Uitvoering periodieke GBA-audit

Een gezamenlijke werkgroep van de Nederlandse Vereniging voor Burgerzaken (NVVB), de VNG en het toenmalige GBA projectbureau onderkende reeds kort na de invoering van de GBA de noodzaak voor onderzoek naar de mogelijkheden van een verplichte periodieke audit. Daarnaast heeft de Algemene Rekenkamer in oktober 1996 het rapport ‘Gemeentelijke Basis Administratie’ aangeboden aan de Tweede Kamer (Kamerstukken II, 1996-97, 25 040, nrs. 1-2). In dat rapport wordt opgemerkt dat de minister van Binnenlandse Zaken over instrumenten zou moeten beschikken om de kwaliteit van het GBA-stelsel structureel te bewaken. Naar aanleiding van de bespreking van het rapport in de Tweede Kamer heeft de regering aangekondigd een verplichte periodieke audit in te willen voeren (Kamerstukken II, 25 040, nr. 3).

Inmiddels hebben vertegenwoordigers van de gemeenten en afnemers van de GBA ingestemd met de uitgangspunten en de opzet van de GBA-audit. Deze zijn neergelegd in het bovengenoemd wetsvoorstel.

De verplichte audit is ontstaan vanuit de behoefte om binnen het GBA-kwaliteitssysteem een periodieke meting van de kwaliteit van de gegevens te laten uitvoeren. Een regelmatige meting geeft immers inzicht in de kwaliteit van de GBA als geheel en binnen elke gemeente afzonderlijk. Aan de hand van dat inzicht kunnen zonodig aanvullende maatregelen ter handhaving van de kwaliteit van de GBA worden getroffen.

In deze circulaire wordt verstaan onder:

• – audit-instelling: het bedrijf dat door de Minister voor Grote Steden- en Integratiebeleid is aangewezen om de audit als bedoeld in de hoofdstukken 2 en 3 van deze circulaire uit te voeren;

• – auditor: de medewerker van de audit-instelling die het inhoudelijke deel van de audit namens de audit-instelling zal gaan uitvoeren dan wel uitvoert of de medewerker van de audit-instelling onder wiens verantwoordelijkheid het procesmatige deel van de audit namens de audit-instelling zal worden uitgevoerd dan wel wordt uitgevoerd;

• – auditee: de gemeente die onderwerp is van de audit.

De audit heeft een periodiciteit van drie jaar. Dat betekent dat iedere gemeente eens in de drie jaar een audit zal moeten laten uitvoeren. Om diverse redenen is het van belang dat zowel het aantal audits als de verhouding tussen grote, middelgrote en kleine gemeenten jaarlijks ongeveer gelijk zijn. Een reden is de verdeling van de werklast voor de beschikbare auditoren. Daarnaast kan een gelijkmatiger verdeling van de kosten worden bereikt en zullen ook de resultaten van het ene jaar statistisch te vergelijken zijn met de resultaten van een volgend jaar.

Om deze redenen is gekozen voor een verdeling van de gemeenten over zes tijdvakken van elk zes maanden. Gemeenten zijn verplicht de periodieke audit binnen het met hen overeengekomen tijdvak van zes maanden uit te laten voeren. De verdeling is in beginsel slechts eenmalig, aangezien gemeenten vervolgens op grond van de wet verplicht zijn een volgende audit binnen drie jaren uit te laten voeren. Slechts ingeval van een gemeentelijke herindeling zal de planning aanpassing behoeven.

De definitieve inplanning van gemeenten voor de komende drie jaren (te rekenen vanaf 1 juli 1999) is na horen van de gemeenten vastgesteld. Deze indeling is als bijlage 1 bij deze circulaire gevoegd.

De GBA-audit bestaat uit twee onderdelen:

– een inhoudelijk deel, bestaande uit een controle van een aantal persoonslijsten en – een procesmatig deel, bestaande uit een globaal onderzoek naar bepaalde processen rond de basisadministratie op basis van een door de auditee voorafgaand aan de uitvoering van het procesmatige deel van de audit ingevulde vragenlijst.

