Onderwerp Rapportage Privacybescherming & lnformatiebeveiliging 2018

Transcriptie

1 l&tlà Gemeente Delft Controlling Retouradres : Postbus 78, 2600 ME Delft Aan de leden van de gemeenteraad VERZONDEN 1 6 ME! 2019 Bezoekadres: Gemeente Delft Stationsplein BV Delft Behandeld door: Mevr. H. Koenen hkoenen@delft.nl Mevr. J. Tetenburg jtetenburg@delft.nl Telefoon: Datum Ons kenmerk Bijlage 1 Onderwerp Rapportage Privacybescherming & lnformatiebeveiliging 2018 Geachte leden van de raad, Hierbij ontvangt u de rapportage over privacybescherming & informatiebeveiliging in Met deze rapportage verantwoordt het college van burgemeester en wethouders zieh aan de gemeenteraad over het gevoerde beleid ten aanzien van privacybescherming en informatiebeveiliging conform de regels van ENSIA (Eenduidige Normatiek Single Information Audit). Opzet rapportage Terugblík 2018 In deze paragraaf wordt de realisatie van de planning over 2018 toegelicht voor lnformatiebeveiliging en voor Privacybescherming, en wordt er ingegaan op het dreigingsbeeld 2018, de opgetreden incidenten en de ervaren risico's. Rapportage ENS/A Via de verantwoordingssystematiek ENSIA wordt eenmaal per jaar verantwoording afgelegd over de normen van de volgende informatiesystemen: de Baseline lnformatiebeveiliging Gemeenten (BIG), de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling Nederland (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en lnkomen (SUWlnet). Per 1 januari 2018 is de Wet op de Basisregistratie Ondergrond (BRO) ingegaan. Verantwoording over deze wet is aanvullend als pilot opgenomen in de ENSIA verantwoording ENSIA verplicht het College om door middel van deze systematiek verticale verantwoording afte leggen aan verschillende rijksinstanties, en horizontale verantwoording aan de gemeenteraad. Deze rapportage is de vereiste farmele rapportage in het kader van ENSIA. De bijlagen over de basisregistraties BAG, BGT en BRO zijn voorgeschreven. De basisregistratie BRP/PUN volgt een eigen lijn. Voor specifiek geselecteerde normen van DigiD en Suwinet heeft aanvullend een externe IT-audit plaatsgevonden. De externe IT-auditor heeft middels een assurance rapportage een goedkeurende verklaring afgegeven over de collegeverklaring ENSIA, specifiek gericht op de

2 Datum Ons kenmerk systemen DigiD en Suwinet. Goedkeuring is een vereiste voor het kunnen blijven gebruiken van deze systemen. De verklaring is als bijlage bij de rapportage gevoegd. Hoogachtend, het college van burgemeester en wethouders van Delft,, burgemeester J.M. van Bijsterveldt-Vliegenthart, secretaris dr. M. Berger, I.s. 2/2

3 Privacybescherming & informatiebeveiliging 2018 Verantwoordingsrapportage gemeenteraad Delft Datum: 22 mei 2019

4 Inhoudsopgave 1. Inleiding Terugblik Informatiebeveiliging Privacybescherming Inzage door betrokkenen Register van verwerkingen, verwerkingsovereenkomsten en dataleveringsovereenkomst Data Protection Impact Assessment (DPIA) Deelnemingen (100%) Werkse! Integraal parkeerbedrijf Delft Delft Support Projecten en adviezen, verder ontwikkelen instrumentarium Dreigingen en incidenten Dreigingsbeeld Informatiebeveiligingsincidenten Datalekken ENSIA Horizontale en verticale verantwoording ENSIA Horizontale verantwoording Verticale verantwoording Externe IT Audit De BIG en afzonderlijke informatiesystemen BIG DigiD Suwinet Basisregistratie Personen (BRP) & Paspoortuitvoeringsregeling Nederland (PUN) Basisregistratie Adressen en Gebouwen (BAG) Basisregistratie Grootschalige Topografie (BGT) Basisregistratie Ondergrond Bijlage 1: Collegeverklaring ENSIA Bijlage 2: Verantwoordingsrapportage 2018 BAG Bijlage 3: Verantwoordingsrapportage BGT Bijlage 4: Verantwoordingsrapportage BRO Pagina 2 van 62

5 1. Inleiding Het vakgebied rondom privacy en informatiebeveiliging is doorlopend in beweging. Al meerdere jaren worden processen in toenemende mate geautomatiseerd. Zo wordt bedrijfsgevoelige informatie steeds vaker digitaal opgeslagen en bewerkt. Ook voor dagelijkse werkzaamheden wordt vaker een manier gevonden om deze digitaal uit te voeren. Denk aan digitale handtekeningen, vergaderingen middels inbellen (skype), thuiswerken, het versturen van beveiligde- mails, het gebruik van smartphones, etc. Traditionele organisaties maken plaats voor netwerkorganisaties waarbij informatie worden uitgewisseld tussen bedrijven of overheidsinstellingen. Om deze informatie-uitwisseling te vergemakkelijken, zijn ook het aantal koppelingen tussen systemen de afgelopen jaren sterk toegenomen. Deze ontwikkelingen hebben tot gevolg dat gemeenten steeds afhankelijker worden van een goede werking van de ICT voor de continuïteit van de bedrijfsvoering. Het ICT landschap kent anno 2019 een grote mate van complexiteit waarin het van belang is controle te blijven houden op de informatiestromen die zich zowel binnen als buiten de gemeente bewegen. Het zicht blijven houden op de verspreiding van informatie is niet alleen belangrijk voor het behoud van controle. Ook de criminaliteit heeft een digitaliseringsslag gemaakt. Denk aan digitale inbraakpogingen. Hackers worden dan ook steeds slimmer en creatiever in het vinden van een wijze om systemen binnen te dringen en toegang te krijgen tot bedrijfsmiddelen of (persoons)gegevens. Informatiebeveiliging en privacybescherming worden daarom steeds urgentere onderwerpen op de gemeentelijke agenda. De omvang en impact van externe bedreigingen op onze digitale omgeving is fors toegenomen. Bovendien beschikt de gemeente over een toenemend aantal persoonsgegevens die onder strengere regelgeving moeten worden beheerd. Incidenten worden vaak veroorzaakt door zowel externe dreigingen als zwakke procedures of onzorgvuldigheid van de gebruikers. Soms een combinatie van deze factoren. Succesvolle inbraakpogingen hebben grote impact op de gemeentelijke organisatie. Het risico is aanwezig dat, gezien de snelle ontwikkeling van bijvoorbeeld ransomware, niet alleen de gegevens en systemen waartoe de onoplettende gebruiker toegang heeft worden gegijzeld. Met de nieuwe geavanceerde ransomware technieken bestaan er methodieken om middels diezelfde onoplettende gebruiker toegang te krijgen tot alle systemen en gegevens van de organisatie, en zo ook systemen en gegevens van met de gemeente verbonden inwoners, bedrijven en partnerorganisaties. Het beheersen van het risico van externe dreigingen heeft dan ook hoge prioriteit. Deze rapportage betreft de verantwoordingsrapportage privacy & informatiebeveiliging 2018 van gemeente Delft. Middels een terugblik over 2018 zal aandacht worden besteed aan de audits en werkzaamheden die in 2018 hebben plaatsgevonden, evenals het dreigingsbeeld voor Pagina 3 van 62

6 2. Terugblik 2018 Voor 2018 is een uitvoeringsplanning voor Informatiebeveiliging en Privacybescherming opgesteld met de volgende prioriteiten: De realisatie van de planning 2018 wordt toegelicht in de paragrafen Informatiebeveiliging (2.1) en Privacybescherming (2.2), met een aparte paragraaf voor de verantwoording in het kader van ENSIA (par. 4). In de paragraaf 3 (Dreigingsbeeld en incidenten), wordt ingegaan op de in 2018 ervaren risico s. De paragraaf over ENSIA is de formele rapportage van het college aan de raad over de implementatie van de kaders voor informatiebeveiliging zoals vereist in het kader van de horizontale ENSIA verantwoording. Bijlagen 1 (Collegeverklaring ENSIA 2018), 2 (Verantwoordingsrapportage BAG) 3 (Verantwoordingsrapportage BGT) en 4 (Verantwoordingsrapportage BRO) maken tevens deel uit van de formele ENSIA-rapportage. Onderzoek Delftse Rekenkamer In de periode januari mei 2018 heeft de Delftse Rekenkamer (DRK) een onderzoek uitgevoerd naar informatiebeveiliging binnen gemeente Delft. Het rapport is besproken in de raadscommissie voor Economie Financien en Bestuur op 4 oktober De conclusie van de Rekenkamer was: Persoonsgegevens en andere gevoelige informatie zijn bij de gemeente Delft grotendeels in goede/veilige handen. Er is veel goed geregeld. Dat neemt niet weg dat nog een aantal zaken (beter of anders) geregeld moet worden. Hoofdlijnen uit het rapport, zoals de versterking van de rol van het lijnmanagement op informatiebeveiligingsgebied, meer inzetten op bewustwording in de organisatie en uitbreiden van toezicht en controle op kwetsbaarheden, zijn meegenomen in de programmering voor 2019 voor zo ver dit past binnen de beschikbare capaciteit. Pagina 4 van 62

