Resultaat zelfevaluatie BRP 2023

Managementsamenvatting

De Basisregistratie Personen (BRP) is als centrale registratie van persoonsgegevens een van de belangrijkste registraties van Nederland. De overheid vertrouwt sterk op de BRP om haar burgers te bedienen. De kwaliteit van gegevens is daarom van groot belang en het is cruciaal dat de BRP goed beveiligd is tegen ongeautoriseerde toegang. De Nederlandse gemeenten zijn belast met de bijhouding van de persoonsgegevens van hun inwoners en de minister van Binnenlandse Zaken en Koninkrijksrelaties houdt de gegevens bij van niet- ingezetenen. Jaarlijks onderzoek naar de inrichting, de werking en de beveiliging van de BRP, gecombineerd met een onderzoek naar de verwerking van gegevens in de BRP, is bij wet geregeld. Dit onderzoek staat bekend als de zelfevaluatie BRP. In dit rapport staan de resultaten van de zelfevaluatie BRP die in 2023 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet-ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP. Tot slot worden de acties voor kwaliteitsbevordering naar aanleiding van de resultaten benoemd.

Gemeentelijke BRP

Alle 342 Nederlandse gemeenten hebben in 2023 de zelfevaluatie BRP uitgevoerd. Aan de hand van de zelfevaluatie krijgen gemeenten inzichtelijk of werkprocessen in overeenstemming met wet- en regelgeving zijn ingericht en of de uitvoering daarvan leidt tot de gewenste kwaliteit van gegevens in de BRP. De resultaten van de zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties. De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. Het onderzoek naar de kwaliteit van gegevens laat zien dat uitvoering van de processen nog niet overal en altijd tot de gewenste kwaliteit van gegevens leidt.

Opzet van de zelfevaluatie BRP

De opzet van de zelfevaluatie BRP is in 2023 vernieuwd. RvIG heeft samen met een aantal gemeenten, de NVVB en de VNG een betere manier van meten op en rapporteren over de kwaliteit van de BRP ontwikkeld, zodat deze meer aansluit op toetsbare normen en een beter beeld geeft van de dienstverlening aan burgers. 

De oude zelfevaluatie zag vooral toe op vragen over de naleving van -vaak operationele- maatregelen die niet vertaald waren in toetsbare normen of beheersdoelstellingen. Dat maakt het voor de bestuurders van de gemeente lastig om hun taak van horizontaal toezicht uit te voeren en te bepalen of de BRP-dienstverlening aan de burgers voldoet aan de normen die de gemeente stelt. Het college van B&W neemt wel kennis van de managementrapportage, maar in de praktijk wordt daar weinig gevolg aan gegeven, omdat toetsing tegen een norm niet mogelijk was. Hierdoor is er beperkte politieke aandacht voor de kwaliteit van de BRP. De toetsbare normen tijdigheid, juistheid, volledigheid en voldoen aan wettelijke vereisten van de BRP zijn vertaald in een nieuwe vragenlijst voor de Zelfevaluatie BRP 2023. 

Er is een onderscheid gemaakt in normen die rechtstreeks toezien op het naleven van de wet- en regelgeving (rechtmatigheid) en normen die toezien op de volwassenheid van de sturing door gemeenten op de eigen kwaliteitsdoelen. De volwassenheidsnormen zien toe op de tijdige, juiste en volledige verwerking van gegevens in de BRP door gemeenten. De volwassenheidsvragen zijn bedoeld om intern kwaliteitsafspraken te maken en vervolgens op die afspraken te sturen. Uiteindelijk is het doel om ‘continu te leren en te verbeteren’ te realiseren voor de BRP-processen. Dit is een lange termijn doelstelling en de eerste set volwassenheids- vragen is bedoeld om dit proces in gang te zetten. Omdat gemeenten dit jaar voor het eerst werken met de volwassenheidsvragen is er géén score toegekend aan deze vragen en tellen deze niet mee in de uiteindelijke resultaten van de zelfevaluatie BRP 2023 en verantwoording aan de Autoriteit Persoonsgegevens.

Naast de nieuwe domeinvragen zijn de bekende ENSIA -vragen over informatieveiligheid opgenomen in de zelfevaluatie BRP. Dit zijn de thema’s Organisatie van beveiliging, Toegangsbeveiliging en Naleving. Vanwege deze grote verandering in de opzet en puntentelling zijn de scores niet te vergelijken met voorgaande jaren. 

Kwaliteit van de processen

Het resultaat van de vragenlijst over de processen wordt weergeven in 7 thema’s met vragen volgend uit wet- en regelgeving. In tabel 1 staan de thema’s met het totaalresultaat van alle gemeenten (in percentage van de maximale score) en het aantal gemeenten dat een 100% score heeft behaald. 

• De thema’s 1 tot en met 3 bevatten de informatieveiligheidsvragen (ENSIA). 
• De thema’s 4 tot en met 7 bevatten de rechtmatigheidsvragen. 

Hoewel gestreefd moet worden naar 100% score voor alle thema’s komen door het uitvoeren van de zelfevaluatie bij veel gemeenten nog verbeter- of aandachtspunten naar voren. 

Tabel 1 Gemiddelde score per thema in percentage en aantal met gemeenten 100% score

Kwaliteit van de gegevens

De Rijksdienst voor Identiteitsgegevens (RvIG) controleert, door middel van een bestandscontrole, de administratieve kwaliteit van de BRP-gegevens. De uitkomst van de controle maakt deel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn van 22,1 miljoen persoonslijsten de BRP-gegevens gecontroleerd. Alle gemeenten scoren boven de vastgestelde normen. Bij 99,7% van de persoonslijsten is er geen enkele afwijking uit de bestandscontrole gekomen. De gemeenten hebben daarnaast in totaal 19.563 door RvIG geselecteerde persoonslijsten handmatig gecontroleerd op de inhoudelijke kwaliteit. RvIG selecteert de persoonslijsten op basis van het vaste thema ‘Eerste inschrijvingen in de BRP’. Daarnaast wordt jaarlijks een tweede thema vastgesteld. In 2023 zijn dit ‘Actualiseringen en correcties in de categorieën met ouder-, kind- of partnergegevens’. De controle is uitgevoerd aan de hand van de bijbehorende brondocumenten en aangiften. Op de geselecteerde persoonslijsten zijn door de gemeenten 3.157 (16,1%) afwijkingen geconstateerd. Dit resultaat geeft aan dat de gerealiseerde kwaliteit van gegevens in de BRP om verbetering vraagt. Niet alle geconstateerde afwijkingen zijn fouten in de registratie; 6,4% van de afwijkingen betrof het niet terug kunnen vinden van het onderliggende brondocument.

RNI-loketgemeenten

Voor het inschrijven van niet-ingezetenen heeft de minister 19 RNI-loketten, verspreid door heel Nederland, gevestigd bij gemeenten. De loketgemeenten voeren jaarlijks een zelfevaluatie uit die bestaat uit een vragenlijst ingedeeld in 6 thema’s. Alle RNI-loketgemeenten hebben in 2023 de zelfevaluatie RNI uitgevoerd. In de tabel 2 hieronder staan de 6 thema’s met het totaalresultaat van alle 19 RNI-loketgemeenten (in percentage van de maximale score) en het aantal daarvan dat een 100% score heeft behaald.