De GBA-audit zal worden uitgevoerd door instellingen die door de Minister voor Grote Steden- en Integratiebeleid daartoe zijn aangewezen. De kandidaat-instellingen zijn voorafgaand aan de aanwijzing getoetst door de Raad voor Accreditatie. Na aanwijzing vindt jaarlijks een toetsing op onderdelen plaats.

De Raad voor Accreditatie is een onafhankelijke stichting die ten behoeve van de overheid, het bedrijfsleven en consumentenorganisaties toezicht houdt op instellingen in de publieke en private sector, die de kwaliteit beoordelen van onder andere producten en werkprocessen.

Een aanwijzing wordt niet gegeven dan nadat de toets met positief resultaat is afgerond.

Gemeenten zijn vrij in hun keuze tussen de aangewezen audit-instellingen.

De criteria op grond waarvan de toets plaatsvindt zijn ter kennisneming als bijlage 2 opgenomen bij deze circulaire. Gemeenten zullen via een periodiek in de Staatscourant gepubliceerde lijst op de hoogte worden gehouden van de gegeven aanwijzingen. Deze lijst zal tevens worden geplaatst op de website van het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR) op Internet (www.bprbzk.nl).

Het gemeentebestuur is, als houder van de gemeentelijke basisadministratie, verantwoordelijk voor de basisadministratie, en zal dan ook de opdracht verstrekken aan de als zodanig aangewezen audit-instelling van zijn keuze. De audit-instelling ontvangt de betaling voor de uitvoering van de audit van het gemeentebestuur. Nadat een afschrift van de managementsamenvatting van de audit-rapportage, bedoeld in hoofdstuk 4 van deze circulaire, door het gemeentebestuur aan het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is gezonden 1, ontvangt de gemeente van het ministerie de vastgestelde vergoeding voor de kosten die zij in het kader van de GBA-audit heeft gemaakt.

De hoogte van de vergoeding is gerelateerd aan het aantal inwoners in de gemeente volgens de laatst door het Centraal Bureau voor de Statistiek (CBS) gepubliceerde cijfers. De vergoedingen voor de in 1999 uitgevoerde audits bedragen:

• – aan gemeenten met minder dan 20.000 inwoners: f 5.167,-;

• – aan gemeenten van 20.000 tot 100.000 inwoners: f 7.750,-;

• – aan gemeenten van 100.000 of meer inwoners: f 10.333,-.

De bedragen worden jaarlijks geïn-dexeerd. De basis voor de indexering is het eerste in een jaar door het Centraal Bureau voor de Statistiek bekend gemaakte voorlopige indexcijfer voor de ‘CAO-lonen per uur inclusief bijzondere beloningen voor de commerciele dienstverlening’ over het aan de indexering voorafgaande jaar.

Indien onverhoopt blijkt dat een gemeente niet voldoet aan de gestelde eisen en verplicht wordt om een heraudit als bedoeld in hoofdstuk 5 van deze circulaire te laten uitvoeren, zijn de kosten van de heraudit voor rekening van de auditeegemeente zelf.

De GBA-audit heeft een verplicht karakter. Daarnaast hebben gemeenten de mogelijkheid om door middel van de invulling van een vragenlijst de kwaliteit van de getroffen maatregelen en voorzieningen in het kader van de privacy-bescherming te laten toetsen door de Registratiekamer. Deze vragenlijst maakt geen deel uit van de GBA-audit en de invulling daarvan gebeurt op vrijwillige basis.

De gemeenten kunnen in de vragenlijst die in het kader van het procesmatige deel van de audit moet worden ingevuld aangeven of ze de bovenbedoelde vragenlijst willen invullen (zie bijlage 4, onderdeel 11).

De gemeenten die bevestigend hebben geantwoord zal in september 1999 de vragenlijst worden toegestuurd. Op basis van de ingevulde vragenlijsten dan wel op grond van het feit dat een gemeente geen vragenlijst heeft ingevuld kan de Registratiekamer besluiten een onderzoek ter plekke naar de privacy-aspecten rond de basisadministratie van de betreffende gemeente uit te voeren.