7 2.1 Informatiebeveiliging Op 9 januari 2018 heeft het college van B&W de nota Informatiebeveiligingsbeleid vastgesteld. Hierin zijn de uitgangspunten, randvoorwaarden en hoofdlijnen van het informatiebeveiligingsbeleid voor de gemeentelijke organisatie vastgelegd. In 2018 heeft de gemeente zich mede door de uitkomsten van het DRK-onderzoek, meer gericht op het versterken van de technische informatiebeveiliging door het uitvoeren van risico-analyses en kwetsbaarhedenscans en de daaropvolgende aanpassingen in systemen. Het versterken van de technische informatiebeveiliging wordt voortgezet in Zo is er een SOC 1 opgericht en een SIEM 2 ingericht om kwetsbaarheden en inbreuken op het netwerk sneller te detecteren en te analyseren. Het ENSIA 3 traject is volgens planning verlopen. De gemeente Delft heeft in het eerste kwartaal van 2018 een collegeverklaring opgesteld over de mate waarin in 2017 aan de normenkaders van DigiD en Suwinet werd voldaan. Uit de zelfevaluatie kwam naar voren dat er nog enkele verbeterpunten dienden te worden doorgevoerd in Zo behoorde DNSSEC 4 te worden geïmplementeerd. Daarnaast bleek uit de penetratietest 5 die in maart 2018 werd uitgevoerd door een extern bedrijf, dat het mogelijk was om in het invoerveld voor telefoonnummers van de Delftse website, andere tekens in te vullen dan cijfers. Beide verbeterpunten zijn binnen drie maanden na constatering doorgevoerd. Tot slot was er sprake van een administratieve slordigheid bij het vaststellen van de autorisatiematrix 6 voor Suwinet. Inmiddels wordt op dit punt aan de norm voldaan. Onderdeel van het ENSIA traject betreft tevens het afleggen van verantwoording aan de gemeenteraad over de volledige stand van zaken ten aanzien van informatiebeveiliging en de mate waarin aan de BIG wordt voldaan. Op 30 mei 2018 heeft het college dit gedaan tijdens een vergadering van de commissie R&A middels een presentatie en een verantwoordingsrapportage. In verband met beperkte capaciteit, is het verder werken aan gegevensclassificatie tijdelijk stopgezet. Hoe het staat met het verder implementeren van de BIG, is te lezen in de ENSIA-rapportage. 1 Security operations center, groep medewerkers die zich gespecialiseerd hebben in het analyseren van problemen met informatiebeveiliging 2 Security Incident and Event Management 3 Eenduidige Normatiek Single Information Audit 4 DNSSEC staat voor Domain Name System Security Extensions. DNSSEC voorziet de DNS records van een digitale handtekening, zodat de aanvrager kan controleren of de record die terug komt, authentiek is. Het spoofen van DNS, of zogeheten cache-poisoning, is hierdoor niet langer meer mogelijk. 5 Een penetratietest of pentest is een toets van een of meer computersystemen op kwetsbaarheden, waarbij deze kwetsbaarheden ook werkelijk gebruikt worden om in deze systemen in te breken. 6 Het doel van een autorisatiematrix moet zijn om inzicht te krijgen (en te houden) in de rollen die een medewerker heeft en op deze wijze voldoende functiescheiding in te richten. Pagina 5 van 62

8 2.2 Privacybescherming Op 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) in werking getreden. Hieraan voorafgaand is veel aandacht besteed aan het informeren van alle gemeentelijke medewerkers middels lunchbijeenkomsten, overleggen en berichten op het intranet. Ook na 25 mei 2018 hebben de medewerkers die belast zijn met taken rondom de uitvoering van de wet, gewerkt aan het blijvend prikkelen van gemeentelijke medewerkers om alert te zijn op de handhaving van de AVG. Zo blijven er periodiek berichten op het intranet verschijnen, zijn er meerdere risicosessies en trainingsbijeenkomsten georganiseerd bij specifieke afdelingen en worden veel adviezen gegeven over het juist gebruik van persoonsgegevens. Op 6 maart 2018 is de nota privacy beleid vastgesteld door het college van B&W en op 14 maart besproken met de raadscommissie R&A/EFB. Op 25 mei 2018 is de eerste fase van de implementatie van de AVG afgerond: Er is een Functionaris Gegevensbescherming (FG) aangesteld; Er is een procedure ingericht voor inzage door inwoners en andere betrokkenen in hun gegevens en voor het uitoefenen van hun rechten met betrekking tot deze gegevens; Er is een basis register van verwerkingen ingericht waarin alle verwerkingen van persoonsgegevens zijn opgenomen; Er zijn verwerkingsovereenkomsten en dataleveringsovereenkomsten; De procedure datalekken was al in werking, deze heeft nu een register voor alle gemelde datalekken; Er is een methode voor het uitvoeren van Data Protection Impact Assessments (DPIA s) Inzage door betrokkenen Op grond van de AVG hebben de betrokkenen (personen op wie de persoonsgegevens betrekking hebben) recht op inzage in de verwerking van hun persoonsgegevens. Zij hebben ook het recht om deze te laten verwijderen, aan te laten passen of buiten werking te stellen. Dit geldt wel onder voorbehoud van regelgeving. Denk bijvoorbeeld aan de verantwoordingsplicht van de gemeente. Betrokkenen kunnen via de Delftse website of schriftelijk een verzoek indienen om inzicht te krijgen in de persoonsgegevens die de gemeente over hen heeft verzameld en de partijen waar deze gegevens mee gedeeld worden. In 2018 is van deze regeling gebruikt gemaakt door 29 verzoekers met 67 verzoeken. Er is 1 maal contact opgenomen met de FG over een vermeend onterechte verwerking. Er zijn geen verzoeken tot aanpassing van de gegevensverwerking gedaan. Pagina 6 van 62

9 alle gegevens WMO Jeugdwet Participatiewet Schuldhulpverlening Personeelsadministratie Veiligheidskamer Delft Inzage verzoeken Register van verwerkingen, verwerkingsovereenkomsten en dataleveringsovereenkomsten Eind 2018 bedraagt het aantal afgesloten verwerkingsovereenkomsten 63, en 18 in concept. Er zijn nog 12 verwerkingen in beeld waarvoor een verwerkingsovereenkomst moet worden afgesloten Data Protection Impact Assessment (DPIA) Data Protection Impact Assessments 7. (DPIA s) zijn wettelijk verplicht bij grote wijzigingen in gegevensverwerkingen. DPIA s worden uitgevoerd bij onderdelen waar de gemeente zelf een risico onderkent. DPIA s worden deels in huis uitgevoerd door de IT-auditor en deels uitbesteed. Dit is afhankelijk van de urgentie, benodigde capaciteit en de behoefte aan een externe blik. Er is een start gemaakt met het modelleren en uitvoeren van Data Protection Impact Assessments (DPIA s). Allereerst zijn er, zoals genoemd, risicosessies georganiseerd bij verscheidene afdelingen binnen de organisatie. Deze sessies zijn gebruikt om inzicht te krijgen in de plekken waar privacyrisico s zich voordoen en waar die risico s het grootst zijn. Dit heeft mede geleid tot vragen vanuit de domeinen om hun processen en/of applicaties vanuit privacy oogpunt door te lichten. Vervolgens zijn er door de interne IT-auditor drie DPIA s uitgevoerd op de volgende applicaties: 1. Suite for Sociaal Domein (SSD) 2. Key2JongerenMonitor 3. AFAS, een applicatie van Werkse! m.b.t. gegevensverwerking in het kader van de Participatiewet Eind 2018 is een start gemaakt met een DPIA op de postverwerking, zoals uitbesteed aan Werkse! Deze audit richt zich niet op een applicatie maar op het gehele postproces, waar meer partijen bij betrokken zijn. 7 Een DPIA is een instrument om vooraf de privacyrisico s van een gegevensverwerking in kaart te brengen. En om daarna maatregelen te kunnen nemen om de risico s te verkleinen. Pagina 7 van 62

10 De DPIA op de relatie gemeente Delft Support op het gebied van gegevensverwerking is uitbesteed aan een extern bureau. De rapportage wordt in 2019 verwacht. 2.3 Deelnemingen (100%) Ook bij de deelnemingen waarvan gemeente 100% eigenaar is, moest de bescherming van persoonsgegevens waarvoor de gemeente verantwoordelijk is, goed geregeld worden Werkse! Werkse! heeft een eigen FG en heeft samen met de gemeente zelf de AVG geïmplementeerd. Met Werkse! zijn afspraken gemaakt en is een periodiek overleg ingesteld tussen de FG s. Belangrijk aandachtspunt in de komende periode is het opstellen van een overkoepelende verwerkingsovereenkomst voor alle diensten die Werkse! voor de gemeente verricht. Dit betreft niet de publieke taken op het gebied van Werk en Inkomen, deze vallen onder gemeentelijk regime Integraal parkeerbedrijf Delft Met het Integraal parkeerbedrijf Delft (IPD) is een verwerkingsovereenkomst afgesloten. Periodiek overleg moet nog worden ingesteld Delft Support De overdracht van taken aan Delft Support is nog niet afgerond. Bij deze overdracht horen afspraken over de privacy-maatregelen die Delft Support zelf treft, over de maatregelen die de gemeente treft in samenwerking met Delft Support en een verwerkingsovereenkomst tussen gemeente en Delft Support. 2.4 Projecten en adviezen, verder ontwikkelen instrumentarium Veel beschikbare capaciteit gaat zitten in ad hoc vragen om advies en projecten die privacy-aspecten hebben. De privacyregelgeving is nog niet uitgekristalliseerd en ook nog niet altijd geland in werkprocessen van medewerkers. Ook uit de risico-sessies komen veel vragen die beantwoord moeten worden. Verdere instrumentontwikkeling is daarom doorgeschoven naar volgende jaren. Zoals in de agenda voor 2019 staat worden in 2019 richtlijnen uitgewerkt voor het gebruik van beeldmateriaal, het gebruik van BSN en voor het anonimiseren dan wel pseudonimiseren van gegevens, juist omdat de eerste ervaringen in 2018 leidden tot veel vragen uit de organisatie over het omgaan met deze onderwerpen. 3. Dreigingen en incidenten 3.1 Dreigingsbeeld 2018 Zowel de Informatiebeveiligingsdienst van de VNG (verder: IBD) als het Nationaal Cyber Security Centrum (NCSC) geven periodiek een algemeen dreigingsbeeld af voor Nederlandse gemeenten respectievelijk heel Nederland. Volgens het cybersecuritybeeld Nederland 2018 van NCSC neemt de digitale dreiging in Nederland toe in omvang en ernst, en is permanent. Uit beide dreigingsbeelden blijkt het volgende: Pagina 8 van 62

