Vragenlijst BRP 2016
Rijksdienst voor Identiteitsgegevens Vragenlijst BRP 2016 Versie 1.0 1 april 2016
Heeft de gemeenteraad een verordening gegevensverstrekking basisregistratie personen vastgesteld die actueel is?
O
Ja, voor verstrekking aan overheidsorganen die een orgaan zijn van de gemeente en aan derden
3.2 3.2
O
3.2
O
Ja, alleen voor de verstrekking aan overheidsorganen die een orgaan zijn van de gemeente Ja, alleen voor de verstrekking aan derden Nee
O
Ja
3.8 3.9
O
Nee
□
Aanwijzing van door derden verrichte 3.9, werkzaamheden met een gewichtig lid 2 maatschappelijk belang voor de gemeente ten behoeve waarvan gegevens uit de basisregistratie kunnen
O
Burgerzaken
Burgerzaken
2
3
Worden gegevens aan derden verstrekt? Welke onderwerpen over het verstrekken aan derden zijn opgenomen in de verordening?
3.3
BIG
1
Circulaires
Burgerzaken
Antwoord
LO 3.9
Vraag
Reg. Brp
Nr
Besluit Brp
Functie
Wet Brp
Legenda De vragenlijst is verdeeld in de kolommen: Functie, (vraag)Nummer, Vraag, Antwoorden en Bronverwijzing. Er zijn twee soorten vragen: vragen waarbij slechts één antwoord gegeven kan worden –deze zijn herkenbaar aan de O (‘radiobutton’) voor de antwoorden– en vragen waarbij meerdere antwoorden gegeven kunnen worden –deze zijn herkenbaar aan de (‘checkbox’) voor de antwoorden. Schuingedrukte vragen zijn aanbevelingen, de niet-cursieve vragen zijn normen. In de kolom Bronverwijzing worden de volgende afkortingen gebruikt: - BRP: Basisregistratie Personen; - LO: Logisch ontwerp; - BIG: Tactische Baseline Informatiebeveiliging Nederlandse Gemeenten.
Vragenlijst BRP 2016
worden verstrekt
□
O
Aanwijzing van de categorieën van derden die voor de verstrekking in aanmerking komen Toestaan van de verstrekking voor zover deze noodzakelijk is voor de behartiging van het gerechtvaardigde belang van de derde en het belang of de fundamentele rechten en vrijheden van de ingeschrevene niet aan de verstrekking in de weg staan Ja
O
Nee
O
Ja, het is actueel en door het college vastgesteld
O
O
Ja, het is door het college vastgesteld, maar niet actueel Ja, het is actueel, maar niet door het college vastgesteld Nee
O
Ja
O
Nee
□ □
□
Burgerzaken
Burgerzaken
4
5
Zijn alle medewerkers die gebruik maken van de BRP het afgelopen jaar geïnstrueerd over de toepassing van de BRP verordening? Beschikt u over een actueel en door het college vastgesteld beveiligingsbeleid voor de gemeentelijke voorziening?
O
Burgerzaken
Burgerzaken
6
7
Beschikt u over een actueel beveiligingsplan voor de gemeentelijke voorziening? Zijn in het plan het afgelopen jaar de volgende onderdelen opgenomen cq. geactualiseerd?
3.9, lid 2 3.9, lid 2
8.2.2
1.11, 6 lid 1
7.2 7.4.7 4.2.4 2 - 3.1
5.1.1
5.1.1 5.1.1
6
5.1.1
De risico's
6
5.1.1
De dreigingen
6
5.1.1
Vragenlijst BRP 2016
□ □ □ □ Burgerzaken
8
Heeft er afgelopen jaar een incident plaatsgevonden?
O O O
Burgerzaken
9
Hoe wordt de identiteit vastgesteld bij persoonlijke aangifte/aanvraag?
□ □ □ □ □ □ □ □
De genomen maatregelen
6
5.1.1
De te nemen maatregelen
6
5.1.1
De verantwoordelijkheden en termijnen van de te nemen maatregelen Geen van de bovengenoemde onderdelen zijn opgenomen Ja, er is daarbij gehandeld conform de procedure Ja, daarbij is echter niet gehandeld conform de procedure Nee
6
5.1.1
Aan de hand van een geldig identiteitsbewijs De echtheidskenmerken van een identiteitsbewijs worden altijd (handmatig) gecontroleerd De foto op het identiteitsbewijs wordt vergeleken met de persoon Een door de aanvrager geplaatste handtekening wordt vergeleken met de handtekening op het identiteitsbewijs De persoonsgegevens van het identiteitsbewijs worden, indien mogelijk, vergeleken met de gegevens in de BRP Bij het ontbreken van een geldig identiteitsbewijs aan de hand van identificerende vragen Bij het ontbreken van een geldig identiteitsbewijs worden andere identificerende documenten voorzien van een foto en handtekening gevraagd Indien er twijfel bestaat over de identiteit wordt een onderzoek ingesteld (bijv. overlegging geboorteakte of aanvraagformulier eerder uitgereikt document)
