Zelfevaluatie Basisregistratie Personen (BRP) door gemeenten

Jaarlijks voeren de gemeenten een onderzoek uit naar de inrichting, werking en beveiliging van de basisregistratie. Daarnaast onderzoeken zij de verwerking van gegevens in de basisregistratie. Dit is een wettelijk verplicht onderzoek (artikel 4.3 wet BRP). Dit onderzoek heet de Zelfevaluatie BRP.

Vragenlijsten

De vragenlijst van het onderzoek naar de inrichting, werking en beveiliging van de basisregistratie bestaat uit 2 soorten vragen: domeinvragen en informatieveiligheidsvragen. Domeinvragen zijn specifieke vragen die over het BRP-processen gaan. De informatieveiligheidsvragen zijn vragen die gaan over de inrichting en beveiliging van de systemen waarin de persoonsgegevens worden opgeslagen.
De gemeenten vullen de domeinvragen in via de Kwaliteitsmonitor. De Kwaliteitsmonitor is een webapplicatie van RvIG die beschikbaar is gesteld aan alle gemeenten. De domeinvragen zijn onderverdeeld in drie thema’s:

  • Bijhouden van de BRP
  • Verstrekking van gegevens
  • Aanbeveling

De ingevulde antwoorden worden in de Kwaliteitsmonitor opgeslagen. De (tussentijdse) resultaten zijn in te zien in het onderdeel 'Processen'. De antwoorden kunnen door de gemeente gewijzigd worden totdat de antwoorden definitief zijn gemaakt in de Kwaliteitsmonitor. De uiterste datum voor het afronden van het onderzoek en het definitief maken in de Kwaliteitsmonitor is 31 december. Gemeenten kunnen de ingevulde vragenlijst openen als Excel-bestand. Bijvoorbeeld om een verbeterplan te maken.
De informatieveiligheidsvragen van de zelfevaluatie BRP worden door de gemeenten beantwoord via de tool van Eenduidige Normatiek Single Information Audit (ENSIA).
ENSIA is in samenwerking met de Vereniging van Nederlandse Gemeenten (VNG) en gemeenten in het leven geroepen. De doelstelling van ENSIA is het realiseren van een ingericht verantwoordingsstelsel voor informatieveiligheid. Het uitgangspunt is de beperking van administratieve lasten voor gemeenten door op een plek en via een tool de gemeentelijke informatiebeveiliging te toetsen. De informatieveiligheidsvragen zijn ingedeeld in drie thema’s:

  • Organisatie van de beveiliging Verstrekking van gegevens
  • Toegangsbeveiliging
  • Naleving

Bestandscontrole BCM

De Rijksdienst voor Identiteitsgegevens (RvIG) controleert maandelijks de persoonslijsten in de Basisregistratie Personen (BRP). Dat gebeurt met de Bestandscontrolemodule (BCM). Deze applicatie controleert of de structuur van de persoonslijst klopt, of de ingevulde waarden toegestaan zijn en of de inhoud voldoet aan de voorschriften. De voorschriften staan in het Logisch Ontwerp (LO).

De uitkomsten van de controles worden maandelijks via de webapplicatie Kwaliteitsmonitor aan gemeenten gerapporteerd. In overleg met alle Nederlandse gemeenten zijn normen vastgesteld over het percentage fouten in de basisregistratie. De gemeenten zetten de uitkomsten van de controles van de maand december, afgezet tegen de vastgestelde normen, in de jaarlijkse rapportage van de zelfevaluatie.

Inhoudelijke controle persoonslijsten

De inhoudelijke controle met brondocumenten is een vast onderdeel van de jaarlijkse zelfevaluatie BRP. Hierbij controleren gemeenten zelf aan de hand van de bijbehorende brondocumenten een deel van hun persoonslijsten. Deze worden geselecteerd door RvIG aan de hand van een wisselende thema en een jaarlijkse terugkerend thema (eerste inschrijvingen en actualiseringen) en in de Kwaliteitsmonitor geplaatst. Hier kan de gemeente aangeven of er een fout in de persoonslijst is aangetroffen.

