijdens
aanvraagproces;
Geconstateerde identiteitsfraude na het aanvraagproces;
Vermissing van reisdocumenten/rijbewijzen.
Vraag 9
Wanneer de burger aangifte doet van adreswijziging dient de
medewerker Burgerzaken eerst de identiteit van die burger
deugdelijk vast te stellen. Ook in andere gevallen waarin de
burger in persoon verschijnt bij de medewerker Burgerzaken
(bijvoorbeeld bij een eerste inschrijving, het wijzigingen van de
code geheimhouding, het verzoek doen tot verwijderen van
gegevens of de aangifte van vertrek waarbij niet alle personen van
hetzelfde adres vertrekken), dient eerst de identiteit van de
burger deugdelijk vastgesteld te worden. Het vaststellen van de
identiteit vindt bij voorkeur plaats aan de hand van de
documenten die zijn genoemd in artikel 1 van de Wet op de
identificatieplicht (geldig reisdocument of een
vreemdelingendocument), of een geldig Nederlands rijbewijs.
Hierbij dienen de echtheidskenmerken altijd te worden
gecontroleerd, de foto dient vergeleken te worden met de persoon
en de handtekening van de persoon dient vergeleken te worden
met de handtekening op het id-bewijs. De gegevens op het id-
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 7 van 36
bewijs dienen weer vergeleken te worden met de gegevens in de
BRP.
Als er twijfel is over de identiteit dient er altijd een onderzoek naar
de identiteit te worden gestart.
Vraag 10
Inschrijving in en actualisering van de BRP zijn processen die met
veel precisie uitgevoerd dienen te worden. Om de kwaliteit hiervan
te waarborgen moeten hiervoor duidelijke werkinstructies bestaan.
Deze moeten ingaan op de invoer van de gegevens, de controle
van de ingevoerde gegevens en het wijzigen van de ingevoerde
gegevens.
Vraag 11
Om er zeker van te zijn dat iedere medewerker de mutaties op
dezelfde (juiste) manier uitvoert dienen minimaal jaarlijks alle
inschrijvings- en actualiseringsprocessen te worden gecontroleerd
op juiste uitvoering. Dit kan door middel van een steekproef of
door het nalopen van ieder proces met alle medewerkers samen.
Niet alle mogelijke processen worden hier getoetst. Er is bij deze
vraag gekozen voor een deel van alle werkprocessen. Met deze
keuze ontstaat voldoende inzicht in de gegevensverwerking.
Vraag 12
De verwerking van gegevens kan het beste worden gezien als een
kwaliteitsproces. In eerste aanleg worden gegevens gemuteerd
door een specifieke medewerker die verantwoordelijk is voor de
eerstelijns invoer. Aanbevolen wordt om elke mutatie te
controleren op correcte uitvoering. De meest kritische mutaties
dienen in ieder geval gecontroleerd te worden. Hierbij gaat het om
alle adres gerelateerde mutaties, naamgebruik,
verstrekkingsbeperking, actualiseringen en correcties op grond
van Nederlandse akten of buitenlandse brondocumenten,
nationaliteiten, reisdocumenten en gezag. Wijzigingen hierin
worden verstrekt aan overheidsorganen en bij fouten is er kans
dat de overheidsorganen gebruik maken van deze foutieve
gegevens.
Voor de volgende mutaties moeten volgens de Wet bevestigingen
worden verstuurd aan de burger:
2.54: Inschrijving
2.56: naamgebruik
2.57: Verwijdering bij adoptie en geslachtswijziging
2.58: Wijziging op verzoek van burger
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 8 van 36
Vraag 13
Een minimale eis aan het gemeentelijke systeem is dat
actualiseringen of correcties binnen één werkdag moeten zijn
aangebracht en de bijbehorende berichten moeten dan ter
verzending zijn aangeboden.
Vraag 14
Het is niet bij alle actualiseringen of correcties mogelijk dat deze
binnen één werkdag worden aangebracht, voor deze
actualiseringen kan wel gesteld worden dat deze direct worden
verwerkt nadat alle bescheiden die nodig zijn om de actualisering
te verwerken zijn ontvangen.
Vraag 15
De kwaliteit van de op te nemen gegevens op het moment van
een inschrijving is van groot belang. De volgende elementen
dienen verwerkt te zijn in de procedures voor de bijhouding van
de BRP:
De identiteit dient deugdelijk te worden vastgesteld. Door te
beschrijven hoe dat dient te gebeuren kan hier geen
onduidelijkheid over bestaan.
Het is van belang dat alleen de originele brondocumenten zowel
bij de intake, de verwerking, de eerste en tweedelijns controle
worden gebruikt. De administratieve organisatie van de afdeling
zal zo moeten zijn ingericht dat de originele brondocumenten
beschikbaar zijn en blijven ten behoeve van iedere stap in het
kwaliteitsproces.
Minimaal eens per jaar moet aan de burger bekend worden
gemaakt dat er een mogelijkheid bestaat tot het aanvragen van
geheimhouding. Het is dan ook redelijk om bij adreswijzigingen de
burger hiervan standaard op de hoogte te brengen.
Het inschrijven van geprivilegieerden wordt beschreven in de
circulaire inschrijving geprivilegieerden van december 2013.
Met het toezenden van de persoonslijst naar aanleiding van de
inschrijving aan betrokkene aan het geregistreerde adres,
gecombineerd met een toelichting op de belangrijkste rechten en
plichten van de burger, ontstaat ook nog een controlemoment. De
ontvanger kan dan controleren of zijn gegevens juist zijn
opgenomen en of de inschrijving op dat adres inderdaad wel
rechtmatig was.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 9 van 36
De procedure terugmeldingen dient te voorzien in een
gestructureerde en vastgelegde werkwijze voor het verwerken van
inhoudelijke terugmeldingen van zowel landelijke
overheidsorganen als organen van de gemeente en het doorgeven
van terugmeldingen door de organen van de gemeente.
Vraag 16
Het instrument van de bestuurlijke boete beoogt de kwaliteit van
de gegevens over de ingezetenen in de basisregistratie verder te
verhogen en is bedoeld als ondersteuning van de colleges van
burgemeester en wethouders, die belast zijn met de correcte
bijhouding van de basisregistratie personen.
Het college kan zelf beleid bepalen met betrekking tot de
toepassing van de bestuurlijke boete. Daarbij kan de ‘Handreiking
Bestuurlijke Boete’ die de NVVB heeft opgesteld voor het
toepassen van deze sanctiemogelijkheid als uitgangspunt worden
genomen.
De beleidsregel briefadres van de NVVB geeft maximum termijnen
die gelden voor de verschillende soorten van briefadres. Ook kan
op grond van die regel het aantal briefadreshouders per adres
beperkt worden. De beleidsregel somt de redenen op, op grond
waarvan en onder welke voorwaarden een briefadres gekozen kan
worden. Verder komen de weigeringsgronden aan de orde en hoe
omgegaan moet worden met een onvolledige aangifte van
briefadres. Omdat het mogelijk moet zijn om in extreme situaties
hiervan af te wijken is ook een hardheidsclausule opgenomen. Er
blijven altijd individuele omstandigheden van een
briefadreshouder die waarbij afgeweken dient te worden van de
vastgestelde regels.
Vraag 17
Het verstrekken van gegevens is een delicaat proces waarbij de
belangen van de geregistreerde voorop staan in het kader van de
bescherming van zijn persoonsgegevens. Om die reden is het
noodzakelijk het proces van verstrekkingen te beschrijven in een
eenduidige en vooral duidelijke procedure. De elementen die in
zo’n procedure terug moeten komen zijn de wijze waarop een
verzoek wordt ingediend en waaraan het verzoek moet voldoen.
Voor degene die de verstrekking gaat uitvoeren is het essentieel
om te weten of aan dat verzoek mag worden voldaan. Er moet dus
een afweging plaatsvinden. De procedure moet daarom de criteria
bevatten waarop die afweging tot stand komt. Hierbij wordt de
basis gevormd door de afweging of het belang dat is gemoeid met
het verstrekken van gegevens opweegt tegen de inbreuk op de
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 10 van 36
bescherming van de persoonsgegevens (proportionaliteit) en als
tweede afweging of de verstrekking van gegevens niet
eenvoudiger en rechtmatig op een andere wijze tot stand kan
komen (subsidiariteit).
In die gevallen waarin de geregistreerde om
verstrekkingsbeperking heeft gevraagd en er een verzoek om
verstrekking aan een derde wordt ontvangen, zal de ingezetene
daarvan onmiddellijk op de hoogte moeten worden gesteld. De
ingezetene wordt in de gelegenheid gesteld zijn belangen kenbaar
te maken. Nadat de medewerker de belangen van de ingezetene
heeft afgewogen tegen de belangen van de derde neemt hij een
voorgenomen besluit op het verzoek om verstrekking van
gegevens.
Bij de gegevens van de ingezetene moet een aantekening worden
gemaakt dat deze verstrekking heeft plaatsgevonden, het
zogenaamde protocolleren. Het is sterk aan te raden om in de
procedure verstrekking al deze verplichte onderwerpen op te
nemen en te voorzien van een mogelijkheid tot registratie dat aan
alle voorwaarden is voldaan. Daarmee wordt het proces
controleerbaar en transparant.
