Uitvoering periodieke GBA-audit

Geraadpleegd op 29-03-2024.
Geldend van 01-07-1999 t/m heden

Uitvoering periodieke GBA-audit

Aan:
-het College van buremeester en wethouders
-i.a.a de hofden burgerzaken en de audit-instellingen

Bijgaand informeer ik u omtrent de wijze van uitvoering van de verplichte periodieke controle van de gemeentelijke basisadministraties (verder: GBA-audit).

De periodieke audit maakt onderdeel uit van het wetsvoorstel tot wijziging van de Wet GBA dat momenteel bij de Tweede Kamer aanhangig is (kamerstukken II, 1998-1999, 26 228). Om de aangekondigde uitvoering van de audits op tijd te kunnen starten en een soepel verloop daarvan te waarborgen, is vooruitlopend op de inwerkingtreding van deze wetswijziging, die zal terugwerken tot 1 juli 1999, de inhoud van de beoogde regelgeving betreffende de GBA-audit in deze circulaire opgenomen. Deze circulaire vervalt van rechtswege op het moment dat de wetswijziging in werking treedt.

De geplande ingangsdatum van de audit was 1 juli 1999. Deze datum is evenwel niet haalbaar gebleken. In het kader van het aanwijzen van audit-instellingen voor de GBA-audit heeft een examen plaatsgevonden. Als gevolg van onvolkomenheden bij dit examen waren de resultaten ervan niet bruikbaar om tot aanwijzing van auditoren te kunnen overgaan. Daarom is in overleg met de audit-instellingen besloten tot een nieuw examen, dat in week 26 en in verband met de vakantieperiode eveneens medio augustus zal worden afgenomen.

Gezien het bovenstaande is de feitelijke start van de GBA-audit met twee maanden verschoven naar 1 september 1999. De gemeenten waar de uitvoering van de GBA-audit voor de tweede helft van 1999 was gepland, worden geacht de GBA-audit in de maanden september tot en met december 1999 te laten uitvoeren, met de mogelijkheid van een geringe uitloop in het begin van het jaar 2000. De betrokken gemeenten worden binnenkort nog separaat bij brief geïnformeerd.

In deze circulaire komen achtereenvolgens de volgende onderwerpen aan de orde:

  • Algemeen: achtergrond en doel van de GBA-audit, de in deze circulaire gehanteerde definities, de inplanning van de gemeenten in de auditperiode, de onderdelen van de GBA-audit, de audit-instellingen en de kosten van de GBA-audit (Hoofdstuk 1);

  • De wijze van uitvoering van het inhoudelijke deel van de audit (Hoofdstuk 2);

  • De wijze van uitvoering van het procesmatige deel van de audit (Hoofdstuk 3);

  • De audit-rapportage (Hoofdstuk 4);

  • De verplichting tot heraudit (Hoofdstuk 5).

Hoofdstuk 1. Algemeen

1.1. Achtergrond en doel van de GBA-audit

Een gezamenlijke werkgroep van de Nederlandse Vereniging voor Burgerzaken (NVVB), de VNG en het toenmalige GBA projectbureau onderkende reeds kort na de invoering van de GBA de noodzaak voor onderzoek naar de mogelijkheden van een verplichte periodieke audit. Daarnaast heeft de Algemene Rekenkamer in oktober 1996 het rapport ‘Gemeentelijke Basis Administratie’ aangeboden aan de Tweede Kamer (Kamerstukken II, 1996-97, 25 040, nrs. 1-2). In dat rapport wordt opgemerkt dat de minister van Binnenlandse Zaken over instrumenten zou moeten beschikken om de kwaliteit van het GBA-stelsel structureel te bewaken. Naar aanleiding van de bespreking van het rapport in de Tweede Kamer heeft de regering aangekondigd een verplichte periodieke audit in te willen voeren (Kamerstukken II, 25 040, nr. 3).

Inmiddels hebben vertegenwoordigers van de gemeenten en afnemers van de GBA ingestemd met de uitgangspunten en de opzet van de GBA-audit. Deze zijn neergelegd in het bovengenoemd wetsvoorstel.

De verplichte audit is ontstaan vanuit de behoefte om binnen het GBA-kwaliteitssysteem een periodieke meting van de kwaliteit van de gegevens te laten uitvoeren. Een regelmatige meting geeft immers inzicht in de kwaliteit van de GBA als geheel en binnen elke gemeente afzonderlijk. Aan de hand van dat inzicht kunnen zonodig aanvullende maatregelen ter handhaving van de kwaliteit van de GBA worden getroffen.

1.2. Definities

In deze circulaire wordt verstaan onder:

  • audit-instelling: het bedrijf dat door de Minister voor Grote Steden- en Integratiebeleid is aangewezen om de audit als bedoeld in de hoofdstukken 2 en 3 van deze circulaire uit te voeren;

  • auditor: de medewerker van de audit-instelling die het inhoudelijke deel van de audit namens de audit-instelling zal gaan uitvoeren dan wel uitvoert of de medewerker van de audit-instelling onder wiens verantwoordelijkheid het procesmatige deel van de audit namens de audit-instelling zal worden uitgevoerd dan wel wordt uitgevoerd;

  • auditee: de gemeente die onderwerp is van de audit.

1.3. De inplanning van gemeenten in de auditperiode

De audit heeft een periodiciteit van drie jaar. Dat betekent dat iedere gemeente eens in de drie jaar een audit zal moeten laten uitvoeren. Om diverse redenen is het van belang dat zowel het aantal audits als de verhouding tussen grote, middelgrote en kleine gemeenten jaarlijks ongeveer gelijk zijn. Een reden is de verdeling van de werklast voor de beschikbare auditoren. Daarnaast kan een gelijkmatiger verdeling van de kosten worden bereikt en zullen ook de resultaten van het ene jaar statistisch te vergelijken zijn met de resultaten van een volgend jaar.

Om deze redenen is gekozen voor een verdeling van de gemeenten over zes tijdvakken van elk zes maanden. Gemeenten zijn verplicht de periodieke audit binnen het met hen overeengekomen tijdvak van zes maanden uit te laten voeren. De verdeling is in beginsel slechts eenmalig, aangezien gemeenten vervolgens op grond van de wet verplicht zijn een volgende audit binnen drie jaren uit te laten voeren. Slechts ingeval van een gemeentelijke herindeling zal de planning aanpassing behoeven.

De definitieve inplanning van gemeenten voor de komende drie jaren (te rekenen vanaf 1 juli 1999) is na horen van de gemeenten vastgesteld. Deze indeling is als bijlage 1 bij deze circulaire gevoegd.

1.4. De onderdelen van de GBA-audit

De GBA-audit bestaat uit twee onderdelen:

– een inhoudelijk deel, bestaande uit een controle van een aantal persoonslijsten en – een procesmatig deel, bestaande uit een globaal onderzoek naar bepaalde processen rond de basisadministratie op basis van een door de auditee voorafgaand aan de uitvoering van het procesmatige deel van de audit ingevulde vragenlijst.

Het inhoudelijke deel van de audit

Het doel van het inhoudelijke deel van de audit is het verkrijgen van inzicht in de kwaliteit van zowel de GBA-bestanden van de respectievelijke gemeenten (met name van belang voor de betreffende gemeente zelf) als in de kwaliteit van de GBA als geheel (met name van belang voor de minister, die een toezichthoudende en controlerende rol vervult). Aan de hand van dat inzicht kunnen zonodig maatregelen worden genomen ter bevordering en handhaving van de kwaliteit van de GBA.

Daartoe wordt een niet-selecte steekproef getrokken van de beschikbare (waaronder ook een aantal opgeschorte) persoonslijsten van de gemeente. Deze zullen vervolgens worden gecontroleerd aan de hand van de eisen die uit de wet- en regelgeving voortvloeien. Een onderdeel van die controle is de vergelijking van de gegevens die op de persoonslijsten zijn opgenomen met de in de gemeente aanwezige brondocumenten. In het inhoudelijke deel van de audit worden tevens enkele specifieke, select getrokken, persoonslijsten gecontroleerd. Het gaat hierbij om persoonslijsten met foutgevoelige situaties.

Het procesmatige deel van de audit

Naast het inhoudelijke deel bestaat de GBA-audit uit een procesmatig deel. Het doel van dithet procesmatige deelvan de audit is tweeledig. Ten eerste dat wordt vastgesteld of ten aanzien van de onderdelen back-up en herstel en uitwijk de voorgeschreven maatregelen zijn getroffen en welke risico’s zijn te onderkennen. Ten tweede dat de gemeenten ten aanzien van het onderdeel beveiliging een spiegel krijgen voorgehouden. Gemeenten worden gewezen op risico’s die eventueel bestaan, gezien de opzet van het geheel aan maatregelen die het gemeentebestuur heeft getroffen om de beveiliging op een verantwoorde wijze te kunnen uitvoeren. Gezien de beperkte tijd die voor het procesmatige deel is ingeraamd, wordt niet onderzocht in hoeverre de werking van de beveiliging overeenkomt met de opzet. Uitgangspunt is dat de werking conform de opzet is en andersom.

Voor dit procesmatige deel dient de door de auditee vooraf ingevulde vragenlijst als referentiekader. Gezien de beperkte tijd die voor de uitvoering van het procesmatige deel van de audit is ingeruimd, wordt bij de beoordeling uitgegaan van de situatie zoals die uit de vragenlijst blijkt. De vragenlijst is als bijlage 4 van deze circulaire opgenomen.

Ook voor dit onderdeel van de audit geldt de GBA-regelgeving als toetsingskader.

1.5. De audit-instellingen

De GBA-audit zal worden uitgevoerd door instellingen die door de Minister voor Grote Steden- en Integratiebeleid daartoe zijn aangewezen. De kandidaat-instellingen zijn voorafgaand aan de aanwijzing getoetst door de Raad voor Accreditatie. Na aanwijzing vindt jaarlijks een toetsing op onderdelen plaats.

De Raad voor Accreditatie is een onafhankelijke stichting die ten behoeve van de overheid, het bedrijfsleven en consumentenorganisaties toezicht houdt op instellingen in de publieke en private sector, die de kwaliteit beoordelen van onder andere producten en werkprocessen.

Een aanwijzing wordt niet gegeven dan nadat de toets met positief resultaat is afgerond.

Gemeenten zijn vrij in hun keuze tussen de aangewezen audit-instellingen.

De criteria op grond waarvan de toets plaatsvindt zijn ter kennisneming als bijlage 2 opgenomen bij deze circulaire. Gemeenten zullen via een periodiek in de Staatscourant gepubliceerde lijst op de hoogte worden gehouden van de gegeven aanwijzingen. Deze lijst zal tevens worden geplaatst op de website van het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten (BPR) op Internet (www.bprbzk.nl).

1.6. De kosten van de GBA-audit

Het gemeentebestuur is, als houder van de gemeentelijke basisadministratie, verantwoordelijk voor de basisadministratie, en zal dan ook de opdracht verstrekken aan de als zodanig aangewezen audit-instelling van zijn keuze. De audit-instelling ontvangt de betaling voor de uitvoering van de audit van het gemeentebestuur. Nadat een afschrift van de managementsamenvatting van de audit-rapportage, bedoeld in hoofdstuk 4 van deze circulaire, door het gemeentebestuur aan het ministerie van Binnenlandse Zaken en Koninkrijksrelaties is gezonden 1, ontvangt de gemeente van het ministerie de vastgestelde vergoeding voor de kosten die zij in het kader van de GBA-audit heeft gemaakt.

De hoogte van de vergoeding is gerelateerd aan het aantal inwoners in de gemeente volgens de laatst door het Centraal Bureau voor de Statistiek (CBS) gepubliceerde cijfers. De vergoedingen voor de in 1999 uitgevoerde audits bedragen:

  • aan gemeenten met minder dan 20.000 inwoners: f 5.167,-;

  • aan gemeenten van 20.000 tot 100.000 inwoners: f 7.750,-;

  • aan gemeenten van 100.000 of meer inwoners: f 10.333,-.

De bedragen worden jaarlijks geïn-dexeerd. De basis voor de indexering is het eerste in een jaar door het Centraal Bureau voor de Statistiek bekend gemaakte voorlopige indexcijfer voor de ‘CAO-lonen per uur inclusief bijzondere beloningen voor de commerciele dienstverlening’ over het aan de indexering voorafgaande jaar.

Indien onverhoopt blijkt dat een gemeente niet voldoet aan de gestelde eisen en verplicht wordt om een heraudit als bedoeld in hoofdstuk 5 van deze circulaire te laten uitvoeren, zijn de kosten van de heraudit voor rekening van de auditeegemeente zelf.