11 Weerbaarheid van individuen en organisaties blijft achter bij de groei van de dreiging Mensen maken fouten. Cyberaanvallen zijn profijtelijk, laagdrempelig en weinig riskant voor de aanvallers. De gevolgen van aanvallen en uitval kunnen groot zijn en zelfs maatschappij-ontwrichtend. Cybercriminaliteit houdt aan. Cyberaanvallen die een grote maatschappelijke impact hebben, zijn laagdrempelig uit te voeren. Denk aan ransomware en DDOS. Internet (of Things) is kwetsbaar. Basismaatregelen ontbreken. Er zijn nog steeds onveilige producten en diensten, omdat bekende kwetsbaarheden niet tijdig zijn opgelost. In dat verband is ook het steeds vaker werken met mobile devices (telefoon, tablet, laptop) een versterking van de kwetsbaarheid, omdat deze devices moeilijker te beschermen zijn. Gemeenten zijn kwetsbaar omdat ze veel bijzondere gegevens hebben, maar soms over onvoldoende kennis of middelen beschikken om zich te beschermen. Gemeenten meten te weinig wat er gebeurt op hun netwerk. Het dreigingsbeeld voor 2018 komt redelijk overeen met het landelijk dreigingsbeeld voor gemeenten. In Delft laat het dreigingsbeeld zien dat de phishing 8 steeds slimmer wordt. DDOSaanvallen 9 nemen toe, terwijl er in 2018 minder last was van ransomware 10. Aanvallen zijn goedkoop, maar de protectie daartegen niet. Analyses op grond van meldingen van datalekken en incidenten laten vooral fouten van mensen als verklaring zien. In het risicoprofiel komt duidelijk naar voren dat de onwetende of slordige gebruiker van IT één van de belangrijkste beveiligingsrisico s is. Door middel van voorlichting en vorming wordt al enkele jaren geprobeerd om het beveiligingsbewustzijn bij medewerkers te bevorderen en aan te sturen op veilig gedrag van medewerkers. In het onderzoek van de Delftse Rekenkamer wordt geconcludeerd dat de eigen verantwoordelijkheid die managers en medewerkers voelen voor informatieveiligheid groter moet worden. Ze weten echter niet altijd wat er van ze verwacht wordt en waar ze op aan gesproken kunnen worden. Er is nog geen goede vertaling gemaakt van de algemene principes van informatiebeveiliging en privacybescherming naar hun werkprocessen. Een heel ander risico is de schaarste op de arbeidsmarkt. Het kost veel inspanning om de benodigde specialisten in huis te halen om beveiligingsrisico s te tackelen. Zo heeft de organisatie een half jaar gezocht naar een ervaren coördinerend specialist technische informatiebeveiliging en is de werving voor een ervaren gegevensspecialist die ook de rol van Functionaris Gegevensbescherming (FG) zou kunnen vervullen, mislukt. Met de continu ontwikkelende methodieken door hackers om systemen binnen te dringen, is het van belang dat zowel aandacht is voor preventie als detectie van pogingen om ongeoorloofde toegang 8 Per mail of telefonisch door middel van een slimme boodschap uitlokken dat de geadresseerde vertrouwelijke informatie vrijgeeft zoals inloggegevens, wachtwoorden, pincodes e.d., meestal om verder misbruik te kunnen maken van deze gegevens 9 Distributed Denial of Service, massaal overvragen van servers van bijvoorbeeld banken of de gemeente waardoor de normale dienstverlening geblokkeerd wordt. 10 Software die toegang tot eigen bestanden van de organisatie versleutelt (gijzelt) en die de sleutel pas na betaling van losgeld vrijgeeft Pagina 9 van 62

12 tot het netwerk te verkrijgen. Een combinatie van beiden zorgt ervoor dat er bij aanvallen die niet voorkomen konden worden, snel geacteerd kan worden na detectie. Gemeente Delft maakt daarom gebruik van zowel een intrusion protection system 11 als een intrusion detection system 12. Deze systemen monitoren dagelijks of en welke pogingen er worden ondernomen om de Delftse systemen binnen te dringen. In 2018 is meer aandacht gericht op het uitvoeren van kwetsbaarhedenscans. Ook hebben er drie penetratietesten plaatsgevonden. Tweemaal als onderdeel van de ENSIA audit en specifiek gericht op de DigiD omgeving. Ook in 2019 is de eerste prioriteit het versterken van de technische informatiebeveiliging. Er zal meer en gerichter door de eigen organisatie en door externe bureaus worden getest. Met name omdat uit risicoanalyses blijkt dat de impact van misbruik van zo n kwetsbaarheid heel groot is. 3.2 Informatiebeveiligingsincidenten De beveiligingsincidenten laten in 2018 geen verontrustend patroon zien. Verreweg de meeste meldingen betreffen spam en phishing. In 2018 is het gemakkelijker gemaakt om spam te melden. Zo is er in de cliënt een knop toegevoegd waarmee een met één handeling in quarantaine wordt geplaatst en er een spammelding wordt verzonden. In 2017 zijn een aantal maatregelen genomen om spam- en phishingmail tegen te gaan. Zo is gestart met het implementeren van de beveiligingsmaatregelen DKIM 13, SPF 14 en DMARC 15. Deze maatregelen of protocollen staan op de pas-toe-of-leg-uit lijst van de Rijksoverheid en dragen bij aan niet alleen de beveiliging van inkomende mail, maar ook de betrouwbaarheid van uitgaande mail uit 11 Een inbraakpreventiesysteem of intrusion prevention systeem (IPS) houdt de activiteiten op een computersysteem of netwerk in de gaten en analyseert deze op signalen van mogelijke incidenten. 12 Een geautomatiseerd systeem dat ongeautoriseerde toegang tot een informatiesysteem of netwerk detecteert. 13 DomainKeys Identified Mail (DKIM) is een techniek waarbij een organisatie verantwoordelijkheid kan nemen voor een bericht dat per wordt verzonden. DKIM is ontstaan uit DomainKeys van Yahoo! en Internet Identified Mail van Cisco. DKIM zelf is geen technologie tegen spam, maar biedt een basis voor authenticatie, waarmee bijvoorbeeld reputatieservices opgezet kunnen worden. Deze reputatieservices op hun beurt kunnen dan gebruikt worden door spamfilters. 14 Sender Policy Framework (afgekort SPF) is een protocol dat tot doel heeft spam te verminderen. Men hoopt e- mail spoofing en spam te verminderen door vast te stellen of de verzender van een bericht gerechtigd is te verzenden namens de vermelde afzender van het bericht. 15 DMARC staat voor Domain-based Message Authentication, Reporting & Conformance en is een combinatie van een goed geconfigureerde SPF record en een goed ingestelde DKIM configuratie. Pagina 10 van 62

13 naam van de gemeente. In 2018 zijn deze maatregelen volledig geïmplementeerd. De keerzijde hiervan is dat er ook tijd moet worden besteed aan het binnen halen van legale mail die in quarantaine blijft hangen vanwege deze beveiligingsmaatregelen. 3.3 Datalekken Er zijn in 2018 in totaal 15 datalekken gemeld: 3,5 3 2,5 2 1,5 1 Melding datalekken Bij AP gemelde datalekken 0,5 0 Jan Feb Mrt Apr Mei Jun Jul Aug Sep Okt Nov Dec Na weging op ernst van het incident conform procedure, zijn 4 datalekken definitief gemeld aan de Autoriteit Persoonsgegevens. Het betreft in 3 gevallen een document met persoonsgegevens dat niet bij de juiste ontvanger is terecht gekomen, en in 1 geval onbevoegde toegang tot persoonsgegevens in een systeem. Pagina 11 van 62

14 4. ENSIA Tijdens de Buitengewone Algemene Ledenvergadering van de VNG in november 2013 is de resolutie Informatieveiligheid, randvoorwaarde voor de professionele gemeente aangenomen. Met deze resolutie erkenden gemeenten het belang van informatieveiligheid en werd de Baseline Informatiebeveiliging Gemeenten (BIG) als normenkader ingevoerd voor de borging van privacy en informatieveiligheid. Dit vormde de aanleiding voor de start van het project ENSIA (Eenduidige Normatiek Single Information Audit). ENSIA heeft tot doel om een zo effectief en efficiënt mogelijk ingericht verantwoordingsstelsel voor informatieveiligheid te ontwikkelen welke gebaseerd is op, onder meer, de BIG. Om de gewenste efficiëntie te bevorderen, is gekozen voor een verantwoordingssystematiek waarbij eenmaal per jaar verantwoording wordt afgelegd over de normen van de volgende informatiesystemen: de Basisregistratie Personen (BRP), Paspoortuitvoeringsregeling Nederland (PUN), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT) en de Structuur uitvoeringsorganisatie Werk en Inkomen (SUWInet). Per 1 januari 2018 is de Wet op de Basisregistratie Ondergrond (BRO) ingegaan. Rapportage over de uitvoering van deze wet is als pilot opgenomen in de ENSIA verantwoording 2018, zonder verplichting tot het daadwerkelijk afleggen van verantwoording over de uitvoering van deze wet. Ook zijn er enkele AVG vragen opgenomen in de ENSIA verantwoording over Het afleggen van verantwoording vindt plaats middels een zelfevaluatie, welke is gebaseerd op de BIG. De BIG kan worden gezien als paraplu over de afzonderlijke informatiesystemen. Ieder informatiesysteem kent een eigen normenkader. Deze normen zijn vertaald naar een set vragen in een speciaal voor ENSIA ontwikkelde digitale tool. De vragen zijn beantwoord voor de voorgeschreven datum van 31 december Horizontale en verticale verantwoording ENSIA ENSIA kent twee verantwoordingsvormen. Pagina 12 van 62

15 Horizontale verantwoording Met de horizontale verantwoording legt het college van B&W verantwoording af over informatiebeveiliging richting de gemeenteraad. Dit gebeurt middels deze verantwoordingsrapportage. In de Jaarstukken 2018 is daarnaast een stuk opgenomen over informatiebeveiliging onder de paragraaf bedrijfsvoering Verticale verantwoording Pagina 13 van 62

