Overslaan en naar de inhoud gaan
Naslagwerk

Klantreis DBI aanmelding kvk

Contact

088 900 1000
Maandag - Vrijdag 08:30 - 17:00 uur

Klantreis DBI aanmelding kvk

Gebruikerstoepassing wallet EU-lidstaat (over de grens):
Ricardo start een bedrijf in Nederland en meldt zich aan bij de KvK

Ricardo komt uit Italië en is in het bezit van een (IT) wallet met een (IT) DBI. Hij wil in Nederland een bedrijf starten en meldt zich hiervoor aan bij de KvK.

De voorwaarden hiervoor zijn:

  • Ricardo heeft een Italiaanse wallet ((IT) wallet) met een Italiaanse DBI (IT DBI). Hierbij is de aanname gedaan dat Italië een DBI uitgeeft.
  • Ricardo heeft zich in de Registratie Niet Ingezetenen (RNI) ingeschreven en heeft hiermee een BSN en een DBI van Nederland gekregen (NL) DBI.
  • Ricardo heeft een NL-bankrekening geopend en een

NL-bankattest met status bevroren (geld zeker drie maanden op rekening). Dit bankattest bevat het banknummer, de hoeveel- heid geld, en is digitaal getekend door de bank.

1. Ricardo opent met zijn telefoon de website van de KvK en logt in met zijn (IT) wallet.

De website genereert een deeplink en toont deze.

2. Ricardo selecteert de deeplink en wordt doorgelinkt naar zijn (IT) wallet.

3. Ricardo opent zijn (IT) wallet met zijn pincode.

De (IT) wallet weet door de deeplink welke attest gedeeld moet worden, namelijk het Nederlandse identiteitsattest. Deze komt uit de (NL) DBI.
De (IT) wallet vraagt of Ricardo akkoord is met het doorsturen van zijn attest.

4. Ricardo geeft akkoord voor het doorsturen van zijn attest en voert zijn pincode in.

Het attest van Ricardo worden doorgestuurd naar de KvK. KvK controleert of de attest integer, authentiek en betrouwbaar zijn en de status geldig is, maar ook of de wallet authentiek en niet gehackt is. Ricardo wordt vervolgens doorgeleid naar de website van KvK.

5. Ricardo opent op de website van KvK de dienst ‘Start een bedrijf’.

De gegevens van het Nederlandse identiteitsattest worden ingeladen en Ricardo vult het formulier met overige gegevens met de hand in. Ook wordt een lijst met attesten getoond die Ricardo verplicht is om met de KvK te delen, zoals een
NL-bankattest.

6. De gegevens van Ricardo worden automatisch met behulp van zijn Nederlandse identiteitsattest ingevuld. Ricardo vult de ontbrekende gegevens in en controleert of hij alle benodigde attesten in zijn (IT) wallet heeft.

Informatie:

Als Ricardo niet in het bezit is van de benodigde attesten dan zal hij deze moeten ophalen.

7. Ricardo geeft akkoord door het invoeren van zijn pincode.

KvK voert technisch allerlei controles uit zoals het controleren van de betrouw- baarheid en aanwezigheid van de benodigde attesten.
Als alles akkoord is dan wordt een deeplink door de website KvK gegenereerd.

8. Ricardo selecteert de deeplink en accepteert dat het ’KvK-attest’ aan zijn (IT) wallet wordt toegevoegd.

Delen

Naslagwerk

Klantreis DBI remote uitgifte

Klantreis DBI remote uitgifte

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 1:
Ayanna maakt afspraak met Buitenlandse Zaken (betrouwbaarheidsniveau substantieel)

Ayanna woont sinds kort in Australië. Zij wil vanuit huis haar DBI aanvragen en uiteindelijk aan haar mobiele (NL) wallet koppelen. Zij heeft haar (NL) wallet al op haar telefoon gedownload. Zij is in de Registratie Niet Ingezetenen (RNI) ingeschreven en dus in het bezit van een BSN.

Voorwaarden:

  • Ayanna heeft DigiD met eenmalige identiteitscontrole waarmee haar DigiD het betrouwbaarheidsniveau ‘substantieel’ heeft.
  • Ayana heeft haar e-mailadres en haar telefoonnummer toegevoegd aan ‘Mijn DigiD’.
  • De (NL) wallet kent twee verschijningsvormen: cloud-based en mobiel. In deze klantreis wordt tijdens stap ‘b’ een cloud-based (NL) wallet beschikbaar gesteld aan Ayanna.

In stap ‘c’ wordt de mobiele (NL) wallet gekoppeld aan de cloud- based (NL) wallet en aan de DBI van Ayanna.

1. Ayanna gaat via haar telefoon naar de website van NL Wereldwijd (24/7) om een afspraak te maken voor het aanvragen van haar DBI (en cloud-based (NL) wallet).

2. Ayanna logt in met haar DigiD-app op haar telefoon.
Dit is een inlogmiddel op betrouwbaarheidsniveau substantieel (zie voorwaarden).

Informatie: Afhankelijk van het betrouwbaarheidsniveau van het inlogmiddel wordt bepaald welke stappen gevolgd moeten worden. Hoe hoger het niveau hoe minder stappen er nodig zijn voor identifica- tie en authenticatie.

DigiD stuurt het e-mailadres en telefoonnummer van Ayanna naar NL Wereldwijd. NL Wereldwijd zoekt in de BRP naar de persoonsgegevens van Ayanna en toont deze op het scherm. Daarnaast worden de mogelijkheden van afspraken getoond.

3. Ayanna selecteert een datum en tijdstip, bevestigt deze en sluit de pagina.

NL Wereldwijd voert een aantal controles. Bij akkoord wordt een bevestiging van de afspraak per sms naar Ayanna gestuurd.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 2:
Ayanna heeft een afspraak met Buitenlandse Zaken voor uitgeven DBI en het activeren van haar cloud-based wallet

Ayanna heeft een link via een sms ontvangen.

15 minuten voor aanvang afspraak:

1. Ayanna selecteert de link en wordt doorgeleid naar de NL Wereldwijd-website.

2. Zij logt in met haar DigiD-app.

NL Wereldwijd heeft in een eerder stadium het telefoonnummer van Ayanna ontvangen van DigiD en stuurt Ayanna een sms met een controlewoord.

3. Ayanna voert het controlewoord op de NL Wereldwijd-website in.

Ayanna wordt doorgeleid naar de afspraak en gevraagd om haar camera te activeren.

4. Ayanna activeert haar camera en de medewerker van NL Wereldwijd is zichtbaar in beeld.

Ayanna ontvangt een verzoek voor overname van haar camera en het maken van een gezichtsopname door de medewerker.

5. Ayanna accepteert het verzoek en de medewerker maakt een foto van Ayanna.

Om de identiteit vast te stellen wordt de gemaakte foto met de foto in de database van het RAAS vergeleken. Na een positief resultaat stelt de medewerker enkele controlevragen en wordt Ayanna gevraagd haar hoofd te bewegen.

6. Ayanna beantwoordt de vragen en beweegt met haar hoofd.

Als alle controles positief zijn en de identiteit is vastgesteld dan activeert de medewerker de cloud-based wallet en koppelt de DBI van Ayanna aan de cloud-based (NL) wallet.
De afspraak is hiermee voltooid.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 3:
Ayanna koppelt haar DBI vanuit haar cloud- based (NL) wallet aan haar mobiele (NL) wallet op haar mobiele telefoon

Voorwaarde: de cloud-based wallet is onderdeel van ‘Mijn Overheid’.

1. Ayanna logt met haar DigiD-app op haar telefoon in op Mijn Overheid.

Mijn Overheid genereert een deeplink om haar (NL) wallet te activeren en haar DBI op te halen.

2. Ayanna selecteert de deeplink in Mijn Overheid en wordt naar haar mobiele (NL) wallet doorgelinkt.

3. Ayanna opent haar mobiele (NL) wallet en voert de pincode in.

Mijn Overheid stuurt een sms met controlewoord.

4. Ayanna leest de sms en voert het controlewoord in.

De mobiele wallet wordt veilig gekoppeld aan de cloud-based wallet en aan de DBI van Ayanna. Hierna is de (NL) wallet geactiveerd op haar mobiele telefoon. Ayanna ontvangt een bericht in de mobiele (NL) wallet dat zij haar DBI uit de cloud-based wallet kan downloaden.

5. Ayanna geeft akkoord om deze te downloaden. Zij voert vervolgens haar pincode in.

De DBI is gekoppeld aan haar mobiele (NL) wallet. Een exemplaar blijft in de cloud-based wallet beschikbaar. Het voordeel hiervan is dat Ayanna bij verlies of wisseling van haar telefoon haar DBI zonder tussenkomst van de overheid kan downloaden in de (NL) wallet van haar nieuwe mobiele telefoon.

Delen

Naslagwerk

Klantreis DBI auto verkopen

Contact

088 900 1000
Maandag - Vrijdag 08:30 - 17:00 uur

Klantreis DBI auto verkopen

Gebruikerstoepassing vertegenwoordiging en status attest verandert:
Ahmed koopt de auto van de moeder van Kees en schrijft deze over

Ahmed wil de auto kopen van de moeder van Kees. De auto wordt overgeschreven en op naam van Ahmed gezet.

De voorwaarden om dit te kunnen doen zijn:

  • Kees mag namens zijn moeder handelingen verrichten. Daartoe heeft hij een machtigings-attestatie in zijn (NL) wallet.
  • De auto is van 2015 en hiermee bestaat het kentekenbewijs uit 2 delen: het kentekenbewijs en het bewijs tenaamstelling met 4-cijferige code. Deze bewijzen heeft Kees al in de vorm van een attest in zijn (NL) wallet.
  • De laatste 5 cijfers heeft de moeder Kees destijds apart in een brief van de RDW ontvangen.

1. Ahmed opent met zijn telefoon de website van de RDW en logt met zijn (NL) wallet in.

Ahmed selecteert de mogelijkheid om een auto op zijn naam over te schrijven. De website genereert een deeplink en toont deze.

2. Ahmed selecteert de deeplink en wordt doorgelinkt naar zijn (NL) wallet.

3. Ahmed opent zijn (NL) wallet met zijn pincode.

De (NL) wallet weet door de deeplink welk gegeven met RDW gedeeld moet worden, namelijk de DBI van Ahmed. De (NL) wallet vraagt of Ahmed akkoord is met het doorsturen daarvan.

4. Ahmed geeft akkoord en voert zijn pincode in.

De gegevens van Ahmed worden doorgestuurd naar de RDW. RDW controleert geautomatiseerd of de gegevens integer, authentiek, betrouwbaar zijn en de status ‘geldig’ hebben, maar ook of de wallet authentiek en niet gehackt is.

5. Ahmed selecteert op de website van de RDW de dienst “Voertuig overschrijven”.

De gegevens uit de DBI van Ahmed worden ingeladen en Ahmed vult het formulier met overige gegevens met de hand in.

6. Ahmed vult het emailadres en telefoonnummer van Kees in.

RDW voert technisch allerlei controles uit zoals het controleren van de betrouwbaarheid en aanwezigheid van de benodigde bewijzen. Als alles akkoord is dan wordt een deeplink door de website RDW gegenereerd die naar Kees via de mail of sms wordt gestuurd.

7. Kees opent zijn mail en selecteert de deeplink.

8. Kees wordt doorgelinkt naar zijn (NL) wallet en opent deze met zijn pincode.

De (NL) wallet weet door de deeplink welke gegevens gedeeld moeten worden, namelijk de DBI van Kees, de verklaring tenaamstelling, het kentekenbewijs en het bewijs dat zijn moeder hem heeft gemachtigd namens haar rechts­ handelingen mag verrichten

9. Kees geeft aan zijn DBI en de gevraagde bewijzen met de RDW te willen delen en voert de vijf-cijferige code van het bewijs tenaam- stelling in en daarna zijn pincode.

De gegevens worden doorgestuurd naar de RDW. RDW controleert of de gegevens integer, authentiek, betrouwbaar is en de status ‘geldig’ heeft, maar ook of de wallet authentiek en niet gehackt is.
Achmed ontvangt in zijn (NL) wallet het bericht dat de volgende nieuw opgestelde bewijzen klaarstaan: bewijs tenaamstelling en het kentekenbewijs.

10. Ahmed accepteert en wordt gevraagd eerst voor de overschrijving te betalen.

11. Ahmed betaalt met IDEAL en wordt doorgeleid naar de bewijzen.

De (NL) wallet weet door de deeplink welk bewijzen ontvangen moeten worden. De (NL) wallet vraagt of Ahmed akkoord is met het ontvangen daarvan.

12. Ahmed geeft aan de bewijzen te willen ontvangen en voert zijn pincode in.

RDW creëert een deeplink die naar de (NL) wallet van Kees wordt gezonden.

13. Ahmed selecteert de deeplink en accepteert dat het bewijs tenaamstelling met 4-cijferige code en het kentekenbewijs aan zijn (NL) wallet worden toegevoegd.

Nadat Ahmed heeft geaccepteerd en de bewijzen zijn toegevoegd aan zijn (NL) wallet, hebben het bewijs tenaamstelling en kentekenbewijs in de (NL) wallet van Kees de status inactief gekregen en ontvangt Kees het bewijs van vrijwaring van de auto. Ahmed ontvangt bericht als Kees het bewijs van vrijwaring heeft geaccepteerd. Daarnaast ontvangt Ahmed een brief van de RDW met de vijf­cijferige code die hij moet gebruiken bij het overschrijven van de auto

Delen

Naslagwerk

Klantreis DBI uitgifte balie

Contact

088 900 1000
Maandag - Vrijdag 08:30 - 17:00 uur

Klantreis DBI uitgifte balie

Gebruikerstoepassing Aanvraag en uitgifte deel 1:
Sam installeert zijn (NL) wallet thuis

Het koppelen van de DBI aan de (NL) wallet kan aan de balie van een uitgevende instantie zoals een gemeente plaatsvinden.

Hiervoor installeert Sam vooraf thuis op de bank de (NL) wallet en maakt een afspraak bij de uitgevende instantie van zijn woonplaats.

Sam doorloopt de volgende stappen thuis:

1. Sam downloadt de (NL) wallet in de App Store of Google Play.
2. Sam opent de (NL) wallet en leest de uitleg over de app.
3. Sam leest de instructies.
4. Sam accepteert de gebruikersvoorwaarden.
5. Sam stelt een PIN-code in voor zijn (Nl) wallet.
6. Sam maakt een afspraak bij de gemeente om zijn (NL) wallet te koppelen aan zijn (NL) wallet aan de gemeentebalie.

Gebruikerstoepassing Aanvraag en uitgifte deel 2:
Sam koppelt zijn DBI aan zijn (NL) wallet aan de gemeentebalie

Na het instaleren van de (Nl) wallet gaat Sam naar de gemeente om zijn (NL) wallet aan zijn DBI te koppelen.

Met een geldig identiteitsdocument kan Sam zich aan de balie identificeren. Daar wordt bijvoorbeeld de live gemaakte gezichtsopname vergeleken met de foto die is opgenomen in de chip van zijn identiteitsdocument. Na het succesvol doorlopen van het verificatieproces wordt de DBI aan de (NL) wallet gekoppeld.

Een voorwaarde om dit proces te kunnen doorlopen is dat Sam is ingeschreven in de BRP en een Nederlandse nationaliteit heeft. En dat Sam in het bezit is van een Nederlands paspoort.

Sam doorloopt de volgende stappen aan de gemeentebalie:

1. Sam opent thuis de (NL) wallet met zijn pincode en leest de instructies over wat hij voor de afspraak moet meenemen.

2. Sam gaat naar de gemeente en loopt als hij aan de beurt is naar de balie. Hij opent zijn (NL) wallet met zijn pincode en leest de instructies of volgt de instructies van de medewerker van de gemeente op.

3A. Sam overhandigt zijn paspoort/identiteitskaart.

De medewerker van de gemeente controleert of het paspoort/ de identiteitskaart bij Sam hoort.

3B. De medewerker van de gemeente leest de chip van het paspoort/de identiteitskaart uit. Dit gebeurt volgens internationale standaarden.

3C. De medewerker van de gemeente voert controles uit.