7.3
13.2
7.3
13.2
Vragenlijst BRP 2016
Burgerzaken
10 Welke onderdelen van de inschrijving- en actualiseringprocessen zijn in schriftelijke werkinstructies vastgelegd?
□ □
Geen van de genoemde controles De invoer van gegevens
10.7.3
□
De controle van de ingevoerde gegevens Het wijzigen van de ingevoerde gegevens bij geconstateerde fouten Geen van de genoemde onderdelen / instructies Inschrijving
10.7.3
2
10.7.3
□ □ □ □ □ □
Adreswijziging
3.9
10.7.3
Vertrek naar buitenland
3.9
10.7.3
Briefadres
3.9
10.7.3
Naamgebruik
3.2.8
10.7.3
Verstrekkingsbeperking
3.8.7
10.7.3
Wijzigingen op grond van een Nederlandse akte
3.2, 3.3, 3.4, 3.6, 3.7, 3.10
10.7.3
□
Wijzigingen op grond van een buitenlands brondocument
3.2, 3.3, 3.4, 3.6, 3.7, 3.10
10.7.3
□
Nationaliteitswijzigingen
3.5
10.7.3
□ □ Burgerzaken
11 Welke inschrijving- en actualiseringprocessen worden minimaal jaarlijks gecontroleerd op juiste uitvoering?
□
10.7.3
Vragenlijst BRP 2016
□ □ □ Burgerzaken
12 Welke acties voert u uit om de volledigheid en juistheid van gegevensverwerking te controleren?
□
□
Burgerzaken
13 Welke van de volgende actualiseringen cq. correcties worden binnen een werkdag verwerkt?
□ □ □ □ □ □ □
Burgerzaken
14 Welke van de volgende actualiseringen cq. correcties worden direct na ontvangst van alle benodigde bescheiden verwerkt?
□
□ □ □
Reisdocumenten
3.13
10.7.3
Gezag
3.12
10.7.3
Geen van de genoemde processen wordt op juiste uitvoering gecontroleerd Aan de hand van de brondocumenten genoemd in artikel 2.8 Wbrp worden alle mutaties betreffende de burgerlijke staat gecontroleerd door een ander dan degene die ze heeft ingevoerd De burger krijgt altijd een bericht over de verwerking van een mutatie als genoemd in de artikelen 2.54 - 2-56 2.57 en 2.58 van de Wet BRP Geen van de genoemde acties
2.8
12.2.1
2.542.562.572.58
12.2.1
Adreswijziging
7.2
10.7.3
Vertrek naar buitenland
7.2
10.7.3
Briefadres
7.2
10.7.3
Naamgebruik
7.2
10.7.3
Verstrekkingsbeperking (geheimhouding) Geen van de genoemde actualiseringen cq. correcties Inschrijving
7.2
10.7.3
7.2
10.7.3
Wijzigingen op grond van een Nederlandse akte Wijzigingen op grond van een buitenlands brondocument Nationaliteitswijzigingen
7.2
10.7.3
7.2
10.7.3
7.2
10.7.3
Vragenlijst BRP 2016
□ □ □ Burgerzaken
15 Wordt bij de volgende elementen altijd de wet- en regelgeving/circulaires gevolgd?
□ □
7.2
10.7.3
Geen van de genoemde actualiseringen cq. correcties Vaststellen van de identiteit
7.2
10.7.3
2.54
10.7.3
2.54
10.7.3
□
□
Regels voor bestuurlijke boete
□
Regels voor briefadressen
□ □
Nee
□
17 Welke elementen zijn verwerkt in uw procedure verstrekkingen?
Gezag
Toezenden persoonslijst binnen 4 weken bij inschrijving aan burger Toezenden van de hoofdlijnen en regels BRP bij inschrijving Verwerking terugmelding
□
Burgerzaken
10.7.3
2.8
□
16 Is voor de volgende elementen beleid vastgesteld?
7.2
Gebruik maken van originele brondocumenten Kennis geven van recht op verstrekkingsbeperking bij aangifte van verblijf en adres Inschrijving geprivilegieerden
□
Burgerzaken
Reisdocumenten
□ □
10.7.3
3.21
2.4
2.34
4.17
Circulaire 10.7.3 inschrijving geprivilegieerde r
Circulaire Terugmelding en gerede twijfel Circulaire Bestuurlijke boete Beleidsregel briefadres
10.7.3
10.7.3
10.7.3
Op welke wijze een verzoek moet worden ingediend De minimale inhoud van het verzoek