Tabel 2 Gemiddelde score per thema in percentage en aantal met gemeenten 100% score

Centrale voorzieningen BRP

De minister voert jaarlijks een onderzoek uit naar de inrichting, de werking en de beveiliging van de centrale voorzieningen van de BRP en de verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is. De centrale voorzieningen zijn de BRP-V (verstrekking van BRP-gegevens aan afnemers), de RNI, de Terugmeldvoorziening (TMV 2.0) en de berichtendienst voor afnemers. Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader en een vragenlijst voor de processen van de RNI.

Inrichting en beveiliging Centrale Voorzieningen 

In 2023 is binnen RvIG een traject gestart om het proces: ‘uitvoeren zelfevaluatie Centrale Voorzieningen’ te verbeteren. In 2024 is de eerste fase van het verbetertraject ingevoerd. Door de nieuwe vorm van het periodieke onderzoek zijn deze uitkomsten helaas niet tijdig beschikbaar voor deze rapportage.

Werking Centrale Voorzieningen

Voor de werking is onderscheid gemaakt tussen de technische en de functionele werking van de Centrale Voorzieningen. De technische werking is gemeten aan de hand van beschikbaarheid, aantal incidenten en gebruik noodvoorzieningen RNI. De functionele werking aan de hand van synchroniciteit BRP-V, aantal dubbelinschrijvingen en afhandeling protocolleringsverzoeken. Voor de functionele werking is gebruik gemaakt van de bestaande controles uit de Bestandscontrolemodule (BCM) voor de BRP. De beschikbaarheid van de Centrale Voorzieningen was in 2023 ruimschoots boven de gestelde norm.

Inleiding

De overheid heeft de juiste gegevens nodig van haar burgers. Bijvoorbeeld om een paspoort, een identiteitskaart of een rijbewijs te kunnen maken, om te weten wie mag stemmen bij verkiezingen, om uitkeringen te verstrekken en om gemeentelijke belastingen te heffen. Maar ook organisaties zoals de Belastingdienst, uitkeringsinstanties en pensioenfondsen gebruiken deze persoonsgegevens om hun beslissingen goed af te stemmen op de persoonlijke situatie van burgers. Alle gemeenten in Nederland zorgen voor een actuele en correcte status van de Basisregistratie Personen. De minister van Binnenlandse Zaken en Koninkrijksrelaties is verantwoordelijk voor het gedeelte voor mensen buiten Nederland en mensen die korter dan 4 maanden in Nederland verblijven (de Registratie Niet-ingezetenen, RNI).

Het is cruciaal dat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie in de BRP en gerelateerde systemen voldoet aan de wettelijke eisen. Jaarlijks onderzoek naar de inrichting, de werking en de beveiliging van de BRP, gecombineerd met een onderzoek naar de verwerking van gegevens in de BRP, is in de wet geregeld. Dit onderzoek staat bekend als de zelfevaluatie BRP. In dit rapport staan de resultaten van de zelfevaluatie BRP die in 2023 is uitgevoerd door gemeenten voor de BRP, de RNI-loketgemeenten voor de Registratie niet-ingezetenen (RNI) en door de minister voor de centrale voorzieningen van de BRP. Tot slot worden de acties benoemd voor kwaliteitsbevordering naar aanleiding van de resultaten.

Zelfevaluatie gemeenten

In 2023 hebben alle 342 Nederlandse gemeenten een onderzoek uitgevoerd naar de inrichting, werking en beveiliging van BRP. Gemeenten voerden dit onderzoek uit door middel van een zelfevaluatie. Het doel van de zelfevaluatie is om de gemeente inzicht te geven of de werkprocessen in overeenstemming met wet- en regelgeving zijn ingericht en inzicht te geven in de kwaliteit van gegevens in de BRP. De resultaten van deze zelfevaluatie worden gerapporteerd aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK).

De opzet van de zelfevaluatie BRP is in 2023 vernieuwd. RvIG heeft samen met een aantal gemeenten, de NVVB en de VNG een betere manier van meten op en rapporteren over de kwaliteit van de BRP ontwikkeld, zodat deze meer aansluit op toetsbare normen en een beter beeld geeft van de dienstverlening aan burgers. De zelfevaluatie BRP 2023 bevat nieuwe vragenlijsten met een nieuwe puntentelling voor de rechtmatigheidsvragen. Vanwege deze grote verandering in de opzet zijn de scores op de verschillende thema’s niet te vergelijken met voorgaande jaren. De volwassenheidsvragen zijn in 2023 nog optioneel en tellen niet mee in de score.

De zelfevaluatie BRP 2023 voor gemeenten bestaat uit 5 onderdelen: 

• Vragenlijst met rechtmatigheidsvragen 
  De gemeenten vullen een vragenlijst in over de inrichting, werking en beveiliging van de BRP. Op basis van de uitkomsten worden risico’s en verbeterpunten in kaart gebracht. De vragen zijn onderverdeeld in 4 thema’s: Beleid en organisatie, Uitvoering bijhouden, Uitvoering verstrekking, en Uitvoering incidentafhandeling.
• Vragenlijst met volwassenheidsvragen
  De volwassenheidsvragen zijn bedoeld om intern kwaliteitsafspraken te maken en vervolgens op die afspraken te sturen. Uiteindelijk is het doel om ‘continu te leren en te verbeteren’ te realiseren voor de BRP-processen. Omdat gemeenten dit jaar voor het eerst werken met de volwassenheidsvragen is invullen optioneel en is er géén score toegekend aan deze vragen. Deze tellen deze dus niet mee in de uiteindelijke resultaten van de zelfevaluatie BRP 2023.
• Vragenlijst over informatieveiligheid 
  Sinds 2017 zijn de vragen over informatieveiligheid ondergebracht in de Eenduidige Normatiek Single Information Audit (ENSIA). ENSIA richt zich op de gemeentelijke verantwoording rond de informatieveiligheid op basis van de Baseline Informatiebeveiliging Overheid (BIO).
• Bestandscontrole
  De bestandscontrole is een controle van de algemene en administratieve gegevens op de persoonslijsten van alle ingezetenen. RvIG voert de controle maandelijks uit op de persoonslijsten in BRP- Verstrekkingsvoorziening (BRP-V) met meer dan 3000 controleregels. De uitkomsten worden maandelijks aan de gemeenten gepresenteerd in de applicatie kwaliteitsmonitor. Het resultaat van de controle van december 2023 maakt onderdeel uit van deze rapportage zelfevaluatie BRP.
• Inhoudelijke controle persoonslijsten 
  Een onderzoek naar de inhoudelijke kwaliteit van de persoonslijsten aan de hand van bijbehorende brondocumenten. RvIG maakt een selectie van persoonslijsten op basis van een vast en een jaarlijks wijzigend thema. De gemeenten voeren een controle op de geselecteerde persoonslijsten uit, waarna RvIG steekproefsgewijs een toetsing uitvoert.

