Resultaat zelfevaluatie BRP 2021

Managementsamenvatting

 

De Basisregistratie Personen (BRP) is dé registratie van persoonsgegevens in Nederland. Voor de dienstverlening aan haar burgers is de overheid sterk afhankelijk van de betrouwbaarheid van de BRP. Ook de bescherming van de BRP tegen ongewenste toegang moet aan de hoogste eisen voldoen. Periodiek onderzoek naar de inrichting, de werking en de beveiliging van de BRP, gecombineerd met een onderzoek naar de verwerking van gegevens in de BRP, is in de wet geregeld[1]. Dit onderzoek wordt de zelfevaluatie BRP genoemd. In dit rapport staan de uitkomsten van het onderzoek dat in 2021 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP. Tot slot worden ook de acties voor kwaliteitsbevordering benoemd die worden uitgevoerd naar aanleiding van de resultaten.

Gemeentelijke BRP

Alle 352 Nederlandse gemeenten hebben in 2021 de zelfevaluatie BRP uitgevoerd. Het doel van de zelfevaluatie is om gemeenten inzicht te geven of de werkprocessen conform wet- en regelgeving zijn ingericht en inzicht te geven in de kwaliteit van gegevens in de gemeentelijke bestanden van de BRP. De resultaten van deze zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties. De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving.

Kwaliteit van de processen

Het resultaat van de vragenlijst over de processen wordt weergeven in zes thema’s. Vijf thema’s bevatten vragen volgend uit wet- en regelgeving. In het zesde thema zijn de vragen ondergebracht naar aanvullende kwaliteitsmaatregelen. Deze bestaan uit aanbevelingen die niet direct volgen uit wet- en regelgeving.

In tabel 1 staan de thema’s met het totaalresultaat van alle gemeenten (in percentage van de maximale score), het aantal gemeenten dat een 100% score heeft behaald en het aantal gemeenten dat een score van boven de 95% heeft behaald. De thema’s 1 tot en met 3 bevatten de informatieveiligheidsvragen. De thema’s 4 tot en met 6 bevatten de vragen over de processen van de BRP. Hoewel gestreefd moet worden naar 100% score voor de thema’s 1 tot en met 5 komen door het uitvoeren van de zelfevaluatie bij veel gemeenten nog verbeter- of aandachtspunten punten naar voren. In 2021 scoorden 46 gemeenten 100% op de thema’s 1 tot en met 5 en scoorden 4 gemeenten 100% op alle thema’s.

THEMA	SCORE    Gemiddeld in %	Aantal gemeenten score 100%	Aantal gemeenten score boven 95%
1. Organisatie van de beveiliging	94,7%	223	223
2. Toegangsbeveiliging	96,0%	236	251
3. Naleving	88,5%	163	163
4. Bijhouding van de BRP	97,8%	178	307
5. Verstrekking van gegevens	98,3%	272	311
6. Aanbeveling	82,4%	9	48

Kwaliteit van de gegevens

De Rijksdienst voor Identiteitsgegevens (RvIG) controleert, door middel van een bestandscontrole, de administratieve kwaliteit van de BRP-gegevens. De uitkomst van de controle maakt deel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn van 21,5 miljoen persoonslijsten de BRP-gegevens gecontroleerd. 22 gemeenten scoren op een of meer klassen[2] in de algemene en administratieve gegevens onder de vastgestelde normen Op 99,8% van de persoonslijsten is geen afwijking geconstateerd, dit is ruim boven de norm van 99,0%.

De gemeenten hebben in totaal 18.982 door RvIG geselecteerde persoonslijsten handmatig gecontroleerd op de inhoudelijke kwaliteit. RvIG selecteert de persoonslijsten op basis van het vaste thema ‘Eerste inschrijvingen in de BRP’. Daarnaast wordt jaarlijks een ander thema vastgesteld. In 2021 zijn dit ‘Actualiseringen en correcties in de categorieën met ouder-, kind- of partnergegevens’. De controle is uitgevoerd aan de hand van de bijbehorende brondocumenten en aangiften. Op de geselecteerde persoonslijsten zijn door de gemeenten 3175 afwijkingen geconstateerd. Dit resultaat geeft aan dat de gerealiseerde kwaliteit van gegevens in de BRP om verbetering vraagt. Niet alle geconstateerde afwijkingen zijn fouten in de registratie; zo bleek in 21% van het aantal afwijkingen het brondocument niet terug te vinden.

Nader onderzoek door de minister

RvIG heeft in totaal 60 gemeenten bezocht ten behoeve van een nader onderzoek naar de uitvoering van de zelfevaluatie door gemeenten.

