Rijksdienst voor Identiteitsgegevens Versie 1.0 1 april 2016 Legenda De vragenlijst is verdeeld in de kolommen: Functie, (vraag)nummer, Vraag, Antwoorden en Bronverwijzing. Er zijn twee soorten vragen: vragen waarbij slechts één antwoord gegeven kan worden deze zijn herkenbaar aan de ( radiobutton ) voor de antwoorden en vragen waarbij meerdere antwoorden gegeven kunnen worden deze zijn herkenbaar aan de ( checkbox ) voor de antwoorden. Schuingedrukte vragen zijn aanbevelingen, de niet-cursieve vragen zijn normen. In de kolom Bronverwijzing worden de volgende afkortingen gebruikt: - Paspoortwet - Paspoortuitvoeringsregeling Nederland - Tactische Baseline Informatiebeveiliging Gemeenten Burgerzaken AG1 Zijn de bevoegdheden van de burgemeester gemandateerd aan functionarissen in de organisatie? Burgerzaken AG2 Beschikt u over een door de burgemeester vastgestelde schriftelijke beveiligingsprocedure? Burgerzaken AG3 Welke onderwerpen zijn in de beveiligingsprocedure reisdocumenten opgenomen? De bevoegdheden zijn middels mandaat en ondermandaat vastgesteld 78, lid 1 6.1.3 De bevoegdheden zijn niet formeel gemandateerd Ja, dit is actueel en vastgesteld 93, lid 1 5.1.1 Nee De voorgeschreven functiescheiding 93, lid 1c 9 De voorgeschreven beveiliging van het aanvraagsysteem 93, lid 1d 10.7.3 pagina 1 van 26
Burgerzaken AG4 Welke onderwerpen zijn in de beveiligingsprocedure reisdocumenten opgenomen? Burgerzaken AG5 Welke onderwerpen met betrekking tot documenten en middelen zijn in de beveiligingsprocedure opgenomen? De bewaring van documenten, apparatuur, programmatuur, documentatie en overige materialen Het beheer van documenten, apparatuur, programmatuur, documentatie en overige materialen De verantwoordelijkheden van de beveiligingsfunctionaris De ontvangst van documenten, apparatuur, programmatuur, documentatie en overige materialen Het transport van documenten, apparatuur, programmatuur, documentatie en overige materialen Geen van de genoemde onderwerpen 93, lid 1a 9 93, lid 1a 7.1.3 93, lid 1b 93, lid 1a 10.1.3 93, lid 1a 9.2 De te behalen resultaten 5.1.1 De verantwoordelijkheden 8.1.1 De controle en evaluatie 5.1.2 Geen van genoemde onderwerpen Het gebruik van (persoonsgebonden) kaarten en codes 80, lid 4, 80a, 90, 91,lid 111.2.1 t/m 4 De back-up en de opslag 92 10.5 Het gebruik van het aanvraagstation 87,91, lid 1,2,3 en 5 De ontvangst en het transport van reisdocumenten 93, lid 1a 9.1.6 pagina 2 van 26
Burgerzaken AG6 Welke onderwerpen met betrekking tot organisatie, taken en bevoegdheden zijn in de beveiligingsprocedure opgenomen? Het bewaren en het beheren van reisdocumenten De beveiliging van het aanvraagsysteem reisdocumenten Geen van de genoemde onderwerpen De functiescheiding tussen verstrekking, beheer en uitreiking 91, lid 1, 2, 3, 93, lid 1a 9.1 en 7.1.3 91, lid 1, 2, 3, 93, lid 1d 9.2.1 93, lid 1 c 10.1.3 Burgerzaken AG7 Welke acties zijn ondernomen om de actualiteit van de procedures te garanderen? De verantwoordelijkheden van de 93, lid 1 b 6.1.2 beveiligingsfunctionaris De verantwoordelijkheden van de 79 6.1.2 autorisatiebevoegde Het signaleren en handelen bij interne en 24 onder b 6.1.3 externe fraude Het melden en opvolgen van incidenten 97, 98 13.1.1 Het vaststellen van de identiteit en nationaliteit 28 9, 22 Het toetsen van (bron)documenten die aan de aanvraag ten grondslag liggen Het behandelen van vermissingen 24 onder b 22, lid 6 De beveiligingsinstructie 93, lid 5 8.2.2 Geen van de genoemde onderwerpen Er is gecontroleerd of de uitvoering nog overeenkomt met de procesbeschrijving Er is gecontroleerd of er wijzigingen in taken, verantwoordelijkheden en bevoegdheden zijn 93, lid 6 5.1.2 93, lid 6 pagina 3 van 26
