Steviger toezicht op audit gemeentelijke basisadministraties
 

Mededeling, 8 januari 2008

De Gemeentelijke Basisadministratie (GBA), waarin de persoonsgegevens van de in die gemeente ingeschreven personen zijn opgenomen, vormt de basis voor de uitvoering van veel overheidstaken. Het is daarom van groot belang dat de opgenomen gegevens kloppen. Gemeenten moeten hun administratie en de beveiliging ervan een maal per drie jaar laten controleren. “Het niet uitvoeren van deze audit vormt een bedreiging voor de kwaliteit van de gemeentelijke basisadministratie en zodoende voor de persoonlijke levenssfeer van burgers” aldus Madeleine McLaggan-van Roon, lid van het College bescherming persoonsgegevens (CBP). Na de aankondiging van het CBP handhavend te zullen optreden bij het niet of niet tijdig laten uitvoeren van de audit, is vergeleken met voorgaande jaren verbetering opgetreden in de naleving door gemeenten van hun wettelijke verplichting. Aan vier nalatige gemeenten heeft het CBP in 2007 een last onder dwangsom opgelegd.

De GBA-audit is nodig om een objectief beeld te hebben van de uitvoering van de Wet GBA en bijbehorende regelingen en om mogelijke manco’s in de juistheid van gegevens en de beveiliging daarvan zichtbaar te maken. Op 1 juli 2007 is de derde GBA-audit cyclus (2007-2010) van start gegaan. De gemeenten worden voor de uitvoering van de audit evenwichtig verdeeld over tijdvakken van elk drie maanden. De controle wordt uitgevoerd door daartoe door de minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen bedrijven. Het onderzoek betreft de technische en administratieve inrichting, werking en beveiliging van de basisadministraties.

Over de handhaving van de auditverplichting zijn afspraken gemaakt tussen het Agentschap Basisadministratie, Persoonsgegevens en Reisdocumenten (BPR) van het ministerie van BZK en het CBP. De vorig jaar gestarte acties van BPR en CBP hebben er in eerste instantie toe geleid dat de resterende achterstanden van de eerste twee auditrondes zijn weggewerkt. De gemeenten die in de op 1 juli 2007 gestarte auditronde het eerst aan de beurt waren, zijn er half juli door BPR expliciet op gewezen dat het CBP als toezichthouder op de GBA handhavend zou optreden als zij niet of niet tijdig aan hun auditverplichting zouden voldoen. In dat geval worden de gemeenten door het CBP gehoord en gemaand alsnog aan hun verplichting te voldoen. De betreffende drieëndertig gemeenten moesten de audit vóór 1 oktober 2007 laten uitvoeren.

In de brief van BPR is tevens aangekondigd dat in het kader van transparant optreden van de toezichthouder de resultaten per gemeente op de website van het CBP zouden worden gepubliceerd. Dat gebeurt in deze mededeling.

In het eerste tijdvak van de derde GBA-auditcyclus hebben de volgende gemeenten tijdig een audit laten uitvoeren: Amersfoort, Bergen (NH), De Bilt, Cranendonck, Doetinchem, Stede Broec en Zeewolde.

De gemeenten Bedum, Edam-Volendam, Heerde, Landgraaf, Lelystad en Losser zijn weliswaar tijdig begonnen met de uitvoering van de audit, maar hebben de audit pas na 1 oktober 2007 afgerond.

Aan vier gemeenten heeft het CBP een last onder dwangsom opgelegd: Cromstrijen, Eindhoven, Heerenveen en Kessel.

De overige gemeenten hebben de audit niet voor 1 oktober 2007 uitgevoerd, maar hebben inmiddels wel aan de verplichting om een audit uit te voeren voldaan: Aalten, Apeldoorn, Assen, Bergeijk, Bussum, Dalfsen, Deurne, Den Helder, Doesburg, Dongen, Groningen, Grootegast, Hattem, Heumen, De Ronde Venen en Margraten.

Het CBP verwacht dat in de volgende tijdvakken meer gemeenten tijdig zullen voldoen aan hun verplichting om een audit uit te laten uitvoeren. Op 2 januari 2008 is het CBP begonnen met de controle van het tweede tijdvak van de derde cyclus.

z2006-00983

Over het CBP
Het College bescherming persoonsgegevens (CBP) houdt - onder de Wet bescherming persoonsgegevens (Wbp) - toezicht op de naleving van wetten die het gebruik van persoonsgegevens regelen. Bij het CBP moet het gebruik van persoonsgegevens worden gemeld, tenzij hiervoor een vrijstelling geldt.

Het CBP adviseert de regering en organisaties over de bescherming van persoonsgegevens en onderwerpen die daarmee samenhangen. Het CBP toetst gedragscodes en bemiddelt in geschillen tussen burgers en gebruikers van persoonsgegevens. Op eigen initiatief of op verzoek van een belanghebbende kan het CBP onderzoeken of de manier waarop persoonsgegevens in een bepaalde situatie zijn gebruikt, in overeenstemming is met de wet en daaraan zo nodig gevolgen verbinden. Voor in gebreke blijven bij de melding kan een boete worden opgelegd. Bij overtreding van de wet of daarop gebaseerde regelingen kan het CBP overgaan tot bestuursdwang of een dwangsom opleggen.