1.7. Aanvullende vragenlijst over privacy-aspecten rond de basisadministratie (optioneel)

De GBA-audit heeft een verplicht karakter. Daarnaast hebben gemeenten de mogelijkheid om door middel van de invulling van een vragenlijst de kwaliteit van de getroffen maatregelen en voorzieningen in het kader van de privacy-bescherming te laten toetsen door de Registratiekamer. Deze vragenlijst maakt geen deel uit van de GBA-audit en de invulling daarvan gebeurt op vrijwillige basis.

De gemeenten kunnen in de vragenlijst die in het kader van het procesmatige deel van de audit moet worden ingevuld aangeven of ze de bovenbedoelde vragenlijst willen invullen (zie bijlage 4, onderdeel 11).

De gemeenten die bevestigend hebben geantwoord zal in september 1999 de vragenlijst worden toegestuurd. Op basis van de ingevulde vragenlijsten dan wel op grond van het feit dat een gemeente geen vragenlijst heeft ingevuld kan de Registratiekamer besluiten een onderzoek ter plekke naar de privacy-aspecten rond de basisadministratie van de betreffende gemeente uit te voeren.

Gezien het vrijwillige karakter van dit onderzoek worden de kosten die verbonden zijn aan de uitvoering ervan niet vergoed door de Minister voor Grote Steden- en Integratiebeleid, maar komen voor rekening van de auditee zelf.

Hoofdstuk 2. De wijze van uitvoering van het inhoudelijke deel van de audit

2.1. Niet-selecte steekproef

De audit-instelling waarnaar is verwezen in onderdeel 1.2. voert het inhoudelijke deel van de audit uit overeenkomstig de volgende eisen:

2.1.1. Er wordt een niet-selecte steekproef getrokken uit de basisadministratie van de auditee.

2.1.2. De steekproef wordt getrokken uit de verzameling van actuele persoonslijsten en de persoonslijsten die vanwege de emigratie, een ministerieel besluit, bedoeld in artikel 32 van de Wet GBA of het overlijden van de ingeschrevene zijn opgeschort.

2.1.3. Het aantal te selecteren persoonslijsten is afhankelijk van het aantal inwoners in de gemeenten volgens de laatst door het Centraal Bureau voor Statistiek gepubliceerde cijfers:

  • tot 20.000 inwoners, 100 persoonslijsten;

  • van 20.000 tot 100.000 inwoners, 200 persoonslijsten;

  • vanaf 100.000 inwoners, 300 persoonslijsten.

2.1.4. 5 procent van de te selecteren persoonslijsten is opgeschort in verband met de in onderdeel 2.1.2. genoemde redenen.

2.2. Selecte steekproef

2.2.1. Naast de niet-select getrokken persoonslijsten, wordt ook een aantal select getrokken persoonslijsten gecontroleerd.

2.2.2. Het aantal select getrokken persoonslijsten is afhankelijk van het aantal inwoners in de gemeenten volgens de laatst door het Centraal Bureau voor Statistiek gepubliceerde cijfers:

  • tot 20.000 inwoners, 5 persoonslijsten;

  • van 20.000 tot 100.000 inwoners, 10 persoonslijsten;

  • vanaf 100.000 inwoners, 20 persoonslijsten.

2.2.3. De select getrokken persoonslijsten voldoen aan de criteria genoemd in bijlage 3 van deze circulaire.

2.3. Vormvereiste

2.3.1. De controles geschieden in beginsel aan de hand van afgedrukte persoonslijsten.

2.3.2. Ook indien de controles geheel of gedeeltelijk geschieden door middel van computers of geautomatiseerde uitrusting, worden de persoonslijsten afgedrukt.

2.4. Beoordelingscriteria

2.4.1. De gegevens van de persoonslijsten dienen opgenomen te zijn conform bij of krachtens de Wet GBA gestelde eisen, waaronder de in de systeembeschrijving GBA van toepassing verklaarde delen van het Logisch Ontwerp GBA (hierna aangeduid als LO).

2.4.2. In het kader van de toetsing van de eisen die voortvloeien uit de systeembeschrijving wordt onderzocht of:

  • a) de gegevens voldoen aan de eisen in het gegevenswoordenboek (LO bijlage I);

  • b) de tekens voorkomen in het overzicht van te gebruiken Teletex karakters (LO bijlage II);

  • c) de gegevens weergeven dat mutaties zijn uitgevoerd conform de in het LO beschreven actualiseringprocedures (LO hoofdstuk 3);

  • d) de gegevens weergeven dat bij het opnemen dan wel wijzigen van gegevens de voorschriften gesteld bij of krachtens de Wet GBA zijn gevolgd;

  • e) afnemersindicaties voorkomen op de persoonslijsten waar deze verwacht mogen worden;

  • f) de gegevens zijn ontleend aan bij of krachtens de Wet GBA genoemde brondocumenten.

2.4.3. Bepaalde voorschriften zijn in de loop der tijd gewijzigd. Uitgangspunt is dat een gegeven wordt getoetst aan het voorschrift dat gold op het moment waarop het gegeven werd opgenomen, tenzij later is aangegeven dat het betreffende gegeven gecorrigeerd moest worden omdat het bij opname gehanteerde voorschrift niet juist was.

Gegevens die ten tijde van de selectie van de persoonslijsten (zowel de niet-select getrokken als de select getrokken) niet conform de eisen waren opgenomen, maar naderhand zijn gecorrigeerd, worden aangemerkt als afwijkingen.

2.4.4. Beoordeeld wordt of de gegevens op de persoonslijsten inhoudelijk volledig overeenstemmen met de gegevens op het brondocument, waaraan zij zijn ontleend.

  • a) Voor wat betreft de niet- selecte steekproef geldt dat:

    • de controle alleen wordt uitgevoerd aan de hand van door de auditee gebruikte Nederlandse brondocumenten, (waarvan – indien niet bij de gemeente aanwezig – zonodig nogmaals een exemplaar kan worden verkregen2) en de brondocumenten die de auditee in het paspoortdossier heeft opgenomen;

    • de controle wordtin ieder geval uitgevoerd bij de helft van de getrokken persoonslijsten. De auditor bepaalt voorafgaand aan de uitvoering van audit door middel van het trekken van een niet-selecte steekproef van alle betrokken persoonslijsten bij welke Deze helft wordt door de auditor door middel van het trekken van een niet-selecte steekproef van alle betrokken persoonslijsten bepaald deze controle wordt uitgevoerd;

    • bij de andere helft van de niet-select getrokken persoonslijsten wordt alleen een controle uitgevoerd indien het vermoeden bestaat dat gegevens niet juist van het brondocument zijn overgenomen of geïnterpreteerd.

  • b) Bij de select getrokken persoonslijsten zoals bedoeld in onderdeel 2.2., wordt de controle uitgevoerd ten aanzien van de bij de desbetreffende specifieke situatie gehanteerde brondocumenten (waaronder ook buitenlandse brondocumenten).

2.5. Afwijkingen

Aangetroffen afwijkingen worden ingedeeld in drie foutklassen:

  • a) foutklasse A, voor afnemers cruciale gegevens, zijnde:

    • 01.01.10 A-nummer persoon

    • 01.02.30 voorvoegsel persoon

    • 01.02.40 geslachtsnaam persoon

    • 01.03.10 geboortedatum persoon

    • 05/55.01.10 A-nummer echtgenoot/geregistreerd partner

    • 05/55.03.10 geboortedatum echtgenoot/geregistreerd partner

    • 05/55.06.10 datum huwelijkssluiting

    • 05.07.10 datum huwelijksontbinding

    • 06.08.10 datum overlijden

    • 08.11.20 huisnummer

    • 08.11.30 huisletter

    • 08.11.40 huisnummertoevoeging

    • 08.11.60 postcode

    • 09.01.10 A-nummer kind

    • 09.03.10 geboortedatum kind

    • 14.40.10 afnemersindicatie;

  • b) foutklasse B, de overige algemene gegevens, alsmede van de bijzondere gegevens de groepen:

    • 12.35 Nederlands reisdocument

    • 12.36 Signalering

    • 12.37 Buitenlands reisdocument

    • 12.85 Geldigheid;

  • c) foutklasse C, de administratieve gegevens, alsmede van de bijzondere gegevens, de groepen:

    • 12.82 Document

    • 12.83 Procedure

    • 12.86 Opneming.

Het niet kunnen overleggen van een brondocument wordt aangemerkt als vallend in foutclasse C.

2.6. Weging van afwijkingen

Iedere aangetroffen afwijking wordt geteld als 1 fout.

Daarop zijn twee groepen uitzonderingen:

  • a)

    • de afwijkingen die op meerdere persoonslijsten zijn geconstateerd, die worden veroorzaakt doordat de GBA-applicatie op een bepaald aspect niet goed werkt/werkte of doordat een GBA-procedure bij een gemeente niet goed is/was; ;

    • de op één persoonslijst geconstateerde afwijkingen die met elkaar samenhangen dan wel worden veroorzaakt door één en dezelfde fout. en

    • de op één of meerdere persoonslijsten geconstateerde afwijkingen van het niet kunnen overleggen van een bepaald brondocument.

    Deze afwijkingen worden geteld als 1 fout en ingedeeld in de hoogste van toepassing zijnde foutklasse.

  • b)

    • de afwijkingen waarvan bij brief3 kenbaar is gemaakt dat deze bij de bepaling van het resultaat van het inhoudelijke deel van de audit niet als afwijking worden aangemerkt;

    • de afwijkingen waarvan in de Kwaliteisbrochures kenbaar is gemaakt dat deze in de GBA-audit niet als afwijking worden aangemerkt.

Deze afwijkingen worden niet als een fout geteld.

Hoofdstuk 3. Eisen met betrekking tot de wijze van uitvoering van het procesmatige deel van de audit

3.1. Algemeen

In het procesmatige deel van de audit worden procedures belicht, die door de auditee worden toegepast in het kader van uitwijk, back-up en herstel. Gezien het zeer brede terrein van met name het onderdeel beveiliging, de beperkte tijd die voor het procesmatige deel van de audit is ingeruimd en de verantwoordelijkheidsverdeling tussen gemeenten en het ministerie inzake deze processen, beperkt het procesmatige deel van de audit zich tot een vragenlijst. Deze vragenlijst is als bijlage 4 opgenomen in deze circulaire.

Overigens laat dit de verantwoordelijkheden van de gemeenten ten aanzien van de beveiliging van de gegevens in de GBA onverlet. Verwezen wordt naar de gangbare beveiligingsnormen in het Besluit voorschrift informatiebeveiliging rijksdienst 1994 (VIR), (Stcrt. 1994, 173), de Code voor Informatie-voorziening en het rapport Beveiliging van persoonsregistraties van de Registratiekamer.

De vragenlijst, die door of namens de houder van de basisadministratie – het gemeentebestuur – vooraf wordt ingevuld, dient, samen met de afschriften van de meest recente versies van desbetreffende documenten4, voor de auditor klaar te liggen.

De auditor kan naar eigen inzicht aanvullende vragen stellen aan en/of interviews houden met de voor de desbetreffende processen verantwoordelijke en uitvoerende personen (paragraaf 7.4.5. van het LO, zijnde:

  • degene die verantwoordelijk is voor de inhoud, integriteit en toegankelijkheid van de GBA-gegevens in de gemeente;

  • degene die verantwoordelijk is voor het goed functioneren van de toepassingsprogrammatuur bij de gemeente;

  • degene die verantwoordelijk is voor het goed functioneren van de apparatuur en systeemprogrammatuur bij de gemeente;

  • degene die verantwoordelijk is voor de bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de GBA opgenomen zijn;

  • degene die verantwoordelijk is voor het controleren en evalueren van de maatregelen voor de informatiebeveiliging;

  • degene die verantwoordelijk is voor een juiste bijhouding van de GBA.

De gemeente geeft vooraf aan bij wie genoemde verantwoordelijkheden zijn neergelegd en waar dat uit blijkt.

De auditor toetst of ten aanzien van de onderdelen back-up en herstel en uitwijk de voorgeschreven maatregelen zijn getroffen en welke risico’s daarbij zijn te onderkennen, alsmede of er ten aanzien van het onderdeel beveiliging risico’s zijn te onderkennen in de opzet van het geheel aan maatregelen die terzake zijn getroffen.