3.9
10.7.3
3.9
10.7.3
De criteria om een afweging te maken bij verstrekkingen (incl. verzoeken
3.21
10.7.3
Vragenlijst BRP 2016
□ □ □ □ □ Burgerzaken
18 Welke elementen zijn in de procedure verstrekkingsbeperking opgenomen?
□ □ □
□ Burgerzaken
19 Welke elementen zijn in de procedure protocollering opgenomen?
□ □ □
Burgerzaken
20 Welke elementen zijn in de procedure incidentmeldingen verwerkt?
□
waarbij sprake is van verstrekkingsbeperking) Het onmiddellijk informeren van de burger wanneer, ondanks de aantekening vertrekkingsbeperking, gegevens worden verstrekt Een toets aan de verordening c.q. het onderliggende reglement De regels omtrent protocollering
3.21
10.7.3
3.9
10.7.3
3.11
4.2
Gegevens van niet-ingezetenen (m.u.v. van RNI) worden niet verstrekt Er is geen procedure of geen van bovengenoemde elementen zijn verwerkt in onze procedure Het verzoek wordt binnen 4 weken 2.59 afgedaan
10.7.3
10.7.3
Jaarlijks wordt het recht op verstrekkingsbeperking gepubliceerd De criteria om te kunnen bepalen of de persoonlijke levenssfeer van een persoon onevenredig zou worden geschaad indien in afwijking van artikel 3.21 lid 1 gegevens worden verstrekt Er is geen procedure of geen van de genoemde elementen is opgenomen Niet op andere wijze te herleiden verstrekkingen worden geprotocolleerd
3.21, lid 5 3.21, lid 2
10.7.3
3.11
42
4.2.1
10.7.3
Minimaal kan achterhaald worden door wie, over wie, welke gegevens op welke datum aan wie zijn verstrekt Er is geen procedure of geen van de genoemde elementen is opgenomen De wijze waarop wordt gemeld
3.11
42
4.2.1
10.7.3
7.3
13.2.1
10.7.3
Vragenlijst BRP 2016
□ □ □ □ □ □ Burgerzaken
21 Welke elementen zijn in de procedure autorisatietoekenning opgenomen?
□ □ □ □ □ □
□ Burgerzaken
22 Wat is het resultaat (of: de uitkomst) van de dit jaar uitgevoerde controle op de autorisaties?
□ □
De verantwoordelijke voor de ontvangst van de melding De verantwoordelijke voor de verwerking van de melding De termijn waarbinnen de melding moet zijn verwerkt De wijze waarop de melder bericht wordt De registratie of verslaglegging van de meldingen Er is geen procedure of geen van de genoemde elementen is opgenomen Er is vastgelegd wie autorisaties toe mag kennen
7.3
13.2.1
7.3
13.2.1
7.3
13.2.1
7.3
13.2.1
7.3
13.2.1
6
11.2
Verzoeken om autorisatie kunnen uitsluitend schriftelijk gedaan worden Verzoeken om autorisatie worden geadministreerd Gebruikers verklaren de autorisatie niet aan een ander ter beschikking te stellen Gebruikers tekenen een geheimhoudingsverklaring Dat de verstrekte persoonlijke identificaties tot het BRP systeem minimaal jaarlijks worden gecontroleerd op geldigheid en actualiteit van de autorisaties (ook bij eventuele samenwerkingsverbanden) Er is geen procedure of geen van de genoemde elementen is opgenomen Alle autorisaties zijn persoonsgebonden
6
11.2
6
11.2
6
11.2
6
11.2
6
11.2
6
11.2.4
De autorisaties aan gebruikers en/of overkoepelende registraties zijn terecht verleend
6
11.2.4
Vragenlijst BRP 2016
□ □
Burgerzaken
23 Welke elementen zijn verwerkt in uw onderzoeks- en/of terugmeldingsprocedures?
□ □
□ □ □
De autorisatie voor gebruikers BRP en/of overkoepelende registratie worden niet misbruikt De profielen en/of overkoepelende registratie stemmen overeen met de toegekende rechten in de verordening Geen van de genoemde resultaten
6
11.2.4
6
11.2.4
De wijze waarop melding kan worden gedaan van afwijkende persoonsgegevens De verantwoordelijke voor het ontvangen van de terugmelding De verantwoordelijke voor het verwerken van de terugmelding De termijn waarbinnen het onderzoek moet zijn afgedaan
Circulaire Terugmelding en gerede twijfel
10.7.3
10.7.3 10.7.3 3.25.2 Adresonderzoe 10.7.3 ksprotocol BRP 2014
□
De wijze waarop de melder wordt bericht dat het onderzoek is afgedaan
Adresonderzoe 10.7.3 ksprotocol BRP 2014
□
De wijze waarop overheidsorganen worden bericht over een afgerond onderzoek
Adresonderzoe 10.7.3 ksprotocol BRP 2014
□
De wijze waarop de termijnen van het onderzoek worden bewaakt De inhoud van het onderzoeks- en/of terugmeldingsdossier
□
□
De wijze van het in onderzoek zetten van gegevens
10.7.3 3.25.2 Adresonderzoe 10.7.3 ksprotocol BRP 2014 3.22.2 3.22.4
10.7.3
Vragenlijst BRP 2016
□
De wijze van het beëindigen van de onderzoeksgegevens
□
O
De wijze waarop u informatie van partijen buiten burgerzaken gebruikt bij het onderzoek Er is geen procedure of geen van bovengenoemde elementen zijn verwerkt in een procedure Ja
O
Nee
O
Zoals vermeld in het adresonderzoeksprotocol (hoofdstuk 7)
O
O
Vastgestelde minimale termijnen, ruimer dan vermeld in het adresonderzoeksprotocol (hoofdstuk 7) Eigen vastgestelde termijnen
O
Geen specifieke termijnen
□
Het onderzoek wordt zowel op het oude (indien mogelijk) als op het nieuwe adres uitgevoerd
□
Een huisbezoek is altijd onderdeel van een adresonderzoek voor de beslissing tot ambtshalve uitschrijving wordt genomen Bij het onderzoek worden meerdere bronnen geraadpleegd (bv Suwinet, familieleden ect) Bij een ambtshalve uitschrijving wordt dit openbaar bekendgemaakt
□ Burgerzaken
Burgerzaken
Burgerzaken
24 Wordt bij een terugmelding op het woonadres het protocol adresonderzoek gevolgd?
25 Welke termijnen worden gevolgd bij een adresonderzoek?
26 Welke activiteiten worden uitgevoerd bij een onderzoek op een woonadres?
□ □
3.22.2 3.22.4
10.7.3
Adresonderzoe ksprotocol BRP 2014
Adresonderzoe ksprotocol BRP 2014
Adresonderzoe ksprotocol BRP 2014
Vragenlijst BRP 2016
Burgerzaken
Burgerzaken
27 Wordt na actualisering van categorie 01 de burger, indien nodig, geinformeerd over het mogelijk van rechtswege vervallen van het Nederlandse reisdocument? 28 Welke maatregelen worden genomen bij de verwerking van digitale aangiften?