Verstrekking
Tot nader order is het niet toegestaan dat de colleges gegevens
verstrekken over anderen dan de eigen ingezetenen. Dit omdat het
nog niet mogelijk is om de protocollering van deze verstrekking
centraal vast te leggen. In de praktijk zou dit betekenen dat een
burger om informatie over de verstrekking te krijgen alle
gemeenten af moet gaan. Dit is een te grote inperking van het
inzagerecht van de burger.
Dit protocolleringsprobleem bestaat niet waar het gaat om de
verstrekking van gegevens aan overheidsorganen en derden over
personen die als niet-ingezetene in de BRP zijn geregistreerd,
indien deze verstrekking plaatsvindt door het college van
burgemeester en wethouders van een gemeente waar zich een
inschrijfvoorziening voor niet-ingezetenen bevindt. Dat dergelijke
verstrekkingen op grond van artikel 3.5 en 3.6 van de Wet BRP
hier wel kunnen plaatsvinden vloeit voort uit paragraaf 5.3.2 van
het LO RNI, waarin is vastgelegd dat voor deze verstrekkingen
door het desbetreffende college de RNI kan worden gebruikt. In
het RNI-systeem worden de verstrekkingen van gegevens over
niet-ingezetenen wel centraal geprotocolleerd.
Bron: Staatscourant 2015 nr. 2034 23 januari 2015
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 11 van 36
Vraag 18
Met uitzondering van enkele bij wet geregelde omstandigheden,
heeft de ingezetene het recht op verstrekkingsbeperking van zijn
gegevens voor bepaalde instanties. Het verzoek hiervoor moet
binnen vier weken zijn gerealiseerd.
Het is zaak om binnen de gemeente te zorgen voor duidelijke
communicatie op het gebied van de verstrekkingsbeperking die
rust op het gebruik van deze gegevens. De gegevens (ook al zijn
zij voorzien van de indicatie geheimhouding) moeten op grond van
wettelijke bepalingen door organen van de gemeente gebruikt
worden bij de uitvoering van publiekrechtelijke taken. Maar
daarnaast geldt ook dat zij uitsluitend gebruikt mogen worden
voor die publiekrechtelijke taak en nergens anders voor. De
criteria om te bepalen of de persoonlijke levenssfeer van een
persoon onevenredig zou worden geschaad als er toch gegevens
verstrekt worden moeten worden beschreven in de procedure.
Vraag 19
Iedereen die geregistreerd staat in een geautomatiseerde
gegevensverwerking, waarbij de gegevens kunnen worden herleid
naar de natuurlijke persoon, heeft het recht om te weten wat er
met zijn gegevens is gebeurd. Hij mag een verzoek indienen en
heeft recht om te weten wie zijn gegevens heeft verkregen, gezien
of gebruikt, wanneer dat heeft plaatsgevonden en met welk doel
dat is gebeurd in de afgelopen 20 jaar. Dit recht bestaat zowel in
de Wet basisregistratie personen als in de Wet Bescherming
Persoonsgegevens.
Veel applicaties hebben voorzieningen en systeeminstellingen die
er voor zorgen dat het merendeel van deze feiten automatisch
worden geprotocolleerd. Als er echter handelingen plaatsvinden
buiten deze systeem verstrekking om dan moet er handmatig
worden geprotocolleerd. Een procedure moet er in voorzien dat
duidelijk is wanneer dit moet worden uitgevoerd, wat er
geregistreerd moet worden en hoe controle plaatsvindt op deze
registratie.
Vraag 20
De procedure incidentmeldingen zal helder moeten zijn over de
wijze waarop een incident gemeld kan worden. Als een
meldingsformulier al aanwezig is, is dit vaak diep verstopt in de
structuur van het intranet bij een gemeente. Een goede procedure
is vindbaar en voorhanden en regelt wie verantwoordelijk is voor
de ontvangst van de melding. Dit kan een leidinggevende zijn, de
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 12 van 36
beveiligingsbeheerder of misschien een kwaliteitscoördinator. Deze
ontvanger bewaakt het proces en zorgt er voor dat een
deskundige de melding in behandeling neemt. Het proces wordt
blijvend gevolgd en het ligt vast wie de termijnen bewaakt en wat
er moet gebeuren als deze worden overschreden. Een belangrijk
fenomeen in de bereidheid om incidenten te melden is het
terugmelden van de acties en de resultaten of voortgang. Dan blijf
je als melder veel beter betrokken bij de melding. Door incidenten
vast te leggen kan met meerdere meldingen onderzoek worden
gedaan naar overeenkomsten. Een zogenaamde statistische
analyse kan helpen om (terugkerende) fouten op te sporen en
vooraf te verhelpen.
Vraag 21
Toegang tot gegevens krijg je niet zomaar. Daarvoor is het
noodzakelijk en vereist dat vooraf wordt gecontroleerd of deze
toegang en het gebruik functioneel nodig is en wettelijk is
toegestaan.
Een schriftelijke procedure met daarin de voorwaarden waaraan
voldaan moet worden voor toegangsverlening, garandeert de
objectiviteit. Bij die voorwaarden moet dan gedacht worden aan
de eerder genoemde functionele noodzaak en wettelijke ruimte,
maar ook aan de verplichtingen die aan de gebruiker worden
opgelegd, zoals geheimhouding en het niet uitlenen van je
autorisatie. Het is noodzakelijk om regelmatig controle uit te
voeren op de verstrekte autorisaties. Je zult de eerste gemeente
niet zijn die nog autorisaties in het systeem heeft staan van
personen die al jaren niet meer in die functie werkzaam zijn
waarvoor de autorisatie nodig was. In de praktijk betekent dit het
uitdraaien van een lijst met namen van geautoriseerden en
vervolgens (laten) controleren of deze correct en actueel is. Deze
toets omvat ook de controle of autorisaties in overeenstemming
zijn met wet- en regelgeving.
In samenwerkingsverbanden worden ook steeds vaker autorisaties
uitgegeven aan personen die niet in de (eigen) organisatie
werkzaam zijn. Controle hierop is dan ook essentieel.
Vraag 22
In de verordening (of het onderliggende reglement) is bepaald wie,
voor welk doel inzage kan verkrijgen in de gegevens van de
basisregistratie personen. Deze inzage kan rechtstreeks in de
applicatie van de basisregistratie personen gegeven worden of via
een zogenaamde midoffice. Bij het toekennen van de rechten in de
midoffice is het daarom van belang dat de informatie- of
privacybeheerder toetst of de inzage rechtmatig is.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 13 van 36
Eenmaal per jaar moet een overzicht worden gemaakt van de in het
systeem toegekende autorisaties. Mede op basis van dit overzicht
wordt een rapportage gemaakt waarin wordt aangegeven:
of de geïmplementeerde autorisaties overeenkomen met de
toegekende autorisaties;
of de geregistreerde gebruikers en de aan hen toegekende
autorisaties correct zijn. Hiertoe wordt het controleverslag
vergeleken met de autorisatieformulieren en tevens
vergeleken met wat is vastgelegd in de verordening BRP van
de gemeente;
dat bij tussentijdse wijzigingen in taak/functie of bij ontslag
of vertrek de autorisatie direct wordt geblokkeerd.
Vraag 23
Belangrijke elementen in een onderzoeksprocedure zijn:
de wijze waarop melding kan worden gedaan
hoe komt een terugmelding bij de gemeente binnen
bij welke medewerker of afdeling wordt dit geregistreerd
hoe wordt een onderzoek gestart, gemonitord en beëindigd
welke tijdsnorm is er gesteld voor het verwerken van de
terugmelding
hoe wordt het behalen van de tijdsnorm bewaakt
wie zorgt voor de daadwerkelijke verwerking van de
terugmelding
hoe wordt de melder van de data inconsistentie
geïnformeerd dat zijn melding is ontvangen en wat er met
zijn melding is gebeurd
hoe wordt de bijgewerkte informatie verstrekt aan
relevante overheidsorganen
Vraag 24
Het protocol adresonderzoek is door het ministerie van BZK en de
NVVB opgesteld om gemeenten te ondersteunen bij het uitvoeren
van een gedegen adresonderzoek.
Vraag 25
Omdat de uitkomst van een adresonderzoek mogelijk aanleiding
kan zijn tot een ambtshalve wijziging van gegevens in de BRP,
moet het onderzoek zorgvuldig worden uitgevoerd. De gemeente
kan niet lichtvaardig overgaan tot het doorvoeren van een
ambtshalve wijziging, omdat de gevolgen voor de betrokken
persoon en overheid groot kunnen zijn. Een adresonderzoek moet
om deze reden altijd zorgvuldig worden uitgevoerd.
Het protocol adresonderzoek is door het ministerie van BZK en de
NVVB opgesteld om gemeenten te ondersteunen bij het uitvoeren
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 14 van 36
van een gedegen adresonderzoek. In dit protocol worden
adviestermijnen genoemd. Van deze standaardtermijnen kan door
de gemeente zowel in positieve als in negatieve zin worden
afgeweken, afhankelijk van de omstandigheden van het geval. Dit
is aan de beoordelingsvrijheid van een gemeente, maar moet wel
worden gemotiveerd en vastgelegd.
