Handleiding Zelfevaluatie Paspoorten en NIK aangewezen gemeenten

Directoraat-Generaal Wonen, Bouwen en Integratie

Handleiding Zelfevaluatie Paspoorten en NIK aangewezen gemeenten

Versie 1.0

Datum Status

18 mei 2015 Definitief

| Definitief | Handleiding Zelfevaluatie Paspoorten en NIK aangewezen gemeenten | 18 mei 2015

Vraag 1 De burgemeester is de eindverantwoordelijke op lokaal niveau voor het proces reisdocumenten. Hij is de ‘autoriteit’ zoals dat in de wet wordt genoemd. Uiteraard voert de burgemeester in de regel zelf geen werkzaamheden uit in dit kader, maar laat dit over aan medewerkers van de gemeentelijke organisatie. De bevoegdheden van de burgemeester zijn overdraagbaar, maar het is wel een vereiste dat dit is vastgelegd. Dit noemen we het regelen van het mandaat en behoort in een mandaatregeling te worden vastgelegd. Het slechts mondeling of bij wijze van algemeen gebruik uitgaan van het overdragen van bevoegdheden is dus niet voldoende. Vraag 2 De termen beveiligingsbeleid, beveiligingsprocedure en beveiligingsplan worden - ook in de weten regelgeving - door elkaar gebruikt. Het beleid is een document waarin de hoogst verantwoordelijke in de organisatie (B&W of MT) de normen heeft vastgelegd voor de beveiliging. Wat moet er worden gerealiseerd, wie is daarvoor verantwoordelijk, wanneer moet het gerealiseerd zijn, worden gemeten en gerapporteerd. In de praktijk vindt een vertaling van het beleid plaats naar één of meerdere procedures. Bij deze vraag geeft u aan of u over door de burgemeester vastgesteld beleid of een door de burgemeester vastgestelde procedure beschikt waarin de uitvoerende partij (de afdeling en medewerkers) de richtlijnen aantreft op welke manier er gewerkt moet worden. Vraag 3 Beveiligingsprocedures zijn geschreven richtlijnen die richting geven aan de wijze van uitvoering in het proces. Hier staat vooral centraal op welke wijze het beleid in praktische zin is vertaald naar operationele handelingen. Artikel 93 lid 1 van de PUN beschrijft precies welke maatregelen vastgelegd moeten worden in de beveiligingsprocedure. De wet spreekt over een schriftelijke beveiligingsprocedure, in het enkelvoud. Praktischer is het om per onderwerp en doel te beschikken over verschillende procedures die samen één handboek of richtlijn vormen.

Pagina 2 van 40


Vraag 4 Het beveiligingsbeleid of de aanhangende beveiligingsprocedure is niet compleet als de te behalen resultaten of doelen en verantwoordelijkheden niet zijn bepaald en opgenomen. De kracht hiervan wordt gewaarborgd als dit regelmatig wordt gecontroleerd. Worden de doelen bereikt die in het beleid zijn opgenomen en worden verantwoordelijkheden goed ingevuld. De uitkomsten van een dergelijke controle wordt gerapporteerd aan diegene die het beleid heeft bekrachtigd. Vraag 5 Een procedure is een schriftelijk en vastgesteld document waarin een reeks instructies is opgenomen die op volgorde moet worden uitgevoerd en die is toegespitst op uw eigen gemeentelijke organisatie. In het proces reisdocumenten wordt onderscheid gemaakt in procedures. Zo zijn er verplichte procedures die zich specifiek richten op de te gebruiken middelen in het proces. Denk hierbij aan het gebruik van identificatiekaarten en codes, de back-up (schijven) en de beveiliging van het aanvraagsysteem. Vraag 6 Er zijn ook (eveneens verplichte) procedures die zich meer richten op de organisatie, taken en bevoegdheden van medewerkers in het reisdocumentenproces. Zaken die hier aan bod moeten komen zijn functiescheiding, de rol van de beveiligingsfunctionaris, het vaststellen van de identiteit, het melden van incidenten, en andere. Het ligt voor de hand om procedures te bundelen en de vindbaarheid daarvan zo groot mogelijk te laten zijn. Dat kan traditioneel in schriftelijke vorm, bijvoorbeeld een handboek op een centraal toegankelijke plaats of een logische vindplaats in het geautomatiseerde systeem waarbij iedere betrokken en bevoegde medewerker toegang heeft tot die informatie. Vraag 7 Wetgeving wordt aangepast, organisaties wijzigen en werkwijzen worden aangepast. Procedures worden op een zeker moment geschreven tegen de context van de op dat moment geldende wetgeving en voor de organisatie zoals die op het moment van schrijven bestaat en haar werk uitvoert. Het is zaak om regelmatig te controleren of de procedures nog steeds aansluiten bij die werkelijkheid. Zo valt te controleren of de dagelijkse uitvoering nog steeds aansluit bij de beschrijving in de procedures. Niet zelden is een organisatiewijziging met functiewijzigingen niet vertaald naar procedures. Dit leidt er toe dat verantwoordelijkheden zijn Pagina 3 van 40


toegeschreven aan functies (medewerkers) die als zodanig niet meer bestaan. Een ongewenste situatie, die door controle kan worden ontdekt en moet leiden tot aanpassingen. Evenzeer is het belangrijk om wijzigingen in de betreffende weten regelgeving bij te houden. Dit kan geen taak zijn voor de beveiligingsfunctionaris omdat deze met het oog op functiescheiding vaak niet uit het vak komt. Het bijhouden van wetswijzigingen in relatie tot de uitvoering, maar ook in relatie tot de actualiteit van procedures is een taak voor het specifieke vakgebied. Daar ligt dus in ieder geval de signaalfunctie. In alle gevallen waarin sprake is van een afwijking tussen procedure en werkelijkheid of regelgeving, zal aanpassing van de procedures moeten plaatsvinden. Vraag 8 Het is goed om voorbereid te zijn en voor zover dat mogelijk is om na te denken over mogelijke risico’s, de gevolgen daarvan en welke maatregelen mogelijk zijn om de problemen het hoofd te bieden. Door je goed voor te bereiden in een kalme fase, heb je meer grip op een probleemsituatie als die zich voordoet. In de bedrijfsomgeving noemen we dat een beveiligingsplan of eventueel een calamiteitenplan. De inhoud van een dergelijk plan komt tegemoet aan het beheersen van een ongewenste situatie. Een goed plan bestaat uit het nadenken over de mogelijke risico’s, wat oorzaken kunnen zijn van deze risico’s (de dreigingen) en welke maatregelen genomen zijn of zouden moeten worden. Deze elementen leiden tot een afweging om in actie te nemen. Vooral met preventieve maatregelen om ongewenste gebeurtenissen zo lang mogelijk buiten de deur te houden. De risicoanalyse is een zeer nuttig en bruikbaar instrument om, nog vóórdat een incident heeft plaatsgevonden, een voorstelling te maken van de mogelijke risico’s en de mogelijke gevolgen daarvan. Een risico is altijd het gevolg van een vermenigvuldiging: kans x gevolg. Effectieve beveiligingsmaatregelen zorgen daarom altijd voor óf het verminderen van de kans óf het verminderen van het gevolg. Om risico’s in enige mate objectief te kunnen inventariseren en meten bestaan er instrumenten, veelal ‘tools’ genoemd, voor deze inventarisatie. Bekend zijn ITIL, Global Risk Management Tool, ISRAC en vele andere. Het gebruik van een genormeerd en gekwalificeerd instrument verdient zonder meer aanbeveling. Maar laten we niet voorbij gaan aan het feit dat de zelfevaluatie voor zowel de reisdocumenten als de basisregistratie personen ook bedoeld is als instrument om een inventarisatie te maken. Ook met dit instrument worden tekortkomingen zichtbaar die daarmee als dreiging of het gewenste proces kunnen worden gedefinieerd. Pagina 4 van 40


Minstens zo belangrijk als het eventueel te gebruiken instrument, is degene die het instrument gebruikt. De onderzoeker, analist, auditor. Deze moet voor dit specifieke vak zijn gekwalificeerd door opleiding en ervaring. Afhankelijk van de gemeentelijke organisatie kan het zeker zo zijn dat de daarvoor benodigde expertise in huis aanwezig is. Maar net als eerder bij de functie van de controller is het aan te raden dat deze onderzoeker geen taken of bevoegdheden heeft in het te onderzoeken proces. In de praktijk van veel gemeenten is het inschakelen van externe expertise op het gebied van informatiebeveiliging een goed advies. De specifieke deskundigheid op voldoende niveau (CISA, RE, RI of RA) is niet altijd voorhanden en hoeft ook niet langdurig voor dit doel ingezet te worden. Een plan is niets anders dan een (schriftelijk) voornemen om iets te doen. Het is beslist aan te raden om de te nemen maatregelen en acties te verbinden aan een einddatum waarop dit gerealiseerd moet zijn en tevens vast te leggen wie voor de uitvoering verantwoordelijk is. Alleen dan kan gemeten worden of de voorgenomen acties ook daadwerkelijk worden uitgevoerd. De resultaten daarvan worden opgenomen in de managementrapportage aan de opdrachtgever zodat die op de hoogte is van de mate van beveiliging waarvoor deze verantwoordelijkheid draagt. De basis voor een goed (informatie) beveiligingsplan is een analyse van de bedreigingen en kwetsbaarheden, de dreigingsanalyse. Volstaan met het identificeren van de dreigingen heeft natuurlijk geen zin. Het logisch vervolg daarop zal moeten zijn dat maatregelen genomen worden om de dreiging het hoofd te bieden. Een zogenaamde maatregelenanalyse is daarvoor de aangewezen weg. Het resultaat moet zijn een beschrijving van de maatregelen die genomen worden. Om de inspanning dwingend vast te leggen in de organisatie is het vereist dat de te treffen maatregelen door de opdrachtgever zijn bekrachtigd. Als dit zou ontbreken dan is het voorspelbaar dat er een te grote vrijblijvendheid zal ontstaan. Met het vaststellen van de maatregelen dwingt de opdrachtgever de uitvoerende organisatie om deze uit te voeren. Het vaststellen is dan ook weer te bezien in het licht van tijd, geld en budget. Immers zonder deze randvoorwaarden kunnen de meeste maatregelen niet tot uitvoer komen. Gelijktijdig met het vaststellen van de maatregelen moet de opdrachtgever aangeven binnen welke termijn de te treffen maatregelen zijn gerealiseerd. Voor minder ingrijpende zaken kan dit een maand of een kwartaal zijn en voor meer complexe maatregelen misschien wel een jaar of zelfs langer. In alle Pagina 5 van 40


gevallen geldt dat de opdrachtgever de uiteindelijke beslissing neemt. Het beveiligen en beschermen van informatie is van belang. We kunnen niet meer buiten de informatiesystemen. De afhankelijkheid is erg groot en als je degelijk onderzoek doet, zal blijken dat ook de kwetsbaarheden in je ‘systeem’ wel eens groter kunnen zijn dan gedacht. Daarvoor is het voorgeschreven dat de gemeente voor zowel het basisregistratie systeem maar ook voor de reisdocumenten, gestructureerd en controleerbaar te werk gaat. Vraag 9 Een paar voorbeelden van incidenten: bij een controle op de voorraad reisdocumenten blijken er twee identiteitskaarten en een paspoort te ontbreken of wat te denken van een brand in (een gedeelte van) het gemeentehuis en de aanwezige voorraad reisdocumenten gaat verloren. Bij iedere inbreuk, groot of klein, moeten we nadenken over de mogelijke gevolgen en direct maatregelen nemen om de kans op schadelijke gevolgen of uitbreiding van schade te voorkomen. In veel gevallen is er sprake van mogelijke schade voor de burger (zijn of haar identiteit is in het geding), schade voor het bestuur (politieke en bestuurlijke verantwoordelijkheid) en schade voor de organisatie (financiële schadeloosstelling, herstel en reconstructiekosten e.d.) De vorm waarin incidenten zich kunnen voordoen is tamelijk onvoorspelbaar. Het is dan ook zeker niet de bedoeling om voor elk mogelijk incident een protocol te schrijven waarin is vastgelegd hoe te handelen bij dat incident. Wel kan een procedure voorzien in een vaste werkwijze en structuur die wordt gevolgd als zich een inbreuk of incident voordoet. Vraag 10 Behalve een goede procedure is goede voorlichting over het gebruik van een dergelijk voorschrift dan ook essentieel in het bereiken van resultaten. De procedure zal helder moeten zijn over de wijze waarop een incident gemeld kan worden. Als een meldingsformulier al aanwezig is, is dit vaak diep verstopt in de structuur van het intranet bij een gemeente. Niet echt uitnodigend om het meldingsformulier te gebruiken dus. Een goede procedure is dus vindbaar en voorhanden en regelt wie verantwoordelijk is voor de ontvangst van de melding. Dit kan een leidinggevende zijn, de beveiligingsfunctionaris, de beveiligingsbeheerder of misschien een kwaliteitscoördinator. Deze ontvanger bewaakt het proces en zorgt er voor dat een deskundige de melding in behandeling neemt. Het proces wordt blijvend gevolgd en het ligt vast wie de termijnen bewaakt en wat er moet gebeuren als deze Pagina 6 van 40