3.2. Back-up en herstel

Terzake gelden de eisen die zijn weergegeven in paragraaf 7.4.1 van het Logisch Ontwerp, zijnde:

  • 1) de GBA-gegevens zoals die 1 werkdag geleden waren, moeten te allen tijde kunnen worden gereconstrueerd en deze reconstructie mag hoogstens 1 werkdag in beslag nemen;

  • 2) de back-upgegevens moeten in een andere ruimte worden bewaard dan de ruimte waarin de GBA-apparatuur is opgesteld en bij voorkeur in een ander gebouw;

  • 3) een reconstructie van de mutaties die na de laatste back-up zijn aangebracht, moet mogelijk zijn en

  • 4) de gevolgen van verkeerd uitgevoerde systematische verstrekkingen moeten ongedaan kunnen worden gemaakt.

(Zie voor de betreffende onderdelen van de vragenlijst bijlage 4.)

3.3. Uitwijk

Hier geldt de eis die is weergegeven in paragraaf 7.4.1 van het LO, zijnde:

5) als het normale GBA-systeem langdurig buiten gebruik is gesteld, moet kunnen worden uitgeweken. (Zie het betreffende onderdeel in bijlage 4.)

3.4. Beveiliging

Op dit gebied geldt hetgeen in de paragrafen 7.3.3 en 7.3.5 van het LO is gesteld. Paragraaf 7.3.3 verwijst naar de artikelen 31 en 53 van het Besluit GBA.

Artikel 31 van het Besluit GBA stelt dat er voldoende voorzieningen moeten zijn getroffen van technische en organisatorische aard ter beveiliging van de in de GBA vermelde gegevens tegen verlies of aantasting van deze gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking van deze gegevens. Het daarin gestelde kan worden uitgesplitst naar de volgende aandachtsgebieden:

6) het systeem c.q. de methode voor het ontwikkelen, uitvoeren, meten c.q. controleren en bijsturen van beveiligingsmaatregelen;

7) de maatregelen van technische aard om verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking van deze gegevens te voorkomen;

8) de maatregelen van organisatorische aard om verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking van deze gegevens te voorkomen.

Artikel 53 van het Besluit GBA is van toepassing ingeval een gemeente gebruik maakt van een bewerker. In dat geval geldt.

9) dat er een systeem dient te zijn ter waarborging voor de gemeente dat de bewerker voldoet aan het gestelde in en krachtens artikel 53 van het Besluit GBA.

Tenslotte geldt in het kader van beveiliging nog hetgeen in paragraaf 7.3.5 staat, zijnde:

10) dat het transport van alternatieve media met GBA-berichten moet voldoen aan de geldende eisen. (Zie voor de betreffende onderdelen van de vragenlijst bijlage 4.)

Hoofdstuk 4. Eisen ten aanzien van de audit-rapportage

4.1. De inhoud van de audit-rapportage

De audit-rapportage bevat minimaal de volgende elementen:

  • a) de managementsamenvatting;

  • b) de bevindingen van het inhoudelijke deel van de audit;

  • c) de bevindingen van het procesmatige deel van de audit.

4.1.1. De managementsamenvatting

De managementsamenvatting bestaat in ieder geval uit de volgende elementen:

  • a) een passage waaruit blijkt welke auditor(en) het inhoudelijke deel van de audit heeft/hebben uitgevoerd, onder wiens verantwoordelijkheid het procesmatige deel van de audit is uitgevoerd en wanneer de GBA-audit is uitgevoerd. Indien sprake is geweest van uitbesteding door de audit-instelling, moet blijken welk deel aan welke instantie is uitbesteed;

  • b) een verklaring dat het inhoudelijke deel van de audit onderscheidenlijk het procesmatige deel van de audit niet, dan wel geheel of gedeeltelijk is uitgevoerd met behulp van computers en geautomatiseerde uitrusting;

  • c) de conclusies, onderverdeeld naar:

    – de niet-selecte persoonslijsten. Daarbij wordt per foutklasse aangegeven welke afwijkingen zijn aangetroffen en of de geldende norm is overschreden, zijnde bij:

    • · foutklasse A 1% van het aantal niet-select getrokken persoonslijsten;

    • · foutklasse B 5% van het aantal niet-select getrokken persoonslijsten;

    • · foutklasse C 10% van het aantal niet-select getrokken persoonslijsten;

      • de select getrokken persoonslijsten. Daarbij wordt aangegeven welke afwijkingen zijn aangetroffen;

      • de verplichte maatregelen en voorzieningen met betrekking tot back-up, herstel en uitwijk die niet zijn getroffen;

      • de in het procesmatige deel van de audit overigens onderkende risico’s op het terrein van back-up, herstel uitwijk en beveiliging;

      • het onderdeel dan wel de onderdelen waarvoor een heraudit verplicht is dan wel de mededeling dat geen heraudit verplicht is.

  • d) de mededeling of de auditee wel of niet de optionele vragenlijst omtrent de privacy-aspecten rond de basisadministratie wil invullen;

  • e) de afspraken die de auditee met de auditor(en) heeft gemaakt n.a.v. de bespreking van het concept van de audit-rapportage.

4.1.2. De bevindingen van het inhoudelijke deel van de audit

Omtrent het inhoudelijke deel van de audit wordt minimaal opgenomen:

  • de zichtbare onvolkomenheden in de gecontroleerde persoonslijsten;

  • de wijze van uitvoering van de niet-selecte steekproeven (zowel t.a.v. persoonslijsten als brondocumenten);

  • welke select getrokken persoonslijsten zijn gecontroleerd;

  • welke bevindingen zijn geconstateerd.

Ten aanzien van de niet-selecte steekproef worden de feitelijke bevindingen c.q. geconstateerde afwijkingen onderverdeeld in foutklassen als bedoeld in onderdeel 2.5.

4.1.3. De bevindingen van het procesmatige deel van de audit

Omtrent het procesmatige deel van de audit wordt minimaal opgenomen:

  • de zichtbare onvolkomenheden in de te bestuderen documentatie;

  • hoe deze is uitgevoerd (welke aanvullende documenten zijn geraadpleegd, welke controles en interviews zijn uitgevoerd);

  • welke bevindingen zijn geconstateerd.

De feitelijke bevindingen voor de aspecten back-up en herstel en uitwijk worden onderverdeeld naar:

  • de verplichte maatregelen en voorzieningen die niet zijn getroffen en verbeterpunten, ingeval daadwerkelijk van de voorschriften is afgeweken en

  • de risico’s die zijn onderkend voor wat betreft de aspecten back-up, herstel en uitwijk, ongeacht of van de voorschriften is afgeweken; aanbevelingen, ingeval niet daadwerkelijk van de voorschriften is afgeweken, maar wel

  • de overige risico’s die zijn onderkend voor het onderdeel beveiliging.

4.2. Privacybescherming

De audit-rapportage is anoniem.

In verband met de privacybescherming van de burger zijn de feitelijke bevindingen bij het inhoudelijke deel van de audit op een zodanige wijze beschreven dat de gegevens niet zijn te herleiden tot een individuele burger.

Hoofdstuk 5. De heraudit

5.1. Wanneer heraudit

5.1.1.Bij de niet-selecte steekproef is een heraudit verplicht als meer fouten zijn geconstateerd dan de desbetreffende norm toestaat.

5.1.2. Voor de aspecten back-up en herstel en uitwijk van het procesmatige deel van de audit is een heraudit verplicht als is geconstateerd dat een of meerdere verplichte maatregelen of voorzieningen niet zijn getroffen.

5.1.3. De afwijkingen bij de select getrokken persoonslijsten en de overigens onderkende risico’s bij de aspecten back-up en herstel, uitwijk en beveiliging, leiden niet tot een heraudit.

5.2. De uitvoering van de heraudit

De heraudit wordt overeenkomstig de volgende eisen uitgevoerd:

5.2.1. De heraudit betreft alleen het onderdeel of de onderdelen waarvoor een heraudit verplicht is. In dit kader bestaan er vijf onderdelen, te weten de drie soorten gegevens onderverdeeld in foutklassen A, B en C van het inhoudelijke deel van de audit en de twee aspecten back-up en herstel en uitwijk van het procesmatige deel van de audit.

5.2.2. Er wordt bij de heraudit gecontroleerd of de gemeente zodanige maatregelen heeft getroffen dat de kwaliteit van de desbetreffende onderdelen nu wel voldoende is.

5.2.3. Voor een heraudit met betrekking tot de gegevens in foutklassen A, B en/of C is het gestelde in de hoofdstukken 2 en 4 van deze circulaire van overeenkomstige toepassing.

5.2.4. Voor een heraudit met betrekking tot de aspecten back-up en herstel en/of uitwijk is het gestelde in de hoofdstukken 3 en 4 van deze circulaire van overeenkomstige toepassing.

De

Minister

voor Grote Steden- en Integratiebeleid,

R.H.L.M. van Boxtel

Bijlage 1. Definitieve planning GBA-audit (gesorteerd op gemeentenaam)

Gemeentenaam

Definitieve periode

‘s-Graveland

eerste helft van 2002

‘s-Gravendeel

eerste helft van 2002

‘s-Gravenhage

tweede helft van 2001

‘s-Gravenzande

eerste helft van 2001

‘s-Hertogenbosch

eerste helft van 2000

Aa en Hunze

tweede helft van 2000

Aalburg

eerste helft van 2001

Aalsmeer

tweede helft van 2001

Aalten

eerste helft van 2002

Abcoude

eerste helft van 2000

Achtkarspelen

eerste helft van 2000

Akersloot

tweede helft van 1999

Alblasserdam

eerste helft van 2002

Albrandswaard

tweede helft van 2000

Alkemade

tweede helft van 2000

Alkmaar

tweede helft van 2001

Almelo

eerste helft van 2000

Almere

tweede helft van 2001

Alphen aan den Rijn

eerste helft van 2002

Alphen-Chaam

tweede helft van 2000

Ambt Delden

eerste helft van 2002

Ambt Montfort

eerste helft van 2000

Ameland

eerste helft van 2000

Amerongen

tweede helft van 2000

Amersfoort

tweede helft van 1999

Amstelveen

tweede helft van 2000

Amsterdam

tweede helft van 2000

Andijk

tweede helft van 2001

Angerlo

tweede helft van 2001

Anna Paulowna

tweede helft van 2000

Apeldoorn

tweede helft van 1999

Appingedam

tweede helft van 2000

Arcen en Velden

eerste helft van 2000

Arnhem

tweede helft van 2000

Assen

tweede helft van 1999

Asten

tweede helft van 2000

Avereest

eerste helft van 2001

Axel

eerste helft van 2001

Baarle-Nassau

tweede helft van 2001

Baarn

eerste helft van 2000

Barendrecht

eerste helft van 2002

Barneveld

tweede helft van 2000

Bathmen

tweede helft van 2000

Bedum

tweede helft van 1999

Beek

eerste helft van 2001

Beemster

tweede helft van 2000

Beesel

tweede helft van 2000

Belfeld

tweede helft van 2001

Bellingwedde

eerste helft van 2001

Bemmel

tweede helft van 2001

Bennebroek

eerste helft van 2000

Bergambacht

tweede helft van 2000

Bergen (L)

eerste helft van 2002

Bergen (NH)