Er zijn 30 gemeenten bezocht om de beantwoording van de vragen uit de zelfevaluatie te valideren. Deze gemeenten zijn geselecteerd, omdat zij een score onder de 100% hebben behaald in /op het thema ‘Bijhouding van de BRP’. De uitkomst van het nader onderzoek kan niet als representatief voor alle gemeenten worden beschouwd omdat deze gemeenten niet willekeurig zijn geselecteerd. De geselecteerde gemeenten is gevraagd om bewijsstukken en onderbouwing van de gegeven antwoorden op een selectie van informatieveiligheidsvragen en domeinvragen. Het algemene beeld van de gemeenten die bezocht zijn is dat zij zorgvuldig en betrouwbaar de vragenlijst hebben ingevuld. Gemiddeld zijn 95% van de antwoorden in overeenstemming met de bevindingen van de RvIG-adviseurs beantwoord.

De andere 30 gemeenten zijn bezocht om de kwaliteit van de uitgevoerde inhoudelijke controle te toetsen. Bij deze gemeenten zijn de gecontroleerde persoonslijsten steekproefsgewijs door RvIG-adviseurs opnieuw gecontroleerd. Bij 24% van deze persoonslijsten zijn door de adviseurs afwijkingen gevonden die niet door de gemeenten zijn vastgesteld. 26 van de 30 gemeenten hebben een score onder de 85%. De oorzaak van deze afwijkingen zijn zowel een gebrek aan tijd en aandacht als een gebrek aan kennis bij de medewerkers die de controles hebben uitgevoerd.

RNI-loketgemeenten

Voor het inschrijven van niet-ingezetenen en voor het indienen van verzoeken van niet-ingezetenen heeft de minister 19 RNI-loketten beschikbaar bij gemeenten. De loketgemeenten voeren jaarlijks een zelfevaluatie uit die bestaat uit een vragenlijst ingedeeld in zes thema’s. De thema’s komen overeen met de thema’s van het gemeentelijk deel van de BRP. Alle RNI-loketgemeenten hebben in 2021 de zelfevaluatie RNI uitgevoerd. In de tabel hieronder staan de 6 thema’s met het totaalresultaat van alle 19 RNI-loketgemeenten (in percentage van de maximale score) en het aantal daarvan dat een 100% score heeft behaald.

THEMA	SCORE    Gemiddeld in %	Aantal  Score 100%
1. Organisatie van de beveiliging	95,5%	15
2. Toegangsbeveiliging	93,4%	17
3. Naleving	99,2%	18
4. Bijhouding van de BRP	96,1%	9
5. Verstrekking	100%	19
6. Aanbeveling	96,8%	15

 

Centrale voorzieningen BRP

De minister voert jaarlijks een onderzoek uit naar de inrichting, de werking en de beveiliging van de centrale voorzieningen van de BRP en de verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is. De centrale voorzieningen zijn de GBA-V (verstrekking van BRP-gegevens aan afnemers), de RNI, de Terugmeldvoorziening (TMV 2.0) en de berichtendienst voor afnemers. Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader en een vragenlijst voor de processen van de RNI. In de tabel hieronder staan de resultaten van dit onderzoek per onderdeel van de centrale voorzieningen (in percentage van de maximale score).

 

Centrale voorziening	SCORE    %
GBA-V	99,1%
RNI	99,1%
TMV 2.0	100%
Berichtendienst afnemers	100%

Inleiding

 

De Basisregistratie Personen (BRP) is dé registratie van persoonsgegevens in Nederland. Het belang van de kwaliteit van de registratie en de beveiliging van de geregistreerde gegevens is groot. Periodiek onderzoek naar de inrichting, de werking en de beveiliging van de basisregistratie, en onderzoek naar de verwerking van gegevens in de basisregistratie is in de wet geregeld[3]. In dit rapport staan de uitkomsten van het periodiek onderzoek dat in 2021 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP.

In deze rapportage worden de gezamenlijke resultaten van de zelfevaluaties weergegeven en de acties voor kwaliteitsbevordering benoemd die RvIG uitvoert naar aanleiding van de resultaten.

Zelfevaluatie gemeenten

In 2021 hebben alle 352 Nederlandse gemeenten een onderzoek uitgevoerd naar de inrichting, werking en beveiliging van BRP. Gemeenten voerden dit onderzoek uit door middel van een zelfevaluatie. Het doel van de zelfevaluatie is om de gemeente inzicht te geven of de werkprocessen conform wet- en regelgeving zijn ingericht en inzicht te geven in de kwaliteit van gegevens in de lokale BRP. De resultaten van deze zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK).

De zelfevaluatie BRP voor gemeenten bestaat uit vier onderdelen:

• Vragenlijst domeinvragen

De gemeenten vullen een vragenlijst in over de inrichting, werking en beveiliging van de BRP. Op basis van de uitkomsten worden risico’s en verbeterpunten in kaart gebracht. De vragen zijn onderverdeeld in drie thema’s: Bijhouding van de BRP, Verstrekking van gegevens en Aanbeveling.

• Vragenlijst informatieveiligheid

Sinds 2017 zijn de vragen over informatieveiligheid ondergebracht in de Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA richt zich op de gemeentelijke verantwoording rond de informatieveiligheid op basis van de Baseline Informatiebeveiliging Overheid (BIO). De vragen over informatieveiligheidsvragen zijn onderverdeeld in drie thema’s: Organisatie van de beveiliging, Naleving en Toegangsbeveiliging.