worden overschreden. Een belangrijk fenomeen in de bereidheid om incidenten te melden is het terugmelden van de acties en de resultaten of voortgang. Dan blijf je als melder veel beter betrokken bij de melding. Door incidenten vast te leggen kunnen we met meerdere meldingen een onderzoek doen naar overeenkomsten. Een zogenaamde statistische analyse kan ons helpen om (terugkerende) fouten op te sporen en vooraf te verhelpen. Vraag 11 Meer nadruk moet er liggen op de scheiding tussen de uitvoerder en de controller. We zien nog wel eens dat de functie van beveiligingsfunctionaris is belegd bij een senior medewerker van de afdeling Burgerzaken. Dat hoeft geen probleem te zijn, maar wordt het wel als zo iemand op drukke momenten in het proces reisdocumenten moet bijspringen. Dan wordt het de slager die zijn eigen vlees keurt. Het is simpel te begrijpen dat daarmee niet de meeste waarborgen worden gevonden voor de toets op de vereiste kwaliteit. Kennen we voor een onafhankelijke beoordeling van financiële systemen de rol van de (externe) accountant, voor de beoordeling van het beveiligingsproces met betrekking tot de reisdocumenten kennen we de beveiligingsfunctionaris. De onafhankelijkheid van en afstand tot het proces dat wordt gecontroleerd, zorgt voor de nodige waarborgen. Naast controle op de vereiste onderdelen, wordt de rol van de beveiligingsfunctionaris beter en sterker als deze ook adviezen uitbrengt die kunnen leiden tot verbeteringen van vastgestelde tekortkomingen. Steeds meer gemeenten beschikken over een afdeling Planning & Control. Een afdeling die niet onder de verantwoordelijkheid van het lijnmanagement valt maar een onafhankelijke positie inneemt in de gemeentelijke organisatie. Niet alleen een interne afdeling kan de control-functie vervullen, ook een externe deskundige partij (bv controller, auditor) komt daar voor in aanmerking. De Paspoortwet stelt de burgemeester verantwoordelijk voor het voldoen aan de eisen gesteld in deze wet en de uitvoeringsvoorschriften. Dit eisenpakket wordt in de lokale beleidsnotitie vertaald naar een opdracht voor de ambtelijke organisatie. De uitvoering van deze opdracht is voor een belangrijk deel planmatig te benaderen en zeker ook periodiek te controleren. Het past dus uitstekend in een planning & control cyclus van een gemeente. Enerzijds opstellen van resultaten en anderzijds controleren of die resultaten zijn behaald. In de weten regelgeving voor de reisdocumenten is de functie van beveiligingsfunctionaris geen vrijblijvende aangelegenheid. De PUN schrijft voor dat iedere gemeente beschikt over een beveiligingsfunctionaris. Deze moet als zodanig door de Pagina 7 van 40


burgemeester zijn aangewezen en in die functie op voorgeschreven wijze zijn aangemeld bij Rijksdienst voor Identiteitsgegevens (RvIG). Gemeenten die de controle op het reisdocumentenproces geen onderdeel laten zijn van een planning & control cyclus voeren vaak een discussie waar de functie van beveiligingsfunctionaris moet zijn belegd. Een belangrijk aspect daarbij is het begrip van functiescheiding. De beveiligingsfunctionaris moet vrij kunnen handelen en rapporteren. Het is dus geen optie om deze functie in dezelfde lijn te beleggen waar ook de primaire verantwoordelijkheid ligt voor het realiseren van de doelen. De beveiligingsfunctionaris mag en kan zelf geen onderdeel zijn van de procedures die hij of zij controleert. Functiescheiding is van belang voor de onpartijdigheid en onafhankelijkheid. De kwalificatie van de rapportage die de beveiligingsfunctionaris uitbrengt wint aan gehalte als er sprake is van onafhankelijkheid. Evenals gebruikelijk is bij een audit door een accountantsdienst, is het belangrijk dat er geen correcties worden aangebracht in de rapportage. Helaas worden tekortkomingen nog te vaak gezien als een persoonlijk falen, in plaats van een bedrijfsmatig instrument en initiatief om zaken beter te regelen. Voorbeelden die in de praktijk goed blijken te werken (uiteraard voor zover deze in de gemeente voorhanden zijn) is om de controlfunctie onder te brengen bij Concern control, Planning en Control, Financiën of Informatisering (mits niet gecombineerd met Automatisering). De control functie wint belangrijk aan kwaliteit en draagkracht bij alle betrokken partijen als daar een adviesfunctie aan wordt toegevoegd. Deze adviserende rol moet dan wel worden opgenomen in de beleidsnotitie van de opdrachtgever. Vraag 12 Functiescheiding is een organisatorisch instrument om te zorgen dat het proces integer plaatsvindt. Het zorgt er voor dat altijd en op zijn minst drie personen betrokken zijn bij het volledige proces van aanvragen tot en met uitreiken. Hiermee wordt voorkomen dat, ook bij externe dwang of chantage, een medewerker in de gelegenheid is om tot frauduleus gedrag te komen. In het reisdocumentenproces wordt onderscheid gemaakt naar een aantal stappen in het proces. Onderscheid wordt gemaakt naar het verstrekken van een reisdocument, het beheren van een reisdocument en het uitreiken van een reisdocument. Om wat lastige definities te voorkomen: verstrekken is de juridische goedkeuring van de aanvraag die plaatsvindt als de ambtenaar beslist dat het aangevraagde reisdocument kan worden uitgereikt. Beheren van een reisdocument is het inklaren daarvan, dus het fysiek en administratief toevoegen aan de voorraad nadat het reisdocument is ontvangen. Uitreiken is het fysiek Pagina 8 van 40


overhandigen van het document aan de aanvrager op het moment dat dit gereed is. De functiescheiding moet worden beoordeeld voor het volledige proces van aanvraag tot en met uitreiken van één reisdocument. Degene die de aanvraag van een reisdocument heeft behandeld, mag dát document na ontvangst later in de week niet inklaren. Dit is de functiescheiding tussen verstrekken en beheer. Ook mag deze medewerker dát document niet uitreiken aan de aanvrager als deze zich weer meldt voor de balie. Dit is de functiescheiding tussen verstrekken en uitreiken. Het kan niet genoeg worden benadrukt dat deze vorm van functiescheiding het meest essentieel is in het beschermen van de integriteit en het tegengaan van fraude. Als derde functiescheiding mag degene die het document heeft ingeklaard niet tevens belast zijn met het uitreiken van het document. Vraag 13 In de dagelijkse praktijk levert functiescheiding, zeker bij een kleine bezetting, wel eens spanning op. Toch is het in de meeste gevallen, juist bij kleine gemeenten waar men door geringere aantallen goed zicht heeft op de aanvragen die men zelf in behandeling heeft genomen, goed uitvoerbaar. Op het moment dat een inwoner zich meldt om een document af te halen en het blijkt dat de medewerker die de inwoner te woord staat, ook degene is die de verstrekking heeft verzorgd, dan zal die het uitreikproces moeten overdragen aan een collega. Omdat tijdens de openstelling van de balie in elke gemeente altijd twee medewerkers aanwezig zijn, is dit in de praktijk best mogelijk. Als medewerkers overtuigd zijn van het belang om de eigen integriteit te beschermen, blijkt het niet eens zo’n hele lastige opgave. Als het beheren als taak belegd wordt bij medewerkers die geen werkzaamheden aan de balie uitvoeren is dit deel van de verplichte functiescheiding optimaal geregeld: deze medewerker is dan immers nooit betrokken bij het aanvragen of uitreiken van een document. Vraag 14 Het is denkbaar dat, ondanks de verplicht voorgeschreven functiescheiding, in incidentele gevallen niet aan de eisen kan worden voldaan. In die situatie is het van belang om te registreren en te documenteren dat van de verplichte functiescheiding is afgeweken. Registreer in die gevallen de reden waarom geen functiescheiding heeft plaatsgevonden, in welke periode dit is gebeurd en de namen van de betrokken medewerkers. Deze registratie moet ook bewaard worden. Pagina 9 van 40


Vraag 15 In dit systeem is aan de hand van de registratie van activiteiten ook vast te stellen of aan de voorgeschreven functiescheiding is / wordt voldaan. Als door specifieke omstandigheden niet aan de functiescheiding wordt voldaan, is het vereist dat door een onafhankelijk persoon wordt gecontroleerd of het proces correct en integer is uitgevoerd. In veel gevallen zal dat door de beveiligingsfunctionaris worden uitgevoerd. In ieder geval dient de controlerende persoon niet zelf deel uit te maken van het reisdocumentenproces. Vraag 16 In ieder werkproces waarin voorschriften, procedures en instructies moeten worden gevolgd, kun je niet zomaar aannemen dat medewerkers daarvan op de hoogte zijn. Zeker als er sprake is van een jarenlange vaste procedure en door omstandigheden treden wijzigingen op. Het is van belang om te zorgen dat medewerkers op de hoogte zijn en blijven bestaande procedures en wijzigingen daarop. Kennisoverdracht en instructie kunnen mondeling plaatsvinden, maar ook door medewerkers een (kopie van de) procedure te verstrekken met de opdracht deze te lezen. Vraag 17 Steekproefsgewijze zal getoetst moeten worden of de medewerkers zich houden aan voorschriften en hun werk op de juiste wijze uitvoeren. Dit betreft niet alleen het opvolgen van beveiligingsprocedures en instructies, maar ook de uitvoering van de reguliere werkzaamheden. Bij deze taken zijn een flink aantal mede bepalend voor de kwaliteit van het proces en het tegengaan van identiteitsfraude. Onderzocht kan worden of de medewerker de identiteit van de aanvrager goed vaststelt, op de juiste wijze controleert op de echtheidskenmerken van overgelegde documenten, de gezagsverhouding controleert en andere voor de integriteit van het proces van belang zijnde handelingen. Door middel van steekproeven kan worden beoordeeld of aan de kwaliteitseisen wordt voldaan. Het verdient aanbeveling om van deze controle een verslag op te maken. De beveiligingsfunctionaris kan dit bij de zelfevaluatie gebruiken (rapportage) en het management kan dit gebruiken om beter te sturen op kwaliteit van de uitvoering. Vraag 18 Als er wordt gewerkt met een geautomatiseerd systeem en medewerkers gebruiken enkel en alleen hun eigen inloggegevens, dan is iedere handeling te controleren op authenticiteit. Dit wordt anders als we op papier werken. Toch gebeurt dat ook nog zeer Pagina 10 van 40