Vraag 26
Adresonderzoeken moeten zeer zorgvuldig worden uitgevoerd.
Hierbij kan, indien mogelijk, zowel onderzoek op het oude als op
het nieuwe adres worden uitgevoerd. Ook het raadplegen van
meerdere bronnen is aan te raden. Hierbij kan gedacht worden
aan Suwinet, eventuele familieleden, buren ect.
Het openbaar bekendmaken van een ambtshalve uitschrijving kan
ook (achteraf) een hulp zijn.
Vraag 27
Het Basisregister Reisdocumenten registreert Nederlandse
reisdocumenten die van rechtswege zijn vervallen volgens artikel
47 van de Paspoortwet.
Deze reisdocumenten mogen niet meer in omloop zijn. Een
reisdocument vervalt van rechtswege in bijvoorbeeld de volgende
gevallen:
als het is gestolen of vermist;
als de houder is overleden;
als de geslachtsnaam, de voornamen, de geboortedatum of
het geslacht van de houder zijn gewijzigd.
Als er wordt overgegaan tot correctie van bijvoorbeeld een
geslachtsnaam naar aanleiding van een sterker brondocument,
vervalt het paspoort van rechtswege. Als deze correctie wordt
uitgevoerd op de persoonslijst in de BRP, zal er automatisch een
bericht uitgaan naar het Basisregister. Het reisdocument wordt
hierdoor in het Basisregister geregistreerd, omdat het niet in
omloop mag zijn. Betrokken burger moet dan worden
geïnformeerd en het reisdocument moet fysiek worden
ingehouden om problemen voor de burger te voorkomen
Vraag 28
Voor het veilig verwerken van de digitale aangiften dienen
maatregelen te worden genomen. Digitale aangifte is alleen maar
betrouwbaar als deze via DigiD plaatsvindt. Zonder DigiD is er
geen betrouwbare identificatie.
Om de burger bij het doen van zijn digitale aangifte te
ondersteunen, dienen automatische controles plaats te vinden
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 15 van 36
tijdens het invoeren van de aangifte om fouten, vergissingen en
fraude te voorkomen.
Automatische signalering op risico-adressen of risico-personen is
een extra tool ter bestrijding van fraude, dit kan eventueel ook
handmatig plaatsvinden. Als alle digitale aangiften in de back-
office (extra) worden gecontroleerd op risico’s en verwerking
verkleind dit de kans op fraude.
Vraag 29
Om fraudebestrijding tegen te gaan is het aan te bevelen om een
fraudecoördinator aan te stellen ofwel deze taak bij een
medewerker neer te leggen. Dit kan iemand van de afdeling
Burgerzaken/Publiekszaken zijn, maar het is aan te bevelen deze
functie breder in te steken en een gemeentebrede
fraudecoördinator aan te stellen.
Door signaleringen over fraude- en/of twijfelgevallen in het kader
van fraude te delen met zowel binnengemeentelijke als
buitengemeentelijke organisaties wordt de kans op fraude of het
uitbreiden hiervan verkleind. Ook samenwerking met
gemeentelijke afdelingen of externe ketenpartners limiteert de
kans op fraude aanzienlijk. Denk hierbij aan regelmatige
overleggen of het combineren van bevoegdheden.
Vraag 30
De ingezetene heeft zelf ook een aantal wettelijke verplichtingen
als het gaat om zijn opname in de basisregistratie. In de praktijk
blijkt het noodzakelijk daarop toezicht uit te oefenen omdat hij
lang niet altijd op de hoogte is van de voorschriften. Doelmatig in
dit verband is controle op het aantal personen dat ‘meeverhuist’
bij een adreswijziging. Gaat iedereen wel mee of gaan er personen
mee die nog niet eerder op het oude adres vermeld stonden. Dat
is aanleiding voor nader onderzoek. Ook het feitelijk controleren of
een situatie overeenkomt met de administratie is een waardevolle
aanvulling op de controles, zoals of leegstaande woningen volgens
de BRP in de werkelijkheid ook daadwerkelijk leeg staan. Ook
blijkt het nuttig en noodzakelijk om periodiek te controleren of
briefadreshouders nog steeds niet beschikken over een feitelijk
woonadres. Bij het niet voldoen aan de vraag heeft de gemeente
de mogelijkheid een bestuurlijke boete op te leggen.
Vraag 31
Een procedure valt of staat met de actualiteit daarvan. Een
regelmatige controle of de procedures nog steeds aansluiten bij de
werkelijkheid is dan ook noodzakelijk. Deze toetsing bestaat uit
diverse onderdelen. De eerste toetsing is de controle of de
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 16 van 36
uitvoering van de procedure wel overeenkomt met de beschreven
procedure. Dit kan gebeuren door de procedure met de
uitvoerenden te bespreken op de werking ervan. Ook dient er
gecontroleerd te worden of er wijzigingen hebben plaatsgevonden
in de taken, verantwoordelijkheden en bevoegdheden van de
functionarissen die genoemd worden in de procedure. Ook
wijzigingen in wet en regelgeving kunnen van invloed zijn op de
actualiteit van de procedure, de signaalfunctie hiervan ligt bij het
desbetreffende vakgebied.
Als blijkt dat er wijzigingen of aanpassingen gedaan moeten
worden of als er sprake is van een verschil tussen procedure en
werkelijkheid dient de procedure aangepast te worden aan de
actualiteit.
Vraag 32
Het periodiek toetsen van gebruikers van de basisregistratie
personen werkt kwaliteitsbevorderend. Dit kan gebeuren door een
leidinggevende, uitgaande van het feit dat deze dan zelf over
voldoende bekwaamheid beschikt. Als dat niet het geval is,
bijvoorbeeld als gevolg van generale taakstelling van het
management, dan kan een toets ook worden uitgevoerd door een
deskundige collega of zelfs door een externe partij of inhoudelijke
deskundige collega van een andere gemeente. Dit alles moet
worden gezien in het licht van het (waar)borgen van kwaliteit.
Vraag 33
De gegevens in de basisregistratie personen zijn gevoelig voor
(identiteits-)fraude en het is voor de geautoriseerde gebruiker van
belang dat hij/zij wordt beschermd tegen misbruik op zijn naam.
Een eerste vereiste daarvoor is dat alleen aan individuele
personen rechten worden toegekend. Gemeenschappelijke
accounts zoals balie1, balie2 en balie3 passen duidelijk niet in
deze eis. Immers, hiermee loggen verschillende personen in en
voeren handelingen uit, terwijl dit niet meer te herleiden is tot een
individueel persoon.
Als we het hebben over individuele personen denken we in eerste
instantie aan de eigen medewerkers van de gemeente. Maar ook
voor inhuur/inleen medewerkers en voor een leverancier is het
van belang om gebruik te maken van individuele accounts. Vooral
van belang is het om hierbij aandacht te besteden aan de
leverancier van de software applicatie. Bij storingen of wijzigingen
in de programmatuur wordt deze te hulp geroepen en via
technische voorzieningen de mogelijkheid geboden om op afstand
in te loggen op het informatiesysteem. Ook hier zal sprake moeten
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 17 van 36
zijn van individuele accounts zodat altijd op de persoon kan
worden herleid wie toegang heeft gehad tot de gegevens.
Vraag 34
In het proces van de BRP zijn mensen verantwoordelijk voor het
stelsel. Door de aanwijzing van de verantwoordelijken expliciet op
te nemen in de beleidsnotitie van het college is dit op één plaats
en eenduidig geregeld.
Vooral bij gemeenten is er veelvuldig sprake van
organisatiewijzigingen en daarmee gepaard gaande veranderingen
in taken en functies. Een aanrader is daarom in de beleidsnotitie
van het college te volstaan met het noemen van de hierna
genoemde functies of rollen en gelijktijdig in een afzonderlijk
document deze functies of rollen te benoemen in de organisatie.
Vraag 35
In de Wet GBA was de informatiebeheerder verplicht. In de BRP
komt deze niet meer voor maar is het college aangewezen als
verantwoordelijke voor de uitvoering van de wet. In de praktijk
wordt deze functie (zorg dragen voor de vertrouwelijkheid en
integriteit van de gegevens van de basisregistratie) bijna altijd
ingevuld door het hoofd Burgerzaken of Publiekszaken. Het is dan
ook aan te bevelen een informatiebeheerder BRP voor de lokale
voorzieningen en een vervanger aan te wijzen in bijvoorbeeld een
Regeling voor het Beheer of een Regeling Bevoegdheden
Basisregistratie.
Vraag 36
Als het gemeentehuis door een incident of calamiteit voor langere
tijd niet gebruikt kan worden dan zal je de dienstverlening op een
andere plek moeten organiseren. Continuïteit is ook zorgen voor
alternatieve werkplekken voor medewerkers, een vervangende
locatie voor balies en spreekkamers om je publiek te woord te
staan en het beschikken over de meest elementaire
benodigdheden om je kantoorfunctie elders uit te voeren. Binnen
de gemeente kun je dit bijvoorbeeld regelen in een
brandweerkazerne of een ander gemeentelijk gebouw waar
voldoende faciliteiten zijn. Hierbij dient wel rekening gehouden te
worden met de afstand. Een gebouw dicht in de buurt kan ook
getroffen worden door dezelfde calamiteit.