• Bestandscontrole

De bestandscontrole is een controle van de algemene en administratieve gegevens op de persoonslijsten van alle ingezetenen. RvIG voert de controle maandelijks uit op de persoonslijsten in GBA- Verstrekkingsvoorziening (GBA-V) met meer dan 3000 controleregels. De uitkomsten worden maandelijks aan de gemeenten gepresenteerd in de applicatie kwaliteitsmonitor. Het resultaat van de controle van december 2021 maakt onderdeel uit van deze rapportage zelfevaluatie BRP.

• Inhoudelijke controle persoonslijsten 

Een onderzoek naar de inhoudelijke kwaliteit van de persoonslijsten aan de hand van bijbehorende brondocumenten. RvIG maakt een selectie van persoonslijsten op basis van een vast en een jaarlijks wijzigend thema. De gemeenten voeren een controle op de geselecteerde persoonslijsten uit, waarna RvIG steekproefsgewijs een toetsing uitvoert.

Zelfevaluatie Centrale voorzieningen

De minister heeft in 2021 een onderzoek uitgevoerd naar de inrichting werking en beveiliging van de centrale voorzieningen van de BRP en de verwerking van gegevens in de BRP, voor zover de minister daarvoor verantwoordelijk is. De Rijksdienst voor Identiteitsgegevens (RvIG) voert een zelfevaluatie uit door middel van een vragenlijst voor de RNI en een normenkader voor alle centrale voorzieningen.

Zelfevaluatie RNI

Alle loketgemeenten voeren een zelfevaluatie uit door middel van een vragenlijst. De vragen zijn onderverdeeld in dezelfde zes thema’s als de zelfevaluatie gemeenten: Organisatie van de beveiliging, Naleving, Toegangsbeveiliging, Bijhouding van de BRP, Verstrekking van gegevens en Aanbeveling.

Opzet van de zelfevaluatie

De zelfevaluaties die worden uitgevoerd door de gemeenten, RNI-loketgemeenten en door de minister zijn verschillend van opzet en worden onderstaand nader toegelicht.

Gemeenten

Door de combinatie van het invullen van de vragenlijst voor de processen en de uitvoering van de controles op gegevens krijgen de gemeenten inzicht in de inrichting, werking en beveiliging van de BRP. De opzet van de vragenlijst is als volgt. De vragen die volgen uit wet- en regelgeving[4] zijn onderverdeeld in vijf thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Gestreefd moet worden naar een 100% score op de thema’s die volgen uit wet- en regelgeving. Het resultaat wordt niet gerapporteerd in een gemiddelde score aan de hand van de thema’s, omdat dit een beter inzicht biedt in het functioneren dan een totaalscore.

De thema’s waarover gerapporteerd wordt, zijn:

1. Organisatie van de beveiliging
2. Toegangsbeveiliging
3. Naleving
4. Bijhouding van de BRP
5. Verstrekking van gegevens
6. Aanbeveling

Naast de vragenlijst maken ook een bestandscontrole en een inhoudelijke controle aan de hand van brondocumenten onderdeel uit van zelfevaluatie. De uitkomsten van de bestandscontrole en de inhoudelijke controle aan de hand van brondocumenten worden ingedeeld in zeven verschillende foutklassen. De foutklassen zijn gekoppeld aan de soort gegevens die zijn geregistreerd op de persoonslijst[5]:

• Klasse A: Persoon en overlijden
• Klasse B: Adres
• Klasse C: Relaties
• Klasse D: Identificatienummers en Nationaliteit
• Klasse E: Overige algemene gegevens
• Klasse F: Administratieve gegevens
• Klasse G: Ontbreken brondocument (bij de inhoudelijke controle)

Verloop cyclus zelfevaluatie

De cyclus van de zelfevaluatie startte op 1 juli 2021 met het beschikbaar stellen van beide vragenlijsten (BRP en ENSIA) en de geselecteerde persoonslijsten voor de inhoudelijke controle. Vanaf 1 december 2021 konden de gemeenten de ingevulde vragenlijst en het resultaat van de inhoudelijke controle definitief maken in de applicatie kwaliteitsmonitor. Een uittreksel daarvan is vervolgens ondertekend door het college van B&W, waarna de resultaten zijn verzonden aan de minister van BZK en de Autoriteit Persoonsgegevens (AP).

