Gebruikerstoepassing wallet EU-lidstaat (over de grens):
Ricardo start een bedrijf in Nederland en meldt zich aan bij de KvK

Ricardo komt uit Italië en is in het bezit van een (IT) wallet met een (IT) DBI. Hij wil in Nederland een bedrijf starten en meldt zich hiervoor aan bij de KvK.

De voorwaarden hiervoor zijn:

• Ricardo heeft een Italiaanse wallet ((IT) wallet) met een Italiaanse DBI (IT DBI). Hierbij is de aanname gedaan dat Italië een DBI uitgeeft.
• Ricardo heeft zich in de Registratie Niet Ingezetenen (RNI) ingeschreven en heeft hiermee een BSN en een DBI van Nederland gekregen (NL) DBI.
• Ricardo heeft een NL-bankrekening geopend en een

NL-bankattest met status bevroren (geld zeker drie maanden op rekening). Dit bankattest bevat het banknummer, de hoeveel- heid geld, en is digitaal getekend door de bank.

1. Ricardo opent met zijn telefoon de website van de KvK en logt in met zijn (IT) wallet.

De website genereert een deeplink en toont deze.

2. Ricardo selecteert de deeplink en wordt doorgelinkt naar zijn (IT) wallet.

3. Ricardo opent zijn (IT) wallet met zijn pincode.

De (IT) wallet weet door de deeplink welke attest gedeeld moet worden, namelijk het Nederlandse identiteitsattest. Deze komt uit de (NL) DBI.
De (IT) wallet vraagt of Ricardo akkoord is met het doorsturen van zijn attest.

4. Ricardo geeft akkoord voor het doorsturen van zijn attest en voert zijn pincode in.

Het attest van Ricardo worden doorgestuurd naar de KvK. KvK controleert of de attest integer, authentiek en betrouwbaar zijn en de status geldig is, maar ook of de wallet authentiek en niet gehackt is. Ricardo wordt vervolgens doorgeleid naar de website van KvK.

5. Ricardo opent op de website van KvK de dienst ‘Start een bedrijf’.

De gegevens van het Nederlandse identiteitsattest worden ingeladen en Ricardo vult het formulier met overige gegevens met de hand in. Ook wordt een lijst met attesten getoond die Ricardo verplicht is om met de KvK te delen, zoals een
NL-bankattest.

6. De gegevens van Ricardo worden automatisch met behulp van zijn Nederlandse identiteitsattest ingevuld. Ricardo vult de ontbrekende gegevens in en controleert of hij alle benodigde attesten in zijn (IT) wallet heeft.

Informatie:

Als Ricardo niet in het bezit is van de benodigde attesten dan zal hij deze moeten ophalen.

7. Ricardo geeft akkoord door het invoeren van zijn pincode.

KvK voert technisch allerlei controles uit zoals het controleren van de betrouw- baarheid en aanwezigheid van de benodigde attesten.
Als alles akkoord is dan wordt een deeplink door de website KvK gegenereerd.

8. Ricardo selecteert de deeplink en accepteert dat het ’KvK-attest’ aan zijn (IT) wallet wordt toegevoegd.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 1:
Ayanna maakt afspraak met Buitenlandse Zaken (betrouwbaarheidsniveau substantieel)

Ayanna woont sinds kort in Australië. Zij wil vanuit huis haar DBI aanvragen en uiteindelijk aan haar mobiele (NL) wallet koppelen. Zij heeft haar (NL) wallet al op haar telefoon gedownload. Zij is in de Registratie Niet Ingezetenen (RNI) ingeschreven en dus in het bezit van een BSN.

Voorwaarden:

• Ayanna heeft DigiD met eenmalige identiteitscontrole waarmee haar DigiD het betrouwbaarheidsniveau ‘substantieel’ heeft.
• Ayana heeft haar e-mailadres en haar telefoonnummer toegevoegd aan ‘Mijn DigiD’.
• De (NL) wallet kent twee verschijningsvormen: cloud-based en mobiel. In deze klantreis wordt tijdens stap ‘b’ een cloud-based (NL) wallet beschikbaar gesteld aan Ayanna.

In stap ‘c’ wordt de mobiele (NL) wallet gekoppeld aan de cloud- based (NL) wallet en aan de DBI van Ayanna.

1. Ayanna gaat via haar telefoon naar de website van NL Wereldwijd (24/7) om een afspraak te maken voor het aanvragen van haar DBI (en cloud-based (NL) wallet).

2. Ayanna logt in met haar DigiD-app op haar telefoon.
Dit is een inlogmiddel op betrouwbaarheidsniveau substantieel (zie voorwaarden).

Informatie: Afhankelijk van het betrouwbaarheidsniveau van het inlogmiddel wordt bepaald welke stappen gevolgd moeten worden. Hoe hoger het niveau hoe minder stappen er nodig zijn voor identifica- tie en authenticatie.

DigiD stuurt het e-mailadres en telefoonnummer van Ayanna naar NL Wereldwijd. NL Wereldwijd zoekt in de BRP naar de persoonsgegevens van Ayanna en toont deze op het scherm. Daarnaast worden de mogelijkheden van afspraken getoond.

3. Ayanna selecteert een datum en tijdstip, bevestigt deze en sluit de pagina.

NL Wereldwijd voert een aantal controles. Bij akkoord wordt een bevestiging van de afspraak per sms naar Ayanna gestuurd.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 2:
Ayanna heeft een afspraak met Buitenlandse Zaken voor uitgeven DBI en het activeren van haar cloud-based wallet

Ayanna heeft een link via een sms ontvangen.

15 minuten voor aanvang afspraak:

1. Ayanna selecteert de link en wordt doorgeleid naar de NL Wereldwijd-website.

2. Zij logt in met haar DigiD-app.

NL Wereldwijd heeft in een eerder stadium het telefoonnummer van Ayanna ontvangen van DigiD en stuurt Ayanna een sms met een controlewoord.

3. Ayanna voert het controlewoord op de NL Wereldwijd-website in.

Ayanna wordt doorgeleid naar de afspraak en gevraagd om haar camera te activeren.

4. Ayanna activeert haar camera en de medewerker van NL Wereldwijd is zichtbaar in beeld.

Ayanna ontvangt een verzoek voor overname van haar camera en het maken van een gezichtsopname door de medewerker.

5. Ayanna accepteert het verzoek en de medewerker maakt een foto van Ayanna.

Om de identiteit vast te stellen wordt de gemaakte foto met de foto in de database van het RAAS vergeleken. Na een positief resultaat stelt de medewerker enkele controlevragen en wordt Ayanna gevraagd haar hoofd te bewegen.

6. Ayanna beantwoordt de vragen en beweegt met haar hoofd.

Als alle controles positief zijn en de identiteit is vastgesteld dan activeert de medewerker de cloud-based wallet en koppelt de DBI van Ayanna aan de cloud-based (NL) wallet.
De afspraak is hiermee voltooid.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 3:
Ayanna koppelt haar DBI vanuit haar cloud- based (NL) wallet aan haar mobiele (NL) wallet op haar mobiele telefoon

Voorwaarde: de cloud-based wallet is onderdeel van ‘Mijn Overheid’.

1. Ayanna logt met haar DigiD-app op haar telefoon in op Mijn Overheid.

Mijn Overheid genereert een deeplink om haar (NL) wallet te activeren en haar DBI op te halen.

2. Ayanna selecteert de deeplink in Mijn Overheid en wordt naar haar mobiele (NL) wallet doorgelinkt.

3. Ayanna opent haar mobiele (NL) wallet en voert de pincode in.

Mijn Overheid stuurt een sms met controlewoord.

4. Ayanna leest de sms en voert het controlewoord in.

De mobiele wallet wordt veilig gekoppeld aan de cloud-based wallet en aan de DBI van Ayanna. Hierna is de (NL) wallet geactiveerd op haar mobiele telefoon. Ayanna ontvangt een bericht in de mobiele (NL) wallet dat zij haar DBI uit de cloud-based wallet kan downloaden.

5. Ayanna geeft akkoord om deze te downloaden. Zij voert vervolgens haar pincode in.

De DBI is gekoppeld aan haar mobiele (NL) wallet. Een exemplaar blijft in de cloud-based wallet beschikbaar. Het voordeel hiervan is dat Ayanna bij verlies of wisseling van haar telefoon haar DBI zonder tussenkomst van de overheid kan downloaden in de (NL) wallet van haar nieuwe mobiele telefoon.

Gebruikerstoepassing vertegenwoordiging en status attest verandert:
Ahmed koopt de auto van de moeder van Kees en schrijft deze over

Ahmed wil de auto kopen van de moeder van Kees. De auto wordt overgeschreven en op naam van Ahmed gezet.

De voorwaarden om dit te kunnen doen zijn:

• Kees mag namens zijn moeder handelingen verrichten. Daartoe heeft hij een machtigings-attestatie in zijn (NL) wallet.
• De auto is van 2015 en hiermee bestaat het kentekenbewijs uit 2 delen: het kentekenbewijs en het bewijs tenaamstelling met 4-cijferige code. Deze bewijzen heeft Kees al in de vorm van een attest in zijn (NL) wallet.
• De laatste 5 cijfers heeft de moeder Kees destijds apart in een brief van de RDW ontvangen.

1. Ahmed opent met zijn telefoon de website van de RDW en logt met zijn (NL) wallet in.

Ahmed selecteert de mogelijkheid om een auto op zijn naam over te schrijven. De website genereert een deeplink en toont deze.

2. Ahmed selecteert de deeplink en wordt doorgelinkt naar zijn (NL) wallet.

3. Ahmed opent zijn (NL) wallet met zijn pincode.

De (NL) wallet weet door de deeplink welk gegeven met RDW gedeeld moet worden, namelijk de DBI van Ahmed. De (NL) wallet vraagt of Ahmed akkoord is met het doorsturen daarvan.

4. Ahmed geeft akkoord en voert zijn pincode in.

De gegevens van Ahmed worden doorgestuurd naar de RDW. RDW controleert geautomatiseerd of de gegevens integer, authentiek, betrouwbaar zijn en de status ‘geldig’ hebben, maar ook of de wallet authentiek en niet gehackt is.

5. Ahmed selecteert op de website van de RDW de dienst “Voertuig overschrijven”.

De gegevens uit de DBI van Ahmed worden ingeladen en Ahmed vult het formulier met overige gegevens met de hand in.

6. Ahmed vult het emailadres en telefoonnummer van Kees in.

RDW voert technisch allerlei controles uit zoals het controleren van de betrouwbaarheid en aanwezigheid van de benodigde bewijzen. Als alles akkoord is dan wordt een deeplink door de website RDW gegenereerd die naar Kees via de mail of sms wordt gestuurd.