Burgerzaken AG8 Welke van de volgende onderwerpen zijn opgenomen in het beveiligingsplan reisdocumenten? Burgerzaken AG9 Welke maatregelen heeft u getroffen om incidenten te beheersen? Burgerzaken AG10 Welke van de volgende onderwerpen zijn in de procedure incidentmeldingen opgenomen? Er is gecontroleerd of er wijzigingen in de 5.1.2 regelgeving zijn die van invloed op de procedure zijn Indien nodig is de procedurebeschrijving geactualiseerd Er zijn geen acties ondernomen om de actualiteit van de procedures te garanderen Een jaarlijkse inventarisatie van de risico's 4 Een jaarlijkse inventarisatie van de dreigingen 4 Een jaarlijkse inventarisatie van de maatregelen 4 Het vaststellen van nog te nemen of bij te stellen maatregelen De toewijzing van verantwoordelijkheid en termijn voor het nemen van maatregelen Geen van bovenstaande onderwerpen Incidenten moeten worden gemeld aan de beveiligingsfunctionaris Indien een incident plaatsvindt, wordt altijd een onderzoek ingesteld Indien een incident plaatsvindt, wordt de burgemeester geïnformeerd Geen van bovenstaande maatregelen Fraude door de klant (bv. Look-alike / vingerafdrukken / valse brondocumenten) 4 4 13.1 13.2 13 13.1.1 Uitlekken van gevoelige informatie 13.1.1 pagina 4 van 26
Burgerzaken AG11 Is er een scheiding in verantwoordelijkheden tussen de volgende rollen georganiseerd? Burgerzaken AG12 Tussen welke (operationele) reisdocumentenprocessen heeft u functiescheiding ingericht? Bedreiging of intimidatie (extern of intern) 13.1.1 nbevoegde aanwezigheid 13.1.1 Diefstal met of zonder geweld 13.1.1 Interne fraude 13.1.1 Diefstal met of zonder braak 13.1.1 Vermissing van reisdocumenten uit de voorraad 13.1.1 Geen van bovengenoemde onderwerpen, of er is geen procedure incidentmelding Ja, tussen de uitvoerder en de beveiligingsfunctionaris Ja, tussen de opdrachtgever en de beveiligingsfunctionaris Er is geen scheiding in verantwoordelijkheden 93, lid 10 6.1.3 en 10.1. 93, lid 8 6.1.3 en 10.1. Tussen verstrekken en beheer 93, lid 1c 10.1.3 Tussen verstrekken en uitreiken 93, lid 1c 10.1.3 Tussen beheer en uitreiken 93, lid 1c 10.1.3 Geen van bovengenoemde Burgerzaken AG13 Past u functiescheiding altijd toe? Ja 93, lid 1c en lid 3 10.1.3 Nee, maar de reden is een te geringe personele 93, lid 2 10.1.3 capaciteit Nee Burgerzaken AG14 Wat legt u bij het niet voldoen aan De reden waarom tijdelijk niet aan de eis kan 93, lid 3 functiescheiding schriftelijk vast? worden voldaan pagina 5 van 26
Burgerzaken AG15 Wordt de reisdocumentenadministratie door een onafhankelijk persoon gecontroleerd indien niet altijd voldaan wordt aan functiescheiding? Burgerzaken AG16 Hoe nemen medewerkers kennis van voorschriften en procedures? Burgerzaken AG17 Welke van de volgende taken van medewerkers, wordt minimaal eens per jaar getoetst op juiste uitvoering? De periode waarin niet aan de eis wordt voldaan 93, lid 3 De namen van de ambtenaren die in die periode zijn belast met de verstrekking, het beheer en de uitreiking. Geen van alle 93, lid 3 Ja 93, lid 2 t/m 4 Nee Niet van toepassing, wij voldoen altijd aan de eisen van functiescheiding Deze worden schriftelijk meegedeeld 93, lid 5 8.2.2 Deze worden mondeling besproken 93, lid 5 8.2.2 Geen van bovenstaande Het vaststellen van de identiteit 15.2.1 Het controleren van de echtheid van 15.2.1 documenten Het controleren van de volledigheid van de 15.2.1 aanvraag Het controleren van het gezag / toestemming 15.2.1 Het accepteren van de foto 15.2.1 Het bepalen van het recht op verstrekken 15.2.1 Alertheid op fraudesignalen 15.2.1 pagina 6 van 26
