Regeling periodieke audit GBA

[Regeling vervallen per 06-01-2014.]
Geraadpleegd op 21-12-2024. Gebruikte datum 'geldig op' 07-05-2008 en zichtdatum 19-12-2024.
Geldend van 07-05-2008 t/m 05-01-2014

Hoofdstuk 1. Algemene bepalingen

[Regeling vervallen per 06-01-2014]

Artikel 1

[Regeling vervallen per 06-01-2014]

  • 1 In deze regeling wordt verstaan onder:

    de wet:

    de Wet gemeentelijke basisadministratie persoonsgegevens;

    het besluit:

    het Besluit gemeentelijke basisadministratie persoonsgegevens;

    de Regeling GBA:

    de Regeling gemeentelijke basisadministratie persoonsgegevens;

    auditee:

    de gemeente die onderwerp is van de audit;

    auditor:

    de medewerker van de auditinstelling die het inhoudelijke deel van de audit namens de auditinstelling uitvoert of de medewerker van de auditinstelling onder wiens verantwoordelijkheid het procesmatige en privacydeel van de audit namens de auditinstelling wordt uitgevoerd;

    auditinstelling:

    het bedrijf dat door de minister is aangewezen om de audit als bedoeld in artikel 120a van de wet uit te voeren;

    kwaliteitsbrochure:

    een vanwege de minister uitgegeven brochure, bedoeld in artikel 8;

    de minister:

    de Minister van Binnenlandse Zaken en Koninkrijksrelaties;

    het agentschap BPR:

    het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties;

    de persoonslijst:

    de in het GBA-systeem van de auditee opgeslagen persoonslijst als bedoeld in artikel 1 van de Wet GBA.

  • 2 Brondocumenten als bedoeld in deze regeling zijn:

    • a. de kopie van de persoonskaart in het Vestigingsregister;

    • b. documenten die door instanties in Nederland zijn opgemaakt, te weten (kennisgevingen van) akten van de burgerlijke stand, besluiten en (afschriften van) rechterlijke uitspraken, tenzij deze de vorm hebben van een Og01-, Og11-, Tb01- dan wel een TB02-bericht; en

    • c. overige Nederlandse en buitenlandse documenten die vermeld zijn in bijlage 4.

  • 3 Indien een brondocument als bedoeld in het tweede lid niet aanwezig is en dit document door een instantie in Nederland is opgemaakt, vraagt het college van burgemeester en wethouders bij de desbetreffende instantie een afschrift op.

Artikel 2

[Regeling vervallen per 06-01-2014]

  • 1 Voor de uitvoering van deze regeling wordt verstaan onder het aantal inwoners van een gemeente: het aantal inwoners volgens de door het Centraal Bureau voor de Statistiek openbaar gemaakte bevolkingscijfers per 1 januari van het jaar waarin een audit wordt uitgevoerd.

  • 2 Bij de uitvoering van de heraudit wordt uitgegaan van hetzelfde aantal inwoners dat ingevolge het eerste lid voor de audit is vastgesteld.

Hoofdstuk 2. De periodieke audit

[Regeling vervallen per 06-01-2014]

Paragraaf 1. Het inhoudelijke deel van de audit

[Regeling vervallen per 06-01-2014]

Artikel 3

[Regeling vervallen per 06-01-2014]

  • 1 De auditor is verantwoordelijk voor het trekken van een niet-selecte steekproef uit de basisadministratie van de auditee ten behoeve van het inhoudelijke deel van de audit.

  • 2 De steekproef wordt getrokken uit de verzameling van persoonslijsten van personen die als ingezetene staan ingeschreven in de basisadministratie van de auditee en de persoonslijsten die vanwege de emigratie, een ministerieel besluit, bedoeld in artikel 32 van de wet of het overlijden van de ingeschrevene zijn opgeschort. De auditee levert in verband hiermee twee overzichten van administratienummers van alle in de basisadministratie van de auditee opgenomen actuele respectievelijk opgeschorte persoonslijsten.

  • 3 Het aantal te selecteren persoonslijsten bedraagt:

    • a. 100 voor gemeenten tot 20.000 inwoners;

    • b. 200 voor gemeenten met 20.000 tot 100.000 inwoners;

    • c. 300 voor gemeenten met 100.000 of meer inwoners.

  • 4 Vijf procent van de te selecteren persoonslijsten is opgeschort in verband met de in het tweede lid genoemde redenen.

  • 5 De auditee draagt er zorg voor dat na ontvangst van de door de auditor opgegeven A-nummers, de daarbij behorende persoonslijsten binnen een werkweek aan de auditor beschikbaar worden gesteld. Indien dit niet binnen de genoemde termijn heeft plaatsgevonden, geeft de auditor onmiddellijk nieuwe A-nummers op en stelt de auditee alsnog binnen een werkweek na ontvangst van deze nieuwe A-nummers, de daarbij behorende persoonslijsten aan de auditor beschikbaar.

Artikel 4

[Regeling vervallen per 06-01-2014]

  • 1 Naast de in artikel 3 bedoelde niet-selecte steekproef, draagt de auditor zorg voor een selecte steekproef uit de basisadministratie van de auditee.

  • 2 De aantallen select verzamelde persoonslijsten bedragen:

    • a. 5 voor gemeenten tot 20.000 inwoners;

    • b. 10 voor gemeenten met 20.000 tot 100.000 inwoners;

    • c. 20 voor gemeenten met 100.000 of meer inwoners.

  • 3 De select verzamelde persoonslijsten voldoen aan de criteria genoemd in bijlage 1.

Artikel 5

[Regeling vervallen per 06-01-2014]

De te controleren persoonslijsten worden op papier afgedrukt, ongeacht de wijze waarop de controle plaatsvindt.

