Informatiebeveiligingsbeleid reisdocumenten

 

Zaaknummer: 2137183

 

Inhoudsopgave

 

1 Inleiding

2 Algemeen beleid

2.1 Uitgangspunten

2.1.1. Fysieke beveiliging

2.1.2 Personeel

2.1.5 Aanvraag en archivering

2.1.6 Bezorging van reisdocumenten

2.1.7 Procedures

3 Taken, verantwoordelijkheden en bevoegdheden

4 Zelfevaluatie reisdocumenten

5 Bijlagen

 

1 Inleiding

De wetgever stelt in de Paspoortwet en de Paspoortuitvoeringsregeling eisen aan de beveiliging van de uitvoeringsprocessen voor de reisdocumenten. De burgemeester moet voor wat betreft de beveiliging van het reisdocumentenproces jaarlijks aan de Minister van Binnenlandse Zaken en Koninkrijksrelaties rapporteren in hoeverre de organisatie aan deze eisen voldoet.

 

Doel

Het informatiebeveiligingsplan reisdocumenten beschrijft op tactisch niveau de maatregelen voor de afgifteprocessen van de reisdocumenten. Het informatiebeveiligingsplan reisdocumenten is een aanvulling op het strategisch informatiebeveiligingsbeleid en het digitaal toegangsbeleid van de gemeente Hoorn. De wettelijke kaders zijn als uitgangspunt gebruikt in dit beleid.

 

Wettelijk kader

Dit beveiligingsbeleid is gebaseerd op wet- en regelgeving zoals de paspoortwet en paspoortuitvoeringsregeling Nederland 2001 (PUN). De eisen aan de opslag, uitgifte en administratie van reisdocumenten zijn neergelegd in hoofdstuk XII van de PUN. Daarnaast moet rekening gehouden worden met de circulaire verbeterimpuls identiteitsvaststelling en de circulaire ex artikel 24, onder b, Paspoortwet betreffende signaleringsprocedure vermoeden misbruik reisdocumenten en de circulaire bezorgproces reisdocumenten.

Overige wetgeving: AVG, BIO

 

Evaluatie

Het informatiebeveiligingsplan dienstverlening wordt jaarlijks geëvalueerd en waar nodig geactualiseerd.

 

2 Algemeen beleid

 

2.1 Uitgangspunten

 

2.1.1. Fysieke beveiliging

  • 1.

    Buiten werkuren worden de van de leverancier ontvangen reisdocumenten, de ingehouden reisdocumenten, de opslagmedia, de documentatie en de overige materialen opgeslagen in een inbraak vertragende en brandwerende voorziening. Deze voorziening is in een af te sluiten ruimte geplaatst.

  • 2.

    De plaatsen waar de reisdocumenten, documentatie en de apparatuur zich bevinden, zijn uitgerust met een inbraakalarmeringssysteem;

  • 3.

    De RAAS (reisdocumenten aanvraag en archiefstation) apparatuur bevindt zich tijdens werktijden onder voortdurend toezicht, op een voor onbevoegden onbereikbare en afsluitbare plaats.

  • 4.

    De uit te reiken of ingehouden reisdocumenten, formulieren en overige materialen en documenten waar persoonsgegevens op voorkomen worden op een voor onbevoegden onbereikbare en afsluitbare plaats bewaard.

  • 5.

    De authenticatiekaart blijft ook tijdens de werkuren opgeslagen in de kluis. De authenticatiekaart mag alleen uit de kluis gehaald worden als het nodig is om het mobiel vingerafdrukopname-apparaat in het lokale netwerk van de uitgiftelocatie aan te sluiten.

  • 6.

    Het mobiel aanvraagstation (vingerafdrukopname-apparaat) wordt alleen buiten het gemeentehuis gebruikt om vingerafdrukken op te nemen bij huisbezoeken. Het apparaat mag alleen gebruikt worden voor personen die niet in staat zijn in persoon te verschijnen.

  • 7.

    Het mobiele aanvraagstation moet regelmatig op het netwerk worden aangesloten om eventuele updates te plaatsen;

  • 8.