veel in de praktijk en worden handelingen op echtheid onderschreven met een paraaf van de betreffende medewerker. Controle daarop moet mogelijk zijn zodat de noodzaak aanwezig is voor een parafenlijst. Aandachtspunt daarbij is het bewaren van de parafenlijst gedurende de bewaartermijn van reisdocumenten (11 of 16 jaar) zodat ook handelingen uit het verleden kunnen worden gecontroleerd. Vraag 19 De toegang tot het reisdocumenten systeem mag uitsluitend toegankelijk zijn voor uniek geautoriseerde personen. Het gaat hier niet alleen om de geautomatiseerde verwerking, maar uit oogpunt van persoonsbescherming en integriteit moet ook aandacht bestaan voor toegang tot papieren informatie, zoals documenten, aanvraagformulieren, foto- en handtekeningformulier en andere documenten. Dit betreft zowel de informatie op de werkplek maar ook informatie in het archief. Niet zelden is de toegang tot het archief van een gemeente mogelijk voor alle medewerkers van die gemeente, zonder nadere beperkingen. Vraag 20 Als je de beschikking hebt over een autorisatie van een collega of over een gedeelde autorisatie, is het veel gemakkelijker om gegevens onrechtmatig te gebruiken of er zelfs fraude mee te plegen. Om misbruik te voorkomen is het belangrijk dat iedere medewerker een eigen autorisatie heeft en het wachtwoord ook geheim houdt voor de collega’s. Vraag 21 In de gemeente fungeren tenminste twee medewerkers als autorisatiebevoegde reisdocumenten (ABR). Deze medewerkers zijn belast met het toekennen van de autorisaties in het geautomatiseerde reisdocumentenproces. De ABR zorgt voor de aanvraag en uitgifte van identificatiekaarten, waarmee medewerkers toegang krijgen tot het reisdocumenten systeem. Om de uitgifte, het gebruik en de inname van deze kaarten bij te houden en controleerbaar te maken, moet een registratie daarvan worden bijgehouden. Het uitreiken en weer innemen van de identificatiekaart is een belangrijk moment. Dit moet worden vastgelegd. Op het moment dat een medewerker de beschikking krijgt over het toegangsmiddel, is deze ook verantwoordelijk voor de handelingen die daarmee tijdens het bezit en gebruik daarvan, worden verricht. In gelijke mate geldt dat bij inlevering van het toegangsmiddel en de registratie daarvan, de medewerker gevrijwaard blijft van aanspraken op feiten die hebben plaatsgevonden na het moment van inleveren. Pagina 11 van 40


Vraag 22 Om de registratie van de identificatiekaarten goed bij te houden moeten de medewerkers tekenen voor de ontvangst van de kaarten en de pincode. Ook bij het inleveren van de identificatiekaarten zou getekend moeten worden om de registratie compleet te houden. Vraag 23 De identificatiekaart is een belangrijk toegangsmiddel die rechten geeft in een systeem om handelingen te mogen verrichten. Deze handelingen zijn waardevol en de identificatiekaart is daarom goed te vergelijken met de privé pinpas die wij van de bank krijgen. Ook hier hoort een pincode bij om te zorgen dat je én de pas nodig hebt én de code weet. Bij de aanmaak van de identificatiekaart wordt een voorlopige code ingesteld. Het is van het grootste belang dat deze code direct na uitgifte van de kaart wordt gewijzigd. Op grond van de afspraken in de Baseline Informatiebeveiliging Gemeenten is het noodzakelijk de pincode door de houder van de kaart elke 60 dagen te laten wijzigen om misbruik door onrechtmatige kennisneming van de pincode te beperken. Het uitlenen van kaart en code aan collega’s is een gevaarlijke activiteit en moet altijd worden vermeden. Vraag 24 Toegang tot de reisdocumentenadministratie en het verrichten van handelingen is alleen mogelijk voor medewerkers die beschikken over de bevoegdheid om te werken met het geautomatiseerde systeem. Deze bevoegdheid of autorisatie wordt geregeld met behulp van een identificatiekaart. Met deze kaart en een pincode is toegang tot het systeem mogelijk. Door de autorisatiebevoegde voor het aanvraagstation worden kaarten aangevraagd bij de producent en toebedeeld aan de medewerker. Het is zaak om deze aanvragen, uitgifte en intrekkingen goed te registreren omdat uit deze registratie bijvoorbeeld kan worden vastgesteld of bepaalde personen op bepaalde data toegang konden hebben tot het systeem en de gegevens. Zo zal een overzicht bijgehouden moeten worden van alle beschikbare kaarten, waar en hoe deze worden bewaard (in het bijzonder buiten werktijd), wie op welk moment een kaart in gebruik heeft, wanneer en van wie kaarten zijn of worden ingetrokken en wanneer kaarten zijn vernietigd. Van deze beheersactiviteiten maakt de autorisatiebevoegde periodiek een verslag op dat op bovengenoemde elementen controle is uitgevoerd en in orde is bevonden. Dit verslag kan ter verantwoording rechtstreeks, of gezamenlijk met het verslag van de beveiligingsfunctionaris, worden aangeboden aan de burgemeester. Pagina 12 van 40


Vraag 25 Bij de aanvraag van een reisdocument moet de nationaliteit van de aanvrager worden vastgesteld. Anders dan bij ingezetenen kan niet volstaan worden met het gebruik van de gegevens zoals opgenomen in de Basisregistratie Personen. Vraag 26 Bij de aanvraag van een reisdocument moet de identiteit van de aanvrager uiteraard worden vastgesteld. Kort gezegd staan hier twee mogelijkheden voor open: of de aanvrager overlegt een eerder aan hem uitgereikt reisdocument of, als hij dat niet kan of gegevens komen niet overeen, dan worden de gegevens uit de vorige aanvraag (de reisdocumentenadministratie) geraadpleegd EN er worden identificerende vragen gesteld die worden opgenomen in het dossier. Als een eerder uitgereikt reisdocument wordt overgelegd dan wordt dit gebruikt voor controle doeleinden. De gegevens in het oude document worden geverifieerd met de gegevens in de basisregistratie personen, de foto in het oude document wordt vergeleken met het gezicht van de aanvrager en de echtheid van het oude document wordt gecontroleerd. Bij de aanvraag hoeft het oude en overgelegde document niet (meer) geldig te zijn om te mogen worden gebruikt voor identificatie. Het is natuurlijk wel van belang om bij het gebruik van een oude foto goed te letten op de overeenkomsten met het gezicht van de aanvrager. Vraag 27 Bij het onderzoek naar de identiteit kunnen de volgende bronnen behulpzaam zijn: de geboorteakte, het aanvraagformulier van een eerder uitgereikt document (eventueel moet deze bij een andere uitgevende instantie worden opgevraagd), aangifteformulier verhuizing. Controleren betekent in dit geval altijd een vergelijking maken tussen de gegevens die de aanvrager verstrekt op het moment van de aanvraag, zoals andere documenten, opgegeven identiteit, verstrekte informatie en de gegevens die uit de hiervoor omschreven bronnen worden afgeleid. Vraag 28 Echtheidskenmerken van een paspoort en identiteitskaart helpen tegen misbruik, fraude en vervalsing. De echtheidskenmerken van het Nederlands paspoort zijn kenmerken die zonder hulpmiddelen te controleren zijn. Dit zijn onder andere het schaduwwatermerk, het kinegram, een voelbaar reliëf en ImagePerf. Door deze kenmerken van een document te controleren wordt voorkomen dat een vals, vervalst of valselijk verkregen document gebruikt kan worden voor het verkrijgen van een nieuw document. Pagina 13 van 40


Vraag 29 Nadat de ontvangen documenten zijn gecontroleerd en administratief zijn toegevoegd aan de voorraad, zijn ze beschikbaar om te worden uitgereikt aan de aanvrager. Evenals bij de aanvraag van een document is het noodzakelijk om de identiteit van degene die het document komt afhalen zorgvuldig vast te stellen. Indien de aanvrager nog beschikt over een eerder aan hem uitgereikt reisdocument, kan de identiteit aan de hand daarvan worden vastgesteld. Het komt natuurlijk regelmatig voor dat de aanvrager slechts over één document beschikte en het eerder uitgereikte document zijn geldigheid al had verloren ten tijde van de aanvraag. Dan is het wellicht al ingenomen of, nadat een paspoort als reisdocument onbruikbaar is gemaakt, teruggegeven. In dat geval beschikt aanvrager die een document komt afhalen niet meer over een eerder aan hem uitgereikt reisdocument. Het onbruikbaar gemaakte document mag daarvoor niet worden gebruikt. Er zal op dat moment op een andere wijze zekerheid moeten worden verkregen over de identiteit van degene aan wie het document wordt uitgereikt door het stellen van nadere identificerende vragen of door het tonen van een ander geldig legitimatiebewijs. Daarnaast zullen ook de gegevens worden geraadpleegd in de basisregistratie personen en zal een vergelijking worden gemaakt met de foto in het uit te reiken document met de persoon die het document komt afhalen. Dit is een delicaat proces waarbij zorgvuldig een foto-persoon vergelijking moet plaatsvinden. Hiervoor bestaan solide technieken die zich richten op het herkennen van de onveranderlijke gezichtskenmerken (profiling). Het verdient grote aanbeveling om medewerkers die belast zijn met het uitreiken van documenten te trainen in het herkennen van deze gezichtskenmerken. Extra identificerende vragen kunnen ook altijd gesteld worden aan kinderen. Het ligt wel enigszins aan het soort kind dat voor u staat wat voor soort vragen gesteld kunnen worden. De geboortedatum van de ouder is vaak moeilijk, maar de verjaardag weten ze vaak wel. Vraag 30 In het geval van de geringste twijfel is er altijd nog de mogelijkheid om de vingerafdrukken te verifiëren bij de uitreiking. Als de verificatie niet slaagt, wordt het reisdocument niet uitgereikt. Als er twijfel bestaat over de identiteit van degene aan wie een reisdocument moet worden uitgereikt, mag het document niet worden afgegeven. Er moet dan nader onderzoek worden ingesteld naar de identiteit. Pagina 14 van 40


Vraag 31 Als een eerder uitgereikt reisdocument wordt overgelegd, is het raadzaam om de echtheid van dat document te controleren. Voor 1e lijns- echtheidskenmerken van alle Nederlandse modellen reisdocumenten zie: www.rijksdienstvooridentiteitsgegevens.nl/Reisdocumenten/Echthe idskenmerken Naast eerstelijns kenmerken zijn er meer specifieke echtheidskenmerken beschikbaar waarvan een deel uitsluitend zichtbaar te maken is met behulp van specifieke controle apparatuur. Deze is in veel gevallen bij gemeenten aanwezig, maar vraagt wel om deskundigheid en vaardigheid in het bedienen daarvan. Een training op dit punt is beslist noodzakelijk. Vraag 32 In bepaalde gevallen is het vereist dat een recente verklaring van toestemming wordt overgelegd bij de aanvraag voor een reisdocument. Dit is bijvoorbeeld het geval indien de aanvrager zelf minderjarig is of onder curatele is gesteld. Voor een minderjarige, ouder dan 12 jaren en een onder curatele gestelde, is geen toestemmingsverklaring nodig voor het aanvragen van een Nederlandse identiteitskaart. Er is geen eis gesteld aan de vorm waaraan deze verklaring van toestemming moet voldoen. Wel zijn er een aantal elementen die moeten worden gecontroleerd. Zo moet de toestemmingsverklaring de personalia en de handtekening van de toestemminggever bevatten. Ook moet de identiteit van de toestemminggever worden vastgesteld op dezelfde wijze als het vaststellen van de identiteit van een aanvrager en moet gecontroleerd worden wie het gezag heeft. In het bijzonder zal aandacht voor de geldigheid van de toestemmingsverklaring moeten worden besteed als de toestemminggever niet zelf aanwezig is bij de aanvraag. In het geval van gescheiden ouders die nog wel beiden het ouderlijk gezag uitoefenen, kan het erg vervelend uitpakken als een reisdocument wordt verstrekt, terwijl één van de ouders hier geen toestemming voor heeft gegeven. Een eventuele ontvoering naar het buitenland kan hiervan het gevolg zijn. Indien er sprake is van een verklaring van toestemming moeten alle daarop betrekking hebbende documenten worden gearchiveerd. Ook wordt op de aanvraag zelf vermeld dat er sprake is van een toestemmingsverklaring. Vraag 33 In het paspoort worden in de elektronische chip de vingerafdrukgegevens opgenomen van de aanvrager. Deze gegevens worden uitsluitend bewaard in de chip zelf en niet (meer) in andere registraties. In voorkomende gevallen kan een Pagina 15 van 40