Artikel 6

[Regeling vervallen per 06-01-2014]

  • 1 In het kader van de toetsing van de eisen die voortvloeien uit de systeembeschrijving wordt onderzocht of:

    • a. de gegevens voldoen aan de eisen in het gegevenswoordenboek;

    • b. de tekens voorkomen in het overzicht van te gebruiken Teletex karakters;

    • c. de gegevens weergeven dat mutaties zijn uitgevoerd conform de in de systeembeschrijving beschreven actualiseringprocedures;

    • d. de gegevens weergeven dat bij het opnemen dan wel wijzigen van gegevens de voorschriften gesteld bij of krachtens de wet zijn gevolgd;

    • e. de door een college van burgemeester en wethouders spontaan geplaatste afnemersindicaties voorkomen op de persoonslijsten waar deze verwacht mogen worden;

    • f. de gegevens zijn ontleend aan bij of krachtens de wet bepaalde brondocumenten.

  • 2 Een gegeven wordt getoetst aan de hand van het daarop betrekking hebbende voorschrift dat gold op het moment waarop het gegeven werd opgenomen, tenzij later is aangegeven dat het betreffende gegeven gecorrigeerd moest worden omdat het bij de opname gehanteerde voorschrift niet juist was. Gegevens die ten tijde van het trekken dan wel verzamelen van de persoonslijsten, bedoeld in de artikelen 3 en 4, niet conform de eisen waren opgenomen, maar naderhand zijn gecorrigeerd, worden aangemerkt als afwijkingen.

  • 3 Beoordeeld wordt of de gegevens op de persoonslijsten correct zijn ontleend aan de gegevens op het brondocument.

  • 4 Voor wat betreft de niet-selecte steekproef geldt dat:

    • a. de controle alleen wordt uitgevoerd aan de hand van de brondocumenten die bij de auditee aanwezig dienen te zijn of waarvan alsnog een afschrift kan worden verkregen;

    • b. de controle wordt uitgevoerd bij de door de auditor te bepalen helft van de in de steekproef aanwezige persoonslijsten;

    • c. bij de andere helft van de in de steekproef aanwezige persoonslijsten wordt alleen een controle uitgevoerd indien het vermoeden bestaat dat gegevens niet juist aan de gegevens op het brondocument zijn ontleend.

  • 5 Bij de select verzamelde persoonslijsten wordt de controle uitgevoerd ten aanzien van de bij de desbetreffende specifieke situatie gehanteerde brondocumenten.

Artikel 7

[Regeling vervallen per 06-01-2014]

  • 1 Aangetroffen afwijkingen worden ingedeeld in drie foutklassen:

    • a. foutklasse A, de voor afnemers cruciale gegevens, zijnde de rubrieken: 01.02.30 (voorvoegsel persoon), 01.02.40 (geslachtsnaam persoon), 01.03.10 (geboortedatum persoon), 05.03.10 en 55.03.10 (geboortedatum echtgenoot/geregistreerd partner), 05.06.10 en 55.06.10 (datum huwelijkssluiting), 05.07.10 (datum huwelijksontbinding), 06.08.10 (datum overlijden), 08.11.20 (huisnummer), 08.11.30 (huisletter), 08.11.40 (huisnummertoevoeging), 08.11.60 (postcode), 09.03.10 (geboortedatum kind) en 14.40.10 (afnemersindicatie);

    • b. foutklasse B, de niet onder a vermelde algemene gegevens met uitzondering van de rubrieken 01.01.10 (A-nummer persoon), 05.01.10 en 55.01.10 (A-nummer echtgenoot/geregistreerd partner) en 09.01.10 (A-nummer kind), alsmede van de bijzondere gegevens, de groepen: 13.31 (Europees kiesrecht), 13.38 (Uitsluiting kiesrecht);

    • c. foutklasse C, de overige administratieve gegevens met uitzondering van element 86.10, alsmede van de bijzondere gegevens, de groepen: 12.35 (Nederlands reisdocument), 12.36 (Signalering), 12.37 (Buitenlands reisdocument), 12.85 (Geldigheid), 13.82 (Document).

  • 2 Het, met in achtneming van artikel 6, vierde lid, onder a, niet kunnen overleggen van een brondocument wordt aangemerkt als afwijking, vallend in foutklasse C.

Artikel 8

[Regeling vervallen per 06-01-2014]

  • 1 Iedere aangetroffen afwijking wordt geteld als één fout.

  • 2 Meervoudige afwijkingen worden geteld als één fout en ingedeeld in de hoogste van de van toepassing zijnde foutklassen, indien:

    • a. de afwijkingen die op meerdere persoonslijsten zijn geconstateerd, worden veroorzaakt doordat het geautomatiseerde systeem van de auditee op een bepaald aspect niet goed werkt(e) of doordat een onjuiste procedure door een auditee is gevolgd, tenzij dezelfde afwijking tijdens een eerdere audit is geconstateerd;

    • b. de op één persoonslijst geconstateerde afwijkingen met elkaar samenhangen dan wel worden veroorzaakt door één en dezelfde fout, tenzij dezelfde afwijking tijdens een eerdere audit is geconstateerd.

  • 3 Afwijkingen worden niet als fout geteld, indien:

    • a. door of namens de minister schriftelijk kenbaar is gemaakt dat de desbetreffende afwijking bij de bepaling van het resultaat van de audit niet als afwijking wordt aangemerkt;

    • b. in de door het agentschap BPR uitgegeven Kwaliteitsbrochure kenbaar is gemaakt dat de desbetreffende afwijking niet als afwijking wordt aangemerkt.

  • 4 In verband met het bepaalde in het tweede lid overlegt de auditee de door de auditor verlangde managementsamenvattingen.