Burgerzaken AG18 Hebben uitsluitend geautoriseerde medewerkers toegang tot het reisdocumentenproces? Burgerzaken AG19 Werken medewerkers uitsluitend onder hun eigen autorisaties? Burgerzaken AG20 Wanneer wijzigt de houder van de identificatiekaart de pincode? Burgerzaken AG21 Wat wordt door de autorisatie bevoegde reisdocumenten met betrekking tot de identificatiekaarten actueel geregistreerd? Het bijhouden van vakkennis 15.2.1 Geen van bovenstaande Ja 90 11.2 Nee Ja 11.2.1 en 11.3 Nee Direct na ontvangst en daarna iedere 60 dagen 11.3.1 Alleen direct na ontvangst 11.3.1 De initiële pincode wordt niet gewijzigd De beschikbaar gestelde identificatiekaarten 80, lid 2 11.2.1 Burgerzaken AG22 Welke bronnen worden gebruikt om de nationaliteit van de aanvrager vast te stellen? De registratie van de personen aan wie hij een 80, lid 2 11.2.1 bepaald tijdvak een kaart heeft verstrekt De bewaring van de identificatiekaarten 80, lid 2 11.2.1 Er wordt een verslag opgemaakt van de controle 80, lid 2 11.2.4 op de actualiteit van de registratie De intrekking van identificatiekaarten 80, lid 3 11.2.1 De vernietiging van ingetrokken identificatiekaarten Er wordt geen registratie bijgehouden Het eerder uitgereikte reisdocument 9 lid 2 pagina 7 van 26
Burgerzaken AG23 p welke wijze wordt bij de aanvraag de identiteit van de aanvrager vastgesteld? Burgerzaken AG24 Uit welke onderdelen bestaat het onderzoek bij twijfel over de identiteit bij de aanvraag? Geboorteakte en evt aanvullende akten 9 lid 2 De geregistreerde gegevens in GBA-V 9 lid 1 Documenten uit de lijst ondersteunende 9 lid 2 documenten bij aanvragen voor nietingezetenen (bron: BuZa) Nationaliteitenregister IND 9 lid 2 Geen van de genoemde bronnen Het eerder uitgereikte reisdocument wordt ter identificatie gebruikt De persoonsgegevens en het documentnummer op het reisdocument worden gecontroleerd in GBA-V Er vindt, indien mogelijk, een foto-foto vergelijking plaats met de foto in het overgelegde document en een vergelijking van de foto met het gezicht van de aanvrager Bij het ontbreken van een geldig identiteitsdocument worden er identificerende vragen gesteld Naast het stellen van identificerende vragen worden andere documenten gevraagd, die voorzien zijn van foto en handtekening De actuele handtekening, foto en gegevens worden vergeleken met eerdere aanvragen reisdocumenten 22, lid 1 22, lid 1 28, lid 1 22, lid 2 22, lid 5 22, lid 2 Er worden aanvullende vragen gesteld 22, lid 2 Geen van de genoemde acties pagina 8 van 26
Burgerzaken AG25 Worden bij twijfel aan de identiteit bij de aanvraag altijd de echtheidskenmerken van het overgelegde document op echtheid gecontroleerd? Ja Burgerzaken AG26 p welke wijze wordt de identiteit van de aanvrager bij de uitreiking vastgesteld? Nee Het eerder uitgereikte reisdocument wordt ter identificatie gebruikt 22 en 50 Burgerzaken AG27 Hoe wordt bij de uitreiking gehandeld bij twijfel aan de identiteit van de aanvrager? De persoonsgegevens en het huidige 22 en 50 documentnummer worden gecontroleerd in GBA- V Er vindt een foto-persoon vergelijking plaats 22 en 50 Bij het ontbreken van een geldig identiteitsdocument worden er identificerende vragen gesteld Bij kinderen worden identificerende vragen aan het kind zelf gesteld Naast het stellen van identificerende vragen worden andere documenten, die voorzien zijn van foto en handtekening gevraagd Geen van bovenstaande 22 en 50 22 en 50 22 en 50 Er vindt verificatie plaats van de vingerafdrukken 50a, lid 1 Er wordt niet tot uitreiking overgegaan 50a, lid 2 Geen van bovenstaande pagina 9 van 26
