In deze regeling wordt verstaan onder:

de wet: de Wet gemeentelijke basisadministratie persoonsgegevens;

het besluit: het Besluit gemeentelijke basisadministratie persoonsgegevens;

de Regeling GBA: de Regeling gemeentelijke basisadministratie persoonsgegevens;

auditee: de gemeente die onderwerp is van de audit;

auditor: de medewerker van de auditinstelling die het inhoudelijke deel van de audit namens de auditinstelling uitvoert of de medewerker van de auditinstelling onder wiens verantwoordelijkheid het procesmatige en privacydeel van de audit namens de auditinstelling wordt uitgevoerd;

auditinstelling: het bedrijf dat door de minister is aangewezen om de audit als bedoeld in artikel 120a van de wet uit te voeren;

kwaliteitsbrochure: een vanwege de minister uitgegeven brochure, bedoeld in artikel 8;

de minister: de Minister van Binnenlandse Zaken en Koninkrijksrelaties;

het agentschap BPR: het agentschap Basisadministratie Persoonsgegevens en Reisdocumenten van het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties;

de persoonslijst: de in het GBA-systeem van de auditee opgeslagen persoonslijst als bedoeld in artikel 1 van de Wet GBA.

2. Brondocumenten als bedoeld in deze regeling zijn:

a. de kopie van de persoonskaart in het Vestigingsregister;

b. documenten die door instanties in Nederland zijn opgemaakt, te weten (kennisgevingen van) akten van de burgerlijke stand, besluiten en (afschriften van) rechterlijke uitspraken, tenzij deze de vorm hebben van een Og01-, Og11-, Tb01- dan wel een TB02-bericht; en

c. overige Nederlandse en buitenlandse documenten die vermeld zijn in bijlage 4.

3. Indien een brondocument als bedoeld in het tweede lid niet aanwezig is en dit document door een instantie in Nederland is opgemaakt, vraagt het college van burgemeester en wethouders bij de desbetreffende instantie een afschrift op.

1. Voor de uitvoering van deze regeling wordt verstaan onder het aantal inwoners van een gemeente: het aantal inwoners volgens de door het Centraal Bureau voor de Statistiek openbaar gemaakte bevolkingscijfers per 1 januari van het jaar waarin een audit wordt uitgevoerd.

2. Bij de uitvoering van de heraudit wordt uitgegaan van hetzelfde aantal inwoners dat ingevolge het eerste lid voor de audit is vastgesteld.

1. Naast de in artikel 3 bedoelde niet-selecte steekproef, draagt de auditor zorg voor een selecte steekproef uit de basisadministratie van de auditee.

2. De aantallen select verzamelde persoonslijsten bedragen:

a. 5 voor gemeenten tot 20.000 inwoners;

b. 10 voor gemeenten met 20.000 tot 100.000 inwoners;

c. 20 voor gemeenten met 100.000 of meer inwoners.

3. De select verzamelde persoonslijsten voldoen aan de criteria genoemd in bijlage 1.

De te controleren persoonslijsten worden op papier afgedrukt, ongeacht de wijze waarop de controle plaatsvindt.

1. In het kader van de toetsing van de eisen die voortvloeien uit de systeembeschrijving wordt onderzocht of:

a. de gegevens voldoen aan de eisen in het gegevenswoordenboek;

b. de tekens voorkomen in het overzicht van te gebruiken Teletex karakters;

c. de gegevens weergeven dat mutaties zijn uitgevoerd conform de in de systeembeschrijving beschreven actualiseringprocedures;

d. de gegevens weergeven dat bij het opnemen dan wel wijzigen van gegevens de voorschriften gesteld bij of krachtens de wet zijn gevolgd;

e. de door een college van burgemeester en wethouders spontaan geplaatste afnemersindicaties voorkomen op de persoonslijsten waar deze verwacht mogen worden;

f. de gegevens zijn ontleend aan bij of krachtens de wet bepaalde brondocumenten.

2. Een gegeven wordt getoetst aan de hand van het daarop betrekking hebbende voorschrift dat gold op het moment waarop het gegeven werd opgenomen, tenzij later is aangegeven dat het betreffende gegeven gecorrigeerd moest worden omdat het bij de opname gehanteerde voorschrift niet juist was. Gegevens die ten tijde van het trekken dan wel verzamelen van de persoonslijsten, bedoeld in de artikelen 3 en 4, niet conform de eisen waren opgenomen, maar naderhand zijn gecorrigeerd, worden aangemerkt als afwijkingen.