    Een aanvraagstation of een mobiel vingerafdrukopname-apparaat staat gedurende de werkuren onder voortdurend toezicht van degene die bevoegd is tot het gebruik ervan en bevindt het zich buiten de werkuren in een voor onbevoegden onbereikbare, afsluitbare en bij voorkeur beveiligde ruimte.

  • 9.

    Als verplaatsing van uit te reiken documenten en overige materialen nodig is, wordt dit op een veilige manier gedaan, zodat onbevoegden er geen zicht op hebben.

  • 10.

    Direct bij de ontvangst en in het bijzijn van de bezorger wordt gecontroleerd of het doosje-/de doosjes met gepersonaliseerde reisdocumenten onbeschadigd zijn en de verzegeling intact is. Als er afwijkingen zijn bij de levering, bijvoorbeeld de verpakking is beschadigd of de inhoud stemt niet overeen met de levering die tevoren is aangekondigd, dan moet dit worden vastgelegd in een proces-verbaal.

 

2.1.2 Personeel

  • 11.

    Er worden minimaal twee medewerkers aangewezen als autorisatiebevoegde (ABR) en minimaal één lokaal beheerder;

  • 12.

    Er wordt een VOG van medewerkers gevraagd die werkzaam zijn in het aanvraag- en uitgifteproces;

  • 13.

    Medewerkers zijn voldoende opgeleid in identiteitsvaststelling en het signaleren van mogelijk misbruik;

  • 14.

    De medewerker die belast is met werkzaamheden in het RAAS ontvangt een persoonsgebonden identificatiekaart die in combinatie met een pincode toegang tot het reisdocumentenstation geeft;

  • 15.

    De medewerker tekent voor ontvangst van de persoonsgebonden identificatiekaart en bijbehorende pincode. Deze pincode wijzigt de medewerker direct na ontvangst. De autorisatiebevoegde ziet toe op naleving hiervan. De persoonsgebonden identificatiekaarten en pincodes mogen nooit uitgeleend of bekend gemaakt worden aan anderen.

  • 16.

    Persoonsgebonden identificatiekaarten worden altijd apart bewaard van de pincodes in een beveiligde ruimte.

  • 17.

    De pincodes van de authenticatiekaarten wordt periodiek gewijzigd en hiervan wordt een administratie bijgehouden;

  • 18.

    Persoonsgebonden identificatiekaarten worden in geen enkel geval uitgewisseld met andere medewerkers;

  • 19.

    Er worden geen onbevoegden in de RAAS ruimte toegelaten. Medewerkers die de ruimte moeten betreden om bijv. een vraag te stellen, worden toegelaten door de autorisatiebevoegde (ABR) en niet alleen in de ruimte gelaten.

 

2.1.3 Back-up RAAS

  • 20.

    Van de in de reisdocumentenmodule en de in het reisdocumentenstation opgeslagen gegevens wordt dagelijks een reservekopie gemaakt. Er wordt gebruik gemaakt van de door de Minister van BZK verstrekte back-up tapes. Per reisdocumentenstation worden 5 tapes verstrekt. Na het maken van de reservekopie wordt gecontroleerd of deze is geslaagd.

  • 21.

    Bij brand of verwoesting van een uitgiftelocatie kan het RAAS verloren gaan of onbruikbaar worden. Daarom moeten de twee oudste reservekopieën worden bewaard op de locatie van het RAAS, de drie meest recente reservekopieën moeten op een andere locatie worden bewaard in een inbraak werende en brandveilige ruimte.

  • 22.

    De back-up werkzaamheden worden uitgevoerd zoals beschreven in de procedure back-up en herstel, die er in voorziet dat reconstructie van de gegevens mogelijk is.

 

2.1.4 Functiescheiding

Volgens de PUN moet de volgende functiescheiding worden toegepast:

  • 23.

    Tussen de beveiligingsfunctionaris reisdocumenten en medewerkers die belast zijn met uitvoerende en beheertaken met betrekking tot reisdocumenten. De beveiligingsfunctionaris reisdocumenten mag niet betrokken zijn bij of verantwoordelijkheid dragen voor de procedures rondom reisdocumenten;

  • 24.