tweede helft van 1999

Bergen op Zoom

eerste helft van 2001

Bergeyk

tweede helft van 1999

Bergh

eerste helft van 2001

Bergschenhoek

eerste helft van 2000

Berkel en Rodenrijs

eerste helft van 2002

Bernheze

tweede helft van 2000

Bernisse

eerste helft van 2002

Best

tweede helft van 2000

Beuningen

eerste helft van 2000

Beverwijk

eerste helft van 2000

Binnenmaas

eerste helft van 2002

Bladel

tweede helft van 2001

Blaricum

eerste helft van 2002

Bleiswijk

tweede helft van 2000

Bloemendaal

eerste helft van 2001

Boarnsterhim

eerste helft van 2001

Bodegraven

eerste helft van 2002

Boekel

eerste helft van 2002

Bolsward

tweede helft van 2000

Borculo

tweede helft van 2000

Borger-Odoorn

eerste helft van 2001

Born

eerste helft van 2001

Borne

eerste helft van 2001

Borsele

tweede helft van 2001

Boskoop

tweede helft van 2001

Boxmeer

tweede helft van 1999

Boxtel

eerste helft van 2002

Breda

eerste helft van 2000

Brederwiede

tweede helft van 2001

Breukelen

tweede helft van 2000

Brielle

eerste helft van 2002

Broekhuizen

eerste helft van 2002

Brummen

eerste helft van 2000

Brunssum

eerste helft van 2000

Bunnik

eerste helft van 2001

Bunschoten

tweede helft van 2001

Buren

tweede helft van 2000

Bussum

tweede helft van 1999

Capelle aan den IJssel

eerste helft van 2001

Castricum

tweede helft van 2000

Coevorden

eerste helft van 2002

Cranendonck

tweede helft van 1999

Cromstrijen

tweede helft van 1999

Cuijk

eerste helft van 2001

Culemborg

tweede helft van 2000

Dalfsen

tweede helft van 1999

Dantumadeel

eerste helft van 2002

De Bilt

tweede helft van 1999

De Lier

eerste helft van 2002

De Marne

tweede helft van 2000

De Ronde Venen

tweede helft van 1999

De Wolden

tweede helft van 2000

Delft

eerste helft van 2001

Delfzijl

tweede helft van 2001

Den Ham

tweede helft van 2000

Den Helder

tweede helft van 1999

Denekamp

tweede helft van 1999

Deurne

tweede helft van 1999

Deventer

tweede helft van 2000

Didam

tweede helft van 2001

Diemen

tweede helft van 1999

Diepenheim

tweede helft van 2001

Dinxperlo

tweede helft van 1999

Dirksland

tweede helft van 1999

Dodewaard

tweede helft van 2001

Doesburg

tweede helft van 1999

Doetinchem

tweede helft van 1999

Dongen

tweede helft van 1999

Dongeradeel

tweede helft van 2000

Doorn

tweede helft van 1999

Dordrecht

eerste helft van 2002

Drechterland

tweede helft van 1999

Driebergen-Rijsenburg

tweede helft van 1999

Drimmelen

eerste helft van 2000

Dronten

tweede helft van 1999

Druten

tweede helft van 2000

Duiven

eerste helft van 2002

Echt

tweede helft van 1999

Echteld

tweede helft van 2001

Edam-Volendam

tweede helft van 1999

Ede

tweede helft van 2000

Eemnes

tweede helft van 2000

Eemsmond

eerste helft van 2002

Eersel

eerste helft van 2000

Egmond

eerste helft van 2000

Eibergen

eerste helft van 2001

Eijsden

tweede helft van 2001

Eindhoven

tweede helft van 1999

Elburg

tweede helft van 2000

Elst

eerste helft van 2000

Emmen

eerste helft van 2001

Enkhuizen

eerste helft van 2000

Enschede

eerste helft van 2000

Epe

eerste helft van 2002

Ermelo

eerste helft van 2000

Etten-Leur

tweede helft van 2000

Ferwerderadiel

tweede helft van 2000

Franekeradeel

tweede helft van 2000

Gaasterlân-Sleat

eerste helft van 2000

Geertruidenberg

eerste helft van 2001

Geldermalsen

tweede helft van 2001

Geldrop

tweede helft van 1999

Geleen

tweede helft van 1999

Gemert-Bakel

eerste helft van 2000

Gendringen

eerste helft van 2000

Gendt

tweede helft van 2001

Genemuiden

eerste helft van 2001

Gennep

tweede helft van 2000

Giessenlanden

eerste helft van 2000

Gilze en Rijen

tweede helft van 1999

Goedereede

tweede helft van 2001

Goes

eerste helft van 2002

Goirle

eerste helft van 2001

Goor

eerste helft van 2001

Gorinchem

tweede helft van 1999

Gorssel

tweede helft van 1999

Gouda

tweede helft van 2001

Graafstroom

eerste helft van 2000

Graft-De Rijp

eerste helft van 2002

Gramsbergen

eerste helft van 2000

Grave

eerste helft van 2000

Groenlo

eerste helft van 2001

Groesbeek

eerste helft van 2002

Groningen

tweede helft van 1999

Grootegast

tweede helft van 1999

Grubbenvorst

eerste helft van 2002

Gulpen-Wittem

eerste helft van 2000

Haaksbergen

eerste helft van 2000

Haaren

tweede helft van 2000

Haarlem

eerste helft van 2002

Haarlemmerliede en Spaarnwoude

tweede helft van 1999

Haarlemmermeer

tweede helft van 2001

Haelen

tweede helft van 2001

Halderberge

tweede helft van 2001

Hardenberg

tweede helft van 2000

Harderwijk

eerste helft van 2000

Hardinxveld-Giessendam

eerste helft van 2002

Haren

eerste helft van 2002

Harenkarspel

eerste helft van 2002

Harlingen

eerste helft van 2000

Harmelen

tweede helft van 1999

Hasselt

eerste helft van 2000

Hattem

tweede helft van 1999

Heel

eerste helft van 2000

Heemskerk

eerste helft van 2002

Heemstede

eerste helft van 2001

Heerde

tweede helft van 1999

Heerenveen

tweede helft van 1999

Heerhugowaard

eerste helft van 2001

Heerjansdam

eerste helft van 2002

Heerlen

eerste helft van 2001

Heeze-Leende

eerste helft van 2000

Heiloo

eerste helft van 2001

Heino

eerste helft van 2002

Helden

tweede helft van 2001

Hellendoorn

eerste helft van 2002

Hellevoetsluis

eerste helft van 2001

Helmond

tweede helft van 2000

Hendrik-Ido-Ambacht

tweede helft van 2001

Hengelo (Gld)

eerste helft van 2000

Hengelo (O)