Burgerzaken AG28 Welke acties worden buiten de reguliere controle ondernomen om de echtheid van een overgelegd document vast te stellen bij het uitreiken van het document? De handtekening in het overgelegde document wordt, indien mogelijk, vergeleken met de handtekening in het nieuwe document Meerdere 1e lijns echtheidskenmerken van overgelegde documenten worden gecontroleerd Burgerzaken AG29 p welke wijze wordt gehandeld als een verklaring van toestemming noodzakelijk is? Burgerzaken AG30 Hoe wordt gehandeld bij het opnemen van vingerafdrukken bij de aanvraag van een paspoort? Geen van genoemde acties De naam en handtekening van de toestemminggever is vermeld De identiteit van de toestemminggever wordt vastgesteld De bevoegdheid van de toestemminggever wordt gecontroleerd Bij twijfel over de bevoegdheid wordt een onderzoek ingesteld Indien de toestemminggever niet in persoon verschijnt, wordt de verklaring op geldigheid gecontroleerd In de aanvraag wordt aantekening gemaakt van de verklaring van toestemming Geen van de genoemde handelingen Indien de aanvrager op het moment van het indienen van de aanvraag jonger dan 12 jaar is worden geen vingerafdrukken opgenomen Van aanvragers van 12 jaar en ouder worden de afdrukken van twee vingers opgenomen 31, lid 2 32, lid 1 32, lid 3 32. lid 4 32, lid 2 31, lid 3 28a, lid 4 28a, lid 1 pagina 10 van 26
Er vindt altijd een controle plaats of de vingers voldoende schoon voor opname zijn en er zich geen omhulsels om de vingers bevinden 28a, lid 1 Burgerzaken AG31 Gebruikt u het transparant om te bepalen of de foto aan de eisen voldoet? Burgerzaken AG32 Worden alleen aanvragen in behandeling genomen als aan alle voorwaarden voor de aanvraag is voldaan? Burgerzaken AG33 Binnen welke periode verstrekt u een reisdocument c.q. wordt een beslissing op de aanvraag genomen? Er wordt bij een tijdelijk gebrek aan alle vingers een reisdocument aangevraagd zonder vingerafdrukken met de geldigheidsduur van maximaal één jaar Er wordt bij een permanent gebrek aan alle vingers een reisdocument aangevraagd zonder vingerafdrukken met de geldigheidsduur van maximaal tien jaar Geen van de hiervoor genoemde handelingen 10, lid 2 10, lid 1 Ja, altijd 28, lid 2 Ja, in geval van twijfel Nee Ja 27 39 Nee, de aanvraag wordt niet in behandeling genomen, maar eventueel wel bewaard tot deze compleet is Nee 39 Uiterlijk binnen 4 weken na aanvraag 41, lid 1 pagina 11 van 26
Indien van toepassing én na kennisgeving wordt de termijn met maximaal 4 weken verlengd 41, lid 2 Burgerzaken AG34 Wat zijn de handelingen bij verzending van de aanvraag? Burgerzaken AG35 Welke handelingen vinden plaats bij ontvangst van een zending? Burgerzaken AG36 p welke wijze worden reisdocumenten ingeklaard? Er wordt niet aan de hierboven genoemde termijnen voldaan Er vindt controle plaats op de juistheid en volledigheid van de aanvraag Er vindt controle plaats of de aantallen verzonden aanvragen overeenkomen met de aantallen foto- en handtekeningenformulieren Er vindt controle plaats of iedere aanvraag is betaald of verantwoord Geen van de genoemde handelingen De ontvangstbevoegde controleert of de zending juist is geadresseerd en het pakket onbeschadigd is Indien de levering niet voor de locatie is bestemd of afwijkingen vertoont wordt altijd gehandeld volgens de foutafhandelingsprocedures (bijlage D - ) Bij beschadiging wordt het pakket in ontvangst genomen en in het bijzijn van de distributeur gecontroleerd Indien er sprake is van een afwijking of beschadiging wordt een proces verbaal opgemaakt en bewaard Geen van bovenstaande De lijst voor aangemelde documenten wordt vergeleken met het geleverde colli 33 42 42 44, lid1 44, lid 2 44, lid 3 44, lid 4 en 5 45, lid 1 pagina 12 van 26
Burgerzaken AG37 Hoe worden documenten onbruikbaar gemaakt? Burgerzaken AG38 Controleert u, ongeacht de reden waarvoor het aan u getoond wordt, of de beveiligingskenmerken van een reisdocument zijn aangetast, gegevens niet meer leesbaar zijn of een deel daarvan ontbreekt? Burgerzaken AG39 Wanneer vindt definitieve onttrekking van reisdocumenten plaats? De documenten worden allemaal op juiste 45, lid 2 personalisatie en productie gecontroleerd Als blijkt dat het document een misdruk bevat 67, lid 6 en/of verkeerd gepersonaliseerd is, wordt deze binnen 10 werkdagen teruggezonden aan de leverancier De documenten worden per colli ingeklaard 