3. Beoordeeld wordt of de gegevens op de persoonslijsten correct zijn ontleend aan de gegevens op het brondocument.

4. Voor wat betreft de niet-selecte steekproef geldt dat:

a. de controle alleen wordt uitgevoerd aan de hand van de brondocumenten die bij de auditee aanwezig dienen te zijn of waarvan alsnog een afschrift kan worden verkregen;

b. de controle wordt uitgevoerd bij de door de auditor te bepalen helft van de in de steekproef aanwezige persoonslijsten;

c. bij de andere helft van de in de steekproef aanwezige persoonslijsten wordt alleen een controle uitgevoerd indien het vermoeden bestaat dat gegevens niet juist aan de gegevens op het brondocument zijn ontleend.

5. Bij de select verzamelde persoonslijsten wordt de controle uitgevoerd ten aanzien van de bij de desbetreffende specifieke situatie gehanteerde brondocumenten.

1. Aangetroffen afwijkingen worden ingedeeld in drie foutklassen:

a. foutklasse A, de voor afnemers cruciale gegevens, zijnde de rubrieken: 01.02.30 (voorvoegsel persoon), 01.02.40 (geslachtsnaam persoon), 01.03.10 (geboortedatum persoon), 05.03.10 en 55.03.10 (geboortedatum echtgenoot/geregistreerd partner), 05.06.10 en 55.06.10 (datum huwelijkssluiting), 05.07.10 (datum huwelijksontbinding), 06.08.10 (datum overlijden), 08.11.20 (huisnummer), 08.11.30 (huisletter), 08.11.40 (huisnummertoevoeging), 08.11.60 (postcode), 09.03.10 (geboortedatum kind) en 14.40.10 (afnemersindicatie);

b. foutklasse B, de niet onder a vermelde algemene gegevens met uitzondering van de rubrieken 01.01.10 (A-nummer persoon), 05.01.10 en 55.01.10 (A-nummer echtgenoot/geregistreerd partner) en 09.01.10 (A-nummer kind), alsmede van de bijzondere gegevens, de groepen: 13.31 (Europees kiesrecht), 13.38 (Uitsluiting kiesrecht);

c. foutklasse C, de overige administratieve gegevens met uitzondering van element 86.10, alsmede van de bijzondere gegevens, de groepen: 12.35 (Nederlands reisdocument), 12.36 (Signalering), 12.37 (Buitenlands reisdocument), 12.85 (Geldigheid), 13.82 (Document).

2. Het, met in achtneming van artikel 6, vierde lid, onder a, niet kunnen overleggen van een brondocument wordt aangemerkt als afwijking, vallend in foutklasse C.

1. Iedere aangetroffen afwijking wordt geteld als één fout.

2. Meervoudige afwijkingen worden geteld als één fout en ingedeeld in de hoogste van de van toepassing zijnde foutklassen, indien:

a. de afwijkingen die op meerdere persoonslijsten zijn geconstateerd, worden veroorzaakt doordat het geautomatiseerde systeem van de auditee op een bepaald aspect niet goed werkt(e) of doordat een onjuiste procedure door een auditee is gevolgd, tenzij dezelfde afwijking tijdens een eerdere audit is geconstateerd;

b. de op één persoonslijst geconstateerde afwijkingen met elkaar samenhangen dan wel worden veroorzaakt door één en dezelfde fout, tenzij dezelfde afwijking tijdens een eerdere audit is geconstateerd.

3. Afwijkingen worden niet als fout geteld, indien:

a. door of namens de minister schriftelijk kenbaar is gemaakt dat de desbetreffende afwijking bij de bepaling van het resultaat van de audit niet als afwijking wordt aangemerkt;

b. in de door het agentschap BPR uitgegeven Kwaliteitsbrochure kenbaar is gemaakt dat de desbetreffende afwijking niet als afwijking wordt aangemerkt.

4. In verband met het bepaalde in het tweede lid overlegt de auditee de door de auditor verlangde managementsamenvattingen.