controle plaatsvinden op deze gegevens en de vingerafdruk van de persoon die het paspoort in het bezit heeft en de identiteit uit het document gebruikt. Voor het opnemen van de vingerafdruk gelden specifieke eisen en instructies die er voor moeten zorgen dat deze afdrukken kwalitatief juist worden opgenomen in het document. Het hoeft nauwelijks betoog dat de houder van het paspoort grote nadelige gevolgen kan ondervinden indien bij een controle blijkt dat deze gegevens niet overeenkomen. Reden genoeg dus om daar zeer zorgvuldig in te zijn. Van jongeren onder de 12 jaar worden geen vingerafdrukken opgenomen. Bij de opname van de vingerafdrukken moet goed worden opgelet dat de vingers voldoende schoon zijn en er geen gebruik wordt gemaakt van omhulsels. Hiermee zou het technisch mogelijk zijn om een andere vingerafdruk op te laten nemen in het paspoort. Het is mogelijk dat een aanvrager tijdelijk, bijvoorbeeld als gevolg van een ernstig ongeval, niet de mogelijkheid heeft om vingerafdrukken te laten opnemen. Het is dan wel belangrijk om vast te stellen dat dit gebrek inderdaad bestaat. Het overleggen van een medische verklaring kan daarbij behulpzaam zijn. In een dergelijk geval kan de aanvraag in behandeling worden genomen maar zal het paspoort een geldigheid bevatten van maximaal één jaar. Is het gebrek niet tijdelijk maar permanent dan kan een paspoort zonder vingerafdrukken worden aangevraagd met een maximale geldigheidsduur van tien jaren (voor meerderjarigen). Vraag 34 De foto is bedoeld ter identificatie van de aanvrager. Daarom moet bij het indienen van een aanvraag voor reisdocumenten een pasfoto in kleur worden ingeleverd die een goedgelijkend beeld van de aanvrager geeft. Alleen als de foto aan alle acceptatiecriteria van de fotomatrix voldoet kan de foto goedgekeurd worden. Vraag 35 Onderdeel van de beoordeling van de foto met behulp van de fotomatrix is de controle op de juiste maatvoering. De maat van oor aanzet tot oor aanzet en van kin tot kruin kan beoordeeld worden aan de hand van de pasfoto positioneringstransparant.

Vraag 36 Een aanvraag waarbij niet is voldaan aan de bepalingen met betrekking tot de identiteit, de nationaliteit, de aanspraak op, het overleggen van in bezit zijnde documenten, pasfoto, vingerafdrukken en handtekening, het verschijnen in persoon, Pagina 16 van 40


toestemmingsverklaringen en eventueel vermissingsverklaringen mag niet in behandeling genomen worden. Vraag 37 De meeste aanvragen zullen onder normale omstandigheden leiden tot het verstrekken van een reisdocument. Doorgaans binnen een week is het document beschikbaar voor de aanvrager om dit uit te reiken. Er zijn natuurlijk ook aanvragen die niet direct leiden tot een verstrekking, bijvoorbeeld omdat de identiteit van de aanvrager niet in voldoende mate kan worden vastgesteld. In ieder geval moet binnen vier weken nadat de aanvraag is gedaan een beslissing worden genomen op die aanvraag. Enerzijds kan dat leiden tot het alsnog vertrekken en uitreiken van het document, maar het kan ook leiden tot een beslissing van de burgemeester dat de aanvraag wordt aangehouden en (nog) geen document wordt uitgereikt. Een dergelijke beslissing tot aanhouden van de aanvraag moet ook binnen vier weken na de aanvraag door middel van een kennisgeving aan de aanvrager worden bericht. Vanaf de datum van deze kennisgeving kan de termijn voor onderzoek en waarin (nog) geen definitief besluit is genomen met maximaal vier weken worden verlengd. Binnen deze maximaal acht weken zal een voor beroep vatbare definitieve beslissing door de burgemeester moeten worden genomen. Vraag 38 De aanvraag is in behandeling genomen. De eerstvolgende processtap die daar op volgt is het verzenden van de gegevens naar de producent. Het verzenden van de aanvragen van die dag is veelal een collectieve activiteit, meerdere aanvragen worden op hetzelfde moment verzonden. Er zal ook gecontroleerd worden dat het aantal te verzenden aanvragen overeenkomt met het aantal foto en handtekeningformulieren. Op die manier vindt er een volledigheidscheck plaats op het aantal te verzenden aanvragen. Een andere controle kan worden uitgevoerd op het betalen of kosteloos verstrekken van een reisdocument.

Pagina 17 van 40


Vraag 39 Direct bij de overdracht en in het bijzijn van de distributeur wordt gecontroleerd of de colli (het doosje/de doosjes) onbeschadigd zijn en de verzegeling in tact is. Als er afwijkingen zijn op de levering, bijvoorbeeld de verpakking is beschadigd of de inhoud stemt niet overeen met levering die tevoren is aangekondigd, dan moet dit worden vastgelegd in een proces-verbaal. De vorm van dit proces-verbaal is niet voorgeschreven, maar de beschrijving moet in ieder geval bevatten: wanneer de levering met tekortkomingen heeft plaatsgevonden, de namen van de betrokken distributeur en de ontvangstbevoegde, de omschrijving welke afwijking is geconstateerd en welke acties er vervolgens zijn genomen. Hiervoor zijn voor specifieke afwijking voorschriften opgenomen in de (bijlage D van de) Paspoort Uitvoeringsregeling Nederland. Het proces-verbaal moet ten minste zestien jaren worden bewaard. Vraag 40 Als de zending correct is verpakt en onbeschadigd is wordt deze door de bevoegde medewerker van de gemeente in ontvangst genomen. Vervolgens moet de inhoud van de zending, de reisdocumenten, administratief worden toegevoegd aan de voorraad. Dit proces heet inklaren van documenten. De leverancier stuurt vooraf een bericht met de te verwachten ontvangsten. Met deze vooraankondiging wordt een vergelijking gemaakt met de daadwerkelijk ontvangen zending (de colli). Na het openen van de zending worden de documenten individueel op juistheid gecontroleerd en vindt ook controle plaats per document of deze overeenstemt met de vooraf aangekondigde documenten. Er kan sprake zijn van een misdruk of een foutief gegeven in een reisdocument. In dat geval wordt het document zo spoedig mogelijk, maar uiterlijk binnen tien dagen ongeldig gemaakt en aangetekend teruggestuurd naar de producent. Vraag 41 Iedere keer als een burger aan de balie zijn of haar reisdocument toont, moet de medewerker de echtheid van het document en de daarin opgenomen gegevens controleren. Dit moet gebeuren op elk moment dat een medewerker een reisdocument overhandigd krijgt: dus ook zowel bij de aangifte van verhuizing of het doen van geboorteaangifte. De medewerker stelt vast of de beveiligingskenmerken van een reisdocument zijn aangetast, of de gegevens nog goed leesbaar zijn en of alle gegevens nog opgenomen zijn. Indien dat niet het geval is vervalt het reisdocument van rechtswege en moet het aan het verkeer worden onttrokken. Pagina 18 van 40


Vraag 42 Een reisdocument vervalt van rechtswege als:  het niet binnen drie maanden, nadat het voor uitreiking beschikbaar is gesteld, door de aanvrager in ontvangst is genomen  het, al dan niet bij de uitreiking van een nieuw reisdocument, is ingeleverd  het vervallen is verklaard of op basis van de wet is ingehouden, tenzij nog een beroepstermijn open staat, een beroepsprocedure aanhangig is of het reisdocument anderszins in een gerechtelijke procedure nodig is. Dit kan zich onder andere voordoen in de volgende gevallen: o de houder het Nederlanderschap heeft verloren o de houder van een reisdocument voor vreemdelingen of vluchtelingen niet langer beschikt over de status of verblijfstitel, benodigd voor het document o de geldigheidsduur van het document is verstreken o de houder is overleden o het document als vermist is opgegeven o onjuiste gegevens zijn verstrekt die hebben geleid tot de afgifte van het document o een gegeven toestemmingsverklaring wordt ingetrokken  het na uitreiking als onbruikbaar is beschouwd ten gevolge van misdruk of verkeerde personalisatie en dientengevolge is ingehouden of ingeleverd Een reisdocument moet (verplicht) worden ingehouden als:  het van rechtswege is vervallen zoals hiervoor is omschreven  het zodanig is beschadigd dat daarin opgenomen beveiligingskenmerken zijn aangetast, gegevens niet meer leesbaar zijn of een deel ervan ontbreekt  in of aan het document wijzigingen zijn aangebracht of aantekeningen zijn gesteld door een onbevoegde  de gezichtsopname van de houder niet langer voldoende gelijkenis vertoont  blijkt dat daarin abusievelijk verkeerde gegevens zijn vermeld dan wel anderszins fouten zijn gemaakt bij de vervaardiging van het reisdocument. De daartoe bevoegde autoriteit onttrekt het ingehouden reisdocument definitief aan het verkeer, tenzij nog een beroepstermijn openstaat, een beroepsprocedure aanhangig is of het reisdocument anderszins in een gerechtelijke procedure nodig is. Definitieve onttrekking aan het verkeer gebeurt door definitieve vernietiging. Pagina 19 van 40


Vraag 43 De houder van een verlopen reisdocument kan vragen om eventuele teruggave van het document. Hij kan daar belang bij hebben vanwege de souvenir waarde van douanestempels. Hierin kan worden toegestemd indien het document ongeldig wordt gemaakt. De medewerker maakt het verlopen document ongeldig, door het te perforeren (drie ponsgaten van minimaal 12 mm doorsnee) op zodanige wijze dat het aangebrachte kinegram gedeeltelijk en de aangebrachte chip geheel onbruikbaar worden gemaakt. In het paspoort model 2014 moeten beide kinegrammen gedeeltelijk onbruikbaar worden gemaakt. Vraag 44 Het vernietigen van ontrokken documenten moet op zodanige wijze worden uitgevoerd dat reconstructie van het document op geen enkele wijze meer mogelijk is. Hiervoor komen versnippering of verbranding in aanmerking. Het is goed mogelijk documenten met behulp van een versnipperaar te vernietigen. Gemeenten kunnen er ook voor kiezen om de documenten centraal en beveiligd in te zamelen en deze door een gecertificeerde instelling op verantwoorde en genormeerde wijze te laten vernietigen. Het is hierbij wel van belang om zeker te zijn dat het bedrijf voldoet aan beveiligingscriteria, zowel gedurende het transport als tijdens het vernietigingsproces zelf. Voorts is het zaak om de documenten na ontvangst direct ongeldig te maken. De medewerker maakt het verlopen document ongeldig, door het te perforeren (zie de wijze waarop in vraag 50). Vraag 45 Als uw gemeente met toestemming van het Ministerie deelneemt aan de pilot 'proces verbaal bij gemeenten' kruist u 'de aanvrager overlegt een proces verbaal' aan als ware het dat u een proces verbaal laat overleggen. In de praktijk blijkt de houder van een reisdocument niet altijd even zorgvuldig met het reisdocument omgaat. Het aantal vermissingen van reisdocumenten is groot en elke vermist document is in potentie een risico op onrechtmatig handelen. Als een document vermist wordt moet dit in de basisregistratie personen als feit worden opgenomen door het toesturen van een C3 formulier aan de RNI. Doorgaans gebeurt dit gelijktijdig met de aanvraag voor een nieuw en vervangend document. Van de aanvrager wordt een schriftelijke verklaring van vermissing gevraagd. Dit is een officiële schriftelijke verklaring die er toe moet bijdragen dat mensen dit niet te lichtvaardig doen. Immers het ondertekenen van een dergelijke schriftelijke aanvraag om daarmee een nieuw document aan te vragen kan, als daarvan sprake is, als valsheid in geschrifte worden Pagina 20 van 40