16 Met de verticale verantwoording legt het college van B&W verantwoording af richting de verticale toezichthouders Logius 16, BKWI 17, de Rijksdienst voor Identiteitsgegevens en het ministerie van Infrastructuur en Waterstaat. Op basis van de beantwoording van de ENSIA-vragen zijn er verantwoordingsrapportages opgesteld voor de afzonderlijke verticale toezichthouders Externe IT Audit Naast het uitvoeren van een zelfevaluatie, vereisen Logius en het BKWI dat er een extern oordeel wordt geveld over de mate waarin wordt voldaan aan de normenkaders van Suwinet en DigiD. Voor beide informatiesystemen heeft het college van B&W een collegeverklaring opgesteld (bijlage 1) waarin het verklaart aan alle normen te voldoen. Een externe auditor heeft dit oordeel getoetst en geconcludeerd dat het college van B&W hier een correcte uitspraak over gedaan heeft. De externe IT auditor heeft hier een goedkeurende verklaring middels een assurance rapportage voor afgegeven. 4.2 De BIG en afzonderlijke informatiesystemen In deze paragraaf zullen kort de resultaten van de afzonderlijke informatiesystemen worden toegelicht BIG De tactische BIG is onderverdeeld in 15 hoofdstukken waarvan hoofdstuk 3 tot en met 15 zijn opgenomen in de ENSIA tool. Ieder hoofdstuk richt zich op een specifiek onderwerp op basis waarvan de gemeente heeft aangegeven in hoeverre het hieraan voldoet. Allereerst was gemeente Delft in 2018 voorzien van een actueel informatiebeveiligingsbeleid en een Information Security Management System (ISMS). Voor de BRP en Suwinet geldt bovendien dat daar aparte beveiligingsplannen voor zijn opgesteld. In het beleid en de afzonderlijke beveiligingsplannen staan de taken van de functionarissen rondom informatiebeveiliging (denk aan de CISO 18 ) beschreven. Voor de privacy is een apart privacybeleid opgesteld. Er is sprake van een samenwerkingsverband met Rijswijk. De informatietechnologie wordt door Delft geleverd aan Rijswijk middels een gemeenschappelijke regeling, welke formeel is vastgelegd. De processen van informatietechnologie zijn grotendeels beschreven. Zo is er een procesbeschrijving voor het wijzigingsbeheer, het uitvoeren van technisch onderhoud, thuiswerken middels twee-factor authenticatie 19, het veilig verwijderen van gegevensdragers, encryptie van gegevens, back-up en herstel, firewall beheer, incident management, test- en productie, spam meldingen, melden beveiligingsincidenten of datalekken, etc. Voor het leveren van (IT) voorzieningen of diensten wordt in sommige gevallen gebruik gemaakt van externe partijen. Met deze externe partijen zijn grotendeels Service Level Agreements of andere 16 Logius is de dienst digitale overheid en onderdeel van het ministerie van Binnenlandse Zaken en Koninkrijksrelaties. 17 BKWI werkt als een apart en herkenbaar organisatieonderdeel van UWV in opdracht van het Ministerie van Sociale Zaken en Werkgelegenheid. 18 Chief Information Security Officer 19 Twee-factor authenticatie is een methode waarmee de identiteit van de gebruiker vast wordt gesteld door middel van twee verschillende componenten. Denk aan een wachtwoord en een token. Pagina 14 van 62

17 overeenkomsten opgesteld. Er wordt niet structureel bij alle leveranciers jaarlijks gecontroleerd of de informatiebeveiligingsafspraken worden gehonoreerd. Dit is ook niet altijd nodig. In het geval er sprake is van de verwerking van persoonsgegevens, dient er een verwerkingsovereenkomst aanwezig te zijn. In 2017 is een start gemaakt met het identificeren van partijen die persoonsgegevens verwerken en het afsluiten van verwerkingsovereenkomsten met deze partijen. Nog niet met alle partijen is een verwerkingsovereenkomst aanwezig. Wanneer een proces of systeem wordt uitbesteed, is het wenselijk hieraan voorafgaand een risicoafweging van te maken. Hoewel er de afgelopen twee jaar toegenomen aandacht is voor de risico s, wordt dit nog niet structureel uitgevoerd. Wel is mede dankzij de uitgevoerde risicosessieshet belang van het uitvoeren van een DPIA onder steeds meer gemeentelijke domeinen bekend geraakt. Daarnaast wordt momenteel een tactische toets 20 ontwikkeld. Ten aanzien van het eigenaarschap hebben er in 2018 nieuwe ontwikkelingen plaatsgevonden. Vanuit risico oogpunt is het van belang dat er verantwoordelijken (eigenaren) aan te wijzen zijn voor applicaties, data en processen. In 2018 is een memo verschenen waarin aandacht is besteed aan de verantwoordelijkheden van een applicatie-eigenaar. Dit zal in 2019 worden uitgebreid naar de begripsdefinitie (en bijbehorende verantwoordelijkheden) van de eigenaar van data en processen. Zoals bovenstaand beschreven is er in 2018 (evenals in 2017) tevens veel aandacht besteed aan bewustwording rondom privacy & informatiebeveiliging en zijn er andere beveiligingsmaatregelen getroffen zoals een aanpassing van de wachtwoordeis en de harde afdwinging hiervan door het systeem. Daarnaast biedt gemeente Delft de medewerkers de mogelijkheid om gevoelige documenten beveiligd te verzenden. Ten aanzien van de toegang tot het netwerk en afzonderlijke applicaties, is er in 2018 meer aandacht besteed aan de harde inrichting van functiescheiding middels de autorisatiestructuur. Zo zijn niet alleen de afdelingsmappen van elkaar gescheiden (dit was ook voor 2018 al het geval). Ook wordt er binnen applicaties functiescheiding aangebracht door medewerkers zoveel mogelijk enkel die rechten te geven die noodzakelijk zijn voor het uitvoeren van de taak. Op het gebied van de fysieke beveiliging van het gebouw, zijn er maatregelen getroffen door sommige ruimten (denk aan de serverruimte) af te sluiten en enkel beschikbaar te maken voor een selectieve groep medewerkers. Ook geldt dat het gebouw is ontworpen middels vlekken waardoor bijvoorbeeld bezoekers niet de mogelijkheid hebben het hele gebouw te benaderen met een bezoekerspas DigiD DigiD staat voor Digitale Identiteit. Met een DigiD kan een burger inloggen op websites van de overheid en zorginstellingen. De DigiD bestaat uit een gebruikersnaam en een wachtwoord. Om als gemeente gebruik te mogen maken van DigiD, dient de gemeente zich te conformeren aan het DigiD normenkader, welke middels ENSIA wordt getoetst. Voor DigiD geldt dat de resultaten uit de zelfevaluatie aanvullend zijn getoetst door de externe IT auditor. Tevens heeft er een penetratietest 20 Een integrale toets waarin een risicoafweging wordt gemaakt op meerdere vlakken (denk aan: informatiebeveiliging, business intelligence, privacy informatiebeheer, gegevensmanagement, etc.) Pagina 15 van 62

18 plaatsgevonden op de DigiD omgeving om te beoordelen of er voldoende maatregelen zijn getroffen om cyber aanvallen te kunnen mitigeren. In tegenstelling tot het voorgaande jaar, kon de gemeente voor 2018 aangeven aan alle DigiD normen te voldoen Suwinet Suwinet 21 biedt overheidsorganisaties de mogelijkheid om gegevens van burgers, die bij andere overheidsorganisaties of basisregistraties zijn opgeslagen, te raadplegen in een webtoepassing. Ook voor de verantwoording over Suwinet is een collegeverklaring opgesteld waar de externe IT auditor assurance over heeft afgegeven. Voor Suwinet geldt dat gemeente Delft op 31 december 2018 aan alle Suwinet normen voldeed Basisregistratie Personen (BRP) & Paspoortuitvoeringsregeling Nederland (PUN) De BRP bevat persoonsgegevens van inwoners van Nederland (ingezetenen) en van personen die Nederland hebben verlaten (niet ingezetenen). De PUN betreft een regeling die is gekoppeld aan de paspoortwet. In tegenstelling tot de planning van andere informatiesystemen die onderdeel uitmaken van ENSIA, bewandelt de BRP/PUN een ander tijdpad. Aangezien er voorafgaand aan de invoering van ENSIA al jaren verantwoording werd afgelegd middels de kwaliteitsmonitor 22, is deze planning in 2018 ten dele gehandhaafd. Sinds de invoering van ENSIA zijn de vragen die betrekking hebben op informatiebeveiliging, overgeheveld van de kwaliteitsmonitor naar de ENSIA tool. Voor overige vragen dienen gemeenten nog steeds verantwoording af te leggen middels de kwaliteitsmonitor. De BRP/PUN was 1 oktober 2018 (in tegenstelling tot 31 december 2018, wat voor de andere ENSIA vragen gold). Na indiening van de antwoorden zijn de vragen uit beide systemen door de RviG (Rijksdienst voor Identiteitsgegevens) samengevoegd. Hieruit in een uittreksel (zelfevaluatie PNIK) voortgevloeid. De BRP/PUN verantwoording is onderverdeeld in 6 thema s. De eerste drie thema s zijn meegenomen in de ENSIA verantwoording. In de onderstaande tabel in de ENSIA score af te lezen onder de kolommen ENSIA en ENSIA %: Zoals te zien is, behaalt gemeente Delft een hoge score voor BRP/PUN. 21 Structuur Uitvoeringsorganisatie Werk en Inkomen net 22 De vragenlijst paspoorten en Nederlandse identiteitskaarten (PNIK) wordt aangeboden via de Kwaliteitsmonitor. Gemeenten gebruiken de monitor om te toetsen of hun processen rond de Basisregistratie Personen en reisdocumenten voldoen aan de normen en afspraken. Pagina 16 van 62

19 4.2.5 Basisregistratie Adressen en Gebouwen (BAG) De BAG bevat gemeentelijke basisgegevens van alle adressen en gebouwen in een gemeente. Voor de BAG heeft gemeente Delft een verantwoordingsrapportage 23 opgesteld voor het ministerie van I&W, welke is vastgesteld door het college. De verantwoording is onderverdeeld in vier categorieën: 1. Processen: vanwege nieuwe wetgeving (BAG 2.0) dienen de beschreven processen te worden geactualiseerd en efficiënt te worden ingericht. 2. Tijdigheid: mutaties worden, op enkele uitzonderingen na, verwerkt binnen de gestelde termijn van 4 werkdagen. 3. Volledigheid: vergunningen worden adequaat verwerkt en aan terugmeldingen wordt een hoge prioriteit gegeven. Daarbij wordt breed getoetst op o.a. de volledigheid. Voor de vergunningsvrije bouw zal mutatiedetectie structureel moeten worden ingezet. 4. Juistheid: mutatiedetectie, de Kwaliteitsmonitor en vergelijking tussen de objectenregistraties kunnen de actuele kwaliteit van de registratie en de werking van het stelsel verbeteren. Onderdeel Waarde Delft Maximale Score Gemiddelde score in % Deelscore Borging Proces ,0 % Deelscore Tijdigheid ,9 % Deelscore Volledigheid ,0 % Deelscore Juistheid ,0 % Puntentotaal BAG lijst % Zoals te zien aan de bovenstaande tabel, heeft Delft voor 2018 een score behaald van 93% Basisregistratie Grootschalige Topografie (BGT) De Basisregistratie Grootschalige Topografie (BGT) is een digitale kaart van Nederland waarop gebouwen, wegen, waterlopen, terreinen en spoorlijnen eenduidig zijn vastgelegd. De kaart is op 20 centimeter nauwkeurig en bevat veel details, zoals je die in de werkelijkheid ook ziet. Denk aan bomen, wegen, gebouwen, kortom: de inrichting van de fysieke omgeving. De verantwoordingsrapportage 24 over de BGT is op soortgelijke wijze onderverdeeld als de BAG in de volgende categorieën: borging proces, tijdigheid, volledigheid en juistheid. Voor de BGT heeft Delft in 2018 de volgende score behaald: Onderdeel Waarde Delft Maximale score Percentages Deelscore Borging proces ,0 % Deelscore Tijdigheid ,0 % Deelscore Volledigheid ,0 % Deelscore Juistheid ,0 % Puntentotaal BGT lijst % 23 Zie bijlage 2 24 Zie bijlage 3 Pagina 17 van 62