Nader onderzoek door de minister

In de samenwerkingsovereenkomst tussen de Autoriteit Persoonsgegevens en de minister van BZK is afgesproken dat RvIG namens de minister jaarlijks een controle uitvoert om het resultaat te valideren. Deze controle wordt uitgevoerd op de beantwoording van de vragenlijst en op de uitvoering van de inhoudelijke controle. Dit jaar zijn gemeenten geselecteerd die op een het thema ‘Bijhouding van de BRP’ een resultaat hebben gescoord onder de 100%. Adviseurs van RvIG hebben tijdens hun bezoeken bij deze gemeenten de betrouwbaarheid van de antwoorden getoetst. Daarnaast is gekeken naar de wijze waarop de gemeenten aan de eisen hebben voldaan en de achtergrond van eisen waaraan de gemeenten nog niet hebben voldaan. Voor het toetsen van de inhoudelijke controle zijn door RvIG gemeenten met een 100% score geselecteerd en gemeenten met een score die de norm overschrijdt op de drie foutklassen (klasse A,B en C).  .

Onderzoek naar de centrale voorzieningen

De minister voert jaarlijks een onderzoek uit naar de centrale voorzieningen van de BRP. Deze centrale voorzieningen zijn:

• De GBA-V (verstrekken van de BRP-gegevens).
• De Terugmeldvoorziening (TMV 2.0) (terugmelden van onjuiste BRP-gegevens)
• De RNI (de Registratie van Niet-Ingezetenen)
• De berichtendienst afnemers (communicatie voor afnemers met de RNI)

Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader. Daarnaast vindt een bestandscontrole naar de administratieve kwaliteit van de gegevens in de RNI plaats.

RNI-loketgemeenten

De RNI-loketgemeenten voeren de zelfevaluatie uit door middel van het invullen van een vragenlijst. De vragen die volgen uit wet- en regelgeving[6] en het convenant RNI-loketgemeenten zijn onderverdeeld in vijf thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Gestreefd moet worden naar een 100% score op de thema’s die volgen uit wet- en regelgeving.

De thema’s waarover gerapporteerd wordt, zijn:

1. Organisatie van de beveiliging
2. Toegangsbeveiliging
3. Naleving
4. Bijhouding van de BRP
5. Verstrekking van gegevens
6. Aanbeveling

 

Resultaten zelfevaluatie gemeenten 2021

In dit hoofdstuk staan de gemeentelijke resultaten van alle onderdelen van de zelfevaluatie BRP 2021. Allereerst volgt een overzicht van het resultaat van het onderzoek naar de kwaliteit van processen, gevolgd door een uitwerking van dat resultaat per thema. Vervolgens worden de uitkomsten van beide onderzoeken naar de kwaliteit van gegevens gepresenteerd.

Resultaat onderzoek kwaliteit processen totaal

De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De gemeenten behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 88,6% en 98,3% van de maximale score (grafiek 1). Op het thema Aanbeveling halen de gemeenten gemiddeld 85,7% van de maximale score. De scores van de zelfevaluatie BRP in de periode 2018-2021 (zie grafiek 2) laat een stabiel beeld zien voor de domeinvragen, waarbij de score voor het thema aanbeveling jaarlijks licht stijgt. Een duidelijke stijging is ook zichtbaar voor de thema’s Organisatie van de beveiliging en Toegangsbeveiliging.

Grafiek 1 Gemiddelde score per thema in percentage

Grafiek 2 Gemiddelde scores van de BRP per jaar per thema

Het aantal gemeenten dat een 100% score haalt, verschilt sterk per thema (zie grafiek 3). 4 gemeenten behaalden een 100% score op alle thema’s en 46 gemeenten behaalden een 100% score op de eerste 5 thema’s (eisen).

Grafiek 3 Aantal gemeenten met een 100% score per thema

Uitblijven verantwoording door gemeenten

Van 15 gemeenten heeft de minister niet tijdig de ondertekende resultaten van de zelfevaluatie ontvangen. De betreffende gemeenten zijn aangemeld bij de toezichthouder, de Autoriteit persoonsgegevens (AP). De AP heeft deze gemeenten een brief gestuurd waarin de gemeenten is opgedragen de resultaten alsnog aan te leveren. Deze 15 gemeenten hebben de zelfevaluatie wel tijdig ingevuld en definitief gemaakt. De resultaten zijn wel verwerkt in deze rapportage.

Resultaat onderzoek kwaliteit processen per thema

Thema Organisatie van de beveiliging

Binnen het thema Organisatie van de beveiliging beantwoorden de gemeenten 11 vragen over de organisatie van informatieveiligheid binnen de gemeente. De gemeenten scoren gemiddeld 93,5% op dit thema. De individuele scores variëren van 41,3% tot 100%. Grafiek 4 geeft de spreiding van de gemeenten per score weer.

Grafiek 4 Aantal gemeenten per score Thema Organisatie van de Beveiliging

Binnen het thema Organisatie van de beveiliging worden vragen gesteld over de onderstaande onderwerpen:

• Vastgesteld Informatiebeveiligingsbeleid
• Maatregelen tegen onrechtmatige toegang
• Versleuteling van data op mobiele apparatuur
• Beleid voor werken op afstand
• Beveiligingsbewustzijn medewerkers
• Gedocumenteerde bedieningsprocedures
• Back-up-beleid
• Geheimhoudingsverklaringen
• Calamiteiten- en continuïteitsplannen

De vraag waar de hoogste aantal gemeenten nog niet aan voldoet (21% van de gemeenten), gaat over het trainen van (nieuwe) medewerkers op het gebied van beveiligingsbewustzijn.

Thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging beantwoorden de gemeenten 18 vragen over logische en fysieke toegangsbeveiliging binnen de gemeente. De gemeenten scoren gemiddeld 96% binnen dit thema. De spreiding van de individuele scores varieert van 55% tot 100%. Grafiek 5 geeft de spreiding van de gemeenten per score weer.

 Grafiek 5 Aantal gemeenten per score Thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging worden vragen gesteld over de onderstaande onderwerpen:

• Omgaan met verwijderbare gegevensdragers
• Veilig opslaan van vertrouwelijke informatie
• Vastgesteld beleid logische toegangsbeveiliging
• Toekennen en beëindigen van autorisaties
• Controle van de autorisaties
• Eisen aan wachtwoorden
• Incidentenprocedure
• Sleutelbeheer
• Procedures voor werken in beveiligede gebieden
• Procedure voor gebruik van apparatuur buiten het gemeentehuis
• (Automatisch) vergrendelen van werkplekken

De vraag waar de hoogste aantal gemeenten nog niet aan voldoet (18,5% van de gemeenten), gaat over het halfjaarlijks controleren van de autorisaties. Aan jaarlijkse controle van de autorisaties wordt door meer gemeenten voldaan (5,5% van de gemeenten).

Thema Naleving

Binnen het thema Naleving beantwoorden de gemeenten 10 vragen over uitvoering van verplichte controles, over het bestaan van verplichte procedures en over de toepassing van functiescheiding binnen de gemeente. De gemeenten scoren gemiddeld 88,2% van de punten binnen dit thema. De individuele scores variëren van 21% tot 100% (zie voor de spreiding grafiek 5). De spreiding van de scores is hier groter dan de overige thema’s.

Grafiek 5 Aantal gemeenten per score Thema Naleving

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

• Verwerkersovereenkomsten met leveranciers
• Beoordelen prestaties leveranciers
• Testen van continuïteitsplannen
• Maatregelen als vertaling van wet- en regelgeving
• Controle op naleving privacy beleid
• Controle op verwerking van persoonsgegevens
• Vastgesteld auditplan
• Jaarlijkse controle van informatiesystemen

 

De vraag waar de hoogste aantal gemeenten nog niet aan voldoet (23% van de gemeenten), gaat over het beoordelen van de prestaties van leveranciers op het gebied van informatiebeveiliging.

Thema Bijhouding van de BRP

Binnen het thema Bijhouding van de BRP beantwoorden de gemeenten 14 vragen over de processen van bijhouding van de BRP door de gemeente. De gemeenten scoren gemiddeld 97,8 % van de punten binnen dit thema. De individuele scores variëren van 69% tot 100% (zie voor de spreiding grafiek 6).

Grafiek 6 Aantal gemeenten per score Thema Bijhouding van de BRP

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

• Opslag van brondocumenten
• Werkinstructies
• Identiteitsvaststelling
• Volledigheid van de procedure eerste inschrijving BRP
• Bijhouden van paspoortsignalering
• Controle van brondocumenten
• Activiteiten om vervallen reisdocumenten in te houden
• Procedure onderzoek en terugmelding
• Controles op juiste gegevensverwerking
• Tijdig verwerken van actualiseringen
• Controle op juiste uitvoering procedures

De vraag die is het vaakst niet maximaal is beantwoord (door 14% van de gemeenten), gaat over het bijhouden van de paspoortsignaleringen[7] in de BRP. In de vraag worden drie beheersmaatregelen voor het bewaken van de actualiteit van de paspoortsignaleringen bevraagd. Niet alle gemeenten voeren alle drie uit.

Thema Verstrekking van gegevens

Binnen het thema Verstrekking van gegevens beantwoorden de gemeenten 8 vragen over het proces en de procedures rondom de verstrekking van BRP-gegevens. De gemeenten scoren gemiddeld 98,3 % van de punten binnen dit thema. De individuele scores variëren van 33% tot 100% (zie voor de spreiding grafiek 7).

Grafiek 7 Aantal gemeenten per score Thema Verstrekking van gegevens

Binnen het thema Verstrekking van gegevens worden vragen gesteld over de onderstaande onderwerpen:

• Procedures voor protocollering (vastleggen aan wie, waarom en waarover gegevens zijn verstrekt)
• Gegevensverstrekking door de gemeente
• Verstrekkingsbeperking
• Inzagerecht
• De verordening gegevensverstrekking bij de gemeente.

De vraag die is het vaakst niet maximaal is beantwoord (door 9% van de gemeenten), gaat over de gegevens die zijn opgenomen op het protocolleringsoverzicht.