Zelfevaluatie Centrale voorzieningen

De minister heeft in 2023 een onderzoek uitgevoerd naar de inrichting, werking en beveiliging van de centrale voorzieningen van de BRPen de verwerking van gegevens in de BRP, voor zover de minister daarvoor verantwoordelijk is. De Rijksdienst voor Identiteitsgegevens (RvIG) voert een zelfevaluatie uit door middel van een vragenlijst voor de RNI en een normenkader voor alle centrale voorzieningen.

Zelfevaluatie RNI

Alle loketgemeenten voeren een zelfevaluatie uit door middel van een vragenlijst. De vragen zijn onderverdeeld in dezelfde 6 thema’s als de zelfevaluatie gemeenten: Organisatie van de beveiliging, Naleving, Toegangsbeveiliging, Bijhouding van de BRP, Verstrekking van gegevens en Aanbeveling. 

Opzet van de zelfevaluatie 

De zelfevaluaties die worden uitgevoerd door de gemeenten, RNI-loketgemeenten en door de minister zijn verschillend van opzet en worden onderstaand nader toegelicht.

Gemeenten

Jaarlijks voeren de gemeenten een verplicht onderzoek uit naar de inrichting, werking en beveiliging van de Basisregistratie Personen (BRP). Ook onderzoeken zij de verwerking van gegevens in de basisregistratie. 

RvIG heeft in 2023 samen met een aantal gemeenten, de Nederlandse Vereniging voor Burgerzaken (NVVB) en de Vereniging van Nederlandse Gemeenten (VNG) een betere manier van meten en rapporteren over de kwaliteit van de BRP ontwikkeld. Deze manier sluit meer aan op toetsbare normen en geeft een beter beeld van de dienstverlening aan burgers.

De voorgaande zelfevaluatie bestond vooral uit vragen over de naleving van wettelijke maatregelen. Deze wettelijke maatregelen zijn niet vertaald in toetsbare normen of beheersdoelstellingen. Dat maakt het voor de bestuurders van gemeenten lastig om de kwaliteit van de BRP-dienstverlening te bepalen. Het college van burgemeester en wethouders (B&W) neemt wel kennis van de managementrapportage, maar in de praktijk wordt daar weinig gevolg aan gegeven. Hierdoor is er vrijwel geen politieke aandacht voor de kwaliteit van de BRP.

Een norm is een algemeen aanvaard uitgangspunt waar de kwaliteit van de registratie en dienstverlening aan moet voldoen. Zo is het van belang dat de gegevens in de BRP binnen een bepaalde tijd worden verwerkt, volledig zijn, geen fouten bevatten en voldoen aan de wettelijke vereisten. Uitgangspunten voor de normen zijn:

• Tijdigheid (zijn alle gegevens binnen de gestelde termijn verwerkt);
• Volledigheid (zijn alle personen en alle benodigde gegevens van personen verwerkt);
• Juistheid (zijn alle gegevens correct verwerkt);

• Voldoen de geregistreerde gegevens aan de wettelijke vereisten.

  De vragenlijsten van het onderzoek naar de inrichting, werking en beveiliging van de basisregistratie bestaan vanaf 2023 uit 3 soorten vragen:

• Rechtmatigheidsvragen (Domeinvragen)
• Volwassenheidsvragen (Domeinvragen)
• Informatieveiligheidsvragen (ENSIA)

Voor de score op de zelfevaluatie BRP over 2023 worden de rechtmatigheidsvragen (Domeinvragen kwaliteitsmonitor) en de informatieveiligheidsvragen (ENSIA) meegeteld.  Deze zijn nu onderverdeeld in 7 thema’s met wettelijke eisen. Dit is een wijziging ten opzichte van de vorige opzet, die bestond uit vijf thema’s met wettelijke eisen en één thema met aanbevelingen. Bij de rechtmatigheidsvragen kunnen gemeenten nu kiezen uit vier mogelijke antwoorden: ja, grotendeels, deels of nee. Dit vervangt de eerdere ja/nee-opties en biedt een meer genuanceerde beoordeling van de mate waarin de opzet, het bestaan en de werking zijn gecontroleerd. De wijzigingen omvatten naast de nieuwe vragenlijsten met andere antwoordmogelijkheden een vernieuwde puntentelling. Hierdoor zijn de scores op de verschillende thema’s niet vergelijkbaar met die van voorgaande jaren.

De rechtmatigheidsvragen zijn specifieke vragen die over de BRP-processen gaan. De vragen bevatten normen die rechtstreeks toezien op het naleven van de wet- en regelgeving. De gemeenten vullen deze vragen in via de Kwaliteitsmonitor. Deze 21 domeinvragen zijn onderverdeeld in 4 thema’s:

• Beleid en Organisatie
• Uitvoering Bijhouden
• Uitvoering Verstrekking
• Uitvoering Incidentafhandeling

De informatieveiligheidsvragen (ENSIA) van de zelfevaluatie BRP zijn vragen die gaan over de inrichting en beveiliging van de systemen waarin de persoonsgegevens worden opgeslagen. Enkele vragen zijn voor 2023 aangepast, maar de systematiek van deze vragenlijst is hetzelfde gebleven. De informatieveiligheidsvragen worden door de gemeenten beantwoord via de tool van Eenduidige Normatiek Single Information Audit (ENSIA) en zijn ingedeeld in drie thema’s:

• Organisatie van de beveiliging
• Toegangsbeveiliging
• Naleving

Bij de volwassenheidsvragen kunnen gemeenten aangegeven op welk volwassenheidsniveau de organisatie zit qua kwaliteitsbeleid. De vraagstelling is opgezet naar: opzet, bestaan en werking van de processen. Bij het beantwoorden van vragen over de opzet en het bestaan evalueert de gemeente of het proces daadwerkelijk geïmplementeerd is en één keer of enkele malen uitgevoerd is. Bij de vragen over de werking evalueert de gemeente of het proces over een langere periode (bijvoorbeeld een jaar) meerdere malen systematisch wordt uitgevoerd en evalueer je deze uitvoering. Op deze manier krijgt men een beter zicht op de kwaliteit van de uitvoering van de BRP en inzicht waar mogelijk processen niet of beperkt worden uitgevoerd.

Op alle niveaus kunnen de gemeenten de vraag stellen: 'Wat kan er beter?’ Deze vragen zijn bedoeld om intern kwaliteitsafspraken te maken en vervolgens op die afspraken te sturen. Uiteindelijk is het doel om ‘continu te leren en te verbeteren’ te realiseren voor de BRP-processen. Zo kan een verbetercyclus ontstaan die ook wel de Plan-Do-Check-Act (PDCA) cyclus wordt genoemd.