45, lid 2 Geen van bovenstaande Door het aanbrengen van drie ponsgaten in het 67, lid 4 document waarvan één door het kinegram en één door de chip p andere wijze Ja, altijd 54, lid 1b Nee, niet altijd Als het document niet binnen drie maanden na de datum dat zij voor uitreiking beschikbaar is gesteld door de aanvrager in ontvangst is genomen Als het document is ingeleverd 67, lid 1a 67, lid 1b Als het document vervallen is verklaard op grond 54, lid 1 67, lid 1c van artikel 54, lid 1 PW Als het document na uitreiking als onbruikbaar is 67, lid 1d beschouwd ten gevolge van misdruk of verkeerde personalisatie pagina 13 van 26
Als het document als gevonden is ontvangen en er een verklaring van vermissing is afgelegd 67, lid 1e Burgerzaken AG40 Hoe worden ingenomen en/of ongeldig te maken documenten vernietigd? Burgerzaken AG41 p welke wijze wordt in geval van vermissing van reisdocumenten gehandeld? In geen van genoemde situaties Het document wordt onmiddellijk vernietigd op art 67 lid 1 en 2 zodanige wijze dat reconstructie niet meer mogelijk is Het document wordt onmiddellijk onbruikbaar art 67 lid 4 gemaakt, maar niet onmiddellijk vernietigd De vernietiging vindt niet onmiddellijk plaats Er wordt een C3 formulier naar de RNI gestuurd 27, lid 6 De aanvrager overlegt een schriftelijke 31, lid 1 27, lid 2 verklaring van vermissing/inname of deze wordt ter plekke opgemaakt De aanvrager overlegt een proces-verbaal 31, lid 2 27, lid 2 Het proces-verbaal wordt inhoudelijk gecontroleerd aan de hand van de vermissingsverklaring Als de identiteit niet met voldoende zekerheid kan worden vastgesteld aan de hand van een geldig reisdocument en het vermiste document bij een andere locatie was aangevraagd, wordt medewerking gevraagd aan deze locatie en wordt de aanvraag aangehouden In de reisdocumentenmodule wordt vermeld van welke autoriteit gegevens worden ontvangen 27, lid 2 22, lid 3 22, lid 3 pagina 14 van 26
Burgerzaken AG42 In welke gevallen wordt gebruik gemaakt van de signaleringsprocedure 24b? Geen van de genoemde onderwerpen Bij meervoudige vermissingen 24 onder b BPR2007-55301 Burgerzaken AG43 p welke wijze wordt gebruik gemaakt van de signaleringslijst? Burgerzaken AG44 Hoe wordt gehandeld als iemand alleen de aangifte van een vermissing van een reisdocument meldt, zonder een aanvraag te doen voor een nieuw reisdocument? Bij opzettelijke beschadiging van reisdocumenten Bij andere handelingen die op misbruik kunnen wijzen Er wordt geen gebruik gemaakt van deze procedure Bij elke aanvraag wordt gecontroleerd of de aanvrager op de signaleringslijst voorkomt De signaleringslijst wordt niet gebruikt Er wordt een verklaring van vermissing opgesteld 24 onder b BPR2007-55302 24 onder b BPR2007-55303 25 60, lid 3 Er wordt een C7 formulier naar RvIG gestuurd Er wordt een C3 formulier naar de RNI gestuurd Burgerzaken AG45 Wordt het aantal volgens RAAS aanwezige documenten vergeleken met de fysieke voorraad of een controlelijst uit de geautomatiseerde opslag? De vermissing wordt niet geregistreerd totdat een nieuwe aanvraag wordt gedaan Ja, wij doen dit minimaal eens per maand Nee, wij doen dit nooit pagina 15 van 26
Burgerzaken AG46 Wordt het aantal aangevraagde documenten in het RAAS vergeleken met een kassa-uitdraai? Burgerzaken AG47 Worden alle bijzondere documenten behorende bij een aanvraag tenminste 11/16 jaar bewaard? Burgerzaken AG48 Waar bevinden de reisdocumenten zich tijdens werktijd? Burgerzaken AG49 Waar bevinden de documenten zich buiten werktijd? Ja, wij doen dit minimaal eens per maand Nee, wij doen dit nooit Ja 72, lid 3 en 4 Nee In een buizenpostsysteem 91, lid 3 In een dagwaardeberging 91, lid 3 In een kluiskast 91, lid 3 In een kluisruimte 91, lid 3 In een afgesloten kast 91, lid 3 nbeveiligd onder direct handbereik In een buizenpostsysteem in een beveiligde, 91, lid 1 en 2 afgesloten ruimte In een inbraak vertragende en brandwerende 91, lid 1 en 2 voorziening met een waardebergingsindicatie van 1000,- die in een af te sluiten ruimte is geplaatst In een inbraak vertragende voorziening die in 91, lid 1 en 2 een af te sluiten ruimte is geplaatst In een brandwerende voorziening die in een af 91, lid 1 en 2 te sluiten ruimte is geplaatst In een dagwaardeberging 91, lid 1 en 2 In geen van bovengenoemde beveiligde ruimten pagina 16 van 26