7. Kees opent zijn mail en selecteert de deeplink.

8. Kees wordt doorgelinkt naar zijn (NL) wallet en opent deze met zijn pincode.

De (NL) wallet weet door de deeplink welke gegevens gedeeld moeten worden, namelijk de DBI van Kees, de verklaring tenaamstelling, het kentekenbewijs en het bewijs dat zijn moeder hem heeft gemachtigd namens haar rechts­ handelingen mag verrichten

9. Kees geeft aan zijn DBI en de gevraagde bewijzen met de RDW te willen delen en voert de vijf-cijferige code van het bewijs tenaam- stelling in en daarna zijn pincode.

De gegevens worden doorgestuurd naar de RDW. RDW controleert of de gegevens integer, authentiek, betrouwbaar is en de status ‘geldig’ heeft, maar ook of de wallet authentiek en niet gehackt is.
Achmed ontvangt in zijn (NL) wallet het bericht dat de volgende nieuw opgestelde bewijzen klaarstaan: bewijs tenaamstelling en het kentekenbewijs.

10. Ahmed accepteert en wordt gevraagd eerst voor de overschrijving te betalen.

11. Ahmed betaalt met IDEAL en wordt doorgeleid naar de bewijzen.

De (NL) wallet weet door de deeplink welk bewijzen ontvangen moeten worden. De (NL) wallet vraagt of Ahmed akkoord is met het ontvangen daarvan.

12. Ahmed geeft aan de bewijzen te willen ontvangen en voert zijn pincode in.

RDW creëert een deeplink die naar de (NL) wallet van Kees wordt gezonden.

13. Ahmed selecteert de deeplink en accepteert dat het bewijs tenaamstelling met 4-cijferige code en het kentekenbewijs aan zijn (NL) wallet worden toegevoegd.

Nadat Ahmed heeft geaccepteerd en de bewijzen zijn toegevoegd aan zijn (NL) wallet, hebben het bewijs tenaamstelling en kentekenbewijs in de (NL) wallet van Kees de status inactief gekregen en ontvangt Kees het bewijs van vrijwaring van de auto. Ahmed ontvangt bericht als Kees het bewijs van vrijwaring heeft geaccepteerd. Daarnaast ontvangt Ahmed een brief van de RDW met de vijf­cijferige code die hij moet gebruiken bij het overschrijven van de auto

Gebruikerstoepassing Aanvraag en uitgifte deel 1:
Sam installeert zijn (NL) wallet thuis

Het koppelen van de DBI aan de (NL) wallet kan aan de balie van een uitgevende instantie zoals een gemeente plaatsvinden.

Hiervoor installeert Sam vooraf thuis op de bank de (NL) wallet en maakt een afspraak bij de uitgevende instantie van zijn woonplaats.

Sam doorloopt de volgende stappen thuis:

1. Sam downloadt de (NL) wallet in de App Store of Google Play.
2. Sam opent de (NL) wallet en leest de uitleg over de app.
3. Sam leest de instructies.
4. Sam accepteert de gebruikersvoorwaarden.
5. Sam stelt een PIN-code in voor zijn (Nl) wallet.
6. Sam maakt een afspraak bij de gemeente om zijn (NL) wallet te koppelen aan zijn (NL) wallet aan de gemeentebalie.

Gebruikerstoepassing Aanvraag en uitgifte deel 2:
Sam koppelt zijn DBI aan zijn (NL) wallet aan de gemeentebalie

Na het instaleren van de (Nl) wallet gaat Sam naar de gemeente om zijn (NL) wallet aan zijn DBI te koppelen.

Met een geldig identiteitsdocument kan Sam zich aan de balie identificeren. Daar wordt bijvoorbeeld de live gemaakte gezichtsopname vergeleken met de foto die is opgenomen in de chip van zijn identiteitsdocument. Na het succesvol doorlopen van het verificatieproces wordt de DBI aan de (NL) wallet gekoppeld.

Een voorwaarde om dit proces te kunnen doorlopen is dat Sam is ingeschreven in de BRP en een Nederlandse nationaliteit heeft. En dat Sam in het bezit is van een Nederlands paspoort.

Sam doorloopt de volgende stappen aan de gemeentebalie:

1. Sam opent thuis de (NL) wallet met zijn pincode en leest de instructies over wat hij voor de afspraak moet meenemen.

2. Sam gaat naar de gemeente en loopt als hij aan de beurt is naar de balie. Hij opent zijn (NL) wallet met zijn pincode en leest de instructies of volgt de instructies van de medewerker van de gemeente op.

3A. Sam overhandigt zijn paspoort/identiteitskaart.

De medewerker van de gemeente controleert of het paspoort/ de identiteitskaart bij Sam hoort.

3B. De medewerker van de gemeente leest de chip van het paspoort/de identiteitskaart uit. Dit gebeurt volgens internationale standaarden.

3C. De medewerker van de gemeente voert controles uit.

4. Sam laat door de webcam op de balie een foto-opname van zijn gezicht maken. De opname wordt biometrisch vergeleken met de foto op de chip van het paspoort/de identiteitskaart.

De medewerker van de gemeente controleert of de biometrische vergelijking goed is verlopen en geeft opdracht in de DBI-voorziening voor de uitgifte DBI voor Sam. De sleutel naar de authentieke bron wordt door de DBI-voorziening opgehaald.

5. Sam vervolgt de stappen van de (NL) wallet. De (NL) wallet genereert een code.

De medewerker van de gemeente voert de code in. Er wordt een draadloze beveiligde verbinding gemaakt tussen de DBI-voorziening en de (NL) wallet.
Na sleuteluitwisseling tussen de (NL) wallet en de DBI-voorziening ontvangt Sam de vraag om zijn pincode in te voeren.

6. Sam voert zijn pincode in en geeft toestemming om de DBI aan zijn (NL) wallet te koppelen.

De medewerker ontvangt een bericht in de DBI-voorziening als de controles en koppeling positief zijn verlopen. Na controle bevestigt de medewerker dat alles in orde is. Registratie van uitgifte DBI en activatie (NL) wallet van Sam vindt plaats.

Sam kan nu zijn (NL) wallet gebruiken.

In Europees verband wordt gewerkt aan een digitale identiteit. De digitale bronidentiteit (DBI) is een digitale identiteit voor gebruik in de publieke en private sector. De DBI wordt door de overheid uitgegeven en moet worden vastgelegd in wet- en regelgeving.

Doel van het onderzoek

Managementsamenvatting

Alle Nederlandse gemeenten, grensgemeenten en de openbare lichamen hebben in 2022 de zelfevaluatie Reisdocumenten uitgevoerd. Dit is een verplicht jaarlijks onderzoek dat is gericht op de toepassing van de beveiligingsmaatregelen en overige aspecten van het aanvraag- en uitgifteproces van reisdocumenten. De zelfevaluatie wordt uitgevoerd aan de hand van een vragenlijst. In dit rapport staat het resultaat van het onderzoek in 2022.

Het doel van de zelfevaluatie is om de gemeenten en openbare lichamen inzicht te geven of de werkprocessen volgens de wet- en regelgeving zijn ingericht en worden uitgevoerd en of de beveiliging van het aanvraag- en uitgifteproces voldoet. De resultaten van deze zelfevaluaties worden gerapporteerd aan de minister van Binnenlandse Zaken en Koninkrijksrelaties. In deze rapportage worden achtereenvolgens de opzet van het onderzoek beschreven, de gezamenlijke resultaten van de zelfevaluaties weergegeven en de acties voor kwaliteitsbevordering benoemd die de Rijksdienst voor Identiteitsgegevens (RvIG) uitvoert naar aanleiding van de resultaten.

Reisdocumenten-processen en ENSIA

In 2017 is de ENSIA (Eenduidige Normatiek Single Information Audit) ingevoerd waarbij de vragen over informatieveiligheid zijn overgeheveld van de vragenlijst reisdocumenten naar de ENSIA-vragenlijst. De ENSIA-vragen worden in de ENSIA-tool beantwoord. De overgebleven vragen zijn specifieke vragen over de reisdocumentenprocessen die in de Kwaliteitsmonitor worden beantwoord. De openbare lichamen voeren ENSIA niet uit, zij beantwoorden de informatieveiligheidsvragen in de Kwaliteitsmonitor.

Resultaat van de zelfevaluatie

In vijf verschillende thema’s zijn de vragen ondergebracht over eisen uit wet- en regelgeving. Voor deze thema’s met wettelijke verplichtingen moet worden gestreefd naar een 100% score. In het zesde thema zijn de vragen ondergebracht naar aanvullende kwaliteitsmaatregelen. Dit zijn aanbevelingen die niet verplicht zijn. In de tabel hieronder staan de zes thema’s met het totaalresultaat van alle gemeenten, grensgemeenten en openbare lichamen en het aantal van hen dat een 100% score heeft behaald per thema.

Resultaat per thema

THEMA	SCORE Gemiddeld percentage	100% score Gemeenten (van 344)	100% score Grensgemeenten (van 12)	100% score Openbare lichamen (totaal 3)
1. Organisatie van de beveiliging	95,7%	219	6	1
2. Toegangsbeveiliging	96,5%	228	9	1
3. Naleving	91,3%	162	4	1
4. Aanvraag- en uitgifteproces	97,8%	257	7	0
5. Overig proces reisdocumenten	98,3%	295	10	3
6. Aanbeveling	91,4%	112	10	0

De thema’s 1 tot en met 3 bevatten de informatieveiligheidsvragen. De thema’s 4 tot en met 6 bevatten vragen over de processen rondom de reisdocumenten. Hoewel gestreefd moet worden naar 100% score op de thema’s 1 tot en met 5 is het behalen daarvan een uitdaging voor de meeste gemeenten. Van de 344 gemeenten behaalden er 97 een score van 100% op de eerste vijf thema’s (eisen) en behaalden 39 gemeenten een 100% score op alle thema’s.

Nader onderzoek door de minister

De Rijksdienst voor Identiteitsgegevens (RvIG) heeft namens de minister 60 gemeenten en alle 3 de openbare lichamen bezocht voor een nader onderzoek naar de betrouwbaarheid van het resultaat van de zelfevaluatie. Deze gemeenten zijn geselecteerd door middel van een gewogen steekproef. Allereerst zijn de gemeenten op basis van inwoneraantal ingedeeld in drie groepen: kleine, middelgrote en grote gemeenten. Vervolgens zijn uit elke groep willekeurig 20 gemeenten geselecteerd. RvIG heeft bij zijn bezoek gevraagd naar bewijsstukken en mondelinge onderbouwing op de gegeven antwoorden. Het algemene beeld van deze bezochte gemeenten is dat zij zorgvuldig omgaan met de uitvoering van de zelfevaluatie. Gemiddeld zijn 91% van de antwoorden van gemeenten in overeenstemming met de bevindingen van RvIG. Op de openbare lichamen stemde 95% van de antwoorden overeen. Daar waar de beantwoording niet overeenstemde was in de meeste gevallen sprake van een te positieve voorstelling van de praktijksituatie. De beschreven procedures voldeden in die gevallen vaak wel aan de eisen, maar uit de toelichting bleek dat de procedures niet consequent worden nageleefd.