De uitkomsten hierover lenen zich goed voor een horizontale verantwoording van college aan de gemeenteraad en voor horizontaal toezicht door de gemeenteraad. Daarmee wordt invulling gegeven aan eerder uitgesproken wensen van bestuurders om de kwaliteit van de persoonsregistratie voor de gemeenteraad meer politiek herkenbaar te maken (aansluiten op beleidsdoelen/dienstverlening aan burgers). 

Dit is een lange termijn doelstelling en de eerste set van 8 volwassenheidsvragen is bedoeld om dit proces in gang te zetten. Omdat gemeenten in 2023 voor het eerst met de volwassenheidsvragen werkten, was invullen optioneel en is géén score toegekend aan deze vragen. Deze vragen tellen dus niet mee in de uiteindelijke resultaten van de zelfevaluatie BRP 2023 en er hoeft nog geen verantwoording over afgelegd te worden aan de Autoriteit Persoonsgegevens. Hiervoor is gekozen om gemeenten de mogelijkheid te geven om te wennen aan deze nieuwe manier van verantwoorden. Er is in deze rapportage daarom ook geen score opgenomen over de volwassenheidsvragen.

Samenvattend biedt de vernieuwde zelfevaluatie BRP 2023 gemeenten de mogelijkheid om een meer gedetailleerd en genuanceerd beeld te geven van hun naleving en controle van de basisregistratie, met als doel de kwaliteit en beveiliging van de basisregistratie te verbeteren.

Naast de vragenlijst maken ook een bestandscontrole en een inhoudelijke controle aan de hand van brondocumenten onderdeel uit van de zelfevaluatie. De uitkomsten van de bestandscontrole en de inhoudelijke controle aan de hand van brondocumenten worden ingedeeld in 7 verschillende foutklassen. De foutklassen zijn gekoppeld aan de soort gegevens die zijn geregistreerd op de persoonslijst:

•             Klasse A: Persoon en overlijden
•             Klasse B: Adres
•             Klasse C: Relaties
•             Klasse D: Identificatienummers en Nationaliteit
•             Klasse E: Overige algemene gegevens
•             Klasse F: Administratieve gegevens
•             Klasse G: Ontbreken brondocument (bij de inhoudelijke controle)

Door de combinatie van het invullen van de vragenlijst voor de processen en de uitvoering van de controles op gegevens krijgen de gemeenten inzicht in de inrichting, werking en beveiliging van de BRP.

Verloop cyclus zelfevaluatie

De cyclus van de zelfevaluatie startte op 1 juli 2023 met het beschikbaar stellen van beide vragenlijsten (BRP en ENSIA) en de geselecteerde persoonslijsten voor de inhoudelijke controle. Vanaf 1 december 2023 konden de gemeenten de ingevulde vragenlijst en het resultaat van de inhoudelijke controle definitief maken in de applicatie kwaliteitsmonitor. Een uittreksel daarvan is vervolgens ondertekend door het college van B&W, waarna de resultaten zijn verzonden aan de minister van BZK en de Autoriteit Persoonsgegevens (AP). 

Nader onderzoek door de minister

Het nader onderzoek is een betrouwbaarheidsonderzoek. In de samenwerkingsovereenkomst tussen de Autoriteit Persoonsgegevens en de minister van BZK is afgesproken dat RvIG namens de minister jaarlijks een controle uitvoert om het resultaat te valideren. Deze controle wordt uitgevoerd op de beantwoording van de vragenlijst en op de uitvoering van de inhoudelijke controle. 

Er is voor de zelfevaluatie BRP 2023 voor gekozen om de beantwoording van de nieuwe rechtmatigheidsvragen nader te onderzoeken. Er zijn 30 gemeenten geselecteerd voor een nader onderzoek naar de beantwoording van de vragenlijst BRP. De selectie is dit jaar aselect gedaan door middel van een gewogen steekproef. Allereerst zijn de gemeenten op basis van inwoneraantal ingedeeld in 3 groepen: kleine, middelgrote en grote gemeenten. Vervolgens zijn er 5 grote, 10 middelgrote en 15 kleine gemeenten geselecteerd. Op die manier kunnen we bij de resultaten op basis van de nieuwe vragen een representatieve betrouwbaarheidsscore afgeven.

Voor het nader onderzoek naar het resultaat van de inhoudelijke controle (IHC) zijn ook 30 gemeenten geselecteerd en er is voor de volgende selectie gekozen: 

• Tien 100% scorende gemeenten; veel gemeenten voeren de Inhoudelijke controle zelf uit. Het zijn in principe dezelfde ogen die nogmaals een proces beoordelen. Het is de vraag of deze ogen zien dat  processen anders zouden moeten. 
• Tien onder de IHC-norm scorende gemeenten; de gemeente geeft hier zelf aan sommige processen intern niet goed op orde te hebben. 
• Tien gemeenten waarbij in 2023 percentueel de meeste dubbelopnames zijn geconstateerd; dit is      een indicatie dat er voor sommige processen zoals 1e inschrijving en hervestiging extra aandacht zou moeten zijn.

Deze gemeenten zijn bezocht door RvIG-adviseurs en vervolgens zijn direct na de uitvoering van de controles de uitkomsten teruggekoppeld aan de gemeenten.

RNI-loketgemeenten

De RNI-loketgemeenten voeren de zelfevaluatie uit door middel van het invullen van een vragenlijst. De vragen die volgen uit wet- en regelgeving en het convenant RNI-loketgemeenten zijn onderverdeeld in vijf thema’s. In het zesde thema zijn de vragen verzameld over maatregelen die niet direct volgen uit wet- en regelgeving, maar wel bijdragen aan een goede beheersing van de processen (aanbevelingen). Door de vragen naar aanbevelingen op te nemen in een apart thema lopen eisen en aanbevelingen niet door elkaar. Gestreefd moet worden naar een 100% score op de thema’s die volgen uit wet- en regelgeving.

De thema’s waarover gerapporteerd wordt, zijn:

1. Organisatie van de beveiliging
2. Toegangsbeveiliging
3. Naleving
4. Bijhouding van de BRP
5. Verstrekking van gegevens
6. Aanbeveling

Onderzoek naar de centrale voorzieningen

De minister voert jaarlijks een onderzoek uit naar de centrale voorzieningen van de BRP. Deze centrale voorzieningen zijn:

• De BRP-V (verstrekken van de BRP-gegevens)
• De Terugmeldvoorziening (TMV 2.0) (terugmelden van onjuiste BRP-gegevens)
• De RNI (de Registratie van Niet-Ingezetenen)
• De berichtendienst afnemers (communicatie voor afnemers met de RNI) 

Dit onderzoek wordt uitgevoerd aan de hand van een vastgesteld normenkader. Daarnaast vindt een bestandscontrole naar de administratieve kwaliteit van de gegevens in de RNI plaats.