aangemerkt. Om die reden is het ook voorgeschreven dat de houder van het vermiste document aangifte doet bij de politie. Ook hier is sprake van het opwerpen van een drempel en het risico te worden vervolgd voor het doen van valse aangifte. Om de administratieve last voor de politie te verminderen en ook de burger minder te belasten, zijn er proeven met gemeenten waarbij de aangifte en het daarop volgende proces-verbaal bij die gemeente zelf kan worden verkregen. In dat geval wordt dit gelijkgesteld met het doen van aangifte bij de politie. Zowel de verklaring van vermissing en het proces-verbaal worden inhoudelijk met elkaar vergeleken en toegevoegd aan de aanvraag. Als er sprake is van een verschillende reden van omschrijving van de vermissing in het proces-verbaal en de verklaring van vermissing is dit reden voor nader onderzoek. De verklaring van vermissing en het proces-verbaal blijven gedurende 11 jaren bewaard bij de reisdocumentenadministratie. Voor paspoorten en NIK's die langer geldig zijn, geldt een periode van ten minste 16 jaar. Bij het in behandeling nemen van een aanvraag waarbij sprake is van een vermissing, worden de oude aanvraaggegevens geraadpleegd. Het kan zijn dat deze gegevens in de eigen gemeente aanwezig zijn, maar als het vermiste reisdocument eerder in een andere gemeente werd aangevraagd, dan worden de aanvraaggegevens bij die gemeente opgevraagd. Vraag 46 Als het vermoeden bestaat dat de houder handelingen verricht met reisdocumenten die het vertrouwen in die documenten schaadt dan kan de afgifte van een nieuw of vervangend document worden geweigerd. Hiervan kan sprake zijn bij meervoudige vermissingen, opzettelijk beschadigen van documenten, het anderen in de gelegenheid stellen om misbruik te maken van reisdocumenten of andere handelingen die op misbruik kunnen wijzen. In een circulaire van RvIG zijn daarvoor een aantal criteria weergegeven:  de houder heeft 3 keer binnen 5 jaar een reisdocument als vermist opgegeven, terwijl daarvoor geen plausibele reden bestaat. Een waarschijnlijke reden kan bijv. beroving, diefstal of dementie van de betrokken persoon zijn. Indien de houder echter zonder dergelijke reden zijn reisdocument is kwijtgeraakt, wordt dit aangemerkt als een vermissing zonder waarschijnlijke reden  de houder heeft weliswaar minder dan 3 keer binnen 5 jaar een reisdocument als vermist opgegeven, maar spreekt zichzelf tegen bij doorvragen op door hem afgelegde eerdere verklaringen van vermissing bij de paspoort uitgevende autoriteiten of in de processen-verbaal van de politie. Ook kan de inhoud van een proces-verbaal of een Pagina 21 van 40






verklaring van vermissing aanleiding geven tot een gegrond vermoeden van misbruik met reisdocumenten (bijv. de redenen van vermissing zijn ongeloofwaardig, vertonen een terugkerend patroon of lijken te zijn verzonnen om misbruik van het document te verhullen) de houder heeft weliswaar minder dan 3 keer binnen 5 jaar een reisdocument als vermist opgegeven, maar in combinatie met opzettelijke beschadigen of andere handelingen die op misbruik kunnen wijzen, ontstaat toch een gegrond vermoeden van misbruik met reisdocumenten de houder heeft weliswaar steeds waarschijnlijke redenen opgegeven als beroving of diefstal, maar het aantal vermissingen is zodanig hoog dat toch twijfel gaat rijzen. Het is bijvoorbeeld mogelijk dat door de houder valse aangiften zijn gedaan. U wordt geadviseerd in dergelijke gevallen eerst contact met de politie op te nemen

Vraag 47 Om te kunnen bepalen of er sprake is van een signalering moet bij iedere aanvraag de signaleringslijst geraadpleegd worden. Vraag 48 Hoewel dit niet veel zal voorkomen, is het denkbaar dat iemand wel komt melden dat hij zijn reisdocument kwijt is, maar geen aanvraag doet voor een nieuw document. Ook in die situatie zal een verklaring van vermissing moeten worden opgesteld en een proces-verbaal van aangifte moeten worden overgelegd. Tevens moet het document opgenomen worden in het Basisregister Reisdocumenten door het opsturen van een C7 formulier en moet een kennisgeving C3 naar de RNI gestuurd worden. Vraag 49 Uit het RAAS kunt u een overzicht vervaardigen wat de fysiek aanwezige voorraad moet zijn. Door dit overzicht te vergelijken met de daadwerkelijke fysieke voorraad kan worden vastgesteld of dit overeenkomt of dat er documenten worden vermist. Het hoeft niet altijd en direct te leiden tot een vermissing van één of meerdere documenten. Het is ook mogelijk door onvoldoende zorg en aandacht in het verwerkingsproces dat het verschil alleen administratief bestaat omdat het uitgereikte document niet in de basisregistratie personen is verwerkt of omdat het is opgestuurd naar de nieuwe woongemeente. Op zich geen probleem, maar wel een stevige aanleiding om op onderzoek uit te gaan en een verklaring te vinden voor dit verschil.

Pagina 22 van 40


Vraag 50 Vrijwel iedere aanvraag zal gelijktijdig ook een registratie betekenen in een (geautomatiseerd) betaalsysteem. Uitzondering daarop is bijvoorbeeld een kosteloze verstrekking, maar meestal betekent 16 aanvragen op een dag ook 16 betaalactiviteiten in de kassa. Deze aantallen kunnen met elkaar worden vergeleken, waarbij de integriteitscheck niet alleen valide is voor de reisdocumenten, maar tevens voor het betalingsverkeer. Vraag 51 Verschillen kunnen en zullen altijd wel een keer optreden. Dit hoeft niet direct tot paniek te leiden, maar het is wel van belang dat deze goed worden onderzocht en dat de reden van het verschil wordt uitgezocht en geregistreerd. Vraag 52 Vermiste documenten moeten worden opgespoord en als er sprake is van meerdere incidenten binnen een werkgebied, dan is het wenselijk en noodzakelijk om te zoeken naar oorzaken. Uiteraard gevolgd door verbetering van de processen en intensivering van de controle. Als er sprake is van een vermissing van één of meerdere documenten, moet dit worden gevolgd door aangifte bij de politie en ook moet RvIG in kennis worden gesteld. Daarnaast zal er op zorgvuldige wijze ook naar de houder(s) van vermiste documenten communicatie moeten plaatsvinden, zodat zij niet onverwacht worden geconfronteerd met een eventueel misbruik van hun identiteit. Vraag 53 Het reisdocumenten proces is zodanig ingericht dat een groot deel van alle aanvragen in zijn geheel wordt verwerkt in het RAAS. Voor een deel van de aanvragen worden echter ook aanvullende documenten gebruikt. Te denken valt aan de verklaring van vermissing, het proces-verbaal van aangifte, de verklaring van toestemming en mogelijk documenten aan de hand waarvan de identiteit is vastgesteld van de aanvrager of de persoon die toestemming heeft verleend. In al die gevallen waarin sprake is van aanvullende (bron)documenten moet een fysieke reisdocumentenadministratie worden aangemaakt. Deze moet vervolgens 11 jaren worden bewaard, overeenkomstig de bepalingen van de PUN. Voor paspoorten en NIK's die langer geldig zijn, geldt een periode van ten minste 16 jaar.

Pagina 23 van 40


Vraag 54 Gedurende de werktijd is het voorgeschreven dat er sprake is van voortdurend toezicht van bevoegde medewerkers. Zodra dit dus niet meer het geval is (vergadering, tussen de middag sluiting, toiletbezoek e.d.) dan behoren de gevoelige materialen en zeker ook de reisdocumenten zich te bevinden in de afgesloten kluis en onder detectie. De documenten voor de dagelijkse verwerking worden opgeborgen in speciaal daarvoor bestemde afsluitbare ladekasten, de dagwaardeberging. Het opbergen in een afsluitbare kantoorkast, ladenblok of ‘open’ afhaalbakje biedt onvoldoende waarborgen. Voor de reisdocumenten zijn verschillende opbergsystemen in gebruik. Centrale opslag van documenten in een zogenaamd buizen- of andersoortig transportsysteem. Heel functioneel en ook veilig omdat hierdoor zo min mogelijk menselijke werkingen nodig zijn met de documenten. Aandacht moet wel bestaan voor de centrale opslag. Omdat deze doorgaans in een andere ruimte staat opgesteld en er geen bevoegd personeel in die ruimte aanwezig is, moet deze ruimte zijn afgesloten en onder detectie staan van het inbraak detectie systeem. Vraag 55 Traditioneel worden de reisdocumenten buiten werktijd in de kluis(kast) bewaard. Om te beveiligen tegen inbraak, ontvreemding, onrechtmatige kennisname en verlies door bijv. brand is opslag in een inbraak werende voorziening voorgeschreven. Met voorziening wordt meestal een kluis(kast) bedoeld. De kluis(kast) moet volgens fabrieksspecificaties voldoen aan een indicatie waarde berging van 1000 euro. Met deze internationaal genormeerde classificatie is vastgesteld hoe lang het duurt om het materiaal van de kast te forceren bij het gebruik van bepaalde gereedschappen en aanvalsmethodieken. Bij het opstellen van de wetgeving is deze eis bepaald. Voorts moet deze kast ook nog brandwerende eigenschappen hebben en in een afgesloten ruimte zijn geplaatst. Een lastige bijkomstigheid is dat inbraak vertragend en brandwerend niet altijd goed samen gaan. Immers voor inbraakvertraging zou je het liefst veel staal en ander sterk materiaal gebruiken. Dit is echter ook het materiaal dat zorgt voor een goede geleiding van temperatuur en heeft daardoor tegengestelde invloed op de brandwerendheid. Voor brandwerendheid worden kunststoffen materialen gebruikt die zorgen voor een hele slechte geleiding van temperatuur, maar deze zijn weer met eenvoudige aanvalsgereedschappen te openen. Het beste van twee werelden is om een brandvertragende kast/kluis te plaatsen in een inbraak werende ruimte. Pagina 24 van 40


Behalve goede technische voorzieningen komt het bij beveiligde opslag ook weer aan op het menselijk handelen. Het allerbeste slot zal geen bescherming bieden als het niet op slot wordt gedaan. Dat geldt dus ook voor de omgang met bedrijf kritische en vertrouwelijke gegevens. Als er niet mee wordt gewerkt, dan behoort deze informatie deugdelijk te zijn opgeborgen achter slot en grendel. Er mag geen informatie blijven slingeren op bureaus of in openstaande kasten. In diezelfde lijn moeten computers (werkstations) worden geblokkeerd of uitgezet bij afwezigheid van de gebruiker. In geautomatiseerde systemen is het, zeker als je daarin de weg weet, in enkele seconden mogelijk om misbruik te maken van informatie. Vraag 56 Met uitsluitend het beschrijven van doelen en resultaten in een beleidsdocument of andere richtlijn kan niet worden volstaan. Er moet ook onderzocht worden of de daarin gestelde doelen worden behaald. Periodiek wordt op basis daarvan verslag uitgebracht aan degene die de norm stelt. Die krijgt daarmee per aandachtsgebied een beeld hoe het er voor staat. Vergelijk dit met de jaarlijkse controle en rapportage van de accountant die verslag uitbrengt over de financiële stand van zaken. De controle op het hiervoor genoemde beveiligingsbeleid wordt achteraf uitgevoerd en de resultaten worden opgenomen in een rapportage aan de burgemeester. Met de rapportage wordt de burgemeester schriftelijk geïnformeerd of de gegeven opdracht in de praktijk wordt gerealiseerd. Ook eventuele tekortkomingen of risico’s kunnen op deze plaats worden benoemd. Dat dit van belang is blijkt als er sprake is van incidenten. In dat geval zal de burgemeester verantwoording moeten afleggen over de aard en oorzaak van het incident. Als dit bijvoorbeeld te maken heeft met het onrechtmatig toekennen van reisdocumenten zal aan de hand van de beveiligingsinspanningen moeten blijken of dit voorkomen had kunnen worden en of er voldoende maatregelen zijn getroffen. De rapportage volgt de doelstelling zoals deze in het beleid is verwoord, maar kan ook worden uitgebreid met de resultaten van het onderzoek met behulp van het evaluatie-instrument. Er is voorgeschreven dat de rapportage in ieder geval moet ingaan op enkele verplicht gestelde onderwerpen, bijv. de status van de fysieke beveiliging, of en hoe de gegevens worden veilig gesteld (back-up), of wordt voldaan functiescheiding en andere.