20 Delft heeft dan ook een score van 100% Basisregistratie Ondergrond De wet Basisregistratie Ondergrond is ingegaan per 1 mei Zoals benoemd houdt dit in dat de verantwoording over 2018 voor gemeenten als pilot werd meegenomen. Gemeenten konden ervoor kiezen om vanuit de BRO mee te doen met de verantwoording. Gemeente Delft heeft ervoor gekozen mee te doen met het verantwoordingstraject met als doel om inzicht te krijgen in de te ontwikkelen processen naar aanleiding van deze nieuwe wetgeving. De Basisregistratie Ondergrond (BRO) bevat gegevens over geologische en bodemkundige opbouw en, voor zover van belang voor het benutten van natuurlijke hulpbronnen in de ondergrond, ondergrondse constructies en gebruiksrechten. De Basisregistratie Ondergrond (BRO) wordt dé centrale database met publieke gegevens van de Nederlandse ondergrond. Net als voor de BAG en BGT geldt, is ook de verantwoordingsrapportage 25 van de BRO onderverdeeld in de categorieën borging proces, tijdigheid, volledigheid en juistheid. Onderdeel Waarde bronhouder Delft Maximale score Deelscore Borging proces ,3 % Deelscore Tijdigheid ,0 % Deelscore Volledigheid ,0 % Deelscore Juistheid ,0 % Puntentotaal BRO lijst ,0 % Score percentage De totale score van 25% dient gezien te worden vanuit het oogpunt dat de processen rondom deze wet in 2018 nog niet waren ingericht. Dankzij de zelfevaluatie ENSIA is zicht gekomen op de acties die voor 2019 dienen te worden uitgezet om de wet goed uit te kunnen voeren. 25 Zie bijlage 4 Pagina 18 van 62

21 Bijlage 1: Collegeverklaring ENSIA 2018 Pagina 19 van 62

22 Pagina 20 van 62

23 Pagina 21 van 62

24 Bijlage 2: Verantwoordingsrapportage 2018 BAG Beheer en Bestuur Basisregistratie Adressen en Gebouwen Bronhouder Delft Datum collegebesluit vaststelling: 10 april 2019 Pagina 22 van 62

25 Inhoudsopgave 1 Inleiding 1.1 Basisregistratie Adressen en Gebouwen (BAG) 1.2 Gemeente als verantwoordelijk bronhouder BAG 1.3 Het belang van de BAG 1.4 Leeswijzer 2 Bestuurlijke verantwoording 2.1 Overzichtsdiagram 2.2 Verbetermaatregelen 3 Zelfevaluatie 3.1 Borging processen 3.2 Tijdigheid 3.3 Volledigheid 3.4 Juistheid Pagina 23 van 62

26 1. Inleiding 1.1 Basisregistratie Adressen en Gebouwen (BAG) De BAG (Basisregistratie Adressen en Gebouwen) is onderdeel van het stelsel van basisregistraties. Gemeenten zijn bronhouders van de BAG. Zij zijn verantwoordelijk voor het opnemen van de gegevens in de BAG en voor de kwaliteit ervan. Alle gemeenten stellen gegevens over adressen en gebouwen centraal beschikbaar via de Landelijke Voorziening (BAGLV). Het Kadaster beheert de BAGLV en stelt de gegevens beschikbaar aan de diverse afnemers. De BAG bevat informatie over: panden, verblijfsobjecten, standplaatsen, ligplaatsen, nummeraanduidingen, openbare ruimtes en woonplaatsen. De attributen die hierbij horen zijn onder andere naam, huisnummer, status, oppervlakte, geometrie, bouwjaar en gebruiksdoel. De BAG bevat deze gegevens van heel Nederland. 1.2 Gemeente als verantwoordelijk bronhouder BAG In de wet BAG zijn de taken en bevoegdheden van de betrokken partijen beschreven. Kwaliteitsborging is beschreven in de Regeling Zelfcontrole. Het college van burgemeester en wethouders is verantwoordelijk voor de uitvoering van de taken op grond van de Wet BAG. Deze rapportage is opgesteld op basis van de jaarlijkse zelfevaluatie zoals beschreven in de Regeling Zelfcontrole BAG om horizontaal verantwoording af te leggen aan de gemeenteraad over de uitvoering van de Wet BAG en om verticaal verantwoording af te leggen aan het Ministerie van Infrastructuur en Milieu, als formeel toezichthouder. 1.3 Het belang van de BAG De BAG is een belangrijk onderdeel van het stelsel van basisregistraties. In deze basisregistraties zijn de belangrijkste gegevens verzameld die de overheid nodig heeft om haar werk te doen. Denk bijvoorbeeld aan persoonsgegevens, namen en adressen van bedrijven en eigenaren van percelen, WOZ waarden. In verschillende wetten is de kwaliteit van deze gegevens gewaarborgd. Deze registraties zijn essentieel voor een goede dienstverlening van de overheid. Ze zijn van groot belang voor openbare orde en veiligheid, het toekennen van uitkeringen en vergunningen, belastingheffing, afvalinzameling en bestrijding van fraude. 1.4 Leeswijzer De rapportage start met de bestuurlijke verantwoording (hoofdstuk 2), waarin op hoofdlijnen de staat van de BAG in deze gemeente is beschreven met aandacht voor de tekortkomingen en door te voeren verbetermaatregelen. Vervolgens wordt op hoofdlijnen (2.1) een overzicht gegevens van de gemeentelijke score op de voor de BAG belangrijke kwaliteitscriteria borging proces, tijdigheid, volledigheid en juistheid. Vervolgens worden (2.2) per kwaliteitscriterium de door te voeren verbetermaatregelen beschreven. In hoofdstuk 3 is tot slot de zelfevaluatie opgenomen. Hierin wordt rubrieksgewijs per vraag de gemeentelijke beantwoording weergegeven. Pagina 24 van 62

27 2. Bestuurlijke verantwoording De BAG is in Delft op orde en wordt beheerd conform de geldende wet- en regelgeving. Door het toenemend aantal mutaties is automatisering van het berichtenverkeer wenselijk en zal de personele bezetting niet verder moeten afnemen. Processen Vanwege nieuwe wetgeving (BAG 2.0) dienen de beschreven processen te worden geactualiseerd en efficiënt te worden ingericht. De basis op orde is van belang voor afstemmingen binnen het stelsel van basisregistraties en ook met het oog op de invoering van de Omgevingswet. Tijdigheid Mutaties worden, op enkele uitzonderingen na, verwerkt binnen de gestelde termijn van 4 werkdagen. Volledigheid Vergunningen worden adequaat verwerkt en aan terugmeldingen wordt een hoge prioriteit gegeven. Daarbij wordt breed getoetst op o.a. de volledigheid. Voor de vergunningsvrije bouw zal mutatiedetectie structureel moeten worden ingezet. Juistheid Mutatiedetectie, de Kwaliteitsmonitor en vergelijking tussen de objectenregistraties kunnen de actuele kwaliteit van de registratie en de werking van het stelsel verbeteren. Pagina 25 van 62

28 2.1 Overzichtsdiagram Onderdeel Waarde Delft Maximale Score Gemiddelde score in % Deelscore Borging Proces ,0 % Deelscore Tijdigheid ,9 % Deelscore Volledigheid ,0 % Deelscore Juistheid ,0 % Puntentotaal BAG lijst % Pagina 26 van 62

29 Bovenstaand diagram dient de deelscore en de totaalscore van de bronhouder te reflecteren. Pagina 27 van 62

30 2.2 Verbetermaatregelen Op basis van de uitgevoerde evaluatie van de BAG heeft ons college besloten de volgende verbetermaatregelen door te voeren: Welke maatregelen moeten er komend jaar worden uitgevoerd om de kwaliteit van de BAG te verbeteren? Verbetermaatregelen ten aanzien van Borging proces Verbetermaatregelen ten aanzien van Tijdigheid Verbetermaatregelen ten aan zien van Volledigheid Verbetermaatregelen ten aanzien van Juistheid Verbetermaatregelen Processen moeten efficiënter worden ingericht en waar mogelijk berichtenverkeer implementeren. Afstemming met team Vergunningen te verbeteren. Mutatiedetectie en Kwaliteitsmonitor structureler oppakken. Huidige werkwijze blijven hanteren en waar mogelijk structureler oppakken. Pagina 28 van 62

31 3. Zelfevaluatie 3.1 Borging processen Pagina 29 van 62

32 Bovenstaand diagram toont hoe de BAG is geborgd in de organisatie. Met onderstaande vragen wordt getoetst of de uitvoering van de Wet BAG structureel geborgd is in de organisatie. Dit moet blijken uit de beschikbare formatiecapaciteit, uit een adequate beschrijving van de administratie organisatie, uit bekendheid bij medewerkers met BAG-gerelateerde activiteiten en de bevoegdheid om deze activiteiten uit te voeren, uit het volgens wettelijke regels inmeten van definitieve geometrie en uit het kunnen overleggen van voor de BAG gebruikte brondocumenten. Is de uitvoering van de Wet BAG structureel geborgd in de organisatie? 1. Is de voor het beheer van de BAG toegewezen formatiecapaciteit voldoende voor het waarborgen van de kwaliteit? Toelichting op gegeven antwoord: 2. Is de vervanging voor het beheer van de BAG zodanig geregeld dat de kwaliteit van de registratie (inclusief de tijdige verwerking van brondocumenten) is gewaarborgd? Toelichting op gegeven antwoord: 3. Zijn de processen die invloed hebben op de kwaliteit van de BAG beschreven? Toelichting op gegeven antwoord: 4. Worden de beschreven processen die invloed hebben op de kwaliteit van de BAG nageleefd? Antwoord Ja: De formatie-capaciteit is voldoende voor het waarborgen van de kwaliteit van de BAG. Huidige formatie (2,25fte) is voldoende. Projecten en kwaliteitsverbetering is extra capaciteit nodig. Ja: Bij afwezigheid van een functionaris worden BAG-gerelateerde activiteiten tijdig overgenomen. Onderlinge vervanging bij afwezigheid. Ja: De processen zijn op schrift gesteld De BAG processen zijn beschreven in 2010 en geactualiseerd in Ja: De processen die invloed hebben op de kwaliteit van de BAG worden nageleefd. Pagina 30 van 62