□
Geen van bovenstaande
O
Ja
O
Nee
□
Digitale aangifte kan alleen via DigiD plaatsvinden
□
De aangever wordt automatisch gecontroleerd en gestuurd bij zijn aangifte om fouten, vergissingen en fraude te voorkomen Er vindt automatische signalering plaats op risicoadressen en/of -personen Iedere digitale aangifte wordt voor de definitieve verwerking door een medewerker gecontroleerd Er is geen mogelijkheid tot digitale aangifte Geen van bovenstaande
□ □ □ Burgerzaken
29 Welke maatregelen worden genomen op het gebied van bestrijding van adresfraude?
□ □ □ □ □
Er is een (gemeentebrede) functie aangewezen voor fraude-coördinatie (expertisetaak) Signalen worden gedeeld met binnengemeentelijke afdelingen (bijvoorbeeld handhaving of sociale dienst) Signalen worden gedeeld met organisaties buiten de gemeente (bijvoorbeeld woningbouwcorporaties) Samenwerking met binnengemeentelijke afdelingen (combineren kennis en bevoegdheden)
Vragenlijst BRP 2016
□
Burgerzaken
30 Welke activiteiten voert u uit om toezicht te houden op het nakomen van de verplichtingen van de burger?
□ □
Bij de aangifte van adreswijziging wordt altijd gecontroleerd of het aantal ingeschreven personen op het nieuwe adres overeenkomt met de opgave van de burger Er wordt in twijfelgevallen gecontroleerd of de feitelijke situatie overeenkomt met de administratieve
QB43BPR2008/5187 2
□
Er wordt periodiek gecontroleerd of briefadreshouders nog steeds geen woonadres hebben
QB43BPR2008/5187 2
□
Er wordt in bepaalde gevallen een bestuurlijke boete opgelegd
Circulaire Registratie briefadres algemeen/Circu laire Registratie briefadres om veiligheidsrede nen
□ □
Geen van de genoemde activiteiten Er is gecontroleerd of de uitvoering nog overeenkomt met de procesbeschrijving
15.1.1
□
Er is gecontroleerd of er wijzigingen in taken, verantwoordelijkheden en bevoegdheden zijn Er is gecontroleerd of er wijzigingen in de regelgeving zijn die van invloed op de procedure zijn Indien nodig is de procedurebeschrijving geactualiseerd
15.1.1
□
Burgerzaken
31 Welke acties zijn het afgelopen jaar ondernomen om de actualiteit van de procedures te toetsen?
Samenwerking met externe ketenpartners (combineren kennis en bevoegdheden) Geen van bovenstaande
□ □
QB43BPR2008/5187 2
15.1.1
15.1.1
Vragenlijst BRP 2016
□ Burgerzaken
32 Is het afgelopen jaar getoetst op de juiste uitvoering van procedures door de medewerkers?
O
6
8.2.2
Ja, door een inhoudelijk deskundige collega Ja, door een inhoudelijk deskundige externe partij Nee
6
8.2.2
6
8.2.2
□
Medewerkers in dienst van de gemeente
6
11.1.1
□ □ □
Inhuurmedewerkers
6
11.1.1
De leverancier
6
11.1.1
O O O Burgerzaken
Burgerzaken
33 Welke geautoriseerden hebben uitsluitend individueel toegang tot de gemeentelijke voorziening BRP?
34 Welke functionarissen zijn door het college aangewezen, of zijn de rollen van deze functies belegd, inclusief bevoegdheden en vervanging?
□
□ □ □ □ □ □ □ Burgerzaken
35 Is er een informatiebeheerder BRP voor de lokale voorziening
Er zijn geen acties ondernomen om de actualiteit van de procedures te toetsen Ja, door de leidinggevende
Er wordt geen gebruik gemaakt van groepsaccounts Systeembeheerder
7.4.5
6.1.3
Applicatiebeheerder BRP
7.4.5
6.1.3
Gegevensbeheerder BRP
7.4.5
6.1.3
Privacybeheerder BRP
7.4.5
6.1.3
Toezichthouder Gegevensverwerkers BRP Gebruikers BRP
□
Wel aangewezen maar geen vervanging Geen van bovenstaande
O
Ja, inclusief vervanger
4.2
Vragenlijst BRP 2016
aangewezen, of is deze rol belegd?