Pagina 25 van 40


Vraag 57 De beveiligingsrapportage is een dynamisch document en moet leiden tot het uitvoeren van maatregelen. Dit kan aan de hand van verschillende bronnen of omstandigheden worden gevoed en actueel worden gehouden. In de eerste plaats de directe controle of het proces wordt uitgevoerd zoals afgesproken en of de resultaten tegemoet komen aan de eisen. Het behoort echter ook heel goed tot de mogelijkheden dat direct betrokken medewerkers of leidinggevenden ongewenste omstandigheden signaleren. Het spreekt vanzelf dat procedures ook aangepast worden zodra er een wijziging heeft plaatsgevonden in weten regelgeving indien dit van toepassing is. Het is ongewenst om slechts één keer per jaar te controleren of besluiten correct worden uitgevoerd. Aan de hand van de besluitenlijst en de daarin opgenomen verantwoordelijkheden en realisatiedata, is tussentijdse controle op de uitvoering noodzakelijk. Dat de uitvoering van deze controle wordt uitgevoerd door de beveiligingsfunctionaris ligt voor de hand. In veel gevallen is het deze functionaris die ook aan de basis heeft gestaan van de rapportage die tot besluiten heeft geleid. Voor controle op de realisatie van maatregelen kan ook de leiding van de afdeling zijn aangewezen, omdat zij zicht hebben op de dagelijkse (voort)gang van zaken. Een onafhankelijk derde is een persoon die niet betrokken is bij het opstellen of realiseren van het beleid en die niet de beveiligingsfunctionaris is. Dat kan bv. een interne auditor zijn of een externe. Vraag 58 De beoordeling van de beveiligingsmaatregelen kan leiden tot het vaststellen van tekortkomingen en het uitbrengen van verbetervoorstellen. Voorstellen voor verbetering maken deel uit van het beveiligingsplan. Als besloten is om bepaalde maatregelen te treffen, dan zal het duidelijk moeten zijn wie verantwoordelijk is voor de uitvoering en wanneer de uitvoering uiterlijk moet zijn gerealiseerd. Het bewaken van deze uitvoering blijkt in de praktijk noodzakelijk. Niet zelden worden wel besluiten genomen, maar leiden deze niet altijd tot daadwerkelijke uitvoering. Als geen actie volgt op genomen besluiten, mag dit natuurlijk niet onbenoemd blijven. Het beste is om, direct na constatering, de betrokkenen daar rechtstreeks op aan te spreken. Mocht dit zonder succes blijven dan is rapportage aan de burgemeester beslist noodzakelijk. Immers, deze gaat er van uit dat gegeven opdrachten worden gerealiseerd om invulling te geven aan gesignaleerde tekortkomingen en de uitoefening van verantwoordelijkheden. Als dit uitblijft, hoort hij daarvan in kennis te worden gesteld. Pagina 26 van 40


Vraag 59 De vragen in dit gedeelte sluiten aan bij het eerder omschreven gedeelte over de rapportage. Hier gaat het echter om de vraag wie er heeft gerapporteerd. Gelijke waarde moet worden toegekend aan de beveiligingsfunctionaris of eventueel een onafhankelijke derde. Bij de beveiligingsfunctionaris gaan we er van uit dat deze, conform de voorschriften, geen taken verricht in het reisdocumentenproces en daar dus ook geheel los van staat. Het is dus in dat verband een interne onafhankelijke, maar niet perse een derde. Voor controle doeleinden kan een gemeente overigens wel hebben gekozen om meerdere onderzoeksgebieden onder te brengen bij een derde partij. Denk hierbij aan externe deskundigen of accountants. Vraag 60 Een belangrijk onderdeel in de taak van beveiligingsfunctionaris is geborgd in de relatie met de burgemeester als eindverantwoordelijke. De beveiligingsfunctionaris moet namelijk rechtstreeks verantwoording afleggen aan de burgemeester. Dit is zo voorgeschreven om te voorkomen dat de lijnorganisatie eventueel gesignaleerde tekortkomingen ‘schrapt’ uit de verslaglegging. Bij het ontbreken van een vastgestelde functieomschrijving zou hierdoor een diffuus gebied kunnen ontstaan aan wie de beveiligingsfunctionaris verslag moet uitbrengen. Vraag 61 In alle gevallen waarin afgeweken wordt van de verplichte functiescheiding is het zaak om achteraf door een onafhankelijke derde te laten controleren of het proces integer is verlopen. Transparantie is hier het sleutelwoord en voorkomt juridische aansprakelijkheid of verdachte omstandigheden achteraf. Om vast te kunnen stellen of er in alle gevallen aan de verplichte functiescheiding is voldaan is het noodzakelijk daar minimaal jaarlijks een controle op uit te voeren. Vraag 62 Een paar voorbeelden van inbreuken: bij een controle op de voorraad reisdocumenten blijken er twee identiteitskaarten en een paspoort te ontbreken of een brand in (een gedeelte van) het gemeentehuis en de aanwezige voorraad reisdocumenten gaat verloren. Vraag 63 Bij iedere inbreuk, groot of klein, moeten we nadenken over de mogelijke gevolgen en direct maatregelen nemen om de kans op Pagina 27 van 40


schadelijke gevolgen of uitbreiding van schade te voorkomen. In veel gevallen is er sprake van mogelijke schade voor de burger (zijn of haar identiteit is in het geding), schade voor het bestuur (politieke en bestuurlijke verantwoordelijkheid) en schade voor de organisatie (financiële schadeloosstelling, herstel en reconstructiekosten e.d.). In ieder geval dienen meteen de politie en RvIG in kennis te worden gesteld. Vraag 64 In de vragenlijst zijn een flink aantal incidenten benoemd die moeten leiden tot een incidentmelding op het moment dat deze zich voordoen. Een goede beschrijving van deze incidenten in een procedure en deze procedure zeer goed onder de aandacht brengen van betrokken medewerkers, kan het meldingsproces een positieve impuls geven. Vraag 65 Nadat het evaluatie-instrument voor 1 oktober van elk kalenderjaar definitief is ingevuld zal een rapportage worden gegenereerd. De rapportage komt beschikbaar voor de burgemeester. Deze rapportages moeten na ontvangst worden besproken met degenen voor wie dat bestemd is. Ook een bespreking in een breder gremium (bijvoorbeeld het afdelingsoverleg) wordt aangeraden. De rapportage die bestemd is voor de burgemeester zal op de gebruikelijke wijze worden aangeboden. De burgemeester neemt hiervan kennis, neemt zo nodig besluiten en geeft opdracht aan de organisatie om de nodige maatregelen te treffen. Na behandeling door de burgemeester wordt de rapportage voor 1 november van ieder kalenderjaar aan RvIG gestuurd. Vraag 66 De gegevens betreffende de aanvraag, het beheer en het uitreiken van documenten is slechts op één plaats aanwezig: in het RAAS. Het is voor de bedrijfscontinuïteit belangrijk om deze gegevens regelmatig veilig te stellen. In technische systemen kunnen altijd storingen optreden. Het is dan een groot goed als je kunt terugvallen op reserve data van het systeem. Om dit zeker te stellen moet er iedere werkdag een back-up worden gemaakt van de gegevens in het RAAS. Dit gebeurt door de gegevens te kopiëren naar een back-up schijf. Voor de back-up zijn vijf schijven beschikbaar die in volgorde gebruikt moeten worden. Om er zeker van te zijn dat er ook daadwerkelijk data op zijn weggeschreven is het noodzakelijk de systeemsignalen te behandelen die gegenereerd worden als de Pagina 28 van 40


controle van de back-up aangeeft dat het proces niet goed is verlopen. Vraag 67 Van back-upactiviteiten en de verblijfplaats van de media wordt een registratie bijgehouden, met een kopie op een andere locatie. De andere locatie is zodanig gekozen dat een incident/calamiteit op de oorspronkelijke locatie niet leidt tot schade aan of toegang tot de kopie van die registratie. Vraag 68 Eén reservekopie zit in het back-up station, de oudste reservekopie ligt in de kluis in het gemeentehuis en de drie nieuwste reserve kopieën zijn buiten het gemeentehuis opgeslagen. De back-upschijven moeten allemaal worden opgeslagen in een brandwerende en inbraak vertragende voorziening (een kluiskast) die genormeerd is op basis van 1000 euro waardeconcentratie. Deze normering betreft een internationale standaard en wordt per kluisleverancier door verschillende certificeringsinstituten toegekend. In de meeste gevallen is een indicatie van deze certificering te vinden op de binnenzijde van de kluiskast of in de scharnierzijde van de kluisdeur. Vraag 69 Op basis van eerder gegeven adviezen zijn in veel gevallen de RAAS servers verhuisd naar de systeemomgeving van I&A. Ook is het mogelijk dat de RAAS server nog fysiek aanwezig is op de afdeling waar het reisdocumentenproces plaatsvindt. In beide gevallen moet worden nagegaan of deze ruimte zodanig is beschermd dat onbevoegden daar geen toegang hebben. In de praktijk wordt dit geregeld via het beheren van sleutels, codes of het uitgeven van autorisaties in het toegangscontrolesysteem. Als de RAAS server is geplaatst in de ruimte die valt onder het beheer van I&A is het aan te bevelen dat de verantwoordelijke voor de reisdocumenten overleg pleegt met I&A over het toekennen van toegangsautorisatie tot deze ruimte. De RAAS server moet worden erkend als een gegevensbron met een hoog risicogehalte en verdient daarom aandacht in de beveiliging. Vraag 70 Op 19 november 2008 heeft RvIG onder nummer BPR2008/U59776 een brief gezonden aan de gemeenten ter voorbereiding op de installatie van de aanvraagstations reisdocumenten. Pagina 29 van 40


Bij gelegenheid van de installatieprocedure van de aanvraagstations is aandacht gevraagd voor, en zijn richtlijnen gegeven aan de (technische) beveiliging van de aanvraagstations. Om de vragen in het evaluatieinstrument toereikend te kunnen beantwoorden, zullen we in het kort ingaan op deze technische eisen. Met deze beschrijving moet het mogelijk zijn om aan de beheerders van de ICT omgeving de juiste vragen te stellen en zicht te krijgen op de uitvoering en te beoordelen of aan de eisen wordt voldaan. De componenten die deel uitmaken van de geautomatiseerde omgeving van het reisdocumentenproces bestaan uit de RAAS server met het werkstation, het centraal aanvraagstation, de overige aanvraagstations, de lokale werkstations en natuurlijk de aansluiting op Gemnet. Via Gemnet wordt de communicatie verzorgd met de producent van de reisdocumenten. Het volgende plaatje is daarvan een schematische voorstelling:

(bron: Sagem Identification (2008) installatieinstructie aanvraagstations) Om te zorgen voor een doelmatige beveiliging moet het technisch zodanig zijn ingericht dat deze groep componenten is ondergebracht in één afgescheiden deel van het gemeentelijk netwerk. Dit wordt veelal een netwerksegment genoemd, maar kan ook een separaat (virtueel) netwerk zijn. Van belang is dat vanuit dit netwerksegment geen connecties mogelijk zijn met het internet. Dit is gedaan om te voorkomen dat gegevens vanuit dit Pagina 30 van 40


segment via internet naar buiten kunnen treden of dat via internet van buitenaf toegang kan worden verkregen tot dit segment met alle gevoelige informatie die zich daarbinnen bevindt. Het beschermen van een netwerksegment kan op velerlei manieren waarbij het gebruik van firewalls maar ook hardware schakelaars (switches) worden gebruikt. Concreet mag er dus vanuit de groep ‘reisdocumenten’ geen verbinding mogelijk zijn met het internet en omgekeerd mag er geen verbinding met deze groep mogelijk zijn vanaf andere werkstations, vanaf internet of vanaf andere informatiesystemen die bij de gemeente in gebruik zijn. Het is dus een geheel gesloten systeem dat uitsluitend voor dit doel mag worden gebruikt en slechts op één manier een externe connectie heeft, namelijk naar de producent van reisdocumenten via een beveiligde Gemnet verbinding. Zoals gezegd zijn in deze groep niet alleen hardware onderdelen opgenomen, maar maken ook gebruikers hiervan deel uit. Vraag 71 Het proces reisdocumenten betekent omgang met waardevolle documenten. Dat verlangt van medewerkers een grote mate van betrouwbaarheid en integriteit. Het is daarom van belang om vanaf het openstellen van een vacature tot en met het invullen daarvan aandacht te besteden aan de betrouwbaarheid van de medewerker. In dit geval moet niet alleen rekening worden gehouden met de medewerker die een arbeidsovereenkomst aangaat met de gemeente maar ook tijdelijk personeel dat wordt ingehuurd of personen die stage lopen binnen het werkgebied. Voor alle betrokken personen moet voorafgaande aan de werkzaamheden een toets worden uitgevoerd op een eventueel relevant crimineel verleden. Dat kan door het aanvragen en overleggen van een verklaring omtrent het gedrag (VOG). Deze VOG vraagt de toekomstige medewerker zelf aan in zijn woonplaats onder opgave van redenen van de aanvraag. Op basis van die aanvraag wordt door het Ministerie van Veiligheid en Justitie een verklaring afgegeven of tegen aanstelling in die functie wel of geen bezwaar bestaat. Als we spreken over competenties in het proces reisdocumenten gaat het er ook om of de medewerker voldoende gekwalificeerd is om de soms delicate werkzaamheden naar behoren te verrichten. Hiervoor staan opleidingen en trainingen open. De opleidingen zijn gecertificeerd en leiden tot diplomering na behaalde examens. Helaas blijkt een creatief gebruik van grafische programma’s op computers en aanbod op internet nog wel eens te leiden tot de aanmaak en afgifte van diploma’s waarvoor de persoon geen examen heeft afgelegd. In de drang om een aanstelling te verkrijgen vindt op dit punt steeds minder terughoudendheid plaats. Reden genoeg om bij de betreffende onderwijsinstelling te Pagina 31 van 40


verifiëren of de sollicitant inderdaad in het opgegeven jaar is afgestudeerd en het overgelegde diploma heeft behaald. Een ander aandachtsgebied om te controleren is de juistheid van het CV. Uit zowel nationale als internationale onderzoeken is gebleken dat in ruim 70% van de aangeboden Cv’s onjuistheden zijn opgenomen. Voormalige werkervaring wordt overdreven, vaardigheden en persoonlijke eigenschappen worden gekleurd naar de vacature en als je de tijdtabel goed volgt, blijkt er niet zelden sprake te zijn van overlappingen in het CV. Daarentegen worden gaten in het CV, bijvoorbeeld als gevolg van tijdelijke werkloosheid of ziekte, niet gemeld. Aan de hand van de controle van het CV kan een beeld worden verkregen van de betrouwbaarheid van de sollicitant. Het is belangrijker dat iemand eerlijk is over zijn verleden en die bespreekbaar maakt, dan dat er zaken verzwegen worden. Vraag 72 De werkzaamheden in het proces reisdocumenten zijn delicaat en verlangen een grote mate van vakkennis, nauwkeurigheid en betrouwbaarheid. Dit betekent dat voor die functie minimale kennis en vaardigheden moet zijn voorgeschreven. Deze gelden dan als norm bij het aantrekken van vast of tijdelijk personeel. Zou deze norm ontbreken dan kan het resultaat zijn dat ook mensen worden benoemd in die functie, die niet over de benodigde competenties beschikken. Dat levert een risico op voor zowel de medewerker zelf, de inwoners en houders van reisdocumenten, maar ook kan er sprake zijn van een integriteitsrisico dat afstraalt op de gehele afdeling of zelfs de reputatie van de gemeente kan aantasten. De minimale kennis en vaardigheden behoren te zijn vastgesteld. Vraag 73 De burgemeester is de autoriteit in het kader van de Paspoortwet. De eindverantwoordelijkheid berust slechts bij de burgemeester die voor de uitvoering van diverse taken functionarissen moet aanwijzen. In het proces reisdocumenten moet in ieder geval een aanwijzing plaatsvinden van:  ten minste één beveiligingsfunctionaris (de controller op het beveiligingsproces)  ten minste twee autorisatiebevoegden aanvraagstation per uitgiftelocatie (belast met het aanvragen, uitreiken en intrekken van autorisaties in het aanvraagsysteem)  ten minste drie ontvangstbevoegden (belast met het in ontvangst nemen van de zending reisdocumenten van de distributeur. Op basis hiervan ontvangen zij een persoonlijke en gewaarmerkte postmachtiging) Pagina 32 van 40






de medewerkers die bevoegd zijn om een aanvraag voor een reisdocument in behandeling te nemen. Dit zijn doorgaans de medewerkers op de afdeling Burgerzaken de medewerkers die bevoegd zijn om een aangevraagd reisdocument te mogen uitreiken. Ook dit zijn doorgaans de medewerkers hiervoor genoemd, maar in de praktijk en uitvoering zal dit zodanig ingericht moeten zijn dat sprake is van functiescheiding tussen het in behandeling nemen van een aanvraag en het ook zelf uitreiken van het document van die aanvraag.

Vraag 74 De beveiligingsfunctionaris mag op geen enkele wijze betrokken zijn en dus een taak hebben in het reguliere reisdocumenten proces. Dit betekent dus dat deze medewerker geen aanvragen in behandeling mag nemen, geen beheersactiviteiten mag uitvoeren en geen documenten mag uitreiken. Vraag 75 De beveiligingsfunctionaris wordt in veel gevallen gevonden buiten de afdeling die zich bezig houdt met reisdocumenten. Denk hierbij aan financiën, planning en control of informatiebeheer. Ook wordt deze functie wel extern betrokken, bijvoorbeeld bij een samenwerkende buurgemeente of bij externe deskundigen van particuliere bedrijven. De taken en functies van de beveiligingsfunctionaris moeten zijn beschreven in een aparte taak- en functie omschrijving. Dit levert nog wel eens spanning op met gemeenten met een generaal functiegebouw, maar de wet schrijft voor dat deze functie moet zijn beschreven. Hiervoor zou een aanwijzingsbesluit van de burgemeester waarin in een bijlage de taakomschrijving wordt beschreven worden gebruikt. Vraag 76 De autorisatiebevoegde voor het aanvraagstation en het RAAS is rechtstreeks verantwoording verschuldigd aan de burgemeester. Vraag 77 Niet altijd begrijpen medewerkers welke risico’s er verbonden zijn aan het werken met reisdocumenten. Als het risicobewustzijn laag is, dan zullen voorgeschreven beveiligingsprocedures ook niet altijd goed worden nageleefd. Een reisdocument bezorgt iemand een identiteit en met die identiteit zijn belangrijke voordelen te behalen. Het misbruik van identiteit is een groot maatschappelijk probleem en veroorzaakt ieder jaar weer veel persoonlijke en maatschappelijke schade. Omdat het werken met reisdocumenten risico’s kent is het belangrijk dat medewerkers daarvan op de hoogte zijn en blijven. Pagina 33 van 40


Ten minste eenmaal per jaar is een instructie voorgeschreven, zodat medewerkers weer op de hoogte zijn van de risico’s, bestaande of nieuwe procedures en het belang daarvan voor zowel henzelf, de gemeente en de inwoners. Vraag 78 In de omgang met vertrouwelijke gegevens moet je continue bewust zijn van het feit dat anderen mogelijk belang hebben bij de kennis die jij hebt. Om duidelijk te maken dat bepaalde gegevens vertrouwelijk zijn en om geheimhouding vragen, is het verstandig deze als zodanig te classificeren. Dat betekent dat er zichtbaar op het gegeven wordt vermeld dat geheimhouding wordt verlangd. In de basisregistratie personen is dat uiteraard gangbaar, maar dit geldt ook voor de gegevens in de reisdocumentenadministratie. Uitdraaien uit het systeem, aanvraagformulieren en brondocumenten zijn zo maar een paar voorbeelden van harde kopieën die ook als zodanig moeten zijn gewaarmerkt en worden behandeld. Om te voorkomen dat dit proces te gemakkelijk verwaterd, is het aanwijzen van een eigenaar van de informatie essentieel. Deze eigenaar is daarmee verantwoordelijk voor het gehele systeem van geheimhouding en bepaalt wie, met welk doel en op welke manier gebruik mag maken van de vertrouwelijke gegevens. Deze handelswijze moet zijn beschreven in een procedure, waarmee de werkwijze en de van toepassing zijnde taken en verantwoordelijkheden zijn vastgelegd. In hetzelfde licht zal een vast omschreven werkwijze moeten zijn vastgelegd als er toch sprake is van onrechtmatige kennisneming. In een dergelijke procedure worden stappen en maatregelen beschreven die er voor zorgen dat de eventuele schade die uit dit onrechtmatige gebruik voortvloeien, zoveel mogelijk beperkt blijft. Hiertoe behoort zowel een externe activiteit zoals het doen van aangifte bij de politie, maar ook een interne activiteit die zich richt op eventuele disciplinaire maatregelen tegen de medewerker die de geheimhouding of vertrouwelijkheid heeft geschonden. Om geheimhouding en vertrouwelijkheid te waarborgen is het zaak om een gebruiker van de reisdocumentenadministratie zorgvuldig te informeren en te laten tekenen voor geheimhouding. Ook het afleggen van de ambtseed of ambtsbelofte komt hierbij in beeld. De regels voor geheimhouding zijn van toepassing op medewerkers in dienst van de gemeente, maar moeten ook worden toegepast op tijdelijke medewerkers (ingehuurd personeel) en stagiaires.