Resultaten zelfevaluatie gemeenten 2023

In dit hoofdstuk staan de gemeentelijke resultaten van alle onderdelen van de zelfevaluatie BRP 2023. Allereerst volgt een overzicht van het resultaat van het onderzoek naar de kwaliteit van processen, gevolgd door een uitwerking van dat resultaat per thema. Vervolgens worden de uitkomsten van beide onderzoeken naar de kwaliteit van gegevens gepresenteerd. De opzet van de zelfevaluatie BRP is in 2023 vernieuwd en bevat nieuwe vragenlijsten met een nieuwe puntentelling. Hierdoor zijn de scores op de verschillende thema’s niet vergelijkbaar met die van voorgaande jaren.

Resultaat onderzoek kwaliteit processen totaal

De ingevulde vragenlijsten van de gemeenten geven het beeld dat zij grotendeels voldoen aan de eisen die volgen uit wet- en regelgeving. De gemeenten behalen bij de informatiebeveiligingsvragen en rechtmatigheidsvragen gemiddeld tussen 69,6% en 95,6% van de maximale score (grafiek 1). 

Grafiek 1 Gemiddelde score per thema in percentage 

Image

 Grafiek 2 Aantal gemeenten met een 100% score per thema: 

Image

Resultaat onderzoek kwaliteit processen per thema  

Rechtmatigheidsvragen

De rechtmatigheidsvragen bevatten normen die rechtstreeks toezien op het naleven van de wet- en regelgeving (rechtmatigheid). Deze 21 domeinvragen zijn onderverdeeld in 4 thema’s:

• Beleid en Organisatie
• Uitvoering Bijhouden
• Uitvoering Verstrekking
• Uitvoering Incidentafhandeling

Thema Beleid en organisatie

Binnen het thema Beleid en Organisatie beantwoorden de gemeenten 6 vragen over de aanwezigheid en organisatie van BPR-beleid bij de gemeente. De gemeenten scoren gemiddeld 79,6% van de punten binnen dit thema. De individuele scores variëren van 0% tot 100% (zie voor de spreiding grafiek 10). 

Grafiek 3 Aantal gemeenten per score thema Beleid en Organisatie

Image

Binnen het thema beleid en organisatie worden vragen gesteld over de onderstaande onderwerpen: 

• Persoonsgegevens zijn geïdentificeerd en geclassificeerd:
• De BRP is opgenomen in het Verwerkingsregister (AVG) en de verwerkingen in het register worden periodiek geëvalueerd.
• BRP-risico’s zijn beheerst:
• De Business Impact analyse op BRP is actueel en verbeteringen zijn uitgevoerd (BIO 17.1)
• De BRP-organisatie van de gemeente is ingericht op haar taak en wordt bijgestuurd op haar werkzaamheden:
• De kennis en vaardigheden voor de BRP-werkzaamheden worden op peil gehouden.
• Wijzigingen in BRP wet- en regelgeving en/of bedrijfsvereisten zijn juridisch beoordeeld en beheerst doorgevoerd.
• BRP-architectuur voldoet aan eisen van gegevensbescherming en standaarden
• Ontwerp van BRP-processen en systemen.

Tijdens het nader onderzoek is bij 30 gemeenten de betrouwbaarheid van de antwoorden op 4 vragen uit dit thema gemeten. De vraag of de persoonsgegevens die verwerkt worden in de BRP zijn opgenomen in het verwerkingsregister werd door 7% van de bezochte gemeenten te positief beantwoord. Verwerkingen van de eigen gemeente waren opgenomen in een verwerkingsregister, maar de verwerkingen namens andere gemeenten ontbraken. 17% van de onderzochte gemeenten controleerde de actualiteit van het verwerkingsregister niet structureel. 

De vraag of gemeente een proces ingericht heeft voor het uitvoeren van een bedrijfscontinuïteitsplan en dat in de afgelopen 3 jaar toegepast heeft voor de BRP-processen, zodat de bedrijfscontinuïteitsrisico’s in beeld zijn en worden benoemd, werd door 33% van de gemeenten te positief beantwoord. Plannen zijn niet altijd actueel, volledig, of de afgelopen drie jaar toegepast.

Op de vraag of uw gemeente een proces ingericht heeft voor de identificatie van burgers, die een aangifte of aanvraag doen gaf 13% een te positief antwoord. De gemeenten hebben hier een proces voor ingericht en de identificatie wordt ook volgens dit proces uitgevoerd. Bij het nader onderzoek blijkt echter dat het proces niet altijd gecontroleerd wordt.

Thema Uitvoering Bijhouden

Binnen het thema Uitvoering bijhouden beantwoorden de gemeenten 11 vragen over het proces en de procedures rondom het bijhouden van de BRP. Processen en procedures zijn opgezet, bestaan, werken en worden gecontroleerd. De gemeenten scoren gemiddeld 91,7% van de punten binnen dit thema. De individuele scores variëren van 38,8% tot 100% (zie voor de spreiding grafiek 12). 

Grafiek 4 Aantal gemeenten per score thema Uitvoering Bijhouden

Image

Binnen het thema Uitvoering Bijhouden worden vragen gesteld over de onderstaande onderwerpen: 

• Processen en procedures voor bijhouden zijn opgezet, bestaan, werken en worden gecontroleerd:
• De inschrijving- en actualiseringprocessen voor bijhouden worden volgens de wet- en regelgeving uitgevoerd, gecontroleerd en bijgestuurd met duidelijke procedures.
• Handmatige procedures voor bijhouden worden opgezet, geïmplementeerd en nageleefd, voor de verwerkingen uit de artikelen 2.1-2.81 Wet BRP.
• Het college informeert de burger schriftelijk over mutaties
• Controleprocedures worden apart beschreven en toegepast
• BRP-gegevens zijn tijdig vastgelegd:
• Naleven van wettelijke termijnen
• Kwaliteitsafspraken over tijdigheid worden nageleefd en er wordt gecontroleerd of deze nageleefd en behaald worden.
• Gemeente heeft een proces ingericht zodat de burger binnen de wettelijke termijn van vijf dagen aangifte kan doen van verblijf in Nederland, vertrek of adreswijziging (artikelen 2.38, 2.39 en 2.43 Wet BRP). 
• Verzoeken om inzage in de BRP zijn tijdig verwerkt.
• Wijzigingen van de BRP zijn geprotocolleerd.

Tijdens het nader onderzoek is bij 30 gemeenten de betrouwbaarheid van de antwoorden op 4 vragen uit dit thema gemeten. 

De vraag of de gemeente een proces ingericht heeft voor de registratie van verblijf en adres is door 7% van de onderzochte gemeenten te positief beantwoord. Er is een proces beschreven hoe dit uitgevoerd moet worden en wat getoetst moet worden, maar dit wordt niet regelmatig gecontroleerd op de uitvoering. 

Bij 33% van deze gemeenten kan de burger binnen de wettelijke termijn van 5 dagen aangifte van verblijf en adres doen, maar het proces is niet beschreven of bekend binnen de organisatie en ook op dit proces ontbrak over het algemeen de controle. Tijdigheid kan dan niet volledig worden gewaarborgd. 