4. Sam laat door de webcam op de balie een foto-opname van zijn gezicht maken. De opname wordt biometrisch vergeleken met de foto op de chip van het paspoort/de identiteitskaart.

De medewerker van de gemeente controleert of de biometrische vergelijking goed is verlopen en geeft opdracht in de DBI-voorziening voor de uitgifte DBI voor Sam. De sleutel naar de authentieke bron wordt door de DBI-voorziening opgehaald.

5. Sam vervolgt de stappen van de (NL) wallet. De (NL) wallet genereert een code.

De medewerker van de gemeente voert de code in. Er wordt een draadloze beveiligde verbinding gemaakt tussen de DBI-voorziening en de (NL) wallet.
Na sleuteluitwisseling tussen de (NL) wallet en de DBI-voorziening ontvangt Sam de vraag om zijn pincode in te voeren.

6. Sam voert zijn pincode in en geeft toestemming om de DBI aan zijn (NL) wallet te koppelen.

De medewerker ontvangt een bericht in de DBI-voorziening als de controles en koppeling positief zijn verlopen. Na controle bevestigt de medewerker dat alles in orde is. Registratie van uitgifte DBI en activatie (NL) wallet van Sam vindt plaats.

Sam kan nu zijn (NL) wallet gebruiken.

Delen

Naslagwerk

Onderzoek Digitale Bronidentiteit

Onderzoek Digitale Bronidentiteit

In Europees verband wordt gewerkt aan een digitale identiteit. De digitale bronidentiteit (DBI) is een digitale identiteit voor gebruik in de publieke en private sector. De DBI wordt door de overheid uitgegeven en moet worden vastgelegd in wet- en regelgeving.

Doel van het onderzoek

In het project is uitgewerkt hoe een digitale bronidentiteit eruit kan zien, hoe je het in de praktijk zou kunnen gebruiken en wat er nodig is om het succesvol te kunnen introduceren of implementeren. Het onderzoeksrapport geeft een conceptueel beeld van de DBI.

Eén van de onderdelen is de ontwikkeling van een prototype, waarmee duidelijk wordt hoe de digitale bronidentiteit eruit kan komen te zien. Ook werd onderzocht hoe gebruikers tegenover het gebruik van een digitale bronidentiteit staan.

DBI moet er op termijn voor zorgen dat de digitale identiteit van burgers gekoppeld kan worden aan de Europese digitale wallet. Betrouwbare partijen kunnen de wallet, op verzoek van de burger, vullen met gegevens.

Samenvatting

De digitale transitie vindt razendsnel plaats. Steeds meer processen zijn deels of volledig digitaal en vertrouwen in de digitale wereld is essentieel. Zonder dit vertrouwen zullen burgers, ondernemers en overheden twijfelen om digitaal zaken te doen. Een betrouwbare digitale identiteit en identiteits-ecosysteem is hiervoor noodzakelijk. De Visiebrief digitale identiteit (verder: Visiebrief) introduceert de digitale bronidentiteit (DBI): een door de overheid uitgegeven, erkende en in de wet- en regelgeving verankerde, digitale identiteit voor gebruik in de publieke en private sector.

Ook op Europees niveau onderkent men het belang van vertrouwen in de digitale wereld ten bate van economische en sociale ontwikkeling. In 2018 is dan ook de eIDAS-verordening in werking getreden. In eIDAS (Electronic Identities And Trust Services) spraken de Europese lidstaten af om dezelfde begrippen, betrouwbaarheidsniveaus en digitale infrastructuur te gebruiken. Een onderdeel van de verordening is het grensoverschrijdend gebruik van Europees erkende inlogmiddelen. Dit kan alleen met een betrouwbare online identiteitscheck. De eIDAS-verordening bleek na evaluatie echter niet geheel te voldoen.

De Europese Commissie diende daarom op 3 juni 2021 een voorstel in tot wijziging van de eIDAS-verordening (verder: concept-verordening). De Europese Commissie verplicht in dit voorstel de lidstaten onder meer tot de uitgifte van een Europese portemonnee voor digitale identiteit (European Digital Identity Wallet). Deze wallet stelt een gebruiker in
staat om attributen met betrekking tot zijn/haar identiteit op te slaan en op verzoek aan vertrouwende partijen te verstrekken. Het voorstel van de Commissie moet tegen 2030 leiden tot een brede uitrol van een in Europa bruikbare digitale identiteit. Het voorstel is dan ook in aanvulling op de Visiebrief als kader meegenomen in de uitwerking van de DBI.

Dit rapport schetst een conceptueel beeld van hoe de DBI eruit zou kunnen zien. Daarbij zijn vijf onderzoeksvragen als leidraad genomen:

  1. Definiëren van de digitale bronidentiteit;
  2. Beschrijving van het identiteitsecosysteem;
  3. Juridische en ethische analyse van de bronidentiteit;
  4. Analyse bronidentiteit in verhouding tot bestaande voorzieningen;
  5. Ontwerpen prototype: klantreis digitale bronidentiteit.

Dit conceptuele beeld van de DBI geeft inzicht in nog te beantwoorden beleidsvragen voordat een volgende stap gezet kan worden in de ontwikkeling van een DBI.

Download het rapport Digitale Bronidentiteit

Document

Bijlage Biometrie onderzoeksrapport DBI

Er zijn verschillende biometrische modaliteiten beschikbaar, waarmee individuen kunnen worden
onderscheiden. In het algemeen vallen biometrische modaliteiten in twee hoofdcategorieën:

  • biologische kenmerken, bijvoorbeeld vingerafdruk, gezicht, iris, handpalm, hand (geometrie), oor(vorm), netvlies (aderpatroon), DNA, enz.
  • aan gedrag gerelateerde kenmerken, bijvoorbeeld een toetsaanslagdynamiek, manier van lopen, handtekening, stem, enz. [3, p.123].

De relevantie van een biometrische modaliteit voor een specifieke toepassing (use-case) hangt af van de:

  • eigenschappen van de biometrische modaliteit;
  • onderliggende technologie.

Vanwege de uiteenlopende aard van biometrische toepassingen, voldoet waarschijnlijk geen enkele biometrische modaliteit optimaal aan de vereisten van alle use cases.
In veel gevallen kan een multimodaal biometrisch systeem dat meerdere biometrische kenmerken combineert of versmelt vereist zijn om het gewenste prestatieniveau te bereiken. Een voorbeeld hiervan is het zeer grootschalige Aadhaar-biometrische project in India dat alle 10 vingerafdrukken, beide irissen en gezicht gebruikt voor deduplicatie – en identificatiedoeleinden [2, p.8].

2 Voordelen en nadelen van biometrische modaliteiten

Op basis van de analyse uit de literatuur, is om uiteenlopende en specifieke redenen het merendeel van de biometrische modaliteiten niet geschikt voor implementatie in DBI:

  1. te hoge implementatiekosten voor de handafdruk-modaliteit;
  2. beperkt onderscheidend vermogen voor handgeometrie en oor;
  3. vervuiling, gevoeligheid, snelheid, gegevensbescherming en privacy kwesties voor DNA;
  4. gebruikersacceptatie, gegevensbescherming en privacy-kwesties voor netvlies modaliteit; en
  5. beperkt onderscheidend vermogen en gevoeligheid voor omgevingsomstandigheden voor een spraak-modaliteit [2, p.8].

De inzetbare modaliteiten kunnen zijn: vingerafdruk, gezicht en iris (zie Tabel 1) [1, p.80-105 en 6]. De vingerafdruk, gezicht en irismodaliteiten worden grotendeels toegepast in een aantal soorten civiele, reis, wetshandhavings- en beveiligingstoepassingen vanwege hun eigenschappen [2, p.8].

Eigenschappen van een modaliteit Vingerafdruk Gezicht Iris
Onderscheidend vermogen Extreem Groot Extreem
Permanentie Extreem Beperkt Extreem
Universaliteit Zeer groot Extreem Zeer groot
Verzamelbaarheid Zeer groot Extreem Zeer groot
Prestaties Extreem Groot Extreem
Aanvaarding door de gebruiker Zeer groot Zeer groot Groot
Robuustheid tegen presentation attack Groot Groot Groot


2.1    Vingerafdruk-modaliteit

De vingerafdrukmodaliteit is zeer onderscheidend, het is zelfs mogelijk tweelingen te onderscheiden. Het is een robuuste tegenmaatregel voor look-a-like fraude. Vingerafdrukken zijn permanent, schaalbaar, interoperabel en breed geïmplementeerd maar ze zijn niet universeel. Vingerafdrukken kunnen bij bepaalde groepen slecht of beschadigd zijn en kunnen leiden tot het niet vastleggen (failure to capture) van een steekproef of zelfs geen registratie (failure to enroll). Mensen die fysiek geen vingerafdrukken kunnen verstrekken zijn bijvoorbeeld geamputeerden en overlevenden van lepra. Er zijn ook mensen bij wie het moeilijk is betrouwbare vingerafdrukken af te nemen, bijvoorbeeld handarbeiders, ouderen, kinderen [1, 2, 5].

2.2    Gezichts-modaliteit

De gezichtsmodaliteit heeft een hoge gebruikersacceptatie, is universeel en het betreft een snel contact- loos proces. Nadeel is dat er een regelmatige herregistratie moet plaatsvinden na verloop van tijd om het betrouwbaarheidsniveau te kunnen vasthouden. Ook de schaalbaarheid is beperkt waardoor deduplicatie in grote datasets moeilijk wordt.

Een cruciale uitdaging die blijft bestaan, is de stabiliteit en uniformiteit van prestaties, in onbeperkte omstandigheden, tussen alle personen van een referentiedatabase. Ook de intrinsieke beperking van het onderscheidend vermogen van het gezicht als gevolg van genetische factoren, die fysieke gelijkenissen (etnische achtergrond en familierelaties) veroorzaken, blijft een beperking. Vooral de prevalentie van monozygotische tweelingen bij de menselijke bevolking heeft belangrijke gevolgen voor de prestaties van de gezichtsmodaliteit [1, 2, 5].

2.3;Irismodaliteit

De irismodaliteit is onderscheidend, permanent, schaalbaar en bijna universeel, maar is niet inter- operabel vanwege het ontbreken van beschikbare databases. De kenmerken van de iris zijn meer permanent dan die van het gezicht waardoor de noodzaak van regelmatige herregistratie wordt beperkt. Het onderscheidend vermogen van de iris is uniform vanwege de epigenetische aard van de gegevens en de technologie presteert zeer goed. De iris is ook minder kwetsbaar voor aanvallen dan het gezicht en de vingerafdruk. De implementatie van de irismodaliteit is echter om verschillende redenen vertraagd, waar- onder een beperkte acceptatie door de gebruikers en de kosten van gepatenteerde technologie [1, 2, p.11, 5].
 

3. Samenvatting

Samenvattend kan worden gezegd dat de modaliteiten niet ideaal en onfeilbaar zijn. Bij alle modaliteiten is er sprake van specifieke tekortkomingen en beperkingen. Dit pleit vanzelfsprekend voor een multimodale aanpak. Bijvoorbeeld in alle bestudeerde onderzoeken hebben de prestaties van vingerafdruk- en gezichtsmodaliteit in combinatie systematisch de prestaties van elke modaliteit vervangen bij onafhankelijk gebruik.

Hetzelfde fenomeen wordt waargenomen voor onkwetsbaarheid: de weerstand tegen de presentatie- aanval van de combinatie van de vingerafdruk en de gezichtsmodus vervangt de prestaties van elke modaliteit die voor zichzelf wordt beschouwd. De toegevoegde waarde in het combineren van het gezicht en de iris modaliteit zit in het feit dat beide modaliteiten in dezelfde instantie en met dezelfde sensor kunnen worden verzameld, namelijk met behulp van een camera. Het gezicht kan dan worden gebruikt voor authenticatie- en iris voor deduplicatie- en identificatiedoeleinde, als irisdatabases beschikbaar zijn.

Het combineren van meerdere modaliteiten betekent dat er moet worden geïnvesteerd in meerdere biometrische technologieën en in het realiseren van databases met als resultaat een complexer en duurder systeem, waarvoor meer gekwalificeerd personeel nodig is om het te ontwikkelen, onderhouden en om het uit te voeren [2, p.9].

Het gebruik van meerdere verificatiefactoren verhoogt de mate van zekerheid bij een transactie (bijvoorbeeld veiligheid en betrouwbaarheid):

  • meer gegevens zorgen voor statistische uniciteit met een hogere mate van nauwkeurigheid. Biometrische ontdubbeling is wellicht de beste oplossing om het unieke karakter van een grote populatie vast te stellen. Echter, niet alle biometrische modi bieden dezelfde nauwkeurigheid.
  • verbeterde inclusie- en fouttolerantie: (meer) verschillende modi kunnen de kans vergroten dat alle leden van de bevolking een biometrisch monster kunnen verstrekken. Bepaalde biometrie kan voor sommige mensen moeilijk of onmogelijk zijn om betrouwbaar af te geven waardoor multimodale biometrie en / of passende technische en procedurele maatregelen nodig zijn om uitsluiting te verminderen.1
  • mensen met criminele bedoelingen, kunnen zich richten op het bedreigen van iemands biometrisch kenmerk. Dat zal mislukken als ook een tweede biometrische kenmerk is geverifieerd. Het is een enorme uitdaging voor criminelen om twee monsters van biometrische gegevens van dezelfde persoon te krijgen;
  • maakt het mogelijk verschillende biometrie (fusie) te zien voor ontdubbelen en verificatie. Bepaalde biometrische modaliteiten kunnen optimaal zijn voor het uitvoeren van dubbele biometrische registraties (vingerafdrukken voor 1:N- of N:N-matching2), terwijl andere mogelijk optimaal of voldoende zijn voor gebruik tijdens verificatie (gezichtsherkenning voor 1:1-matching3) [5].

Biometrie is geen wondermiddel. Met behulp van biometrische matching moeten de algoritmen op bepaalde toleranties worden ingesteld om de veiligheid te kunnen garanderen. Biometrie werkt in de rijken van risico’s en waarschijnlijkheden. Uiteindelijk moet het gebruik van biometrie worden gezien als één tool. Zoals alle technologieën kunnen worden ondermijnd, is dat ook mogelijk met biometrie.

Bijvoorbeeld: een persoon kan unieke frauduleuze identiteiten hebben in meerdere staten omdat de biometrische informatie wordt niet gecombineerde met andere (bestaande) identiteitssystemen. Opgeslagen biometrische gegevens moeten naar behoren worden beschermd. Het zou niet mogelijk moeten zijn dat elke ongeautoriseerde organisatie /persoon gebruik maakt van verzamelde biometrische gegevens, ze verder deelt en/of bewaart.4

Biometrische gegevens moeten overeenkomstig met de nationale wet worden ingezet, waar deze het meest effectief en gepast is en in overeenstemming met de principes van doel, specificatie, noodzaak en evenredigheid. Het publiek moet proactief geïnformeerd worden over datagebruik om vertrouwen te winnen in zowel het systeem als het gebruik en toezicht [4].

4    Referenties

[1]    Anil K. Jain, Karthik Nandakumar, Arun Ross (2016). 50 years of biometric research: Accomplishments, challenges, and opportunities. DOI: 10.1016/j.patrec.2015.12.013
[2]    Didier Meuwly, Nigel Baker (2020). Biometrics in the aliens’ identity chain. A literature study. Universiteit Twente. Wetenschappelijk Onderzoek- en Documentatiecentrum. Project 2965.
[3]    Digital Identity Guidelines: Enrollment and Identity Proofing (June 2017). NIST 800-63A:2017
[4]    Esther Keymolen, Merel Noorman, Bart van der Sloot, Colette Cuijpers, Bert-Jaap Koops, Bo Zhao (2020). Op het eerste gezicht. Een verkenning van gezichtsherkenning en privacyrisico’s in horizontale relaties. Universiteit van Tilburg. Wetenschappelijk Onderzoek- en Documentatiecentrum.
[5]    ID4D Practitioner’s Guide: Version 1.0 (October 2019). Washington, DC: World Bank Group.
World Bank Document
[6]    Didier Meuwly (2 oktober 2018). Biometrics in ID Documents. Potential and Limits of the Facial and Fingerprint Modes. [PowerPoint slides]. European Parliament, Strasbourg, France

 

Voetnoten

1 Het risico van uitsluiting: de systemen werken niet altijd en sommige mensen zullen minder snel herkend worden met als risico dat een persoon ten onrechte wordt buitengesloten. Zeker als de modellen niet goed om kunnen gaan met verschil- lende etniciteit, afwijkingen of seksen kan dit een gestigmatiseerd effect hebben. Ook hier is het daarom van belang dat er altijd een terugval mogelijkheid is om personen bijvoorbeeld bij falende gezichtsherkenningstechnologie alsnog te registreren. Voor mensen die vaak niet worden herkend door de systemen, kan dit een belemmering zijn en kan leiden tot stigmatisering. Het foutief herkennen van mensen kan leiden tot uitsluiting, discriminatie en sociaal ongemakkelijke omstandigheden.