Thema Aanbeveling

Binnen het thema Aanbeveling beantwoorden de gemeenten 13 vragen over verschillende beheersmaatregelen voor de BRP-processen. Omdat ze niet direct volgen uit wet- en regelgeving zijn de gemeenten niet verplicht deze maatregelen te nemen. De gemeenten scoren gemiddeld 85,7% van de punten binnen dit thema. De individuele scores variëren van 46% tot 100% (zie voor de spreiding van scores grafiek 8).

Grafiek 8 Aantal gemeenten per score Thema Aanbeveling

Binnen het thema Aanbeveling worden vragen gesteld over de onderstaande onderwerpen:

• Bestuurlijke boete
• Bestrijden adresfraude
• Aangifte bij valse documenten of vermoeden van fraude
• Procedure briefadres
• Eenduidige beschrijving van brondocumenten
• Opvolging van bevindingen inhoudelijke controle
• Acties ten behoeve van kwaliteit en volledigheid BRP
• Voorkomen van dubbelopnames
• Beveiligingsplan BRP

De vraag die het vaakst niet maximaal is beantwoord (door 52% van de gemeenten g), gaat over acties die de gemeente heeft ondernomen om het sterkst mogelijke brondocument op te nemen in de administratie.

Resultaten onderzoek kwaliteit gegevens

Resultaat inhoudelijke controle aan de hand van brondocumenten

Alle 352 gemeenten hebben een handmatige controle uitgevoerd op een selectie van persoonslijsten die door RvIG is samengesteld. Dit jaar hanteerde RvIG de volgende selectiecriteria: eerste inschrijving in de BRP van de voorgaande twee jaar óf mutatie in de gegevens over ouders, partners of kinderen in het voorgaande jaar. De gemeenten zoeken voor deze controle alle onderliggende brondocumenten en aangiften op en controleren aan de hand hiervan alle gegevens op de persoonslijst. Op basis van het inwonersaantal van de gemeente is de selectiegrootte bepaald (25, 50, 75 of 100 persoonslijsten). In totaal controleerden de gemeenten 18.982 persoonslijsten. De gemeenten hebben daarbij 3175 afwijkingen geconstateerd. De meest geconstateerde afwijkingen staan in de top 5 tabel hieronder:

 

Omschrijving	Aantal	Percentage van gecontroleerde persoonslijsten
Brondocument ontbreekt	680	4,9%
Datum geldigheid onjuist	439	2,3%
Omschrijving brondocument onjuist	337	1,8%
Overig	321	1,7%
Onjuist brondocument vermeld	158	0,8%

 

Gemeenten die geen enkele fout hebben geconstateerd en gemeenten met een achterblijvend resultaat zijn bezocht voor het nader onderzoek.

Resultaat bestandscontrole BRP

RvIG controleert door middel van een bestandscontrole de administratieve kwaliteit van de BRP-gegevens. Deze bestandscontrole wordt maandelijks uitgevoerd en via de kwaliteitsmonitor wordt het resultaat per gemeente beschikbaar gesteld. De uitkomst van de bestandscontrole van december 2021 maakt onderdeel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn bij de controle van december 17,5 miljoen actueel ingeschreven personen en 3,9 miljoen overleden personen de BRP-gegevens gecontroleerd aan de hand van ruim 3000 controleregels. Bij de bestandscontrole van december 2021 zijn in totaal 59.155 afwijkingen geconstateerd. Het percentage persoonslijsten waarop geen enkele afwijking is geconstateerd is 99.7%. Dit is ruim boven de norm van 99%. RvIG heeft in overleg met de gemeenten die vertegenwoordigd zijn in de expertgroep Bestandcontrolemodule ook een norm per foutklasse vastgesteld. Gemiddeld scoren alle gemeenten ruim boven deze normen. 11 gemeenten scoren op een of meer klassen in de algemene en administratieve gegevens onder de vastgestelde normen. 29 gemeenten hebben een foutloos resultaat dit aantal neemt de afgelopen 3 jaar toe.

Aantal gemeenten per klasse onder de norm

Foutklasse	Antal fouten	Percentage foutloos	Norm	gemeenten onder de norm	gemeenten zonder fouten
A: Persoon en overlijden	7955	99.96%	99.69%	1	141
B: Adres	4754	99.97%	99.69%	3	166
C: Relaties	17861	99.91%	99.59%	10	91
D: Identificatienummers en nationaliteit	8836	99.95%	99.50%	0	112
E: Overige algemene gegevens	3275	99.98%	99.50%	0	121
F: Administratieve gegevens	16474	99.92%	99.40%	2	102

 

Gemeenten met een foutloos resultaat op de bestandscontrole:

Gemeenten zonder fouten uit de bestandscontrole

Ameland

Blaricum

Culemborg

Doesburg

Duiven

Eemnes

Eersel

Goeree-Overflakkee

Hardenberg

Harlingen

Heerde

Heiloo

Loon op Zand

Neder-Betuwe

Oostzaan

Rijssen-Holten

Rozendaal

Sint-Michielsgestel

Soest

Terschelling

Tynaarlo

Urk

Vlieland

Voorst

Vught

Westervoort

Wijdemeren

Woudenberg

Zoeterwoude

Resultaat onderzoek Centrale voorzieningen

 

Hieronder worden de belangrijkste resultaten weergegeven van het onderzoek naar de Inrichting, Werking en Beveiliging van de Centrale Voorzieningen en de Verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is.