Inleiding

De Nederlandse paspoorten en identiteitskaarten dragen bij aan de betrouwbare identificatie van personen. Het Nederlandse paspoort en de Nederlandse Identiteitskaart behoren, door de toepassing van een groot aantal verschillende echtheidskenmerken, tot de best beveiligde documenten ter wereld. Ook de beveiliging rondom de verstrekking en het beheer van deze documenten is van groot belang. Een jaarlijkse controle op de toepassing van de beveiligingsmaatregelen is geregeld in de Paspoortwet.

In 2022 hebben alle 344 gemeenten, 12 grensgemeenten en 3 openbare lichamen (totaal 359) een onderzoek uitgevoerd naar de toepassing van de beveiligingsmaatregelen, genoemd in de Paspoortuitvoeringsregeling Nederland, en de overige aspecten van het aanvraag- en uitgifteproces reisdocumenten. Deze zelfevaluatie Reisdocumenten wordt uitgevoerd door het invullen van een vragenlijst. Het doel van de zelfevaluatie is om de gemeenten en openbare lichamen inzicht te geven of de werkprocessen volgens de wet- en regelgeving zijn ingericht en worden uitgevoerd en of de beveiliging van het aanvraag- en uitgifteproces voldoet. De resultaten van deze zelfevaluaties worden gerapporteerd aan de minister van Binnenlandse Zaken en Koninkrijksrelaties.

In deze rapportage worden achtereenvolgens de opzet van het onderzoek beschreven, de gezamenlijke resultaten van de zelfevaluaties weergegeven, de resultaten van het Nader onderzoek en de acties voor kwaliteitsbevordering benoemd die de Rijksdienst voor Identiteitsgegevens (RvIG) uitvoert naar aanleiding van de resultaten.

Opzet van de zelfevaluatie

Door het invullen van de vragenlijst krijgen de gemeenten en openbare lichamen inzicht in de werking en beveiliging van het reisdocumentenproces. De vragen die volgen uit wet- en regelgeving , Baseline Informatiebeveiliging Overheid (BIO), en circulaires zijn onderverdeeld in vijf thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Met iedere vraag kunnen punten worden gescoord, de score per thema wordt uitgedrukt in het percentage van het maximaal haalbare punten. Gemeenten en openbare lichamen streven naar een 100% score op de thema’s die volgen uit wet- en regelgeving.

De thema’s waarover gerapporteerd wordt zijn:

1. Organisatie van de beveiliging
2. Toegangsbeveiliging
3. Naleving
4. Aanvraag- en uitgifteproces reisdocumenten
5. Overig proces reisdocumenten
6. Aanbeveling

Verloop cyclus zelfevaluatie

De cyclus van de zelfevaluatie startte op 1 juli 2022 met het beschikbaar stellen van beide vragenlijsten (Reisdocumenten en ENSIA). Vanaf 1 december 2022 konden de gemeenten en openbare lichamen de ingevulde vragenlijst definitief maken in de applicatie Kwaliteitsmonitor . Een uittreksel daarvan is vervolgens ondertekend door de burgemeester van de gemeente of gezaghebber van het openbare lichaam, waarna de resultaten zijn verzonden aan de minister van BZK.

Nader onderzoek door de minister

RvIG heeft 60 gemeenten en alle 3 de openbare lichamen geselecteerd voor het nader onderzoek naar de betrouwbaarheid van de uitvoering van de zelfevaluatie. Tijdens deze bezoeken wordt door adviseurs van RvIG de beantwoording van een deel van de vragen uit de zelfevaluatie onderzocht. De adviseurs verzoeken om bewijsstukken en mondelinge onderbouwing van de gegeven antwoorden op een selectie van vragen uit de zelfevaluatie.

Resultaten zelfevaluatie

In dit hoofdstuk staan de resultaten van alle onderdelen van de zelfevaluatie Reisdocumenten 2022 voor de doelgroepen gemeenten, grensgemeenten en openbare lichamen. Allereerst volgt voor elke   doelgroep een overzicht van het totaalresultaat van het onderzoek per thema. En wordt er een vergelijking gemaakt over de afgelopen 5 jaar, voor zover mogelijk. Daarna volgen de resultaten per thema.

Resultaat onderzoek gemeenten

De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De gemeenten behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 91,4% en 99% van de maximale score (zie grafiek 1). Op het thema Aanbeveling halen de gemeenten gemiddeld 82,1% van de maximale score. De scores van de zelfevaluatie Reisdocumenten in de periode 2018-2022 laat een stabiel beeld zien met een lichte stijging voor de meeste thema’s (zie grafiek 3). ). De terugval van de gemiddelde score op het thema aanbeveling dit jaar is veroorzaakt door toevoeging van een nieuwe vraag waardoor de verdeling van de te behalen punten is gewijzigd.

Grafiek 1 Score per thema in gemiddeld percentage

Van de 344 gemeenten behaalden er 97 een score van 100% op de eerste 5 thema’s (eisen) en behaalden 39 gemeenten een 100% score op alle thema’s.

Grafiek 2 Aantal gemeenten met een 100% score per thema

Grafiek 3 Gemiddelde score per thema afgelopen 5 jaar thema

Resultaat grensgemeenten

Het resultaat geeft het beeld dat 12 grensgemeenten grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De grensgemeenten behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 88,6% en 97,8,0% van de maximale score (zie grafiek 4). Vanwege de grote wijziging in de opzet is geen vergelijking met voorgaande jaren gemaakt.

Op het thema Aanbeveling scoren de grensgemeenten gemiddeld 92,7% van de maximale score. Door de vermindering van het aantal vragen is het effect van een antwoord groter dan bij de uitgebreide vragenlijst voor gemeenten. 1 van de 12 grensgemeenten scoort 100% op alle thema’s. Op de meeste thema’s scoort meer dan de helft van de grensgemeenten 100% (zie grafiek 5).

In 2021 is een grote wijziging doorgevoerd in de vragenlijsten van de 12 grensgemeenten. Dit zijn gemeenten waar Nederlanders die niet in Nederland staan ingeschreven een document kunnen aanvragen. Deze vragenlijst bevatte tot 2021 dezelfde vragen als de vragenlijst voor gemeenten, uitgebreid met de specifieke vragen over de speciale taken van de grensgemeenten. Dit betekende voor de grensgemeenten dat veel vragen twee keer werden beantwoord; een keer in de vragenlijst voor gemeenten en een keer in de vragenlijst voor grensgemeenten. Sinds 2021 is de vragenlijst voor de grensgemeenten daarom teruggebracht naar uitsluitend de specifieke vragen. Een vijfjaren grafiek geeft door deze wijziging een vertekend beeld en tonen we daarom niet.

Grafiek 4 Score grensgemeenten per thema in gemiddeld percentage

Grafiek 5 Aantal grensgemeenten met een 100% score per thema

Resultaat openbare lichamen

De 3 openbare lichamen laten op basis van de zelfevaluatie een mindere score zien dan de gemeenten. De openbare lichamen behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 90,2% en 100% van de maximale score (zie grafiek 6). Op het thema Aanbeveling halen de openbare lichamen gemiddeld 79%. De scores van de zelfevaluatie in de periode 2018-2022 laten een beeld zien met vooral een dip in 2021 en een herstel in 2022 voor alle thema’s (zie grafiek 7). Geen van de openbare lichamen voldoet 100% aan alle thema’s gekoppeld aan wet- en regelgeving.

Grafiek 6 Score openbare lichamen per thema in gemiddeld percentage

Grafiek 7 Resultaat zelfevaluatie openbare lichamen 2018-2022

Resultaat per thema

Thema Organisatie van de beveiliging

Binnen het thema Organisatie van de beveiliging beantwoorden de gemeenten en openbare lichamen vragen over de organisatie van de informatieveiligheid en de beveiligingsprocedures van het reisdocumentenproces. De gemiddelde score op dit thema is 96,0% van de maximale punten binnen dit thema. Ruim twee derde voldoet aan alle beveiligingseisen, 226 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores variëren van 55% tot 100% (zie grafiek 8).

Grafiek 8 Aantal gemeenten per score thema Organisatie van de beveiliging

Binnen het thema Organisatie van de beveiliging worden vragen gesteld over de onderstaande onderwerpen:

• Mandatering van de bevoegdheden
• Schriftelijke beveiligingsprocedure
• Vastgesteld Informatiebeveiligingsbeleid
• Aanwijzen functies
• Beveiligingsmaatregelen tegen onheil en ontvreemding
• Functiescheiding
• Beveiligingsmaatregelen voor mobiele apparatuur
• Beveiligingsbewustzijn medewerkers 
• Gedocumenteerde bedieningsprocedures
• Back-up-beleid
• Geheimhoudingsverklaringen
• Calamiteiten- en continuïteitsplannen

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 3 vragen uit dit thema gemeten. De vraag over de functiescheiding werd door 28% van de 60 bezochte gemeenten ten onrechte positief beantwoord. Vooral het naleven van de vereiste functiescheiding leidde tot deze beoordeling. De functiescheiding is wel vastgelegd in de procesbeschrijving van de gemeenten. De andere vragen die bij het nader onderzoek zijn beoordeeld gingen over beveiligingsbewustzijn en training van medewerkers. Die werden door 7,5% van de 60 bezochte gemeenten ten onrechte positief beantwoord.

Grafiek 9 Gemiddelde score thema Organisatie van de beveiliging 2018-2022

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en goed (zie grafiek 9).

Thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging beantwoorden de gemeenten en openbare lichamen vragen over fysieke en logische toegangsbeveiliging. De gemiddelde score is 96,5% van de maximale score binnen dit thema. Ruim 64% voldoet aan alle eisen, 228 van de 359 van de gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores variëren van 73,8% tot 100% (zie grafiek 10).

Grafiek 10 Aantal gemeenten per score thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging worden vragen gesteld over de onderstaande onderwerpen:

• Opslag van reisdocumenten
• Kluis
• Inbraakalarmsysteem
• Verwijderinstructie
• Opslag van vertrouwelijke informatie
• Procedure transport van media
• Classificering van de koeriers en transporteurs
• Logische toegangsbeveiliging
• Beheer van gebruikersautorisaties
• Controle op de toegangsrechten
• Isoleren van informatie
• Wachtwoordeisen
• Beveiligingszones
• Meldingsprocedure van beveiligingsrisico's
• Sleutelbeheer
• Procedures voor werken in beveiligde gebieden
• Gebruik van apparatuur buiten het gemeentehuis
• (Automatisch) vergrendelen van werkplekken

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. Deze vraag gaat over het toepassen van een risicoafweging bij het toekennen van de autorisaties. De vraag werd door 23% van de bezochte gemeenten ten onrechte positief beantwoord.