Beveiligingsfunctionaris AG50 Welke onderwerpen bevat de beveiligingsrapportage van het afgelopen jaar? Beveiligingsfunctionaris AG51 Vindt er tussentijds controle plaats op de uitvoering van de te nemen maatregelen (uit de jaarlijkse beveiligingsrapportage)? De actualiteit van de beveiligingsprocedure 93, lid 6 5.1.2 De uitvoering van de back-up van het RAAS 92, lid 1 t/m 3 5.1.2 De status van de fysieke beveiliging 91, lid 1 t/m 5 5.1.2 De wijze van functiescheiding 93, lid 1c en lid 10 De instructie aan medewerkers 93, lid 5 5.1.2. Het resultaat van de jaarlijkse controle 94, lid 1 5.1.2 Toegang tot RAAS en aanvraagstation 80a, 80b 5.1.2 Incidenten 13.1 Er is geen rapportage Ja, door de beveiligingsfunctionaris of een onafhankelijke derde 15.2.1 Beveiligingsfunctionaris AG52 Wie heeft het afgelopen jaar gerapporteerd? Beveiligingsfunctionaris AG53 Legt de beveiligingsfunctionaris rechtstreeks verantwoording af aan de burgemeester? Ja, door de leidinggevende van de afdeling 15.2.1 Nee, dit wordt niet gecontroleerd / er is geen rapportage uitgebracht De beveiligingsfunctionaris 6.1.8 Een onafhankelijke derde 6.1.8 Een ander persoon heeft gerapporteerd of er is niet gerapporteerd Ja 93, lid 13 Nee pagina 17 van 26
Beveiligingsfunctionaris AG54 Voert u jaarlijks een interne controle uit op het voldoen aan functiescheiding? Beveiligingsfunctionaris AG55 Zijn het afgelopen jaar de volgende incidenten gemeld? Beveiligingsfunctionaris AG56 Welke acties zult u ondernemen bij een vermissing van reisdocumenten uit de voorraad? Ja, er wordt een controle uitgevoerd door een onafhankelijk, aangewezen ambtenaar Ja, hierbij wordt het beheer en de uitreiking gecontroleerd Ja, hierbij wordt gecontroleerd of er wordt voldaan aan functiescheiding tussen verstrekken en uitreiken Ja, hierbij wordt gecontroleerd of de verstrekking op de voorgeschreven wijze heeft plaatsgevonden Nee Fraude door de klant (bv. Look-alike / vingerafdrukken / valse brondocumenten) Uitlekken van gevoelige informatie Bedreiging of intimidatie (extern of intern) nbevoegde aanwezigheid Diefstal met of zonder geweld Interne fraude Diefstal met of zonder braak Vermissing van reisdocumenten uit de voorraad Geen van de genoemde incidenten Er wordt onmiddellijk een inventarisatie opgemaakt van de aanwezige voorraad De autoriteit doet aangifte en Rijksdienst voor Identiteitsgegevens wordt in kennis gesteld 93, lid 4 93, lid 4 93, lid 1c 93, lid 4 95, lid 1 13.1.1 86, lid 1 13 95, lid 1 13 pagina 18 van 26
Beveiligingsfunctionaris AG57 Wordt bij een incident met documenten, apparatuur en/of materialen onmiddellijk aangifte gedaan bij de politie en wordt Rijksdienst voor Identiteitsgegevens in kennis gesteld? Beveiligingsfunctionaris AG58 Hoe wordt de procedure incidentmeldingen toegepast? Beveiligingsfunctionaris AG59 Wat wordt met de uitkomst van de zelfevaluatie gedaan? ICT AG60 p welke wijze vindt de back-up van het RAAS plaats? Er wordt een onderzoek ingesteld 95, lid 1 13 De houder van het ontbrekende document wordt schriftelijk in kennis gesteld Geen van de genoemde acties Brief 2009-0000374417 Ja 95, lid 1 13.1.1 Nee Er wordt altijd volgens de procedure gehandeld Er wordt niet altijd gebruik gemaakt van de procedure Er wordt niet volgens een procedure incidentmeldingen gewerkt Jaarlijks gerapporteerd aan de burgemeester 5.1.2 Besproken met medewerkers van betrokken 8.2.2 vakgebieden Besproken tijdens het werkoverleg 8.2.2 Geen van bovenstaande Er wordt dagelijks een back-up gemaakt van het RAAS Er worden vijf back-up opslagmedia voor het RAAS gebruikt Er vindt dagelijks een controle van de back-up plaats 92, lid 1 10.5.1 92, lid 2 10.5.1 92, lid 1 10.5.1 pagina 19 van 26