Artikel 9

[Regeling vervallen per 06-01-2014]

Een auditee heeft het inhoudelijke deel van de audit met goed gevolg afgelegd, indien er per foutklasse niet meer fouten zijn geteld dan:

  • a. 1% van het aantal niet-select getrokken persoonslijsten in foutklasse A;

  • b. 5% van het aantal niet-select getrokken persoonslijsten in foutklasse B;

  • c. 10% van het aantal niet-select getrokken persoonslijsten in foutklasse C.

Artikel 10

[Regeling vervallen per 06-01-2014]

De onderzochte persoonslijst wordt door de auditor gewaarmerkt. De afwijkingen alsmede de telling van deze afwijkingen als fouten, worden in de auditrapportage vermeld.

Paragraaf 2. Het procesmatige deel van de audit

[Regeling vervallen per 06-01-2014]

Artikel 11

[Regeling vervallen per 06-01-2014]

Het procesmatige deel van de audit wordt uitgevoerd met behulp van de in bijlage 2 opgenomen vragenlijst en de ingevolge artikel 12, eerste lid, door de auditee aangeboden documenten alsmede de waarneming ter plaatse door de auditor.

Artikel 12

[Regeling vervallen per 06-01-2014]

  • 1 De vragenlijst wordt door de verantwoordelijke voor de verwerking van persoonsgegevens in de basisadministratie voorafgaand aan de audit ingevuld en samen met de afschriften van de meest recente versies van de in bijlage 2 met een ‘@’-teken aangeduide documenten aan de auditor aangeboden.

  • 2 De auditor controleert naar eigen inzicht de juistheid van de beantwoording van de door de minister voor Bestuurlijke Vernieuwing en Koninkrijksrelaties aangewezen vragen en de bij die vragen behorende vervolgvragen. Hij stelt daartoe naar eigen inzicht aanvullende vragen aan de voor de desbetreffende processen verantwoordelijke en uitvoerende personen en verricht elke toets die hij noodzakelijk acht.

  • 3 Indien uit de controle blijkt dat één of meerdere vragen dan wel twee of meerdere vervolgvragen onjuist is of zijn beantwoord, controleert de auditor tevens de beantwoording van de overige vragen.

  • 4 De auditee geeft vooraf aan bij wie genoemde verantwoordelijkheden zijn neergelegd en waar dat uit blijkt.

  • 5 Een werkdag voordat de controle bedoeld in het tweede lid wordt uitgevoerd informeert de minister de auditinstelling welke vragen hij heeft aangewezen.

Paragraaf 3. Het privacydeel van de audit

[Regeling vervallen per 06-01-2014]

Artikel 15

[Regeling vervallen per 06-01-2014]

Het privacydeel van de audit wordt uitgevoerd aan de hand van de in bijlage 3 opgenomen aanvullende vragenlijst en de ingevolge artikel 15a, eerste lid, door de auditee aangeboden documenten.

Artikel 15a

[Regeling vervallen per 06-01-2014]

  • 1 De vragenlijst wordt door de verantwoordelijke voor de verwerking van persoonsgegevens in de basisadministratie voorafgaand aan de audit ingevuld en samen met de afschriften van de meest recente versies van de in bijlage 3 met een ‘@’-teken aangeduide documenten aan de auditor aangeboden.

  • 2 De auditor stelt naar eigen inzicht aanvullende vragen aan de volgende voor de bescherming van de persoonlijke levenssfeer verantwoordelijke en uitvoerende personen:

    • a. de functionaris die verantwoordelijk is voor de inhoud, integriteit en toegankelijkheid van de gegevens in de basisadministratie in de gemeente;

    • b. de functionaris die verantwoordelijk is voor de bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de GBA opgenomen zijn;

    • c. de functionaris die verantwoordelijk is voor het controleren en evalueren van de maatregelen voor de informatiebeveiliging;

    • d. de functionaris die verantwoordelijk is voor een juiste bijhouding van de GBA.

  • 3 De auditee geeft vooraf aan bij wie genoemde verantwoordelijkheden zijn neergelegd en waar dat uit blijkt.

  • 4 De auditor toetst of ten aanzien van het onderdeel privacy de voorgeschreven maatregelen zijn getroffen, of deze in de praktijk worden nageleefd en welke risico's daarbij zijn te onderkennen.

Hoofdstuk 3. De auditrapportage en het controleverslag procesmatig deel van de audit

[Regeling vervallen per 06-01-2014]

Artikel 16

[Regeling vervallen per 06-01-2014]

  • 1 Deze regeling verstaat onder auditrapportage een rapportage die minimaal uit de volgende delen bestaat:

    • a. de bevindingen van het inhoudelijke deel van de audit;

    • b. de bevindingen van het privacydeel van de audit;

    • c. de managementsamenvatting, bevattende de in artikel 53c, tweede lid, van het besluit bedoelde onderdelen van de auditrapportage.

  • 2 Deze regeling verstaat onder controleverslag een verslag met betrekking tot de controle van het procesmatige deel van de audit.

Artikel 17

[Regeling vervallen per 06-01-2014]

  • 1 Omtrent het inhoudelijke deel van de audit wordt minimaal opgenomen:

    • a. de zichtbare onvolkomenheden in de gecontroleerde persoonslijsten;

    • b. de wijze van uitvoering van de niet-selecte steekproef;

    • c. welke select verzamelde persoonslijsten zijn gecontroleerd;

    • d. de bevindingen.

  • 2 Ten aanzien van de niet-selecte steekproef worden de feitelijke bevindingen en geconstateerde afwijkingen onderverdeeld in foutklassen.

Artikel 19

[Regeling vervallen per 06-01-2014]

Omtrent het privacydeel van de audit wordt minimaal opgenomen:

  • a. de zichtbare onvolkomenheden in de documentatie;

  • b. hoe dit deel van de audit is uitgevoerd, welke aanvullende documenten zijn geraadpleegd, welke controles en interviews zijn uitgevoerd;

  • c. de bevindingen.

