Zelfevaluatie Basisregistratie Personen (BRP) door gemeenten

Jaarlijks voeren de gemeenten een onderzoek uit naar de inrichting, werking en beveiliging van de basisregistratie. Daarnaast onderzoeken zij de verwerking van gegevens in de basisregistratie. Dit is een wettelijk verplicht onderzoek (artikel 4.3 wet BRP). Dit onderzoek heet de Zelfevaluatie BRP.

Vragenlijsten

De vragenlijst van het onderzoek naar de inrichting, werking en beveiliging van de basisregistratie bestaat uit 2 soorten vragen: domeinvragen en informatieveiligheidsvragen. Domeinvragen zijn specifieke vragen die over het BRP-processen gaan. De informatieveiligheidsvragen zijn vragen die gaan over de inrichting en beveiliging van de systemen waarin de persoonsgegevens worden opgeslagen.
De gemeenten vullen de domeinvragen in via de Kwaliteitsmonitor. De Kwaliteitsmonitor is een webapplicatie van RvIG die beschikbaar is gesteld aan alle gemeenten. De domeinvragen zijn onderverdeeld in drie thema’s:

  • Bijhouden van de BRP
  • Verstrekking van gegevens
  • Aanbeveling

De ingevulde antwoorden worden in de Kwaliteitsmonitor opgeslagen. De (tussentijdse) resultaten zijn in te zien in het onderdeel 'Processen'. De antwoorden kunnen door de gemeente gewijzigd worden totdat de antwoorden definitief zijn gemaakt in de Kwaliteitsmonitor. De uiterste datum voor het afronden van het onderzoek en het definitief maken in de Kwaliteitsmonitor is 31 december. Gemeenten kunnen de ingevulde vragenlijst openen als Excel-bestand. Bijvoorbeeld om een verbeterplan te maken.
De informatieveiligheidsvragen van de zelfevaluatie BRP worden door de gemeenten beantwoord via de tool van Eenduidige Normatiek Single Information Audit (ENSIA).
ENSIA is in samenwerking met de Vereniging van Nederlandse Gemeenten (VNG) en gemeenten in het leven geroepen. De doelstelling van ENSIA is het realiseren van een ingericht verantwoordingsstelsel voor informatieveiligheid. Het uitgangspunt is de beperking van administratieve lasten voor gemeenten door op een plek en via een tool de gemeentelijke informatiebeveiliging te toetsen. De informatieveiligheidsvragen zijn ingedeeld in drie thema’s:

  • Organisatie van de beveiliging Verstrekking van gegevens
  • Toegangsbeveiliging
  • Naleving

Bestandscontrole BCM

De Rijksdienst voor Identiteitsgegevens (RvIG) controleert maandelijks de persoonslijsten in de Basisregistratie Personen (BRP). Dat gebeurt met de Bestandscontrolemodule (BCM). Deze applicatie controleert of de structuur van de persoonslijst klopt, of de ingevulde waarden toegestaan zijn en of de inhoud voldoet aan de voorschriften. De voorschriften staan in het Logisch Ontwerp (LO).

De uitkomsten van de controles worden maandelijks via de webapplicatie Kwaliteitsmonitor aan gemeenten gerapporteerd. In overleg met alle Nederlandse gemeenten zijn normen vastgesteld over het percentage fouten in de basisregistratie. De gemeenten zetten de uitkomsten van de controles van de maand december, afgezet tegen de vastgestelde normen, in de jaarlijkse rapportage van de zelfevaluatie.

Inhoudelijke controle persoonslijsten

De inhoudelijke controle met brondocumenten is een vast onderdeel van de jaarlijkse zelfevaluatie BRP. Hierbij controleren gemeenten zelf aan de hand van de bijbehorende brondocumenten een deel van hun persoonslijsten. Deze worden geselecteerd door RvIG aan de hand van een wisselende thema en een jaarlijkse terugkerend thema (eerste inschrijvingen en actualiseringen) en in de Kwaliteitsmonitor geplaatst. Hier kan de gemeente aangeven of er een fout in de persoonslijst is aangetroffen.

Jaarlijkse planning

Elk jaar kunnen gemeenten vanaf 1 juli de vragenlijsten in de Kwaliteitsmonitor en in de ENSIA-tool invullen. Naar aanleiding van de gestelde vragen en de tussentijdse resultaten op de domeinvragen in de Kwaliteitsmonitor, krijgen de gemeenten de gelegenheid om acties te plannen en door te voeren.

Van 10 tot en met 31 december kunnen gemeenten de vragenlijsten en de uitkomsten van de inhoudelijke controle definitief maken. De resultaten uit de ENSIA-tool worden niet meer samengevoegd met de resultaten in de Kwaliteitsmonitor. Zowel uit de Kwaliteitsmonitor als vanuit de ENSIA-tool wordt hiervoor een separaat uittreksel ontwikkeld. De planning van de hele procedure is in onderstaand schema weergegeven:

Datum

Mijlpalen onderzoek (zelfevaluatie) BRP

1 juli

Vragenlijst BRP domeinvragen is beschikbaar in de Kwaliteitsmonitor
Vragen over informatieveiligheid zijn beschikbaar in de ENSIA-tool
Begin december

Bestandscontrole voor de zelfevaluatie en telling aantal onderzoeken

10 december

De vragenlijst BRP kan definitief gemaakt worden

31 december

Deadline voor definitief maken vragenlijst BRP en vragenlijst ENSIA

Na 3 januari

Mogelijkheid om uittreksel en managementrapportage te genereren

14 februari

Deadline voor het toesturen uittreksel aan RvIG
Deadline voor het toesturen uittreksel aan de AP

1 april

Afronding van nader onderzoek

Uittreksels

De Kwaliteitsmonitor en de ENSIA-tool maken op basis van de uitkomsten voor elke gemeente per zelfevaluatie een uittreksel. Beide uittreksels van de zelfevaluatie BRP moeten ondertekend worden door het college van burgemeester en wethouders die het resultaat in het uittreksel kunnen toelichten. Een toelichting is niet verplicht. De gemeente uploadt de beide uittreksels vóór 14 februari naar de RvIG en stuurt het uittreksel ook naar de Autoriteit Persoonsgegevens (AP).

Managementrapportage

De Kwaliteitsmonitor maakt na 3 januari ook een managementrapportage. Deze is beschikbaar in het onderdeel ‘Historische gegevens’ en op de pagina waar de vragenlijst definitief moet worden gemaakt in de Kwaliteitsmonitor. Per onderwerp wordt aangegeven op welke punten verbetering mogelijk is. Dit wordt getoond als actiepunten. Er zijn 2 typen actiepunten: Deze moeten voldoen aan de wettelijke norm en actiepunten die een aanbeveling bevatten. Het is mogelijk om in de Kwaliteitsmonitor de eigen resultaten te bekijken.  Dit kan vanaf het moment dat het uittreksel en de managementrapportage gemaakt kunnen worden. Het is dan ook mogelijk de rapportage te vergelijken met die van andere gemeenten en openbare lichamen.

Analyseresultaten

Nadat de gemeenten de uittreksels hebben ingediend, analyseert RvIG de resultaten. Uit deze analyse ontstaat een beeld van de inrichting, de beveiliging en de verwerking van gegevens van de BRP. Op basis van het landelijke beeld bepaalt het ministerie van BZK de acties die het jaar na de evaluatie worden ondernomen. Dit om de kwaliteit van de BRP te verbeteren.

Nader onderzoek door de minister

De minister voert jaarlijks een nader onderzoek uit naar de uitvoering van de zelfevaluatie BRP.