Wel zou afgesproken kunnen worden dat je bij een buurgemeente
terecht kunt voor het hervatten van de dienstverlening op het
moment dat je uit moet wijken.
Vraag 37
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 18 van 36
Voor een goede crisisbeheersing is een actueel draaiboek
essentieel. Hierin zijn de taken, verantwoordelijkheden en acties
vastgelegd. Voorop staat dat wordt nagedacht hoe de gemeente
moet doordraaien als er een calamiteit is.
Een aantal kenmerken van een dergelijk noodplan staat hier
opgesomd. Het is onvermijdelijk deze op lokaal niveau een meer
gemeentespecifieke invulling te geven:
Naar welk gebouw wordt uitgeweken: school, bibliotheek,
sporthal, gymzaal, collega gemeentehuis,
brandweerkazerne, ander stadsdeelkantoor of
deelgemeentehuis ect.
Hoe is de bereikbaarheid van deze locatie per openbaar
vervoer, auto, fiets, parkeergelegenheid voor minder validen
Hoeveel werkplekken moeten daarvoor ingericht worden
voor de meest kritieke functies
Hoeveel balies en spreekkamers moeten er beschikbaar zijn
Worden de veiligheidseisen ook in deze uitwijklocatie goed
uitgevoerd, denk aan kluizen, inbraak en
brandmeldsystemen, sleutelbeheer, toegangscontrole,
camerabewaking en bescherming tegen agressieve
publiekscontacten. Ondanks de uitgeweken situatie is het
treffen van veiligheidsmaatregelen van groot belang voor de
bescherming van medewerkers en gemeentelijke processen
Welke kantoor en ICT voorzieningen zijn nodig voor de
uitgeweken functies
Welke afspraken zijn gemaakt met leveranciers van
kantoormeubilair en kantoorapparatuur voor een acute
levering van materialen
Welke afspraken zijn gemaakt met energiebedrijven en
telecommunicatiebedrijven voor de benodigde infrastructuur
Inschakelen van interne en externe communicatie, de pers,
e.d. voor de berichtgeving over de alternatieve locatie en
het sturen op klantstromen
Vraag 38
U dient jaarlijks (tussen 1 oktober tot 1 oktober) een uitwijktest
uit te voeren. Hierbij beoordeelt u of de procedure het gewenste
resultaat oplevert en krijgt u inzicht in de effectiviteit van de
procedure. De wijze van toetsing wordt eveneens in de procedure
beschreven.
Het is mogelijk om de procedure daadwerkelijk te toetsen op
uitvoering en op de uitwijklocatie de benoemde testen in een
testomgeving na te spelen. Hierover kan dan gerapporteerd
worden aan het management.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 19 van 36
Het is ook mogelijk om te controleren of de uitvoering van de
procedure wel overeenkomt met de beschreven procedure door
deze met de uitvoerenden te bespreken op de werking ervan. Ook
dient er gecontroleerd te worden of er wijzigingen hebben
plaatsgevonden in de taken, verantwoordelijkheden en
bevoegdheden van de functionarissen die genoemd worden in de
procedure. Ook wijzigingen in wet en regelgeving kunnen van
invloed zijn op de actualiteit van de procedure, de signaalfunctie
hiervan ligt bij het desbetreffende vakgebied.
Vraag 39
Nadat het evaluatie-instrument vóór 1 oktober van elk
kalenderjaar definitief is ingevuld zullen verschillende rapportages
worden gegenereerd. De rapportages zijn op verschillende niveaus
geschreven maar hebben alle betrekking op dezelfde gesignaleerde
aandachtspunten. Een rapportage komt beschikbaar voor het
college en een zogenaamde detailrapportage voor de uitvoerend
verantwoordelijken.
De rapportage die bestemd is voor het college zal op de
gebruikelijke wijze worden aangeboden. Het college neemt hiervan
kennis, neemt zo nodig besluiten en geeft opdracht aan de
organisatie om de nodige maatregelen te treffen. Na behandeling
in het college wordt de rapportage vóór 1 november van ieder
kalenderjaar aan de Rijksdienst voor Identiteitsgegevens gestuurd.
De detailrapportage is feitelijk het instrument waar de organisatie
mee aan de slag gaat. Hieruit blijkt welke acties nog worden
verlangd en moeten worden uitgezet voor uitvoering. Om het
draagvlak en het bewustzijn te verhogen is het sterk aan te raden
om de uitkomsten van de evaluatie ook te bespreken met de direct
bij het proces betrokken medewerkers.
Vraag 40
Een van de doelen van het ID protocol Burgerzaken is het helpen
in het vastleggen van een procedure hoe om te gaan met in te
leveren (buitenlandse) brondocumenten. De handreiking zou wat
de NVVB betreft moeten leiden tot standaardisering van
procedures en inzet van middelen zodat u een integer en
betrouwbaar persoonsbeeld van burgers kan garanderen.
Vraag 41
De rangorde van artikel 2.8 Wet BRP brengt mee dat gegevens aan
brondocumenten met een zo sterk mogelijke bewijskracht moeten
worden ontleend. Pas wanneer redelijkerwijs geen sterker
brondocument kan worden overgelegd, worden gegevens ontleend
aan een zwakker brondocument. Op elk moment waarop
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 20 van 36
brondocumenten worden overgelegd, meestal bij de aangifte voor
een eerste inschrijving, moet worden bepaald wat dan het sterkste
brondocument is. Met het aanleggen van een persoonslijst wordt
niet gewacht tot sterkere documenten uit het land van herkomst
zijn verkregen. Hooguit wordt op documenten gewacht die binnen
enkele dagen voorhanden zijn of naar verwachting beschikbaar
kunnen zijn. Voorbeeld: een document is wel in Nederland
aanwezig, maar is niet meegenomen bij de aangifte.
Het is wel zaak om bij te houden van wie er nog sterkere
brondocumenten moeten (en ook kunnen) worden overgelegd.
Deze personen moeten periodiek opgeroepen worden om alsnog de
documenten te overleggen.
Na herhaaldelijke verzoeken zou de bestuurlijke boete ingezet
kunnen worden om de persoon van de urgentie van het overleggen
van het juiste brondocument te overtuigen.
Vraag 42
In bijlage 5 van de HUP zijn de omschrijvingen en aanbevolen
afkortingen opgenomen die gebruikt kunnen worden bij de
beschrijving van brondocumenten in de BRP.
Dit is geen verplichting, maar voor de eenduidigheid in de
beschrijving is het wel aan te bevelen. Het is in ieder geval zaak
om binnen de eigen gemeente een consequent beleid te voeren
ten aanzien van de opname van brondocumentbeschrijvingen.
Vraag 43
Voor alle buitenlandse reisdocumenten en brondocumenten is het
aan te bevelen om altijd controleapparatuur, Discs/Edison en/of de
retroviewer te gebruiken.
Vraag 44
Een structurele oplossing in de zin van periodieke bijscholing,
training (on-the-job) en workshops is essentieel voor het up-to-
date houden van de kennis over (buitenlandse) brondocumenten.
Vraag 45
Om te beveiligen tegen onrechtmatige kennisname is opslag in
een inbraakwerende voorziening een must. Bij inbraakwerend zal
in dit verband gedacht moeten worden aan een bergplaats die
slechts met veel moeite ongeoorloofd geopend kan worden. Een
eenvoudige kantoorkast met een lamellendeur, afgesloten of niet,
volstaat hier niet. Een kluis hoeft het ook niet altijd te zijn. Veelal
zien we opslag in een beveiligde ruimte, zoals de ruimte waar de
aktes van de burgerlijke stand zijn opgeslagen. Een betonnen
ruimte voorzien van een sterke deur en goed afgesloten.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 21 van 36
Sommige documenten zijn onvervangbaar of slechts met grote
moeite en kosten te reconstrueren (bv originele buitenlandse
brondocumenten). Voor die documenten is het noodzakelijk om
deze ook tegen brand te beschermen. In verschillende wetten,
regelingen en voorschriften worden aanwijzingen gegeven over de
mate waarin documenten bestand zouden moeten zijn tegen
brand, uitgedrukt in 30 – 60 of 120 minuten bestendigheid. Een
lastige bijkomstigheid is dat inbraakvertragend en brandwerend
niet altijd goed samen gaan. Immers voor inbraakvertraging zou
je het liefst veel staal en ander sterk materiaal gebruiken. Dit is
echter ook het materiaal dat zorgt voor een goede geleiding van
temperatuur en heeft daardoor tegengestelde invloed op de
brandwerendheid. Voor brandwerendheid worden kunststoffen
materialen gebruikt die zorgen voor een hele slechte geleiding van
temperatuur, maar deze zijn weer met eenvoudige
aanvalsgereedschappen te openen. Het beste van twee werelden
is om een brandvertragende kast/kluis te plaatsen in een
inbraakwerende ruimte en daar bijvoorbeeld de originele
buitenlandse brondocumenten in op te slaan.
Vraag 46
Deze vraag is alleen bedoeld ter inventarisatie.Bij pogingen tot
identiteitsfraude moet altijd aangifte gedaan worden bij de politie.