Artikel 20

[Regeling vervallen per 06-01-2014]

In verband met de bescherming van de persoonlijke levenssfeer van de burger zijn de feitelijke bevindingen bij het inhoudelijke deel van de audit op een zodanige wijze beschreven dat de gegevens niet zijn te herleiden tot een individuele persoon.

Artikel 21

[Regeling vervallen per 06-01-2014]

  • 1 De managementsamenvatting bestaat uit de volgende elementen:

    • a. een passage waaruit blijkt onder wiens verantwoordelijkheid het inhoudelijk deel onderscheidenlijk het privacydeel van de audit is uitgevoerd, welke auditoren het inhoudelijke deel en het privacy deel hebben uitgevoerd, wanneer welke onderdelen van de audit zijn uitgevoerd en, indien sprake is geweest van uitbesteding door de auditinstelling, welk deel aan welke instantie is uitbesteed;

    • b. een verklaring dat het inhoudelijk deel van de audit onderscheidenlijk het privacydeel van de audit niet, dan wel geheel of gedeeltelijk is uitgevoerd met behulp van computers en geautomatiseerde uitrusting;

    • c. de conclusies, onderverdeeld naar:

      • 1°. de niet-selecte persoonlijsten, waarbij per foutklasse wordt aangegeven welke afwijkingen zijn aangetroffen en of de geldende norm is overschreden;

      • 2°. de select getrokken persoonslijsten, waarbij wordt aangegeven welke afwijkingen zijn aangetroffen;

      • 3°. de uitkomsten van het privacydeel van de audit, onder vermelding van de geconstateerde tekortkomingen;

      • 4°. de onderdelen waarvoor een heraudit verplicht is dan wel de mededeling dat geen heraudit verplicht is;

      • 5°. de afspraken die de auditee met de auditor heeft gemaakt naar aanleiding van de bespreking van het concept van de auditrapportage.

    • d. een passage met aanbevelingen en voorgestelde maatregelen ter verbetering van bij de auditee in het kader van een audit of een heraudit geconstateerde afwijkingen en tekortkomingen.

  • 2 Het controleverslag bestaat minimaal uit de volgende elementen:

    • a. welke vragen en aanvullende vragen zijn gecontroleerd;

    • b. de zichtbare onvolkomenheden in de documentatie;

    • c. hoe dit deel van de audit is uitgevoerd, welke aanvullende documenten zijn geraadpleegd alsmede welke controles en interviews zijn uitgevoerd;

    • d. de bevindingen;

    • e. een passage waaruit blijkt onder wiens verantwoordelijkheid de controle van het procesmatige deel is uitgevoerd, welke auditoren de controle hebben uitgevoerd, wanneer de controle is uitgevoerd en, indien sprake is geweest van uitbesteding door de auditinstelling, aan welke instantie is uitbesteed.

  • 3 Burgemeester en wethouders zenden binnen een maand na het in artikel 21a, derde lid, bedoelde tijdstip een afschrift van de managementsamenvatting onderscheidenlijk het controleverslag naar het agentschap BPR.

  • 4 Bij het afschrift van het controleverslag voegen zij een afschrift van de ingevulde vragenlijst met betrekking tot het procesmatige deel van de audit die zij aan de auditor ter controle hebben overgelegd.

  • 5 Indien uit de bevindingen naar aanleiding van de controle is gebleken dat gecontroleerde vragen niet correct bleken te zijn beantwoord, voegen zij tevens een correct ingevulde vragenlijst bij.

  • 6 Burgemeester en wethouders delen bij de toezending van het afschrift van het controleverslag mee voor welke onderdelen van het procesmatige deel van de audit een heraudit verplicht is dan wel dat geen heraudit verplicht is.

  • 7 De managementsamenvatting en het controleverslag worden gedurende zeven jaren door de auditee bewaard.

Artikel 21a

[Regeling vervallen per 06-01-2014]

  • 1 Uiterlijk twee maanden nadat met de uitvoering van de audit is begonnen, wordt een concept van de auditrapportage voorgelegd aan de auditee.

  • 2 Het concept van de auditrapportage wordt vervolgens met een vertegenwoordiger van de auditee besproken.

  • 3 De uiteindelijke auditrapportage wordt uiterlijk twee maanden nadat het concept van de auditrapportage aan de auditee is voorgelegd, vastgesteld en door de auditor of een door de auditinstelling gemachtigd personeelslid ondertekend.

  • 4 De termijn van een jaar, bedoeld in artikel 120a, vijfde lid, van de wet vangt aan op het moment dat de auditrapportage is vastgesteld, dan wel op het tijdstip dat deze ingevolge het derde lid uiterlijk had moeten zijn vastgesteld.

  • 5 Ten aanzien van het verslag van de bevindingen van de controle van het procesdeel zijn het eerste tot en met vierde lid van overeenkomstige toepassing.

Hoofdstuk 4. De vergoeding van de audit

[Regeling vervallen per 06-01-2014]

Artikel 22

[Regeling vervallen per 06-01-2014]

  • 1 De vergoeding, bedoeld in artikel 120a, vierde lid, van de wet bedraagt voor in 2002 gehouden audits:

    • a. voor gemeenten met minder dan 20.000 inwoners: € 3641,-;

    • b. voor gemeenten met 20.000 tot 100.000 inwoners: € 4911,-;

    • c. voor gemeenten met 100.000 of meer inwoners: € 6181,-.

