ENSIA staat voor Eenduidige Normatiek Single Information Audit en betekent eenmalige informatieverstrekking en eenmalige IT-audit. Gemeenten moeten door middel van ENSIA elk jaar over de kwaliteit van de informatieveiligheid van diverse informatiesystemen verantwoording afleggen gebaseerd op de Baseline Informatiebeveiliging Nederlandse Gemeenten (BIG). Vanaf 2020 is dit normenkader vervangen door de Baseline Informatiebeveiliging Overheid (BIO). Met ENSIA is ook de verantwoordingssystematiek over de Basisregistratie Personen (BRP), paspoorten en Nederlandse identiteitskaarten (PNIK), Digitale persoonsidentificatie (DigiD), Basisregistratie Adressen en Gebouwen (BAG), Basisregistratie Grootschalige Topografie (BGT), Basisregistratie Ondergrond (BRO) en Inkomen (SUWInet) samengevoegd en gestroomlijnd. Uitgangspunt is het horizontale verantwoordingsproces aan de gemeenteraad. Dit vormt de basis voor het verticale verantwoordingsproces aan de nationale partijen die een rol hebben in het toezicht op informatieveiligheid.
Op hoofdlijnen ziet het ENSIA-verantwoordingsproces er als volgt uit:
• jaarlijks wordt een zelfevaluatie informatieveiligheid uitgevoerd,
• het college stelt hierover een collegeverklaring op,
• een IT-auditor controleert de collegeverklaring en stelt een assurance rapport op,
• het college rapporteert in het jaarverslag over de informatieveiligheid,
• de gemeenteraad wordt vertrouwelijk geïnformeerd via een separate rapportage informatieveiligheid,
• de gemeenteraad controleert de informatieveiligheid van de gemeente en stelt de jaarstukken vast.
DigiD en Suwinet
Op basis van de antwoorden uit de zelfevaluatie is er voor de DigiD en Suwi aansluitingen een concept-Collegeverklaring opgesteld. Een EDP auditor heeft vervolgens de zelfevaluatie en Collegeverklaring getoetst aan de geldende normen en vastgesteld dat:
• er voor de DigiD aansluiting met als kenmerk 999845(E-suite) een afwijking is geconstateerd door de auditor van de leverancier Dimpact. Er door de leverancier een ontwikkelplan opgesteld wordt waarbij redelijkerwijs kan worden aangenomen dat vóór 1 november 2021 aan de gehele testaanpak voor de norm kan worden voldaan, dan wel dat er afdoende maatregelen zijn genomen om die te mitigeren.
• voor de DigiD aansluiting met kenmerk 1002775(iBurgerzaken) en de Suwinet aansluiting voldaan wordt aan de gestelde normen.
Basisregistratie Adressen en Gebouwen (BAG)
De BAG is een onderdeel van het overheidsstelsel van basisregistraties. De BAG bevat gemeentelijke basisgegevens van alle adressen en gebouwen in een gemeente. Denk aan persoonsgegevens, namen en adressen van bedrijven en eigenaren van percelen. In verschillende wetten is de kwaliteit van deze gegevens gewaarborgd. Deze registraties zijn essentieel voor een goede dienstverlening van de overheid. Ze zijn van groot belang voor openbare orde en veiligheid, bestrijding van fraude en bij de voorbereiding van nieuw beleid. Organisaties met een publieke taak, zoals ministeries, waterschappen, politiekorpsen en veiligheidsregio's zijn verplicht de authentieke gegevens uit de registraties te gebruiken.
De BAG is vastgelegd in een wettelijke regeling, waarin onder andere kwaliteitsborging en privacybescherming zijn opgenomen. Gemeenten zijn “bronhouders” van de BAG. Zij zijn verantwoordelijk voor het opnemen van de gegevens in de BAG en voor de kwaliteit ervan. Uit de rapportage over de BAG blijkt, dat de gemeente Oost Gelre de maximale score van 100 % (205 punten) heeft gescoord.