    Tussen de processen verstrekken, beheren en uitreiken, daarom zijn altijd 3 of meer personen betrokken om fraude te voorkomen en de medewerkers te beschermen tegen dwang of chantage. Als er geen functiescheiding kan worden toegepast wordt dit gemeld bij de beveiligingsfunctionaris en hiervan wordt een administratie bijgehouden.

  • Verstrekken is de beslissing van de ambtenaar of het document afgegeven mag worden, vóórdat de aanvraag naar het RAAS wordt verzonden, dit wordt gedaan aan de balie.

  • Beheren is het inklaren van de door de leverancier gemaakte reisdocumenten en het fysiek en administratief toevoegen aan de voorraad reisdocumenten, dit wordt gedaan door de RAAS-medewerker.

  • Uitreiken is het fysiek overhandigen van het document aan de aanvrager en het vermelden van het uitreiken in de reisdocumentenmodule. Dit wordt gedaan bij de receptie.

  • Door de medewerkers wordt er d.m.v. signalering in de reisdocumentenmodule op toegezien dat de uitreiking door een andere medewerker plaatsvindt.

 

2.1.5 Aanvraag en archivering

  • 25.

    Bij elke aanvraag wordt de identiteit van de aanvrager zorgvuldig vastgesteld;

  • 26.

    Bij elke aanvraag wordt vastgesteld of de aanvrager in het bezit is van de Nederlandse nationaliteit;

  • 27.

    Bij twijfel worden de vingerafdrukken van de aanvrager gecontroleerd;

  • 28.

    Elk overgelegd document wordt op echtheid gecontroleerd;

  • 29.

    Elke aanvraag wordt voor verzending op volledigheid gecontroleerd;

  • 30.

    Van rechtswege vervallen documenten worden geregistreerd in het basisregister reisdocumenten;

  • 31.

    Documenten worden aan het verkeer onttrokken als:

  • ze niet binnen drie maanden zijn afgehaald;

  • zijn ingeleverd;

  • moeten worden ingehouden op grond van artikel 54 van de Paspoortwet;

  • 32.

    Verlopen documenten worden aan het verkeer onttrokken door vernietiging of op de juiste wijze onbruikbaar gemaakt;

  • 33.

    Het reisdocument wordt niet terug gegeven als het van rechtswege is vervallen op grond van artikel 47, eerste lid, onder a, b, c, g, h of i, van de paspoortwet van rechtswege is vervallen, op grond van 54, eerste lid, onder b, c en e, van de paspoortwet is ingehouden, op grond van artikel 97, tweede lid, of artikel 98, eerste of tweede lid van de PUN van toepassing is;

  • 34.

    Bijlagen die bij de aanvraag horen zoals de vermissingsverklaring, toestemmingsverklaring of andere bewijsstukken worden 11 jaar bewaard;

  • 35.

    Meervoudige vermissingen worden volgens de circulaire ex artikel 24, onder b, Paspoortwet betreffende signaleringsprocedure vermoeden misbruik reisdocumenten afgehandeld;

  • 36.

    Bij vermoeden van misbruik, fraude of andere incidenten worden de beveiligingsfunctionaris, coördinator balie burgerzaken en de informatiebeheerder ingeschakeld. Afhankelijk van de situatie worden vervolgstappen genomen.

 

2.1.6 Bezorging van reisdocumenten

  • 37.

    Reisdocumenten worden op verzoek thuisbezorgd. De bezorgdienst van de reisdocumenten voldoet aan de in de circulaire bezorgproces reisdocumenten genoemde voorwaarden over o.a. bewaring, identiteitsvaststelling, vernietiging van ingenomen documenten, communicatie en bescherming van persoonsgegevens;

  • 38.

    De bezorgdienst wordt door de burgemeester gemandateerd voor bezorging. De burgemeester blijft verantwoordelijk voor de af te geven reisdocumenten, ook als deze aan de bezorger zijn meegegeven;

  • 39.

    De bezorgdienst heeft geen toegang tot de RAAS ruimte. De te bezorgen documenten worden in een aparte ruimte (niet voor onbevoegden toegankelijk) overhandigd;

  • 40.

    Bij calamiteiten, zoals het zoekraken van een document, wordt de contactpersoon van de gemeente onmiddellijk ingelicht. De contactpersoon meldt het incident bij de beveiligingsfunctionaris voor het bepalen van de vervolgstappen.

