Sinds 1 oktober 2001 is de nieuwe generatie reisdocumenten (NGR) ingevoerd. De eisen die in dit verband aan gemeenten worden gesteld, zijn terug te vinden in Paspoortuitvoeringsregeling Nederland 2001 (PUN 2001). Onderdeel van de PUN 2001 vormen de beveiligingseisen in de artikelen 90 t/m 95 en Beveiligingsnet 2001. Gemeenten dienen aan de hand van Beveiligingsnet jaarlijks een zelfevaluatie uit te voeren.
Gegeven onze ervaring bij Volvox bieden wij u hier een handig overzicht m.b.t. het PUN en Beveiligingsnet alsmede de consequenties van beide regelingen voor een gemeente.
In onderstaande figuur zijn de thans geldende uitgangspunten ten aanzien van de beveiliging van het reisdocumentenproces weergegeven. De kolommen in de figuur betreffen de uitgangspunten met betrekking tot de wet- en regelgeving, de implementatie van die wet- en regelgeving en de uitvoering van de geïmplementeerde wet- en regelgeving. Van onder naar boven zijn weergegeven het reisdocumentenproces als primair uitgangspunt, vervolgens het aspect beveiliging, de zelfevaluatie en het externe onderzoek.
Uit de figuur blijkt dat Beveiligingsnet meerdere functies vervult, zo niet meerdere doelen nastreeft:
Ten eerste is Beveiligingsnet normatief. Het document geeft op toetsbare wijze beveiligingsmaatregelen weer die zijn gebaseerd op de Paspoortwet en de PUN
Ten tweede reikt Beveiligingsnet aan hoe een zelfevaluatie dient te worden uitgevoerd
En ten derde kan Beveiligingsnet gebruikt worden bij het opzetten, invoeren of beoordelen van een beveiligingsplan.
Het voortbrengings- of primaire proces, ofwel het reisdocumentenproces, is het vertrekpunt. De Paspoortwet en de PUN zijn normatief ten aanzien van de inrichting van het reisdocumentenproces. De Paspoortwet en de PUN leggen vooral het accent op het ‘wat’ van het reisdocumentenproces.
PUN-artikelen 90 t/m 95 stellen eisen aan het aspect beveiliging in het reisdocumentenproces. In deze artikelen ligt het accent voornamelijk op het ‘wat’ van beveiliging.
Als gevolg van PUN-artikel 94, eerste en tweede lid, dienen gemeenten aan de hand van Beveiligingsnet jaarlijks een zelfevaluatie uit te voeren.
Artikel 94 van het PUN, derde lid, geeft aan dat een driejaarlijkse onderzoek dient plaats te vinden door een onafhankelijke derde partij. Het onderzoek ziet toe op de wijze waarop door een gemeente uitvoering is gegeven aan de zelfevaluatie. Het externe onderzoek dient een norm te hanteren die dus Beveiligingsnet als uitgangspunt heeft. Deze norm dient ontwikkeld te worden. Een groeipad kan in deze discussie overwogen worden, waarbij door middel van stapsgewijs uitgevoerd extern onderzoek wordt vastgesteld of aan deze norm wordt voldaan. Aanvullende overwegingen met betrekking tot het vaststellen van een norm zijn: onderscheid maken in het toetsen van opzet, bestaan en werking; onderscheid maken in wettelijke maatregelen en aanbevelingen (zie Beveiligingsnet); praktijkgedreven laten zijn, ofwel de nadruk leggen op de meest kritische onderdelen van het reisdocumentenproces, gevoed door bijvoorbeeld ervaringen met beveiligingsincidenten.
Hier kan gedacht worden aan richtlijnen in de vorm van referentiemodellen om de implementatie van het reisdocumentenproces bij gemeenten te ondersteunen. Via de richtlijnen kan gestuurd worden op zowel de opzet als de mate van gewenste volledigheid van beheersing van het primaire proces. Dit komt niet alleen de gemeenten ten goede maar ook elk onderzoek naar de mate van implementatie (inzichtelijkheid).
Onduidelijk is in hoeverre er richtlijnen zijn ten behoeve van de implementatie van beveiligingsaspecten. Deels wordt al voorzien in richtlijnen voor de implementatie van beveiliging: Beveiligingsnet toetst niet alleen de feitelijke beveiligingsmaatregelen, maar kan gebruikt kan worden bij het opzetten, invoeren of beoordelen van een beveiligingsplan. Verder kan hier stilgestaan worden bij het concept van een managementsysteem op het gebied van beveiliging t.b.v. het borgen van de implementatie. Enkele van de elementen van een managementsysteem komen we tegen in Beveiligingsnet. Nagegaan moet worden in hoeverre de elementen volledig en met elkaar in samenhang zijn, c.q. dat aanvullende elementen nodig zijn ten aanzien van de inrichting van een managementsysteem.
Naast de krachtens wet- en regelgeving voorgeschreven maatregelen bevat Beveiligingsnet aanbevelingen. Als alle wettelijke maatregelen zijn doorgevoerd, beschikt een gemeente over een voldoende beveiligingsniveau. Als daarboven alle aanbevelingen zijn doorgevoerd, beschikt de gemeente over een optimaal beveiligingsniveau. Het is zaak om daarbij wel op het volgende te letten. Beveiligingsnet beschijft hoe een zelfevaluatie moet worden uitgevoerd. Cruciaal is om de zelfevaluatie als onderdeel van de plan-do-check-act cyclus te zien. Overwogen kan worden om op termijn aanvullende bepalingen op dit terrein vast te stellen. Anders bestaat het gevaar dat de zelfevaluatie ten onrechte als een op zich zelf staande activiteit wordt gezien.
Eisen dienen te worden vastgesteld ten aanzien van de totale werkwijze voor het externe onderzoek, inclusief eisen te stellen aan aansturing, planning, rapportage en deskundigheid. De eisen dienen te worden vertaald naar een beschrijving van de onderzoekswerkwijze.