  • 2 De in het eerste lid bedoelde bedragen worden jaarlijks, voor het lopende kalenderjaar, geïndexeerd conform het eerste in dat jaar door het Centraal Bureau voor de Statistiek bekend gemaakte voorlopige indexcijfer voor ‘CAO-lonen van alle werknemers, bruto uurloon, inclusief bijzondere beloningen voor de commerciële dienstverlening’ voor het voorafgaande jaar.

Hoofdstuk 5. De heraudit

[Regeling vervallen per 06-01-2014]

Artikel 23

[Regeling vervallen per 06-01-2014]

  • 1 Een heraudit van onderdelen van het inhoudelijk deel van de audit is verplicht indien bij de niet-selecte steekproef meer fouten zijn geconstateerd dan de desbetreffende norm toestaat.

  • 2 Een heraudit van onderdelen van het procesdeel van de audit is verplicht indien met betrekking tot de vragen in bijlage 2:

    • a. negatief is geantwoord op één of meer van de volgende vragen:

      • 1.1.1 tot en met 1.1.7

      • 1.3.1

      • 1.3.1.3 tot en met 1.3.1.5

      • 1.3.1.6 tot en met 1.3.1.8

      • 2.1.1.2 tot en met 2.1.1.5

      • 2.1.2.1

      • 2.1.3.1

      • 2.1.5.1.1

      • 2.1.5.1.1.1

      • 2.1.8.1 tot en met 2.1.8.2.1

      • 2.2.1.2

      • 2.2.1.3

      • 2.2.1.3.1

      • 2.2.2.2

      • 2.2.3.1.1.

      • 2.2.3.1.4

      • 2.2.4.1 tot en met 2.2.4.3

      • 2.2.4.3.2

      • 2.2.5.1 tot en met 2.2.5.4.1

      • 3.2.1;

    • b. negatief is geantwoord op zowel vraag 2.2.1.1 als vraag 2.2.1.1.1;

    • c. negatief is geantwoord op zowel vraag 2.2.5.2. als vraag 2.2.5.2.1;

    • d. bij één van de in de voorgaande onderdelen genoemde vragen de te overleggen documenten ontbreken.

  • 3 Een heraudit van onderdelen van het privacydeel van de audit is verplicht indien met betrekking tot de vragen van bijlage 3 negatief is geantwoord op één of meer van de vragen 1.1.1 tot en met 1.1.1.2 en 1.4.1 tot en met 1.6.1.4, dan wel indien bij één of meer van deze vragen de te overleggen documenten ontbreken.

Artikel 24

[Regeling vervallen per 06-01-2014]

De heraudit wordt overeenkomstig de volgende eisen uitgevoerd:

  • 1 De heraudit betreft:

    • a. de foutklassen van het inhoudelijk deel van de audit, waarin meer fouten zijn geconstateerd dan de desbetreffende norm toestaat;

    • b. de vragen, genoemd in artikel 23, tweede lid, waarop negatief is geantwoord, waarbij het te overleggen document ontbreekt dan wel voor zover van toepassing maatregelen niet zijn getroffen of in de praktijk niet worden nageleefd;

    • c. de vragen, genoemd in artikel 23, derde lid, waarop negatief is geantwoord dan wel waarbij het te overleggen document ontbreekt.

  • 2 Er wordt bij de heraudit gecontroleerd of de auditee zodanige maatregelen heeft getroffen dat de kwaliteit van de desbetreffende onderdelen nu wel voldoende is.

  • 3 Voor een heraudit met betrekking tot de gegevens in foutklassen A, B of C is het gestelde in paragraaf 1 van hoofdstuk 2 van overeenkomstige toepassing.

  • 4 Voor een heraudit met betrekking tot het procesdeel is het gestelde in paragraaf 2 van hoofdstuk 2 van overeenkomstige toepassing met dien verstande dat de beantwoording van alle vragen, bedoeld in het eerste lid, onderdeel b, wordt gecontroleerd.

  • 5 Voor een heraudit met betrekking tot het privacydeel is het gestelde in paragraaf 3 van hoofdstuk 2 van overeenkomstige toepassing.

Hoofdstuk 6. De auditinstellingen

[Regeling vervallen per 06-01-2014]

Artikel 25

[Regeling vervallen per 06-01-2014]

  • 1 De auditinstelling of de organisatie waarvan ze deel uitmaakt is juridisch identificeerbaar.

  • 2 De auditinstelling beschikt over documentatie die globaal het gehele werkgebied beschrijft waarin ze bekwaamheid bezit en gedetailleerd het werkgebied dat onderwerp is van de audit.

  • 3 De auditinstelling heeft een gepaste aansprakelijkheidsverzekering, tenzij haar aansprakelijkheid is overgenomen door de Staat, volgens nationale wetten, of door de organisatie waarvan ze deel uitmaakt. In het laatste geval heeft de desbetreffende organisatie een gepaste aansprakelijkheidsverzekering. In het geval dat er sprake is van een aansprakelijkheidsverzekering, is het eventuele eigen risico in overeenstemming met de financiële situatie van de organisatie.

  • 4 De auditinstelling beschikt over documentatie waarin haar zakelijke voorwaarden beschreven staan.

Artikel 26

[Regeling vervallen per 06-01-2014]

  • 1 De auditor is volledig vrij van commerciële, financiële en andere druk die zijn oordeel zou kunnen beïnvloeden.

  • 2 De auditor is onafhankelijk ten opzichte van de auditee. De auditor heeft geen andere zakelijke relaties met de auditee.

  • 3 De auditor laat zich niet in met activiteiten die strijdig kunnen zijn met de onafhankelijkheid van zijn oordeel en zijn integriteit met betrekking tot de audit.

  • 4 Alle colleges van burgemeester en wethouders kunnen, met inachtneming van het gestelde in de voorgaande leden, de audit door de auditinstelling laten uitvoeren.