tweede helft van 2001

Het Bildt

eerste helft van 2000

Heteren

tweede helft van 2000

Heumen

tweede helft van 1999

Heusden

eerste helft van 2002

Heythuysen

tweede helft van 2001

Hillegom

eerste helft van 2000

Hilvarenbeek

eerste helft van 2000

Hilversum

tweede helft van 2001

Hoevelaken

tweede helft van 2000

Holten

tweede helft van 2001

Hontenisse

tweede helft van 1999

Hoogeveen

tweede helft van 2000

Hoogezand-Sappemeer

eerste helft van 2002

Hoorn

eerste helft van 2001

Horst

tweede helft van 2001

Houten

eerste helft van 2000

Huissen

tweede helft van 2001

Huizen

eerste helft van 2001

Hulst

eerste helft van 2002

Hummelo en Keppel

eerste helft van 2002

Hunsel

eerste helft van 2001

IJsselham

eerste helft van 2002

IJsselmuiden

eerste helft van 2001

IJsselstein

tweede helft van 2001

Jacobswoude

tweede helft van 2001

Kampen

eerste helft van 2001

Kapelle

eerste helft van 2000

Katwijk

tweede helft van 2001

Kerkrade

tweede helft van 2001

Kessel

tweede helft van 1999

Kesteren

tweede helft van 1999

Kollumerland en Nieuwkruisland

eerste helft van 2000

Korendijk

tweede helft van 1999

Krimpen aan den IJssel

tweede helft van 2001

Laarbeek

eerste helft van 2001

Landerd

eerste helft van 2000

Landgraaf

tweede helft van 1999

Landsmeer

eerste helft van 2001

Langedijk

eerste helft van 2001

Laren

eerste helft van 2001

Leek

eerste helft van 2001

Leerdam

eerste helft van 2001

Leersum

tweede helft van 1999

Leeuwarden

tweede helft van 1999

Leeuwarderadeel

eerste helft van 2002

Leiden

eerste helft van 2001

Leiderdorp

eerste helft van 2002

Leidschendam

tweede helft van 2000

Lelystad

tweede helft van 1999

Lemsterland

tweede helft van 2001

Leusden

tweede helft van 2001

Lichtenvoorde

eerste helft van 2002

Liemeer

eerste helft van 2002

Liesveld

eerste helft van 2000

Limmen

eerste helft van 2001

Lingewaal

tweede helft van 2001

Lisse

eerste helft van 2001

Lith

tweede helft van 1999

Littenseradiel

tweede helft van 1999

Lochem

tweede helft van 1999

Loenen

tweede helft van 2000

Loon op Zand

tweede helft van 2001

Loosdrecht

eerste helft van 2000

Lopik

tweede helft van 2000

Loppersum

eerste helft van 2002

Losser

tweede helft van 1999

Maarn

eerste helft van 2000

Maarssen

tweede helft van 2000

Maartensdijk

tweede helft van 2000

Maasbracht

eerste helft van 2002

Maasbree

eerste helft van 2002

Maasdonk

tweede helft van 2001

Maasdriel

tweede helft van 2000

Maasland

tweede helft van 2001

Maassluis

tweede helft van 1999

Maastricht

eerste helft van 2000

Margraten

tweede helft van 1999

Markelo

eerste helft van 2001

Marum

eerste helft van 2002

Medemblik

eerste helft van 2000

Meerlo-Wanssum

tweede helft van 1999

Meerssen

tweede helft van 2000

Meijel

eerste helft van 2000

Menaldumadeel

tweede helft van 2000

Menterwolde

tweede helft van 2001

Meppel

tweede helft van 2001

Middelburg

eerste helft van 2000

Middelharnis

tweede helft van 2001

Middenveld

eerste helft van 2002

Mierlo

tweede helft van 2001

Mill en Sint Hubert

tweede helft van 2001

Millingen aan de Rijn

tweede helft van 2001

Moerdijk

tweede helft van 2000

Monster

eerste helft van 2002

Montfoort

tweede helft van 2000

Mook en Middelaar

eerste helft van 2000

Moordrecht

eerste helft van 2001

Muiden

eerste helft van 2000

Naaldwijk

tweede helft van 2000

Naarden

tweede helft van 1999

Nederhorst den Berg

tweede helft van 2000

Nederlek

eerste helft van 2000

Nederweert

eerste helft van 2001

Neede

eerste helft van 2001

Neerijnen

tweede helft van 1999

Niedorp

eerste helft van 2001

Nieuwegein

tweede helft van 2000

Nieuwerkerk aan den IJssel

eerste helft van 2000

Nieuwkoop

eerste helft van 2001

Nieuw-Lekkerland

tweede helft van 2001

Nieuwleusen

tweede helft van 1999

Nijefurd

eerste helft van 2001

Nijkerk

eerste helft van 2002

Nijmegen

tweede helft van 2000

Noord-Beveland

eerste helft van 2000

Noordenveld

tweede helft van 1999

Noorder-Koggenland

tweede helft van 2001

Noordoostpolder

tweede helft van 2001

Noordwijk

eerste helft van 2000

Noordwijkerhout

tweede helft van 2001

Nootdorp

eerste helft van 2001

Nuenen, Gerwen en Nederwetten

eerste helft van 2001

Nunspeet

tweede helft van 1999

Nuth

tweede helft van 1999

Obdam

eerste helft van 2000

Oegstgeest

eerste helft van 2000

Oirschot

eerste helft van 2000

Oisterwijk

eerste helft van 2001

Oldebroek

eerste helft van 2000

Oldenzaal

eerste helft van 2001

Olst

eerste helft van 2002

Ommen

tweede helft van 1999

Onderbanken

eerste helft van 2002

Oostburg

tweede helft van 2000

Oosterhout

tweede helft van 2001

Oostflakkee

tweede helft van 1999

Ooststellingwerf

tweede helft van 2001

Oostzaan

tweede helft van 2001

Ootmarsum

tweede helft van 1999

Opmeer

eerste helft van 2002

Opsterland

tweede helft van 2001

Oss

tweede helft van 2001

Oud-Beijerland

tweede helft van 2001

Ouder-Amstel

eerste helft van 2001

Ouderkerk

tweede helft van 2001

Oudewater

tweede helft van 2000

Papendrecht

eerste helft van 2000

Pekela

tweede helft van 2001

Pijnacker

eerste helft van 2000

Purmerend

eerste helft van 2000

Putten

eerste helft van 2002

Raalte

eerste helft van 2002

Ravenstein

tweede helft van 2001

Reeuwijk

tweede helft van 1999

Reiderland

tweede helft van 1999

Reimerswaal

tweede helft van 1999

Renkum

tweede helft van 2001

Renswoude

tweede helft van 2000

Reusel-De Mierden

eerste helft van 2001

Rheden

eerste helft van 2001

Rhenen

tweede helft van 2001

Ridderkerk

eerste helft van 2001

Rijnsburg

tweede helft van 1999

Rijnwaarden

eerste helft van 2001

Rijnwoude

eerste helft van 2000

Rijssen

eerste helft van 2002

Rijswijk

eerste helft van 2001

Roerdalen

eerste helft van 2000

Roermond

eerste helft van 2002

Roggel en Neer

eerste helft van 2001

Roosendaal

eerste helft van 2002

Rotterdam

tweede helft van 2001

Rozenburg

eerste helft van 2001

Rozendaal

tweede helft van 2000

Rucphen

eerste helft van 2001

Ruurlo

tweede helft van 2001

Sas van Gent

tweede helft van 2001

Sassenheim

eerste helft van 2000

Schagen

tweede helft van 2000

Scheemda

tweede helft van 1999

Schermer

tweede helft van 2001

Scherpenzeel

eerste helft van 2001

Schiedam

eerste helft van 2002

Schiermonnikoog

tweede helft van 2001

Schijndel

eerste helft van 2000

Schinnen

eerste helft van 2002

Schipluiden

eerste helft van 2002

Schoonhoven

eerste helft van 2002

Schoorl

eerste helft van 2000

Schouwen-Duiveland

eerste helft van 2002

Sevenum

tweede helft van 1999

Simpelveld

tweede helft van 1999

Sint Anthonis

eerste helft van 2001

Sint-Michielsgestel

eerste helft van 2000

Sint-Oedenrode

tweede helft van 2000

Sittard

eerste helft van 2001

Skarsterlân

tweede helft van 2001

Sliedrecht

eerste helft van 2002

Slochteren

tweede helft van 2001

Sluis-Aardenburg

eerste helft van 2000

Smallingerland

eerste helft van 2000

Sneek

eerste helft van 2002

Soest

tweede helft van 2000

Someren

eerste helft van 2001

Son en Breugel

eerste helft van 2002

Spijkenisse

eerste helft van 2000

Stad Delden

eerste helft van 2001

Stadskanaal

eerste helft van 2000

Staphorst

eerste helft van 2001

Stede Broec

tweede helft van 1999

Steenbergen

tweede helft van 2000

Steenderen

eerste helft van 2002

Steenwijk

tweede helft van 2001

Stein

eerste helft van 2001

Strijen

eerste helft van 2001

Susteren

tweede helft van 2000

Swalmen

eerste helft van 2000

Tegelen

eerste helft van 2002

Ten Boer

tweede helft van 1999

Ter Aar

eerste helft van 2000

Terneuzen

tweede helft van 2000

Terschelling

tweede helft van 1999

Texel

tweede helft van 2001

Tholen

eerste helft van 2000

Thorn

tweede helft van 2000

Tiel

tweede helft van 2000

Tilburg

eerste helft van 2002

Tubbergen

tweede helft van 2000

Tytsjerksteradiel

eerste helft van 2002

Ubbergen

eerste helft van 2000

Uden

eerste helft van 2001

Uitgeest

tweede helft van 2000

Uithoorn

eerste helft van 2000

Urk

tweede helft van 2000

Utrecht

eerste helft van 2001

Vaals

tweede helft van 2000

Valburg

eerste helft van 2000

Valkenburg (ZH)

tweede helft van 2001

Valkenburg aan de Geul

eerste helft van 2001

Valkenswaard

tweede helft van 2000

Veendam

eerste helft van 2001

Veenendaal

tweede helft van 2001

Veere

tweede helft van 2001

Veghel

eerste helft van 2002

Veldhoven

eerste helft van 2002

Velsen

tweede helft van 2000

Venhuizen

tweede helft van 1999

Venlo

tweede helft van 2000

Venray

tweede helft van 1999

Vianen

eerste helft van 2001

Vlaardingen

eerste helft van 2002

Vlagtwedde

tweede helft van 2001

Vleuten-De Meern

eerste helft van 2000

Vlieland

eerste helft van 2001

Vlissingen

eerste helft van 2002

Vlist

eerste helft van 2001

Voerendaal

eerste helft van 2002

Voorburg

eerste helft van 2002

Voorhout

eerste helft van 2001

Voorschoten

eerste helft van 2000

Voorst

tweede helft van 1999

Vorden

tweede helft van 2001

Vriezenveen

eerste helft van 2002

Vught

tweede helft van 2000

Waalre

tweede helft van 2000

Waalwijk

tweede helft van 2001

Waddinxveen

eerste helft van 2001

Wageningen

tweede helft van 1999

Warmond

eerste helft van 2000

Warnsveld

tweede helft van 2000

Wassenaar

eerste helft van 2001

Wateringen

eerste helft van 2001

Waterland

eerste helft van 2002

Weerselo

tweede helft van 1999

Weert

tweede helft van 1999

Weesp

eerste helft van 2001

Wehl

eerste helft van 2001

Werkendam

eerste helft van 2002

Wervershoof

tweede helft van 2000

West Maas en Waal

eerste helft van 2002

Wester-Koggenland

tweede helft van 1999

Westerveld

tweede helft van 1999

Westervoort

tweede helft van 2000

Weststellingwerf

eerste helft van 2002

Westvoorne

tweede helft van 2000

Wierden

tweede helft van 1999

Wieringen

tweede helft van 2001

Wieringermeer

eerste helft van 2001

Wijchen

eerste helft van 2002

Wijhe

eerste helft van 2002

Wijk bij Duurstede

tweede helft van 2000

Winschoten

tweede helft van 1999

Winsum

tweede helft van 2001

Winterswijk

eerste helft van 2001

Wisch

tweede helft van 2000

Woensdrecht

tweede helft van 2001

Woerden

tweede helft van 2001

Wognum

eerste helft van 2000

Wormerland

eerste helft van 2002

Woudenberg

eerste helft van 2002

Woudrichem

eerste helft van 2001

Wûnseradiel

tweede helft van 2001

Wymbritseradiel

tweede helft van 2000

Zaanstad

eerste helft van 2002

Zaltbommel

tweede helft van 2001

Zandvoort

eerste helft van 2002

Zederik

eerste helft van 2001

Zeevang

eerste helft van 2000

Zeewolde

tweede helft van 1999

Zeist

tweede helft van 2001

Zelhem

eerste helft van 2000

Zevenaar

eerste helft van 2000

Zevenhuizen-Moerkapelle

tweede helft van 2000

Zijpe

eerste helft van 2000

Zoetermeer

eerste helft van 2001

Zoeterwoude

eerste helft van 2001

Zuidhorn

tweede helft van 2000

Zuidlaren

eerste helft van 2000

Zundert

tweede helft van 1999

Zutphen

tweede helft van 2000

Zwartsluis

tweede helft van 2000

Zwijndrecht

tweede helft van 2001

Zwolle

eerste helft van 2002

Bijlage 2. De criteria voor de bekwaamheid van de instellingen die GBA-audits uitvoeren en hun medewerkers

In dit eisenpakket zijn de criteria opgenomen waaraan audit-instellingen dienen te voldoen om in aanmerking te komen voor een aanwijzing door de Minister voor Grote Steden en Integratiebeleid.

De Raad voor Accreditatie toetst de bekwaamheid van kandidaat audit-instellingen en hun medewerkers op basis van dit eisenpakket.

1. Administratieve eisen

1.1. De audit-instelling of de organisatie waarvan ze deel uit maakt is juridisch identificeerbaar.

1.2. De audit-instelling beschikt over documentatie die globaal het gehele werkgebied beschrijft waarin ze bekwaamheid bezit en gedetailleerd het werkgebied dat onderwerp is van de audit.

1.3. De audit-instelling heeft een gepaste aansprakelijkheidsverzekering, tenzij haar aansprakelijkheid is overgenomen door de Staat, volgens nationale wetten, of door de organisatie waarvan ze deel uitmaakt. In het laatste geval heeft de desbetreffende organisatie een gepaste aansprakelijkheidsverzekering. In het geval dat er sprake is van een aansprakelijkheidsverzekering, is het eventuele eigen risico in overeenstemming met de financiële situatie van de organisatie.

1.4. De audit-instelling beschikt over documentatie waarin haar zakelijke voorwaarden beschreven staan.

2. Onafhankelijkheid, onpartijdigheid en integriteit

2.1. De auditor is volledig vrij van commerciële, financiële en andere druk die zijn oordeel zou kunnen beïnvloeden.

2.2. De auditor is onafhankelijk ten opzichte van de auditee. De auditor heeft geen andere zakelijke relaties met de auditee.

2.3. De auditor laat zich niet in met activiteiten die tegenstrijdig kunnen zijn met de onafhankelijkheid van zijn oordeel en zijn integriteit met betrekking tot de audit.

2.4. Alle gemeenten kunnen, met inachtneming van het gestelde in paragraaf 2.1., 2.2. en 2.3., de audit door de audit-instelling laten uitvoeren.

3. Geheimhouding

De audit-instelling verzekert de volledige geheimhouding van informatie die zij in de loop van haar audit-activiteiten verkrijgt. De audit-instelling garandeert de privacybescherming van de burger en de bescherming van eigendomsrechten.

4. Organisatie en management

4.1. De audit-instelling is zodanig georganiseerd dat ze blijvend in staat is om haar audit-functies naar behoren te vervullen. De audits die met auditees zijn afgesproken worden ook daadwerkelijk in het betreffende halfjaar uitgevoerd zonder dat dat tot kwaliteitsverlies leidt. De audit-instelling beschikt om die reden over voldoende (vervangend) personeel of heeft met één of meerdere audit-intstellingen een overeenkomst gesloten zodat voldoende vervanging is gegarandeerd.

4.2. Alle soorten functies die van invloed zijn op de kwaliteit van de audit-diensten of betrokken zijn bij het verlenen van de audit-diensten zijn beschreven. Deze functiebeschrijvingen omvatten de eisen op het gebied van opleiding, training, technische kennis, inhoudelijke kennis van de gemeentelijke basisadministraties en ervaring.

5. Kwaliteitssysteem

5.1. De leiding van de audit-instelling bepaalt haar beleid, doelstelling en betrokkenheid met betrekking tot de kwaliteit van de audit, legt dat schriftelijk vast en bewerkstelligt dat dit beleid op alle niveaus in de organisatie wordt begrepen, toegepast en gehandhaafd.

5.2. De audit-instelling beheert een effectief kwaliteitssysteem dat past bij de omvang van de organisatie.

5.3. Het kwaliteitssysteem is volledig schriftelijk vastgelegd. Er is een kwaliteitshandboek aanwezig, dat de door deze norm vereiste informatie bevat die is opgesomd in onderdeel 15.

5.4. De audit-instelling wijst een functionaris aan die, ongeacht andere taken, een duidelijk bepaalde bevoegdheid en verantwoordelijkheid heeft voor de kwaliteitsborging aangaande de audit. Deze functionaris heeft directe toegang tot de directie van de audit-instelling.

5.5. Het kwaliteitssysteem wordt passend en actueel gehouden onder verantwoordelijkheid van deze functionaris.

5.6. De audit-instelling houdt een systeem in stand voor de beheersing van alle voor de audit relevante documenten en bewerkstelligt dat:

  • a) de documenten beschikbaar zijn voor al het betrokken personeel;

  • b) al het betrokken personeel tijdig van wijzigingen of aanvullingen op de hoogte worden gebracht;

  • c) vervallen (onderdelen van) documenten binnen de organisatie uit gebruik worden genomen behoudens één exemplaar dat wordt bewaard.

6. Personeel

6.1. De audit-instelling beschikt over een voldoende aantal personeelsleden, met voldoende deskundigheid voor het uitvoeren van hun taken.

Indien gebruik wordt gemaakt van op afroep beschikbare personen, voeren deze hun werk uit als waren het personeelsleden van de audit-instelling. Werkzaamheden in het kader van een audit worden, behoudens het gestelde in paragraaf 12, niet uitbesteed.

6.2. Een auditor voldoet ten behoeve van het inhoudelijke deel van de audit aan de eisen, genoemd in paragraaf 16.

6.3. Een auditor voldoet ten behoeve van het procesmatige deel van de audit aan de eisen, genoemd in paragraaf 17.

6.4. De beloning van de auditoren is niet rechtstreeks afhankelijk van het aantal uitgevoerde audits en is niet afhankelijk van de resultaten van de audits.

7. Voorzieningen en uitrusting

7.1. Indien de audit-instelling voor de vastlegging van de bevindingen van de GBA-audit gebruik maakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze dat:

  • a) de programmatuur/software is beproefd op haar geschiktheid voor het bedoelde gebruik;

  • b) de procedures zijn vastgesteld en worden toegepast voor het beschermen van de integriteit van de gegevens;

  • c) de computer en geautomatiseerde uitrusting zodanig worden onderhouden dat de goede werking ervan verzekerd is en

  • d) procedures zijn vastgesteld en worden toegepast voor een voortdurende beveiliging van de gegevens.

    7.2. Indien de audit-instelling voor de vastlegging van de interviewverslagen in het kader van de GBA-audit gebruik maakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze, onverminderd het gestelde in paragraaf 7.1, dat procedures zijn vastgesteld en worden toegepast voor het verwijderen van die gegevens na afloop van de audit.

    7.3. Indien de audit-instelling voor de uitvoering van (een deel van) de GBA-audit gebruik maakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze dat:

    • a) de programmatuur/software is beproefd op haar geschiktheid voor het bedoelde gebruik;

    • b) de procedures zijn vastgesteld en worden toegepast voor het beschermen van de integriteit van de gegevens;

    • c) de computer en geautomatiseerde uitrusting zodanig worden onderhouden dat de goede werking ervan verzekerd is;

    • d) procedures zijn vastgesteld en worden toegepast voor een voortdurende beveiliging van de gegevens en

  • e) procedures zijn vastgesteld en worden toegepast voor het verwijderen van de gegevens na afloop van de audit.