Burgerzaken
36 Wat is er geregeld om de dienstverlening altijd te kunnen leveren, inclusief het beheer en het gebruik van de BRP?
Burgerzaken
37 Beschikt u over een draaiboek uitwijk dienstverlening?
Burgerzaken
Burgerzaken
38 Is het afgelopen jaar getoetst of uw gemeente in geval van calamiteiten kan uitwijken naar een andere locatie?
39 Wat wordt met de uitkomsten van de zelfevaluatie gedaan?
O
Ja, maar geen vervanger
O
Nee
O
Er zijn afspraken vastgelegd over het tijdelijk gebruik van andere huisvesting
O
Hiervoor is niets geregeld
O
Ja, en het is actueel en vastgesteld
14.1.3
O
Ja, het is actueel, maar niet vastgesteld
14.1.3
O
Ja, het is vastgesteld, maar niet actueel
14.1.3
O
Nee
O
Ja, de procedure is daadwerkelijk getoetst op werking en hierover is gerapporteerd
O
O
Ja, de procedure is daadwerkelijk getoetst op werking maar hierover is niet gerapporteerd Ja, de papieren procedure is nagelopen
O
Nee
□
□
Deze worden jaarlijks door de controller informatiebeveiliging aan het college gerapporteerd Deze worden besproken met medewerkers van betrokken vakgebieden Geen van bovengenoemde
O
Ja
O
Nee
□
Burgerzaken
40 Is er een vastgestelde procedure voor het inleveren van brondocumenten?
7.4.1
14.1.3
14.1.5
15
15
ID-Protocol Burgerzaken NVVB
Vragenlijst BRP 2016
Burgerzaken
41 Welke activiteiten heeft u het afgelopen jaar ondernomen om het sterkst mogelijke brondocument in uw administratie op te nemen?
□
Er wordt bijgehouden welke personen nog een brondocument moeten inleveren
□
Burgers worden periodiek aangeschreven als een sterker brondocument mogelijk is De bestuurlijke boete wordt hierbij ingezet als instrument
□
Burgerzaken
Burgerzaken
Burgerzaken
42 Welke beschrijving wordt gebruikt voor het opnemen van buitenlandse brondocumenten op de PL?
43 Wordt bij de beoordeling van buitenlandse bron- en reisdocumenten in geval van twijfel gebruik gemaakt van de volgende controleapparatuur?
44 Wat wordt gedaan aan het up-todate houden van de kennis op het gebied van brondocumenten?
Circulaire Bestuurlijke boete
□
Geen van de genoemde activiteiten
O
De omschrijving of afkorting zoals beschreven in bijlage 5 van de HUP eventueel met eigen aanvulling
O
Aan de hand van een eigen systeem
O
Hiervoor zijn geen instructies
□
DISCS/Edison
□ □ □ □
Retroviewer
Medewerkers volgen minimaal eens per 3 jaar een opfriscursus
8.2.2
□
Medewerkers volgen jaarlijks actualiteitencolleges/kennisbijeenkomst en Medewerkers blijven geïnformeerd via nieuwsbrieven, vakliteratuur ect Medewerkers hebben modules van NBP (naar betrouwbare persoonsgegevens) gevolgd en
8.2.2
□ □
HUP bijlage 5
Andere controleapparatuur Geen van bovenstaande
8.2.2 8.2.2
Vragenlijst BRP 2016
hiervoor examen gedaan
Burgerzaken
Burgerzaken
45 Bevinden brondocumenten die uniek zijn zich buiten werktijd in een brand- en inbraakwerende ruimte? 46 Welke situatie op het gebied van id-fraude is het afgelopen jaar in de gemeente voorgekomen?
□
Niets
O
Ja
O
Nee
□
(Vermoede) identiteitsfraude en hiervoor is aangifte gedaan
□
Onbevoegde wijzigingen opgenomen op het brondocument of ID-document en hiervoor is aangifte gedaan Look-alike en hiervoor is aangifte gedaan Een van bovenstaande maar hiervoor Is geen aangifte gedaan Geen
□ □ □ Burgerzaken
Burgerzaken
47 Wanneer er een vermoeden is dat een document vals is, wordt dit dan ingenomen?
48 Wanneer uit onderzoek blijkt dat een document vals is, wordt hiervan aangifte gedaan bij de politie?
O
Altijd bij zowel (buitenlandse) brondocumenten als bij id-documenten
O O
Alleen bij (buitenlandse) brondocumenten Alleen bij id-documenten
O
Soms
O
Nooit
O
Altijd bij zowel (buitenlandse) brondocumenten als id-documenten
O
Alleen bij (buitenlandse) brondocumenten Alleen bij id-documenten
O O
Alleen als er sprake is van (vermoedelijke) fraude
6
9.1.4
HUP 3.3.6.7
Vragenlijst BRP 2016
Burgerzaken
49 Welke maatregelen heeft u getroffen om de risico's van onbevoegde toegang, verlies van en schade aan informatie tijdens en buiten kantooruren te verminderen?
O
Nooit
□
Gevoelige of kritische bedrijfsinformatie wordt afgesloten bewaard wanneer de informatie niet wordt gebruikt
□
11.3
□
Computers worden uitgelogd of beschermd door een scherm- en toetsenbordvergrendeling met wachtwoord, token of soortgelijke authenticatie van de gebruiker wanneer ze onbeheerd achterblijven Onbevoegd gebruik van fotokopieerapparaten en andere reproductieapparatuur (bijvoorbeeld scanners) is niet mogelijk Documenten met gevoelige of geheime informatie worden na het afdrukken onmiddellijk van printers verwijderd Geen van bovenstaande maatregelen
O
Ja, inclusief vervanger
3.1 6.1.2
O
Ja, maar geen vervanger
O
Nee
O
De medewerker heeft geen uitvoerende taken met betrekking tot de BRP en heeft daartoe ook geen bevoegdheden
6.1.2 6.1.8
O
De rol van controller informatiebeveiliging is apart, onafhankelijk belegd De onafhankelijkheid is niet gewaarborgd
6.1.2 6.1.8
□ □
Controller Informatievei ligheid
Controller Informatievei ligheid
50 Is er door het college een controller informatiebeveiliging aangewezen, of is deze rol belegd?
51 Hoe is de onafhankelijkheid van de medewerker die de controle op het informatiebeveiligingsproces uitoefent gewaarborgd?