Artikel 27

[Regeling vervallen per 06-01-2014]

  • 1 De auditinstelling verzekert de volledige geheimhouding van informatie die zij in de loop van haar auditactiviteiten verkrijgt.

  • 2 De auditinstelling garandeert de privacybescherming van de burger en de bescherming van eigendomsrechten.

Artikel 28

[Regeling vervallen per 06-01-2014]

  • 1 De auditinstelling is zodanig georganiseerd dat ze blijvend in staat is om haar auditfuncties naar behoren te vervullen. De audits die met auditees zijn afgesproken, worden in het betreffende tijdvak van drie maanden uitgevoerd zonder dat dat tot kwaliteitsverlies leidt. De auditinstelling beschikt om die reden over voldoende personeel of heeft met één of meerdere auditinstellingen een overeenkomst gesloten zodat voldoende vervanging is gegarandeerd.

  • 2 Alle soorten functies die van invloed zijn op de kwaliteit van de auditdiensten of betrokken zijn bij het verlenen van de auditdiensten zijn beschreven. Deze functiebeschrijvingen omvatten de eisen op het gebied van opleiding, training, technische kennis, inhoudelijke kennis van de gemeentelijke basisadministraties en ervaring.

Artikel 29

[Regeling vervallen per 06-01-2014]

  • 1 De leiding van de auditinstelling bepaalt haar beleid, doelstelling en betrokkenheid met betrekking tot de kwaliteit van de audit, legt dat schriftelijk vast en bewerkstelligt dat dit beleid op alle niveaus in de organisatie wordt begrepen, toegepast en gehandhaafd.

  • 2 De auditinstelling beheert een effectief kwaliteitssysteem dat past bij de omvang van de organisatie.

  • 3 Het kwaliteitssysteem is volledig schriftelijk vastgelegd. Er is een kwaliteitshandboek aanwezig, dat de door deze norm vereiste informatie bevat die is opgesomd in artikel 38.

  • 4 De auditinstelling wijst een functionaris aan die, ongeacht andere taken, een duidelijk bepaalde bevoegdheid en verantwoordelijkheid heeft voor de kwaliteitsborging aangaande de audit. Deze functionaris heeft directe toegang tot de directie van de auditinstelling.

  • 5 Het kwaliteitssysteem wordt passend en actueel gehouden onder verantwoordelijkheid van deze functionaris.

  • 6 De auditinstelling houdt een systeem in stand voor de beheersing van alle voor de audit relevante documenten en bewerkstelligt dat:

    • a. de documenten beschikbaar zijn voor al het betrokken personeel;

    • b. al het betrokken personeel tijdig van wijzigingen of aanvullingen op de hoogte wordt gebracht;

    • c. vervallen (onderdelen van) documenten binnen de organisatie uit gebruik worden genomen behoudens één exemplaar dat wordt bewaard.

Artikel 30

[Regeling vervallen per 06-01-2014]

  • 1 De auditinstelling beschikt over voldoende personeel, met voldoende deskundigheid voor het uitvoeren van hun taken. Indien gebruik wordt gemaakt van op afroep beschikbare personen, voeren deze hun werk uit als was het personeel van de auditinstelling. Werkzaamheden in het kader van een audit worden, behoudens het gestelde in artikel 36, niet uitbesteed.

  • 2 Een auditor voldoet ten behoeve van het inhoudelijke deel van de audit aan de eisen, genoemd in artikel 40.

  • 3 Een auditor voldoet ten behoeve van het procesmatige deel van de audit aan de eisen, bedoeld in artikel 41.

  • 4 De beloning van de auditoren is niet rechtstreeks afhankelijk van het aantal uitgevoerde audits en is niet afhankelijk van de resultaten van de audits.

Artikel 31

[Regeling vervallen per 06-01-2014]

  • 1 Indien de auditinstelling voor de vastlegging van de bevindingen van de audit gebruikmaakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze dat:

    • a. de programmatuur en software is beproefd op haar geschiktheid voor het bedoelde gebruik;

    • b. de procedures zijn vastgesteld en worden toegepast voor het beschermen van de integriteit van de gegevens;

    • c. de computer en geautomatiseerde uitrusting zodanig worden onderhouden dat de goede werking ervan verzekerd is;

    • d. procedures zijn vastgesteld en worden toegepast voor een voortdurende beveiliging van de gegevens.

  • 2 Indien de auditinstelling voor de vastlegging van de interviewverslagen in het kader van de audit gebruik maakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze, onverminderd het gestelde in het eerste lid, dat procedures zijn vastgesteld en worden toegepast voor het verwijderen van die gegevens na afloop van de audit.

  • 3 Indien de auditinstelling voor de uitvoering van de audit gebruik maakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze dat:

    • a. de programmatuur en software is beproefd op haar geschiktheid voor het bedoelde gebruik;

    • b. de procedures zijn vastgesteld en worden toegepast voor het beschermen van de integriteit van de gegevens;

    • c. de computer en geautomatiseerde uitrusting zodanig worden onderhouden dat de goede werking ervan verzekerd is;

    • d. procedures zijn vastgesteld en worden toegepast voor een voortdurende beveiliging van de gegevens;

    • e. procedures zijn vastgesteld en worden toegepast voor het verwijderen van de gegevens na afloop van de audit.

Artikel 32

[Regeling vervallen per 06-01-2014]

  • 4 De auditinstelling heeft een systeem voor het beheersen van de contracten of werkopdrachten om er zeker van te zijn dat:

    • a. het uit te voeren werk binnen haar bekwaamheid ligt en dat de organisatie over toereikende middelen beschikt om aan de eisen te voldoen;

    • b. de eisen van al wie een beroep wenst te doen op de diensten van de auditinstelling, naar behoren worden bepaald en dat de specifieke voorwaarden goed worden begrepen, zodat ondubbelzinnige instructies kunnen worden gegeven aan de auditoren;

    • c. toezicht wordt uitgeoefend op het werk in uitvoering, door middel van regelmatige beoordelingen en corrigerende maatregelen;

    • d. het werk na voltooiing wordt beoordeeld ter bevestiging dat aan de eisen is voldaan.