ICT AG61 Wordt van het vervaardigen van de backup een registratie bijgehouden? ICT AG62 p welke wijze vindt de opslag van backup media plaats? ICT AG63 Bevindt de RAAS server zich in een beveiligde ruimte die niet voor onbevoegden toegankelijk is? ICT AG64 Hoe zijn de informatiesystemen t.b.v. de reisdocumenten beveiligd? Back-up vindt niet plaats op de hiervoor beschreven wijze ja 10.5.1 nee De twee oudste back-up media worden op de 92, lid 2 10.5.1 RAAS-locatie bewaard, waarvan er één zich in een inbraak vertragende en brandwerende kast ( 1000,= indicatie waardeberging) bevindt De drie meest recente back-up media buiten de 92, lid 2 10.5.1 RAAS-locatie bewaard in een inbraak vertragende en brandwerende kast ( 1000,= indicatie waarde berging) De back-up media worden niet op bovengenoemde wijze opgeslagen Ja 91, lid 3 9 Nee Vanuit een geïsoleerd netwerksegment waarin deze informatiesystemen zijn ondergebracht, is het op geen enkele wijze mogelijk om verbinding met het internet te maken BPR/U59776 11.4.5 Het is onmogelijk verbinding te maken met deze informatiesystemen vanaf werkplekken of vanuit andere informatiesystemen die niet behoren tot de groep reisdocumenten p geen van bovengenoemde wijzen 11.4.5 pagina 20 van 26
Personeelszaken AG65 Wordt de achtergrond van kandidaten voor een dienstverband en ingehuurd personeel evenredig gecontroleerd aan de eisen volgend uit het werken met reisdocumenten? Personeelszaken AG66 Zijn voor de uitvoering van de werkzaamheden de minimale kennis en vaardigheden vastgesteld? Personeelszaken AG67 Voor welke functies zijn interne vaste of tijdelijke medewerkers formeel aangewezen? Personeelszaken AG68 Is de beveiligingsfunctionaris betrokken bij de uitvoering van het reisdocumentenproces? Ja, voor alle medewerkers is minimaal een VG vereist 8.1.2 Ja, bij aanstelling worden de gegevens die de 8.1.2 medewerkers opgeven geverifieerd Nee 8.1.2 Ja 8.2.2 Nee De beveiligingsfunctionaris 93, lid 8 6.1.3 Ten minste 2 autorisatiebevoegden RAAS 79, lid 1 6.1.3 Ten minste 2 autorisatiebevoegden 79, lid 1 6.1.3 aanvraagstation per locatie Ten minste 3 ontvangstbevoegden 81, lid 1 6.1.3 Aanvraagbevoegde medewerkers 78, lid 1 6.1.3 Uitreikbevoegde medewerkers 78, lid 1 6.1.3 Er zijn geen medewerkers formeel aangewezen Ja 10.1.3 Nee 93, lid 10 pagina 21 van 26
Personeelszaken AG69 Zijn de taken en verantwoordelijkheden van de beveiligingsfunctionaris in een functieomschrijving vastgelegd? Ja 93, lid 11 6.1.3 Personeelszaken AG70 Worden medewerkers tenminste eenmaal per jaar geïnstrueerd over de mogelijke risico s en beveiligingsprocedures? Personeelszaken AG71 Hoe is geheimhouding gewaarborgd? Personeelszaken AG72 Zorgt het management ervoor dat de medewerkers voldoende kennis en bewustzijn hebben op het gebied van informatiebeveiliging? Personeelszaken AG73 Welke maatregelen zijn getroffen tegen agressie en geweld? Nee Ja 93, lid 5 8.2.2 Nee Iedere ambtelijk medewerker ondertekent een 12, lid 2 6.1.5 Wbp individuele verklaring tot geheimhouding of legt de ambtseed of ambtsbelofte af Externe en tijdelijke medewerkers ondertekenen 6.1.5 een geheimhoudingsverklaring Geen van bovenstaande waarborgen is van toepassing Ja, met opleidingen en trainingen 8.2.2 Ja, met bewustwordingscampagnes Ja, en hier zijn verslagen van Nee Er is een systeem in gebruik om agressie en geweld te kunnen melden aan een partij binnen of buiten de organisatie Er is een agressieprotocol pagina 22 van 26