O
6
11.3
11.4
11.4
7.4.5
6.1.3
Vragenlijst BRP 2016
Controller Informatievei ligheid
52 Over welke onderwerpen brengt de functionaris die de controle op het beveiligingsproces uitvoert ook advies uit?
□
Advies ten aanzien van technische verbeteringen
6.1.8
□
6.1.8
O
Advies ten aanzien van organisatorische verbeteringen Advies ten aanzien van fysieke verbeteringen Er wordt over bovenstaande onderwerpen geen advies uitgebracht Ja
O
Nee
□
Informatie over de beschikbaarheid
7.2
6.1.1
□
Informatie over de vertrouwelijkheid
6.1.1
□
O
Informatie over de data integriteit (volledigheid, juistheid en tijdigheid) De wijze waarop de controle heeft plaatsgevonden In de rapportage is geen van de hier genoemde onderwerpen opgenomen / er is niet gerapporteerd Ja
7.4.7 4.2.4 2 - 3.1
O
Nee
□
De informatie is geclassificeerd voor het gebruik
□ □ Controller Informatievei ligheid
53 Is gecontroleerd of de in het beveiligingsbeleid benoemde resultaten zijn behaald?
Controller Informatievei ligheid
54 Over welke onderwerpen is na 1 oktober vorig jaar aan het college gerapporteerd?
□ □ Controller Informatievei ligheid
Controller Informatievei ligheid
55 Wordt tussentijds bewaakt of de te treffen beveiligingsmaatregelen uit het beveiligingsplan binnen de vastgestelde termijn uitgevoerd zijn? 56 Welke onderdelen van de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG) heeft u bij de inrichting van uw informatievoorziening als leidraad
6.1.8
4.3, lid 1
6.1.8
6.1.1 6.1.1
6
6.1
Handreiking 7.2 dataclassificatie KING
Vragenlijst BRP 2016
gebruikt?
□ □ □ ICT
57 Wordt er dagelijks een back-up gemaakt van de in de lokale voorziening opgeslagen gegevens?
ICT
58 Waar wordt de fysieke back-up opgeslagen? 59 Welke controles ten aanzien van back-ups worden uitgevoerd?
O
O
Ja, door middel van een (fysieke) backup Ja, maar alleen door middel van mirroring Geen van bovenstaande
O
Op een interne locatie
O
Op een externe locatie
10.5
□
Het juiste verloop van het kopieerproces wordt gecontroleerd Er wordt gecontroleerd of gegevens kunnen worden teruggelezen Er worden geen controles uitgevoerd
10.5
O
Ja, en daar is over aan het management gerapporteerd
14.1.5
O
Ja, maar daarover is niet aan het management gerapporteerd Nee
14.1.5
□ 60 Is het afgelopen jaar getest of de back-up teruggeplaatst kan worden met als resultaat een goed werkende applicatie gevuld met data van het moment van de backup?
7.2.1
Ja, door middel van zowel een (fysieke) back-up als mirroring
□ ICT
7.2.1
O
O
ICT
De informatie kent een eigenaar binnen de gemeente Uitsluitend de eigenaar staat geoorloofd gebruik toe De BIG is daarbij niet gebruikt
O
7.4.1
10.5
7.4.1
10.5
10.5
Vragenlijst BRP 2016
ICT
61 Welke bronnen zijn voor het reconstrueren van de periode tussen de laatste back-up en het moment van herstel beschikbaar?
O
Alle papieren brondocumenten, mutatieverslagen van wijzigingen waarvan geen brondocument benodigd is en alle opnieuw te verwerken berichten Een bestand met data van de betreffende periode op een andere locatie Alle mutatieverslagen van de betreffende periode op papier Geen van bovengenoemde bronnen
7.4.1
14.1.5
7.4.1
14.1.5
7.4.1
14.1.5
O
Ja, en daar is over aan het management gerapporteerd
7.4.1
14.1.5
O
7.4.1
14.1.5
O
Ja, maar daarover is niet aan het management gerapporteerd Nee
O
Ja
7.4.1
14.1.2
O
Nee
O
Er is een actueel uitwijkcontract
7.4.1
14.1.3
O
7.4.1
14.1.3
O
De gemeente beschikt over een externe nevenlocatie waarin een uitwijkconfiguratie beschikbaar wordt gehouden Geen van genoemde oplossingen is van toepassing Ja, het is actueel en vastgesteld
7.4.1
14.1.3
O
Ja, het is actueel, maar niet vastgesteld
7.4.1
14.1.3
O
Ja, het is vastgesteld, maar niet actueel
7.4.1
14.1.3
O
Nee
O
O O ICT
ICT
ICT
62 Is het afgelopen jaar getest of alle gegevens gereconstrueerd kunnen worden?
63 Kunt u binnen één werkdag een volledige reconstructie uitvoeren? 64 Op welke manier kunt u technisch uitwijken?
O ICT
65 Beschikt u over een schriftelijk en vastgesteld uitwijkdraaiboek om terug te kunnen vallen op een 'reserve' informatiesysteem?