Een auditee heeft het inhoudelijke deel van de audit met goed gevolg afgelegd, indien er per foutklasse niet meer fouten zijn geteld dan:

a. 1% van het aantal niet-select getrokken persoonslijsten in foutklasse A;

b. 5% van het aantal niet-select getrokken persoonslijsten in foutklasse B;

c. 10% van het aantal niet-select getrokken persoonslijsten in foutklasse C.

De onderzochte persoonslijst wordt door de auditor gewaarmerkt. De afwijkingen alsmede de telling van deze afwijkingen als fouten, worden in de auditrapportage vermeld.

Het procesmatige deel van de audit wordt uitgevoerd met behulp van de in bijlage 2 opgenomen vragenlijst en de ingevolge artikel 12, eerste lid, door de auditee aangeboden documenten alsmede de waarneming ter plaatse door de auditor.

Het privacydeel van de audit wordt uitgevoerd aan de hand van de in bijlage 3 opgenomen aanvullende vragenlijst en de ingevolge artikel 15a, eerste lid, door de auditee aangeboden documenten.

1. De vragenlijst wordt door de verantwoordelijke voor de verwerking van persoonsgegevens in de basisadministratie voorafgaand aan de audit ingevuld en samen met de afschriften van de meest recente versies van de in bijlage 3 met een ‘@’-teken aangeduide documenten aan de auditor aangeboden.

2. De auditor stelt naar eigen inzicht aanvullende vragen aan de volgende voor de bescherming van de persoonlijke levenssfeer verantwoordelijke en uitvoerende personen:

a. de functionaris die verantwoordelijk is voor de inhoud, integriteit en toegankelijkheid van de gegevens in de basisadministratie in de gemeente;

b. de functionaris die verantwoordelijk is voor de bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de GBA opgenomen zijn;

c. de functionaris die verantwoordelijk is voor het controleren en evalueren van de maatregelen voor de informatiebeveiliging;

d. de functionaris die verantwoordelijk is voor een juiste bijhouding van de GBA.

3. De auditee geeft vooraf aan bij wie genoemde verantwoordelijkheden zijn neergelegd en waar dat uit blijkt.

4. De auditor toetst of ten aanzien van het onderdeel privacy de voorgeschreven maatregelen zijn getroffen, of deze in de praktijk worden nageleefd en welke risico's daarbij zijn te onderkennen.

Omtrent het privacydeel van de audit wordt minimaal opgenomen:

a. de zichtbare onvolkomenheden in de documentatie;

b. hoe dit deel van de audit is uitgevoerd, welke aanvullende documenten zijn geraadpleegd, welke controles en interviews zijn uitgevoerd;

c. de bevindingen.

In verband met de bescherming van de persoonlijke levenssfeer van de burger zijn de feitelijke bevindingen bij het inhoudelijke deel van de audit op een zodanige wijze beschreven dat de gegevens niet zijn te herleiden tot een individuele persoon.

1. De managementsamenvatting bestaat uit de volgende elementen:

a. een passage waaruit blijkt onder wiens verantwoordelijkheid het inhoudelijk deel onderscheidenlijk het privacydeel van de audit is uitgevoerd, welke auditoren het inhoudelijke deel en het privacy deel hebben uitgevoerd, wanneer welke onderdelen van de audit zijn uitgevoerd en, indien sprake is geweest van uitbesteding door de auditinstelling, welk deel aan welke instantie is uitbesteed;

b. een verklaring dat het inhoudelijk deel van de audit onderscheidenlijk het privacydeel van de audit niet, dan wel geheel of gedeeltelijk is uitgevoerd met behulp van computers en geautomatiseerde uitrusting;

c. de conclusies, onderverdeeld naar:

1°. de niet-selecte persoonlijsten, waarbij per foutklasse wordt aangegeven welke afwijkingen zijn aangetroffen en of de geldende norm is overschreden;

2°. de select getrokken persoonslijsten, waarbij wordt aangegeven welke afwijkingen zijn aangetroffen;

3°. de uitkomsten van het privacydeel van de audit, onder vermelding van de geconstateerde tekortkomingen;

4°. de onderdelen waarvoor een heraudit verplicht is dan wel de mededeling dat geen heraudit verplicht is;

5°. de afspraken die de auditee met de auditor heeft gemaakt naar aanleiding van de bespreking van het concept van de auditrapportage.

d. een passage met aanbevelingen en voorgestelde maatregelen ter verbetering van bij de auditee in het kader van een audit of een heraudit geconstateerde afwijkingen en tekortkomingen.