2 Identificatie (1-to-many matching). Identificatie wordt gebruikt om de identiteit van een persoon te achterhalen wanneer de identiteit is onbekend, of wanneer de autoriteit probeert het biometrisch te bevestigen wie de aanvrager is. Is die uniek en nog niet bekend in het systeem onder een andere identiteit. In tegenstelling tot verificatie, het identificatieproces vereist een centrale database. Zonder een databank met records is het proces van identificatie niet mogelijk. Voor een identificatiepro- ces levert de persoon een live biometrie monster (d.w.z. er wordt een foto of vingerafdruk genomen). De gegevens worden verwerkt en het biometrische template wordt met alle geregistreerde templates in de database vergeleken om een match te vinden (of een lijst met mogelijke kandidaten). Het onderhoud van de integriteit van de database is essentieel om individuen te beschermen van identiteitsdiefstal.

3 Verificatie (1-op-1 matching). Verificatie (1-op-1 matching) is om ervoor te zorgen dat een persoon overeenkomt met het bekende biometrische kenmerk. Er zijn twee soorten verificatie mogelijk: met gecentraliseerde opslag en decentraliseerde opslag. Als er een gecentraliseerde database bestaat, wordt deze eenmaal aangemaakt bij inschrijving en bijgewerkt met elke aanvraag, waar alle biometrische gegevens en de bijbehorende identiteiten worden opgeslagen. Het biometrische monster van de geclaimde identiteit wordt opgehaald uit de database (d.w.z. door te zoeken voor uniek documentnummer). Dit wordt dan vergeleken met het leven monster, wat vervolgens resulteert in een match of een non-match.

4 Voor het verwerken van biometrische gegevens geldt een ‘nee-tenzij ’regime, in tegenstelling tot de verwerking van gewone, niet-bijzondere persoonsgegevens, waarvoor een ‘ja-mits ’regime geldt. Gelet op artikel 9, tweede lid, onderdeel g, van de AVG, is het verbod om biometrische gegevens met het oog op de unieke identificatie van een persoon te verwerken niet van toepassing, indien de verwerking noodzakelijk is van zwaarwegend algemeen belang (authenticatie of beveiligingsdoelein- den). Nog steeds moet men uitgaan van de redenering van noodzakelijkheid, proportionaliteit en subsidiariteit.

 

Bijlage Verdieping Ecosysteem Onderzoeksrapport DBI

Gebruikerstoepassing wallet EU-lidstaat (over de grens)

Ricardo start een bedrijf in Nederland en meldt zich aan bij de KvK

Ricardo komt uit Italië en is in het bezit van een (IT) wallet met een (IT) DBI. Hij wil in Nederland een bedrijf starten en meldt zich hiervoor aan bij de KvK.
De voorwaarden hiervoor zijn:

  • Ricardo heeft een Italiaanse wallet ((IT) wallet) met een Italiaanse DBI (IT DBI). Hierbij is de aanname gedaan dat Italië een DBI uitgeeft.
  • Ricardo heeft zich in de Registratie Niet Ingezetenen (RNI) ingeschreven en heeft hiermee een BSN en een DBI van Nederland gekregen (NL) DBI.
  • Ricardo heeft een NL-bankrekening geopend en een NL-bankattest met status bevroren (geld zeker drie maanden op rekening). Dit bankattest bevat het banknummer, de hoeveelheid geld, en is digitaal getekend door de bank.
  1. Ricardo opent met zijn telefoon de website van de KvK en logt in met zijn (IT) wallet. De website genereert een deeplink en toont deze.
  2. Ricardo selecteert de deeplink en wordt doorgelinkt naar zijn (IT) wallet.
  3. Ricardo opent zijn (IT) wallet met zijn pincode. De (IT) wallet weet door de deeplink welke attest gedeeld moet worden, namelijk het Nederlandse identiteitsattest. Deze komt uit de (NL) DBI.
     
  4. Ricardo geeft akkoord voor het doorsturen van zijn attest en voert zijn pincode in.
    Het attest van Ricardo worden doorgestuurd naar de KvK. KvK controleert of de attest integer, authentiek en betrouwbaar zijn en de status geldig is, maar ook of de wallet authentiek en niet gehackt is. Ricardo wordt vervolgens doorgeleid naar de website van KvK.
     
  5. Ricardo opent op de website van KvK de dienst ‘Start een bedrijf’.
    De gegevens van het Nederlandse identiteitsattest worden ingeladen en Ricardo vult het formulier met overige gegevens met de hand in. Ook wordt een lijst met attesten getoond die Ricardo verplicht is om met de KvK te delen, zoals een NL-bankattest.
     
  6. De gegevens van Ricardo worden automatisch met behulp van zijn Nederlandse identiteitsattest ingevuld. Ricardo vult de ontbrekende gegevens in en controleert of hij alle benodigde attesten in zijn (IT) wallet heeft.
    Informatie: Als Ricardo niet in het bezit is van de benodigde attesten dan zal hij deze moeten ophalen.
     
  7. Ricardo geeft akkoord door het invoeren van zijn pincode.
    KvK voert technisch allerlei controles uit zoals het controleren van de betrouwbaarheid en aanwezigheid van de benodigde attesten. Als alles akkoord is dan wordt een deeplink door de website KvK gegenereerd.
     
  8. Ricardo selecteert de deeplink en accepteert dat het ’KvK-attest’ aan zijn (IT) wallet wordt toegevoegd. De (IT) wallet vraagt of Ricardo akkoord is met het doorsturen van zijn attest.

Gebruikerstoepassing vertegenwoordiging en status attest verandert

Ahmed koopt de auto van de moeder van Kees en schrijft deze over Ahmed wil de auto kopen van de moeder van Kees. De auto wordt overgeschreven en op naam van Ahmed gezet.


De voorwaarden om dit te kunnen doen zijn:

  • Kees mag namens zijn moeder handelingen verrichten. Daartoe heeft hij een machtigings-attestatie in zijn (NL) wallet.
  • De auto is van 2015 en hiermee bestaat het kentekenbewijs uit 2 delen: het kentekenbewijs en het bewijs tenaamstelling met 4-cijferige code. Deze bewijzen heeft Kees al in de vorm van een attest in zijn (NL) wallet.
  • De laatste 5 cijfers heeft de moeder Kees destijds apart in een brief van de RDW ontvangen.
  1. Ahmed opent met zijn telefoon de website van de RDW en logt met zijn (NL) wallet in. Ahmed selecteert de mogelijkheid om een auto op zijn naam over te schrijven. De website genereert een deeplink en toont deze.
  2. Ahmed selecteert de deeplink en wordt doorgelinkt naar zijn (NL) wallet.
  3. Ahmed opent zijn (NL) wallet met zijn pincode. De (NL) wallet weet door de deeplink welk gegeven met RDW gedeeld moet worden, namelijk de DBI van Ahmed. De (NL) wallet vraagt of Ahmed akkoord is met het doorsturen daarvan.
     
  4. Ahmed geeft akkoord en voert zijn pincode in. De gegevens van Ahmed worden doorgestuurd naar de RDW. RDW controleert geautomatiseerd of de gegevens integer, authentiek, betrouwbaar zijn en de status ‘geldig’ hebben, maar ook of de wallet authentiek en niet gehackt is.
  5. Ahmed selecteert op de website van de RDW de dienst “Voertuig overschrijven”. De gegevens uit de DBI van Ahmed worden ingeladen en Ahmed vult het formulier met overige gegevens met de hand in.
  6. Ahmed vult het emailadres en telefoonnummer van Kees in. RDW voert technisch allerlei controles uit zoals het controleren van de betrouwbaarheid en aanwezigheid van de benodigde bewijzen. Als alles akkoord is dan wordt een deeplink door de website RDW gegenereerd die naar Kees via de mail of sms wordt gestuurd.
  7. Kees opent zijn mail en selecteert de deeplink.
  8. Kees wordt doorgelinkt naar zijn (NL) wallet en opent deze met zijn pincode.
  9. De (NL) wallet weet door de deeplink welke gegevens gedeeld moeten worden, namelijk de DBI van Kees, de verklaring tenaamstelling, het kentekenbewijs en
    het bewijs dat zijn moeder hem heeft gemachtigd namens haar rechtshandelingen mag verrichten.
     
  10. Kees geeft aan zijn DBI en de gevraagde bewijzen met de RDW te willen delen en voert de vijfcijferige code van het bewijs tenaamstelling in en daarna zijn pincode.
    De gegevens worden doorgestuurd naar de RDW. RDW controleert of de gegevens integer, authentiek, betrouwbaar is en de status ‘geldig’ heeft, maar ook of de wallet authentiek en niet gehackt is. Achmed ontvangt in zijn (NL) wallet het bericht dat de volgende nieuw opgestelde bewijzen klaarstaan: bewijs tenaamstelling en het kentekenbewijs.
  11. Ahmed accepteert en wordt gevraagd eerst voor de overschrijving te betalen. Ahmed betaalt met IDEAL en wordt doorgeleid naar de bewijzen. De (NL) wallet weet door de deeplink welk bewijzen ontvangen moeten worden. De (NL) wallet vraagt of Ahmed akkoord is met het ontvangen daarvan.
  12. Ahmed geeft aan de bewijzen te willen ontvangen en voert zijn pincode in. RDW creëert een deeplink die naar de (NL) wallet van Kees wordt gezonden.
  13. Ahmed selecteert de deeplink en accepteert dat het bewijs tenaamstelling met 4-cijferige code en het kentekenbewijs aan zijn (NL) wallet worden toegevoegd.

Nadat Ahmed heeft geaccepteerd en de bewijzen zijn toegevoegd aan zijn (NL) wallet, hebben het bewijs tenaamstelling en kentekenbewijs in de (NL) wallet van Kees de status inactief gekregen en ontvangt Kees het bewijs van vrijwaring van de auto. Ahmed ontvangt bericht als Kees het bewijs van vrijwaring heeft geaccepteerd. Daarnaast ontvangt Ahmed een brief van de RDW met de vijfcijferige code die hij moet gebruiken bij het overschrijven van de auto.

Gebruikerstoepassing In-persoon leeftijdsverificatie 18+

Marcel alias Daredevil wil de disco in. Marcel gaat als Daredevil door het leven. Marcel is blind. Hij wil niet dat in zijn omgeving bekend is dat hij Marcel heet en hij wil

zijn naam daarom niet delen als dit niet nodig is. Met de (NL) wallet en DBI is dit mogelijk.

  1. De portier van disco Tomorrowland spreekt Daredevil aan en vraagt of hij ouder is dan 18 jaar.
  2. Marcel alias Daredevil opent zijn (NL) wallet en voert zijn pincode in.
    Informatie: De (NL) wallet is toegankelijk en voldoet aan de WCAG 2.1 AA. Dit betekent dat Daredevil zijn (NL) wallet-app kan bedienen met de standaard hulpmiddelen die een telefoon biedt. Tijdens het invoeren van de pincode ontvangt Daredevil audio en haptic feedback.
  3. Daredevil selecteert binnen de (NL) wallet ‘leeftijdscontrole’, waarmee het attribuut 18+ wordt geselecteerd.
    De (NL) wallet genereert een QR-code en haalt de foto van Daredevil op. Deze QR-code bevat het 18+ attest van Daredevil en daarboven is zijn foto afgebeeld.
  4. Daredevil toont de QR-code met foto. De portier scant deze QR-code en controleert of de foto overeenkomt met Daredevil.
    Voor verificatie wordt verbinding gemaakt tussen de verificatie-app van de portier en de (NL) wallet van Daredevil.
  5. In de (NL) wallet krijgt Daredevil een verzoek om zijn leeftijdscontrole uit te voeren. Daredevil accepteert dit en voert zijn pincode in.
    Informatie: Daredevil heeft de mogelijkheid om de tijd te verlengen waarbinnen de aanvraag geaccepteerd of geweigerd moet worden.
  6. De portier ontvangt een bericht dat Daredevil ouder is dan 18 jaar door een groen vinkje. Daredevil ontvangt hiervan een bevestiging in zijn (NL) wallet.
  7. Daredevil mag Tomorrowland in, bestelt een biertje en heeft de avond van zijn leven

Toekomstscenario Gebruikerstoepassing Reizen deel 1

Lisa start haar reis vanuit huis
Lisa heeft drie maanden geleden bij de KLM een reis naar Bonaire geboekt. Morgen vertrekt zij en ze checkt daarom in via de KLM-website.

  1. Lisa opent met haar telefoon de website van de KLM en logt in met haar (NL) wallet.
    De website genereert een deeplink en toont deze.
  2. Lisa selecteert de deeplink en wordt doorgelinkt naar haar (NL) wallet.
  3. Lisa opent haar (NL) wallet met haar pincode. De (NL) wallet weet door de deeplink welk attest gedeeld moet worden, namelijk het Digital Travel Credential -attest (DTC-attest). De (NL) wallet vraagt of Lisa akkoord is met het doorsturen van haar attest naar de luchtvaartmaatschappij KLM.
  4. Lisa accepteert het verzoek tot het delen van informatie met KLM en voert haar pincode in.
  5. Lisa geeft op de KLM-website aan dat ze wil inchecken voor haar reis naar Bonaire.
    Er worden opties op het scherm getoond: zitplaats, diner etc.
  6. Lisa geeft haar voorkeuren aan en bevestigt haar keuze.
    De KLM-website genereert een deeplink voor het delen van haar DTC-attest dat nodig is om online in te checken en de grens te passeren.
    De (NL) wallet vraagt of Lisa akkoord is met het doorsturen van haar DTC- attest naar KLM en de Koninklijke Marechaussee. KLM ontvangt geen BSN.
  7. Lisa selecteert de deeplink en geeft akkoord voor het delen van haar DTC-attest met beide organisaties door het invoeren van haar pincode.
    Het DTC-attest wordt verstuurd naar KLM en Koninklijke Marechaussee, conform de internationale ICAO-standaarden.
  8. Lisa rondt de online check-in af
     

Gebruikerstoepassing Reizen deel 2

Lisa vertrekt van Schiphol
Lisa vliegt vandaag naar Bonaire. Ze reist naar Schiphol. Er zijn hierbij 2 opties mogelijk:
1a. Lisa is in het seamless proces op de luchthaven al ingelicht dat zij door de geautomatiseerde grensovergang mag.
1b. Lisa is in het seamless proces op de luchthaven ingelicht dat zij niet door de geautomatiseerde grensovergang mag en dat zij zich moet melden bij de balie van de Koninklijke Marechaussee.

2a Als Lisa door de geautomatiseerde grensovergang mag dan wordt een foto van het gezicht van Lisa gemaakt. De gemaakte foto wordt vergeleken met de foto uit het DTC-attest die Lisa in Reizen deel 1 gestuurd heeft. Lisa legt haar telefoon op de scanner. De biografische data worden vergeleken met het DTC-attest dat Lisa in Reizen deel 1 gestuurd heeft. Als alles juist is, dan gaat het poortje open. Lisa vervolgt haar reis op de luchthaven.