8. Audit-methoden en -procedures

8.1. De audit-instelling voert het inhoudelijke deel van de audit uit overeenkomstig de eisen genoemd in hoofdstuk 2 van deze circulaire.

8.2. De audit-instelling voert het procesmatige deel van de audit uit overeenkomstig het gestelde in hoofdstuk 3 van de circulaire, genoemd in onderdeel 8.1.

8.3. De audit-instelling heeft een systeem voor het beheersen van de contracten of werkopdrachten om er zeker van te zijn dat:

  • a) het uit te voeren werk binnen haar bekwaamheid ligt en dat de organisatie over toereikende middelen beschikt om aan de eisen te voldoen;

  • b) de eisen van al wie een beroep wenst te doen op de diensten van de audit-instelling, naar behoren worden bepaald en dat de specifieke voorwaarden goed worden begrepen, zodat ondubbelzinnige instructies kunnen worden gegeven aan de auditoren;

  • c) toezicht wordt uitgeoefend op het werk in uitvoering, door middel van regelmatige beoordelingen en corrigerende maatregelen;

  • d) het werk na voltooiing wordt beoordeeld ter bevestiging dat aan de eisen is voldaan.

8.4. De waarnemingen en/of gegevens die gedurende de audit worden verkregen, worden tijdig vastgelegd om verlies van ter zake doende informatie te voorkomen.

9. Behandeling van persoonslijsten en documentatie

9.1. De audit-instelling bewerkstelligt dat de te controleren persoonslijsten op ondubbelzinnige wijze zijn gekenmerkt, om te voorkomen dat op enig ogenblik verwarring ontstaat met betrekking tot de identiteit van de persoonslijsten.

9.2. Zichtbare onvolkomenheden in de te controleren persoonslijsten en te bestuderen documentatie die aan de auditor worden gemeld of die door hem worden opgemerkt, voordat met de audit is gestart, worden in de audit-rapportage vastgelegd. Indien er enige twijfel bestaat over de geschiktheid van de persoonslijsten of de documentatie voor de uit te voeren controle, raadpleegt de auditor de auditee alvorens verder te gaan met de audit.

9.3. De audit-instelling bewerkstelligt dat na afloop van de audit alle gecontroleerde persoonslijsten en andere door de auditee verstrekte documentatie weer ter beschikking wordt gesteld aan de auditee.

10. Audit-rapportage en interviewverslagen

10.1. De door de audit-instelling uitgevoerde audit wordt afgesloten met een audit-rapportage.

10.2. De audit-rapportage voldoet aan de eisen genoemd in hoofdstuk 4 van de circulaire, genoemd in onderdeel 8.1.

10.3. Het concept van de audit-rapportage wordt met een vertegenwoordiger van de gemeente besproken.

10.4. De audit-rapportage wordt door de auditor(en) of gemachtigde personeelsleden ondertekend.

11. Registraties

11.1. Alle registraties worden gedurende de audit veilig opgeslagen, zorgvuldig en vertrouwelijk bewaard, met inachtneming van de wettelijke verplichtingen.

11.2. De audit-instelling bewerkstelligt dat na afloop van de audit het door de gemeente ingevulde protocol voor het procesmatige deel van de audit en de eventuele interviewverslagen ter beschikking worden gesteld aan de auditee.

12. Uitbesteding

12.1. In beginsel voert de audit-instelling zelf de audits uit die ze op grond van een overeenkomst op zich heeft genomen.

12.2. Uitbesteding van een gedeelte van de audit is slechts toegestaan aan een andere audit-instelling die door de Minister voor Grote Steden- en Integratiebeleid is aangewezen om de audit uit te voeren. De audit-instelling stelt de auditee op de hoogte van haar voornemen om een gedeelte van de audit uit te besteden. De andere audit-instelling moet voor de auditee aanvaardbaar zijn.

12.3. De audit-instelling houdt een register bij van al haar uitbestede werk.

13. Klachten en beroep

13.1. De audit-instelling beschikt over schriftelijk vastgelegde procedures voor het behandelen van klachten van auditees.

13.2. Er wordt een overzicht bijgehouden van alle klachten en van de acties die daarop door de audit-instelling zijn genomen.

14. Samenwerking

Van de audit-instelling wordt verwacht dat zij op passende wijze zal deelnemen aan de uitwisseling van ervaringen met andere audit-instellingen, het ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Raad voor Accreditatie.

15. Informatie die moet worden opgenomen of waarnaar moet worden verwezen in het kwaliteitshandboek

  • a) algemene informatie (naam, adressen, telefoonnummer enz. en wettelijke status);

  • b) verklaring van de leiding over haar beleid, doelstelling en betrokkenheid op het gebied van kwaliteit;

  • c) verklaring van de leiding die de in het onderdeel 5.4. vermelde functionaris aanstelt;

  • d) beschrijving van de werkgebieden en bekwaamheden van de audit-instelling;

  • e) informatie over de verhoudingen tussen de audit-instelling en het moederbedrijf of verbonden organisaties, indien van toepassing;

  • f) organisatieschema(‘s);

  • g) beschrijving van de in onderdeel 4.2. bedoelde functies;

  • h) beleidsverklaring over de kwalificatie en opleiding van de in onderdeel 4.2. bedoelde functies;

  • i) procedures voor documentenbeheer;

  • j) procedures voor interne audits;

  • k) procedures voor terugkoppeling en corrigerende maatregelen;

  • l) procedures voor beoordelingen van het kwaliteitssysteem door de leiding;

  • m) procedures voor het actueel houden van kwalificaties, opleiding, ervaring en kennis van de auditor;

  • n) andere procedures en voorschriften of verwijzingen naar andere procedures of voorschriften die in deze norm worden vereist;

  • o) verspreidingslijst van het kwaliteitshandboek.

16. Criteria ten aanzien van kwalificaties, opleiding, ervaring en kennis van de auditor ten behoeve van het inhoudelijke deel van de audit

De auditor waarnaar is verwezen in paragraaf 6.2. voldoet aan de volgende criteria:

de auditor beschikt over gedegen en aantoonbare kennis van de voor de GBA-audit relevante onderdelen uit de GBA-voorschriften zoals deze zijn beschreven in

  • de Wet GBA;

  • het Besluit GBA;

  • de Regeling GBA;

  • de systeembeschrijving (Logisch Ontwerp GBA);

  • de Landelijke Tabellen, inclusief tabel 35;

  • het Handboek Uitvoeringsprocedures;

  • het Handboek Operationele Procedures;

  • de Kwaliteitsbrochures;

  • het Handboek brondocumenten;

  • de rubriek ‘Vragen en antwoorden aan de GBA Helpdesk’ in Burgerzaken en Recht.

b) de auditor beschikt over voldoende inzicht in de werking van geautomatiseerde systemen in het algemeen en de verschillende GBA-applicaties in het bijzonder om:

  • vast te kunnen stellen of een steekproef uit de basisadministratie op de voorgeschreven wijze is getrokken;

  • vast te kunnen stellen of de juiste select te trekken persoonslijsten zijn getrokken;

  • de persoonslijst op de juiste wijze te kunnen interpreteren en

  • vast te kunnen stellen dat een opgemerkte afwijking mogelijk geen fout betreft (op basis van door de auditee aangeleverd materiaal).

c) de auditor werkt zeer nauwgezet en snel en bezit de aantoonbare capaciteiten om fouten in persoonslijsten te vinden. De snelheid van werken moet zodanig zijn dat hij in staat is in 8 uur circa 85 persoonslijsten nauwgezet en volgens de eisen te controleren5.

17. Criteria ten aanzien van kwalificaties, opleiding, ervaring en kennis van de auditor ten behoeve van het procesmatige deel van de audit

De auditor waarnaar is verwezen in onderdeel 6.3. voldoet aan het volgende criterium: de auditor is Register EDP-auditor (RE), een Europese equivalent daarvan of Certified Information Systems Auditor (CISA).

Bijlage 3. Lijst met select getrokken persoonslijsten

De vaststelling van de select getrokken persoonslijsten als bedoeld in onderdeel 2.2. van hoofdstuk 2, geschiedt op de volgende wijze:

  • 1. In het GBA-bestand wordt gezocht naar de onderstaande situaties op de persoonslijsten, te beginnen met de eerste en vervolgens de tweede en zo verder, totdat het aantal te controleren select getrokken persoonslijsten is bereikt.

  • 2. De situaties zijn door de gemeente zelf behandeld.

    De controle van de select getrokken persoonslijsten is bedoeld om de gemeente inzicht te verschaffen in de eigen kwaliteit van een aantal bijzondere (actualiserings)processen. Daarom dienen de desbetreffende bijzondere situaties door de gemeente zelf te zijn uitgevoerd.

    Daarnaast wordt, gezien het doel van deze controle, aanbevolen om zo mogelijk de situaties te laten controleren waarvan de gehanteerde brondocumenten aanwezig zijn 6.

  • 3. De in het onderdeel 1. genoemde situaties zijn achtereenvolgens:

    • een eerste inschrijving als gevolg van een vestiging vanuit het buitenland;

    • een erkenning bij geboorteaangifte, waarbij de geboorte en aangifte niet op dezelfde dag hebben plaatsgevonden (op de persoonslijst van het kind);

    • een actualisering of correctie in de groepen 01 (Identificatienummers), 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon) met de daaropvolgende actualisering resp. correctie bij één van de gerelateerden die nog steeds in de gemeente is ingeschreven (de persoonslijst van de persoon èn één van zijn/haar gerelateerden);

    • een hervestiging vanuit het buitenland in een andere gemeente dan waar de persoon stond ingeschreven;

    • twee of meer correcties, waarvan minimaal één van de volgende:

      • · een correctie in groepen 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon),

      • · een correctie als gevolg van onjuist adres/verhuizing,

      • · een correctie als gevolg van ten onrechte/dubbel opgenomen huwelijk of

      • · een correctie in de categorie 04 (Nationaliteit);

    • een adoptie met een naamswijziging (op de persoonslijst van het kind);

    • een naturalisatie met naamswijziging en het eventuele verlies van andere nationaliteit(en);

    • een vestiging vanuit het buitenland van een gezin (vader en moeder met kind(eren)), als eerste inschrijving;

    • een adoptie van een buitenlands kind, waarvan de geboortegegevens zijn ingeschreven in de Burgerlijke Stand van Den Haag (op de persoonslijst van het kind);

    • een ontkenning van het vaderschap (op de persoonslijsten van het kind èn van de vader en/of de moeder);

    • een registratie van een emigratie naar land onbekend;

    • een registratie van het adres van een persoon in het gegeven 08.12.10 (Locatiebeschrijving)

    • een geboorte met de daaropvolgende opname van het gegeven 11.32.10 (Indicatie gezag minderjarige);

    • nogmaals twee of meer correcties, waarvan minimaal één van de volgende:

      • · een correctie in groepen 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon),

      • · een correctie a.g.v. onjuist adres/verhuizing,

      • · een correctie a.g.v. ten onrechte/dubbel opgenomen huwelijk of

      • · een correctie in de categorie 04 (Nationaliteit),

      maar dan wel een ander dan eerder is gekozen;

    • een registratie van het gegeven 01.61.10 (Aanduiding naamgebruik) met een andere waarde dan ‘E’ bij een gehuwde vrouw die niet de Nederlandse nationaliteit bezit;

    • een registratie van meer dan vijf categorieën 10/60 (Verblijfstitel).

  • 4. Indien te weinig van bovenstaande situaties aanwezig zijn, waardoor het aantal te controleren select getrokken persoonslijsten niet is bereikt, kan de gemeente zelf andere situaties aandragen.

Bijlage 4. Vragenlijst behorende bij het procesmatige deel van de audit

Back-up en herstel

       

Ad 1

Welke voorziening is getroffen zodat de GBA-gegevens zoals die 1 werkdag geleden waren, altijd en binnen 1 werkdag kunnen worden gereconstrueerd?

1.1

-

Volgens een back-up procedure wordt dagelijks een back-up gemaakt van de GBA-gegevens.

Ja/Nee

 

-

Het restoren van de back-up duurt ongeveer ... uur.

 

of

-

Volgens een back-up-procedure wordt wekelijks/ maandelijks7 een back-up gemaakt van de GBA-gegevens en er zijn voorzieningen getroffen om een reconstructie van de mutaties die na de laatste back-up zijn aangebracht, te kunnen uitvoeren, zijnde

Ja/Nee

 

-

Het restoren van de back-up en vervolgens aanbrengen van de mutaties die sinds de laatste back-up tot en met 1 werkdag geleden, zijn aangebracht duurt ongeveer ... tot ... uur.