2. Het controleverslag bestaat minimaal uit de volgende elementen:

a. welke vragen en aanvullende vragen zijn gecontroleerd;

b. de zichtbare onvolkomenheden in de documentatie;

c. hoe dit deel van de audit is uitgevoerd, welke aanvullende documenten zijn geraadpleegd alsmede welke controles en interviews zijn uitgevoerd;

d. de bevindingen;

e. een passage waaruit blijkt onder wiens verantwoordelijkheid de controle van het procesmatige deel is uitgevoerd, welke auditoren de controle hebben uitgevoerd, wanneer de controle is uitgevoerd en, indien sprake is geweest van uitbesteding door de auditinstelling, aan welke instantie is uitbesteed.

3. Burgemeester en wethouders zenden binnen een maand na het in artikel 21a, derde lid, bedoelde tijdstip een afschrift van de managementsamenvatting onderscheidenlijk het controleverslag naar het agentschap BPR.

4. Bij het afschrift van het controleverslag voegen zij een afschrift van de ingevulde vragenlijst met betrekking tot het procesmatige deel van de audit die zij aan de auditor ter controle hebben overgelegd.

5. Indien uit de bevindingen naar aanleiding van de controle is gebleken dat gecontroleerde vragen niet correct bleken te zijn beantwoord, voegen zij tevens een correct ingevulde vragenlijst bij.

6. Burgemeester en wethouders delen bij de toezending van het afschrift van het controleverslag mee voor welke onderdelen van het procesmatige deel van de audit een heraudit verplicht is dan wel dat geen heraudit verplicht is.

7. De managementsamenvatting en het controleverslag worden gedurende zeven jaren door de auditee bewaard.

1. Uiterlijk twee maanden nadat met de uitvoering van de audit is begonnen, wordt een concept van de auditrapportage voorgelegd aan de auditee.

2. Het concept van de auditrapportage wordt vervolgens met een vertegenwoordiger van de auditee besproken.

3. De uiteindelijke auditrapportage wordt uiterlijk twee maanden nadat het concept van de auditrapportage aan de auditee is voorgelegd, vastgesteld en door de auditor of een door de auditinstelling gemachtigd personeelslid ondertekend.

4. De termijn van een jaar, bedoeld in artikel 120a, vijfde lid, van de wet vangt aan op het moment dat de auditrapportage is vastgesteld, dan wel op het tijdstip dat deze ingevolge het derde lid uiterlijk had moeten zijn vastgesteld.

5. Ten aanzien van het verslag van de bevindingen van de controle van het procesdeel zijn het eerste tot en met vierde lid van overeenkomstige toepassing.

De heraudit wordt overeenkomstig de volgende eisen uitgevoerd:

1. De heraudit betreft:

a. de foutklassen van het inhoudelijk deel van de audit, waarin meer fouten zijn geconstateerd dan de desbetreffende norm toestaat;

b. de vragen, genoemd in artikel 23, tweede lid, waarop negatief is geantwoord, waarbij het te overleggen document ontbreekt dan wel voor zover van toepassing maatregelen niet zijn getroffen of in de praktijk niet worden nageleefd;

c. de vragen, genoemd in artikel 23, derde lid, waarop negatief is geantwoord dan wel waarbij het te overleggen document ontbreekt.

2. Er wordt bij de heraudit gecontroleerd of de auditee zodanige maatregelen heeft getroffen dat de kwaliteit van de desbetreffende onderdelen nu wel voldoende is.

3. Voor een heraudit met betrekking tot de gegevens in foutklassen A, B of C is het gestelde in paragraaf 1 van hoofdstuk 2 van overeenkomstige toepassing.

4. Voor een heraudit met betrekking tot het procesdeel is het gestelde in paragraaf 2 van hoofdstuk 2 van overeenkomstige toepassing met dien verstande dat de beantwoording van alle vragen, bedoeld in het eerste lid, onderdeel b, wordt gecontroleerd.