Maar er zijn natuurlijk ook incidenten waarbij alleen vermoeden
tot fraude er is. Ook van het opnemen van onbevoegde
wijzigingen op een brondocument/reisdocument en look-alikes
hoeft (nog) niet altijd aangifte te zijn gedaan.
Vraag 47
Als een vermoeden bestaat dat een document vals of vervalst is,
moet het document voor onderzoek worden voorgelegd aan de
politie of ter verificatie worden aangeboden aan het ministerie van
Buitenlandse Zaken. In voorkomende gevallen wordt ook de
Directie Recherche van de Landelijke Eenheid van de Nationale
Politie (v/h KLPD) bij het onderzoek naar de (mogelijke) valsheid
van het document ingeschakeld.
Vraag 48
Is er sprake van (vermoedelijke) fraude, dan moet het college van
burgemeester en wethouders daarvan aangifte doen bij de politie,
dit geldt voor zowel (buitenlandse) brondocumenten als voor id-
documenten.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 22 van 36
Vraag 49
Bij beveiligde opslag komt het buiten de technische voorzieningen
ook aan op het menselijk handelen. Dat geldt ook voor de omgang
met bedrijfskritische en vertrouwelijke gegevens. Als er niet mee
wordt gewerkt, dan behoort deze informatie deugdelijk te zijn
opgeborgen achter slot en grendel. Er mag geen informatie blijven
slingeren op bureaus of in openstaande kasten. In diezelfde lijn
moeten computers (werkstations) worden geblokkeerd of uitgezet
bij afwezigheid van de gebruiker. In geautomatiseerde systemen
is het, zeker als je daarin de weg weet, in enkele seconden
mogelijk om misbruik te maken van informatie.
Een punt van aandacht vormen de zogenaamde multifunctionals in
de organisatie. Machines die zijn bestemd om te printen, faxen,
kopiëren en scannen. Het gemeenschappelijk gebruik van dit soort
voorzieningen leidt tot efficiency en kostenbesparing, maar is een
potentieel risico op het gebied van beveiliging. Bijvoorbeeld als
een medewerker vanaf zijn werkplek een opdracht geeft tot het
printen van documenten waarin vertrouwelijke informatie staat.
Door omstandigheden loopt hij niet direct naar de printer,
waardoor de geprinte gegevens enige tijd in de opvangbak liggen.
Een groot risico op onrechtmatige kennisneming. Hetzelfde geldt
voor de fax, de scanner en het kopieerapparaat. Het is technisch
op te lossen door het daadwerkelijk printen pas te laten starten als
de gebruiker bij het apparaat staat en een persoonlijke code heeft
ingegeven of zijn kaart of tag heeft aangeboden. Blijft nog wel de
zorg over voor documenten die op de glasplaat achterblijven.
Vraag 50
In de Wet GBA was de beveiligingsbeheerder verplicht. In de BRP
komt deze niet meer voor maar voor de gemeentelijke voorziening
is het wel noodzakelijk een control functie te benoemen voor de
controle van het beveiligingsproces. Deze rol kan samenvallen met
de gemeentebrede controller informatiebeveiliging of apart belegd
worden voor alleen de gemeentelijke voorziening.
Het is dan ook aan te bevelen een controller informatiebeveiliging
aan te stellen voor de gemeentelijke voorziening (dat kan in
bijvoorbeeld een Beheerregeling of een Regeling Bevoegdheden
Basisregistratie) en hierbij tevens een vervanger aan te wijzen.
Vraag 51
Steeds meer gemeenten beschikken over een afdeling planning &
control. Een afdeling die niet onder de verantwoordelijkheid van
het lijnmanagement valt maar een onafhankelijke positie inneemt
in de gemeentelijke organisatie.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 23 van 36
Gemeenten die de controle op de basisregistratie personen geen
onderdeel laten zijn van een planning & control cyclus worstelen
vaak met de vraag waar de functie van controller
informatiebeveiliging moet zijn belegd. Een belangrijk aspect
daarbij is het begrip van functiescheiding. De controller moet vrij
kunnen handelen en rapporteren. Het is dus geen optie om deze
functie in dezelfde lijn te beleggen waar ook de primaire
verantwoordelijkheid ligt voor het realiseren van de doelen. De
controller mag en kan zelf geen onderdeel zijn van de procedures
die hij of zij controleert. Voorbeelden waar de control-functie
(controller informatiebeveiliging) ondergebracht zou kunnen
worden is bij concern control, planning en control, financiën of
informatisering (mits niet gecombineerd met automatisering). Al
deze gemeenteonderdelen staan normaal gesproken ver af van de
opstellers en uitvoerders van het beveiligingsbeleid.
Vraag 52
Naast controle op de vereiste onderdelen, wordt de rol van de
controller informatiebeveiliging beter en sterker als deze ook
adviezen uitbrengt die kunnen leiden tot verbeteringen van
vastgestelde tekortkomingen. Denk hierbij aan het adviseren over
technische verbeteringen, organisatorische verbeteringen en
fysieke verbeteringen.
Vraag 53
Met uitsluitend het beschrijven van doelen en resultaten in een
beleidsdocument of andere richtlijn, kan niet worden volstaan. Er
moet ook onderzocht worden of de daarin gestelde normen
worden behaald. Periodiek wordt op basis daarvan verslag
uitgebracht aan het college van burgemeester en wethouders. Dit
krijgt daarmee per aandachtsgebied een beeld hoe het er voor
staat.
De rapportage volgt de doelstelling zoals deze in het beleid zijn
verwoord, maar kan ook worden uitgebreid met bijvoorbeeld de
rapportage die de gemeente verkrijgt na het invullen van het
evaluatie-instrument.
Vraag 54
De controle op het beveiligingsbeleid wordt achteraf uitgevoerd en
de resultaten worden opgenomen in een rapportage. De inhoud
van de rapportage geeft een beeld van de resultaten. Ook
eventuele tekortkomingen of risico’s kunnen hierin worden
opgenomen.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 24 van 36
Onderwerpen die in de rapportage zouden moeten voorkomen zijn
idealiter dezelfde onderwerpen als die genoemd worden in het
beleid:
Beschikbaarheid
Vertrouwelijkheid
Betrouwbaarheid en
Controleerbaarheid van de bovengenoemde.
De rapportage gaat dan in op de haalbaarheid en eventuele
bijstelling van deze onderwerpen.
Vraag 55
Het beveiligingsplan is een dynamisch document wat afgeleid
wordt van het beveiligingsbeleid en moet leiden tot het uitvoeren
van maatregelen. De beoordeling van de beveiligingsmaatregelen
kan leiden tot het vaststellen van tekortkomingen en het
uitbrengen van verbetervoorstellen. Als besloten is om bepaalde
maatregelen te treffen, dan zal het duidelijk moeten zijn wie
verantwoordelijk is voor de uitvoering en wanneer de uitvoering
uiterlijk moet zijn gerealiseerd.
Vraag 56
Classificeren is het aanbrengen van gradaties van
vertrouwelijkheid. Om duidelijk te maken dat bepaalde gegevens
vertrouwelijk zijn en om geheimhouding vragen, is het verstandig
deze als zodanig te classificeren. Dat betekent dat er zichtbaar op
het gegeven wordt vermeld dat geheimhouding wordt verlangd. In
de basisregistratie personen is dat uiteraard gangbaar, maar dit
zou ook moeten gelden voor (daarvan afgeleide) documenten.
Uitdraaien uit het systeem, aanvraagformulieren en
brondocumenten zijn zo maar een paar voorbeelden van harde
kopieën die ook als zodanig moeten zijn gewaarmerkt en worden
behandeld (zie de handreiking dataclassificatie).
Om te voorkomen dat dit proces te gemakkelijk verwatert is het
aanwijzen van een eigenaar van de informatie essentieel. Eigenaar
is eindverantwoordelijke voor de gegevens. Deze eigenaar is
daarmee verantwoordelijk voor het gehele systeem van
geheimhouding en bepaalt wie, met welk doel en op welke manier
gebruik mag maken van de vertrouwelijke gegevens.
Vraag 57
Gelet op de vele mutaties van gegevens gedurende de dag, is het
noodzakelijk dat van die gegevensset elke nacht een back-up
wordt vervaardigd. Het hebben van een mirror-omgeving (gebruik
maken van een gespiegelde omgeving, waarbij een tweede site
real-time meedraait) is niet altijd voldoende als back-up. Als er
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 25 van 36
een virus op het systeem komt wordt deze ook meteen
doorgesluisd naar de mirror. Er zou dus altijd een fysieke back-up
moeten zijn.
Vraag 58
Als de gegevens op een tape worden gezet of op een externe
harde schijf, dan is het belangrijk dat die gegevensdrager niet in
hetzelfde gebouw blijft als waar de originele gegevens zich
bevinden. Bijvoorbeeld bij brand zou dit het probleem geven dat
zowel de originele data als de back-up data verloren zijn gegaan.
Vraag 59
Het komt voor dat er noodgedwongen gebruik gemaakt moet
worden van een back-up en dus als gevolg van een storing
teruggegaan moet worden in de tijd, en dat dan blijkt dat de tape
niet goed beschreven is of zelfs onleesbaar is. Dit komt voor in de
praktijk en heeft al meerdere gemeenten voor onverwacht hoge
kosten geplaatst en de dienstverlening op dat moment aangetast.