10% van de onderzochte gemeenten had niet alle processen ingericht voor de controle van mutaties in de BRP aan de hand van brondocumenten en 17% heeft de vraag over het naleven van de wettelijke termijnen uit de Algemene wet bestuursrecht en de Wet Basisregistratie Personen te positief beantwoord. Bij het nader onderzoek stellen de gemeenten de termijnen na te leven, maar enkele kunnen dit niet aantonen. Ook komt het voor dat langere wachttijden zijn ontstaan door capaciteitsproblemen. 

Thema Uitvoering Verstrekking

Binnen het thema Uitvoering Verstrekking beantwoorden de gemeenten 2 vragen over de verstrekking van gegevens uit de BRP. De gemeenten scoren gemiddeld 92,3% van de punten binnen dit thema. De individuele scores variëren op dit thema van 0% tot 100% (zie voor de spreiding van scores grafiek 14).

Grafiek 5 Aantal gemeenten per score thema Uitvoering verstrekking 

Image

Binnen het thema Uitvoering Verstrekkingworden vragen gesteld over de onderstaande onderwerpen: 

• Verstrekkingen van BRP-gegevens zijn geprotocolleerd.
• Aantekeningen van burgers voor het 'niet verstrekken' van BRP-gegevens (art 2.59 Wet BRP), worden tijdig behandeld.
• Het protocoloverzicht van de verstrekkingen is juist, tijdig en volledig.
• Verzoeken om inzage in de verstrekkingen van de BRP worden tijdig uitgevoerd volgens de wettelijke termijnen (Wet BRP 3.22).

Tijdens het nader onderzoek is bij 30 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. De vraag of de gemeente kan aantonen dat het protocoloverzicht van verstrekkingen tijdig en volledig is, werd door 30% van de bezochte gemeente te positief beantwoord. Regelmatig kwam het voor dat gemeenten aangeven dat ze dit op een juiste manier doen, maar dat tijdens het nader onderzoek niet kunnen aantonen.

Thema Uitvoering Incidentafhandeling

Binnen het thema Uitvoering Incidentafhandeling beantwoorden de gemeenten 2 vragen over naleving van de beleidsafspraken voor het signaleren en behandelen van overtredingen van de BRP. De gemeenten scoren gemiddeld 69,6% van de punten binnen dit thema. De individuele scores variëren op dit thema van 0% tot 100% (zie voor de spreiding van scores grafiek 14).

Grafiek 6 Aantal gemeenten per score thema Uitvoering Incidentafhandeling

Image

Binnen het thema Uitvoering Incidentafhandeling worden vragen gesteld of de gemeente actueel beleid heeft geformuleerd over de onderstaande onderwerpen en of dit beleid periodiek wordt geëvalueerd en bijgesteld. 

• Bestuurlijke boete bij niet nakomen verplichtingen volgens Wet BRP
• Aangifte bij valse brondocumenten of vermoeden van fraude

Tijdens het nader onderzoek is bij 30 gemeenten de betrouwbaarheid van de antwoorden op 1 vraag uit dit thema gemeten. De vraag of de gemeente actueel beleid geformuleerd heeft voor: ‘aangifte bij de politie bij het vermoeden van fraude of het overleggen van valse en/of vervalste brondocumenten’ werd door 20% van de bezochte gemeente te positief beantwoord. Er is meestal beleid, maar dit wordt niet altijd consequent uitgevoerd of gecontroleerd.

Volwassenheidsvragen

De volwassenheidsnormen zien toe op de tijdige, juiste en volledige verwerking van gegevens in de BRP door gemeenten. De volwassenheidsvragen zijn bedoeld om intern kwaliteitsafspraken te maken en vervolgens op die afspraken te sturen. Uiteindelijk is het doel om ‘continu te leren en te verbeteren’ te realiseren voor de BRP-processen. Dit is een lange termijn doelstelling en de eerste set van 8 volwassenheidsvragen is bedoeld om met het invullen van de volwassenheidsvragen te “oefenen” en dit proces in gang te zetten. 

In de zelfvaluatie BRP 2023 is een vragenlijst met de volgende optioneel in te vullen volwassenheidsvragen in de kwaliteitsmonitor opgenomen:

1. Kwaliteitsbeleid: Heeft de gemeente in haar kwaliteitsbeleid voor de BRP eigen meetbare kwaliteitsafspraken/ doelstellingen vastgelegd?
2. Kwaliteitsplanning: Stelt de gemeente een kwaliteitsplanning op voor de BRP-werkzaamheden in termen van benodigde kwaliteit van de medewerkers?
3. Capaciteitsplanning: Evalueert en actualiseert de gemeente de capaciteitsplanning minimaal 2x per jaar en bij grote interne of externe wijzingen?
4. Leren en verbeteren: Heeft de gemeente een proces ingericht voor de BRP om te 'leren en verbeteren' vanuit onderzoek naar klachten, incidenten, interne controles of audits?
5. Naleven kwaliteitsafspraken voor juistheid bijhouden: Kan de gemeente aantonen dat zij voldoet aan de gemaakte kwaliteitsafspraken/doelstellingen over het toetsen van de juistheid van de verwerkingen in de BRP?
6. Naleven kwaliteitsafspraken voor incidentafhandeling: Heeft de gemeente een proces ingericht om signaleringen van externe systemen als BCM, LAA, TMV en overige signalen op tijd en juist af te handelen?
7. Naleven kwaliteitsafspraken tijdigheid bijhouden: Heeft de gemeente een proces ingericht om de kwaliteitsafspraken voor het tijdig vastleggen van gegevens in de BRP na te leven, de afspraken te bewaken en waar nodig bedrijfsprocessen en dossiers te verbeteren?
8. Procedures Interne Controles: Heeft de gemeente processen ingericht voor:

1. Controles door de medewerker zelf;
2. Aparte kwaliteitscontroles binnen de afdeling;
3. Kwaliteitscontroles door stafafdelingen of interne auditdiensten.

In 2023 hebben 304 van de 342 gemeenten de optionele volwassenheidsvragen ingevuld.

In 2024 is door RvIG een klankbordgroep opgericht om samen met managers van gemeenten en de NVVB de volwassenheidsvragen van de zelfevaluatie BRP te evalueren en waar nodig te verbeteren. Doel is om de volwassenheidsvragen zo goed mogelijk te laten aansluiten bij de behoefte van de bestuurders van gemeenten, om zo de kwaliteit van de persoonsregistratie meer politiek herkenbaar te maken (aansluiten op beleidsdoelen/dienstverlening aan burgers). Zo kan het bestuur haar taak van horizontaal toezicht beter uitvoeren en meer politieke aandacht vestigen voor de kwaliteit van de BRP.

Informatieveiligheidsvragen

De informatieveiligheidsvragen (ENSIA) van de zelfevaluatie BRP zijn vragen die gaan over de inrichting en beveiliging van de systemen waarin de persoonsgegevens worden opgeslagen. Enkele vragen zijn voor 2023 aangepast, maar de systematiek van deze vragenlijst is hetzelfde gebleven. De informatieveiligheidsvragen worden door de gemeenten beantwoord via de tool van Eenduidige Normatiek Single Information Audit.