2b Als Lisa te horen heeft gekregen dat ze naar de balie van de Koninklijke Marechaussee moet dan zal ze zich daar identificeren door haar DTC-attest in de vorm van een QR-code met foto te tonen. Lisa selecteert 'identificeren' in haar (NL) wallet en volgt de handelingen van een in persoon-identificatie. De beambte scant de QR-code en controleert of de foto overeenkomt met Lisa. Als alles in orde is mag Lisa doorlopen en vervolgt ze haar reis op de luchthaven.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 1

Ayanna maakt afspraak met Buitenlandse Zaken (betrouwbaarheidsniveau substantieel)
Ayanna woont sinds kort in Australië. Zij wil vanuit huis haar DBI aanvragen en uiteindelijk aan haar mobiele (NL) wallet koppelen. Zij heeft haar (NL) wallet al op haar telefoon gedownload. Zij is in de Registratie Niet Ingezetenen (RNI) ingeschreven en dus in het bezit van een BSN.

Voorwaarden:

  • Ayanna heeft DigiD met eenmalige identiteitscontrole waarmee haar DigiD het betrouwbaarheidsniveau ‘substantieel’ heeft.
  • Ayana heeft haar e-mailadres en haar telefoonnummer toegevoegd aan ‘Mijn DigiD’.
  • De (NL) wallet kent twee verschijningsvormen: cloud-based en mobiel. In deze klantreis wordt tijdens stap ‘b’ een cloud-based (NL) wallet beschikbaar gesteld aan Ayanna.
  • In stap ‘c’ wordt de mobiele (NL) wallet gekoppeld aan de cloud-based (NL) wallet en aan de DBI van Ayanna.
  1. Ayanna gaat via haar telefoon naar de website van NL Wereldwijd (24/7) om een afspraak te maken voor het aanvragen van haar DBI (en cloud-based (NL) wallet).
  2. Ayanna logt in met haar DigiD-app op haar telefoon. Dit is een inlogmiddel op betrouwbaarheidsniveau substantieel (zie voorwaarden).
    Informatie: Afhankelijk van het betrouwbaarheidsniveau van het inlogmiddel wordt bepaald welke stappen gevolgd moeten worden. Hoe hoger het niveau hoe minder stappen er nodig zijn voor identificatie en authenticatie. DigiD stuurt het e-mailadres en telefoonnummer van Ayanna naar NL Wereldwijd. NL Wereldwijd zoekt in de BRP naar de persoonsgegevens van Ayanna en toont deze op het scherm. Daarnaast worden de mogelijkheden van afspraken getoond.
  3. Ayanna selecteert een datum en tijdstip, bevestigt deze en sluit de pagina. NL Wereldwijd voert een aantal controles. Bij akkoord wordt een bevestiging van de afspraak per sms naar Ayanna gestuurd.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 2

Ayanna heeft een afspraak met Buitenlandse Zaken voor uitgeven DBI en het activeren van haar cloud-based wallet

Ayanna heeft een link via een sms ontvangen. 15 minuten voor aanvang afspraak:

  1. Ayanna selecteert de link en wordt doorgeleid naar de NL Wereldwijd-website.
  2. Zij logt in met haar DigiD-app. NL Wereldwijd heeft in een eerder stadium het telefoonnummer van Ayanna ontvangen van DigiD en stuurt Ayanna een sms met een controlewoord.
  3. Ayanna voert het controlewoord op de NL Wereldwijd-website in. Ayanna wordt doorgeleid naar de afspraak en gevraagd om haar camera te activeren.
  4. Ayanna activeert haar camera en de medewerker van NL Wereldwijd is zichtbaar in beeld. Ayanna ontvangt een verzoek voor overname van haar camera en het maken van een gezichtsopname door de medewerker.
  5. Ayanna accepteert het verzoek en de medewerker maakt een foto van Ayanna.
    Om de identiteit vast te stellen wordt de gemaakte foto met de foto in de database van het RAAS vergeleken. Na een positief resultaat stelt de medewerker enkelecontrolevragen en wordt Ayanna gevraagd haar hoofd te bewegen.
  6. Ayanna beantwoordt de vragen en beweegt met haar hoofd. Als alle controles positief zijn en de identiteit is vastgesteld dan activeert de medewerker de cloud-based wallet en koppelt de DBI van Ayanna aan de cloud-based (NL) wallet. De afspraak is hiermee voltooid.

Gebruikerstoepassing op afstand aanvraag en uitgifte deel 3

Ayanna koppelt haar DBI vanuit haar cloud-based (NL) wallet aan haar mobiele (NL) wallet op haar mobiele telefoon

Voorwaarde: de cloud-based wallet is onderdeel van ‘Mijn Overheid’.

  1.  Ayanna logt met haar DigiD-app op haar telefoon in op Mijn Overheid. Mijn Overheid genereert een deeplink om haar (NL) wallet te activeren en haar DBI op te halen.
  2. Ayanna selecteert de deeplink in Mijn Overheid en wordt naar haar mobiele (NL) wallet doorgelinkt.
  3. Ayanna opent haar mobiele (NL) wallet en voert de pincode in. Mijn Overheid stuurt een sms met controlewoord.
  4. Ayanna leest de sms en voert het controlewoord in.
    De mobiele wallet wordt veilig gekoppeld aan de cloud-based wallet en aan de DBI van Ayanna. Hierna is de (NL) wallet geactiveerd op haar mobiele telefoon. Ayanna ontvangt een bericht in de mobiele (NL) wallet dat zij haar DBI uit de cloud-based wallet kan downloaden.
  5. Ayanna geeft akkoord om deze te downloaden. Zij voert vervolgens haar pincode in.
    De DBI is gekoppeld aan haar mobiele (NL) wallet. Een exemplaar blijft in de cloud-based wallet beschikbaar. Het voordeel hiervan is dat Ayanna bij verlies of wisseling van haar telefoon haar DBI zonder tussenkomst van de overheid kan downloaden in de (NL) wallet van haar nieuwe mobiele telefoon.

 

Gebruikerstoepassing Aanvraag en uitgifte deel 1

Sam installeert zijn (NL) wallet thuis
Het koppelen van de DBI aan de (NL) wallet kan aan de balie van een uitgevende instantie zoals een gemeente plaatsvinden. Hiervoor installeert Sam vooraf thuis op de bank de (NL) wallet en maakt een afspraak bij de uitgevende instantie van zijn woonplaats.

Sam doorloopt de volgende stappen thuis:

  1. Sam downloadt de (NL) wallet in de App Store of Google Play.
  2. Sam opent de (NL) wallet en leest de uitleg over de app.
  3. Sam leest de instructies.
  4. Sam accepteert de gebruikersvoorwaarden.
  5. Sam stelt een PIN-code in voor zijn (Nl) wallet.
  6. Sam maakt een afspraak bij de gemeente om zijn (NL) wallet te koppelen aan zijn (NL) wallet aan de gemeentebalie.

Gebruikerstoepassing Aanvraag en uitgifte deel 2

Sam koppelt zijn DBI aan zijn (NL) wallet aan de gemeentebalie Na het instaleren van de (Nl) wallet gaat Sam naar de gemeente om zijn (NL) wallet aan zijn DBI te koppelen. Met een geldig identiteitsdocument kan Sam zich aan de balie identificeren. Daar wordt bijvoorbeeld de live gemaakte gezichtsopname vergeleken met de foto die is opgenomen in de chip van zijn identiteitsdocument. Na het succesvol doorlopen van het verificatieproces wordt de DBI aan de (NL) wallet gekoppeld.

Een voorwaarde om dit proces te kunnen doorlopen is dat Sam is ingeschreven in de BRP en een Nederlandse nationaliteit heeft. En dat Sam in het bezit is van een Nederlands paspoort. Sam doorloopt de volgende stappen aan de gemeentebalie:

1. Sam opent thuis de (NL) wallet met zijn pincode en leest de instructies over wat hij voor de afspraak moet meenemen.
2. Sam gaat naar de gemeente en loopt als hij aan de beurt is naar de balie. Hij opent zijn (NL) wallet met zijn pincode en leest de instructies of volgt de instructies van de medewerker van de gemeente op.

3A. Sam overhandigt zijn paspoort/identiteitskaart. De medewerker van de gemeente controleert of het paspoort/de identiteitskaart bij Sam hoort.
3B. De medewerker van de gemeente leest de chip van het paspoort/de identiteitskaart uit. Dit gebeurt volgens internationale standaarden.
3C. De medewerker van de gemeente voert controles uit.

4. Sam laat door de webcam op de balie een foto-opname van zijn gezicht maken. De opname wordt biometrisch vergeleken met de foto op de chip van het paspoort/de identiteitskaart. De medewerker van de gemeente controleert of de biometrische vergelijking goed is verlopen en geeft opdracht in de DBI-voorziening voor de uitgifte DBI voor Sam. De sleutel naar de authentieke bron wordt door de DBI-voorziening opgehaald.
5. Sam vervolgt de stappen van de (NL) wallet. De (NL) wallet genereert een code. De medewerker van de gemeente voert de code in. Er wordt een draadloze
beveiligde verbinding gemaakt tussen de DBI-voorziening en de (NL) wallet. Na sleuteluitwisseling tussen de (NL) wallet en de DBI-voorziening ontvangt Sam
de vraag om zijn pincode in te voeren.

6. Sam voert zijn pincode in en geeft toestemming om de DBI aan zijn (NL) wallet te koppelen. De medewerker ontvangt een bericht in de DBI-voorziening als de controles en
koppeling positief zijn verlopen. Na controle bevestigt de medewerker dat alles in orde is. Registratie van uitgifte DBI en activatie (NL) wallet van Sam vindt plaats.
Sam kan nu zijn (NL) wallet gebruiken.

Visuals klantreizen DBI

Document

Delen

Naslagwerk

Resultaat zelfevaluatie reisdocumenten 2022

Resultaat zelfevaluatie reisdocumenten 2022

Managementsamenvatting

Alle Nederlandse gemeenten, grensgemeenten en de openbare lichamen hebben in 2022 de zelfevaluatie Reisdocumenten uitgevoerd. Dit is een verplicht jaarlijks onderzoek dat is gericht op de toepassing van de beveiligingsmaatregelen en overige aspecten van het aanvraag- en uitgifteproces van reisdocumenten. De zelfevaluatie wordt uitgevoerd aan de hand van een vragenlijst. In dit rapport staat het resultaat van het onderzoek in 2022.

Het doel van de zelfevaluatie is om de gemeenten en openbare lichamen inzicht te geven of de werkprocessen volgens de wet- en regelgeving zijn ingericht en worden uitgevoerd en of de beveiliging van het aanvraag- en uitgifteproces voldoet. De resultaten van deze zelfevaluaties worden gerapporteerd aan de minister van Binnenlandse Zaken en Koninkrijksrelaties. In deze rapportage worden achtereenvolgens de opzet van het onderzoek beschreven, de gezamenlijke resultaten van de zelfevaluaties weergegeven en de acties voor kwaliteitsbevordering benoemd die de Rijksdienst voor Identiteitsgegevens (RvIG) uitvoert naar aanleiding van de resultaten.

Reisdocumenten-processen en ENSIA

In 2017 is de ENSIA (Eenduidige Normatiek Single Information Audit) ingevoerd waarbij de vragen over informatieveiligheid zijn overgeheveld van de vragenlijst reisdocumenten naar de ENSIA-vragenlijst. De ENSIA-vragen worden in de ENSIA-tool beantwoord. De overgebleven vragen zijn specifieke vragen over de reisdocumentenprocessen die in de Kwaliteitsmonitor worden beantwoord. De openbare lichamen voeren ENSIA niet uit, zij beantwoorden de informatieveiligheidsvragen in de Kwaliteitsmonitor.

Resultaat van de zelfevaluatie

In vijf verschillende thema’s zijn de vragen ondergebracht over eisen uit wet- en regelgeving. Voor deze thema’s met wettelijke verplichtingen moet worden gestreefd naar een 100% score. In het zesde thema zijn de vragen ondergebracht naar aanvullende kwaliteitsmaatregelen. Dit zijn aanbevelingen die niet verplicht zijn. In de tabel hieronder staan de zes thema’s met het totaalresultaat van alle gemeenten, grensgemeenten en openbare lichamen en het aantal van hen dat een 100% score heeft behaald per thema.

Resultaat per thema

THEMA

SCORE

Gemiddeld percentage

100% score

Gemeenten

(van 344)

100% score

Grensgemeenten

(van 12)

100% score

Openbare lichamen

(totaal 3)

1. Organisatie van de beveiliging

95,7%

219

6

1

2. Toegangsbeveiliging

96,5%

228

9

1

3. Naleving

91,3%

162

4

1

4. Aanvraag- en uitgifteproces

97,8%

257

7

0

5. Overig proces reisdocumenten

98,3%

295

10

3

6. Aanbeveling

91,4%

112

10

0

De thema’s 1 tot en met 3 bevatten de informatieveiligheidsvragen. De thema’s 4 tot en met 6 bevatten vragen over de processen rondom de reisdocumenten. Hoewel gestreefd moet worden naar 100% score op de thema’s 1 tot en met 5 is het behalen daarvan een uitdaging voor de meeste gemeenten. Van de 344 gemeenten behaalden er 97 een score van 100% op de eerste vijf thema’s (eisen) en behaalden 39 gemeenten een 100% score op alle thema’s.

Nader onderzoek door de minister

De Rijksdienst voor Identiteitsgegevens (RvIG) heeft namens de minister 60 gemeenten en alle 3 de openbare lichamen bezocht voor een nader onderzoek naar de betrouwbaarheid van het resultaat van de zelfevaluatie. Deze gemeenten zijn geselecteerd door middel van een gewogen steekproef. Allereerst zijn de gemeenten op basis van inwoneraantal ingedeeld in drie groepen: kleine, middelgrote en grote gemeenten. Vervolgens zijn uit elke groep willekeurig 20 gemeenten geselecteerd. RvIG heeft bij zijn bezoek gevraagd naar bewijsstukken en mondelinge onderbouwing op de gegeven antwoorden. Het algemene beeld van deze bezochte gemeenten is dat zij zorgvuldig omgaan met de uitvoering van de zelfevaluatie. Gemiddeld zijn 91% van de antwoorden van gemeenten in overeenstemming met de bevindingen van RvIG. Op de openbare lichamen stemde 95% van de antwoorden overeen. Daar waar de beantwoording niet overeenstemde was in de meeste gevallen sprake van een te positieve voorstelling van de praktijksituatie. De beschreven procedures voldeden in die gevallen vaak wel aan de eisen, maar uit de toelichting bleek dat de procedures niet consequent worden nageleefd.

Inleiding

De Nederlandse paspoorten en identiteitskaarten dragen bij aan de betrouwbare identificatie van personen. Het Nederlandse paspoort en de Nederlandse Identiteitskaart behoren, door de toepassing van een groot aantal verschillende echtheidskenmerken, tot de best beveiligde documenten ter wereld. Ook de beveiliging rondom de verstrekking en het beheer van deze documenten is van groot belang. Een jaarlijkse controle op de toepassing van de beveiligingsmaatregelen is geregeld in de Paspoortwet.

In 2022 hebben alle 344 gemeenten, 12 grensgemeenten en 3 openbare lichamen (totaal 359) een onderzoek uitgevoerd naar de toepassing van de beveiligingsmaatregelen, genoemd in de Paspoortuitvoeringsregeling Nederland, en de overige aspecten van het aanvraag- en uitgifteproces reisdocumenten. Deze zelfevaluatie Reisdocumenten wordt uitgevoerd door het invullen van een vragenlijst. Het doel van de zelfevaluatie is om de gemeenten en openbare lichamen inzicht te geven of de werkprocessen volgens de wet- en regelgeving zijn ingericht en worden uitgevoerd en of de beveiliging van het aanvraag- en uitgifteproces voldoet. De resultaten van deze zelfevaluaties worden gerapporteerd aan de minister van Binnenlandse Zaken en Koninkrijksrelaties.

In deze rapportage worden achtereenvolgens de opzet van het onderzoek beschreven, de gezamenlijke resultaten van de zelfevaluaties weergegeven, de resultaten van het Nader onderzoek en de acties voor kwaliteitsbevordering benoemd die de Rijksdienst voor Identiteitsgegevens (RvIG) uitvoert naar aanleiding van de resultaten.