Inrichting Centrale Voorzieningen

In onderstaande tabel is het resultaat van het onderzoek per onderdeel van de Centrale Voorzieningen weergegeven in percentage van de maximale score.  

Centrale Voorziening	Score
GBA-V	99,1%
RNI	99,1%
TMV2.0	100,0%
Berichtendienst afnemer	100,0%

Werking Centrale Voorzieningen

Voor de werking is onderscheid gemaakt tussen de technische en de functionele werking van de Centrale Voorzieningen. De technische werking is gemeten aan de hand van beschikbaarheid, responstijden, aantal incidenten en gebruik noodvoorzieningen RNI. De functionele werking aan de hand van synchroniciteit GBA-V, aantal dubbelopnemingen en afhandeling protocolleringsverzoeken. Voor de functionele werking was het niet nodig om zelf deelwaarnemingen te doen. Er is gebruik gemaakt van de bestaande controles uit de Bestandscontrolemodule voor de BRP. Van de 4,8 miljoen persoonslijsten kwam 95,5% kwam foutloos uit de bestandscontrole. 

Foutklasse	Aantal fouten	Percentage foutloos
A: Persoon en overlijden	37.678	99,23%
B: Adres	42.379	99,13%
C: Relaties	38.739	99,20%
D: Identificatienummers en nationaliteit	46.853	99,04%
E: Overige algemene gegevens	6.284	99,87%
F: Administratieve gegevens	69.327	98,57%

Resultaat zelfevaluatie RNI

 

De minister houdt in Nederland voorzieningen in stand voor het inschrijven van niet-ingezetenen en voor het indienen van verzoeken van niet-ingezetenen aan de minister[8]. Die voorzieningen zijn de RNI-loketten. Deze zijn gevestigd in 19 gemeenten bij de afdelingen Publiekszaken/Burgerzaken. Hiervoor is een convenant opgesteld tussen het college van B&W van deze gemeenten en de minister van BZK.

Het onderzoek naar de RNI-loketten is uitgevoerd in de vorm van een zelfevaluatie. De 19 RNI-loketgemeenten moeten jaarlijks een vragenlijst invullen in de kwaliteitsmonitor waarmee getoetst wordt of de bijhouding van de RNI voldoet aan de wettelijk voorschriften en de afspraken in het convenant. De vragen zijn verdeeld over dezelfde zes thema’s als de zelfevaluatie BRP.

Hieronder staan de gemiddelde scores per thema. De scores van de zelfevaluatie RNI in de periode 2018-2021 laat een stabiel beeld zien.

Gemiddelde score RNI-loketgemeenten

Thema	Score %
1. Organisatie van de beveiliging	95,5%
2. Toegangsbeveiliging	93,4%
3. Naleving	99,2%
4. Bijhouding van de BRP	96%
5. Verstrekking van gegevens	100%
6. Aanbeveling	96,8%

 

Grafiek 9 Gemiddelde scores van de BRP per jaar per thema

Nader onderzoek

 

In de samenwerkingsovereenkomst tussen de Autoriteit Persoonsgegevens en de minister van BZK is afgesproken dat de minister jaarlijks een controle uitvoert om het resultaat te valideren. Deze controle wordt uitgevoerd op de beantwoording van de vragenlijst en op de uitvoering van de inhoudelijke controle. De Rijksdienst voor Identiteitsgegevens (RvIG) heeft voor deze controle 60 gemeenten bezocht.

Selectie van gemeenten

De selectie van gemeenten is lange tijd door een gewogen steekproef gedaan. Naar aanleiding van een adviesrapport ter verbetering van de zelfevaluatie is een meerjarenplanning voor de uitvoering van het nader onderzoek vastgesteld. Voor de selectie van gemeente wordt nu afwisselend willekeurig geselecteerd of specifiek geselecteerd. Dit jaar zijn voor de controle van de beantwoording de gemeenten geselecteerd die op een het thema Bijhouding van de BRP een achterblijvend resultaat hebben gescoord. Adviseurs van RvIG hebben tijdens deze bezoeken de betrouwbaarheid van de gegevens antwoorden getoetst. Daarnaast is gekeken naar de wijze waarop de gemeenten aan de eisen hebben voldaan en de achtergrond van eisen waaraan de gemeenten nog niet hebben voldaan.

Voor de controle van de inhoudelijke controle van de persoonslijsten zijn de helft van de gemeenten geselecteerd op basis van een 100% score en de andere helft gemeenten met een score buiten de norm op de hoogste drie foutklassen.  Adviseurs van RvIG hebben tijdens deze bezoeken een deel van de gecontroleerde persoonslijsten zelf gecontroleerd en hun bevindingen vergeleken met de bevindingen van de gemeenten.