33 Toelichting op gegeven antwoord: 5. Worden de processen die invloed hebben op de kwaliteit van de BAG minimaal één keer per jaar geëvalueerd en waar nodig geactualiseerd? Toelichting op gegeven antwoord: 6. Vindt het inmeten van definitieve geometrie plaats met de geometrische kwaliteitseisen die hiervoor zijn geformuleerd? Toelichting op gegeven antwoord: 7. Beschikt de gemeente over een actueel mandaatbesluit waarin alle relevante taken en bevoegdheden uit de Wet BAG zijn belegd? Toelichting op gegeven antwoord: 8. Is het proces zo ingericht dat elke wijziging van de levenscyclus van een pand of verblijfsobject in het terrein tijdig wordt opgevolgd door een bijbehorende mutatie in de BAG? Toelichting op gegeven antwoord: De hoofdzaken zijn bekend bij de medewerkers. Specialistische kennis verschilt. Ja In de uitvoering worden processen geregeld bijgesteld om de processen correct te laten verlopen. Ja: Alle definitieve geometrie voor panden is ingewonnen met de geometrische kwaliteitseisen die hiervoor zijn geformuleerd. Definitieve geometrie wordt voornamelijk terrestrisch gemeten. In enkele gevallen, zoals aanbouwen achterzijde op binnenterreinen, worden op basis van de luchtfoto of bouwtekening toegevoegd aan de gemeten bouwdelen. Landmetingen worden in combinatie met de BGT uitgevoerd door de gemeente Zoetermeer. Ja Mandaat geregeld in het MMV (Mandaat-, Machtiging- en volmachtbesluit Delft. Ja: Er worden voldoende beheersmaatregelen getroffen om ervoor te zorgen dat een wijziging van een levenscyclus in het terrein wordt gevolgd door een bijbehorende mutatie in de BAG. Er worden verschillende bronnen geraadpleegd om statussen te bewaken: o.a. BRP inschrijvingen, luchtfoto's, terreinopnames, etc. Pagina 31 van 62

34 3.2 Tijdigheid Pagina 32 van 62

35 Bovenstaand diagram toont hoe de bronhouder met het toetselement tijdigheid in de organisatie is omgegaan. In de kwaliteitsmonitor is een trendanalyse opgesteld over de periode van 1 juli 2017 tot en met 30 juni 2018 voorafgaande aan het invullen van de evaluatie voor de verwerking van de brondocumenten in de registratie waarbij de brondocumenten en de bijbehorende mutatiedatum. Worden mutaties in de BAG binnen de daartoe verplichte termijn doorgevoerd? 1. Neem de actualiteit voor het tijdvak 1 juli 2017 t/m 30 juni 2018 zoals deze in de BAGkwaliteitsmonitor zijn opgenomen in ogenschouw. De toetsing heeft betrekking op de tijdige verwerking van brondocumenten in de registratie waarbij de brondocumentdatum en de bijbehorende mutatiedatum worden vergeleken. Antwoord Het actualiteitspercentage ligt alle maanden boven 95% Toelichting op gegeven antwoord: 2. Neem de actualiteit voor het tijdvak 1 juli t/m 30 juni Is de status van panden zes maanden na het verkrijgen van de status 'pand gereed (niet ingemeten)' veranderd in 'pand gereed' door opname van de definitieve pandgeometrie? Minimaal 96,891% (aug) en max 100% (juli) Het actualiteitspercentage ligt in alle maanden boven of op de 98%. Toelichting op gegeven antwoord: Alleen in okt 99,9893% (1 pand) rest is 100%. 3. Neem de actualiteit voor het tijdvak 1 juli 2017 t/m 30 juni Heeft de gemeente in geval van een ontvangen terugmelding of correctieverzoek, na het doen van onderzoek binnen een half jaar een beslissing genomen over het al dan niet wijzigen van de opgenomen gegevens in de registratie? Het actualiteitspercentage ligt alle maanden boven of op de 98% Toelichting op gegeven antwoord: Het actualiteitspercentage ligt in alle maanden boven of op de 98%. 3.3 Volledigheid Pagina 33 van 62

36 Worden alle objecten, die voldoen aan de objectdefinities en waarvan het bestaan Antwoord Pagina 34 van 62

37 bekend is, in de registratie opgenomen? 1. Worden alle BAG-relevante objecten waarvoor vergunningen zijn verleend in de registratie opgenomen? Toelichting op gegeven antwoord: 2. Worden alle terugmeldingen behandeld conform de voorschriften? (afhandeling binnen twee werkdagen óf binnen twee werkdagen het attribuut waarover gerede twijfel bestaat in onderzoek zetten) Toelichting op gegeven antwoord: 3. Wordt het resultaat van het onderzoek dat volgt op de terugmelding gemeld aan degene die de terugmelding heeft gedaan? Toelichting op gegeven antwoord: 4. Wordt regelmatig gecontroleerd of de registratie volledig is? Toelichting op gegeven antwoord: Ja: Alle BAG-relevante objecten waarvoor (verbouw)vergunningen zijn verleend, worden verwerkt in de BAG-registratie. Relevante vergunningen worden verwerkt in de BAG conform de afbakeningscriteria. Ja Termijnen worden nu actief bewaakt en conform voorschriften afgehandeld. Ja Er wordt altijd teruggemeld naar de melder. Ja Jaarlijkse mutatiesignalering op basis van luchtfoto's. Ook tijdens metingen door de landmeter of bij terugmeldingen en vergunningen wordt gecontroleerd op volledigheid. Pagina 35 van 62

38 3.4 Juistheid Pagina 36 van 62

39 Met onderstaande vragen is getoetst of op reguliere basis kwaliteitsbeheer wordt uitgevoerd over de juistheid van de gegevens. Dit moet blijken uit een periodieke controle naar de juistheid van de objectkenmerken, uit het doornemen en zo nodig corrigeren van uitval in het kwaliteitsdashboard, uit controle en afstemming met andere (basis)registraties, uit een eenduidige relatie tussen register en registratie en uit het opnemen van een wijziging in de levenscyclus van pand of verblijfsobject in de registratie. Wordt op reguliere basis kwaliteitsbeheer uitgevoerd naar de juistheid van de gegevens? Antwoord 1. Wordt de juistheid van de objectkenmerken regelmatig gecontroleerd? Toelichting op gegeven antwoord: 2. Wordt de uitval die in het kwaliteitsdashboard wordt gesignaleerd maandelijks doorgenomen en indien nodig gecorrigeerd? Toelichting op gegeven antwoord: 3. Is er ten minste eenmaal per jaar controle en afstemming met andere (basis)registraties? Toelichting op gegeven antwoord: Ja O.a. afstemming met WOZ, bij bouwaanvragen/-meldingen en terugmeldingen. Nee: Signalen worden niet maandelijks doorgenomen en waar nodig gecorrigeerd Niet in alle gevallen. Het Kwaliteitsdashboard wordt wel maandelijks bekeken en indien mogelijk wordt gecorrigeerd. In sommige gevallen zijn fouten nog niet gecorrigeerd door gecompliceerde oplossing. Ja: Minimaal eens per jaar wordt een controle uitgevoerd tussen de BAG en de gemeentelijke basisregistraties op fouten en inconsistenties. Controle en afstemming vindt plaats met de BRP, de WOZ en de BGT. 4. Zijn de in de BAG gebruikte brondocumenten terug te vinden in het fysieke en/of digitale archief? Ja: Alle in de registratie vermelde brondocumenten zijn vindbaar in het fysieke en/of digitale archief van de bronhouder. Toelichting op gegeven antwoord: Documenten worden gearchiveerd in een DMS. Pagina 37 van 62

40 Bijlage 3: Verantwoordingsrapportage BGT Datum: 2018 Beheer en Bestuur Basisregistratie Grootschalige Topografie Bronhouder Delft Datum dagelijks bestuur vaststelling: 10 april 2019 Pagina 38 van 62

41 Inhoudsopgave 1. Het belang van de Basis Grootschalige Topografie 1.1 Basisregistratie Grootschalige Topografie (BGT) 1.2 Onderdeel van het stelsel van basisregistraties 1.3 (naam bronhouder) als verantwoordelijk bronhouder BGT 2. Bestuurlijke verantwoording 2.1 Overzichtsdiagram 2.2 Verbetermaatregelen 3. Zelfevaluatie 3.1 Borging processen 3.2 Tijdigheid 3.3 Volledigheid 3.4 Juistheid Pagina 39 van 62

42 1. Het belang van de Basisregistratie Grootschalige Topografie 1.1 Basisregistratie Grootschalige Topografie (BGT) De Basisregistratie Grootschalige Topografie (BGT) is een gedetailleerde (in vaktaal: grootschalige) digitale kaart van heel Nederland. Daarin worden alle objecten als gebouwen, wegen, water, spoorlijnen en groen op een eenduidige manier vastgelegd. Het doel van de BGT is: de hele overheid gebruik laten maken van dezelfde basisgegevens over de grootschalige topografie van Nederland. Als alle overheidspartijen in Nederland werken met dezelfde gegevens, dan zorgt dat voor: een betere dienstverlening aan burgers en bedrijven, want de gegevens zijn altijd actueel en betrouwbaar; administratieve lastenverlichting, want het kost bedrijven en burgers minder tijd en minder moeite om gegevens aan te leveren; een betere samenwerking binnen de overheid, want eenduidige afspraken over gegevens maken eenvoudige uitwisseling mogelijk; kostenbesparing, want minder fouten, minder inwinnen en minder communicatieproblemen zorgen voor minder kosten. 1.2 Onderdeel van het stelsel van basisregistraties De BGT is een belangrijk onderdeel van het stelsel van basisregistraties. Basisregistraties maken eenmalig inwinnen en meervoudig gebruik mogelijk. Door de gegevens in de BGT eenduidig op te slaan, zijn ze herbruikbaar voor alle overheidsorganisaties die deze gegevens nodig hebben. Opnieuw inwinnen of intekenen van dezelfde gegevens is dus niet meer nodig. 1.3 Delft als verantwoordelijk bronhouder BGT De taken op grond van de Wet BGT worden door de bronhouders in medebewind uitgevoerd. Met deze rapportage legt het dagelijks bestuur over deze uitvoering horizontaal verantwoording af aan het algemeen bestuur. Deze rapportage wordt hier naast ook gebruikt om verticaal verantwoording af te leggen aan het ministerie van Infrastructuur en Milieu, als formeel toezichthouder. Pagina 40 van 62