Een dergelijk scenario is goed te voorkomen als na iedere back-up
activiteit controle plaatsvindt op de kwaliteit van de
weggeschreven gegevens. Dit proces van verificatie van de data
op de back-up is onvermijdelijk. Veel systemen voorzien hierin
door dit geautomatiseerd te verwerken en een bericht te
verzenden aan de systeembeheerder en applicatiebeheerder dat
de back-up is geslaagd en de gegevens op het back-up medium
leesbaar zijn en overeenkomen met de originele data.
Vraag 60
Het is noodzakelijk om tenminste eenmaal per jaar te testen of het
terugplaatsen, lezen en gebruiken van de back-up mogelijk is en
hierover te rapporteren aan het management. Een goed moment
hiervoor is om dit te laten samengaan met de uitwijk.
Vraag 61
Tussen de laatste back-up en het moment van herstel zit een
periode waarin wel gemuteerd is maar waarbij deze mutaties niet
zijn bewaard. Hiervoor dient in een procedure beschreven te
worden hoe hiermee dient te worden omgegaan en welke
documenten hiervoor kunnen worden gebruikt.
De eerste mogelijkheid hiervoor is om alle papieren
brondocumenten die zijn gebruikt voor de mutaties,
mutatieverslagen van wijzigingen zonder brondocument en alle
opnieuw te verwerken berichten fysiek te bewaren (bijvoorbeeld
van de afgelopen week). Ook is het mogelijk dat er een bestand
wordt gemaakt (met de data van die periode) en deze te bewaren
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 26 van 36
op een andere locatie. Ook is er de mogelijkheid om alle mutaties
meteen uit te draaien op papier en deze te bewaren tot de nieuwe
back-up is gedraaid.
Vraag 62
Niet alleen moet een test worden uitgevoerd op de leesbaarheid
en bruikbaarheid van het back-up medium, ook is een beproeving
nodig om daadwerkelijk te reconstrueren. Dit betekent in een
andere (test) omgeving de back-up gegevens terugplaatsen en
vervolgens aanvullen met de mutaties die liggen tussen het heden
en het tijdstip van de back-up. Hiervoor is het nodig de
oorspronkelijke bronnen te gebruiken, zoals brondocumenten en
mutatieverslagen. Door deze opnieuw in te voeren en te
controleren met de actuele productieomgeving krijgt men het
proces reconstrueren onder controle. Deze reconstructie laat zich
eenvoudig samenvoegen met de uitwijktest en controle van het
back-up medium. Om hierop controle te kunnen uitvoeren zal de
test met de resultaten moeten worden gerapporteerd aan het
management.
Vraag 63
Om te voldoen aan de eis dat de basisregistratie personen binnen
maximaal 2 x 24 uren weer volledig operationeel en beschikbaar
is, is het absoluut noodzakelijk om de reconstructie ook
daadwerkelijk te testen en te onderzoeken of reconstructie binnen
één werkdag mogelijk is.
Vraag 64
Bij belangrijke technische storingen kost het toch minimaal enkele
dagen tot een week voordat nieuwe apparatuur weer kan worden
ingezet. Om die reden moet er een alternatief voorhanden zijn in
de vorm van een technische uitwijk. Dit betekent reserve
apparatuur beschikbaar op het moment dat het nodig is. In veel
gevallen sluiten gemeenten daarvoor een contract af met een
zogenaamde uitwijk leverancier. Die houdt ten behoeve van de
gemeente een specifieke kopie van het hardware systeem van de
gemeente beschikbaar. Een handige maar ook kostbare oplossing.
In steeds meer gemeenten zien we dat gekozen wordt voor
onderlinge samenwerking waarbij de ene gemeente dient als back-
up centrum voor de andere. Dit vraagt ook investering in
apparatuur en menskracht, maar is doorgaans op termijn
voordeliger dan een uitwijkcontract met een leverancier. Als dit
wordt gekoppeld aan een snelle glasvezel dataverbinding, kan
worden gesproken van een optimale back-up situatie.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 27 van 36
Vraag 65
Als daadwerkelijk sprake is van een storing en er moet worden
uitgeweken, is dit vaak een hectische aangelegenheid. Een goed
en vooral actueel draaiboek is daarbij van belang. Het proces is
daarin goed omschreven evenals de taken en
verantwoordelijkheden van betrokken personen. Omdat uitwijk
altijd ingrijpt in de totale bedrijfsvoering van de gemeente, is het
wenselijk dat een draaiboek door de leiding van de organisatie is
vastgesteld. Zoals vermeld moet deze uitwijk tenminste eenmaal
per jaar worden getest op actualiteit en werkbaarheid. Bedenk dat
een intern uitwijkdraaiboek als hiervoor omschreven een handig
hulpmiddel is wanneer er sprake is van een calamiteit. Bedenk dan
ook dat een dergelijk draaiboek ook beschikbaar moet zijn als je
niet meer op de reguliere plaats van werken terecht kunt. Dit kan
geregeld worden door het draaiboek op een beveiligde (intranet)
internet site te plaatsen.
Vraag 66
Het is van belang om periodiek vast te stellen of de
uitwijkconfiguratie en het draaiboek nog actueel zijn. Zijn alle
netwerkcomponenten nog correct, kennen we de juiste adressen
(IP-nummers), werken we met de juiste versie van de
systeemsoftware en de juiste applicatiebestanden? Het is daarom
vereist dat tenminste eenmaal per jaar wordt getest of de
uitwijkconfiguratie kan voldoen in noodgevallen. Een verslag van
deze test aan het management is een verplicht onderdeel omdat
daarmee kan worden aangetoond dat deze test is uitgevoerd en
het de resultaten daarvan inzichtelijk maakt.
Vraag 67
In de regel wordt de beveiligingswaarde niet zozeer toegekend
aan de login naam maar zeker wel aan het wachtwoord. De eisen
waaraan deze wachtwoorden moeten voldoen worden door de
applicatiebeheerder of de systeembeheerder ingesteld.
Vraag 68
Lange tijd werd het werken met de informatiesystemen uitsluitend
verricht vanuit de beveiligde en beschermde omgeving van een
gemeentelijke locatie, zoals het gemeentehuis of andere aan de
gemeente toebehorende locaties. De informatiestroom vond in dat
geval plaats via het eigen systeemnetwerk of eventueel via
speciaal daarvoor beschikbare beveiligde private
netwerkverbindingen buitenshuis. Inmiddels komt het echter
steeds vaker voor at ook op afstand wordt gewerkt. Denk aan
thuis werken en het gebruik van mobiele devices. Dit brengt
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 28 van 36
echter met zich mee dat informatie moet worden getransporteerd
via openbare netwerken. De beveiliging van het data transport via
openbare netwerken is een punt van aandacht en zorg. Om hier
zorgvuldig mee om te gaan dient er beleid te zijn ontwikkeld over
de raadpleging en verwerking van persoonsgegevens buiten het
gemeentehuis.
NB: Volgens het huidige beleid van het ministerie van
Binnenlandse Zaken en Koninkrijksrelaties (BZK) is het
onwenselijk om mobiel of thuis te werken met persoonsgegevens.
Dit omdat onder andere vanuit een ongecontroleerde omgeving
gewerkt wordt en de privacy niet gewaarborgd kan worden. Er
wordt momenteel wel bekeken of er een beleidswijziging nodig is
in verband met telewerken/thuiswerken.
Vraag 69
Er zijn strikte beveiligingsmaatregelen nodig om de
vertrouwelijkheid en de betrouwbaarheid bij buitenshuis gebruik
van de BRP te garanderen. Dit zijn uiteraard maatregelen van
technische aard, zoals een beveiligde en versleutelde verbinding
(VPN) en een specifiek toegangsmiddel (token) om de verbinding
op te bouwen. Daarnaast zijn ook organisatorische maatregelen
nodig, zoals procedures over geheimhouding en het voorkomen
dat van informatie kennis kan worden genomen door
onbevoegden, zoals huisgenoten. Als informatie ook beschikbaar is
in papieren vorm, dan zullen ook fysieke maatregelen moeten
worden genomen om deze tegen ontvreemding en onrechtmatige
kennisneming te beschermen, zoals afsluitbare kasten of zelfs een
kluis. De opsomming van technische, fysieke en organisatorische
maatregelen is met deze beschrijving zeker niet compleet. Er zal
met een mix van maatregelen moeten worden gezorgd voor de
vereiste bescherming.
Vraag 70
Om de toegang op afstand (remote access) goed onder controle te
brengen, zou het volgende goed moeten zijn geregeld:
De inzet van een externe partij wordt altijd en uitsluitend
ingeroepen door de gemeente zelf (meestal systeem- en
applicatiebeheer)
Systeembeheer moet voor de toegang tot het netwerk,
fysiek of elektronisch, een handeling verrichten, zoals de
modem aanzetten of een elektronische poort openen. Als
alternatief kan worden geregeld dat de leverancier
uitsluitend toegang heeft tot datafaciliteiten als deze fysiek
in huis is
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 29 van 36
Een systeemveilige methode is dat de verbinding voor de
datacommunicatie wordt opgezet vanuit het gemeentehuis.