  • 41.

    Niet uitgereikte documenten worden terugbezorgd bij de gemeente;

  • 42.

    Het ministerie van BZK wordt geïnformeerd door de aangewezen contactpersoon van de gemeente, als:

  • er risico's worden vastgesteld voor de bezorger of de ontvangers van de reisdocumenten;

  • reisdocumenten tussen overdracht aan de bezorgdienst en uitreiking als gevolg van diefstal, vermissing of door andere oorzaak vermist zijn geraakt;

  • er sprake is van andere calamiteiten waarvan de gemeente vermoedt dat het ministerie van BZK moet worden geïnformeerd.

 

2.1.7 Procedures

Medewerkers zijn op de hoogte van wet- en regelgeving, procedures en werkbeschrijvingen over de volgende onderwerpen en passen deze toe op:

  • Aanvraag van reisdocumenten;

  • Uitreiking en vernietiging van documenten;

  • Registratie van pasjes en pincodes;

  • Fysieke beveiliging van apparatuur en overige documenten;

  • Ontvangst en transport van reisdocumenten;

  • Functiescheiding;

  • Voorraadbeheer;

  • Melden van incidenten;

  • Van rechtswege vervallen reisdocumenten;

  • Vermissing van documenten;

  • Afwijkingen in de voorraad;

  • Signalering van vermoedelijk misbruik van reisdocumenten.

 

3 Taken, verantwoordelijkheden en bevoegdheden

 

Verantwoordelijkheden burgemeester

In formele zin is de burgemeester verantwoordelijk voor de uitvoeringsprocessen van de reisdocumenten, ondanks het feit dat verschillende onderdelen van de processen zijn gedelegeerd.

 

Verantwoordelijkheden college van burgemeester en wethouders

Het College van B&W is verantwoordelijk voor de gemeente brede informatiebeveiliging.

 

Verantwoordelijkheden van de teammanager dienstverlening

De teammanager is verantwoordelijk voor het naleven van de maatregelen die in de PUN worden beschreven. Bij niet naleven van de maatregelen neemt hij/zij passende maatregelen. De teammanager zorgt voor bewustwording bij de medewerkers, deze worden periodiek geïnformeerd over de risico’s van misbruik en ontvreemding.

 

Verantwoordelijkheden van de beveiligingsfunctionaris

Volgens artikel 93 van de PUN 2001 moet er een beveiligingsfunctionaris door de Burgemeester worden aangewezen. De Beveiligingsfunctionaris is rechtstreeks verantwoording verschuldigd aan de Burgemeester waar het gaat om zijn beveiligingstaken. Hij is onafhankelijk van de taken en werkprocessen binnen het team Dienstverlening en heeft voldoende mogelijkheden om zijn taken goed te kunnen vervullen.

De beveiligingsfunctionaris is verantwoordelijk voor:

  • beheer van de beveiligingsvoorschriften voor reisdocumenten;

  • coördinatie en aansturen van de diverse beveiligingsprocessen;

  • (organiseren van) controle op de naleving van de diverse beveiligingsprocedures;

  • Organisatie van de fysieke controles in het aanvraagproces reisdocumenten;

  • jaarlijkse verslaglegging van het beveiligingsbeheer in het algemeen.

 

Van de aanwijzing of de vervanging van de Beveiligingsfunctionaris moet melding worden gedaan aan de Rijksdienst voor Identiteitsgegevens (RVIG).

 

Verantwoordelijkheden Lokaal beheerder

De lokaal beheerder is verantwoordelijk voor de juiste technische werking en inrichting van het reisdocumenten aanvraag en archiefstation (RAAS), het onderhoud van de apparatuur en de juiste verwerking van de back-up. Daarnaast meldt de lokaal beheerder technische storingen rechtstreeks bij de helpdesk van de producent.

 

Verantwoordelijkheden Informatiebeheerder

De informatiebeheerder is verantwoordelijk voor de uitvoering van de zelfevaluatie reisdocumenten en geeft gevraagd en ongevraagd advies over de procedures in het reisdocumentenproces.