5. Voor een heraudit met betrekking tot het privacydeel is het gestelde in paragraaf 3 van hoofdstuk 2 van overeenkomstige toepassing.

6. Artikel 21 en 21a zijn van overeenkomstige toepassing.

1. De auditor is volledig vrij van commerciële, financiële en andere druk die zijn oordeel zou kunnen beïnvloeden.

2. De auditor is onafhankelijk ten opzichte van de auditee. De auditor heeft geen andere zakelijke relaties met de auditee.

3. De auditor laat zich niet in met activiteiten die strijdig kunnen zijn met de onafhankelijkheid van zijn oordeel en zijn integriteit met betrekking tot de audit.

4. Alle colleges van burgemeester en wethouders kunnen, met inachtneming van het gestelde in de voorgaande leden, de audit door de auditinstelling laten uitvoeren.

1. De auditinstelling verzekert de volledige geheimhouding van informatie die zij in de loop van haar auditactiviteiten verkrijgt.

2. De auditinstelling garandeert de privacybescherming van de burger en de bescherming van eigendomsrechten.

1. De auditinstelling is zodanig georganiseerd dat ze blijvend in staat is om haar auditfuncties naar behoren te vervullen. De audits die met auditees zijn afgesproken, worden in het betreffende tijdvak van drie maanden uitgevoerd zonder dat dat tot kwaliteitsverlies leidt. De auditinstelling beschikt om die reden over voldoende personeel of heeft met één of meerdere auditinstellingen een overeenkomst gesloten zodat voldoende vervanging is gegarandeerd.

2. Alle soorten functies die van invloed zijn op de kwaliteit van de auditdiensten of betrokken zijn bij het verlenen van de auditdiensten zijn beschreven. Deze functiebeschrijvingen omvatten de eisen op het gebied van opleiding, training, technische kennis, inhoudelijke kennis van de gemeentelijke basisadministraties en ervaring.

1. De leiding van de auditinstelling bepaalt haar beleid, doelstelling en betrokkenheid met betrekking tot de kwaliteit van de audit, legt dat schriftelijk vast en bewerkstelligt dat dit beleid op alle niveaus in de organisatie wordt begrepen, toegepast en gehandhaafd.

2. De auditinstelling beheert een effectief kwaliteitssysteem dat past bij de omvang van de organisatie.

3. Het kwaliteitssysteem is volledig schriftelijk vastgelegd. Er is een kwaliteitshandboek aanwezig, dat de door deze norm vereiste informatie bevat die is opgesomd in artikel 38.

4. De auditinstelling wijst een functionaris aan die, ongeacht andere taken, een duidelijk bepaalde bevoegdheid en verantwoordelijkheid heeft voor de kwaliteitsborging aangaande de audit. Deze functionaris heeft directe toegang tot de directie van de auditinstelling.

5. Het kwaliteitssysteem wordt passend en actueel gehouden onder verantwoordelijkheid van deze functionaris.

6. De auditinstelling houdt een systeem in stand voor de beheersing van alle voor de audit relevante documenten en bewerkstelligt dat:

a. de documenten beschikbaar zijn voor al het betrokken personeel;

b. al het betrokken personeel tijdig van wijzigingen of aanvullingen op de hoogte wordt gebracht;

c. vervallen (onderdelen van) documenten binnen de organisatie uit gebruik worden genomen behoudens één exemplaar dat wordt bewaard.

1. De auditinstelling beschikt over voldoende personeel, met voldoende deskundigheid voor het uitvoeren van hun taken. Indien gebruik wordt gemaakt van op afroep beschikbare personen, voeren deze hun werk uit als was het personeel van de auditinstelling. Werkzaamheden in het kader van een audit worden, behoudens het gestelde in artikel 36, niet uitbesteed.

2. Een auditor voldoet ten behoeve van het inhoudelijke deel van de audit aan de eisen, genoemd in artikel 40.

3. Een auditor voldoet ten behoeve van het procesmatige deel van de audit aan de eisen, bedoeld in artikel 41.

4. De beloning van de auditoren is niet rechtstreeks afhankelijk van het aantal uitgevoerde audits en is niet afhankelijk van de resultaten van de audits.