Dit betekent dat er extern geen telefoonnummers bekend
zijn waarop kan worden ingebeld (inbraakpogingen) maar
dat de gemeente de verbinding legt met de externe partij
Gedurende de periode dat deze modem aanstaat of de
poort openstaat worden de activiteiten daarin bewaakt. Dit
kan door de systeembeheerder of applicatiebeheerder te
laten meekijken op de gebeurtenissen in de basisregistratie
applicatie, maar ook door achteraf een logfile uit te printen
en de activiteiten te controleren op eigenaardigheden
De externe partij krijgt voor de toegang op afstand een
unieke toegangscode die bestaat uit een user-id en een
wachtwoord. Bij voorkeur ook hier een individueel
toegekend wachtwoord, maar de praktijk leert dat het
meestal een leverancierswachtwoord is
Aan deze externe autorisatie worden de toegang tot en de
rechten in het basisregistratie systeem zo functioneel
mogelijk bepaald
Alle handelingen van de externe worden gelogd
Zodra de externe meldt dat hij gereed is met de bewerking
of deze onderbreekt naar bijvoorbeeld de volgende dag,
wordt de modem uitgezet of de poort gesloten
Van iedere externe toegang wordt een verslag opgesteld
Vraag 71
Van veel processen is de uitvoering daarvan ook al beschreven in
vele richtlijnen en voorschriften (bv de Handleiding
uitvoeringsprocedures (HUP)). Deze zullen in procedures moeten
worden vertaald naar de lokale uitvoering. De specifieke taken,
verantwoordelijkheden en bevoegdheden daarvoor wordt
beschreven, evenals de wijze waarop stelselmatige controle hierop
plaats vindt. Dus wie voert wat uit, wanneer wordt dit gedaan en
op welke wijze vindt de uitvoering plaats. Bij de toets beoordeelt u
of de procedure het gewenste resultaat oplevert en krijgt u inzicht
in de effectiviteit van de procedure. De wijze van toetsing wordt
eveneens in de procedure beschreven.
Voor iedere procedure geldt dat het gaat om een schriftelijk en
vastgesteld document waarin een reeks instructies is opgenomen
die op volgorde moet worden uitgevoerd en die is toegespitst op
uw eigen gemeentelijke organisatie.
Gegevens in geautomatiseerde omgevingen zijn altijd kwetsbaar
voor storingen van diverse aard. Daarom is het noodzakelijk en
vereist om gegevens ook regelmatig weg te schrijven naar een
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 30 van 36
kopie omgeving door middel van het maken van een back-up van
de gegevens. Het is hierbij wel van belang dat er een duidelijke
en controleerbare procedure aan ten grondslag ligt.
Bij het reconstrueren van data en gegevens gaat het over de
situatie zoals deze is nadat een storing is opgetreden maar de
back-upgegevens zijn van een eerder tijdstip (meestal ’s nachts)
waardoor er na de back-up en voor de storing nog gegevens zijn
gemuteerd die niet op de back-up tapes staan.
Nadat de back-up is teruggeplaatst zullen alle mutaties die daarna
hebben plaatsgevonden weer handmatig moeten worden
ingevoerd. In een procedure die deze reconstructie beschrijft is
het dan ook van belang hoe de dagelijkse mutaties worden
bewaard en geadministreerd, zodat eenvoudig terugzoeken en
opnieuw invoeren mogelijk is.
Als de storing groter is en niet binnen enkele uren is op te lossen,
dan moet worden uitgeweken naar een andere omgeving. Er zijn
gemeenten die daarvoor zelf in de eigen organisatie technische
voorzieningen hebben getroffen. Veelal een kopie van de
netwerkomgeving op een fysiek andere locatie. Ook zijn
overeenkomsten gebruikelijk met derden, particuliere leveranciers
of ook wel de leverancier van het betreffende softwaresysteem.
Ook hiervoor geldt dat een procedure moet zorgen voor een
duidelijke instructie en taakverdeling op het moment dat dit nodig
is. Tenminste eenmaal per jaar testen van deze technische uitwijk
is een must om te onderzoeken of alles nog overeenstemt en in de
praktijk zal werken als het nodig is.
Bij een uitwijk moet ook rekening worden gehouden met het
ernstigste, namelijk dat het gemeentehuis helemaal niet
beschikbaar is. Denk hierbij met name aan een alles verwoestende
brand. Goede voorbereiding en een daarop afgestemde procedure
moeten waarborgen dat de dienstverlening elders kan worden
voortgezet. Bij een buurgemeente, in een sporthal, politiebureau
of bibliotheek.
Om te kunnen controleren of de gegevens niet in verkeerde
handen zijn gekomen (de vertrouwelijkheid) is het wenselijk om te
controleren op de rechtmatigheid waarmee toegang tot en gebruik
van gegevens plaatsvindt.
Door de toegang tot en activiteiten rond gegevens vast te leggen,
kunnen we dit achteraf controleren. Dit gebeurt met behulp van
het ‘loggen’ van handelingen. In een procedure moet worden
vastgelegd hoe dit plaatsvindt en op welke manier controle op
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 31 van 36
deze logfiles wordt uitgevoerd. Hieronder valt ook het monitoren
van toegang op afstand.
Ook de fysieke toegang tot kritische ruimten (ruimten waar de
persoonsgegevens kunnen worden bekeken of verwerkt) dient in
een procedure gevat te worden, Hierdoor dient duidelijk te zijn
wie, waarvoor en hoe geautoriseerd kan worden tot bepaalde
ruimten. Ook het beëindigen van deze toegang bij einde
dienstverband dient te worden beschreven.
Centraal in deze controle staat de rechtmatigheid van het gebruik.
Dit wordt geregeld door middel van autorisaties. Binnen het kader
van de wet- en regelgeving wordt per persoon (of per functie en
daarna de persoon koppelen aan de functie) bepaald wat iemand
mag of niet mag in zowel de overkoepelende systemen als de
gemeentelijke voorziening. Voor deze autorisaties dient een
uniforme procedure gevolgd te worden.
Vraag 72
Logfiles dienen periodiek (liefst dagelijks) te worden gecontroleerd
op pogingen tot onrechtmatige toegang. Het is belangrijk dat de
logfiles ten minste 3 maanden worden bewaard en bij een vermoed
incident minimaal 3 jaar omdat onrechtmatigheden zich soms pas
laat openbaren. Ook dan moet de mogelijkheid aanwezig zijn om
controle uit te voeren.
Vraag 73
De Wet Bescherming Persoonsgegevens omschrijft een bewerker
als: elke partij die ten behoeve van de verantwoordelijke
persoonsgegevens verwerkt zonder aan zijn rechtstreekse gezag
te zijn onderworpen. Het verwerken van persoonsgegevens is elke
handeling of elk geheel van handelingen met betrekking tot
persoonsgegevens, waaronder in ieder geval het verzamelen,
vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen,
raadplegen, gebruiken, verstrekken door middel van doorzending,
verspreiding of enige andere vorm van terbeschikkingstelling,
samenbrengen, met elkaar in verband brengen, alsmede het
afschermen, uitwissen of vernietigen van gegevens.
Het inschakelen van een bewerker is onder bepaalde condities
toegestaan. Een externe (en bovenal gekwalificeerde) partij die de
zorg voor het verwerken van persoonsgegevens in de
basisregistratie personen op zich neemt voor de gemeente.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 32 van 36
Als gebruik wordt gemaakt van een bewerker, dan moeten de
beveiligingsgaranties net zo hard zijn alsof het de gemeente zelf
betrof. Het kan zelfs nog daar bovenuit stijgen.
Bij interne verwerking bij een gemeente gaan we uit van eigen
personeel of eventueel ingehuurde gekwalificeerde medewerkers
van betrouwbare marktpartijen. De personele kwalificaties zowel
op het gebied van de inhoudelijke vakkennis als de integriteit en
betrouwbaarheid van de medewerker van de externe partij ligt
buiten de invloedssfeer van de gemeente. Toch blijft de gemeente
verantwoordelijk voor de beveiligingskwaliteit van de
basisregistratie.
Vraag 74
De bewerkersovereenkomst moet in ieder geval de volgende
zaken regelen (zie hiervoor ook artikel 9 van het besluit BRP):
Maatregelen gericht op medewerkers die belast zijn met
technische of uitvoerende werkzaamheden
Maatregelen gericht op de toegang tot ruimten en gebouwen
Maatregelen gericht op deugdelijke werking van techniek,
apparatuur en programmatuur
Maatregelen gericht op het gegevensbeheer
Maatregelen gericht op het realiseren van geheimhouding
Maatregelen gericht op calamiteiten
Maatregelen gericht op het uitsluitend rechtmatig gebruik van
gegevens
Maatregelen gericht op het voldoen aan alle geldende wet- en
regelgeving
Maatregelen gericht op het toestaan van externe controle op
de naleving van deze bewerkersovereenkomst
Maatregelen gericht op het in onder aanneming uitbesteden
van bewerking
Maatregelen gericht op het opschorten bij niet nakomen van
verplichtingen
Vraag 75
Of de bewerker voldoet aan de beveiligingscriteria die zijn
opgenomen in de overeenkomst is in principe een taak voor de
gemeente. Het uitvoeren van een toets op het nakomen van de
beveiliging is verplicht. Het verkrijgen van zekerheid over de
beveiliging is een vorm van controle op deze externe bewerker. In
de praktijk kunt u als gemeente dit zelf doen. Daarvoor is dan wel
interne expertise nodig op het gebied van informatiebeveiliging. Je
kunt er ook voor kiezen om hiervoor een gekwalificeerde derde
partij in te schakelen, zoals gespecialiseerde adviesbureaus. Een
derde mogelijkheid om controle uit te oefenen bestaat door in de
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 33 van 36
overeenkomst op te nemen dat de bewerker zelf zorgt voor het
inschakelen van een externe en onafhankelijke deskundige.