 

Verantwoordelijkheden van de Autorisatie Bevoegde Reisdocumenten

De ABR legt rechtstreeks verantwoording af aan de burgemeester. Dit is opgenomen in artikel 79 van de PUN 2001. Van de aanwijzing of vervanging van een ABR wordt direct melding gedaan aan de leverancier en aan de Rijksdienst voor Identiteitsgegevens (RVIG). Er zijn tenminste twee ambtenaren aangewezen als autorisatiebevoegde.

De Autorisatie Bevoegde Reisdocumenten (ABR) is verantwoordelijk voor:

  • Beheer van de autorisaties (uitreiken, registreren, bewaring en toezicht houden op gebruik);

  • Voorraadbeheer t.a.v. reisdocumenten;

  • Vernietiging van de persoonlijke identificatiekaarten (IAR kaarten), als deze niet meer worden gebruikt. De persoon die de kaart niet meer gebruikt, tekent voor inlevering van de kaart;

  • Periodieke wijziging van de pincodes van de IAR kaarten en de registratie daarvan;

  • De controle op volledigheid van alle aanvragen van reisdocumenten;

  • Verzending van de aanvragen;

  • Afhandeling van meervoudige vermissingen en de signaleringsprocedure.

  •  

4 Zelfevaluatie reisdocumenten

Gemeenten voeren eenmaal per jaar een onderzoek uit naar de juiste uitvoering van de processen rond de afgifte van reisdocumenten. Hiervoor worden de vragenlijst in de Kwaliteitsmonitor van de Rijksdienst voor Identiteitsgegevens gebruikt en de vragenlijst uit de ENSIA applicatie gebruikt.

De managementrapportage die de Kwaliteitsmonitor genereert na het definitief invullen van de vragenlijst, moet (eventueel aangevuld met de bevindingen van de beveiligingsfunctionaris reisdocumenten en voorzien van een actieplan van de gemeente) ter kennis worden gebracht aan de het college van B&W. Het bestuursorgaan, de burgemeester, ondertekent de rapportage en stuurt deze tijdig naar de Rijksdienst voor Identiteitsgegevens.

 

De uitslagen van deze zelfevaluaties worden door de burgemeester (voor de reisdocumenten) naar de Rijksdienst voor Identiteitsgegevens (RvIG) gezonden en openbaar gemaakt via de webapplicatie Kwaliteitsmonitor. Die kwaliteitsmonitor is er ook voor de controle op de inhoudelijke kwaliteit van de gegevens.

 

De minister kan een nader onderzoek uitvoeren om de bevindingen te verifiëren.

 

5 Bijlagen

Bij dit informatiebeveiligingsbeleid horen procedures die zijn gebaseerd op wet- en regelgeving en zorgen voor een uniforme werkwijze. De volgende procedures maken deel uit van het Informatiebeveiligingsbeleid reisdocumenten:

 

  • Procedure aanvraag reisdocumenten

  • Procedure uitreiking van reisdocumenten

  • Procedure ontvangst en transport van reisdocumenten

  • Procedure back-up RAAS

  • Procedure fysieke beveiliging

  • Procedure melden van incidenten

  • Procedure functiescheiding

  • Procedure van rechtswege vervallen van reisdocumenten

  • Procedure afwijkingen in de voorraad

  • Procedure vermissing

  • Procedure voorraadbeheer

 

6 Vaststelling, intrekking en inwerkingtreding

 

Vaststelling

De burgemeester stelt dit Informatiebeveiligingsbeleid reisdocumenten vast met als doel:

  • het garanderen van de voorgeschreven continuïteit en bescherming van de beveiliging van het aan- en uitgifteproces reisdocumenten;

  • te voldoen aan de wettelijke voorschriften en regelgeving op het gebied van de reisdocumenten.

 

Intrekking

Met het vaststellen van dit beleid wordt het Informatiebeveiligingsplan Dienstverlening ingetrokken.

 

Inwerkingtreding

Dit beleid treedt in werking op de eerste dag na de datum van bekenmaking.

 

Citeertitel

Deze beleidsregel wordt aangehaald als: ‘Informatiebeveiligingsbeleid reisdocumenten’.

 

Aldus vastgesteld d.d. 24 september 2024

 

 

 

De burgemeester,

 

 

 

 

 

 

Naar boven