Grafiek 11 Gemiddelde score thema Toegangsbeveiliging 2018-2022

De gemiddelde score van alle gemeenten op dit thema laat de afgelopen 5 jaar een stijgende lijn zien (zie grafiek 11).

Thema Naleving

Binnen het thema Naleving beantwoorden de gemeenten en openbare lichamen vragen over uitvoering en opvolging van verplichte controles. De gemiddelde score op dit thema is 91,4%. Minder dan de helft voldoet niet aan alle eisen, 168 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De spreiding van de individuele scores van gemeenten varieert van 44% tot 100% (zie grafiek 12).

Grafiek 12 Aantal gemeenten per score thema Naleving

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

• Updaten van systemen
• Beveiligingsrapportage
• Procedure bij ontvreemding, vermissing of vernietiging van documenten
• Verwerkersovereenkomsten met leveranciers
• Beoordelen prestaties leveranciers
• Incidentmelding
• Testen van continuïteitsplannen
• Vertaling van wetgeving naar maatregelen
• Controle op verwerking van persoonsgegevens
• Vastgesteld auditplan
• Jaarlijkse controle van informatiesystemen

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. Deze vraag gaat over de bekendheid van medewerkers met de meldingsprocedure voor incidenten. De vraag werd door 7% van de bezochte gemeenten ten onrechte positief beantwoord.

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en redelijk (zie grafiek 13).

Grafiek 13 Gemiddelde score thema Naleving 2018-2022

Thema Aanvraag- en uitgifteproces

Binnen het thema Aanvraag- en uitgifteproces beantwoorden de gemeenten en openbare lichamen vragen over specifieke handelingen bij het proces van aanvragen en uitgifte van reisdocumenten. De gemiddelde score is 97,8% van de maximale score binnen dit thema. Bijna driekwart voldoet aan alle eisen, 264 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De spreiding van de individuele scores van gemeenten varieert van 63,8% tot 100% (zie grafiek 14).

Grafiek 14 Aantal gemeenten per score thema Aanvraag- en uitgifteproces

Binnen het thema Aanvraag- en uitgifteproces worden vragen gesteld over de onderstaande onderwerpen:

• Controle van verblijfsdocumenten
• Controle van de pasfoto's
• Uitreiken na verhuizing
• Identiteitsvaststelling
• Onderzoek bij twijfel aan de identiteit
• Controle op bezit van buitenlandse reisdocumenten
• Vaststellen aanspraak op tweede paspoort
• Verklaring van toestemming
• Opnemen van vingerafdrukken
• Toetsen van voorwaarden voor de aanvraag
• Periode waarin beslissing op de aanvraag wordt genomen
• In ontvangst nemen van de leveringen

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. Deze vraag gaat over de ontvangst van de leveringen. De vraag werd door 5% van de bezochte gemeenten ten onrechte positief beantwoord.

Grafiek 15 Gemiddelde score thema Aanvraag- en uitgifteproces 2018-2022

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en goed (zie grafiek 15).

Thema Overig proces reisdocumenten

Binnen het thema Overig proces reisdocumenten beantwoorden de gemeenten en openbare lichamen vragen over specifieke uitvoeringsprocedures rondom het proces van aanvragen en verstrekken van reisdocumenten. De gemiddelde score is 99% van de maximale score binnen dit thema. Het overgrote deel voldoet aan alle eisen, 308 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores van gemeenten variëren van 60% tot 100% (zie grafiek 16).

Grafiek 16 Aantal gemeenten per score thema Overig proces reisdocumenten

Binnen het thema Overig proces reisdocumenten worden vragen gesteld over de onderstaande onderwerpen:

• Onbruikbaar maken van reisdocumenten
• Controle van ingeleverde reisdocumenten
• Definitieve onttrekking van reisdocumenten
• Vernietiging van reisdocumenten
• Vermissing van reisdocumenten uit de voorraad
• Aangifte van vermissing
• Archivering van dossierstukken
• Aan het verkeer onttrekken van vervallen reisdocumenten
• Gebruik van de signaleringslijst
• Signaleringsprocedure
• Contact met RvIG
• Gevonden reisdocumenten
• Acties bij vermoeden van fraude met een reisdocument

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 3 vragen uit dit thema gemeten. De vraag over de acties bij vermissing van een reisdocument uit de voorraad werd door alle bezochte gemeenten ten onrechte positief beantwoord. De vragen over de Signaleringsprocedure en de acties bij vermoeden van fraude met een reisdocument werden beide door 1 van de 60 gemeenten ten onrechte positief beantwoord.

Grafiek 17 Gemiddelde score thema Overig proces reisdocumenten 2018-2022

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en goed (zie grafiek 17).

Thema Aanbeveling

Binnen het thema Aanbeveling beantwoorden de gemeenten en openbare lichamen vragen over aanvullende beheersmaatregelen rondom het reisdocumentenproces. Omdat de vragen in dit thema niet direct volgen uit wet- en regelgeving zijn de gemeenten en openbare lichamen niet verplicht deze maatregelen te nemen. De gemiddelde score is 82,4% van de maximale score binnen dit thema. 128 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores variëren van 20% tot 100% (zie grafiek 18).

Grafiek 18 Aantal gemeenten per score thema Aanbeveling 

Binnen het thema Aanbeveling worden vragen gesteld over de onderstaande onderwerpen:

• Onderwerpen in het beveiligingsplan
• Toetsen van de juiste uitvoering van taken
• Wijzigen pincode van de identificatiekaart
• Vaststellen echtheid van documenten
• Voorraadcontrole
• Maatregelen tegen agressie en geweld
• Alarmopvolging
• De bekendheid met de circulaire Verbeterimpuls identiteitsvaststelling

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 4 vragen uit dit thema gemeten. De vraag over de toetsing van de juiste uitvoering van taken werd door 16% van de gemeenten ten onrechte positief beantwoord. De vraag over het wijzigen van de pincode werd door 8% van de gemeenten ten onrechte positief beantwoord. De vraag over de bekendheid met de circulaire Verbeterimpuls identiteitsvaststelling werd door 3% van de gemeenten ten onrechte positief beantwoord. De vraag over het vaststellen van de echtheid van documenten werd door alle gemeenten terecht positief beantwoord.

Grafiek 19 Gemiddelde score thema Aanbeveling 2018-2022.

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en redelijk (zie grafiek 19). De terugval van de gemiddelde score dit jaar is veroorzaakt door toevoeging van een nieuwe vraag waardoor de verdeling van de te behalen punten is gewijzigd.

Nader onderzoek

RvIG heeft 60 gemeenten en alle 3 de openbare lichamen bezocht ten behoeve van het nader onderzoek naar de betrouwbaarheid van uitvoering van de zelfevaluatie. Tijdens deze bezoeken is door adviseurs van RvIG met de deelnemers de beantwoording van een deel van de vragen uit de zelfevaluatie nader onderzocht. De adviseurs verzochten om bewijsstukken en mondelinge onderbouwing van de gegeven antwoorden op alle vragen uit het thema Aanvraag- en uitgifteproces. Op basis van dit onderzoek stelden de adviseurs vast of de gegeven antwoorden overeenstemden met de eigen bevindingen.

Interviews

Tijdens de bezoeken is gesproken met de volgende functionarissen:

• Leidinggevende/afdelingshoofd Burger- of Publiekszaken;
• Coördinator vragenlijst zelfevaluatie;
• Medewerker aanvraag- en uitgifteproces reisdocumenten;
• Medewerker backoffice reisdocumenten;
• ENSIA-coördinator;
• Beveiligingsfunctionaris.

Selectie van gemeenten

De selectie van gemeenten is door een gewogen steekproef gedaan. De gemeenten zijn aan de hand van het aantal inwoners eerst ingedeeld in drie strata;

Stratum 1: minder dan 25.000 inwoners

Stratum 2: tussen 25.000 en 50.000 inwoners

Stratum 3: meer dan 50.000 inwoners

Uit ieder stratum zijn 20 gemeenten willekeurig geselecteerd. Omdat de openbare lichamen tot nog toe niet werden bezocht voor een nader onderzoek is gekozen om hen alle 3 te bezoeken.

Selectie van vragen

De vragen die zijn getoetst bij het Nader onderzoek zijn niet willekeurig maar risico-gedreven geselecteerd. De vragen die zijn geselecteerd hebben allemaal een directe relatie met geconstateerde fraude en fouten waarover de staatssecretaris de Kamer informeerde in 2022. De vragen zijn bijgevoegd in bijlage 2.

Betrouwbaarheidsscore

Gemiddeld zijn 91% van de antwoorden van gemeenten in overeenstemming met de bevindingen van de adviseurs beantwoord, bij de openbare lichamen was 95% van de antwoorden in overeenstemming. Het algemene beeld van de bezochte 60 gemeenten is dat zij zorgvuldig omgaan met de uitvoering van de zelfevaluatie. Bij de antwoorden die niet in overeenstemming met de bevindingen van de adviseurs van RvIG waren beantwoord was de achtergrond het meest in een te positieve voorstelling van de praktijksituatie. De beschreven procedures voldeden in die gevallen vaak wel aan de eisen maar in de praktijk worden de procedures niet consequent nageleefd.

Monitoring 2022

RvIG geeft opvolging aan de gemeenten die een lage score hebben gerapporteerd bij de zelfevaluatie Reisdocumenten. Deze opvolging noemt RvIG monitoring. Op basis van de resultaten van de zelfevaluatie over 2022 zijn de gemeenten geselecteerd die in 2022 op 3 of meer thema's die zijn gekoppeld aan wettelijke eisen onder de 90% scoren. Met deze gemeenten is een gesprek gevoerd en indien noodzakelijk, een monitoringstraject afgesproken. Met 21 gemeenten heeft RvIG monitoringsgesprekken gevoerd op basis van de resultaten zelfevaluatie Reisdocumenten.

Het aantal lager scorende gemeenten blijft jaarlijks ongeveer gelijk, maar het zijn ieder jaar andere gemeenten die lager scoren. Het duurt over het algemeen enkele jaren voordat lager scorende gemeenten hun processen op orde hebben, maar als dit gerealiseerd is blijft dit meestal langere tijd op niveau.