 

of

-

Anderszins, nl.

 
       
       
       
 

-

Deze reconstructie duurt ongeveer ... tot ... uur.

 
       

1.2

-

Bovenbedoelde back-upprocedure is schriftelijk vastgelegd,

vastgesteld door ..................................................... en

voor het laatst geactualiseerd per ...........................

Ja/Nee

@

 

-

Daarin is voor iedere betrokkene vastgelegd wie zijn/haar taak overneemt ingeval van (plotselinge) afwezigheid.

Ja/Nee

       

1.3

Deze voorziening wordt ... keer per jaar beproefd,

voor het laatst op ..........................................................

Ja/Nee

       

1.4

Over deze beproeving wordt schriftelijk

gerapporteerd aan: ........................................

voor het laatst op .................................................

Ja/Nee

@

       

1.5

De beproeving geschiedt zonder dat betrokkenen vooraf worden geïnformeerd.

Ja/Nee

       

Ad 2

De back-upgegevens worden in een andere ruimte bewaard dan de ruimte waarin de GBA-apparatuur is opgesteld?

Ja/Nee

       

Ad 3

Welke voorzieningen zijn getroffen om een reconstructie van de mutaties die na de laatste back-up zijn aangebracht, te kunnen uitvoeren?

       

3.1

-

Alle mutaties die na de laatste back-up zijn aangebracht in de GBA-gegevens, worden gelogd in een vorm die reconstructie mogelijk maakt.

Ja/Nee

 

-

Deze log wordt gemaakt en bewaard op een medium dat fysiek gescheiden is van het medium dat gebruikt wordt voor de opslag van de GBA-gegevens.

Ja/Nee

of

-

Alle mutaties die worden aangebracht in de GBA-gegevens, worden tegelijkertijd c.q. direct daarna geprint.

Ja/Nee

 

-

Deze prints worden ….. dagen bewaard in een andere ruimte dan waarin de GBA-apparatuur is opgesteld.

Ja/Nee

of

-

Voor wat betreft de reconstructie van ontvangen berichten, wordt gebruik gemaakt van de GBA-netwerkfaciliteiten voor de opslag van berichten.

Ja/Nee

 

-

Tevens zijn er organisatorische en systeemtechnische maatregelen, die garanderen dat reeds ontvangen berichten hetzij opnieuw kunnen worden verwerkt hetzij kunnen worden genegeerd.

Ja/Nee

 

-

Voor wat betreft de reconstructie van mutaties die op basis van brondocumenten zijn uitgevoerd, zijn er maatregelen getroffen om aan de hand van de brondocumenten alle mutaties die na de laatste back-up zijn uitgevoerd, opnieuw te kunnen inbrengen.

Ja/Nee

of

 

Anderszins, nl.

 
       

3.2

-

Er is terzake een schriftelijke herstelprocedure opgesteld,

vastgesteld door ..........................................................

en voor het laatst geactualiseerd per .........................

Ja/Nee

@

 

-

Daarin is voor iedere betrokkene vastgelegd wie zijn/haar taak overneemt ingeval van (plotselinge) afwezigheid.

Ja/Nee

       

3.3

Deze voorziening wordt … keer per jaar beproefd,

voor het laatst op ........................................

Ja/Nee

       

3.4

Over deze beproeving wordt schriftelijk gerapporteerd aan:

..................................................................................

voor het laatst op ..................................................................

Ja/Nee

@

       

3.5

De beproeving geschiedt zonder dat betrokkenen vooraf worden geïnformeerd.

Ja/Nee

       

Ad 4

Welke voorzieningen zijn getroffen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te kunnen maken?

       

4.1

-

Er is in een schriftelijke procedure vastgelegd welke stappen c.q. acties achtereenvolgens ondernomen dienen te worden en door wie, als blijkt dat één of meerdere systematische verstrekkingen verkeerd zijn uitgevoerd, vastgesteld door ..................................................... en voor het laatst geactualiseerd per ...........................

Ja/Nee

@

 

-

Daarin is voor iedere betrokkene vastgelegd wie zijn/haar taak overneemt ingeval van (plotselinge) afwezigheid.

Ja/Nee

       

4.2

-

De via het GBA-netwerk verzonden systematische verstrekkingen worden minimaal 4 dagen bewaard

 
 

-

De via alternatieve media verzonden systematische verstrekkingen worden minimaal 1 maand bewaard.

Ja/Nee

en/of

 

Anderszins, nl.

 
       

4.3

Deze voorzieningen worden … keer per jaar beproefd, voor het laatst op .............................................

Ja/Nee

4.4

Over deze beproeving wordt schriftelijk gerapporteerd aan:

.............................................................................

voor het laatst op ..........................................

Ja/Nee

@

       

4.5

De beproeving geschiedt zonder dat betrokkenen vooraf worden geïnformeerd.

Ja/Nee

       

Uitwijk

       

Ad 5

Welke voorzieningen zijn getroffen om te kunnen uitwijken?

       

5.1

-

Er is een schriftelijke uitwijkprocedure,

vastgesteld door ...............................................................en

voor het laatst geactualiseerd per ...........................

Ja/Nee

@

 

-

Daarin is voor iedere betrokkene vastgelegd wie zijn/haar taak overneemt ingeval van (plotselinge) afwezigheid.

Ja/Nee

 

-

Er is een uitwijkovereenkomst,

ondertekend door ............................................................ en

voor het laatst geactualiseerd per ...........................

Ja/Nee

@

of

 

Anderszins, nl.:

 
       

5.2

Deze voorziening wordt .… keer per jaar beproefd, voor het laatst op .....................................

Ja/Nee

       

5.3

Over deze beproeving wordt schriftelijk gerapporteerd aan:

....................................................................

voor het laatst op ...........................................

Ja/Nee

@

       

5.4

De beproeving geschiedt zonder dat betrokkenen (met name de instantie waar naar wordt uitgeweken) vooraf worden geïnformeerd.

Ja/Nee

       

Beveiliging

       

Ad 6

Hoe wordt er beleidsmatig aandacht besteed aan de eisen die de gemeente stelt aan de exclusiviteit van de GBA en aan de wijze waarop de informatiebeveiliging wordt gerealiseerd, gecontroleerd en geëvalueerd?

6.1.1

-

Er is schriftelijk vastgelegd (informatie) beveiligingbeleid,

vastgesteld door ................................................................. en

voor het laatst geactualiseerd per ...........................

Ja/Nee

@

of

Anderszins, er is nl.:

@

       

6.1.2

-

Daarin wordt aandacht besteed aan de eisen die de gemeente stelt aan de beschikbaarheid/exclusiviteit/integriteit8 van de GBA.

Ja/Nee

 

-

Daarin wordt aandacht besteed aan de wijze waarop de informatiebeveiliging wordt gerealiseerd/gecontro leerd/geëvalueerd.

Ja/Nee

       

6.1.3

Er wordt hierover schriftelijk gerapporteerd aan:

............................................................................

voor het laatst op ......................................

Ja/Nee

@

       

Hoe wordt er aandacht besteed aan de wijze waarop het informatiebeveiligingsbeleid wordt uitgevoerd en in welk tijdsbestek dat dient te geschieden?

       

6.2.1

Er is een schriftelijk (informatie)beveiligingsplan

vastgesteld door ................................................................. en

voor het laatst geactualiseerd per ..................................

Ja/Nee

@

of

Anderszins, nl. er is:

@

       

6.2.2

Daarin is aangegeven welke bedreigingen zijn onderkend.

Ja/Nee

       

6.2.3

Daarin is aangegeven welke maatregelen zijn getroffen of dienen te worden getroffen.

Ja/Nee

       

6.2.4

Daarin is aangegeven wanneer de maatregelen die getroffen dienen te worden, dienen te zijn gerealiseerd.

Ja/Nee

       

6.2.5

Daarin is aangegeven op welke wijze en wanneer wordt geëvalueerd.

Ja/Nee

       

6.2.6

Daarin is aangegeven op welke wijze het informatiebeveiligingsbeleid/het informatiebeveiligingsplan/de maatregelen9 worden gecommuniceerd naar de medewerkers.

Ja/Nee

       

6.2.7

Over de voortgang en evaluaties wordt schriftelijk

gerapporteerd aan: ...............................................

voor het laatst op ..........................................

Ja/Nee

@

       

Hoe is het beveiligingsstelsel georganiseerd?

       

6.3.1

-

In het formatieplan zijn de taken, verantwoordelijkheden en bevoegdheden met betrekking de informatiebeveiliging vastgelegd.

Ja/Nee

@

 

-

In de functie- en taakomschrijvingen zijn de taken, verantwoordelijkheden en bevoegdheden met betrekking de informatiebeveiliging vastgelegd.

Ja/Nee

@

of

Anderszins, nl. in:

 
       

6.3.2

Er is een functionele scheiding aangebracht tussen degenen die de beveiligingsmaatregelen opstellen, uitvoeren en controleren.

Ja/Nee

       

Ad 7

Welke maatregelen van technische aard zijn genomen om verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking van GBA-gegevens te voorkomen?

       

7.1

Iedere medewerker heeft een eigen bevoegdheidsprofiel.

Ja/Nee

Zo ja

Deze is door het management vastgesteld c.q. geformaliseerd

Ja/Nee

 

de actualiteit ervan wordt periodiek bewaakt,

Ja/Nee

 

bij wijziging taak wordt het profiel direct aangepast,

Ja/Nee

 

bij ontslag en vertrek van een medewerker wordt zijn/haar account c.q. autorisatie direct geblokkeerd en

Ja/Nee

 

hierover wordt periodiek

schriftelijk verantwoording afgelegd aan: ......................................

voor het laatst op ...................................................

Ja/Nee

@

       

7.2

De handelingen van medewerkers worden gelogd.

Ja/Nee

Zo ja

Deze logging wordt periodiek gecontroleerd en

Ja/Nee

 

hierover wordt schriftelijk gerapporteerd aan:

...............................................

voor het laatst op ...........................

Ja/Nee

@

       

7.3

De handelingen van de gegevensbeheerder worden gelogd.

Ja/Nee

Zo ja

Deze logging wordt periodiek gecontroleerd en

Ja/Nee

 

hierover wordt schriftelijk gerapporteerd aan:

...............................................

voor het laatst op ...........................

Ja/Nee

@

       

7.4

De handelingen van de applicatiebeheerder worden gelogd.

Ja/Nee

Zo ja

Deze logging wordt periodiek gecontroleerd en

Ja/Nee

 

hierover wordt schriftelijk gerapporteerd aan:

...............................................

voor het laatst op ...........................

Ja/Nee

@

       

7.5

De handelingen van de systeembeheerder worden gelogd.

Ja/Nee

Zo ja

Deze logging wordt periodiek gecontroleerd en

Ja/Nee

 

hierover wordt schriftelijk gerapporteerd aan:

............................................... voor het laatst op

...........................

Ja/Nee

@

       

7.6

In geval van remote onderhoud door de leverancier, worden de handelingen van de leverancier gelogd.

Ja/Nee

Zo ja

Deze logging wordt periodiek gecontroleerd en

Ja/Nee

 

hierover wordt schriftelijk gerapporteerd aan:

...............................................

voor het laatst op ...........................

Ja/Nee

@

       

7.7

De wachtwoorden zijn beveiligd.

Ja/Nee

Zo ja

Met de volgende items:

 
 

-

verplicht periodiek wijzigen;

Ja/Nee

 

-

minimaal 6 posities;

Ja/Nee

 

-

controle dat het nieuwe wachtwoord wezenlijk verschilt met de voorgaande(n);

Ja/Nee

 

-

door niemand op te vragen c.q. te benaderen;

Ja/Nee

 

-

blokkering na herhaalde foute inbreng;

Ja/Nee

 

-

melding daarvan;

Ja/Nee

 

-

anderszins, nl. door middel van:

 
       

7.8

Er is een toegangscontrolesysteem voor alle locaties waar toegang tot (delen van) de GBA kan worden verkregen.

Ja/Nee

Zo ja

Deze is door het management vastgesteld c.q. geformaliseerd,

Ja/Nee

 

alleen bevoegden hebben toegang,

Ja/Nee

 

de actualiteit ervan wordt periodiek bewaakt,

Ja/Nee

 

bij ontslag en vertrek van een medewerker wordt zijn/haar autorisatie direct geblokkeerd en

Ja/Nee

 

hierover wordt periodiek schriftelijk verantwoording afgelegd aan:

..............................................................

voor het laatst op .....................................