Gezien het vrijwillige karakter van dit onderzoek worden de kosten die verbonden zijn aan de uitvoering ervan niet vergoed door de Minister voor Grote Steden- en Integratiebeleid, maar komen voor rekening van de auditee zelf.

De audit-instelling waarnaar is verwezen in onderdeel 1.2. voert het inhoudelijke deel van de audit uit overeenkomstig de volgende eisen:

2.1.1. Er wordt een niet-selecte steekproef getrokken uit de basisadministratie van de auditee.

2.1.2. De steekproef wordt getrokken uit de verzameling van actuele persoonslijsten en de persoonslijsten die vanwege de emigratie, een ministerieel besluit, bedoeld in artikel 32 van de Wet GBA of het overlijden van de ingeschrevene zijn opgeschort.

2.1.3. Het aantal te selecteren persoonslijsten is afhankelijk van het aantal inwoners in de gemeenten volgens de laatst door het Centraal Bureau voor Statistiek gepubliceerde cijfers:

• – tot 20.000 inwoners, 100 persoonslijsten;

• – van 20.000 tot 100.000 inwoners, 200 persoonslijsten;

• – vanaf 100.000 inwoners, 300 persoonslijsten.

2.1.4. 5 procent van de te selecteren persoonslijsten is opgeschort in verband met de in onderdeel 2.1.2. genoemde redenen.

2.2.1. Naast de niet-select getrokken persoonslijsten, wordt ook een aantal select getrokken persoonslijsten gecontroleerd.

2.2.2. Het aantal select getrokken persoonslijsten is afhankelijk van het aantal inwoners in de gemeenten volgens de laatst door het Centraal Bureau voor Statistiek gepubliceerde cijfers:

• – tot 20.000 inwoners, 5 persoonslijsten;

• – van 20.000 tot 100.000 inwoners, 10 persoonslijsten;

• – vanaf 100.000 inwoners, 20 persoonslijsten.

2.2.3. De select getrokken persoonslijsten voldoen aan de criteria genoemd in bijlage 3 van deze circulaire.

2.3.1. De controles geschieden in beginsel aan de hand van afgedrukte persoonslijsten.

2.3.2. Ook indien de controles geheel of gedeeltelijk geschieden door middel van computers of geautomatiseerde uitrusting, worden de persoonslijsten afgedrukt.

2.4.1. De gegevens van de persoonslijsten dienen opgenomen te zijn conform bij of krachtens de Wet GBA gestelde eisen, waaronder de in de systeembeschrijving GBA van toepassing verklaarde delen van het Logisch Ontwerp GBA (hierna aangeduid als LO).

2.4.2. In het kader van de toetsing van de eisen die voortvloeien uit de systeembeschrijving wordt onderzocht of:

• a) de gegevens voldoen aan de eisen in het gegevenswoordenboek (LO bijlage I);

• b) de tekens voorkomen in het overzicht van te gebruiken Teletex karakters (LO bijlage II);

• c) de gegevens weergeven dat mutaties zijn uitgevoerd conform de in het LO beschreven actualiseringprocedures (LO hoofdstuk 3);

• d) de gegevens weergeven dat bij het opnemen dan wel wijzigen van gegevens de voorschriften gesteld bij of krachtens de Wet GBA zijn gevolgd;

• e) afnemersindicaties voorkomen op de persoonslijsten waar deze verwacht mogen worden;

• f) de gegevens zijn ontleend aan bij of krachtens de Wet GBA genoemde brondocumenten.

2.4.3. Bepaalde voorschriften zijn in de loop der tijd gewijzigd. Uitgangspunt is dat een gegeven wordt getoetst aan het voorschrift dat gold op het moment waarop het gegeven werd opgenomen, tenzij later is aangegeven dat het betreffende gegeven gecorrigeerd moest worden omdat het bij opname gehanteerde voorschrift niet juist was.