Vragenlijst BRP 2016
ICT
66 Is het afgelopen jaar getest of u technisch kunt uitwijken?
O O O
ICT
67 Welke voorwaarden zijn aan de wachtwoorden gesteld om toegang te krijgen tot de gemeentelijke voorziening?
14.1.5
□
Wachtwoorden zijn maximaal 60 dagen geldig en mogen niet binnen 6 keer herhaald worden Tijdelijke of standaardwachtwoorden worden bij het eerste gebruik vervangen Het wachtwoord is alleen bij de gebruiker bekend Aan geen van de hiervoor genoemde voorwaarden wordt voldaan Ja, en hiervoor is beleid ontwikkeld
11.2.3
O O O
69 Welke maatregelen zijn getroffen voor het gebruik van de BRP buiten het gemeentehuis?
7.4.1
11.2.3
□
ICT
14.1.5
Wachtwoorden bestaan uit minimaal 8 karakters, waarvan tenminste 1 hoofdletter, 1 cijfer en 1 vreemd teken
□ 68 Wordt de BRP gebruikt buiten het gemeentehuis?
7.4.1
□
□
ICT
Ja, en daar is over aan het management gerapporteerd Ja, maar daarover is niet aan het management gerapporteerd Nee
11.2.3
11.2.3
11.7
Ja, maar hiervoor is geen beleid ontwikkeld Nee
O
Technische, organisatorische en fysieke maatregelen
6
11.1.1
O
Technische en fysieke maatregelen
6
11.1.1
O
Technische en organisatorische maatregelen Fysieke en organisatorische maatregelen Het is niet mogelijk om vanuit huis of via mobiele devices toegang tot de BRP te krijgen Er zijn geen specifieke eisen voor de beveiliging van andere locaties
6
11.1.1
6
11.1.1
O O
O
Vragenlijst BRP 2016
ICT
70 Op welke wijze is toegang tot de BRP voor externe partijen geregeld?
□
De gemeente neemt het initiatief voor het gebruik
6
11.4.2
□
De handelingen van de externe partijen worden gelogd De externe partij maakt gebruik van datacommunicatiefaciliteiten (toegang op afstand en support via internet) De datacommunicatiefaciliteiten worden na gebruik direct uitgeschakeld Geen van het bovengenoemde of er wordt geen toegang verleend aan externen Opslaan van gegevens (incl. back-up)
6
11.4.2
6
11.4.2
6
11.4.2
□ □ □ ICT
71 Welke schriftelijke procedures met betrekking tot beschikbaarheid, betrouwbaarheid, vertrouwelijkheid en controleerbaarheid zijn aanwezig?
□
□ □ □ □ □ □ □ □
□ ICT
72 Welke activiteiten voert u uit op het gebied van de logfiles?
□
6
7.4.1
10.1.1
Reconstrueren van data en gegevens
7.4.1
10.1.1
Technisch uitwijken
7.4.1
10.1.1
Fysiek uitwijken
7.4.1
10.1.1
Bijhouden logging
7.4.1
10.1.1
Monitoren toegang op afstand
10.1.1
Toegang tot en gebruik van systemen
10.1.1
Toegang tot ruimten
10.1.1
Autoriseren van gebruikers van de gemeentelijke voorziening (inclusief een evt. overkoepelende registratie zoals gegevensmakelaar of datadistributiesysteem etc.) Er zijn geen procedures met betrekking tot beschikbaarheid, betrouwbaarheid en vertrouwelijkheid Het afgelopen jaar zijn de logfiles gecontroleerd op pogingen tot
11.2
6
10.10
Vragenlijst BRP 2016
onrechtmatige toegang
□
O
De logfiles betreffende het verkrijgen van toegang worden bewaard volgens de BIG-normen (minimaal 3 maanden en bij een (vermoed) incident minimaal 3 jaar) Het afgelopen jaar zijn de logfiles gecontroleerd op de uitvoering van de inschrijvings-en actualiseringsprocedures. De logfiles betreffende de uitvoering van de inschrijving- en actualiseringsprocedures worden bewaard volgens de BIG -normen (minimaal 3 maanden en bij een (vermoed) incident minimaal 3 jaar) Geen van de genoemde activiteiten wordt uitgevoerd Ja
O
Nee
□
Maatregelen gericht op medewerkers
9
□
Maatregelen gericht op de toegang tot gebouwen en ruimten Maatregelen gericht op een deugdelijke werking van de apparatuur en programmatuur Maatregelen gericht op de beveiliging van de apparatuur en programmatuur Maatregelen gericht op het gegevensbeheer Maatregelen ingeval van schending van de geheimhouding
9
□ □
□ ICT
ICT
73 Worden technische of administratieve werkzaamheden in de BRP uitgevoerd door een bewerker? 74 Welke maatregelen en eisen zijn in de bewerkersovereenkomst opgenomen?