43 2. Bestuurlijke verantwoording De BGT is in de Gemeente Delft op orde en wordt beheerd conform de geldende wet- en regelgeving. Punt ter verbetering is het automatiseren van het berichtenverkeer tussen de verschillende basisregistraties in het stelsel van de basisregistraties. Hier is een project voor opgestart en zal in 2019 gerealiseerd worden. 2.1 overzichtsdiagram In onderstaand diagram valt te zien hoe door de bronhouder over het algemeen wordt gescoord met betrekking tot de verschillende taken rond de BGT op sturings- of gouvernante niveau. In de rapportage komen de verschillende onderwerpen nog nadrukkelijk aan de orde. Waar relevant worden initiatieven en/of maatregelen aangekondigd. Onderdeel Waarde Delft Maximale score Percentages Deelscore Borging proces ,0 % Deelscore Tijdigheid ,0 % Deelscore Volledigheid ,0 % Deelscore Juistheid ,0 % Puntentotaal BGT lijst % Pagina 41 van 62

44 Bovenstaand diagram dient de deelscore en de totaalscore in percentages van de bronhouder te reflecteren. Op basis van de uitgevoerde evaluatie van de BGT heeft ons college besloten de volgende verbetermaatregelen door te voeren: Welke maatregelen moeten er komend jaar worden uitgevoerd om de kwaliteit van de BGT te verbeteren? Verbetermaatregelen ten aanzien van Borging proces Verbetermaatregelen De processen zullen verbeterd en aangescherpt worden Verbetermaatregelen ten aanzien van Actualiteit Geen. Er wordt jaarlijks een mutatie signalering uitgevoerd. Verbetermaatregelen ten aanzien van Volledigheid Verbetermaatregelen ten aanzien van Juistheid Geen. Er wordt jaarlijks een mutatie signalering uitgevoerd. De processen tussen de BGT en BOR worden aangescherpt Pagina 42 van 62

45 3. Zelfevaluatie 3.1 Borging processen Pagina 43 van 62

46 Bovenstaand diagram toont hoe de BGT is geborgd in de organisatie. Met onderstaande vragen wordt getoetst of de uitvoering van de Wet BGT structureel geborgd is in de organisatie. Dit moet blijken uit de beschikbare formatiecapaciteit, uit een adequate beschrijving van de administratie organisatie, uit bekendheid bij medewerkers met BGT-gerelateerde activiteiten en de bevoegdheid om deze activiteiten uit te voeren, uit het volgens wettelijke regels inmeten van definitieve geometrie en uit het kunnen overleggen van voor de BGT gebruikte bewijsmiddelen. Is de uitvoering van de Wet BGT structureel geborgd in de organisatie? 1. Is de voor het beheer van de BGT toegewezen formatiecapaciteit voldoende voor het waarborgen van de kwaliteit? Antwoord Ja: De formatiecapaciteit is voldoende voor het waarborgen van de kwaliteit van de BGT. Toelichting op gegeven antwoord: 1 medewerker allround en fulltime en 3 medewerkers deeltijd 2. Is de vervanging voor het beheer van de BGT zodanig geregeld dat de kwaliteit van de registratie is gewaarborgd? Toelichting op gegeven antwoord: 3. Zijn de processen die invloed hebben op de kwaliteit van de BGT vastgelegd? Toelichting op gegeven antwoord: 4. Worden de processen die invloed hebben op de kwaliteit van de BGT nageleefd? Toelichting op gegeven antwoord: 5. Worden de processen die invloed hebben op de kwaliteit van de BGT minimaal eenmaal jaarlijks geëvalueerd en waar nodig geactualiseerd? Toelichting op gegeven antwoord: 6. Wordt de geometrie van BGT objecten ingewonnen en verwerkt met de geldende geometrische nauwkeurigheidseisen? Toelichting op gegeven antwoord: Ja: Bij afwezigheid van een functionaris worden BGT-gerelateerde activiteiten tijdig overgenomen. Er is bij vakantie en ziekteverzuim vervanging aanwezig Ja: De processen zijn vastgelegd Document aanwezig Ja: De processen die invloed hebben op de kwaliteit van de BGT worden nageleefd Regelmatig bijeenkomsten bij wonen oa Gemeentelijk geo beraad, bag intervisie, regio overleg waterschappen en buurbronhouders. Ja Structurele consistentie, check panden BAG/BGT en vbo BAG/BGT NAR Ja: Alle geometrie wordt ingewonnen en verwerkt met de geldende geometrische nauwkeurigheidseisen De landmeters hebben duidelijk instructies gekregen van de positionele nauwkeurigheid die de Gemeente Delft hanteert (harde topo 2 cm en zachte 30 cm). Ook zijn er structureel overleggen met de landmeters om dit te waarborgen. Daarnaast worden de logische spreiding van de inwinmethoden en de daaraan gekoppelde Pagina 44 van 62

47 7. Zijn de bevoegdheden en taken van het, in de wet aangewezen, bestuursorgaan overgedragen aan de personen die door de bronhouder met de uitvoering zijn belast? Toelichting op gegeven antwoord: preciesies per meting gecontroleerd (BGT beheerders hebben landmeetkundige achtergrond) Ja De mandatering van de medewerkers is in de MMV Delft (mandaat, machtiging en volmachtbesluit Gemeente Delft ) opgenomen. 3.2 Tijdigheid Pagina 45 van 62

48 Bovenstaand diagram toont hoe de bronhouder met het toetselement tijdigheid in de organisatie is omgegaan. In de kwaliteitsmonitor is een trendanalyse opgesteld over de periode van 1 juli 2017 tot en met 30 juni 2018 voorafgaande aan het invullen van de evaluatie voor de verwerking van de mutaties in de registratie met bewijsmiddelen en de bijbehorende mutatiedatum. Wordt de actualiteit van de BGT in de procesvoering geborgd? 1. Wordt elke relevante wijziging in de (fysieke) werkelijkheid tijdig gevolgd door een bijbehorende mutatie in de BGT? Toelichting op gegeven antwoord: Antwoord Ja: Er zijn voldoende beheersmaatregelen getroffen om ervoor te zorgen dat een wijziging tijdig wordt gevolgd door een bijbehorende mutatie in de BGT Jaarlijkse mutatie signalering en terugmelding van de beheer afdelingen en de BAG worden binnen de wettelijke termijnen in de BGT opgenomen. 2. Worden alle terugmeldingen tijdig afgedaan? Alle terugmeldingen worden tijdig afgedaan Toelichting op gegeven antwoord: Alle BGT gerelateerde terugmeldingen extern en intern worden binnen de wettelijke termijnen afgehandeld. Pagina 46 van 62

49 3.3 Volledigheid Pagina 47 van 62

50 Bovenstaand diagram toont hoe de bronhouder met het toets element volledigheid in de organisatie is omgegaan. Met onderstaande vragen is getoetst of alle objecten, die voldoen aan de objectdefinities en waarvan het bestaan bekend is, in de registratie worden opgenomen. Dit moet blijken uit het verwerken van BGT-relevante vergunningen c.a. in de registratie, uit een tijdige en correcte afhandeling van terugmeldingen en uit een jaarlijkse controle van de registratie op volledigheid. Worden alle objecten, die voldoen aan de objectdefinities en waarvan het bestaan bekend is, in de registratie opgenomen? 1. Worden alle in de fysieke werkelijkheid voorkomende BGT-objecten in de BGT vastgelegd? Toelichting op gegeven antwoord: 2. Worden alle terugmeldingen behandeld conform de voorschriften? (Hoofdstuk 6 Wet BGT) Toelichting op gegeven antwoord: 3. Wordt regelmatig gecontroleerd of de BGT volledig is? Toelichting op gegeven antwoord: Antwoord Ja: Alle in de fysieke werkelijkheid voorkomende BGT-objecten worden in de BGT vastgelegd Alle BGT objecten worden binnen de wettelijke termijnen nav constatering in de BGT opgenomen. Ja Alle BGT gerelateerde terugmeldingen extern en intern worden binnen de wettelijke termijnen en conform de voorschriften behandeld en afgehandeld. Ja Mutatie signalering vast gelegd in het processen handboek. Pagina 48 van 62

51 3.4 Juistheid Pagina 49 van 62

52 Wordt op reguliere basis kwaliteitsbeheer uitgevoerd naar de juistheid van de gegevens? 1. Worden de objectattributen juist in de BGT vastgelegd? Toelichting op gegeven antwoord: 2. Wordt regelmatig gecontroleerd of de attribuutgegevens in de BGT juist zijn? Toelichting op gegeven antwoord: 3. Heeft u de processen in beeld die mutaties veroorzaken en maakt u jaarlijks of tweejaarlijks gebruik van een luchtfoto of andere methodieken om gemiste mutaties toch te signaleren en te verwerken? Toelichting op gegeven antwoord: Antwoord Ja de attribuutgegevens worden jaarlijk gecontroleerd door de beheer afdeling en bij onjuistheid terug gekoppeld naar de BGT Ja Er zijn periodieke consistentie controles BAG/BGT en BOR/BGT Ja: De processen die mutaties veroorzaken zijn in beeld en er wordt jaarlijks of tweejaarlijks gebruik gemaakt van een luchtfoto of andere methodieken om gemiste mutaties alsnog te signaleren en te verwerken. Mutatie signalering die jaarlijks de luchtfoto's ten opzichte van elkaar vergelijkt. Pagina 50 van 62

53 Bijlage 4: Verantwoordingsrapportage BRO Basisregistratie Ondergrond 2018 Bronhouder Delft Datum dagelijks bestuur vaststelling: 10 april 2019 Pagina 51 van 62

54 Inhoudsopgave 1. Inleiding 1.1 Basisregistratie Ondergrond 1.2 Onderdeel van het stelsel van basisregistraties 1.3 Leeswijzer 2. Bestuurlijke verantwoording 2.1 Overzichtsdiagram 2.2 Verbetermaatregelen 3. Zelfevaluatie 3.1 Borging processen 3.2 Tijdigheid 3.3 Volledigheid 3.4 Juistheid Pagina 52 van 62