Voor het onderdeel inhoudelijke controle persoonslijsten aan de hand van brondocumenten vragen wij je aandacht om de controle op de kwaliteit van de gegevens zo goed als mogelijk is uit te voeren. In veel gemeenten is de archivering van brondocumenten al digitaal en daardoor toegankelijker voor controles op afstand. Mocht je in de huidige omstandigheden niet over alle benodigde brondocumenten kunnen beschikken, dan is er in de kwaliteitsmonitor de mogelijkheid om dit bij het laatste a-nummer bij het onderwerp ‘Brondocument ontbreekt’ in de toelichting een van de onderstaande opties als nummer te vermelden.

  1. Brondocumenten zo veel mogelijk bij gezocht.
  2. Brondocumenten gedeeltelijk (minimaal) bij gezocht.
  3. Brondocumenten niet bij gezocht.

Let op: Pas nadat je het onderdeel ‘inhoudelijke controle persoonslijsten aan de hand van brondocumenten’ in de kwaliteitsmonitor afgerond en definitief gemaakt hebt, kun je de vragenlijst BRP definitief maken. 
Afhankelijk van de situatie en de maatregelen kunnen wij op dit moment niet bepalen of het nader onderzoek door de minister en de onderzoeken naar de resultaten van 2020 digitaal of lokaal plaats zullen vinden. Uiteraard hopen wij net als jullie dat we weer langs kunnen komen en samen met jullie de resultaten kunnen doornemen.

Definitief maken vragenlijsten en inhoudelijke controle persoonslijsten

lVanaf 1 december kunnen de vragenlijsten definitief gemaakt worden in de kwaliteitsmonitor. De deadline voor het invullen en definitief maken van alle vragenlijsten en de inhoudelijke controle van de persoonslijsten is 31 december 2020. 
De ondertekende uittreksels met de uitkomsten van de zelfevaluaties moeten uiterlijk 14 februari 2021 worden verstuurd. 
Voor de BRP is dit aan de Autoriteit Persoonsgegevens en aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties. Voor Reisdocumenten, de aangewezen gemeenten, de openbare lichamen en de RNI is dit alleen aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties.

Toelichting proces verantwoording BRP (ENSIA)

In dit onderdeel worden de stappen voor het uitvoeren van de verantwoording BRP toegelicht. Het uittreksel BRP met domeinresultaten uit de kwaliteitsmonitor en het uittreksel BRP (ENSIA resultaten) vormen gezamenlijk de verantwoording van de zelfevaluatie BRP en dienen beide afzonderlijk in de kwaliteitsmonitor te worden geüpload onder het tabblad ‘uploaden in de kwaliteitsmonitor’.
De stappen voor de verantwoording zijn als volgt:

1. Aanvullen en ondertekenen uittreksels BRP

  • Het uittreksel BRP (ENSIA-resultaten) vul je handmatig aan met het benoemen van de oorzaak/oorzaken waardoor er geen 100%-score is behaald. Het verstrekken van een toelichting is niet verplicht. De toelichting leidt niet zonder meer tot acties van de Autoriteit Persoonsgegevens of het Ministerie van BZK. Indien je de toelichting niet aanvult, geef je hier ‘niet van toepassing’ aan.
  • Alternatief uittreksel: Je kunt ook dit jaar gebruik maken van een nieuwe oplegnotitie voor de verantwoording over de zelfevaluatie BRP. Deze oplegnotitie is meer een ‘in-controle-verklaring’ van het college. Het gebruik van de oplegnotitie is niet verplicht. Wanneer je ervoor kiest om gebruik te maken van de oplegnotitie is RvIG benieuwd naar jouw ervaring. 
  • Dit alternatief document wordt in de kwaliteitsmonitor beschikbaar gesteld.
  • Het uittreksel BRP (ENSIA-resultaten) wordt ondertekend door de burgemeester en de gemeentesecretaris op de daarvoor opgenomen ruimte in het uittreksel. Het is ook toegestaan om het uittreksel digitaal te laten ondertekenen.
  • Het uittreksel BRP (domein resultaten uit de kwaliteitsmonitor) wordt ondertekend door de burgemeester en de gemeentesecretaris op de daarvoor opgenomen ruimte in het uittreksel. Het is ook toegestaan om het uittreksel digitaal te laten ondertekenen.