Vraag 76
Nieuwe medewerkers moeten goed en duidelijk worden
geïnformeerd over het juiste gebruik van de gegevens, de
eventuele risico’s bij onzorgvuldig of onjuist gedrag en de specifieke
voorschriften op beveiligingsgebied om juist deze risico’s te
voorkomen. Veel voorkomende beveiligingsgedragingen die
onderwerp van gesprek kunnen zijn:
Het open laten staan van deuren en/of kluizen
Het onbeheerd achterlaten van sleutels, RAAS of
toegangspasjes
Het uitlenen van wachtwoorden en login namen
Het ‘gele plakbriefje’ met wachtwoorden onder schermen,
toetsenborden of in pennenbakjes
Het verlaten van de PC werkplek terwijl in de (basisregistratie)
applicatie is ingelogd en anderen daar gebruik van kunnen
maken
Het onbeheerd achterlaten van gevoelige informatie op bureaus
Het niet handelen volgens de voorgeschreven
(beveiligings)procedures
Vraag 77
Om geheimhouding en vertrouwelijkheid te borgen is het zaak om
een gebruiker van de registratie zorgvuldig te informeren en te
laten tekenen voor geheimhouding. Ook het afleggen van de
ambtseed of ambtsbelofte komt hierbij in beeld. Een
integriteitscode of integriteitsstatuut is bij vele overheidsdiensten al
gebruikelijk. Hierin wordt duidelijk gemaakt wat onder integer
gedrag wordt verstaan en hoe degenen op wie deze regeling van
toepassing is, zich behoren te gedragen.
Hierbij moet niet alleen gedacht worden aan medewerkers in vaste
dienst bij een gemeente, maar ook zeker aan tijdelijk personeel in
de vorm van inhuur, detachering of leveranciers.
Vraag 78
Er zal een werkwijze moeten zijn vastgelegd voor het geval er
sprake is van onrechtmatige kennisneming. In een dergelijke
procedure worden stappen en maatregelen beschreven die er voor
zorgen dat de eventuele schade die uit dit onrechtmatige gebruik
voortvloeien, zoveel mogelijk beperkt blijft. Hiertoe behoort zowel
een externe activiteit zoals het doen van aangifte bij de politie, als
een interne activiteit die zich richt op eventuele disciplinaire
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 34 van 36
maatregelen tegen de medewerker die de geheimhouding of
vertrouwelijkheid heeft geschonden.
Vraag 79
Er zijn voor de betrokkene grote belangen in het spel als het gaat
om de opname in en de bewerking van gegevens in de
basisregistratie. Zoveel belang zelfs dat mensen bereid zijn
daarvoor strafbare handelingen te verrichten door met agressief of
intimiderend gedrag druk uit te oefenen op medewerkers.
Veiligheidsvoorschriften dragen bij aan de persoonlijke veiligheid
en integriteit van medewerkers. Omdat dit niet vanzelfsprekend is
moeten medewerkers hierover worden geïnstrueerd.
Een themabijeenkomst, een workshop of het behandelen van
beveiligingsvoorschriften en procedures op het relevante
werkoverleg zijn daarvoor goede mogelijkheden. Hoewel de
periodieke herhaling niet is voorgeschreven lijkt het op zijn plaats
om dit minimaal eenmaal per jaar te herhalen of uit te voeren.
Personele mutaties spelen daarbij een rol, maar ook het feit dat
het besef wegzakt. Risicobewustzijn heeft een beperkte
houdbaarheidsdatum. Reden genoeg dus om dit frequent te
herhalen.
Een aanrader is het ook om een kopie te maken van de
belangrijkste voorschriften en de medewerkers deze verplicht te
laten lezen.
Vraag 80
Het verwerken van gegevens in de basisregistratie verlangt van de
betrokkenen kennis van wet- en regelgeving,
toepassingsmogelijkheden, instructies en voorschriften. Het is
daarom van belang dat bij de uit te voeren taken is bepaald aan
welke eisen de betreffende medewerker moet voldoen om de taak
uit te mogen voeren. Theoretische kennis en vaardigheden zijn
goed te definiëren en behoren als toets te worden gebruikt zowel
bij de aanstelling van een medewerker, het contracteren van een
externe medewerker en het opstellen van een opleidingsplan.
Vraag 81
Voor het secuur verwerken van inschrijvingen zijn diverse
opleidingen en cursussen beschikbaar. Een aanrader is een
workshop herkenning echtheidskenmerken. Hierin worden
voorbeelden gegeven van valse en vervalste documenten en wordt
de medewerker (weer) op scherp gezet bij het beoordelen van
brondocumenten.
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 35 van 36
Vraag 82
Omdat ook de basisregistratie personen regelmatig verandert is
het vereist de kennis en vaardigheden op peil te houden. Een
structurele oplossing in de zin van periodieke bijscholing, training
(on-the-job) en workshops zorgt hiervoor.
Vraag 83
Het beveiligen van gevoelige ruimten begint met het reguleren
van toegang tot die ruimten. Dat impliceert dat risicovolle ruimten
per definitie zijn afgesloten en dat de toegang wordt gereguleerd.
Dit kan traditioneel met het verstrekken van een sleutel, maar dit
is weinig efficiënt en weinig flexibel. Het verlies van één sleutel
kan namelijk al betekenen dat meerdere sloten op deuren moeten
worden vervangen. Een kostbare aangelegenheid! Toch is de
toepassing van sleutels ook te definiëren als een
toegangscontrolesysteem. In de praktijk gebeurt dit echter veel
beter en logischer met een elektronisch toegangscontrole
systeem. Hierbij is het traditionele slot vervangen door een
elektrisch slot dat wordt geopend door het aanbieden van een
kaartje of een tag. Een belangrijk voordeel is dat snel en
kostenefficiënt kan worden gehandeld als een toegangsmiddel
verloren raakt. In de bijbehorende software wordt de kaart
ongeldig gemaakt en wie de kaart ook vindt, gebruiken kan dan
niet meer.
Vraag 84
Dossiers, aktes, aanvraagformulieren, brondocumenten zijn in
groten getale aanwezig op diverse plaatsen in het gemeentehuis.
Meer in het bijzonder zijn er enkele ruimten in een gemeentehuis
die om extra aandacht vragen: de ruimte waarin de centrale
computers en servers zijn opgesteld, het statisch en dynamisch
archief en de afdeling Burgerzaken/Publiekszaken. In deze ruimten
is sprake van een verhoogd risico mede omdat hier sprake is van
een concentratie van gevoelige informatie.
Vraag 85
Een toegangscontrolesysteem bestaat niet alleen uit technische
voorzieningen. Juist de organisatorische kant van een dergelijk
systeem is bepalend voor de kwaliteit en effectiviteit. Zo zal vooraf
bepaald moeten worden welke personen, voor welk doel en binnen
welke tijd toegang hebben tot de afgesloten ruimten
(toegangsprofiel) genoemd. Per functie in de organisatie kan dan
worden bepaald welk toegangsprofiel nodig is bij de betreffende
functie. Het ligt voor de hand dat de systeem- en
netwerkbeheerder toegang hebben tot de server ruimte, maar
Definitief | Handleiding vragenlijst Basisregistratie Personen 2016 | 30 maart 2016
Pagina 36 van 36
voor de medewerker op een afdeling onderwijs is dit bijvoorbeeld
totaal overbodig. Een goed systeem is dan ook zo ingericht en
wordt zodanig beheerd dat alleen toegang wordt verleend als het
strikt noodzakelijk is. Om daar grip op te houden is het belangrijk
dat iemand uit de organisatie beslissingsbevoegdheid krijgt om te
bepalen of toegang wordt verleend of niet. Bij voorkeur is dit de
leidinggevende van de betreffende risicovolle ruimte. Als dan de
feitelijke autorisatie op een kaart of tag wordt verricht door de
applicatiebeheerder van dat systeem, is gelijk weer
functiescheiding ingebouwd. Dit verhoogt de integriteit en
transparantie, zeker wanneer hier een procedure voor bestaat en
de toegangsautorisatie schriftelijk wordt gedocumenteerd.
Natuurlijk komt het ook voor dat mensen toegang moeten hebben
tot ruimten, maar functioneel niet beschikken over die autorisatie
of zelfs helemaal geen kaart of tag hebben. Denk hierbij aan
collega’s van andere afdelingen, maar ook leveranciers of
bezoekers. Het spreekt vanzelf dat deze ook toegang moeten
kunnen krijgen als dat nodig is. In dat geval wordt iemand
toegelaten door en blijft onder begeleiding van bevoegde
medewerkers.