Ja/Nee

@

       

7.9

De toegang tot de datacommunicatiefaciliteiten waarmee toegang tot (delen van) de GBA kan worden verkregen, is afgeschermd door middel van een logische toegangsbeveiliging.

Ja/Nee

Zo ja

De opzet van de logisch toegangsbeveiliging is zodanig dat:

 
 

-

alleen datgene mogelijk is waarvoor uitdrukkelijk autorisatie is verleend;

Ja/Nee

 

-

het mogelijk is om de identiteit en authenticiteit van de gebruikers vast te stellen;

Ja/Nee

 

-

er beperkingen zijn gesteld aan het aantal keren dat onbevoegd wordt gepoogd toegang te krijgen;

Ja/Nee

 

-

de wachtwoorden slechts een beperkte tijd geldig zijn;

Ja/Nee

 

-

afwijkingen worden gesignaleerd en onderzocht.

Ja/Nee

       

7.10

Bij het opzetten van een verbinding voor interne datacommunicatie is de identiteit van de betrokken zend- en ontvangstpunten verzekerd.

Ja/Nee

Zo ja

Door middel van de volgende maatregelen:

 
 

-

terminal identificatie;

Ja/Nee

 

-

identificatie van het aansluitpunt;

Ja/Nee

 

-

anderszins, nl. door middel van:

 
       

7.11

Bij het opzetten van een verbinding voor externe datacommunicatie10 is de identiteit van de betrokken zend- en ontvangstpunten verzekerd.

Ja/Nee /Nvt

Zo ja

Door middel van de volgende maatregelen:

 
 

-

terminal identificatie;

Ja/Nee

 

-

een terugbelfunctie;

Ja/Nee

 

-

fire walls;

Ja/Nee

 

-

routers;

Ja/Nee

 

-

de authenticatie is niet door onbevoegden te onderscheppen;

Ja/Nee

 

-

anderszins, nl. door middel van:

 
       

7.12

T.a.v. het verzenden van GBA-gegevens door middel van externe datacommunicatie11, zijn voorzieningen getroffen.

Ja/Nee /Nvt

Zo ja

En wel de volgende:

 
 

-

de gegevens worden via erkende cryptografische methoden versleuteld verzonden;

Ja/Nee

 

-

men vergewist zich ervan dat verzonden berichten juist zijn aangekomen;

Ja/Nee

 

-

anderszins, nl. door middel van:

 
       

Ad 8

Welke maatregelen van organisatorische aard zijn genomen om verlies, aantasting en onbevoegde kennisneming, wijziging of verstrekking van GBA-gegevens te voorkomen?

       

8.1

Alle betrokkenen worden geïnformeerd over (wijzigingen in) hun taken, verantwoordelijkheden en bevoegdheden in relatie tot de informatiebeveiliging.

Ja/Nee

Zo ja

-

Hiervoor is een voorschrift opgesteld

Ja/Nee

@

   

dat door het management is vastgesteld c.q. geformaliseerd en

Ja/Nee

   

waarover periodiek schriftelijk verantwoording wordt afgelegd aan:

.....................................................................

voor het laatst op .........................................

Ja/Nee

@

of

-

Anderszins, nl. doordat:

 
       

8.2

Een ieder wordt betrokken bij de ontwikkeling en uitvoering van maatregelen.

Ja/Nee

Zo ja

Dat gebeurd doordat:

 
       

8.3

Geconstateerde dan wel vermoede inbreuken op de informatiebeveiliging worden gemeld.

Ja/Nee

Zo ja

Er is schriftelijke procedure voor incidentmeldingen en -registratie,

Ja/Nee

@

 

dat door het management is vastgesteld c.q. geformaliseerd,

Ja/Nee

 

dat bij alle betrokken medewerkers bekend is en

Ja/Nee

 

waarover periodiek schriftelijk verantwoording wordt afgelegd aan:

..................................................................

voor het laatst op ....................................

Ja/Nee

@

of

Anderszins, nl. doordat:

 
       

8.4

T.a.v. de beveiliging van verwijderbare gegevensdragers (zoals back-ups en kopieën van via alternatieve media verzonden berichten) zijn voorzieningen getroffen.

Ja/Nee

Zo ja

En wel de volgende:

 
 

-

Er is terzake een voorschrift opgesteld,

Ja/Nee

@

   

dat door het management is vastgesteld c.q. geformaliseerd,

Ja/Nee

   

dat bij alle betrokken medewerkers bekend is en

Ja/Nee

   

waarover periodiek schriftelijk verantwoording wordt afgelegd aan:

...................................................................

voor het laatst op .....................................;

Ja/Nee

@

 

-

De verwijderbare gegevensdragers worden in een daartoe bestemde kluis opgeslagen,

Ja/Nee

   

die, of de ruimte waarin de kluis staat, is voorzien van een inbraakdetectie, en

Ja/Nee

   

waarvan het sleutelbeheer, alsmede de verdere toegangscontrole en beheersing van die kluis resp. de ruimte zodanig is dat uitsluitend bevoegde personen toegang kunnen hebben tot de gegevensdragers;

Ja/Nee

en/of

-

anderszins, nl.:

@

       

8.5

T.a.v. de beveiliging van het transport van verwijderbare gegevensdragers (zoals back-ups en kopieën van via alternatieve media verzonden berichten) zijn voorzieningen getroffen.

Ja/Nee

Zo ja

En wel de volgende:

 
 

-

Er is terzake een voorschrift opgesteld,

Ja/Nee

@

   

dat door het management is vastgesteld c.q. geformaliseerd,

Ja/Nee

   

dat bij alle betrokken medewerkers bekend is en

Ja/Nee

   

waarover periodiek schriftelijk verantwoording wordt afgelegd aan:

...........................................................

voor het laatst op ....................................;

Ja/Nee

@

 

-

Het transport naar een andere locatie geschiedt door een extern bedrijf dat daarin is gespecialiseerd en

Ja/Nee

   

dat daarover schriftelijk periodiek verantwoording aflegt aan:

.........................................

voor het laatst op ..........................;

Ja/Nee

@

en/of

-

anderszins, nl.:

@

       

8.6

Voorkomen wordt dat afgedankte en niet meer functionerende (verwijderbare) gegevensdragers in handen van onbevoegden komen.

Ja/Nee

Zo ja

-

Er is hiervoor een procedure voor het vernietigen of onbruikbaar maken opgesteld,

Ja/Nee

@

   

dat door het management is vastgesteld c.q. geformaliseerd,

Ja/Nee

   

dat bij alle betrokken medewerkers bekend is en

Ja/Nee

   

waarover periodiek schriftelijk verantwoording wordt afgelegd aan:

..............................................................

voor het laatst op .......................................

Ja/Nee

@

of

-

Anderszins, nl. doordat:

 
       

8.7

Er zijn voorzieningen getroffen om de schade te beperken bij schending van de geheimhouding van GBA-gegevens en om herhaling te voorkomen.

Ja/Nee

Zo ja

Het betreffen:

 
       

Ad 9

Welke voorzieningen zijn getroffen om vast te stellen en te bewaken dat de bewerker voldoet resp. blijft voldoen aan het gestelde in en krachtens artikel 53 van het Besluit GBA?

9.1

In de schriftelijke overeenkomst met de bewerker, waarin de door de bewerker te verrichten werkzaamheden zijn vastgelegd, is tevens overeengekomen dat de bewerker zal handelen in overeenstemming met de in en krachtens artikel 53 van het Besluit GBA gestelde eisen.

Ja/Nee

       

9.2

.… keer per .… jaar wordt getoetst of de bewerker handelt in overeenstemming met de in en krachtens artikel 53 van het Besluit GBA gestelde eisen.

Ja/Nee

Zo ja

En wel op de volgende wijze:

 
 

-

De gemeente toetst zelf,

Ja/Nee

   

aan de hand van een (soort) checklist en

Ja/Nee

@

   

daarover wordt schriftelijk gerapporteerd aan:

..............................................................

voor het laatst op ...................................

Ja/Nee

@

of

-

De gemeente laat de toets door een extern bureau uitvoeren en

Ja/Nee

   

daarover wordt schriftelijk gerapporteerd aan:

......................................................................

voor het laatst op ..........................................

Ja/Nee

@

of

-

De gemeente heeft de bewerker verplicht om een extern bureau de toets te laten uitvoeren en

Ja/Nee

   

het rapport te overleggen aan:

.....................................................................

hetgeen voor het laatst is gebeurd op .........................

Ja/Nee

@

of

-

Anderszins, nl. doordat:

 
       

Ad 10

Welke voorzieningen zijn getroffen in het kader van de verzending van GBA-berichten via alternatieve media zodat wordt voldaan aan de in paragraaf 7.3.5 van het LO geldende eisen?

       

10.1

In een voorschrift is bepaald dat de voorbereiding bij het verzenden van alternatieve media en de daadwerkelijke verzending ervan geschiedt conform het gestelde terzake in bijlage 1 van het onderdeel Vulberichten in de Handleiding Operationele Procedures (achter tabblad 16).

Ja/Nee

@

Zo ja

Dat voorschrift is door het management vastgesteld c.q. geformaliseerd,

Ja/Nee

 

is bij alle betrokken medewerkers bekend,

Ja/Nee

 

…. keer per …. jaar wordt getoetst of conform het voorschrift is gehandeld en

Ja/Nee

 

daarover wordt schriftelijk verantwoording afgelegd aan:

............................................................................

voor het laatst op ..................................

Ja/Nee

@

Zo niet

Ten aanzien van de beveiliging van het transport van alternatieve media zijn de volgende voorzieningen getroffen:

 
       

Ad 11

11

Maakt de gemeente gebruik van de mogelijkheid om de privacy-aspecten door middel van een aanvullende vragenlijst te laten toetsen?

Ja/Nee

  1. Verzenden aan:Ministerie van Binnenlandse Zaken en Koninkrijksrelaties Agentschap Basisadministratie Persoonsgegevens en Reisdocumenten Postbus 10451 2501 HL Den Haag. ^ [1]
  2. Hiermee worden bedoeld de kopie van de persoonskaart van het Vestigingsregister en Nederlandse brondocumenten die door instanties in Nederland zijn opgemaakt, niet zijnde de persoonskaart. Indien de gemeente het brondocument niet heeft bewaard, dient de gemeente bij de desbetreffende instantie een nieuw exemplaar op te vragen. Het betreffen derhalve: de kopie van de persoonskaart, (kennisgevingen van) akten van de burgerlijke stand, besluiten, (afschriften van) rechterlijke uitspraken, kennisgevingen van het gezagsregister (voorheen het voogdijregister) en kennisgevingen van het curateleregister, tenzij deze de vorm hebben van een Og01-, Og11- dan wel een Tb01-bericht ^ [2]
  3. Brief van 1 maart 1999 (kenmerk BPR99/U58398). De opsomming van de betreffende afwijkingen is als bijlage bij die brief opgenomen. ^ [3]
  4. In de vragenlijst zijn de desbetreffende documenten gemarkeerd doordat in de rechter kolom het teken ‘@’ is opgenomen. ^ [4]
  5. Wat betreft de norm geldt dat gebruik gemaakt wordt van de methode van dubbele secuur. Dat wil zeggen dat er in eerste instantie een voorlopige secuur c.q. norm wordt vastgesteld en op basis van verkregen resultaten de definitieve secuur wordt vastgesteld. De voorlopige norm is dat sprake is van te veel indien de (potentiële) auditor meer dan 20% afwijkingen niet opspoort. Daarbij wordt het ten onrechte als afwijking aanmerken van gegevens als het niet aanmerken van een afwijking geteld. ^ [5]
  6. Het niet aanwezig zijn van de gehanteerde brondocumenten is echter geen reden om desbetreffende situatie niet te laten controleren. ^ [6]
  7. Doorhalen hetgeen niet van toepassing is. ^ [7]
  8. Indien één of meerdere van toepassing zijn, doorhalen hetgeen niet van toepassing is. Beschikbaarheid; de informatie moet zonder belemmeringen beschikbaar zijn overeenkomstig gemaakte afspraken en wettelijke voorschriften. Exclusiviteit; de informatie moet in overeenstemming zijn met de realiteit en niets mag ten onrechte worden achtergehouden of zijn verdwenen. Integriteit; uitsluitend bevoegde personen hebben toegang tot en kunnen gebruik maken van de in de registratie opgenomen gegevens. ^ [8]
  9. Indien één of meerdere van toepassing zijn, doorhalen hetgeen niet van toepassing is. ^ [9]
  10. Niet zijnde het GBA-netwerk. ^ [10]
  11. Niet zijnde het GBA-netwerk. ^ [11]
Naar boven