RvIG staat voor een veilig en betrouwbaar gebruik van identiteitsgegevens. Continue aandacht voor de kwaliteit van deze gegevens en van de onderliggende processen is voor RvIG als uitvoeringsorganisatie essentieel. Een nauwe samenwerking en afstemming met gemeenten is hierbij onlosmakelijk verbonden. De gemeenten vervullen namelijk een grote rol als het gaat om de verwerking en bijhouding van de gegevens. Een belangrijk hulpmiddel voor gemeenten om de kwaliteit en beveiligingsaspecten hiervan te toetsen is de zelfevaluatie. Samen met RvIG-medewerkers Eric Catsburg, Rajshri Soekhoe en Marc Winsemius kijken we naar het proces van de zelfevaluatie.

Doel zelfevaluaties

De zelfevaluatie Basisregistratie Personen (BRP) is een jaarlijkse toets die bestaat uit onder andere vragen over de inrichting, werking, beveiliging en verwerking van gegevens van de BRP. Met de zelfevaluatie paspoorten en Nederlandse identiteitskaarten (vragenlijst PNIK) toetsen gemeenten de toepassing van de beveiligingsmaatregelen en de overige aspecten van het aanvraag- en uitgifteproces reisdocumenten.

Rajshri Soekhoe, Adviseur Stelselkwaliteit Reisdocumenten: ‘Door de vragen te beantwoorden worden medewerkers van gemeenten bewust gemaakt van de manier waarop ze omgaan met gegevens en reisdocumenten, de verwerking en de beveiliging daarvan. Op deze manier zorgt de zelfevaluatie voor een doorlopende kwaliteitsbevordering bij gemeenten.’

2 soorten vragen

De zelfevaluatie bestaat uit 2 soorten vragen: domeinvragen en informatieveiligheidsvragen. Domeinvragen zijn specifieke vragen die gaan over de stelsels BRP en Reisdocumenten. ‘Deze vragen worden gesteld via de Kwaliteitsmonitor. Dit is een website in een besloten internetomgeving die door RvIG wordt beheerd’ zegt Eric Catsburg, Product Owner Kwaliteitsmonitor. In 2017 zijn de vragen over informatieveiligheid overgeheveld van de Kwaliteitsmonitor naar de Eenduidige Normatiek Single Information Audit (ENSIA).

ENSIA is in samenwerking met de Vereniging van Nederlandse Gemeenten (VNG) en gemeenten in het leven geroepen. De doelstelling van ENSIA is het realiseren van een ingericht verantwoordingsstelsel voor informatieveiligheid. Het uitgangspunt is de beperking van administratieve lasten voor gemeenten door op een plek en via een tool de gemeentelijke informatiebeveiliging te toetsen.

Jaarlijkse planning

Elk jaar kunnen gemeenten vanaf 1 juli de vragenlijsten in de Kwaliteitsmonitor en in de ENSIA-tool invullen. Naar aanleiding van de gestelde vragen en de tussentijdse resultaten op de domeinvragen in de Kwaliteitsmonitor, krijgen de gemeenten de gelegenheid om acties te plannen en door te voeren. Van 1 tot en met 31 december kunnen gemeenten de vragenlijsten definitief maken. Vanaf 2 januari van het jaar daarop worden de resultaten uit ENSIA samengevoegd met de resultaten in de Kwaliteitsmonitor. Kort hierna kunnen de gemeenten hun score per thema zien.

De Kwaliteitsmonitor maakt op basis van de uitkomsten voor elke gemeente per zelfevaluatie een uittreksel. Het uittreksel van de zelfevaluatie PNIK moet ondertekend worden door de burgemeester. Het uittreksel van de zelfevaluatie BRP moet ondertekend worden door het college van burgemeester en wethouders. Gemeenten sturen de uittreksels vóór 14 februari naar RvIG waarbij alleen het uittreksel van de zelfevaluatie BRP ook naar de Autoriteit Persoonsgegevens wordt gestuurd.

Van links naar rechts: Marc Winsemius, Rasjhri Soekhoe en Eric Catsburg

Toekomst van de zelfevaluatie

Met ingang van 2018 worden de uitkomsten van de zelfevaluaties BRP en PNIK op een andere manier bepaald en gepresenteerd. Hiervoor zijn verschillende aanleidingen:

  1. De wens om gemeenten meer handvatten te bieden met de uitkomsten
  2. Het vergelijken van de uitkomsten in de afgelopen jaren werd steeds moeilijker door veranderingen binnen de zelfevaluaties
  3. Eerder gemaakte keuzes over de weging van uitkomsten zijn aan een herziening toe
  4. Gemeenten konden tekortkomingen in de wettelijke eisen compenseren door te voldoen aan aanbevelingen

Thema's zelfevaluatie

Waar voorheen een algemene totaalscore werd gegeven, wordt deze vervangen door de resultaten van 6 thema’s. De thema’s bevatten voldoende vragen om een globaal oordeel over het thema te kunnen geven. Ook zijn de thema’s onderling meer in balans. Het aantal te behalen punten per thema blijft alle jaren gelijk. De weging van de vragen in een thema kan jaarlijks veranderen. Er blijft inhoudelijke flexibiliteit om jaarlijks vragen te wijzigen, te rouleren en toe te voegen.

Daarnaast worden de resultaten op de verdiepingsvragen (voorheen aanbevelingen) gescheiden van de vragen over wettelijke verplichtingen en in een apart thema gepresenteerd.

Leden klankbordgroep

In de klankbordgroep zelfevaluatie zijn de volgende gemeenten vertegenwoordigd:

  • Groningen
  • Amsterdam
  • Amstelveen
  • Hilvarenbeek
  • Doetinchem
  • Emmen
  • Amersfoort
  • Cranendonck
  • Heeze-Leende
  • Valkenswaard

Klankbordgroep zelfevaluatie: samen staan voor kwaliteit

Om gemeenten te betrekken bij de zelfevaluatie is een klankbordgroep ingericht. In samenwerking met de leden van de klankbordgroep wordt de opzet van de zelfevaluatie continu verbeterd. ‘De leden zijn de verbindende schakel tussen RvIG en gemeenten’ vindt ook Marc Winsemius, Relatiebeheerder bij RvIG.

De leden zijn gespecialiseerd op de gebieden BRP, Reisdocumenten en informatieveiligheid. Dat de leden een bijdrage leveren blijkt wel uit de vele opmerkingen en suggesties die zij aandragen over het proces, maar ook bij de invulling van de vragenlijsten. Hun inbreng wordt zeer gewaardeerd.

De klankbordgroep zal zeker voor de komende periode een grotere verbindende rol gaan vervullen in het kader van de zelfevaluaties BRP en PNIK. We zullen u binnenkort informeren over wat u precies van de klankbordgroep kunt verwachten.

Kortom.. een nieuw jaar zelfevaluatie!