  • 5 De waarnemingen en gegevens die gedurende de audit worden verkregen, worden tijdig vastgelegd om verlies van ter zake doende informatie te voorkomen.

Artikel 33

[Regeling vervallen per 06-01-2014]

  • 1 De auditinstelling bewerkstelligt dat de te controleren persoonslijsten op ondubbelzinnige wijze zijn gekenmerkt, om te voorkomen dat op enig ogenblik verwarring ontstaat met betrekking tot de identiteit van de persoonslijsten.

  • 2 Zichtbare onvolkomenheden in de te controleren persoonslijsten en te bestuderen documentatie die aan de auditor worden gemeld of die door hem worden opgemerkt, voordat met de audit is gestart, worden in de auditrapportage vastgelegd. Indien er enige twijfel bestaat over de geschiktheid van de persoonslijsten of de documentatie voor de uit te voeren controle, raadpleegt de auditor de auditee alvorens verder te gaan met de audit.

  • 3 De auditinstelling bewerkstelligt dat na afloop van de audit alle gecontroleerde persoonslijsten en andere door de auditee verstrekte documentatie weer ter beschikking wordt gesteld aan de auditee.

Artikel 34

[Regeling vervallen per 06-01-2014]

  • 1 De door de auditinstelling uitgevoerde audit of heraudit wordt afgesloten met een auditrapportage.

  • 2 De auditrapportage voldoet aan de eisen genoemd in hoofdstuk 3.

Artikel 35

[Regeling vervallen per 06-01-2014]

  • 1 Alle registraties worden gedurende de audit veilig opgeslagen, zorgvuldig en vertrouwelijk bewaard, met inachtneming van de wettelijke verplichtingen.

  • 2 De auditinstelling bewerkstelligt dat na afloop van de audit het door het college van burgemeester en wethouders ingevulde vragenlijst voor het procesmatige deel van de audit en de eventuele interviewverslagen ter beschikking worden gesteld aan de auditee.

Artikel 36

[Regeling vervallen per 06-01-2014]

  • 1 De auditinstelling voert zelf de audits uit die ze op grond van een overeenkomst op zich heeft genomen.

  • 2 Uitbesteding van een gedeelte van de audit is slechts toegestaan aan een andere auditinstelling die door de minister is aangewezen om de audit uit te voeren. De auditinstelling stelt de auditee op de hoogte van haar voornemen om een gedeelte van de audit uit te besteden. De andere auditinstelling moet voor de auditee aanvaardbaar zijn.

  • 3 De auditinstelling houdt een register bij van al haar uitbestede werk.

Artikel 37

[Regeling vervallen per 06-01-2014]

  • 1 De auditinstelling beschikt over schriftelijk vastgelegde procedures voor het behandelen van klachten van auditees.

  • 2 Er wordt een overzicht bijgehouden van alle klachten en van de acties die daarop door de auditinstelling zijn genomen.

Artikel 38

[Regeling vervallen per 06-01-2014]

De auditinstelling neemt op passende wijze deel aan de uitwisseling van ervaringen met andere auditinstellingen, het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Raad voor Accreditatie.

Artikel 39

[Regeling vervallen per 06-01-2014]

In het kwaliteitshandboek van de auditinstelling dient de volgende informatie te zijn opgenomen:

  • a. algemene informatie (naam, adressen, telefoonnummer enz. en wettelijke status);

  • b. verklaring van de leiding over haar beleid, doelstelling en betrokkenheid op het gebied van kwaliteit;

  • c. verklaring van de leiding die de in artikel 28, vierde lid, vermelde functionaris aanstelt;

  • d. beschrijving van de werkgebieden en bekwaamheden van de auditinstelling;

  • e. informatie over de verhoudingen tussen de auditinstelling en het moederbedrijf of verbonden organisaties, indien van toepassing;

  • f. organisatieschema('s);

  • g. beschrijving van de in artikel 27, tweede lid, bedoelde functies;

  • h. beleidsverklaring over de kwalificatie en opleiding van de in artikel 27, tweede lid, bedoelde functies;

  • i. procedures voor documentenbeheer;

  • j. procedures voor interne audits;

  • k. procedures voor terugkoppeling en corrigerende maatregelen;

  • l. procedures voor beoordelingen van het kwaliteitssysteem door de leiding;

  • m. procedures voor het actueel houden van kwalificaties, opleiding, ervaring en kennis van de auditor;

  • n. andere procedures en voorschriften of verwijzingen naar andere procedures of voorschriften die in deze norm worden vereist;

  • o. verspreidingslijst van het kwaliteitshandboek.

Artikel 40

[Regeling vervallen per 06-01-2014]

De auditor die het inhoudelijke deel van de audit uitvoert, voldoet aan de volgende criteria:

  • a. de auditor beschikt over gedegen en aantoonbare kennis van de voor de audit relevante onderdelen uit de voorschriften zoals deze zijn beschreven in: de wet, het besluit, de regeling GBA, deze regeling, de systeembeschrijving, de Landelijke Tabellen, overige voor de verwerking van persoonsgegevens in de basisadministraties relevante regelgeving, het Handboek Uitvoeringsprocedures, het Handboek Operationele Procedures, de Kwaliteitsbrochures en de rubriek ‘Vragen en antwoorden aan de GBA Helpdesk’ in Burgerzaken en Recht;

  • b. de auditor beschikt over voldoende inzicht in de werking van geautomatiseerde systemen in het algemeen en van de verschillende GBA-applicaties in het bijzonder om vast te kunnen stellen of een steekproef uit de basisadministratie op de voorgeschreven wijze is getrokken, of het select verzamelen van persoonslijsten op de juiste wijze is geschied, om de persoonslijst op de juiste wijze te kunnen interpreteren en om vast te kunnen stellen dat een opgemerkte afwijking mogelijk niet als een fout moet worden geteld.