1. Indien de auditinstelling voor de vastlegging van de bevindingen van de audit gebruikmaakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze dat:

a. de programmatuur en software is beproefd op haar geschiktheid voor het bedoelde gebruik;

b. de procedures zijn vastgesteld en worden toegepast voor het beschermen van de integriteit van de gegevens;

c. de computer en geautomatiseerde uitrusting zodanig worden onderhouden dat de goede werking ervan verzekerd is;

d. procedures zijn vastgesteld en worden toegepast voor een voortdurende beveiliging van de gegevens.

2. Indien de auditinstelling voor de vastlegging van de interviewverslagen in het kader van de audit gebruik maakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze, onverminderd het gestelde in het eerste lid, dat procedures zijn vastgesteld en worden toegepast voor het verwijderen van die gegevens na afloop van de audit.

3. Indien de auditinstelling voor de uitvoering van de audit gebruik maakt van computers en geautomatiseerde uitrusting, dan bewerkstelligt ze dat:

a. de programmatuur en software is beproefd op haar geschiktheid voor het bedoelde gebruik;

b. de procedures zijn vastgesteld en worden toegepast voor het beschermen van de integriteit van de gegevens;

c. de computer en geautomatiseerde uitrusting zodanig worden onderhouden dat de goede werking ervan verzekerd is;

d. procedures zijn vastgesteld en worden toegepast voor een voortdurende beveiliging van de gegevens;

e. procedures zijn vastgesteld en worden toegepast voor het verwijderen van de gegevens na afloop van de audit.

1. De auditinstelling voert het inhoudelijke deel van de audit uit overeenkomstig de eisen genoemd in paragraaf 1 van hoofdstuk 2.

2. De auditinstelling voert het procesmatige deel van de audit uit overeenkomstig het gestelde in paragraaf 2 van hoofdstuk 2.

3. De auditinstelling voert het privacydeel van de audit uit overeenkomstig het gestelde in paragraaf 3 van hoofdstuk 2.

4. De auditinstelling heeft een systeem voor het beheersen van de contracten of werkopdrachten om er zeker van te zijn dat:

a. het uit te voeren werk binnen haar bekwaamheid ligt en dat de organisatie over toereikende middelen beschikt om aan de eisen te voldoen;

b. de eisen van al wie een beroep wenst te doen op de diensten van de auditinstelling, naar behoren worden bepaald en dat de specifieke voorwaarden goed worden begrepen, zodat ondubbelzinnige instructies kunnen worden gegeven aan de auditoren;

c. toezicht wordt uitgeoefend op het werk in uitvoering, door middel van regelmatige beoordelingen en corrigerende maatregelen;

d. het werk na voltooiing wordt beoordeeld ter bevestiging dat aan de eisen is voldaan.

5. De waarnemingen en gegevens die gedurende de audit worden verkregen, worden tijdig vastgelegd om verlies van ter zake doende informatie te voorkomen.

1. De auditinstelling bewerkstelligt dat de te controleren persoonslijsten op ondubbelzinnige wijze zijn gekenmerkt, om te voorkomen dat op enig ogenblik verwarring ontstaat met betrekking tot de identiteit van de persoonslijsten.

2. Zichtbare onvolkomenheden in de te controleren persoonslijsten en te bestuderen documentatie die aan de auditor worden gemeld of die door hem worden opgemerkt, voordat met de audit is gestart, worden in de auditrapportage vastgelegd. Indien er enige twijfel bestaat over de geschiktheid van de persoonslijsten of de documentatie voor de uit te voeren controle, raadpleegt de auditor de auditee alvorens verder te gaan met de audit.

3. De auditinstelling bewerkstelligt dat na afloop van de audit alle gecontroleerde persoonslijsten en andere door de auditee verstrekte documentatie weer ter beschikking wordt gesteld aan de auditee.

1. De door de auditinstelling uitgevoerde audit of heraudit wordt afgesloten met een auditrapportage.

2. De auditrapportage voldoet aan de eisen genoemd in hoofdstuk 3.

1. Alle registraties worden gedurende de audit veilig opgeslagen, zorgvuldig en vertrouwelijk bewaard, met inachtneming van de wettelijke verplichtingen.