Opzet van de zelfevaluatie

Door het invullen van de vragenlijst krijgen de gemeenten en openbare lichamen inzicht in de werking en beveiliging van het reisdocumentenproces. De vragen die volgen uit wet- en regelgeving , Baseline Informatiebeveiliging Overheid (BIO), en circulaires zijn onderverdeeld in vijf thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Met iedere vraag kunnen punten worden gescoord, de score per thema wordt uitgedrukt in het percentage van het maximaal haalbare punten. Gemeenten en openbare lichamen streven naar een 100% score op de thema’s die volgen uit wet- en regelgeving.

De thema’s waarover gerapporteerd wordt zijn:

  1. Organisatie van de beveiliging
  2. Toegangsbeveiliging
  3. Naleving
  4. Aanvraag- en uitgifteproces reisdocumenten
  5. Overig proces reisdocumenten
  6. Aanbeveling

Verloop cyclus zelfevaluatie

De cyclus van de zelfevaluatie startte op 1 juli 2022 met het beschikbaar stellen van beide vragenlijsten (Reisdocumenten en ENSIA). Vanaf 1 december 2022 konden de gemeenten en openbare lichamen de ingevulde vragenlijst definitief maken in de applicatie Kwaliteitsmonitor . Een uittreksel daarvan is vervolgens ondertekend door de burgemeester van de gemeente of gezaghebber van het openbare lichaam, waarna de resultaten zijn verzonden aan de minister van BZK.

Nader onderzoek door de minister

RvIG heeft 60 gemeenten en alle 3 de openbare lichamen geselecteerd voor het nader onderzoek naar de betrouwbaarheid van de uitvoering van de zelfevaluatie. Tijdens deze bezoeken wordt door adviseurs van RvIG de beantwoording van een deel van de vragen uit de zelfevaluatie onderzocht. De adviseurs verzoeken om bewijsstukken en mondelinge onderbouwing van de gegeven antwoorden op een selectie van vragen uit de zelfevaluatie.

Resultaten zelfevaluatie

In dit hoofdstuk staan de resultaten van alle onderdelen van de zelfevaluatie Reisdocumenten 2022 voor de doelgroepen gemeenten, grensgemeenten en openbare lichamen. Allereerst volgt voor elke   doelgroep een overzicht van het totaalresultaat van het onderzoek per thema. En wordt er een vergelijking gemaakt over de afgelopen 5 jaar, voor zover mogelijk. Daarna volgen de resultaten per thema.

Resultaat onderzoek gemeenten

De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De gemeenten behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 91,4% en 99% van de maximale score (zie grafiek 1). Op het thema Aanbeveling halen de gemeenten gemiddeld 82,1% van de maximale score. De scores van de zelfevaluatie Reisdocumenten in de periode 2018-2022 laat een stabiel beeld zien met een lichte stijging voor de meeste thema’s (zie grafiek 3). ). De terugval van de gemiddelde score op het thema aanbeveling dit jaar is veroorzaakt door toevoeging van een nieuwe vraag waardoor de verdeling van de te behalen punten is gewijzigd.

Grafiek 1 Score per thema in gemiddeld percentage

Image
grafiek 1

Van de 344 gemeenten behaalden er 97 een score van 100% op de eerste 5 thema’s (eisen) en behaalden 39 gemeenten een 100% score op alle thema’s.

Grafiek 2 Aantal gemeenten met een 100% score per thema

Image
grafiek 2

Grafiek 3 Gemiddelde score per thema afgelopen 5 jaar thema

Image
grafiek 3

Resultaat grensgemeenten

Het resultaat geeft het beeld dat 12 grensgemeenten grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De grensgemeenten behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 88,6% en 97,8,0% van de maximale score (zie grafiek 4). Vanwege de grote wijziging in de opzet is geen vergelijking met voorgaande jaren gemaakt.

Op het thema Aanbeveling scoren de grensgemeenten gemiddeld 92,7% van de maximale score. Door de vermindering van het aantal vragen is het effect van een antwoord groter dan bij de uitgebreide vragenlijst voor gemeenten. 1 van de 12 grensgemeenten scoort 100% op alle thema’s. Op de meeste thema’s scoort meer dan de helft van de grensgemeenten 100% (zie grafiek 5).

In 2021 is een grote wijziging doorgevoerd in de vragenlijsten van de 12 grensgemeenten. Dit zijn gemeenten waar Nederlanders die niet in Nederland staan ingeschreven een document kunnen aanvragen. Deze vragenlijst bevatte tot 2021 dezelfde vragen als de vragenlijst voor gemeenten, uitgebreid met de specifieke vragen over de speciale taken van de grensgemeenten. Dit betekende voor de grensgemeenten dat veel vragen twee keer werden beantwoord; een keer in de vragenlijst voor gemeenten en een keer in de vragenlijst voor grensgemeenten. Sinds 2021 is de vragenlijst voor de grensgemeenten daarom teruggebracht naar uitsluitend de specifieke vragen. Een vijfjaren grafiek geeft door deze wijziging een vertekend beeld en tonen we daarom niet.

Grafiek 4 Score grensgemeenten per thema in gemiddeld percentage

Image
grafiek 4

Grafiek 5 Aantal grensgemeenten met een 100% score per thema

Image
grafiek 5

Resultaat openbare lichamen

De 3 openbare lichamen laten op basis van de zelfevaluatie een mindere score zien dan de gemeenten. De openbare lichamen behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 90,2% en 100% van de maximale score (zie grafiek 6). Op het thema Aanbeveling halen de openbare lichamen gemiddeld 79%. De scores van de zelfevaluatie in de periode 2018-2022 laten een beeld zien met vooral een dip in 2021 en een herstel in 2022 voor alle thema’s (zie grafiek 7). Geen van de openbare lichamen voldoet 100% aan alle thema’s gekoppeld aan wet- en regelgeving.

Grafiek 6 Score openbare lichamen per thema in gemiddeld percentage

Image
grafiek 6

Grafiek 7 Resultaat zelfevaluatie openbare lichamen 2018-2022

Image
grafiek 7

Resultaat per thema

Thema Organisatie van de beveiliging

Binnen het thema Organisatie van de beveiliging beantwoorden de gemeenten en openbare lichamen vragen over de organisatie van de informatieveiligheid en de beveiligingsprocedures van het reisdocumentenproces. De gemiddelde score op dit thema is 96,0% van de maximale punten binnen dit thema. Ruim twee derde voldoet aan alle beveiligingseisen, 226 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores variëren van 55% tot 100% (zie grafiek 8).

Grafiek 8 Aantal gemeenten per score thema Organisatie van de beveiliging

Image
grafiek 8

Binnen het thema Organisatie van de beveiliging worden vragen gesteld over de onderstaande onderwerpen:

  • Mandatering van de bevoegdheden
  • Schriftelijke beveiligingsprocedure
  • Vastgesteld Informatiebeveiligingsbeleid
  • Aanwijzen functies
  • Beveiligingsmaatregelen tegen onheil en ontvreemding
  • Functiescheiding
  • Beveiligingsmaatregelen voor mobiele apparatuur
  • Beveiligingsbewustzijn medewerkers 
  • Gedocumenteerde bedieningsprocedures
  • Back-up-beleid
  • Geheimhoudingsverklaringen
  • Calamiteiten- en continuïteitsplannen

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 3 vragen uit dit thema gemeten. De vraag over de functiescheiding werd door 28% van de 60 bezochte gemeenten ten onrechte positief beantwoord. Vooral het naleven van de vereiste functiescheiding leidde tot deze beoordeling. De functiescheiding is wel vastgelegd in de procesbeschrijving van de gemeenten. De andere vragen die bij het nader onderzoek zijn beoordeeld gingen over beveiligingsbewustzijn en training van medewerkers. Die werden door 7,5% van de 60 bezochte gemeenten ten onrechte positief beantwoord.

Grafiek 9 Gemiddelde score thema Organisatie van de beveiliging 2018-2022

Image
grafiek 9

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en goed (zie grafiek 9).

Thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging beantwoorden de gemeenten en openbare lichamen vragen over fysieke en logische toegangsbeveiliging. De gemiddelde score is 96,5% van de maximale score binnen dit thema. Ruim 64% voldoet aan alle eisen, 228 van de 359 van de gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores variëren van 73,8% tot 100% (zie grafiek 10).

Grafiek 10 Aantal gemeenten per score thema Toegangsbeveiliging

Image
grafiek 10

Binnen het thema Toegangsbeveiliging worden vragen gesteld over de onderstaande onderwerpen:

  • Opslag van reisdocumenten
  • Kluis
  • Inbraakalarmsysteem
  • Verwijderinstructie
  • Opslag van vertrouwelijke informatie
  • Procedure transport van media
  • Classificering van de koeriers en transporteurs
  • Logische toegangsbeveiliging
  • Beheer van gebruikersautorisaties
  • Controle op de toegangsrechten
  • Isoleren van informatie
  • Wachtwoordeisen
  • Beveiligingszones
  • Meldingsprocedure van beveiligingsrisico's
  • Sleutelbeheer
  • Procedures voor werken in beveiligde gebieden
  • Gebruik van apparatuur buiten het gemeentehuis
  • (Automatisch) vergrendelen van werkplekken

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. Deze vraag gaat over het toepassen van een risicoafweging bij het toekennen van de autorisaties. De vraag werd door 23% van de bezochte gemeenten ten onrechte positief beantwoord.

Grafiek 11 Gemiddelde score thema Toegangsbeveiliging 2018-2022

Image
grafiek 11

De gemiddelde score van alle gemeenten op dit thema laat de afgelopen 5 jaar een stijgende lijn zien (zie grafiek 11).

Thema Naleving

Binnen het thema Naleving beantwoorden de gemeenten en openbare lichamen vragen over uitvoering en opvolging van verplichte controles. De gemiddelde score op dit thema is 91,4%. Minder dan de helft voldoet niet aan alle eisen, 168 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De spreiding van de individuele scores van gemeenten varieert van 44% tot 100% (zie grafiek 12).

Grafiek 12 Aantal gemeenten per score thema Naleving

Image
grafiek 12

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

  • Updaten van systemen
  • Beveiligingsrapportage
  • Procedure bij ontvreemding, vermissing of vernietiging van documenten
  • Verwerkersovereenkomsten met leveranciers
  • Beoordelen prestaties leveranciers
  • Incidentmelding
  • Testen van continuïteitsplannen
  • Vertaling van wetgeving naar maatregelen
  • Controle op verwerking van persoonsgegevens
  • Vastgesteld auditplan
  • Jaarlijkse controle van informatiesystemen

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. Deze vraag gaat over de bekendheid van medewerkers met de meldingsprocedure voor incidenten. De vraag werd door 7% van de bezochte gemeenten ten onrechte positief beantwoord.

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en redelijk (zie grafiek 13).

Grafiek 13 Gemiddelde score thema Naleving 2018-2022

Image
grafiek 13

Thema Aanvraag- en uitgifteproces

Binnen het thema Aanvraag- en uitgifteproces beantwoorden de gemeenten en openbare lichamen vragen over specifieke handelingen bij het proces van aanvragen en uitgifte van reisdocumenten. De gemiddelde score is 97,8% van de maximale score binnen dit thema. Bijna driekwart voldoet aan alle eisen, 264 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De spreiding van de individuele scores van gemeenten varieert van 63,8% tot 100% (zie grafiek 14).

Grafiek 14 Aantal gemeenten per score thema Aanvraag- en uitgifteproces

Image
grafiek 14

Binnen het thema Aanvraag- en uitgifteproces worden vragen gesteld over de onderstaande onderwerpen:

  • Controle van verblijfsdocumenten
  • Controle van de pasfoto's
  • Uitreiken na verhuizing
  • Identiteitsvaststelling
  • Onderzoek bij twijfel aan de identiteit
  • Controle op bezit van buitenlandse reisdocumenten
  • Vaststellen aanspraak op tweede paspoort
  • Verklaring van toestemming
  • Opnemen van vingerafdrukken
  • Toetsen van voorwaarden voor de aanvraag
  • Periode waarin beslissing op de aanvraag wordt genomen
  • In ontvangst nemen van de leveringen

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. Deze vraag gaat over de ontvangst van de leveringen. De vraag werd door 5% van de bezochte gemeenten ten onrechte positief beantwoord.

Grafiek 15 Gemiddelde score thema Aanvraag- en uitgifteproces 2018-2022

Image
grafiek 15

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en goed (zie grafiek 15).

Thema Overig proces reisdocumenten

Binnen het thema Overig proces reisdocumenten beantwoorden de gemeenten en openbare lichamen vragen over specifieke uitvoeringsprocedures rondom het proces van aanvragen en verstrekken van reisdocumenten. De gemiddelde score is 99% van de maximale score binnen dit thema. Het overgrote deel voldoet aan alle eisen, 308 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores van gemeenten variëren van 60% tot 100% (zie grafiek 16).

Grafiek 16 Aantal gemeenten per score thema Overig proces reisdocumenten

Image
grafiek 16

Binnen het thema Overig proces reisdocumenten worden vragen gesteld over de onderstaande onderwerpen:

  • Onbruikbaar maken van reisdocumenten
  • Controle van ingeleverde reisdocumenten
  • Definitieve onttrekking van reisdocumenten
  • Vernietiging van reisdocumenten
  • Vermissing van reisdocumenten uit de voorraad
  • Aangifte van vermissing
  • Archivering van dossierstukken
  • Aan het verkeer onttrekken van vervallen reisdocumenten
  • Gebruik van de signaleringslijst
  • Signaleringsprocedure
  • Contact met RvIG
  • Gevonden reisdocumenten
  • Acties bij vermoeden van fraude met een reisdocument

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 3 vragen uit dit thema gemeten. De vraag over de acties bij vermissing van een reisdocument uit de voorraad werd door alle bezochte gemeenten ten onrechte positief beantwoord. De vragen over de Signaleringsprocedure en de acties bij vermoeden van fraude met een reisdocument werden beide door 1 van de 60 gemeenten ten onrechte positief beantwoord.

Grafiek 17 Gemiddelde score thema Overig proces reisdocumenten 2018-2022

Image
grafiek 17

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en goed (zie grafiek 17).

Thema Aanbeveling

Binnen het thema Aanbeveling beantwoorden de gemeenten en openbare lichamen vragen over aanvullende beheersmaatregelen rondom het reisdocumentenproces. Omdat de vragen in dit thema niet direct volgen uit wet- en regelgeving zijn de gemeenten en openbare lichamen niet verplicht deze maatregelen te nemen. De gemiddelde score is 82,4% van de maximale score binnen dit thema. 128 van de 359 gemeenten, grensgemeenten en openbare lichamen scoren 100% op dit thema. De individuele scores variëren van 20% tot 100% (zie grafiek 18).

Grafiek 18 Aantal gemeenten per score thema Aanbeveling 

Image
grafiek 18

Binnen het thema Aanbeveling worden vragen gesteld over de onderstaande onderwerpen:

  • Onderwerpen in het beveiligingsplan
  • Toetsen van de juiste uitvoering van taken
  • Wijzigen pincode van de identificatiekaart
  • Vaststellen echtheid van documenten
  • Voorraadcontrole
  • Maatregelen tegen agressie en geweld
  • Alarmopvolging
  • De bekendheid met de circulaire Verbeterimpuls identiteitsvaststelling

Tijdens het nader onderzoek is bij 60 gemeenten de betrouwbaarheid van de antwoorden op 4 vragen uit dit thema gemeten. De vraag over de toetsing van de juiste uitvoering van taken werd door 16% van de gemeenten ten onrechte positief beantwoord. De vraag over het wijzigen van de pincode werd door 8% van de gemeenten ten onrechte positief beantwoord. De vraag over de bekendheid met de circulaire Verbeterimpuls identiteitsvaststelling werd door 3% van de gemeenten ten onrechte positief beantwoord. De vraag over het vaststellen van de echtheid van documenten werd door alle gemeenten terecht positief beantwoord.

Grafiek 19 Gemiddelde score thema Aanbeveling 2018-2022.

Image
grafiek 19

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar stabiel en redelijk (zie grafiek 19). De terugval van de gemiddelde score dit jaar is veroorzaakt door toevoeging van een nieuwe vraag waardoor de verdeling van de te behalen punten is gewijzigd.