Uit analyse van de monitoringsgesprekken blijkt dat de procedures bij de gemeenten meestal wel zijn beschreven, maar de uitvoering soms te wensen over laat. Gemeenten geven zelf aan als verklaring voor het achterblijvende resultaat:

• Het vaststellen van een gemeentebreed continuïteitsplan is nog niet gerealiseerd, voor het reisdocumentenproces is er meestal wel een afzonderlijk plan aanwezig en dit wordt ook getest.
• Gebrek aan voldoende tijd voor de uitvoering door personeelsgebrek.
• Vacatures zijn moeilijk in te vullen.
• Medewerkers die voor het eerst belast zijn met het uitvoeren van de zelfevaluatie bij een gemeente. Gebrek aan kennis en ervaring bij deze medewerkers leidde soms tot te voorzichtig beantwoorden.

Naast gesprekken met gemeenten op basis van het individuele resultaat, wordt ook gekeken naar de landelijke trends; op welke onderwerpen wil RvIG de aandacht bij alle gemeenten vestigen om tot een beter landelijk resultaat te komen. Op basis hiervan bespreekt RvIG met de gemeenten vooral of de actie is uitgezet om de onderwerpen informatie- en toegangsbeveiliging, (testen van) calamiteitenplannen te bespreken.  Daarnaast wordt het belang en de invulling van de rol van de beveiligingsfunctionaris onder de aandacht gebracht.

Bijlage 1 Geselecteerde gemeenten monitoringsbezoek

De gemeenten die een score van minder dan 90% op 3 of meer thema’s behaalden zijn bezocht door RvIG.

• Aa en Hunze
• Apeldoorn
• Arnhem
• Doetinchem
• Halderberge
• Hattem
• Heeze-Leende
• Leeuwarden
• Meierijstad
• Meppel
• Nijmegen
• Oldebroek
• Oss
• Putten
• Stichtse Vecht
• Veldhoven
• Wageningen
• Weert
• Westerwolde
• Woensdrecht
• Zwolle Bijlage 1 Geselecteerde gemeenten monitoringsbezoek

Bijlage 2 Geselecteerde vragen Nader onderzoek

Thema	1. Organisatie van de beveiliging	Antwoordmogelijkheden
6.1.2	Scheiding van taken
	Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.
6.1.2.1	Zijn er maatregelen getroffen om onbedoelde of ongeautoriseerde wijziging of misbruik van bedrijfsmiddelen waar te nemen of te voorkomen, door scheiding van taken?
6.1.2.1.f	Wordt voldaan aan de maatregel met betrekking tot de Reisdocumenten?	ja/nee
7.2.2	Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging
	Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.
7.2.2.1	Zijn medewerkers op de hoogte van de regels en verplichtingen met betrekking tot informatiebeveiliging en de verantwoordelijkheid die voor hun functie van toepassing is?
7.2.2.1.f	Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten?	ja/nee
7.2.2.2	Volgen medewerkers binnen drie maanden na indiensttreding een training I-bewustzijn?
7.2.2.2.b	Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten?	ja/nee
Thema	2. Toegangsbeveiliging
9.2.2.2	Worden toegangsrechten op basis van functiescheiding toegekend op grond van een risicoafweging?
9.2.2.2.f	Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten?	ja/nee
Thema	3. Naleving
16.1.2.3	Zijn interne en externe medewerkers op de hoogte van de meldingsprocedure van incidenten?
16.1.2.3.a	Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten?	ja/nee
Thema	4. Aanvraag- en uitgifteproces reisdocumenten
12	Welke handelingen vinden plaats bij ontvangst van een zending?	De ontvangstbevoegde toont de machtiging tot ontvangstneming en legitimeert zich met een WID-document.
		Op verzoek van de ontvangstbevoegde identificeert de besteller (bezorger) zich met een door de distribiteur beschikbaar gestelde legitimatie.
		De ontvangstbevoegde controleert of de zending juist is geadresseerd, het pakket onbeschadigd is en tekent op de handscanner van de besteller (bezorger) voor ontvangst.
		Indien de levering niet voor de locatie is bestemd of afwijkingen vertoont wordt altijd gehandeld volgens de foutafhandelingsprocedures (bijlage D - PUN).
		Bij beschadiging wordt het pakket in ontvangst genomen en in het bijzijn van de besteller (bezorger) gecontroleerd.
		Indien er sprake is van een afwijking of beschadiging wordt een proces-verbaal opgemaakt door de besteller (bezorger) en door de gemeente bewaard.
		Geen van de bovenstaande handelingen.
Thema	5. Overig proces reisdocumenten
21	Welke acties onderneemt u bij een vermissing van reisdocumenten uit de voorraad?	Er wordt onmiddellijk een inventarisatie opgemaakt van de aanwezige voorraad.
		Er wordt een onderzoek ingesteld.
		De autoriteit doet aangifte van de vermissing (maakt een proces-verbaal op)
		Er wordt door middel van een C7 formulier melding gemaakt van de vermissing naar RvIG om het nummer van het reisdocument te signaleren.
		De houder van het ontbrekende document wordt schriftelijk in kennis gesteld
		Het ontbrekende document wordt geregistreerd in het RAAS door het zetten van het vinkje bij aanvraag- opnieuw verzenden wegens niet uitgereikt - vermist uit opslag
		Geen van de genoemde acties
24	Maakt u gebruik van de signaleringsprocedure 24b?	Ja
		Nee
25	Welke acties onderneemt u als een houder zich meldt met een vermoeden van mogelijke fraude met een kopie of documentnummer van zijn reisdocument?	Het document wordt, als het overlegd wordt, op basis van het door de burger ingevulde C15-formulier aan het verkeer onttrokken.
		Het document wordt, als het aan het verkeer onttrokken is, in de BRP ingehouden.
		Om het nummer van het reisdocument te signaleren in het Basisregister reisdocumenten wordt een C7 formulier naar RvIG gestuurd.
		Geen van de genoemde acties
Thema	6. Aanbeveling
26	Welke van de volgende taken van medewerkers, wordt minimaal eens per jaar getoetst op juiste uitvoering?	Het vaststellen van de identiteit
		Het controleren van de echtheid van reisdocumenten
		Het controleren van de volledigheid van de aanvraag
		Het controleren van het gezag / toestemming
		Het accepteren van de foto
		Het bepalen van het recht op verstrekken
		Alertheid op fraudesignalen
		Het bijhouden van vakkennis
		Geen van de bovenstaande taken
27	Wanneer wijzigt de houder van de identificatiekaart de pincode?	Direct na ontvangst en daarna elke 3 maanden
		Alleen direct na ontvangst
		De initiële pincode wordt niet gewijzigd
28	Controleert u de echtheidskenmerken van overgelegde brondocumenten bij de aanvraag van een reisdocument?	Ja
		Nee
29	Zijn de medewerkers die betrokken zijn met het reisdocumentenproces geïnformeerd over de circulaire "verbeterimpuls identiteitsvaststelling?	Ja
		Nee

Managementsamenvatting

De Basisregistratie Personen (BRP) is als centrale registratie van persoonsgegevens een van de belangrijkste registraties van Nederland. De overheid vertrouwt sterk op de BRP om haar burgers te bedienen, de kwaliteit van gegevens is daarom van groot belang en het is cruciaal dat de BRP goed beveiligd is tegen ongeautoriseerde toegang. De Nederlandse gemeenten zijn belast met de bijhouding van de persoonsgegevens van hun inwoners en de minister houdt de gegevens bij van niet ingezetenen. Jaarlijks onderzoek naar de inrichting, de werking en de beveiliging van de BRP, gecombineerd met een onderzoek naar de verwerking van gegevens in de BRP, is bij wet geregeld. Dit onderzoek staat bekend als de zelfevaluatie BRP. In dit rapport staan de resultaten van de zelfevaluatie BRP die in 2022 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet-ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP. Tot slot worden de acties voor kwaliteitsbevordering naar aanleiding van de resultaten benoemd.

Gemeentelijke BRP

Alle 344 Nederlandse gemeenten hebben in 2022 de zelfevaluatie BRP uitgevoerd. Aan de hand van de zelfevaluatie krijgen gemeenten inzichtelijk of werkprocessen in overeenstemming met wet- en regelgeving zijn ingericht en of de uitvoering daarvan leidt tot de gewenste kwaliteit van gegevens in de BRP. De resultaten van de zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties. De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. Het onderzoek naar de kwaliteit van gegevens laat zien dat uitvoering van de processen nog niet overal en altijd tot de gewenste kwaliteit van gegevens leidt.

Kwaliteit van de processen

Het resultaat van de vragenlijst over de processen wordt weergeven in 6 thema’s. 5 thema’s bevatten vragen volgend uit wet- en regelgeving. In het zesde thema zijn de vragen ondergebracht naar aanvullende kwaliteitsmaatregelen. Deze bestaan uit aanbevelingen die niet direct volgen uit wet- en regelgeving.
In tabel 1 staan de thema’s met het totaalresultaat van alle gemeenten (in percentage van de maximale score), het aantal gemeenten dat een 100% score heeft behaald en het aantal gemeenten dat een score van boven de 95% heeft behaald. De thema’s 1 tot en met 3 bevatten de informatieveiligheidsvragen. De thema’s 4 tot en met 6 bevatten de vragen over de processen van de BRP. Hoewel gestreefd moet worden naar 100% score voor de thema’s 1 tot en met 5 komen door het uitvoeren van de zelfevaluatie bij veel gemeenten nog verbeter- of aandachtspunten naar voren. In 2022 behaalden 9 gemeenten een 100% score op alle thema’s en 56 gemeenten behaalden een 100% score op de eerste 5 thema’s (eisen).

THEMA	SCORE  Gemiddeld in %	Aantal gemeenten score 100%	Aantal gemeenten score boven 95%
1. Organisatie van de beveiliging	95,10%	219	219
2. Toegangsbeveiliging	96,70%	227	252
3. Naleving	89,60%	178	178
4. Bijhouding van de BRP	97,70%	164	294
5. Verstrekking van gegevens	97,90%	264	293
6. Aanbeveling	82,40%	23	63

Kwaliteit van de gegevens

De Rijksdienst voor Identiteitsgegevens (RvIG) controleert, door middel van een bestandscontrole, de administratieve kwaliteit van de BRP-gegevens. De uitkomst van de controle maakt deel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn van 21,8 miljoen persoonslijsten de BRP-gegevens gecontroleerd. 12 gemeenten scoren op een of meer klassen n de algemene en administratieve gegevens onder de vastgestelde normen. Bij 99,95% van de persoonslijsten is er geen enkele afwijking uit de bestandscontrole gekomen.

De gemeenten hebben in totaal 18.937 door RvIG geselecteerde persoonslijsten handmatig gecontroleerd op de inhoudelijke kwaliteit. RvIG selecteert de persoonslijsten op basis van het vaste thema ‘Eerste inschrijvingen in de BRP’. Daarnaast wordt jaarlijks een tweede thema vastgesteld. In 2022 zijn dit ‘Actualiseringen en correcties in de categorieën met ouder-, kind- of partnergegevens’. De controle is uitgevoerd aan de hand van de bijbehorende brondocumenten en aangiften. Op de geselecteerde persoonslijsten zijn door de gemeenten 3590 afwijkingen geconstateerd. Dit resultaat geeft aan dat de gerealiseerde kwaliteit van gegevens in de BRP om verbetering vraagt. Niet alle geconstateerde afwijkingen zijn fouten in de registratie; 17% van de afwijkingen betrof het niet terug kunnen vinden van het onderliggende brondocument.