55 1. Inleiding 1.1 Basisregistratie Ondergrond (BRO) Basisregistratie Ondergrond Het gebruik van bodem- en ondergrondgegevens bij de overheid en particuliere organisaties is de laatste decennia sterk toegenomen, zowel kwalitatief als kwantitatief. Deze gegevens spelen een cruciale rol op uitvoerend niveau, maar zijn ook van belang bij het oplossen van maatschappelijke vraagstukken. Daarbij valt onder meer te denken aan het inpassen van de gevolgen van klimaatverandering zoals de stijging van de zeewaterspiegel en bodemdaling. Andere voorbeelden zijn het gebruik van informatie in de ruimtelijke ordening, bij ondergronds bouwen, koudewarmteopslag of de opslag van CO2. Met de Basisregistratie Ondergrond (BRO) beoogt de overheid de informatievoorziening sterk te verbeteren door publieke gegevens over de ondergrond op gestandaardiseerde wijze voor zowel de overheid als andere partijen ter beschikking te stellen. De gegevens in de BRO zijn ondergebracht in zes domeinen: 1. In bodem- en grondonderzoek komt informatie die veelal afkomstig is van bedrijven actief in grond-, weg- en waterbouw. 2. Bodemkwaliteit bevat de gegevens die worden verzameld door de meetnetten van het RIVM, de provincies en Alterra. 3. Het domein grondwatermonitoring wordt gevoed door de informatie uit het netwerk van putten in ons land die samenstelling, kwaliteit en kwantiteit van het grondwater doorlopend meten. 4. Grondwatergebruik bevat gegevens over het onttrekken van grondwater door bijvoorbeeld bedrijven, die daar een vergunning volgens de Waterwet moeten aanvragen. 5. Het domein Mijnbouwwet bevat gegevens die bedrijven hebben vergaard door boringen voor het opsporen, winnen en opslaan van delfstoffen en aardwarmte. 6. In Modellen zijn de Bodemkaart van Nederland (schaal 1:50 000), de Geomorfologische kaart (schaal 1:50 000), GeoTOP en REGIS opgenomen. Bronhouders: ministeries EZ (diepe) en IenW (ondiepe) ondergrond; Alterra (Bodem Informatie Systeem), voorts RWS, provincies, waterschappen, gemeenten; maar ook Prorail, DSM, en andere overheidsorganen die ondergrondgegevens beheren. 1.2 Onderdeel van het stelsel van basisregistraties De BRO maakt onderdeel uit van het stelsel van basisregistraties. Met dit stelsel verbetert de overheid haar dienstverlening door belangrijke gegevens over onder andere personen, bedrijven, gebouwen en de ondergrond binnen de overheid te delen. De gegevens over de ondergrond worden voortaan op één plek beheerd en beschikbaar gesteld, waarna ze veelvuldig gebruikt kunnen worden. Met de BRO ontstaat er eenduidigheid in opslag en uitwisseling van ondergrondgegevens. 1.3 Leeswijzer De rapportage start met de bestuurlijke verantwoording, waarin op hoofdlijnen de staat van de BRO bij deze bronhouder is beschreven met aandacht voor de tekortkomingen en door te voeren verbetermaatregelen. Vervolgens wordt op hoofdlijnen een overzicht gegeven van de score op de voor de BBRO belangrijke kwaliteitscriteria borging proces, tijdigheid, volledigheid en juistheid. Vervolgens worden per kwaliteitscriterium de door te voeren verbetermaatregelen beschreven. In Pagina 53 van 62

56 het laatste hoofdstuk is tot slot de zelfevaluatie opgenomen. Hierin wordt rubrieksgewijs per vraag de gemeentelijke beantwoording weergegeven. 2. Bestuurlijke verantwoording Op 1 januari 2018 is de Wet Basisregistratie Ondergrond (BRO) in werking getreden. De zelfevaluatie over de uitvoering van de BRO middels de ENSIA 26 -systematiek, is over het jaar 2018 nog niet verplicht. Desondanks heeft gemeente Delft ervoor gekozen de zelfevaluatie in te vullen om inzicht te krijgen in de omvang en vormgeving van de werkzaamheden rondom de uitvoering van de wet. Vanuit dit gezichtsveld dienen de resultaten van de zelfevaluatie dan ook te worden bekeken. De resultaten laten zien dat er nog processen dienen te worden vormgegeven rondom de uitvoeringstaken van de BRO. Daar deze in 2018 nog niet waren opgesteld, was het nog niet mogelijk om hoog te scoren op deze zelfevaluatie. 2.1 Overzichtsdiagram In onderstaand diagram valt te zien hoe door de gemeente over het algemeen wordt gescoord met betrekking tot de verschillende aspecten rond de BRO. In de rapportage komen de verschillende onderwerpen nog nadrukkelijk aan de orde. Waar relevant worden de verbetermaatregelen vermeld. Onderdeel Waarde bronhouder Delft Maximale score Deelscore Borging proces ,3 % Deelscore Tijdigheid ,0 % Deelscore Volledigheid ,0 % Deelscore Juistheid ,0 % Puntentotaal BRO lijst ,0 % Score percentage 26 Eenduidige Normatiek Single Information Audit Pagina 54 van 62

57 Pagina 55 van 62

58 Bovenstaand diagram dient de deelscore en de totaalscore van de bronhouder te reflecteren. 2.2 Verbetermaatregelen Op basis van de uitgevoerde evaluatie van de BRO heeft ons dagelijks bestuur besloten de volgende verbetermaatregelen door te voeren: Welke maatregelen moeten er het komende jaar worden doorgevoerd om de kwaliteit van de BRO-administratie te verbeteren? Verbetermaatregelen ten aanzien van Borging proces Verbetermaatregelen ten aanzien van Tijdigheid Zie Verbetermaatregelen ten aan zien van Volledigheid Verbetermaatregelen Processen opnemen in de PC-cyclus. Inventarisatie van de processen omtrent de BRO, en wie is hier verantwoordelijk voor. Zie Verbetermaatregelen ten aanzien van Juistheid Zie Zelfevaluatie 3.1 Borging processen Pagina 56 van 62

59 Bovenstaand diagram toont hoe de BRO is geborgd in de organisatie. Met onderstaande vragen wordt getoetst of de uitvoering van de Wet BRO structureel geborgd is in de organisatie. Dit moet blijken uit de beschikbare formatiecapaciteit, uit een adequate beschrijving van de administratie organisatie, uit bekendheid bij medewerkers met BRO-gerelateerde activiteiten en de bevoegdheid om deze activiteiten uit te voeren. Is de uitvoering van de Wet BRO structureel geborgd in de organisatie? 1.1 Is er voor de uitvoering van de BRO-processen structureel formatie beschikbaar? Toelichting op het gegeven antwoord: 1.2 Is de vervanging voor de uitvoering van de BRO-processen zodanig geregeld dat de kwaliteit van de registratie is gewaarborgd? Toelichting op het gegeven antwoord: 1.3 Zijn de processen die invloed hebben op de kwaliteit van de BRO beschreven? Toelichting op het gegeven antwoord: 1.4 Worden de beschreven processen die invloed hebben op de kwaliteit van de BRO nageleefd? Toelichting op het gegeven antwoord: Antwoord Ja, voor de uitvoering van de BRO-processen is structureel formatie beschikbaar Er is een bronbeheerder aangesteld met minimale capaciteit voor de BRO Bij afwezigheid van een functionaris worden BRO-gerelateerde activiteiten niet of niet tijdig overgenomen. Op dit moment zijn we bezig met de inventarisatie van de processen omtrent de BRO, en wie hier verantwoordelijk voor is. De processen die invloed hebben op de kwaliteit van de BRO zijn niet beschreven en er zijn nog geen acties gepland dit wel te doen. Op dit moment zijn we bezig met de inventarisatie van de processen omtrent de BRO, en wie hier verantwoordelijk voor is. Nee, de beschreven processen die invloed hebben op de kwaliteit van de BRO worden niet nageleefd. Processen zijn nog niet beschreven. Pagina 57 van 62

60 1.5 Zijn de processen die invloed hebben op de kwaliteit van de BRO opgenomen in de pc-cyclus van de organisatie, zodat periodieke evaluatie plaats gaat vinden? Toelichting op het gegeven antwoord: 1.6 Vindt het inwinnen van de objecten van de BRO plaats conform de hiervoor geformuleerde kwaliteitseisen?(artt. 9 en 10 Wet BRO) Toelichting op het gegeven antwoord: 1.7 Zijn de bevoegdheden en taken van het, in de wet aangewezen, bestuurorgaan overgedragen aan de personen die door de bronhouder met de uitvoering zijn belast? Toelichting op het gegeven antwoord: Nee, de processen die invloed hebben op de kwaliteit van de BRO zijn niet opgenomen inde pc-cyclus van de organisatie en er vindt geen periodieke evaluatie plaats. Processen zijn nog niet beschreven. Nee, het inwinnen van de objecten van de BRO vindt niet plaats conform de hiervoor geformuleerde kwaliteiteisen en er zijn geen acties gepland deze te implementeren. Is onbekend, moet uit de inventarisatie komen Nee Wordt opgenomen in de MMV 3.2 Tijdigheid Pagina 58 van 62

61 Bovenstaand diagram toont hoe de bronhouder met het toetselement tijdigheid in de organisatie is omgegaan. In het blok tijdigheid wordt bezien of de bronhouder in staat is de ontvangen brondocumenten tijdig aan te leveren en teruggestuurde brondocumenten binnen de hiervoor gestelde termijn weer opnieuw aanlevert. Wordt de actualiteit van de BRO in de procesvoering geborgd? 2.1 Is het proces zo ingericht dat alle door de bronhouder ontvangen brondocumenten tijdig (art. 9 lid 3) worden doorgeleverd aan de minister? Toelichting op het gegeven antwoord: 2.2 Is het proces zo ingericht dat de bronhouder teruggestuurde brondocumenten (art 12 lid 1) tijdig weer gecorrigeerd aan de minister doet toekomen (art. 12 lid 2)? Toelichting op het gegeven antwoord: Antwoord Ja/nee, de organisatie is doende de procesinrichting aan te passen zodat tijdige doorlevering mogelijk wordt. Dit wordt meegenomen tijdens de procesbeschrijving. Ja/nee, de organisatie is doende de procesinrichting aan te passen zodat tijdige gecorrigeerde levering mogelijk wordt. Dit wordt meegenomen tijdens de procesbeschrijving. Pagina 59 van 62

62 3.3 Volledigheid Pagina 60 van 62