Gegevens die ten tijde van de selectie van de persoonslijsten (zowel de niet-select getrokken als de select getrokken) niet conform de eisen waren opgenomen, maar naderhand zijn gecorrigeerd, worden aangemerkt als afwijkingen.

2.4.4. Beoordeeld wordt of de gegevens op de persoonslijsten inhoudelijk volledig overeenstemmen met de gegevens op het brondocument, waaraan zij zijn ontleend.

• a) Voor wat betreft de niet- selecte steekproef geldt dat:

  • – de controle alleen wordt uitgevoerd aan de hand van door de auditee gebruikte Nederlandse brondocumenten, (waarvan – indien niet bij de gemeente aanwezig – zonodig nogmaals een exemplaar kan worden verkregen2) en de brondocumenten die de auditee in het paspoortdossier heeft opgenomen;

  • – de controle wordtin ieder geval uitgevoerd bij de helft van de getrokken persoonslijsten. De auditor bepaalt voorafgaand aan de uitvoering van audit door middel van het trekken van een niet-selecte steekproef van alle betrokken persoonslijsten bij welke Deze helft wordt door de auditor door middel van het trekken van een niet-selecte steekproef van alle betrokken persoonslijsten bepaald deze controle wordt uitgevoerd;

  • – bij de andere helft van de niet-select getrokken persoonslijsten wordt alleen een controle uitgevoerd indien het vermoeden bestaat dat gegevens niet juist van het brondocument zijn overgenomen of geïnterpreteerd.

• b) Bij de select getrokken persoonslijsten zoals bedoeld in onderdeel 2.2., wordt de controle uitgevoerd ten aanzien van de bij de desbetreffende specifieke situatie gehanteerde brondocumenten (waaronder ook buitenlandse brondocumenten).

Aangetroffen afwijkingen worden ingedeeld in drie foutklassen:

• a) foutklasse A, voor afnemers cruciale gegevens, zijnde:

  • – 01.01.10 A-nummer persoon

  • – 01.02.30 voorvoegsel persoon

  • – 01.02.40 geslachtsnaam persoon

  • – 01.03.10 geboortedatum persoon

  • – 05/55.01.10 A-nummer echtgenoot/geregistreerd partner

  • – 05/55.03.10 geboortedatum echtgenoot/geregistreerd partner

  • – 05/55.06.10 datum huwelijkssluiting

  • – 05.07.10 datum huwelijksontbinding

  • – 06.08.10 datum overlijden

  • – 08.11.20 huisnummer

  • – 08.11.30 huisletter

  • – 08.11.40 huisnummertoevoeging

  • – 08.11.60 postcode

  • – 09.01.10 A-nummer kind

  • – 09.03.10 geboortedatum kind

  • – 14.40.10 afnemersindicatie;

• b) foutklasse B, de overige algemene gegevens, alsmede van de bijzondere gegevens de groepen:

  • – 12.35 Nederlands reisdocument

  • – 12.36 Signalering

  • – 12.37 Buitenlands reisdocument

  • – 12.85 Geldigheid;

• c) foutklasse C, de administratieve gegevens, alsmede van de bijzondere gegevens, de groepen:

  • – 12.82 Document

  • – 12.83 Procedure

  • – 12.86 Opneming.

Het niet kunnen overleggen van een brondocument wordt aangemerkt als vallend in foutclasse C.

Iedere aangetroffen afwijking wordt geteld als 1 fout.

Daarop zijn twee groepen uitzonderingen:

• a)

  • – de afwijkingen die op meerdere persoonslijsten zijn geconstateerd, die worden veroorzaakt doordat de GBA-applicatie op een bepaald aspect niet goed werkt/werkte of doordat een GBA-procedure bij een gemeente niet goed is/was; ;

  • – de op één persoonslijst geconstateerde afwijkingen die met elkaar samenhangen dan wel worden veroorzaakt door één en dezelfde fout. en

  • – de op één of meerdere persoonslijsten geconstateerde afwijkingen van het niet kunnen overleggen van een bepaald brondocument.