Basisregistratie Grootschalige Topografie
De Basisregistratie Grootschalige Topografie (BGT) is een digitale kaart van Nederland waarop gebouwen, wegen, waterlopen, terreinen en spoorlijnen eenduidig zijn vastgelegd. De kaart is op 20 centimeter nauwkeurig en bevat veel details, zoals men die in de werkelijkheid ook ziet. Denk aan bomen, wegen, gebouwen, kortom: de inrichting van de fysieke omgeving. Nederlandse overheden (zoals gemeenten) zijn verplicht om de BGT te gebruiken in alle werkprocessen die een kaart als ondergrond vereisen. Zij gebruiken de BGT bijvoorbeeld voor het inplannen van groenbeheer, het in beeld brengen van de bevolkingssamenstelling, het presenteren van plannen voor stadsvernieuwing en het plannen van evacuatieroutes. De gemeente is verantwoordelijk voor het bijhouden van de informatie over hun eigen grondgebied, de gemeente is ook hier “bronhouder”. Dit alles gebeurt in opdracht en onder toezicht van het ministerie van Infrastructuur en Milieu. Uit de rapportage over de BGT blijkt dat de gemeente Oost Gelre de maximale score van 100% (150 punten) heeft behaald. Er wordt een minimale score van 110 punten (75%) vereist.
Basisregistratie Ondergrond (BRO)
Ook de BRO maakt onderdeel uit van de basisregistraties. De BRO bevat gegevens over geologische en bodemkundige opbouw van de Nederlandse ondergrond. In de komende jaren wordt de BRO stapsgewijs voltooid. Met ingang van 2019 is de BRO zelfcontrole ook een verplicht onderdeel van ENSIA. Uit de rapportage over de BRO blijkt dat de gemeente Oost Gelre 8 % (10 punten) van het maximaal aantal te behalen punten (120) scoort. Het afgelopen jaar is een start gemaakt met het op orde brengen van de verbeteringen. De huidige leidinggevende is gestart met het op orde brengen van verbeteringen. Dit vergt veel tijd aangezien de verbeteringen grote veranderingen in de werkwijze van de afdeling zullen betekenen.
Basisregistratie Personen
De Basisregistratie Personen (BRP) is eveneens onderdeel van het stelsel van basisregistraties van de Nederlandse overheid. Alle overheidsinstellingen en bestuursorganen (zoals bijvoorbeeld de Belastingdienst) zijn verplicht voor hun taken gebruik te maken van die gegevens. Het gaat daarbij onder andere om naam, geboortedatum, geboorteplaats, verblijfplaats en familierelaties. Aan de hand van de persoonsgegevens wordt bijvoorbeeld een identiteitskaart verstrekt of wordt de hoogte van een studietoelage berekend.
De Wet Basisregistratie Personen verplicht gemeenten om de inrichting, werking en beveiliging van de basisregistratie BRP jaarlijks te evalueren. Dat gebeurt deels (voor wat betreft informatiebeveiliging) via ENSIA, deels (via de Kwaliteitsmonitor) met een uitgebreide vragenlijst en een controle van de opgeslagen persoonsgegevens. De resultaten van het onderzoek zijn tijdig aan de Autoriteit Persoonsgegevens en aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) aangeboden.
De zelfevaluatie BRP bestaat uit twee delen. Een procesmatig gedeelte, dat aan de hand van een vragenlijst kijkt naar het procesmatige deel. Het tweede deel is het inhoudelijke controle waarbij aselect 50 persoonslijsten inhoudelijk gecontroleerd worden op juistheid van de gegevens. Voor wat betreft de kwaliteit van de persoonsgegevens scoort de gemeente Oost Gelre 100%. Ten aanzien van de processen is eveneens een score van 100% behaald.
Reisdocumenten
Ook de processen rondom paspoorten en Nederlandse identiteitskaarten worden jaarlijks geëvalueerd. Dit gebeurt, net als bij de BRP, deels via ENSIA en deels via een zelfevaluatie. De resultaten van het onderzoek zijn tijdig aan de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK) aangeboden.
De Kwaliteitsmonitor bevat meerdere vragenlijsten, waarvan er drie gericht zijn op het aanvraag- en uitgifteproces van paspoorten en Nederlandse identiteitskaarten. Voor de gemeente Oost Gelre werd op dit onderdeel een score van 100% (1.200 punten op een totaal van 1.200 punten) behaald. Hiermee wordt voldaan aan de gestelde norm.