Nader onderzoek

RvIG heeft 60 gemeenten en alle 3 de openbare lichamen bezocht ten behoeve van het nader onderzoek naar de betrouwbaarheid van uitvoering van de zelfevaluatie. Tijdens deze bezoeken is door adviseurs van RvIG met de deelnemers de beantwoording van een deel van de vragen uit de zelfevaluatie nader onderzocht. De adviseurs verzochten om bewijsstukken en mondelinge onderbouwing van de gegeven antwoorden op alle vragen uit het thema Aanvraag- en uitgifteproces. Op basis van dit onderzoek stelden de adviseurs vast of de gegeven antwoorden overeenstemden met de eigen bevindingen.

Interviews

Tijdens de bezoeken is gesproken met de volgende functionarissen:

  • Leidinggevende/afdelingshoofd Burger- of Publiekszaken;
  • Coördinator vragenlijst zelfevaluatie;
  • Medewerker aanvraag- en uitgifteproces reisdocumenten;
  • Medewerker backoffice reisdocumenten;
  • ENSIA-coördinator;
  • Beveiligingsfunctionaris.

Selectie van gemeenten

De selectie van gemeenten is door een gewogen steekproef gedaan. De gemeenten zijn aan de hand van het aantal inwoners eerst ingedeeld in drie strata;

Stratum 1: minder dan 25.000 inwoners

Stratum 2: tussen 25.000 en 50.000 inwoners

Stratum 3: meer dan 50.000 inwoners

Uit ieder stratum zijn 20 gemeenten willekeurig geselecteerd. Omdat de openbare lichamen tot nog toe niet werden bezocht voor een nader onderzoek is gekozen om hen alle 3 te bezoeken.

Selectie van vragen

De vragen die zijn getoetst bij het Nader onderzoek zijn niet willekeurig maar risico-gedreven geselecteerd. De vragen die zijn geselecteerd hebben allemaal een directe relatie met geconstateerde fraude en fouten waarover de staatssecretaris de Kamer informeerde in 2022. De vragen zijn bijgevoegd in bijlage 2.

Betrouwbaarheidsscore

Gemiddeld zijn 91% van de antwoorden van gemeenten in overeenstemming met de bevindingen van de adviseurs beantwoord, bij de openbare lichamen was 95% van de antwoorden in overeenstemming. Het algemene beeld van de bezochte 60 gemeenten is dat zij zorgvuldig omgaan met de uitvoering van de zelfevaluatie. Bij de antwoorden die niet in overeenstemming met de bevindingen van de adviseurs van RvIG waren beantwoord was de achtergrond het meest in een te positieve voorstelling van de praktijksituatie. De beschreven procedures voldeden in die gevallen vaak wel aan de eisen maar in de praktijk worden de procedures niet consequent nageleefd.

Monitoring 2022

RvIG geeft opvolging aan de gemeenten die een lage score hebben gerapporteerd bij de zelfevaluatie Reisdocumenten. Deze opvolging noemt RvIG monitoring. Op basis van de resultaten van de zelfevaluatie over 2022 zijn de gemeenten geselecteerd die in 2022 op 3 of meer thema's die zijn gekoppeld aan wettelijke eisen onder de 90% scoren. Met deze gemeenten is een gesprek gevoerd en indien noodzakelijk, een monitoringstraject afgesproken. Met 21 gemeenten heeft RvIG monitoringsgesprekken gevoerd op basis van de resultaten zelfevaluatie Reisdocumenten.

Het aantal lager scorende gemeenten blijft jaarlijks ongeveer gelijk, maar het zijn ieder jaar andere gemeenten die lager scoren. Het duurt over het algemeen enkele jaren voordat lager scorende gemeenten hun processen op orde hebben, maar als dit gerealiseerd is blijft dit meestal langere tijd op niveau.

Uit analyse van de monitoringsgesprekken blijkt dat de procedures bij de gemeenten meestal wel zijn beschreven, maar de uitvoering soms te wensen over laat. Gemeenten geven zelf aan als verklaring voor het achterblijvende resultaat:

  • Het vaststellen van een gemeentebreed continuïteitsplan is nog niet gerealiseerd, voor het reisdocumentenproces is er meestal wel een afzonderlijk plan aanwezig en dit wordt ook getest.
  • Gebrek aan voldoende tijd voor de uitvoering door personeelsgebrek.
  • Vacatures zijn moeilijk in te vullen.
  • Medewerkers die voor het eerst belast zijn met het uitvoeren van de zelfevaluatie bij een gemeente. Gebrek aan kennis en ervaring bij deze medewerkers leidde soms tot te voorzichtig beantwoorden.

Naast gesprekken met gemeenten op basis van het individuele resultaat, wordt ook gekeken naar de landelijke trends; op welke onderwerpen wil RvIG de aandacht bij alle gemeenten vestigen om tot een beter landelijk resultaat te komen. Op basis hiervan bespreekt RvIG met de gemeenten vooral of de actie is uitgezet om de onderwerpen informatie- en toegangsbeveiliging, (testen van) calamiteitenplannen te bespreken.  Daarnaast wordt het belang en de invulling van de rol van de beveiligingsfunctionaris onder de aandacht gebracht.

Bijlage 1 Geselecteerde gemeenten monitoringsbezoek

De gemeenten die een score van minder dan 90% op 3 of meer thema’s behaalden zijn bezocht door RvIG.

  • Aa en Hunze
  • Apeldoorn
  • Arnhem
  • Doetinchem
  • Halderberge
  • Hattem
  • Heeze-Leende
  • Leeuwarden
  • Meierijstad
  • Meppel
  • Nijmegen
  • Oldebroek
  • Oss
  • Putten
  • Stichtse Vecht
  • Veldhoven
  • Wageningen
  • Weert
  • Westerwolde
  • Woensdrecht
  • Zwolle Bijlage 1 Geselecteerde gemeenten monitoringsbezoek

Bijlage 2 Geselecteerde vragen Nader onderzoek

Thema 1. Organisatie van de beveiliging Antwoordmogelijkheden
6.1.2 Scheiding van taken  
    Conflicterende taken en verantwoordelijkheden behoren te worden gescheiden om de kans op onbevoegd of onbedoeld wijzigen of misbruik van de bedrijfsmiddelen van de organisatie te verminderen.  
6.1.2.1 Zijn er maatregelen getroffen om onbedoelde of ongeautoriseerde wijziging of misbruik van bedrijfsmiddelen waar te nemen of te voorkomen, door scheiding van taken?  
6.1.2.1.f Wordt voldaan aan de maatregel met betrekking tot de Reisdocumenten? ja/nee
7.2.2 Bewustzijn, opleiding en training ten aanzien van informatiebeveiliging  
    Alle medewerkers van de organisatie en, voor zover relevant, contractanten behoren een passende bewustzijnsopleiding en -training te krijgen en regelmatige bijscholing van beleidsregels en procedures van de organisatie, voor zover relevant voor hun functie.  
7.2.2.1 Zijn medewerkers op de hoogte van de regels en verplichtingen met betrekking tot informatiebeveiliging en de verantwoordelijkheid die voor hun functie van toepassing is?  
7.2.2.1.f Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten? ja/nee
7.2.2.2 Volgen medewerkers binnen drie maanden na indiensttreding een training I-bewustzijn?  
7.2.2.2.b Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten? ja/nee
Thema 2. Toegangsbeveiliging  
9.2.2.2 Worden toegangsrechten op basis van functiescheiding toegekend op grond van een risicoafweging?  
9.2.2.2.f Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten? ja/nee
Thema 3. Naleving  
16.1.2.3 Zijn interne en externe medewerkers op de hoogte van de meldingsprocedure van incidenten?  
16.1.2.3.a Wordt voldaan aan de maatregel met betrekking tot de wet- en regelgeving voor Reisdocumenten? ja/nee
Thema 4. Aanvraag- en uitgifteproces reisdocumenten  
12 Welke handelingen vinden plaats bij ontvangst van een zending? De ontvangstbevoegde toont de machtiging tot ontvangstneming en legitimeert zich met een WID-document.
    Op verzoek van de ontvangstbevoegde identificeert de besteller (bezorger) zich met een door de distribiteur beschikbaar gestelde legitimatie.
    De ontvangstbevoegde controleert of de zending juist is geadresseerd, het pakket onbeschadigd is en tekent op de handscanner van de besteller (bezorger) voor ontvangst.
    Indien de levering niet voor de locatie is bestemd of afwijkingen vertoont wordt altijd gehandeld volgens de foutafhandelingsprocedures (bijlage D - PUN).
    Bij beschadiging wordt het pakket in ontvangst genomen en in het bijzijn van de besteller (bezorger) gecontroleerd.
    Indien er sprake is van een afwijking of beschadiging wordt een proces-verbaal opgemaakt door de besteller (bezorger) en door de gemeente bewaard.
    Geen van de bovenstaande handelingen.
Thema 5. Overig proces reisdocumenten  
21 Welke acties onderneemt u bij een vermissing van reisdocumenten uit de voorraad? Er wordt onmiddellijk een inventarisatie opgemaakt van de aanwezige voorraad.
    Er wordt een onderzoek ingesteld.
    De autoriteit doet aangifte van de vermissing (maakt een proces-verbaal op)
    Er wordt door middel van een C7 formulier melding gemaakt van de vermissing naar RvIG om het nummer van het reisdocument te signaleren.
    De houder van het ontbrekende document wordt schriftelijk in kennis gesteld
    Het ontbrekende document wordt geregistreerd in het RAAS door het zetten van het vinkje bij aanvraag- opnieuw verzenden wegens niet uitgereikt - vermist uit opslag
    Geen van de genoemde acties
24 Maakt u gebruik van de signaleringsprocedure 24b? Ja
    Nee
25 Welke acties onderneemt u als een houder zich meldt met een vermoeden van mogelijke fraude met een kopie of documentnummer van zijn reisdocument? Het document wordt, als het overlegd wordt, op basis van het door de burger ingevulde C15-formulier aan het verkeer onttrokken.
    Het document wordt, als het aan het verkeer onttrokken is, in de BRP ingehouden.
    Om het nummer van het reisdocument te signaleren in het Basisregister reisdocumenten wordt een C7 formulier naar RvIG gestuurd.
    Geen van de genoemde acties
Thema 6. Aanbeveling  
26 Welke van de volgende taken van medewerkers, wordt minimaal eens per jaar getoetst op juiste uitvoering? Het vaststellen van de identiteit
    Het controleren van de echtheid van reisdocumenten
    Het controleren van de volledigheid van de aanvraag
    Het controleren van het gezag / toestemming
    Het accepteren van de foto
    Het bepalen van het recht op verstrekken
    Alertheid op fraudesignalen
    Het bijhouden van vakkennis
    Geen van de bovenstaande taken
27 Wanneer wijzigt de houder van de identificatiekaart de pincode? Direct na ontvangst en daarna elke 3 maanden 
    Alleen direct na ontvangst 
    De initiële pincode wordt niet gewijzigd
28 Controleert u de echtheidskenmerken van overgelegde brondocumenten bij de aanvraag van een reisdocument? Ja
    Nee
29 Zijn de medewerkers die betrokken zijn met het reisdocumentenproces geïnformeerd over de circulaire "verbeterimpuls identiteitsvaststelling? Ja
    Nee

Delen

Naslagwerk

Resultaat zelfevaluatie BRP 2022

Resultaat zelfevaluatie BRP 2022

Managementsamenvatting

De Basisregistratie Personen (BRP) is als centrale registratie van persoonsgegevens een van de belangrijkste registraties van Nederland. De overheid vertrouwt sterk op de BRP om haar burgers te bedienen, de kwaliteit van gegevens is daarom van groot belang en het is cruciaal dat de BRP goed beveiligd is tegen ongeautoriseerde toegang. De Nederlandse gemeenten zijn belast met de bijhouding van de persoonsgegevens van hun inwoners en de minister houdt de gegevens bij van niet ingezetenen. Jaarlijks onderzoek naar de inrichting, de werking en de beveiliging van de BRP, gecombineerd met een onderzoek naar de verwerking van gegevens in de BRP, is bij wet geregeld. Dit onderzoek staat bekend als de zelfevaluatie BRP. In dit rapport staan de resultaten van de zelfevaluatie BRP die in 2022 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet-ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP. Tot slot worden de acties voor kwaliteitsbevordering naar aanleiding van de resultaten benoemd.

Gemeentelijke BRP

Alle 344 Nederlandse gemeenten hebben in 2022 de zelfevaluatie BRP uitgevoerd. Aan de hand van de zelfevaluatie krijgen gemeenten inzichtelijk of werkprocessen in overeenstemming met wet- en regelgeving zijn ingericht en of de uitvoering daarvan leidt tot de gewenste kwaliteit van gegevens in de BRP. De resultaten van de zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties. De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. Het onderzoek naar de kwaliteit van gegevens laat zien dat uitvoering van de processen nog niet overal en altijd tot de gewenste kwaliteit van gegevens leidt.

Kwaliteit van de processen

Het resultaat van de vragenlijst over de processen wordt weergeven in 6 thema’s. 5 thema’s bevatten vragen volgend uit wet- en regelgeving. In het zesde thema zijn de vragen ondergebracht naar aanvullende kwaliteitsmaatregelen. Deze bestaan uit aanbevelingen die niet direct volgen uit wet- en regelgeving.
In tabel 1 staan de thema’s met het totaalresultaat van alle gemeenten (in percentage van de maximale score), het aantal gemeenten dat een 100% score heeft behaald en het aantal gemeenten dat een score van boven de 95% heeft behaald. De thema’s 1 tot en met 3 bevatten de informatieveiligheidsvragen. De thema’s 4 tot en met 6 bevatten de vragen over de processen van de BRP. Hoewel gestreefd moet worden naar 100% score voor de thema’s 1 tot en met 5 komen door het uitvoeren van de zelfevaluatie bij veel gemeenten nog verbeter- of aandachtspunten naar voren. In 2022 behaalden 9 gemeenten een 100% score op alle thema’s en 56 gemeenten behaalden een 100% score op de eerste 5 thema’s (eisen).

THEMA

SCORE 

Gemiddeld in %   

Aantal gemeenten score 100%

Aantal gemeenten score boven 95%

1. Organisatie van de beveiliging 95,10% 219 219
2. Toegangsbeveiliging 96,70% 227 252
3. Naleving 89,60% 178 178
4. Bijhouding van de BRP 97,70% 164 294
5. Verstrekking van gegevens 97,90% 264 293
6. Aanbeveling 82,40% 23 63

Kwaliteit van de gegevens

De Rijksdienst voor Identiteitsgegevens (RvIG) controleert, door middel van een bestandscontrole, de administratieve kwaliteit van de BRP-gegevens. De uitkomst van de controle maakt deel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn van 21,8 miljoen persoonslijsten de BRP-gegevens gecontroleerd. 12 gemeenten scoren op een of meer klassen n de algemene en administratieve gegevens onder de vastgestelde normen. Bij 99,95% van de persoonslijsten is er geen enkele afwijking uit de bestandscontrole gekomen.

De gemeenten hebben in totaal 18.937 door RvIG geselecteerde persoonslijsten handmatig gecontroleerd op de inhoudelijke kwaliteit. RvIG selecteert de persoonslijsten op basis van het vaste thema ‘Eerste inschrijvingen in de BRP’. Daarnaast wordt jaarlijks een tweede thema vastgesteld. In 2022 zijn dit ‘Actualiseringen en correcties in de categorieën met ouder-, kind- of partnergegevens’. De controle is uitgevoerd aan de hand van de bijbehorende brondocumenten en aangiften. Op de geselecteerde persoonslijsten zijn door de gemeenten 3590 afwijkingen geconstateerd. Dit resultaat geeft aan dat de gerealiseerde kwaliteit van gegevens in de BRP om verbetering vraagt. Niet alle geconstateerde afwijkingen zijn fouten in de registratie; 17% van de afwijkingen betrof het niet terug kunnen vinden van het onderliggende brondocument.