Nader onderzoek door de minister

RvIG heeft 30 gemeenten bezocht om de kwaliteit van de uitgevoerde inhoudelijke controle te toetsen. Bij deze gemeenten zijn de persoonslijsten steekproefsgewijs door RvIG-adviseurs opnieuw gecontroleerd. 22 van de 30 gemeenten hebben een onvoldoende resultaat. Bij die gemeenten werden door RvIG op meer dan 15% van de gecontroleerde persoonslijsten afwijkingen geconstateerd die door de gemeente tijdens de eigen controle niet waren opgemerkt. De oorzaak van het niet opmerken van die afwijkingen is voornamelijk een gebrek aan kennis bij de medewerkers van de bezochte gemeenten.

RNI-loketgemeenten

Voor het inschrijven van niet-ingezetenen heeft de minister 19 RNI-loketten beschikbaar bij gemeenten. De loketgemeenten voeren jaarlijks een zelfevaluatie uit die bestaat uit een vragenlijst ingedeeld in 6 thema’s. De thema’s komen overeen met de thema’s van het gemeentelijk deel van de BRP. Alle RNI-loketgemeenten hebben in 2022 de zelfevaluatie RNI uitgevoerd. In de tabel hieronder staan de 6 thema’s met het totaalresultaat van alle 19 RNI-loketgemeenten (in percentage van de maximale score) en het aantal daarvan dat een 100% score heeft behaald.

THEMA	SCORE    Gemiddeld in %	Aantal  Score 100%
1. Organisatie van de beveiliging	92,2%	13
2. Toegangsbeveiliging	93,4%	17
3. Naleving	96,3%	16
4. Bijhouding van de BRP	95,2%	9
5. Verstrekking	100%	19
6. Aanbeveling	97,3%	16

Centrale voorzieningen BRP

De minister voert jaarlijks een onderzoek uit naar de inrichting, de werking en de beveiliging van de centrale voorzieningen van de BRP en de verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is. De centrale voorzieningen zijn de BRP-V (verstrekking van BRP-gegevens aan afnemers), de RNI, de Terugmeldvoorziening (TMV 2.0) en de berichtendienst voor afnemers. Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader en een vragenlijst voor de processen van de RNI. In de tabel hieronder staan de resultaten van dit onderzoek per onderdeel van de centrale voorzieningen (in percentage van de maximale score).

Centrale voorziening	SCORE    %
BRP-V	99,3%
RNI	98,2%
TMV 2.0	98,6%
Berichtendienst afnemers	100%

Inleiding

De overheid heeft de juiste gegevens nodig van haar burgers. Bijvoorbeeld om een paspoort, een identiteitskaart of een rijbewijs te kunnen maken, om te weten wie mag stemmen bij verkiezingen, om uitkeringen te verstrekken en om gemeentelijke belastingen te heffen. Maar ook organisaties zoals de Belastingdienst, uitkeringsinstanties en pensioenfondsen gebruiken deze persoonsgegevens om hun beslissingen goed af te stemmen op de persoonlijke situatie van burgers. Alle gemeenten in Nederland zorgen voor een actuele en correcte status van de Basisregistratie Personen. De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het gedeelte voor mensen buiten Nederland (de Registratie Niet-ingezetenen, RNI). Dit is vastgelegd in de Wet Basisregistratie Personen.

Het is cruciaal dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie in de BRP en gerelateerde systemen voldoet aan de wettelijke eisen. Jaarlijks onderzoek naar de inrichting, de werking en de beveiliging van de BRP, gecombineerd met een onderzoek naar de verwerking van gegevens in de BRP, is in de wet geregeld . Dit onderzoek staat bekend als de zelfevaluatie BRP. In dit rapport staan de resultaten van de zelfevaluatie BRP die in 2022 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet-ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP. Tot slot worden de acties benoemd voor kwaliteitsbevordering naar aanleiding van de resultaten.

Zelfevaluatie gemeenten

In 2022 hebben alle 344 Nederlandse gemeenten een onderzoek uitgevoerd naar de inrichting, werking en beveiliging van BRP. Gemeenten voerden dit onderzoek uit door middel van een zelfevaluatie. Het doel van de zelfevaluatie is om de gemeente inzicht te geven of de werkprocessen in overeenstemming met wet- en regelgeving zijn ingericht en inzicht te geven in de kwaliteit van gegevens in de BRP. De resultaten van deze zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK).

De zelfevaluatie BRP voor gemeenten bestaat uit 4onderdelen:

• Vragenlijst domeinvragen 
  De gemeenten vullen een vragenlijst in over de inrichting, werking en beveiliging van de BRP. Op basis van de uitkomsten worden risico’s en verbeterpunten in kaart gebracht. De vragen zijn onderverdeeld in 3 thema’s: Bijhouding van de BRP, Verstrekking van gegevens en Aanbeveling.
• Vragenlijst informatieveiligheid
  Sinds 2017 zijn de vragen over informatieveiligheid ondergebracht in de Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA richt zich op de gemeentelijke verantwoording rond de informatieveiligheid op basis van de Baseline Informatiebeveiliging Overheid (BIO). De vragen over informatieveiligheidsvragen zijn onderverdeeld in 3 thema’s: Organisatie van de beveiliging, Naleving en Toegangsbeveiliging.
• Bestandscontrole
  De bestandscontrole is een controle van de algemene en administratieve gegevens op de persoonslijsten van alle ingezetenen. RvIG voert de controle maandelijks uit op de persoonslijsten in BRP- Verstrekkingsvoorziening (BRP-V) met meer dan 3000 controleregels. De uitkomsten worden maandelijks aan de gemeenten gepresenteerd in de applicatie kwaliteitsmonitor. Het resultaat van de controle van december 2022 maakt onderdeel uit van deze rapportage zelfevaluatie BRP.
• Inhoudelijke controle persoonslijsten
  Een onderzoek naar de inhoudelijke kwaliteit van de persoonslijsten aan de hand van bijbehorende brondocumenten. RvIG maakt een selectie van persoonslijsten op basis van een vast en een jaarlijks wijzigend thema. De gemeenten voeren een controle op de geselecteerde persoonslijsten uit, waarna RvIG steekproefsgewijs een toetsing uitvoert.

Zelfevaluatie Centrale voorzieningen

De minister heeft in 2022 een onderzoek uitgevoerd naar de inrichting, werking en beveiliging van de centrale voorzieningen van de BRP en de verwerking van gegevens in de BRP, voor zover de minister daarvoor verantwoordelijk is. De Rijksdienst voor Identiteitsgegevens (RvIG) voert een zelfevaluatie uit door middel van een vragenlijst voor de RNI en een normenkader voor alle centrale voorzieningen.

Zelfevaluatie RNI

Alle loketgemeenten voeren een zelfevaluatie uit door middel van een vragenlijst. De vragen zijn onderverdeeld in dezelfde 6 thema’s als de zelfevaluatie gemeenten: Organisatie van de beveiliging, Naleving, Toegangsbeveiliging, Bijhouding van de BRP, Verstrekking van gegevens en Aanbeveling.

Opzet van de zelfevaluatie 

De zelfevaluaties die worden uitgevoerd door de gemeenten, RNI-loketgemeenten en door de minister zijn verschillend van opzet en worden onderstaand nader toegelicht.

Gemeenten

Door de combinatie van het invullen van de vragenlijst voor de processen en de uitvoering van de controles op gegevens krijgen de gemeenten inzicht in de inrichting, werking en beveiliging van de BRP. De opzet van de vragenlijst is als volgt. De vragen die volgen uit wet- en regelgeving  zijn onderverdeeld in 5 thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Gestreefd moet worden naar een 100% score op de thema’s die volgen uit wet- en regelgeving. Het resultaat wordt niet gerapporteerd in een gemiddelde score aan de hand van de thema’s, omdat dit een beter inzicht biedt in het functioneren dan een totaalscore.

De thema’s waarover gerapporteerd wordt, zijn:

1. Organisatie van de beveiliging
2. Toegangsbeveiliging
3. Naleving
4. Bijhouding van de BRP
5. Verstrekking van gegevens
6. Aanbeveling

Naast de vragenlijst maken ook een bestandscontrole en een inhoudelijke controle aan de hand van brondocumenten onderdeel uit van zelfevaluatie. De uitkomsten van de bestandscontrole en de inhoudelijke controle aan de hand van brondocumenten worden ingedeeld in 7 verschillende foutklassen. De foutklassen zijn gekoppeld aan de soort gegevens die zijn geregistreerd op de persoonslijst :

• Klasse A: Persoon en overlijden
• Klasse B: Adres
• Klasse C: Relaties
• Klasse D: Identificatienummers en Nationaliteit
• Klasse E: Overige algemene gegevens
• Klasse F: Administratieve gegevens
• Klasse G: Ontbreken brondocument (bij de inhoudelijke controle)

Verloop cyclus zelfevaluatie

De cyclus van de zelfevaluatie startte op 1 juli 2022 met het beschikbaar stellen van beide vragenlijsten (BRP en ENSIA) en de geselecteerde persoonslijsten voor de inhoudelijke controle. Vanaf 1 december 2022 konden de gemeenten de ingevulde vragenlijst en het resultaat van de inhoudelijke controle definitief maken in de applicatie kwaliteitsmonitor. Een uittreksel daarvan is vervolgens ondertekend door het college van B&W, waarna de resultaten zijn verzonden aan de minister van BZK en de Autoriteit Persoonsgegevens (AP).

Nader onderzoek door de minister

In de samenwerkingsovereenkomst tussen de Autoriteit Persoonsgegevens en de minister van BZK is afgesproken dat RvIG namens de minister jaarlijks een controle uitvoert om het resultaat te valideren. Deze controle wordt normaal gesproken uitgevoerd op de beantwoording van de vragenlijst en op de uitvoering van de inhoudelijke controle. Om het Nader onderzoek naar de Zelfevaluatie Reisdocumenten te kunnen intensiveren zijn dit jaar zijn geen gemeenten geselecteerd voor het Nader onderzoek naar de vragenlijst maar alleen 30 gemeenten geselecteerd voor het toetsen van de resultaten van de inhoudelijke controle. De gemeenten zijn geselecteerd door middel van een gewogen steekproef. Allereerst zijn de gemeenten op basis van inwoneraantal ingedeeld in 3e groepen: kleine, middelgrote en grote gemeenten. Vervolgens zijn uit elke groep willekeurig 10 gemeenten geselecteerd. Deze zijn bezocht door RvIG-adviseurs en vervolgens zijn direct na de uitvoering van de controles de uitkomsten teruggekoppeld aan de gemeenten. 