Thema Organisatie van de Beveiliging

Binnen het thema Organisatie van de Beveiliging beantwoorden de gemeenten 13 vragen over de organisatie van informatieveiligheid binnen de gemeente. De gemeenten scoren gemiddeld 93,9% op dit thema. De individuele scores variëren van 42,5% tot 100%. Grafiek 4 geeft de spreiding van de gemeenten per score weer. 

Grafiek 8 Aantal gemeenten per score thema Toegangsbeveiliging 

Image

Binnen het thema Naleving worden vragen gesteld over de onderstaande onderwerpen: 

• Verwerkersovereenkomsten met leveranciers
• Beoordelen prestaties leveranciers
• Testen van continuïteitsplannen
• Maatregelen als vertaling van wet- en regelgeving
• Controle op naleving privacy beleid
• Controle op verwerking van persoonsgegevens
• Vastgesteld auditplan
• Jaarlijkse controle van informatiesystemen

Thema Naleving

Binnen het thema Naleving beantwoorden de gemeenten 10 vragen over uitvoering van verplichte controles, over het bestaan van verplichte procedures en over de toepassing van functiescheiding binnen de gemeente. De gemeenten scoren gemiddeld 87,5% van de punten binnen dit thema. De individuele scores variëren van 20% tot 100% (zie voor de spreiding grafiek 8). 

Grafiek 9 Aantal gemeenten per score Thema Naleving

Image

Nader onderzoek

RvIG heeft 30 gemeenten bezocht ten behoeve van het nader onderzoek naar de betrouwbaarheid van uitvoering van de zelfevaluatie. Tijdens deze bezoeken is door adviseurs van RvIG met de deelnemers de beantwoording van een deel van de vragen uit de zelfevaluatie nader onderzocht. De adviseurs verzochten om bewijsstukken en mondelinge onderbouwing van de gegeven antwoorden. Op basis van dit onderzoek stelden de adviseurs vast of de gegeven antwoorden overeenstemden met de eigen bevindingen.

Interviews

Tijdens de bezoeken is gesproken met de volgende functionarissen:

• Leidinggevende/afdelingshoofd Burger- of Publiekszaken;
• Coördinator vragenlijst zelfevaluatie;
• Medewerker Frontoffice;
• Medewerker backoffice;
• ENSIA-coördinator;

Selectie van gemeenten

De selectie van gemeenten is op basis van een gewogen aselecte steekproef gedaan. De gemeenten zijn eerst ingedeeld in grote, middelgrote en kleine gemeenten en vervolgens zijn er 5 grote, 10 middelgrote en 15 kleine gemeenten geselecteerd voor een nader onderzoek. 

Selectie van vragen

De vragen die zijn getoetst bij het nader onderzoek zijn niet willekeurig geselecteerd. In 2023 is ervoor gekozen om de antwoorden op 10 van de 21 nieuwe rechtmatigheidsvragen te controleren. De vragenlijst is ingrijpend gewijzigd voor de Zelfevaluatie van 2023. Op die manier kunnen we bij de resultaten op basis van de nieuwe vragen een representatieve betrouwbaarheidsscore afgeven.

Betrouwbaarheidsscore

Gemiddeld zijn 82% van de antwoorden van gemeenten, openbare lichamen en aangewezen grensgemeenten in overeenstemming met de bevindingen van de adviseurs beantwoord. Het algemene beeld van de bezochte 30 gemeenten is dat zij zorgvuldig omgaan met de uitvoering van de zelfevaluatie. Bij de antwoorden die niet in overeenstemming waren met de bevindingen van de adviseurs van RvIG, is voornamelijk tegen de achtergrond van een te positieve voorstelling van de praktijksituatie geantwoord. De beschreven procedures voldeden in die gevallen wel aan de eisen maar in de praktijk worden de procedures niet consequent nageleefd of werd er niet altijd intern gecontroleerd of de beschreven procedures wel gevolgd werden. Vooral het aantonen daarvan bleek voor een aantal gemeenten lastig uitvoerbaar.

Resultaten onderzoek kwaliteit gegevens

Resultaat inhoudelijke controle aan de hand van brondocumenten 

Alle 342 gemeenten hebben een handmatige controle uitgevoerd op een selectie van persoonslijsten die door RvIG is samengesteld. Dit jaar hanteerde RvIG de volgende selectiecriteria: eerste inschrijving in de BRP van de voorgaande 2 jaar óf mutatie in de gegevens over ouders, partners of kinderen in het voorgaande jaar. De gemeenten zoeken voor deze controle alle onderliggende brondocumenten en aangiften op en controleren aan de hand hiervan alle gegevens op de persoonslijst. Op basis van het inwonersaantal van de gemeente is de selectiegrootte bepaald (25, 50, 75 of 100 persoonslijsten). In totaal controleerden de gemeenten 19.563 persoonslijsten. De gemeenten hebben daarbij 3.157 afwijkingen geconstateerd, dat is 16,1%. Op een persoonslijst kunnen meerdere afwijkingen worden gevonden. De top 5 van meest geconstateerde afwijkingen staan hieronder (tabel 3).

 Tabel 3: Veelvoorkomende fouten, geconstateerd door gemeenten

Bevindingen Nader onderzoek Inhoudelijke controle persoonslijsten

RvIG heeft 30 gemeenten bezocht om de kwaliteit van de uitgevoerde inhoudelijke controle te toetsen.  Hierbij zijn de onderliggende brondocumenten en aangiften gebruikt om alle gegevens op de persoonslijsten te controleren. Bij 84% van de in totaal 700 persoonslijsten zijn de bevindingen van RvIG gelijk aan die van de gemeente. 

In 21% van de door RvIG geconstateerde fouten ontbreekt een brondocument. Hoewel het ontbreken van het brondocument niet meteen betekent dat de gegevens in de BRP onjuist zijn, heeft de gemeente wel een bewijslast bij mutaties in de BRP, waar zij dan in gebreke blijft. 

De meest voorkomende bevindingen die RvIG heeft geconstateerd komen overeen met de bevindingen die gemeenten hebben geconstateerd (zie tabel 4).  

Tabel 4 Veelvoorkomende fouten, geconstateerd door RvIG

Oorzaken van de bevindingen

Tijdens de terugkoppeling aan de gemeenten zijn de onderstaande oorzaken, problemen en uitdagingen veelvuldig genoemd door de gemeenten; 

• Kennisverlies doordat ervaren medewerkers met pensioen gaan;
• Werven en behouden van nieuwe medewerkers is een grote uitdaging;
• Hoge werkdruk door een gebrek aan personeel;
• Gebrek aan financiële middelen en kennis van archiverings-/ en zaaksystemen, waardoor ook problemen met het juist archiveren van brondocumenten.