Nader onderzoek door de minister

RvIG heeft 30 gemeenten bezocht om de kwaliteit van de uitgevoerde inhoudelijke controle te toetsen. Bij deze gemeenten zijn de persoonslijsten steekproefsgewijs door RvIG-adviseurs opnieuw gecontroleerd. 22 van de 30 gemeenten hebben een onvoldoende resultaat. Bij die gemeenten werden door RvIG op meer dan 15% van de gecontroleerde persoonslijsten afwijkingen geconstateerd die door de gemeente tijdens de eigen controle niet waren opgemerkt. De oorzaak van het niet opmerken van die afwijkingen is voornamelijk een gebrek aan kennis bij de medewerkers van de bezochte gemeenten.

RNI-loketgemeenten

Voor het inschrijven van niet-ingezetenen heeft de minister 19 RNI-loketten beschikbaar bij gemeenten. De loketgemeenten voeren jaarlijks een zelfevaluatie uit die bestaat uit een vragenlijst ingedeeld in 6 thema’s. De thema’s komen overeen met de thema’s van het gemeentelijk deel van de BRP. Alle RNI-loketgemeenten hebben in 2022 de zelfevaluatie RNI uitgevoerd. In de tabel hieronder staan de 6 thema’s met het totaalresultaat van alle 19 RNI-loketgemeenten (in percentage van de maximale score) en het aantal daarvan dat een 100% score heeft behaald.

THEMA

SCORE   

Gemiddeld in %

Aantal

 Score 100%

1. Organisatie van de beveiliging

92,2%

13

2. Toegangsbeveiliging

93,4%

17

3. Naleving

96,3%

16

4. Bijhouding van de BRP

95,2%

9

5. Verstrekking

100%

19

6. Aanbeveling

97,3%

16

Centrale voorzieningen BRP

De minister voert jaarlijks een onderzoek uit naar de inrichting, de werking en de beveiliging van de centrale voorzieningen van de BRP en de verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is. De centrale voorzieningen zijn de BRP-V (verstrekking van BRP-gegevens aan afnemers), de RNI, de Terugmeldvoorziening (TMV 2.0) en de berichtendienst voor afnemers. Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader en een vragenlijst voor de processen van de RNI. In de tabel hieronder staan de resultaten van dit onderzoek per onderdeel van de centrale voorzieningen (in percentage van de maximale score).

Centrale voorziening

SCORE    %

BRP-V

99,3%

RNI

98,2%

TMV 2.0

98,6%

Berichtendienst afnemers

100%

Inleiding

De overheid heeft de juiste gegevens nodig van haar burgers. Bijvoorbeeld om een paspoort, een identiteitskaart of een rijbewijs te kunnen maken, om te weten wie mag stemmen bij verkiezingen, om uitkeringen te verstrekken en om gemeentelijke belastingen te heffen. Maar ook organisaties zoals de Belastingdienst, uitkeringsinstanties en pensioenfondsen gebruiken deze persoonsgegevens om hun beslissingen goed af te stemmen op de persoonlijke situatie van burgers. Alle gemeenten in Nederland zorgen voor een actuele en correcte status van de Basisregistratie Personen. De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het gedeelte voor mensen buiten Nederland (de Registratie Niet-ingezetenen, RNI). Dit is vastgelegd in de Wet Basisregistratie Personen.

Het is cruciaal dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie in de BRP en gerelateerde systemen voldoet aan de wettelijke eisen. Jaarlijks onderzoek naar de inrichting, de werking en de beveiliging van de BRP, gecombineerd met een onderzoek naar de verwerking van gegevens in de BRP, is in de wet geregeld . Dit onderzoek staat bekend als de zelfevaluatie BRP. In dit rapport staan de resultaten van de zelfevaluatie BRP die in 2022 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet-ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP. Tot slot worden de acties benoemd voor kwaliteitsbevordering naar aanleiding van de resultaten.

Zelfevaluatie gemeenten

In 2022 hebben alle 344 Nederlandse gemeenten een onderzoek uitgevoerd naar de inrichting, werking en beveiliging van BRP. Gemeenten voerden dit onderzoek uit door middel van een zelfevaluatie. Het doel van de zelfevaluatie is om de gemeente inzicht te geven of de werkprocessen in overeenstemming met wet- en regelgeving zijn ingericht en inzicht te geven in de kwaliteit van gegevens in de BRP. De resultaten van deze zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK).

De zelfevaluatie BRP voor gemeenten bestaat uit 4onderdelen:

  • Vragenlijst domeinvragen 
    De gemeenten vullen een vragenlijst in over de inrichting, werking en beveiliging van de BRP. Op basis van de uitkomsten worden risico’s en verbeterpunten in kaart gebracht. De vragen zijn onderverdeeld in 3 thema’s: Bijhouding van de BRP, Verstrekking van gegevens en Aanbeveling.
  • Vragenlijst informatieveiligheid
    Sinds 2017 zijn de vragen over informatieveiligheid ondergebracht in de Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA richt zich op de gemeentelijke verantwoording rond de informatieveiligheid op basis van de Baseline Informatiebeveiliging Overheid (BIO). De vragen over informatieveiligheidsvragen zijn onderverdeeld in 3 thema’s: Organisatie van de beveiliging, Naleving en Toegangsbeveiliging.
  • Bestandscontrole
    De bestandscontrole is een controle van de algemene en administratieve gegevens op de persoonslijsten van alle ingezetenen. RvIG voert de controle maandelijks uit op de persoonslijsten in BRP- Verstrekkingsvoorziening (BRP-V) met meer dan 3000 controleregels. De uitkomsten worden maandelijks aan de gemeenten gepresenteerd in de applicatie kwaliteitsmonitor. Het resultaat van de controle van december 2022 maakt onderdeel uit van deze rapportage zelfevaluatie BRP.
  • Inhoudelijke controle persoonslijsten
    Een onderzoek naar de inhoudelijke kwaliteit van de persoonslijsten aan de hand van bijbehorende brondocumenten. RvIG maakt een selectie van persoonslijsten op basis van een vast en een jaarlijks wijzigend thema. De gemeenten voeren een controle op de geselecteerde persoonslijsten uit, waarna RvIG steekproefsgewijs een toetsing uitvoert.

Zelfevaluatie Centrale voorzieningen

De minister heeft in 2022 een onderzoek uitgevoerd naar de inrichting, werking en beveiliging van de centrale voorzieningen van de BRP en de verwerking van gegevens in de BRP, voor zover de minister daarvoor verantwoordelijk is. De Rijksdienst voor Identiteitsgegevens (RvIG) voert een zelfevaluatie uit door middel van een vragenlijst voor de RNI en een normenkader voor alle centrale voorzieningen.

Zelfevaluatie RNI

Alle loketgemeenten voeren een zelfevaluatie uit door middel van een vragenlijst. De vragen zijn onderverdeeld in dezelfde 6 thema’s als de zelfevaluatie gemeenten: Organisatie van de beveiliging, Naleving, Toegangsbeveiliging, Bijhouding van de BRP, Verstrekking van gegevens en Aanbeveling.

Opzet van de zelfevaluatie 

De zelfevaluaties die worden uitgevoerd door de gemeenten, RNI-loketgemeenten en door de minister zijn verschillend van opzet en worden onderstaand nader toegelicht.

Gemeenten

Door de combinatie van het invullen van de vragenlijst voor de processen en de uitvoering van de controles op gegevens krijgen de gemeenten inzicht in de inrichting, werking en beveiliging van de BRP. De opzet van de vragenlijst is als volgt. De vragen die volgen uit wet- en regelgeving  zijn onderverdeeld in 5 thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Gestreefd moet worden naar een 100% score op de thema’s die volgen uit wet- en regelgeving. Het resultaat wordt niet gerapporteerd in een gemiddelde score aan de hand van de thema’s, omdat dit een beter inzicht biedt in het functioneren dan een totaalscore.

De thema’s waarover gerapporteerd wordt, zijn:

  1. Organisatie van de beveiliging
  2. Toegangsbeveiliging
  3. Naleving
  4. Bijhouding van de BRP
  5. Verstrekking van gegevens
  6. Aanbeveling

Naast de vragenlijst maken ook een bestandscontrole en een inhoudelijke controle aan de hand van brondocumenten onderdeel uit van zelfevaluatie. De uitkomsten van de bestandscontrole en de inhoudelijke controle aan de hand van brondocumenten worden ingedeeld in 7 verschillende foutklassen. De foutklassen zijn gekoppeld aan de soort gegevens die zijn geregistreerd op de persoonslijst :

  • Klasse A: Persoon en overlijden
  • Klasse B: Adres
  • Klasse C: Relaties
  • Klasse D: Identificatienummers en Nationaliteit
  • Klasse E: Overige algemene gegevens
  • Klasse F: Administratieve gegevens
  • Klasse G: Ontbreken brondocument (bij de inhoudelijke controle)

Verloop cyclus zelfevaluatie

De cyclus van de zelfevaluatie startte op 1 juli 2022 met het beschikbaar stellen van beide vragenlijsten (BRP en ENSIA) en de geselecteerde persoonslijsten voor de inhoudelijke controle. Vanaf 1 december 2022 konden de gemeenten de ingevulde vragenlijst en het resultaat van de inhoudelijke controle definitief maken in de applicatie kwaliteitsmonitor. Een uittreksel daarvan is vervolgens ondertekend door het college van B&W, waarna de resultaten zijn verzonden aan de minister van BZK en de Autoriteit Persoonsgegevens (AP).

Nader onderzoek door de minister

In de samenwerkingsovereenkomst tussen de Autoriteit Persoonsgegevens en de minister van BZK is afgesproken dat RvIG namens de minister jaarlijks een controle uitvoert om het resultaat te valideren. Deze controle wordt normaal gesproken uitgevoerd op de beantwoording van de vragenlijst en op de uitvoering van de inhoudelijke controle. Om het Nader onderzoek naar de Zelfevaluatie Reisdocumenten te kunnen intensiveren zijn dit jaar zijn geen gemeenten geselecteerd voor het Nader onderzoek naar de vragenlijst maar alleen 30 gemeenten geselecteerd voor het toetsen van de resultaten van de inhoudelijke controle. De gemeenten zijn geselecteerd door middel van een gewogen steekproef. Allereerst zijn de gemeenten op basis van inwoneraantal ingedeeld in 3e groepen: kleine, middelgrote en grote gemeenten. Vervolgens zijn uit elke groep willekeurig 10 gemeenten geselecteerd. Deze zijn bezocht door RvIG-adviseurs en vervolgens zijn direct na de uitvoering van de controles de uitkomsten teruggekoppeld aan de gemeenten. 

Onderzoek naar de centrale voorzieningen

De minister voert jaarlijks een onderzoek uit naar de centrale voorzieningen van de BRP. Deze centrale voorzieningen zijn:

  • De BRP-V (verstrekken van de BRP-gegevens)
  • De Terugmeldvoorziening (TMV 2.0) (terugmelden van onjuiste BRP-gegevens)
  • De RNI (de Registratie van Niet-Ingezetenen)
  • De berichtendienst afnemers (communicatie voor afnemers met de RNI) 

Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader. Daarnaast vindt een bestandscontrole naar de administratieve kwaliteit van de gegevens in de RNI plaats.

RNI-loketgemeenten

De RNI-loketgemeenten voeren de zelfevaluatie uit door middel van het invullen van een vragenlijst. De vragen die volgen uit wet- en regelgeving  en het convenant RNI-loketgemeenten zijn onderverdeeld in vijf thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Gestreefd moet worden naar een 100% score op de thema’s die volgen uit wet- en regelgeving.

De thema’s waarover gerapporteerd wordt, zijn:

  1. Organisatie van de beveiliging
  2. Toegangsbeveiliging
  3. Naleving
  4. Bijhouding van de BRP
  5. Verstrekking van gegevens
  6. Aanbeveling

Resultaten zelfevaluatie gemeenten 2022

In dit hoofdstuk staan de gemeentelijke resultaten van alle onderdelen van de zelfevaluatie BRP 2022. Allereerst volgt een overzicht van het resultaat van het onderzoek naar de kwaliteit van processen, gevolgd door een uitwerking van dat resultaat per thema. Vervolgens worden de uitkomsten van beide onderzoeken naar de kwaliteit van gegevens gepresenteerd.

Resultaat onderzoek kwaliteit processen totaal

De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De gemeenten behalen op de thema’s gekoppeld aan wet- en regelgeving gemiddeld tussen 89,6% en 97,9% van de maximale score (grafiek 1). Op het thema Aanbeveling halen de gemeenten gemiddeld 86,6% van de maximale score. De scores van de zelfevaluatie BRP in de periode 2018-2022 (zie grafiek 2) laten een stabiel beeld zien voor de domeinvragen, waarbij de score voor het thema aanbeveling jaarlijks licht stijgt. Een duidelijke stijging is ook zichtbaar voor de thema’s Organisatie van de beveiliging en Toegangsbeveiliging.

Grafiek 1 Gemiddelde score per thema in percentage

Image
grafiek 1

 Grafiek 2 Gemiddelde scores van de BRP per jaar per thema

Image
grafiek 2

Het aantal gemeenten dat een 100% score haalt, verschilt sterk per thema (zie grafiek 3). 9 gemeenten behaalden een 100% score op alle thema’s en 56 gemeenten behaalden een 100% score op de eerste 5 thema’s (eisen).

Grafiek 3 Aantal gemeenten met een 100% score per thema

Image
grafiek 3

Resultaat onderzoek kwaliteit processen per thema  

Thema Organisatie van de beveiliging

Binnen het thema Organisatie van de beveiliging beantwoorden de gemeenten 11 vragen over de organisatie van informatieveiligheid binnen de gemeente. De gemeenten scoren gemiddeld 95,1% op dit thema. De individuele scores variëren van 51,3% tot 100%. Grafiek 4 geeft de spreiding van de gemeenten per score weer. 

Grafiek 4 Aantal gemeenten per score thema Organisatie van de Beveiliging

Image
grafiek 4


Binnen het thema Organisatie van de beveiliging worden vragen gesteld over de onderstaande onderwerpen:

  • Vastgesteld Informatiebeveiligingsbeleid
  • Maatregelen tegen onrechtmatige toegang
  • Versleuteling van data op mobiele apparatuur
  • Beleid voor werken op afstand
  • Beveiligingsbewustzijn medewerkers
  • Gedocumenteerde bedieningsprocedures
  • Back-up-beleid
  • Geheimhoudingsverklaringen
  • Calamiteiten- en continuïteitsplannen

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar steeds beter (zie grafiek 5).

Grafiek 5 Gemiddelde score thema Organisatie van de beveiliging 2018-2022

Image
grafiek 5


Thema Toegangsbeveiliging

Binnen het thema Toegangsbeveiliging beantwoorden de gemeenten 18 vragen over logische en fysieke toegangsbeveiliging binnen de gemeente. De gemeenten scoren gemiddeld 96% binnen dit thema. De spreiding van de individuele scores varieert van 60% tot 100%. Grafiek 6 geeft de spreiding van de gemeenten per score weer.

Grafiek 6 Aantal gemeenten per score thema Toegangsbeveiliging

Image
grafiek 6

Binnen het thema Toegangsbeveiliging worden vragen gesteld over de onderstaande onderwerpen:

  • Omgaan met verwijderbare gegevensdragers
  • Veilig opslaan van vertrouwelijke informatie
  • Vastgesteld beleid logische toegangsbeveiliging
  • Toekennen en beëindigen van autorisaties
  • Controle van de autorisaties
  • Eisen aan wachtwoorden
  • Incidentenprocedure
  • Sleutelbeheer
  • Procedures voor werken in beveiligede gebieden
  • Procedure voor gebruik van apparatuur buiten het gemeentehuis
  • (Automatisch ) vergrendelen van werkplekken

De gemiddelde score van alle gemeenten op dit thema is de afgelopen 5 jaar steeds beter (zie grafiek 7).

Grafiek 7 Gemiddelde score thema Toegangsbeveiliging 2018-2022

Image
grafiek 7

Thema Naleving

Binnen het thema Naleving beantwoorden de gemeenten 10 vragen over uitvoering van verplichte controles, over het bestaan van verplichte procedures en over de toepassing van functiescheiding binnen de gemeente. De gemeenten scoren gemiddeld 89,6% van de punten binnen dit thema. De individuele scores variëren van 30% tot 100% (zie voor de spreiding grafiek 8). De spreiding van de scores is hier groter dan de overige thema’s.