Onderzoek naar de centrale voorzieningen

De minister voert jaarlijks een onderzoek uit naar de centrale voorzieningen van de BRP. Deze centrale voorzieningen zijn:

• De BRP-V (verstrekken van de BRP-gegevens)
• De Terugmeldvoorziening (TMV 2.0) (terugmelden van onjuiste BRP-gegevens)
• De RNI (de Registratie van Niet-Ingezetenen)
• De berichtendienst afnemers (communicatie voor afnemers met de RNI) 

Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader. Daarnaast vindt een bestandscontrole naar de administratieve kwaliteit van de gegevens in de RNI plaats.

RNI-loketgemeenten

De RNI-loketgemeenten voeren de zelfevaluatie uit door middel van het invullen van een vragenlijst. De vragen die volgen uit wet- en regelgeving  en het convenant RNI-loketgemeenten zijn onderverdeeld in vijf thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Gestreefd moet worden naar een 100% score op de thema’s die volgen uit wet- en regelgeving.

De thema’s waarover gerapporteerd wordt, zijn:

1. Organisatie van de beveiliging
2. Toegangsbeveiliging
3. Naleving
4. Bijhouding van de BRP
5. Verstrekking van gegevens
6. Aanbeveling

Resultaten zelfevaluatie gemeenten 2022

In dit hoofdstuk staan de gemeentelijke resultaten van alle onderdelen van de zelfevaluatie BRP 2022. Allereerst volgt een overzicht van het resultaat van het onderzoek naar de kwaliteit van processen, gevolgd door een uitwerking van dat resultaat per thema. Vervolgens worden de uitkomsten van beide onderzoeken naar de kwaliteit van gegevens gepresenteerd.

Resultaat onderzoek kwaliteit processen totaal

De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De gemeenten behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 89,6% en 97,9% van de maximale score (grafiek 1). Op het thema Aanbeveling halen de gemeenten gemiddeld 86,6% van de maximale score. De scores van de zelfevaluatie BRP in de periode 2018-2022 (zie grafiek 2) laten een stabiel beeld zien voor de domeinvragen, waarbij de score voor het thema aanbeveling jaarlijks licht stijgt. Een duidelijke stijging is ook zichtbaar voor de thema’s Organisatie van de beveiliging en Toegangsbeveiliging.

Grafiek 1 Gemiddelde score per thema in percentage

 Grafiek 2 Gemiddelde scores van de BRP per jaar per thema

Het aantal gemeenten dat een 100% score haalt, verschilt sterk per thema (zie grafiek 3). 9 gemeenten behaalden een 100% score op alle thema’s en 56 gemeenten behaalden een 100% score op de eerste 5 thema’s (eisen).

Grafiek 3 Aantal gemeenten met een 100% score per thema

Resultaat onderzoek kwaliteit processen per thema  

Thema Organisatie van de beveiliging

Binnen het thema Organisatie van de beveiliging beantwoorden de gemeenten 11 vragen over de organisatie van informatieveiligheid binnen de gemeente. De gemeenten scoren gemiddeld 95,1% op dit thema. De individuele scores variëren van 51,3% tot 100%. Grafiek 4 geeft de spreiding van de gemeenten per score weer. 

Grafiek 4 Aantal gemeenten per score thema Organisatie van de Beveiliging

Binnen het thema Organisatie van de beveiliging worden vragen gesteld over de onderstaande onderwerpen:

• Vastgesteld Informatiebeveiligingsbeleid
• Maatregelen tegen onrechtmatige toegang
• Versleuteling van data op mobiele apparatuur
• Beleid voor werken op afstand
• Beveiligingsbewustzijn medewerkers
• Gedocumenteerde bedieningsprocedures
• Back-up-beleid
• Geheimhoudingsverklaringen
• Calamiteiten- en continuïteitsplannen

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar steeds beter (zie grafiek 5).

Grafiek 5 Gemiddelde score thema Organisatie van de beveiliging 2018-2022

Thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging beantwoorden de gemeenten 18 vragen over logische en fysieke toegangsbeveiliging binnen de gemeente. De gemeenten scoren gemiddeld 96% binnen dit thema. De spreiding van de individuele scores varieert van 60% tot 100%. Grafiek 6 geeft de spreiding van de gemeenten per score weer.

Grafiek 6 Aantal gemeenten per score thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging worden vragen gesteld over de onderstaande onderwerpen:

• Omgaan met verwijderbare gegevensdragers
• Veilig opslaan van vertrouwelijke informatie
• Vastgesteld beleid logische toegangsbeveiliging
• Toekennen en beëindigen van autorisaties
• Controle van de autorisaties
• Eisen aan wachtwoorden
• Incidentenprocedure
• Sleutelbeheer
• Procedures voor werken in beveiligede gebieden
• Procedure voor gebruik van apparatuur buiten het gemeentehuis
• (Automatisch ) vergrendelen van werkplekken

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar steeds beter (zie grafiek 7).

Grafiek 7 Gemiddelde score thema Toegangsbeveiliging 2018-2022

Thema Naleving

Binnen het thema Naleving beantwoorden de gemeenten 10 vragen over uitvoering van verplichte controles, over het bestaan van verplichte procedures en over de toepassing van functiescheiding binnen de gemeente. De gemeenten scoren gemiddeld 89,6% van de punten binnen dit thema. De individuele scores variëren van 30% tot 100% (zie voor de spreiding grafiek 8). De spreiding van de scores is hier groter dan de overige thema’s.

Grafiek 8 Aantal gemeenten per score Thema Naleving

 

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

• Verwerkersovereenkomsten met leveranciers
• Beoordelen prestaties leveranciers
• Testen van continuïteitsplannen
• Maatregelen als vertaling van wet- en regelgeving
• Controle op naleving privacybeleid
• Controle op verwerking van persoonsgegevens
• Vastgesteld auditplan
• Jaarlijkse controle van informatiesystemen

De gemiddelde score van alle gemeenten op dit thema is dit jaar verbeterd na 3 jaren met een lichte daling (zie grafiek 9).

Grafiek 9 Gemiddelde score thema Naleving 2018-2022

Thema Bijhouding van de BRP

Binnen het thema Bijhouding van de BRP beantwoorden de gemeenten 14 vragen over de processen van bijhouding van de BRP door de gemeente. De gemeenten scoren gemiddeld 97,7 % van de punten binnen dit thema. De individuele scores variëren van 66,5% tot 100% (zie voor de spreiding grafiek 10).

Grafiek 10 Aantal gemeenten per score thema Bijhouding van de BRP

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

• Opslag van brondocumenten
• Werkinstructie
• Identiteitsvaststelling
• Volledigheid van de procedure eerste inschrijving BRP
• Bijhouden van paspoortsignalering
• Controle van brondocumenten
• Activiteiten om vervallen reisdocumenten in te houden
• Procedure onderzoek en terugmelding
• Controles op juiste gegevensverwerking
• Tijdig verwerken van actualiseringen
• Controle op juiste uitvoering procedures

De gemiddelde score van alle gemeenten op dit thema is stabiel en goed in de afgelopen 5 jaar (zie grafiek 11).

Grafiek 11 Gemiddelde score thema Bijhouding van de BRP 2018-2022

Thema Verstrekking van gegevens

Binnen het thema Verstrekking van gegevens beantwoorden de gemeenten 8 vragen over het proces en de procedures rondom de verstrekking van BRP-gegevens. De gemeenten scoren gemiddeld 97,9 % van de punten binnen dit thema. De individuele scores variëren van 45,3% tot 100% (zie voor de spreiding grafiek 12).

Binnen het thema Verstrekking van gegevens worden vragen gesteld over de onderstaande onderwerpen:

• Procedures voor protocollering (vastleggen aan wie, waarom en waarover gegevens zijn verstrekt)
• Gegevensverstrekking door de gemeente
• Verstrekkingsbeperking
• Inzagerecht
• De verordening gegevensverstrekking bij de gemeente

De gemiddelde score van alle gemeenten op dit thema is stabiel en goed in de afgelopen 5 jaar (zie grafiek 13).

Grafiek 13 Gemiddelde score thema Verstrekking van gegevens 2018-2022

Thema Aanbeveling

Binnen het thema Aanbeveling beantwoorden de gemeenten 13 vragen over verschillende beheersmaatregelen voor de BRP-processen. Omdat ze niet direct volgen uit wet- en regelgeving zijn de gemeenten niet verplicht deze maatregelen te nemen. De gemeenten scoren gemiddeld 86,6% van de punten binnen dit thema. De individuele scores variëren op dit thema van 51% tot 100% (zie voor de spreiding van scores grafiek 14).

Grafiek 14 Aantal gemeenten per score thema Aanbeveling

Binnen het thema Aanbeveling worden vragen gesteld over de onderstaande onderwerpen:

• Bestuurlijke boete
• Bestrijden adresfraude
• Aangifte bij valse documenten of vermoeden van fraude
• Procedure briefadres
• Eenduidige beschrijving van brondocumenten
• Opvolging van bevindingen inhoudelijke controle
• Acties ten behoeve van kwaliteit en volledigheid BRP
• Voorkomen van dubbelopnames
• Beveiligingsplan BRP

De gemiddelde score van alle gemeenten op dit thema laat al 5 jaar op rij een stijgende lijn zien (zie grafiek 15).

Grafiek 15 Gemiddelde score thema Aanbeveling 2018-2022

Resultaten onderzoek kwaliteit gegevens

Resultaat inhoudelijke controle aan de hand van brondocumenten
Alle 344 gemeenten hebben een handmatige controle uitgevoerd op een selectie van persoonslijsten die door RvIG is samengesteld. Dit jaar hanteerde RvIG de volgende selectiecriteria: eerste inschrijving in de BRP van de voorgaande 2 jaar óf mutatie in de gegevens over ouders, partners of kinderen in het voorgaande jaar. De gemeenten zoeken voor deze controle alle onderliggende brondocumenten en aangiften op en controleren aan de hand hiervan alle gegevens op de persoonslijst. Op basis van het inwonersaantal van de gemeente is de selectiegrootte bepaald (25, 50, 75 of 100 persoonslijsten). In totaal controleerden de gemeenten 18.937 persoonslijsten. De gemeenten hebben daarbij 3590 afwijkingen geconstateerd. De top 5 van meest geconstateerde afwijkingen staan hieronder (tabel 7).