2. De auditinstelling bewerkstelligt dat na afloop van de audit het door het college van burgemeester en wethouders ingevulde vragenlijst voor het procesmatige deel van de audit en de eventuele interviewverslagen ter beschikking worden gesteld aan de auditee.

1. De auditinstelling voert zelf de audits uit die ze op grond van een overeenkomst op zich heeft genomen.

2. Uitbesteding van een gedeelte van de audit is slechts toegestaan aan een andere auditinstelling die door de minister is aangewezen om de audit uit te voeren. De auditinstelling stelt de auditee op de hoogte van haar voornemen om een gedeelte van de audit uit te besteden. De andere auditinstelling moet voor de auditee aanvaardbaar zijn.

3. De auditinstelling houdt een register bij van al haar uitbestede werk.

1. De auditinstelling beschikt over schriftelijk vastgelegde procedures voor het behandelen van klachten van auditees.

2. Er wordt een overzicht bijgehouden van alle klachten en van de acties die daarop door de auditinstelling zijn genomen.

De auditinstelling neemt op passende wijze deel aan de uitwisseling van ervaringen met andere auditinstellingen, het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties en de Raad voor Accreditatie.

In het kwaliteitshandboek van de auditinstelling dient de volgende informatie te zijn opgenomen:

a. algemene informatie (naam, adressen, telefoonnummer enz. en wettelijke status);

b. verklaring van de leiding over haar beleid, doelstelling en betrokkenheid op het gebied van kwaliteit;

c. verklaring van de leiding die de in artikel 28, vierde lid, vermelde functionaris aanstelt;

d. beschrijving van de werkgebieden en bekwaamheden van de auditinstelling;

e. informatie over de verhoudingen tussen de auditinstelling en het moederbedrijf of verbonden organisaties, indien van toepassing;

f. organisatieschema('s);

g. beschrijving van de in artikel 27, tweede lid, bedoelde functies;

h. beleidsverklaring over de kwalificatie en opleiding van de in artikel 27, tweede lid, bedoelde functies;

i. procedures voor documentenbeheer;

j. procedures voor interne audits;

k. procedures voor terugkoppeling en corrigerende maatregelen;

l. procedures voor beoordelingen van het kwaliteitssysteem door de leiding;

m. procedures voor het actueel houden van kwalificaties, opleiding, ervaring en kennis van de auditor;

n. andere procedures en voorschriften of verwijzingen naar andere procedures of voorschriften die in deze norm worden vereist;

o. verspreidingslijst van het kwaliteitshandboek.

De auditor die het inhoudelijke deel van de audit uitvoert, voldoet aan de volgende criteria:

a. de auditor beschikt over gedegen en aantoonbare kennis van de voor de audit relevante onderdelen uit de voorschriften zoals deze zijn beschreven in: de wet, het besluit, de regeling GBA, deze regeling, de systeembeschrijving, de Landelijke Tabellen, overige voor de verwerking van persoonsgegevens in de basisadministraties relevante regelgeving, het Handboek Uitvoeringsprocedures, het Handboek Operationele Procedures, de Kwaliteitsbrochures en de rubriek ‘Vragen en antwoorden aan de GBA Helpdesk’ in Burgerzaken en Recht;

b. de auditor beschikt over voldoende inzicht in de werking van geautomatiseerde systemen in het algemeen en van de verschillende GBA-applicaties in het bijzonder om vast te kunnen stellen of een steekproef uit de basisadministratie op de voorgeschreven wijze is getrokken, of het select verzamelen van persoonslijsten op de juiste wijze is geschied, om de persoonslijst op de juiste wijze te kunnen interpreteren en om vast te kunnen stellen dat een opgemerkte afwijking mogelijk niet als een fout moet worden geteld.

c. de auditor werkt zeer nauwgezet en snel en bezit de aantoonbare capaciteiten om afwijkingen in persoonslijsten te vinden.

De auditor die het procesmatige en privacydeel van de audit uitvoert, of onder wiens verantwoordelijkheid die delen worden uitgevoerd, voldoet aan het volgende criterium: de auditor is Register EDP-auditor (RE), een Europees equivalent daarvan of Certified Information Systems Auditor (CISA).

Deze regeling treedt in werking met ingang van 1 oktober 2000. Artikel 22 van deze regeling werkt terug tot en met 1 juli 1999.