Grafiek 8 Aantal gemeenten per score Thema Naleving

Image
grafiek 8

 

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

  • Verwerkersovereenkomsten met leveranciers
  • Beoordelen prestaties leveranciers
  • Testen van continuïteitsplannen
  • Maatregelen als vertaling van wet- en regelgeving
  • Controle op naleving privacybeleid
  • Controle op verwerking van persoonsgegevens
  • Vastgesteld auditplan
  • Jaarlijkse controle van informatiesystemen

De gemiddelde score van alle gemeenten op dit thema is dit jaar verbeterd na 3 jaren met een lichte daling (zie grafiek 9).

Grafiek 9 Gemiddelde score thema Naleving 2018-2022

Image
grafiek 9

Thema Bijhouding van de BRP

Binnen het thema Bijhouding van de BRP beantwoorden de gemeenten 14 vragen over de processen van bijhouding van de BRP door de gemeente. De gemeenten scoren gemiddeld 97,7 % van de punten binnen dit thema. De individuele scores variëren van 66,5% tot 100% (zie voor de spreiding grafiek 10).

Grafiek 10 Aantal gemeenten per score thema Bijhouding van de BRP

Image
grafiek 10

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen:

  • Opslag van brondocumenten
  • Werkinstructie
  • Identiteitsvaststelling
  • Volledigheid van de procedure eerste inschrijving BRP
  • Bijhouden van paspoortsignalering
  • Controle van brondocumenten
  • Activiteiten om vervallen reisdocumenten in te houden
  • Procedure onderzoek en terugmelding
  • Controles op juiste gegevensverwerking
  • Tijdig verwerken van actualiseringen
  • Controle op juiste uitvoering procedures

De gemiddelde score van alle gemeenten op dit thema is stabiel en goed in de afgelopen 5 jaar (zie grafiek 11).

Grafiek 11 Gemiddelde score thema Bijhouding van de BRP 2018-2022

Image
grafiek 11

Thema Verstrekking van gegevens

Binnen het thema Verstrekking van gegevens beantwoorden de gemeenten 8 vragen over het proces en de procedures rondom de verstrekking van BRP-gegevens. De gemeenten scoren gemiddeld 97,9 % van de punten binnen dit thema. De individuele scores variëren van 45,3% tot 100% (zie voor de spreiding grafiek 12).

Image
grafiek 12

Binnen het thema Verstrekking van gegevens worden vragen gesteld over de onderstaande onderwerpen:

  • Procedures voor protocollering (vastleggen aan wie, waarom en waarover gegevens zijn verstrekt)
  • Gegevensverstrekking door de gemeente
  • Verstrekkingsbeperking
  • Inzagerecht
  • De verordening gegevensverstrekking bij de gemeente

De gemiddelde score van alle gemeenten op dit thema is stabiel en goed in de afgelopen 5 jaar (zie grafiek 13).

Grafiek 13 Gemiddelde score thema Verstrekking van gegevens 2018-2022

Image
grafiek 13

Thema Aanbeveling

Binnen het thema Aanbeveling beantwoorden de gemeenten 13 vragen over verschillende beheersmaatregelen voor de BRP-processen. Omdat ze niet direct volgen uit wet- en regelgeving zijn de gemeenten niet verplicht deze maatregelen te nemen. De gemeenten scoren gemiddeld 86,6% van de punten binnen dit thema. De individuele scores variëren op dit thema van 51% tot 100% (zie voor de spreiding van scores grafiek 14).

Grafiek 14 Aantal gemeenten per score thema Aanbeveling

Image
grafiek 14

Binnen het thema Aanbeveling worden vragen gesteld over de onderstaande onderwerpen:

  • Bestuurlijke boete
  • Bestrijden adresfraude
  • Aangifte bij valse documenten of vermoeden van fraude
  • Procedure briefadres
  • Eenduidige beschrijving van brondocumenten
  • Opvolging van bevindingen inhoudelijke controle
  • Acties ten behoeve van kwaliteit en volledigheid BRP
  • Voorkomen van dubbelopnames
  • Beveiligingsplan BRP

De gemiddelde score van alle gemeenten op dit thema laat al 5 jaar op rij een stijgende lijn zien (zie grafiek 15).

Grafiek 15 Gemiddelde score thema Aanbeveling 2018-2022

Image
grafiek 15

Resultaten onderzoek kwaliteit gegevens

Resultaat inhoudelijke controle aan de hand van brondocumenten
Alle 344 gemeenten hebben een handmatige controle uitgevoerd op een selectie van persoonslijsten die door RvIG is samengesteld. Dit jaar hanteerde RvIG de volgende selectiecriteria: eerste inschrijving in de BRP van de voorgaande 2 jaar óf mutatie in de gegevens over ouders, partners of kinderen in het voorgaande jaar. De gemeenten zoeken voor deze controle alle onderliggende brondocumenten en aangiften op en controleren aan de hand hiervan alle gegevens op de persoonslijst. Op basis van het inwonersaantal van de gemeente is de selectiegrootte bepaald (25, 50, 75 of 100 persoonslijsten). In totaal controleerden de gemeenten 18.937 persoonslijsten. De gemeenten hebben daarbij 3590 afwijkingen geconstateerd. De top 5 van meest geconstateerde afwijkingen staan hieronder (tabel 7).

Tabel 7: Veelvoorkomende fouten, geconstateerd door gemeenten
 

Omschrijving Aantal Percentage van het totaal aantal gevonden fouten
Brondocument ontbreekt 612 17,10%
Datum geldigheid onjuist 545 15,20%
Omschrijving brondocument onjuist 382 10,70%
Correctie onjuist of ten onrechte uitgevoerd 240 6,70%
Aangifte adreshouding onjuist 149 4,10%

Bevindingen Nader onderzoek Inhoudelijke controle persoonslijsten

30 gemeenten zijn bezocht door RvIG om de kwaliteit van de uitgevoerde inhoudelijke controle te toetsen. Hierbij zijn de onderliggende brondocumenten en aangiften gebruikt om alle gegevens op de persoonslijsten te controleren. Bij 76% van de in totaal 745 persoonslijsten zijn de bevindingen van RvIG gelijk aan die van de gemeente. RvIG hanteert bij deze toetsing de norm ‘voldoende’ als 85% van de bevindingen die RvIG constateert, gelijk is aan die van de individuele gemeente. 8 gemeenten hebben voldaan aan deze norm, de overige 22 gemeenten niet.

In 30,9% van de door RvIG geconstateerde fouten ontbreekt een brondocument. Hoewel het ontbreken van het brondocument niet meteen betekent dat de gegevens in de BRP onjuist zijn, heeft de gemeente wel een bewijslast bij mutaties in de BRP, waar zij dan in gebreke blijft.
De meest voorkomende bevindingen die RvIG heeft geconstateerd komen overeen met de bevindingen die gemeenten hebben geconstateerd (zie tabel 8). Aanvullend heeft RvIG geconstateerd dat het niet verwerken van brondocumenten vooral plaatsvindt bij paspoorten die niet opgenomen worden op de persoonslijst. Of dat sprake is van brondocumenten die voor meerdere categorieën gegevens bevatten, maar niet volledig worden verwerkt. Daarnaast heeft RvIG fouten geconstateerd in de geboorteplaats van ouders, partners en/of kinderen.
Als laatste heeft RvIG in 16 gevallen (5,9%) een bevinding van de gemeente niet akkoord bevonden, omdat deze ten onrechte als fout gerapporteerd bleek te zijn.

Tabel 8 Veelvoorkomende fouten, geconstateerd door RvIG
 

Omschrijving Aantal Percentage van het totaal aantal gevonden fouten
Brondocument ontbreekt 84 30,90%
Correctie onjuist of ten onrechte uitgevoerd 23 8,50%
Brondocument niet verwerkt 22 8,10%
Datum geldigheid onjuist 21 7,70%
Groep Geboorte onjuist 17 6,30%
Bevinding niet akkoord 16 5,90%

Oorzaken van de bevindingen

Tijdens de terugkoppeling aan de gemeenten zijn de onderstaande oorzaken, problemen en uitdagingen veelvuldig genoemd door de gemeenten:

  • Kennisverlies doordat ervaren medewerkers met pensioen gaan;
  • Werven en behouden van nieuwe medewerkers is een grote uitdaging;
  • Hoge werkdruk door een gebrek aan personeel;
  • Gebrek aan financiële middelen en kennis van archiverings-/ en zaaksystemen, waardoor ook nproblemen met het juist archiveren van brondocumenten.

Resultaat bestandscontrole BRP

RvIG controleert door middel van een bestandscontrole de administratieve kwaliteit van de BRP-gegevens. Deze bestandscontrole wordt maandelijks uitgevoerd en via een kwaliteitsmonitor wordt het resultaat per gemeente beschikbaar gesteld. De uitkomst van de bestandscontrole van december 2022 maakt onderdeel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn bij de controle in december van 21,8 miljoen actueel ingeschreven personen en overleden personen de BRP-gegevens gecontroleerd aan de hand van ruim 3500 controleregels. Bij de bestandscontrole van december 2022 zijn in totaal 56.543 afwijkingen geconstateerd. Het percentage persoonslijsten waarop geen enkele afwijking is geconstateerd is 99.7%. Dit is ruim boven de norm van 99%. RvIG heeft in overleg met de gemeenten die vertegenwoordigd zijn in de expertgroep Bestandcontrolemodule ook een norm per foutklasse vastgesteld. Gemiddeld scoren alle gemeenten ruim boven deze normen. 12 gemeenten scoren op een of meer klassen in de algemene en administratieve gegevens onder de vastgestelde normen. 8 gemeenten hebben een foutloos resultaat.

Tabel 9: Resultaat gemeenten bestandscontrole

Foutklasse[1] Aantal fouten Percentage Norm Gemeenten onder de norm Gemeenten zonder fouten
A: Persoon en overlijden 6819 99.98% 99.69% 1 106
B: Adres 4738 99.98% 99.69% 1 145
C: Relaties 18146 99.95% 99.59% 10 54
D: Identificatienummers en nationaliteit 7860 99.98% 99.50% 0 109
E: Overige algemene gegevens 3789 99.99% 99.50% 0 64
F: Administratieve gegevens 15191 99.96% 99.40% 1 76

Tabel 10: Gemeenten met een foutloos resultaat op de bestandscontrole:

Gemeenten zonder fouten uit de bestandscontrole
Brummen
Heeze-Leende
Oldenzaal
Rozendaal
Schiermonnikoog
Tynaarlo
Vlieland
Woudenberg

Resultaat onderzoek Centrale voorzieningen

Hieronder worden de belangrijkste resultaten weergegeven van het onderzoek naar de inrichting, werking en beveiliging van de Centrale Voorzieningen en de Verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is.

Inrichting Centrale Voorzieningen

In onderstaande tabel is het resultaat van het onderzoek per onderdeel van de Centrale Voorzieningen weergegeven in percentage van de maximale score.

Tabel 11: Score per centrale voorziening

Centrale Voorziening Score
BRP-V 99,30%
RNI 98,20%
TMV 2.0 98,60%
Berichtendienst afnemers 100%

Werking Centrale Voorzieningen

Voor de werking is onderscheid gemaakt tussen de technische en de functionele werking van de Centrale Voorzieningen. De technische werking is gemeten aan de hand van beschikbaarheid, responstijden, aantal incidenten en gebruik noodvoorzieningen RNI. De functionele werking aan de hand van synchroniciteit BRP-V, aantal dubbelopnemingen en afhandeling protocolleringsverzoeken.

Kwaliteit van de RNI-gegevens

In totaal zijn er 5,2 miljoen persoonslijsten gecontroleerd. Van het totaal aantal gecontroleerde persoonslijsten is bij 95,61% van de persoonslijsten geen afwijking geconstateerd. Dit percentage ligt iets hoger dan de score in 2021 (95,43%).

Resultaat zelfevaluatie RNI

De minister houdt in Nederland voorzieningen in stand voor het inschrijven van niet-ingezetenen en voor het indienen van verzoeken van niet-ingezetenen aan de minister . Die voorzieningen zijn de RNI-loketten. Deze zijn gevestigd in 19 gemeenten bij de afdelingen Publiekszaken/Burgerzaken. Hiervoor is een convenant opgesteld tussen het college van BW van deze gemeenten en de minister van BZK.

Het onderzoek naar de RNI-loketten is uitgevoerd in de vorm van een zelfevaluatie. De 19 RNI-loketgemeenten moeten jaarlijks een vragenlijst invullen in de kwaliteitsmonitor waarmee getoetst wordt of de bijhouding van de RNI voldoet aan de wettelijk voorschriften en de afspraken in het convenant. De vragen zijn verdeeld over dezelfde 6 thema’s als de zelfevaluatie BRP.

Hieronder staan de gemiddelde scores per thema. De scores van de zelfevaluatie RNI in de periode 2018-2022 laten een stabiel beeld zien.

Tabel 12: Gemiddelde score RNI-loketgemeenten 

Thema Score %
1. Organisatie van de beveiliging 92,20%
2. Toegangsbeveiliging 93,40%
3. Naleving 96,30%
4. Bijhouding van de BRP 95,20%
5. Verstrekking van gegevens 100%
6. Aanbeveling 97,60%

Grafiek 9 Gemiddelde scores van de RNI per jaar per thema

Image
grafiek 9

Monitoring BRP na 2022

RvIG geeft opvolging aan de gemeenten die een lage score hebben gerapporteerd bij de zelfevaluatie BRP. Deze opvolging noemt RvIG monitoring. Op basis van de resultaten van de zelfevaluatie over 2022 zijn gemeenten geselecteerd die onder de 90% scoren op 3 of meer thema’s die zijn gekoppeld aan wettelijke eisen. Daarnaast zijn gemeenten geselecteerd die voor het tweede jaar op rij bij 3 of meer foutklassen de norm overschrijden bij de inhoudelijke controle van persoonslijsten. Met deze gemeenten wordt een gesprek gevoerd en, als blijkt dat daarvoor aanleiding is, een monitoringstraject afgesproken. 29 gemeenten worden gemonitord op basis van de resultaten zelfevaluatie BRP. Inmiddels zijn alle monitoringsgesprekken gevoerd en worden de resultaten geanalyseerd. Uit de eerste analyse komen de onderstaande oorzaken voor het resultaat vaak terug:

  • Het vaststellen van een gemeentebreed continuïteitsplan is nog niet gerealiseerd;
  • Kennisgebrek door het vertrek van ervaren medewerkers;
  • Vacatures zijn moeilijk in te vullen;
  • Gebrek aan tijd voor de opleidingen van medewerkers door personeelsgebrek;
  • De medewerkers die de zelfevaluaties hebben ingevuld deden dit vaak voor het eerst. Gebrek aan kennis en ervaring leidden tot te voorzichtig beantwoorden.

Het aantal lager scorende gemeenten is dit jaar verbeterd. Vorig jaar werden 49 gemeenten geselecteerd op basis van het resultaat van de vragenlijst en 17 gemeenten op basis van de inhoudelijke controle. Het duurt over het algemeen enkele jaren voordat lager scorende gemeenten hun processen op orde hebben, maar als dit gerealiseerd is blijft dit meestal langere tijd op het vereiste niveau.

Bijlage 1 Geselecteerde gemeenten monitoringsbezoek

Proceskwaliteit gemeenten

 3 thema’s onder de 90%

Inhoudelijke kwaliteit gemeenten

3 foutklassen normoverschrijding

Aa en Hunze

Purmerend

Amsterdam

Arnhem

Putten

Beuningen

Beuningen

Rozendaal

Haarlemmermeer

Coevorden

's-Gravenhage

Hof van Twente

Dijk en Waard

Stichtse Vecht

Nijmegen

Doetinchem

Valkenburg aan de Geul

Stichtse Vecht

Eemsdelta

Wageningen

Tytsjerksteradiel

Enschede

Weert

 

Gemert-Bakel

Westerwolde

 

Halderberge

Wierden

 

Hoorn

Woensdrecht

 

Losser

Woudenberg

 

Meppel

Zutphen

 

Oldebroek

Zwolle

 

Oss

 

 

 


 

Delen

Abonneer op Rapporten
Scroll naar boven