Bevindingen controle beantwoording vragenlijst

De bezochte gemeenten vullen over het algemeen de vragen zorgvuldig en naar waarheid in. Gemiddeld is 95% van de vragen overeenkomstig met de bevinding van de adviseurs van RvIG beantwoord. Twee nieuwe vragen binnen dit thema zijn bij een groot deel van de bezochte gemeenten ten onrechte negatief beantwoord.  Daar waar de gemeenten ten onrechte positief geantwoord hebben lag dat meestal aan een onvoldoende uitwerking van de schriftelijke procedures of aan een verschil in kennisniveau tussen invuller van de vragenlijst en de uitvoeringspraktijk. Een voorbeeld is de vraag of terugmeldingen[9] aan andere gemeenten via de Terugmeldvoorziening (TMV) wordt gedaan. Hoewel terugmelden via de TMV meestal in de procedure staat vermeld blijken de medewerkers dit in de praktijk via e-mail of het berichtenverkeer van de BRP te doen.

Bevindingen controle Inhoudelijke controle persoonslijsten

De adviseurs van RvIG hebben op 24% van de gecontroleerde persoonslijsten meer bevindingen gedaan dan de gemeenten. Hierbij is geen verschil tussen de gemeenten met een 100% score en de gemeenten met een normoverschrijding op de foutklassen A, B en C. Beide groepen hadden dezelfde gemiddelde score. Van de 100% scorende gemeenten hebben drie gemeenten de controle niet uitgevoerd. De adviseurs van RvIG hebben vooral vaak vastgesteld dat onderliggende stukken -niet konden worden overgelegd. Verder is vaak bevonden dat mutaties niet volgens de voorgeschreven procedures zijn geregistreerd. De achtergrond is vaak een gebrek aan kennis bij de medewerkers van de gemeente die de controles uitvoeren. De medewerkers gaven tijdens de terugkoppeling ook vaak aan dat ze een gebrek aan tijd hadden om de controle zorgvuldig uit te voeren Veel van de bezochte gemeenten voerden geen standaard eerstelijnscontrole uit.

Monitoring

 

BRP na 2021

vIG geeft opvolging aan de gemeenten die een lage score hebben gerapporteerd bij de zelfevaluatie BRP. Deze opvolging noemt RvIG monitoring.  Op basis van de resultaten van de zelfevaluatie over 2021 zijn gemeenten geselecteerd die gemiddeld onder de 87% hebben gescoord op de thema’s gekoppeld aan wettelijke eisen. Daarnaast zijn gemeenten geselecteerd die bij de inhoudelijke controle een normoverschrijding hebben op de drie hoogste foutklassen. Met deze gemeenten wordt een gesprek gevoerd en als blijkt dat daarvoor aanleiding is een monitoringstraject afgesproken. 49 gemeenten worden gemonitord op basis van de resultaten zelfevaluatie BRP. Inmiddels zijn alle monitoringsgesprekken gevoerd en worden de resultaten geanalyseerd. Uit de eerste analyse komen de onderstaande aanleiding voor het resultaat vaak terug:

• Het vaststellen van een gemeente breed continuïteitsplan is nog niet gerealiseerd.
• Gebrek aan voldoende tijd door personeelsgebrek. Vacatures zijn moeilijk in te vullen.
• De medewerkers die de zelfevaluaties hebben ingevuld deden dit vaak voor het eerst. Gebrek aan kennis en ervaring leidde soms tot te voorzichtig beantwoorden.

Bij de adviseurs die als accountmanager fungeren voor gemeenten is de actie uitgezet om tijdens hun bezoeken de onderwerpen informatiebeveiliging, (testen van) calamiteitenplannen en het oplossen van terugmeldingen te bespreken.

Bijlage 1 Geselecteerde gemeenten monitoringsbezoek

 

De gemeenten een gemiddelde score onder de 87% behaalden zijn bezocht door RvIG.

Gemeente
Aa en Hunze	Mook en Middelaar
Amsterdam	Nijkerk
Arnhem	Nijmegen
Beuningen	Noord-Beveland
Beverwijk	Nuenen c.a.
Brummen	Nunspeet
De Wolden	Oldebroek
Delft	Renkum
Delft	Rheden
Den Haag	Rozendaal
Eemsdelta	Son en Breugel
Eijsden-Margraten	Stichtse Vecht
Ermelo	Tilburg
Haarlem	Utrecht
Harderwijk	Valkenburg aan de Geul
Heemskerk	Valkenburg aan de Geul
Helmond	Venlo
Het Hogeland	Waadhoeke
Hof van Twente	West Maas en Waal
Hoogeveen	Westerwolde
Kampen	Wijdemeren
Landsmeer	Wormerland
Loon op Zand	Zandvoort
Meierijstad	Zeewolde
Midden-Drenthe