Deze regeling wordt aangehaald als: Regeling periodieke audit GBA.

     Deze regeling zal met de toelichting in de Staatscourant worden geplaatst.

's-Gravenhage, 1 september 2000.
De Minister voor Grotesteden- en Integratiebeleid,
R.H.L.M. van Boxtel.

De vaststelling van de select getrokken persoonslijsten als bedoeld in artikel 4, geschiedt op de volgende wijze:

1. In de basisadministratie van de auditee wordt gezocht naar de onderstaande actualiseringen op de persoonslijsten, te beginnen met de eerste en vervolgens de tweede en zo verder, totdat het aantal te controleren select getrokken persoonslijsten is bereikt.

2. De controle van de select getrokken persoonslijsten is bedoeld om het college van burgemeester en wethouders inzicht te verschaffen in de eigen kwaliteit van een aantal bijzondere (actualiserings)processen. Daarom dienen de desbetreffende bijzondere actualiseringen door het college van burgemeester en wethouders zelf te zijn uitgevoerd. Daarnaast wordt, gezien het doel van deze controle, aanbevolen om zo mogelijk de actualiseringen te laten controleren waarvan de gehanteerde brondocumenten aanwezig zijn.

3. De in onderdeel 1 genoemde actualiseringen zijn achtereenvolgens:

a. een eerste inschrijving als gevolg van een vestiging vanuit het buitenland;

b. een erkenning bij geboorteaangifte, waarbij de geboorte en aangifte niet op dezelfde dag hebben plaatsgevonden (op de persoonslijst van het kind);

c. een actualisering of correctie in de groepen 01 (Identificatienummers), 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon) met de daaropvolgende actualisering resp. correctie bij één van de gerelateerden die nog steeds in de gemeente is ingeschreven (de persoonslijst van de persoon én één van zijn/haar gerelateerden);

d. een hervestiging vanuit het buitenland in een andere gemeente dan waar de persoon stond ingeschreven;

e. twee of meer correcties, waarvan minimaal één van de volgende:

een correctie in groepen 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon), een correctie als gevolg van onjuist adres/verhuizing,

een correctie als gevolg van ten onrechte/dubbel opgenomen huwelijk, of

een correctie in de categorie 04 (Nationaliteit);

f. een adoptie met een naamswijziging (op de persoonslijst van het kind);

g. een naturalisatie met naamswijziging en het eventuele verlies van andere nationaliteit(en);

h. een vestiging vanuit het buitenland van een gezin (vader en moeder met kind(eren)), als eerste inschrijving;

i. een adoptie van een buitenlands kind, waarvan de geboortegegevens zijn ingeschreven in de Registers van de Burgerlijke Stand van Den Haag (op de persoonslijst van het kind);

j. een ontkenning van het vaderschap (op de persoonslijsten van het kind én van de vader en/of de moeder);

k. een registratie van een emigratie naar land onbekend;

l. een registratie van het adres van een persoon in het gegeven 08.12.10 (Locatiebeschrijving)

m. een geboorte met de daaropvolgende opname van het gegeven 11.32.10 (Indicatie gezag minderjarige);

n. nogmaals twee of meer correcties, waarvan minimaal één van de volgende: een correctie in groepen 02 (Naam) of 03 (Geboorte) van categorie 01 (Persoon), een correctie als gevolg van onjuist adres/verhuizing, een correctie als gevolg van ten onrechte/dubbel opgenomen huwelijk of een correctie in de categorie 04 (Nationaliteit), maar dan wel een ander dan eerder is gekozen;

o. een registratie van het gegeven 01.61.10 (Aanduiding naamgebruik) met een andere waarde dan ‘E’ bij een gehuwde vrouw die niet de Nederlandse nationaliteit bezit;

p. een registratie van meer dan vijf categorieën 10/60 (Verblijfstitel).

4. Indien te weinig van bovenstaande actualiseringen aanwezig zijn, waardoor het aantal te controleren select getrokken persoonslijsten niet is bereikt, kan het college van burgemeester en wethouders zelf andere actualiseringen aandragen.

[Ligt ter inzage bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties]

[Ligt ter inzage bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties]

[Ligt ter inzage bij het ministerie van Binnenlandse Zaken en Koninkrijksrelaties]