  Deze afwijkingen worden geteld als 1 fout en ingedeeld in de hoogste van toepassing zijnde foutklasse.

• b)

  • – de afwijkingen waarvan bij brief3 kenbaar is gemaakt dat deze bij de bepaling van het resultaat van het inhoudelijke deel van de audit niet als afwijking worden aangemerkt;

  • – de afwijkingen waarvan in de Kwaliteisbrochures kenbaar is gemaakt dat deze in de GBA-audit niet als afwijking worden aangemerkt.

Deze afwijkingen worden niet als een fout geteld.

De aangetroffen afwijkingen worden aangetekend op de desbetreffende persoonslijst en in de audit-rapportage vermeld.

In het procesmatige deel van de audit worden procedures belicht, die door de auditee worden toegepast in het kader van uitwijk, back-up en herstel. Gezien het zeer brede terrein van met name het onderdeel beveiliging, de beperkte tijd die voor het procesmatige deel van de audit is ingeruimd en de verantwoordelijkheidsverdeling tussen gemeenten en het ministerie inzake deze processen, beperkt het procesmatige deel van de audit zich tot een vragenlijst. Deze vragenlijst is als bijlage 4 opgenomen in deze circulaire.

Overigens laat dit de verantwoordelijkheden van de gemeenten ten aanzien van de beveiliging van de gegevens in de GBA onverlet. Verwezen wordt naar de gangbare beveiligingsnormen in het Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR), (Stcrt. 1994, 173), de Code voor Informatie-voorziening en het rapport Beveiliging van persoonsregistraties van de Registratiekamer.

De vragenlijst, die door of namens de houder van de basisadministratie – het gemeentebestuur – vooraf wordt ingevuld, dient, samen met de afschriften van de meest recente versies van desbetreffende documenten4, voor de auditor klaar te liggen.

De auditor kan naar eigen inzicht aanvullende vragen stellen aan en/of interviews houden met de voor de desbetreffende processen verantwoordelijke en uitvoerende personen (paragraaf 7.4.5. van het LO, zijnde:

• – degene die verantwoordelijk is voor de inhoud, integriteit en toegankelijkheid van de GBA-gegevens in de gemeente;

• – degene die verantwoordelijk is voor het goed functioneren van de toepassingsprogrammatuur bij de gemeente;

• – degene die verantwoordelijk is voor het goed functioneren van de apparatuur en systeemprogrammatuur bij de gemeente;

• – degene die verantwoordelijk is voor de bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de GBA opgenomen zijn;

• – degene die verantwoordelijk is voor het controleren en evalueren van de maatregelen voor de informatiebeveiliging;

• – degene die verantwoordelijk is voor een juiste bijhouding van de GBA.

De gemeente geeft vooraf aan bij wie genoemde verantwoordelijkheden zijn neergelegd en waar dat uit blijkt.

De auditor toetst of ten aanzien van de onderdelen back-up en herstel en uitwijk de voorgeschreven maatregelen zijn getroffen en welke risico’s daarbij zijn te onderkennen, alsmede of er ten aanzien van het onderdeel beveiliging risico’s zijn te onderkennen in de opzet van het geheel aan maatregelen die terzake zijn getroffen.

Terzake gelden de eisen die zijn weergegeven in paragraaf 7.4.1 van het Logisch Ontwerp, zijnde:

• 1) de GBA-gegevens zoals die 1 werkdag geleden waren, moeten te allen tijde kunnen worden gereconstrueerd en deze reconstructie mag hoogstens 1 werkdag in beslag nemen;

• 2) de back-upgegevens moeten in een andere ruimte worden bewaard dan de ruimte waarin de GBA-apparatuur is opgesteld en bij voorkeur in een ander gebouw;

• 3) een reconstructie van de mutaties die na de laatste back-up zijn aangebracht, moet mogelijk zijn en

• 4) de gevolgen van verkeerd uitgevoerde systematische verstrekkingen moeten ongedaan kunnen worden gemaakt.