  • c. de auditor werkt zeer nauwgezet en snel en bezit de aantoonbare capaciteiten om afwijkingen in persoonslijsten te vinden.

Artikel 41

[Regeling vervallen per 06-01-2014]

De auditor die het procesmatige en privacydeel van de audit uitvoert, of onder wiens verantwoordelijkheid die delen worden uitgevoerd, voldoet aan het volgende criterium: de auditor is Register EDP-auditor (RE), een Europees equivalent daarvan of Certified Information Systems Auditor (CISA).

Hoofdstuk 7. Slotbepalingen

[Regeling vervallen per 06-01-2014]

Artikel 42

[Regeling vervallen per 06-01-2014]

Deze regeling treedt in werking met ingang van 1 oktober 2000. Artikel 22 van deze regeling werkt terug tot en met 1 juli 1999.

Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

's-Gravenhage, 1 september 2000

De

Minister

voor Grote Steden- en Integratiebeleid,

R.H.L.M. van Boxtel

Bijlage 1. Bijlage bij artikel 4 van de Regeling periodieke audit GBA

[Regeling vervallen per 06-01-2014]

Lijst met select getrokken persoonslijsten bedoeld in artikel 4, derde lid

[Regeling vervallen per 06-01-2014]

De vaststelling van de select getrokken persoonslijsten als bedoeld in artikel 4, geschiedt op de volgende wijze:

  • 1 In de basisadministratie van de auditee wordt gezocht naar de onderstaande actualiseringen op de persoonslijsten, te beginnen met de eerste en vervolgens de tweede en zo verder, totdat het aantal te controleren select getrokken persoonslijsten is bereikt.

  • 2 De controle van de select getrokken persoonslijsten is bedoeld om het college van burgemeester en wethouders inzicht te verschaffen in de eigen kwaliteit van een aantal bijzondere (actualiserings)processen. Daarom dienen de desbetreffende bijzondere actualiseringen door het college van burgemeester en wethouders zelf te zijn uitgevoerd. Daarnaast wordt, gezien het doel van deze controle, aanbevolen om zo mogelijk de actualiseringen te laten controleren waarvan de gehanteerde brondocumenten aanwezig zijn.

  • 3 De in onderdeel 1 genoemde actualiseringen zijn achtereenvolgens:

    • a. een eerste inschrijving als gevolg van een vestiging vanuit het buitenland;

    • b. een erkenning bij geboorteaangifte, waarbij de geboorte en aangifte niet op dezelfde dag hebben plaatsgevonden (op de persoonslijst van het kind);

    • c. een actualisering of correctie in de groepen 01 (Identificatienummers), 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon) met de daaropvolgende actualisering resp. correctie bij één van de gerelateerden die nog steeds in de gemeente is ingeschreven (de persoonslijst van de persoon én één van zijn/haar gerelateerden);

    • d. een hervestiging vanuit het buitenland in een andere gemeente dan waar de persoon stond ingeschreven;

    • e. twee of meer correcties, waarvan minimaal één van de volgende:

      • een correctie in groepen 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon), een correctie als gevolg van onjuist adres/verhuizing,

      • een correctie als gevolg van ten onrechte/dubbel opgenomen huwelijk, of

      • een correctie in de categorie 04 (Nationaliteit);

    • f. een adoptie met een naamswijziging (op de persoonslijst van het kind);

    • g. een naturalisatie met naamswijziging en het eventuele verlies van andere nationaliteit(en);

    • h. een vestiging vanuit het buitenland van een gezin (vader en moeder met kind(eren)), als eerste inschrijving;

    • i. een adoptie van een buitenlands kind, waarvan de geboortegegevens zijn ingeschreven in de Registers van de Burgerlijke Stand van Den Haag (op de persoonslijst van het kind);

    • j. een ontkenning van het vaderschap (op de persoonslijsten van het kind én van de vader en/of de moeder);

    • k. een registratie van een emigratie naar land onbekend;

    • l. een registratie van het adres van een persoon in het gegeven 08.12.10 (Locatiebeschrijving)

    • m. een geboorte met de daaropvolgende opname van het gegeven 11.32.10 (Indicatie gezag minderjarige);

    • n. nogmaals twee of meer correcties, waarvan minimaal één van de volgende: een correctie in groepen 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon), een correctie als gevolg van onjuist adres/verhuizing, een correctie als gevolg van ten onrechte/dubbel opgenomen huwelijk of een correctie in de categorie 04 (Nationaliteit), maar dan wel een ander dan eerder is gekozen;

    • o. een registratie van het gegeven 01.61.10 (Aanduiding naamgebruik) met een andere waarde dan ‘E’ bij een gehuwde vrouw die niet de Nederlandse nationaliteit bezit;

    • p. een registratie van meer dan vijf categorieën 10/60 (Verblijfstitel).

  • 4 Indien te weinig van bovenstaande actualiseringen aanwezig zijn, waardoor het aantal te controleren select getrokken persoonslijsten niet is bereikt, kan het college van burgemeester en wethouders zelf andere actualiseringen aandragen.

Bijlage 2

[Regeling vervallen per 06-01-2014]

[Red: Ligt ter inzage bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.]

Bijlage 3

[Regeling vervallen per 06-01-2014]

[Red: Ligt ter inzage bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.]

Bijlage 4

[Regeling vervallen per 06-01-2014]

[Red: Ligt ter inzage bij het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties.]