Tabel 7: Veelvoorkomende fouten, geconstateerd door gemeenten
 

Omschrijving	Aantal	Percentage van het totaal aantal gevonden fouten
Brondocument ontbreekt	612	17,10%
Datum geldigheid onjuist	545	15,20%
Omschrijving brondocument onjuist	382	10,70%
Correctie onjuist of ten onrechte uitgevoerd	240	6,70%
Aangifte adreshouding onjuist	149	4,10%

Bevindingen Nader onderzoek Inhoudelijke controle persoonslijsten

30 gemeenten zijn bezocht door RvIG om de kwaliteit van de uitgevoerde inhoudelijke controle te toetsen. Hierbij zijn de onderliggende brondocumenten en aangiften gebruikt om alle gegevens op de persoonslijsten te controleren. Bij 76% van de in totaal 745 persoonslijsten zijn de bevindingen van RvIG gelijk aan die van de gemeente. RvIG hanteert bij deze toetsing de norm ‘voldoende’ als 85% van de bevindingen die RvIG constateert, gelijk is aan die van de individuele gemeente. 8 gemeenten hebben voldaan aan deze norm, de overige 22 gemeenten niet.

In 30,9% van de door RvIG geconstateerde fouten ontbreekt een brondocument. Hoewel het ontbreken van het brondocument niet meteen betekent dat de gegevens in de BRP onjuist zijn, heeft de gemeente wel een bewijslast bij mutaties in de BRP, waar zij dan in gebreke blijft.
De meest voorkomende bevindingen die RvIG heeft geconstateerd komen overeen met de bevindingen die gemeenten hebben geconstateerd (zie tabel 8). Aanvullend heeft RvIG geconstateerd dat het niet verwerken van brondocumenten vooral plaatsvindt bij paspoorten die niet opgenomen worden op de persoonslijst. Of dat sprake is van brondocumenten die voor meerdere categorieën gegevens bevatten, maar niet volledig worden verwerkt. Daarnaast heeft RvIG fouten geconstateerd in de geboorteplaats van ouders, partners en/of kinderen.
Als laatste heeft RvIG in 16 gevallen (5,9%) een bevinding van de gemeente niet akkoord bevonden, omdat deze ten onrechte als fout gerapporteerd bleek te zijn.

Tabel 8 Veelvoorkomende fouten, geconstateerd door RvIG
 

Omschrijving	Aantal	Percentage van het totaal aantal gevonden fouten
Brondocument ontbreekt	84	30,90%
Correctie onjuist of ten onrechte uitgevoerd	23	8,50%
Brondocument niet verwerkt	22	8,10%
Datum geldigheid onjuist	21	7,70%
Groep Geboorte onjuist	17	6,30%
Bevinding niet akkoord	16	5,90%

Oorzaken van de bevindingen

Tijdens de terugkoppeling aan de gemeenten zijn de onderstaande oorzaken, problemen en uitdagingen veelvuldig genoemd door de gemeenten:

• Kennisverlies doordat ervaren medewerkers met pensioen gaan;
• Werven en behouden van nieuwe medewerkers is een grote uitdaging;
• Hoge werkdruk door een gebrek aan personeel;
• Gebrek aan financiële middelen en kennis van archiverings-/ en zaaksystemen, waardoor ook nproblemen met het juist archiveren van brondocumenten.

Resultaat bestandscontrole BRP

RvIG controleert door middel van een bestandscontrole de administratieve kwaliteit van de BRP-gegevens. Deze bestandscontrole wordt maandelijks uitgevoerd en via een kwaliteitsmonitor wordt het resultaat per gemeente beschikbaar gesteld. De uitkomst van de bestandscontrole van december 2022 maakt onderdeel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn bij de controle in december van 21,8 miljoen actueel ingeschreven personen en overleden personen de BRP-gegevens gecontroleerd aan de hand van ruim 3500 controleregels. Bij de bestandscontrole van december 2022 zijn in totaal 56.543 afwijkingen geconstateerd. Het percentage persoonslijsten waarop geen enkele afwijking is geconstateerd is 99.7%. Dit is ruim boven de norm van 99%. RvIG heeft in overleg met de gemeenten die vertegenwoordigd zijn in de expertgroep Bestandcontrolemodule ook een norm per foutklasse vastgesteld. Gemiddeld scoren alle gemeenten ruim boven deze normen. 12 gemeenten scoren op een of meer klassen in de algemene en administratieve gegevens onder de vastgestelde normen. 8 gemeenten hebben een foutloos resultaat.

Tabel 9: Resultaat gemeenten bestandscontrole

Foutklasse[1]	Aantal fouten	Percentage	Norm	Gemeenten onder de norm	Gemeenten zonder fouten
A: Persoon en overlijden	6819	99.98%	99.69%	1	106
B: Adres	4738	99.98%	99.69%	1	145
C: Relaties	18146	99.95%	99.59%	10	54
D: Identificatienummers en nationaliteit	7860	99.98%	99.50%	0	109
E: Overige algemene gegevens	3789	99.99%	99.50%	0	64
F: Administratieve gegevens	15191	99.96%	99.40%	1	76

Tabel 10: Gemeenten met een foutloos resultaat op de bestandscontrole:

Gemeenten zonder fouten uit de bestandscontrole

Brummen

Heeze-Leende

Oldenzaal

Rozendaal

Schiermonnikoog

Tynaarlo

Vlieland

Woudenberg

Resultaat onderzoek Centrale voorzieningen

Hieronder worden de belangrijkste resultaten weergegeven van het onderzoek naar de inrichting, werking en beveiliging van de Centrale Voorzieningen en de Verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is.

Inrichting Centrale Voorzieningen

In onderstaande tabel is het resultaat van het onderzoek per onderdeel van de Centrale Voorzieningen weergegeven in percentage van de maximale score.

Tabel 11: Score per centrale voorziening

Centrale Voorziening	Score
BRP-V	99,30%
RNI	98,20%
TMV 2.0	98,60%
Berichtendienst afnemers	100%

Werking Centrale Voorzieningen

Voor de werking is onderscheid gemaakt tussen de technische en de functionele werking van de Centrale Voorzieningen. De technische werking is gemeten aan de hand van beschikbaarheid, responstijden, aantal incidenten en gebruik noodvoorzieningen RNI. De functionele werking aan de hand van synchroniciteit BRP-V, aantal dubbelopnemingen en afhandeling protocolleringsverzoeken.

Kwaliteit van de RNI-gegevens

In totaal zijn er 5,2 miljoen persoonslijsten gecontroleerd. Van het totaal aantal gecontroleerde persoonslijsten is bij 95,61% van de persoonslijsten geen afwijking geconstateerd. Dit percentage ligt iets hoger dan de score in 2021 (95,43%).

Resultaat zelfevaluatie RNI

De minister houdt in Nederland voorzieningen in stand voor het inschrijven van niet-ingezetenen en voor het indienen van verzoeken van niet-ingezetenen aan de minister . Die voorzieningen zijn de RNI-loketten. Deze zijn gevestigd in 19 gemeenten bij de afdelingen Publiekszaken/Burgerzaken. Hiervoor is een convenant opgesteld tussen het college van BW van deze gemeenten en de minister van BZK.

Het onderzoek naar de RNI-loketten is uitgevoerd in de vorm van een zelfevaluatie. De 19 RNI-loketgemeenten moeten jaarlijks een vragenlijst invullen in de kwaliteitsmonitor waarmee getoetst wordt of de bijhouding van de RNI voldoet aan de wettelijk voorschriften en de afspraken in het convenant. De vragen zijn verdeeld over dezelfde 6 thema’s als de zelfevaluatie BRP.

Hieronder staan de gemiddelde scores per thema. De scores van de zelfevaluatie RNI in de periode 2018-2022 laten een stabiel beeld zien.

Tabel 12: Gemiddelde score RNI-loketgemeenten 

Thema	Score %
1. Organisatie van de beveiliging	92,20%
2. Toegangsbeveiliging	93,40%
3. Naleving	96,30%
4. Bijhouding van de BRP	95,20%
5. Verstrekking van gegevens	100%
6. Aanbeveling	97,60%

Grafiek 9 Gemiddelde scores van de RNI per jaar per thema

Monitoring BRP na 2022

RvIG geeft opvolging aan de gemeenten die een lage score hebben gerapporteerd bij de zelfevaluatie BRP. Deze opvolging noemt RvIG monitoring. Op basis van de resultaten van de zelfevaluatie over 2022 zijn gemeenten geselecteerd die onder de 90% scoren op 3 of meer thema’s die zijn gekoppeld aan wettelijke eisen. Daarnaast zijn gemeenten geselecteerd die voor het tweede jaar op rij bij 3 of meer foutklassen de norm overschrijden bij de inhoudelijke controle van persoonslijsten. Met deze gemeenten wordt een gesprek gevoerd en, als blijkt dat daarvoor aanleiding is, een monitoringstraject afgesproken. 29 gemeenten worden gemonitord op basis van de resultaten zelfevaluatie BRP. Inmiddels zijn alle monitoringsgesprekken gevoerd en worden de resultaten geanalyseerd. Uit de eerste analyse komen de onderstaande oorzaken voor het resultaat vaak terug:

• Het vaststellen van een gemeentebreed continuïteitsplan is nog niet gerealiseerd;
• Kennisgebrek door het vertrek van ervaren medewerkers;
• Vacatures zijn moeilijk in te vullen;
• Gebrek aan tijd voor de opleidingen van medewerkers door personeelsgebrek;
• De medewerkers die de zelfevaluaties hebben ingevuld deden dit vaak voor het eerst. Gebrek aan kennis en ervaring leidden tot te voorzichtig beantwoorden.

Het aantal lager scorende gemeenten is dit jaar verbeterd. Vorig jaar werden 49 gemeenten geselecteerd op basis van het resultaat van de vragenlijst en 17 gemeenten op basis van de inhoudelijke controle. Het duurt over het algemeen enkele jaren voordat lager scorende gemeenten hun processen op orde hebben, maar als dit gerealiseerd is blijft dit meestal langere tijd op het vereiste niveau.

Bijlage 1 Geselecteerde gemeenten monitoringsbezoek

Proceskwaliteit gemeenten  3 thema’s onder de 90%	Inhoudelijke kwaliteit gemeenten 3 foutklassen normoverschrijding
Aa en Hunze	Purmerend	Amsterdam
Arnhem	Putten	Beuningen
Beuningen	Rozendaal	Haarlemmermeer
Coevorden	's-Gravenhage	Hof van Twente
Dijk en Waard	Stichtse Vecht	Nijmegen
Doetinchem	Valkenburg aan de Geul	Stichtse Vecht
Eemsdelta	Wageningen	Tytsjerksteradiel
Enschede	Weert
Gemert-Bakel	Westerwolde
Halderberge	Wierden
Hoorn	Woensdrecht
Losser	Woudenberg
Meppel	Zutphen
Oldebroek	Zwolle
Oss