Facilitaire zaken AG74 Hoe is de toegang tot de werkruimten ten behoeve van reisdocumenten geregeld? Het agressieprotocol is bij iedereen bekend en wordt nagevolgd Er wordt minimaal eens per twee jaar periodiek een training omgaan met agressie voor medewerkers en leiding georganiseerd Het wordt niet gewaarborgd Toegang is uitsluitend mogelijk voor personen waarvoor de toegang functioneel noodzakelijk is 91, lid 3 9 Facilitaire zaken AG75 Welke mogelijkheden zijn er om risicovolle materialen buiten werktijd veilig op te bergen? Toegang voor niet bevoegden is uitsluitend toegestaan onder begeleiding van bevoegde personen De leiding van de afdeling bepaalt of toegang wordt verleend De bevoegdheid voor toegang wordt beperkt tot de voor de werkzaamheden noodzakelijke tijdstippen Geen van het bovenstaande is geregeld Er is een kluis die geheel voldoet aan de eisen voor inbraakvertraging en brandwerendheid Er is een kluis die voldoet aan de eisen van inbraakvertraging maar niet aan de eisen van brandwerendheid Er is een kluis die voldoet aan de eisen van brandwerendheid maar niet aan de eisen van inbraakvertraging Geen van bovengenoemde mogelijkheden 91, lid 3 9 91, lid 3 9 91, lid 3 9 91, lid 1 9 91, lid 1 9 9 pagina 23 van 26
Facilitaire zaken AG76 Is de kluis geplaatst in een af te sluiten en niet voor onbevoegden toegankelijke ruimte? Facilitaire zaken AG77 p welke wijze is de plaatsing en het gebruik van de kluis in het gemeentehuis georganiseerd? Facilitaire zaken AG78 p welke wijze is de plaatsing en het gebruik van de kluis buiten het gemeentehuis georganiseerd? Facilitaire zaken AG79 Waar bevindt zich het aanvraagstation buiten werktijd? Ja 91, lid 2 en 3 9 Nee De kluis is verankerd De kluis is ook gedurende openingstijden met een sleutel en/of code afgesloten Codes worden gewijzigd (of de opslag van de sleutel wordt verplaatst) op het moment dat een van de medewerkers geen toegang meer mag hebben tot de kluis Geen van de genoemde maatregelen De kluis is verankerd De kluis is ook gedurende openingstijden met een sleutel en/of code afgesloten Codes worden gewijzigd (of de opslag van de sleutel wordt verplaatst) op het moment dat een van de medewerkers geen toegang meer mag hebben tot de kluis Geen van genoemde maatregelen In een voor onbevoegden onbereikbare, afsluitbare, beveiligde ruimte In een voor onbevoegden onbereikbare, afsluitbare, niet beveiligde ruimte Geen van beide 91, lid 5 9 91, lid 5 9 pagina 24 van 26
Facilitaire zaken AG80 Is een inbraakdetectiesysteem aanwezig in de werkruimten reisdocumenten en hoe wordt dit gebruikt? Dit is aanwezig en wordt handmatig in- en uitgeschakeld door bevoegde medewerkers 91, lid 2 9 Facilitaire zaken AG81 Hoe wordt de veiligheid van de medewerkers gewaarborgd? Facilitaire Zaken AG82 Is er een clear desk-beleid voor papier, usb-sticks, externe schijven en mobiele devices en een clear screen-beleid voor ICT-voorzieningen? Facilitaire Zaken AG83 Werken medewerkers volgens een sleutelprocedure? Facilitaire zaken AG84 p welke wijze vindt er controle plaats op het gebruik van de beveiligde ruimte(n)? Dit is aanwezig en wordt automatisch in en uitgeschakeld met het inbraakdetectiesysteem van de locatie Er is geen inbraakdetectiesysteem aanwezig De bouwkundige inrichting van de balies en spreekkamers is agressieveilig uitgevoerd Er is een alarmopvolgingsprocedure die actueel is Alle medewerkers zijn op de hoogte hoe te handelen bij alarm Er is alarmopvolging geregeld Geen van bovengenoemde maatregelen 91, lid 2 9 Ja 11.3.3 Nee Ja 9.1.3 Nee, of er is geen procedure Het gebruik van toegangsmiddelen wordt periodiek gecontroleerd 15.2.1 De uitgifte en inname van toegangsmiddelen wordt periodiek gecontroleerd 15.2.1 pagina 25 van 26
Er vindt geen controle plaats pagina 26 van 26