Pagina 34 van 40


Vraag 79 Om te sturen op het juiste beveiligingsgedrag moet dit ook onderdeel uitmaken van het bespreken van het functioneren van de medewerker. Door het juiste of eventueel onjuiste gedrag te benoemen in het functioneringsgesprek kan enerzijds de motivatie en de bewustwording toenemen en anderzijds corrigerend worden opgetreden bij nalatigheid. Immers een medewerker die beveiligingsprocedures niet opvolgt is niet alleen een risico voor zichzelf, maar ook voor collega’s. Vraag 80 Een agressieprotocol moet duidelijk maken wat van de burger, maar ook van de medewerker verwacht mag of moet worden. Bijvoorbeeld het moment waarop de dienstverlening wordt gestaakt omdat er sprake is van agressief gedrag. Het kunnen omgaan met agressie is niet alleen een kwestie van techniek of organisatie, er wordt van de medewerker ook het nodige verwacht. Agressie hoort nooit standaard tot het werk, maar het is ook niet meer weg te denken. Dit betekent dat bij medewerkers op dat gebied competenties moeten worden ontwikkeld en onderhouden. Periodieke training en het ontwikkelen van vaardigheden om goed met agressie om te kunnen gaan zorgt voor verbetering van de veiligheid en de betrouwbaarheid van de dienstverlening. Vraag 81 Een toegangscontrolesysteem bestaat niet alleen uit technische voorzieningen. Juist de organisatorische kant van een dergelijk systeem is bepalend voor de kwaliteit en effectiviteit. Zo zal vooraf bepaald moeten worden welke personen, voor welk doel en binnen welke tijd toegang hebben tot de afgesloten ruimten. Dit wordt wel het toegangsprofiel genoemd. Per functie in de organisatie kan dan worden bepaald welk toegangsprofiel nodig is bij de betreffende functie. Het ligt voor de hand dat de systeemen netwerkbeheerder toegang heeft tot de serverruimte, maar voor de medewerker op een afdeling onderwijs is dit bijvoorbeeld totaal overbodig. Een goed systeem is dan ook zo ingericht en wordt zodanig beheerd dat alleen toegang wordt verleend als het strikt noodzakelijk is. Om daar grip op te houden is het belangrijk dat iemand uit de organisatie beslissingsbevoegdheid krijgt om te bepalen of toegang wordt verleend of niet. Bij voorkeur is dit de leidinggevende van de betreffende risicoruimte. Als dan de feitelijke autorisatie op een kaart of tag wordt verricht door de applicatiebeheerder van dat systeem, hebben we gelijk weer functiescheiding ingebouwd. Dit verhoogt de integriteit en transparantie, zeker wanneer hier een goede procedure voor bestaat en de toegangsautorisatie schriftelijk wordt Pagina 35 van 40


gedocumenteerd. In dat verband kan aan de verkrijger van toegang ook een informatieblad worden uitgereikt waarmee deze wordt geïnformeerd wat van hem of haar wordt verlangd en vereist in het kader van toegang tot ruimten. Natuurlijk komt het ook voor dat mensen toegang moeten hebben tot ruimten, maar functioneel niet beschikken over die autorisatie of zelfs helemaal geen kaart of tag hebben. Denk hierbij aan collega’s van andere afdelingen, maar ook leveranciers of bezoekers. Het spreekt vanzelf dat deze ook toegang moeten kunnen krijgen als dat nodig is. In dat geval wordt iemand toegelaten en blijft onder voortdurende begeleiding van bevoegde medewerkers. Het beveiligen van gevoelige ruimten begint met het reguleren van toegang tot die ruimten. Dat impliceert dat risicovolle ruimten per definitie zijn afgesloten en dat de toegang wordt gereguleerd. Dit kan traditioneel met het verstrekken van een sleutel, maar dit is weinig efficiënt en weinig flexibel. Het verlies van één sleutel kan namelijk al betekenen dat meerdere sloten op deuren moeten worden vervangen. Een kostbare aangelegenheid! Toch is de toepassing van sleutels ook te definiëren als een toegangscontrolesysteem. In de praktijk gebeurt dit echter veel beter en logischer met een elektronisch toegangscontrole systeem. Hierbij is het traditionele slot vervangen door een elektrisch slot dat wordt geopend door het aanbieden van een kaartje of een tag. Een belangrijk voordeel is dat snel en kostenefficiënt kan worden gehandeld als een toegangsmiddel verloren raakt. In de bijbehorende software wordt de kaart ongeldig gemaakt en wie de kaart ook vindt, gebruiken kan dan niet meer. Vraag 82 Buiten de werkuren moeten de van de leverancier ontvangen reisdocumenten, de ingehouden reisdocumenten, de opslagmedia, de documentatie en de overige materialen worden opgeslagen in een inbraak vertragende en brandwerende voorziening, zoals een gesloten inbraak werende waardekast of kluis, met een waardebergingsindicatie van € 1.000, -. Deze voorziening moet in een af te sluiten ruimte zijn geplaatst. Vraag 83 Binnen een beveiligd gebied waarvoor een toegangsregime bestaat, kan nog een kleinere ruimte bestaan die slechts voor een nog selectiever aantal personen toegankelijk is. De kluis(kast) waar reisdocumenten en andere waardevolle zaken buiten werktijd worden opgeslagen, moet zich bij voorkeur in zo’n aparte ruimte bevinden. In de praktijk zien we op de afdeling Burgerzaken een zogenaamde archiefruimte of archiefkluis. Hierin Pagina 36 van 40


staan brondocumenten opgeslagen en bevindt zich ook de kluis(kast). Door deze ruimte af te sluiten en onder detectie te plaatsen, kan op de afdeling nog worden gewerkt terwijl de waardevolle documenten voorwerpen zijn opgeborgen en afgesloten. De kluis moet een inbraak vertragende en brandwerende voorziening zijn, zoals een gesloten inbraak werende waardekast of kluis, met een waardebergingsindicatie van € 1.000, -. Vraag 84 Met een kluis(kast) weten we meestal nog wel raad om deze in een aparte afsluitbare en gedetecteerde ruimte te plaatsen. Lastiger wordt het om deze eis ook te behalen voor het aanvraagstation. Deze maakt meestal een geïntegreerd deel uit van het vaste balie meubilair. Het aanvraagstation is verbonden met netwerkkabels op de ICT infrastructuur. Het is vanzelfsprekend niet aan te raden deze bekabeling regelmatig of zelfs dagelijks los te maken om de apparatuur op te kunnen bergen. Dit impliceert wel dat het achterlaten op ‘open’ balies van het aanvraagstation niet voldoet aan de beveiligingseisen. Er zal daarom gezocht moeten worden naar mogelijkheden om de balie in zijn geheel af te sluiten of de apparatuur zodanig in het balie meubilair op te nemen dat deze aan het einde van de werkdag kan worden afgesloten. Alleen op deze manier is het aanvraagstation onbereikbaar voor onbevoegden. De eis is voorts dat deze apparatuur zich in een beveiligde (gedetecteerde) ruimte bevindt. Dit is of de ruimte waarin de balies zich bevinden of eventueel de afgesloten kast waarin de apparatuur staat opgesteld. Vraag 85 In de ruimten waar wordt gewerkt met reisdocumenten is de aanwezigheid van een elektrotechnisch inbraakdetectie systeem (IDS) verplicht. Als dit systeem is ingeschakeld zullen ongewenste betreding en beweging worden gesignaleerd. Dit leidt tot een alarmering en het op een of andere wijze opvolgen van dit alarm. Hiermee moet worden voorkomen dat onbevoegden toegang hebben tot de werkruimte en onbespied hun slag kunnen slaan. Het IDS moet dan ook worden ingeschakeld op ieder moment dat er geen bevoegd personeel meer aanwezig is. Dat betekent dus ook bij een eventuele middagsluiting of korte onderbreking voorafgaande aan de avondopenstelling. Het is belangrijk dat het in- en uitschakelen van het IDS wordt uitgevoerd door bevoegde medewerkers van de afdeling Burgerzaken. Let hierbij overigens ook op de schoonmaakwerkzaamheden die op de afdeling moeten plaatsvinden. Bepaal of u de schoonmaakmedewerkers wilt benoemen als bevoegd personeel of dat u de Pagina 37 van 40


schoonmaakwerkzaamheden uit wilt laten voeren bij aanwezigheid van medewerkers Burgerzaken. Het is niet goed wanneer het IDS pas wordt ingeschakeld gelijktijdig met het hele pand. Hierdoor kan het namelijk gebeuren dat tijdens avondvergaderingen, de afdeling niet is bemand maar ook geen detectie is ingeschakeld. Vraag 86 Het inbraakdetectie systeem meldt verdachte situaties aan een particuliere alarmcentrale. Deze ontvangt de melding en stelt een opvolgingsprotocol in werking. Naast het waarschuwen van de politie kan dit bijvoorbeeld ook gelijktijdig waarschuwen inhouden van een externe beveiligingsdienst of eigen medewerkers van de gemeentelijke organisatie, die als sleutelhouder zijn aangewezen. Vraag 87 Risicovolle materialen zijn alle materialen die een functie vervullen in het totale reisdocumentenproces. Dit omvat dus o.a. het aanvraagstation, de vingerafdruklezer, fotohandtekeningenkaarten, de reisdocumenten, en o.a. de bijlagen bij de aanvraag. In feite alle materialen die noodzakelijk zijn in het proces. Vraag 88 Met de toename van agressiviteit en tegelijkertijd ook de verharding daarvan, is het nodig om maatregelen te treffen die de medewerkers van de organisatie beschermen tegen uitwassen van agressie en geweld. Een technisch systeem in de vorm van knoppen bij balies en spreekkamers, waarmee onraad kan worden gemeld, is daar een voorbeeld van. Daarbij hoort dan ook een organisatorisch plan om te zorgen dat er adequate medewerkers beschikbaar zijn om te helpen (te interveniëren) als er sprake is van een situatie waarin een medewerker zich bedreigd voelt. Een veilige inrichting van balies en spreekkamers draagt in belangrijke mate bij aan de veiligheid. Vraag 89 Bedoeld wordt een leeg en opgeruimd kantoor of bureau. Vaak wordt deze term verward met ‘clean desk’, maar dan doelen we veel eerder op schoonmaak activiteiten. We gaan hierna in op de beveiligingsaspecten, maar het is wel goed om even de aandacht te vestigen op het feit dat van een clean desk nooit sprake kan zijn als er geen clear desk is! Eens te meer een reden om invulling te geven aan clear desk. In geautomatiseerde systemen maken we gebruik van inlognamen en wachtwoorden, controle op autorisaties, gebruikersprofielen en andere vernuftige procedures om te zorgen dat uitsluitend personen kennis nemen van informatie waartoe zij bevoegd zijn. Pagina 38 van 40


In schril contrast daarmee staat de zorg voor dezelfde informatie die te lezen is op formulieren, uitdraaien, kopieën die we voor ons dagelijkse werk nodig hebben en die op onze bureaus liggen. Deze informatie is voor iedereen die zich in de nabijheid van deze documenten bevindt leesbaar, bevoegd of niet bevoegd. Het zal niet verbazen dat aan het einde van de werkdag gevoelige informatie op de bureaus achterblijft, kennelijk omdat er de volgende dag weer mee gewerkt mag worden. Onterecht en onzorgvuldig. Net zo goed als dat geautomatiseerde systemen moeten worden uitgelogd, of ten minste na maximaal 15 minuten schermbeveiliging of toetsenbord beveiliging moet zijn ingeschakeld bij het verlaten van de werkplek, behoort papieren informatie opgeborgen te worden achter slot en grendel. Iedereen blijft zelf verantwoordelijk voor het voorkomen van onterechte kennisname en bescherming van de gegevens van betrokkenen. De wens tot meer flexibiliteit en kostenbeheersing zorgt er voor dat we nu veel meer gedeelde werkplekken hebben en centrale voorzieningen, zoals multifunctionele apparaten die kunnen printen, kopiëren, scannen en faxen. De beveiliging van informatie in dit soort apparaten vraagt om bijzondere aandacht. Juist omdat zij op een centraal toegankelijke plaats staan, is het van belang om documenten daar niet onbeheerd in uit te laten komen of achter te laten. Vraag 90 Een procedure heeft alleen zin als alle medewerkers bekend zijn met de procedure en ook handelen zoals beschreven in de procedure. De sleutelprocedure voor de beveiligde ruimte is een voorbeeld van een procedure die bij de betreffende medewerkers goed bekend en ook altijd actueel moet zijn. Vraag 91 Controle op het juiste gebruik van toegangsmiddelen is een stuk eenvoudiger als er gebruik wordt gemaakt van een geautomatiseerd toegangscontrole systeem met het gebruik van pasjes of keytags. In de applicatiesoftware kan dan vrij snel, concreet en per gebruiker of gebruikersgroep worden gezien of het toegangsmiddel juist wordt gebruikt. Vraag 92 Het elektrotechnisch inbraak detectiesysteem moet tenminste eenmaal per jaar op juiste werking worden gecontroleerd. Om aan certificering te (blijven) voldoen is een jaarlijkse inspectie, onderhoud en tijdige vervanging van onderdelen voorgeschreven.

Pagina 39 van 40


Vraag 93 Het technisch beheer van dit systeem is meestal ondergebracht bij de gebouwbeheerder of facilitaire dienst van de gemeente. Soms kan deze zorg ook worden geboden door een externe leverancier of de installateur van het inbraak detectie systeem. Het systeem wordt overigens ook verplicht iedere dag gecontroleerd, in ieder geval voor wat betreft de verbindingen en de test op alarmering.

Pagina 40 van 40

Handleiding Zelfevaluatie Paspoorten en NIK aangewezen gemeenten

Recommend Documents