Resultaat bestandscontrole BRP

RvIG controleert door middel van een bestandscontrole de administratieve kwaliteit van de BRP-gegevens. Deze bestandscontrole wordt maandelijks uitgevoerd en via een kwaliteitsmonitor wordt het resultaat per gemeente beschikbaar gesteld. De uitkomst van de bestandscontrole van december 2023 maakt onderdeel uit van de gemeentelijke verantwoording over de BRP. In totaal zijn bij de controle in december van 21,8 miljoen actueel ingeschreven personen en overleden personen, de BRP-gegevens gecontroleerd aan de hand van ruim 3.500 controleregels. Bij de bestandscontrole van december 2023 zijn in totaal 56.543 afwijkingen geconstateerd. Het percentage persoonslijsten waarop geen enkele afwijking is geconstateerd is 99,7%. Dit is ruim boven de norm van 99%. RvIG heeft in overleg met de gemeenten die vertegenwoordigd zijn in de expertgroep Bestandcontrolemodule ook een norm per foutklasse vastgesteld. Alle gemeenten scoren boven deze normen. 8 gemeenten hebben een foutloos resultaat.

Tabel 5: Resultaat gemeenten bestandscontrole 2023

Resultaat onderzoek Centrale voorzieningen

Hieronder worden de belangrijkste resultaten weergegeven van het onderzoek naar de inrichting, werking en beveiliging van de Centrale Voorzieningen en de Verwerking van gegevens in de basisregistratie, voor zover de minister daarvoor verantwoordelijk is.

Inrichting en beveiliging Centrale Voorzieningen 

In 2023 is binnen RvIG een traject gestart om het proces: ‘uitvoeren zelfevaluatie Centrale Voorzieningen’ te verbeteren. In 2024 is de eerste fase van het verbetertraject ingevoerd. Door de nieuwe vorm van het periodieke onderzoek zijn deze uitkomsten helaas niet tijdig beschikbaar.

Werking Centrale Voorzieningen

Voor de werking is onderscheid gemaakt tussen de technische en de functionele werking van de Centrale Voorzieningen. De technische werking is gemeten aan de hand van beschikbaarheid, aantal incidenten en gebruik noodvoorzieningen RNI. De functionele werking aan de hand van synchroniciteit BRP-V, aantal dubbelinschrijvingen en afhandeling protocolleringsverzoeken. Voor de functionele werking bleek het niet nodig om zelf deelwaarnemingen te doen omdat er gebruik is gemaakt van de bestaande controles uit de Bestandscontrolemodule (BCM) voor de BRP.

Tabel 6: Beschikbaarheid centrale voorzieningen

De beschikbaarheid van de Centrale Voorzieningen was in 2023 ruimschoots boven de gestelde norm.

Verwerking van de (RNI)gegevens (kwaliteit)

In totaal zijn er 5,5 miljoen persoonslijsten gecontroleerd. Van het totaal aantal gecontroleerde persoonslijsten is bij 95,74% van de persoonslijsten geen afwijking geconstateerd. Dit percentage ligt iets hoger dan de score in 2022 (95,61%).

Resultaat zelfevaluatie RNI

De minister van Binnenlandse Zaken en Koninkrijksrelaties houdt in Nederland voorzieningen in stand voor het inschrijven van niet-ingezetenen en voor het indienen van verzoeken van niet-ingezetenen aan de minister. Die voorzieningen zijn de RNI-loketten. Deze zijn gevestigd in 19 gemeenten bij de afdelingen Publiekszaken/Burgerzaken. Hiervoor is een convenant opgesteld tussen het college van B&W van deze gemeenten en de minister van Binnenlandse Zaken en Koninkrijksrelaties. 

Het onderzoek naar de RNI-loketten is uitgevoerd in de vorm van een zelfevaluatie. De 19 RNI-loketgemeenten moeten jaarlijks een vragenlijst invullen in de kwaliteitsmonitor waarmee getoetst wordt of de bijhouding van de RNI voldoet aan de wettelijk voorschriften en de afspraken in het convenant. De vragen zijn verdeeld over 6 thema’s.

Hieronder staan de gemiddelde scores per thema. De scores van de zelfevaluatie RNI in de periode 2019-2023 laten een stabiel beeld zien. In 2023 waren de scores op de thema’s informatiebeveiliging en toegangsbeveiliging lager dan voorgaande jaren, deze onderwerpen worden besproken bij de halfjaarlijkse accountgesprekken met de lager scorende loketgemeenten.

Tabel 7: Gemiddelde score RNI-loketgemeenten 

Grafiek 10 Gemiddelde scores van de RNI per jaar per thema

Image

Monitoring BRP na 2023

RvIG geeft opvolging aan de gemeenten die een lage score hebben gerapporteerd bij de zelfevaluatie BRP. Deze opvolging noemt RvIG monitoring. 

Selectie

De opzet van de zelfevaluatie BRP is in 2023 vernieuwd en bevat nieuwe vragenlijsten met een nieuwe puntentelling. De resultaten zijn door deze vernieuwingen niet vergelijkbaar met voorgaande jaren en daarom heeft RvIG gemeenten op een andere manier moeten selecteren dan in voorgaande jaren. 

In de eerste selectie zijn voor de monitoring zelfevaluatie BRP 15 gemeenten geselecteerd die het hoogste aantal punten hebben laten liggen op alle 7 thema’s van de rechtmatigheidsvragen en de informatieveiligheidsvragen (ENSIA), oftewel met de meeste lacunes ten opzichte van wet- en regelgeving. 

Bij de zelfevaluatie BRP 2023 was het invullen van de volwassenheidsvragen optioneel en deze tellen niet mee voor de score en selectie. 

Uitvoering 

Met deze gemeenten wordt een gesprek gevoerd en, als blijkt dat daarvoor aanleiding is, een monitoringstraject afgesproken. Inmiddels zijn alle eerste monitoringsgesprekken gevoerd en zijn de resultaten geanalyseerd. Hierbij komen de onderstaande oorzaken voor het resultaat vaak terug:

• De zelfevaluatie BRP is vernieuwd en de nieuwe vraagstelling was wennen. Twee thema’s bestonden slechts uit 2 vragen en niet volledig uitvoeren telt dan extra zwaar in de score.
• De zelfevaluatie BRP is zo streng mogelijk ingevuld om te gebruiken als 0-meting voor verbetering van processen en procedures;
• Gebrek aan tijd voor de zelfevaluatie vanwege het in 2023 gelijktijdig moeten organiseren van Tweede Kamerverkiezingen;
• Kennisgebrek door het vertrek van ervaren medewerkers;
• Vacatures zijn moeilijk in te vullen;
• Gebrek aan tijd voor de opleidingen van medewerkers door personeelsgebrek;
• Veel nieuwe medewerkers: de medewerkers die de zelfevaluaties hebben ingevuld deden dit vaak voor het eerst. Gebrek aan kennis en ervaring leidden tot te voorzichtig beantwoorden.

5 gemeenten uit de selectie van 2023 waren ook in 2022 voor een monitoringstraject geselecteerd. Het duurt over het algemeen enkele jaren voordat lager scorende gemeenten hun processen op orde hebben, maar als dit gerealiseerd is blijft dit meestal langere tijd op het vereiste niveau.

Bijlage 1 Geselecteerde gemeenten monitoringsbezoek