□ □ □ □
6
4.2
10.10
6
4.2
10.10
6
4.2
10.10
1.10, lid 2
6.2
9
9 9 9
6.2
Vragenlijst BRP 2016
□ □
Maatregelen ingeval van calamiteiten
9
Gebruik van gegevens uitsluitend voor de afgesproken werkzaamheden De bewerker houdt zich aan de wettelijke voorschriften De bewerker staat toe dat de gemeente controles uitvoert Werkzaamheden worden opgeschort op vordering van de gemeente Werkzaamheden worden zonder toestemming van de gemeente door de bewerker niet uitbesteed Geen van bovengenoemde maatregelen en eisen of er is geen bewerkersovereenkomst Er is intern door de gemeente zelf een controle uitgevoerd of de bewerker heeft een toets uit laten voeren
8
8
6.2
8
6.2
O
Een extern deskundige heeft een controle uitgevoerd Er is geen sprake van een bewerker
8
6.2
O
Er is niet getoetst
□
De taken, verantwoordelijkheden en bevoegdheden die bij de functie behoren De geldende procedures
8.2.2
De mogelijke risico's en geldende richtlijnen om schade en incidenten te voorkomen De inhoud van de BRP of privacyverordening (evt. met onderliggende regeling) Er vindt geen kennisoverdracht plaats
8.2.2
□ □ □ □ □ ICT
75 Hoe is het afgelopen jaar getoetst of de bewerker de afgesproken maatregelen heeft getroffen en zich houdt aan de gestelde eisen?
O
O
Pers zaken
76 Over welke onderwerpen worden medewerkers bij de aanvang van de werkzaamheden geïnformeerd?
□ □ □ □
8 8 8 8
8.2.2
8.2.2
Vragenlijst BRP 2016
Pers zaken
77 Welke maatregelen worden genomen ten aanzien van medewerkers met raadpleeg- en/of mutatiebevoegdheden in de BRP en/of de overkoepelende of afgeleide registratie?
□
In de aanstellingsprocedure zijn waarborgen opgenomen voor de integriteit (gedragscode) en iedere medewerker tekent hiervoor
8.1
□
Bij aanstelling wordt een geheimhoudingsverklaring verlangd van vaste medewerkers of deze legt de ambtseed of -belofte af Bij aanstelling wordt een geheimhoudingsverklaring verlangd van tijdelijke medewerkers (stage/detachering/inhuur) Bij de aanstelling wordt een VOG gevraagd Geen van de bovengenoemde maatregelen Er is een procedure onrechtmatige kennisneming waarin de sancties en vervolgacties zijn opgenomen In geval van schade veroorzaakt binnen de organisatie worden de maatregelen in de geldende rechtspositieregeling onverkort toegepast In geval van ernstige schade wordt altijd aangifte gedaan bij de politie Indien schade wordt geconstateerd wordt binnen 24 uur actie ondernomen Van de schade wordt altijd melding gedaan aan bij de privacybeheerder en/of de controller informatiebeveiliging Er zijn geen specifieke maatregelen getroffen Ja
8.1
□ □ □ Pers zaken
78 Welke maatregelen zijn getroffen voor het geval de vertrouwelijkheid van gegevens wordt geschaad?
□ □ □ □ □ □
Pers zaken
79 Zijn medewerkers het afgelopen jaar geïnstrueerd over de mogelijke risico's en richtlijnen en procedures om schade en
O
8.1
6
6.1.5
6.1.5
6.1.5 6.1.5 6.1.5
8.2.2
Vragenlijst BRP 2016
incidenten te voorkomen?
Pers zaken
Pers zaken
80 Zijn voor de uitvoering van de werkzaamheden minimale kennisen vaardigheidseisen vastgesteld? 81 Welke opleiding hebben alle medewerkers die inschrijvingen behandelen gevolgd?
O
Nee
O
Ja
O
Nee
□
BOBZ, BABZ of ALO
□ □ □
GBA/BRP-specialist
Fac zaken
83 Zijn de ruimten voorzien van een toegangscontrolesysteem?
Fac zaken
84 Welke toegangen zijn beveiligd met behulp van een toegangscontrolesysteem?
6
8.2.2
6
9.1.1 9.1.2
IPR
□ O
Ja
O
Nee
O
Ja
O
Nee
□
De toegang tot Burgerzaken/Publiekszaken
6
9.1.2
□ □
De toegang tot de serverruimte(n)
6
9.1.3
De toegang tot alle kantoorruimten
6
9.1.3
□
82 Wordt per medewerker jaarlijks een bijscholingsprogramma vastgesteld?
8.2.2
Opleiding conform de kwalificatiestructuur NBP Workshop herkenning echtheidskenmerken in de afgelopen 3 jaar Anders op het gebied van inschrijving/identificatie in de afgelopen 3 jaar Alleen interne training
□
Pers zaken
6
Vragenlijst BRP 2016
Fac zaken
85 Op welke wijze is het systeem van toegangscontrole ingericht?
□ □ □ □ □ □
De toegang tot de archiefruimte
6
9.1.3
De toegang is uitsluitend mogelijk voor geautoriseerde personen Het toekennen van toegangsautorisatie is voorbehouden aan de betreffende leidinggevende De toegangsautorisatie wordt beperkt tot de voor de werkzaamheden noodzakelijke tijdstippen Toegang voor derden is uitsluitend toegestaan onder begeleiding van bevoegde medewerkers Er zijn geen specifieke maatregelen getroffen
6
9.1.2
6
9.1.2
6
9.1.2
6
9.1.2