(Zie voor de betreffende onderdelen van de vragenlijst bijlage 4.)

Hier geldt de eis die is weergegeven in paragraaf 7.4.1 van het LO, zijnde:

5) als het normale GBA-systeem langdurig buiten gebruik is gesteld, moet kunnen worden uitgeweken. (Zie het betreffende onderdeel in bijlage 4.)

Op dit gebied geldt hetgeen in de paragrafen 7.3.3 en 7.3.5 van het LO is gesteld. Paragraaf 7.3.3 verwijst naar de artikelen 31 en 53 van het Besluit GBA.

Artikel 31 van het Besluit GBA stelt dat er voldoende voorzieningen moeten zijn getroffen van technische en organisatorische aard ter beveiliging van de in de GBA vermelde gegevens tegen verlies of aantasting van deze gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking van deze gegevens. Het daarin gestelde kan worden uitgesplitst naar de volgende aandachtsgebieden:

6) het systeem c.q. de methode voor het ontwikkelen, uitvoeren, meten c.q. controleren en bijsturen van beveiligingsmaatregelen;

7) de maatregelen van technische aard om verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking van deze gegevens te voorkomen;

8) de maatregelen van organisatorische aard om verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking van deze gegevens te voorkomen.

Artikel 53 van het Besluit GBA is van toepassing ingeval een gemeente gebruik maakt van een bewerker. In dat geval geldt.

9) dat er een systeem dient te zijn ter waarborging voor de gemeente dat de bewerker voldoet aan het gestelde in en krachtens artikel 53 van het Besluit GBA.

Tenslotte geldt in het kader van beveiliging nog hetgeen in paragraaf 7.3.5 staat, zijnde:

10) dat het transport van alternatieve media met GBA-berichten moet voldoen aan de geldende eisen. (Zie voor de betreffende onderdelen van de vragenlijst bijlage 4.)

De audit-rapportage bevat minimaal de volgende elementen:

• a) de managementsamenvatting;

• b) de bevindingen van het inhoudelijke deel van de audit;

• c) de bevindingen van het procesmatige deel van de audit.

De audit-rapportage is anoniem.

In verband met de privacybescherming van de burger zijn de feitelijke bevindingen bij het inhoudelijke deel van de audit op een zodanige wijze beschreven dat de gegevens niet zijn te herleiden tot een individuele burger.

5.1.1.Bij de niet-selecte steekproef is een heraudit verplicht als meer fouten zijn geconstateerd dan de desbetreffende norm toestaat.

5.1.2. Voor de aspecten back-up en herstel en uitwijk van het procesmatige deel van de audit is een heraudit verplicht als is geconstateerd dat een of meerdere verplichte maatregelen of voorzieningen niet zijn getroffen.

5.1.3. De afwijkingen bij de select getrokken persoonslijsten en de overigens onderkende risico’s bij de aspecten back-up en herstel, uitwijk en beveiliging, leiden niet tot een heraudit.

De heraudit wordt overeenkomstig de volgende eisen uitgevoerd:

5.2.1. De heraudit betreft alleen het onderdeel of de onderdelen waarvoor een heraudit verplicht is. In dit kader bestaan er vijf onderdelen, te weten de drie soorten gegevens onderverdeeld in foutklassen A, B en C van het inhoudelijke deel van de audit en de twee aspecten back-up en herstel en uitwijk van het procesmatige deel van de audit.

5.2.2. Er wordt bij de heraudit gecontroleerd of de gemeente zodanige maatregelen heeft getroffen dat de kwaliteit van de desbetreffende onderdelen nu wel voldoende is.

5.2.3. Voor een heraudit met betrekking tot de gegevens in foutklassen A, B en/of C is het gestelde in de hoofdstukken 2 en 4 van deze circulaire van overeenkomstige toepassing.

5.2.4. Voor een heraudit met betrekking tot de aspecten back-up en herstel en/of uitwijk is het gestelde in de hoofdstukken 3 en 4 van deze circulaire van overeenkomstige toepassing.