2. Omzetten naar PDF

  • Na de (digitale) ondertekening zet je de beide uittreksels afzonderlijk om naar PDF formaat.

3. Uploaden uittreksels BRP via de kwaliteitsmonitor

  • Onder het tabblad ‘uploaden’ in de kwaliteitsmonitor worden beide uittreksels afzonderlijk geüpload.

Beide uittreksels BRP kan je per e-mail verzenden naar de Autoriteit Persoonsgegevens (AP) via zelfevaluatieBRP@autoriteitpersoonsgegevens.nl.

Jaarlijkse planning

Elk jaar kunnen gemeenten vanaf 1 juli de vragenlijsten in de Kwaliteitsmonitor en in de ENSIA-tool invullen. Naar aanleiding van de gestelde vragen en de tussentijdse resultaten op de domeinvragen in de Kwaliteitsmonitor, krijgen de gemeenten de gelegenheid om acties te plannen en door te voeren.

Van 10 tot en met 31 december kunnen gemeenten de vragenlijsten en de uitkomsten van de inhoudelijke controle definitief maken. De resultaten uit de ENSIA-tool worden niet meer samengevoegd met de resultaten in de Kwaliteitsmonitor. Zowel uit de Kwaliteitsmonitor als vanuit de ENSIA-tool wordt hiervoor een separaat uittreksel ontwikkeld. De planning van de hele procedure is in onderstaand schema weergegeven:

Datum

Mijlpalen onderzoek (zelfevaluatie) BRP

1 juli

Vragenlijst BRP domeinvragen is beschikbaar in de Kwaliteitsmonitor
Vragen over informatieveiligheid zijn beschikbaar in de ENSIA-tool
Begin december

Bestandscontrole voor de zelfevaluatie en telling aantal onderzoeken

10 december

De vragenlijst BRP kan definitief gemaakt worden

31 december

Deadline voor definitief maken vragenlijst BRP en vragenlijst ENSIA

Na 3 januari

Mogelijkheid om uittreksel en managementrapportage te genereren

14 februari

Deadline voor het toesturen uittreksel aan RvIG
Deadline voor het toesturen uittreksel aan de AP

1 april

Afronding van nader onderzoek

Uittreksels

De Kwaliteitsmonitor en de ENSIA-tool maken op basis van de uitkomsten voor elke gemeente per zelfevaluatie een uittreksel. Beide uittreksels van de zelfevaluatie BRP moeten ondertekend worden door het college van burgemeester en wethouders die het resultaat in het uittreksel kunnen toelichten. Een toelichting is niet verplicht. De gemeente uploadt de beide uittreksels vóór 14 februari naar de RvIG en stuurt het uittreksel ook naar de Autoriteit Persoonsgegevens (AP).

Managementrapportage

De Kwaliteitsmonitor maakt na 3 januari ook een managementrapportage. Deze is beschikbaar in het onderdeel ‘Historische gegevens’ en op de pagina waar de vragenlijst definitief moet worden gemaakt in de Kwaliteitsmonitor. Per onderwerp wordt aangegeven op welke punten verbetering mogelijk is. Dit wordt getoond als actiepunten. Er zijn 2 typen actiepunten: Deze moeten voldoen aan de wettelijke norm en actiepunten die een aanbeveling bevatten. Het is mogelijk om in de Kwaliteitsmonitor de eigen resultaten te bekijken.  Dit kan vanaf het moment dat het uittreksel en de managementrapportage gemaakt kunnen worden. Het is dan ook mogelijk de rapportage te vergelijken met die van andere gemeenten en openbare lichamen.

Analyseresultaten

Nadat de gemeenten de uittreksels hebben ingediend, analyseert RvIG de resultaten. Uit deze analyse ontstaat een beeld van de inrichting, de beveiliging en de verwerking van gegevens van de BRP. Op basis van het landelijke beeld bepaalt het ministerie van BZK de acties die het jaar na de evaluatie worden ondernomen. Dit om de kwaliteit van de BRP te verbeteren.

Nader onderzoek door de minister

De minister voert jaarlijks een nader onderzoek uit naar de uitvoering van de zelfevaluatie BRP.