Beheerregeling gemeentelijke basisadministratie persoonsgegevens Heemstede 2012

Artikel 1. Begripsbepaling

Deze regeling verstaat onder;

• a.

  de Wet: de Wet gemeentelijke basisadministratie persoonsgegevens (stb.1994, 494);

• b.

  kwaliteitssteekproef: een controle op de inhoud van gegevenselementen aan de hand van de daaraan ten grondslag liggende brondocumenten en procedures, over een representatief aantal persoonslijsten;

• c.

  foutberichtenverslag: het automatisch door het systeem aangemaakte overzicht van fouten die ontdekt zijn in de over het netwerk binnenkomende berichten;

• d.

  autorisatie: het binnen de toepassingsprogrammatuur toekennen van het niveau van gebruikersmogelijkheden aan een persoon of afdeling of het binnen de toepassingsprogrammatuur toekennen van het niveau van gegevensverstrekking aan afnemers en derden;

• e.

  gemeentelijke basisadministratie persoonsgegevens: gemeentelijke basisadministratie persoonsgegevens (GBA) van de gemeente Heemstede;

• f.

  basisadministratie persoonsgegevens: geheel van gegevens in zowel de gemeentelijke GBA als in de landelijke voorziening (GBA-V).

Artikel 3.

De informatiebeheerder wijst functionarissen aan die worden belast met:

• -

  het gegevensbeheer;

• -

  het applicatiebeheer;

• -

  het systeembeheer;

• -

  de gegevensverwerking;

• -

  het beveiligingsbeheer;

• -

  het namens het gemeentebestuur afnemen van de in artikel 36, lid 2, onder sub e, van de Wet bedoelde verklaring.

Artikel 4.

De informatiebeheerder voorziet in:

• a.

  een jaarlijks werkplan waarin de beheeractiviteiten worden opgenomen;

• b.

  een jaarlijkse rapportage aan het gemeentebestuur over de bij a. bedoelde werkplan, waarbij tevens inzicht wordt gegeven in de kengetallen van de bijhoudings- en beheersprocedures;

• c.

  een jaarlijkse rapportage over de resultaten die voortvloeien uit de in artikel 11 bedoelde kwaliteitssteekproef;

• d.

  uitvoering van de driejaarlijkse 'periodieke audit GBA';

• e.

  administratieve beheersprocedures, voor zover hier niet door of bij de Wet in is voorzien;

• f.

  periodiek overleg tussen hem en de gegevens-, de applicatie-, de systeem-, de privacy- en de beveiligingsbeheerder;

• g.

  melding aan de gemeentesecretaris van inbreuken op de informatiebeveiliging;

• h.

  richtlijnen voor de bijhouding van de gemeentelijke basisadministratie persoonsgegevens.

Artikel 5.

De informatiebeheerder adviseert het college van burgemeester en wethouders als verantwoordelijke van de gemeentelijke basisadministratie persoonsgegevens over de navolgende aspecten die voortvloeien uit de gemeentelijke basisadministratie persoonsgegevens te weten:

• -

  kwaliteit van de gegevens;

• -

  persoonsinformatievoorziening;

• -

  beveiliging;

• -

  privacy.

Artikel 6.

De informatiebeheerder beslist:

• a.

  over de installatie van nieuwe of gewijzigde versies van het GBA toepassingssysteem;

• b.

  op verzoeken van binnengemeentelijke afnemers tot rechtstreekse toegang tot de basisadministratie persoonsgegevens.

Artikel 7.

De informatiebeheerder ziet er op toe dat:

• a.

  de in deze regeling opgenomen bepalingen worden nageleefd;

• b.

  de bij of krachtens de Wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding van de gemeentelijke basisadministratie persoonsgegevens worden nageleefd;

• c.

  de managementsamenvatting van de driejaarlijkse 'periodieke GBA-audit' ter kennis komt van het college van burgemeester en wethouders;

• d.

  dat alle in artikel 3 genoemde functionarissen op de hoogte zijn gesteld van de installatie van nieuwe of gewijzigde versies van het GBA toepassingsysteem en van de gevolgen van deze installatie;

• e.

  onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en neemt zo nodig maatregelen om herhaling te voorkomen.

Artikel 8.

De informatiebeheerder, of een door hem aan te wijzen functionaris opgesomd in artikel 3, neemt deel aan buitengemeentelijk overleg inzake onderwerpen die het beheer van de gemeentelijke basisadministratie persoonsgegevens aangaan.

Artikel 9.

De gegevensbeheerder is verantwoordelijk voor:

• a.

  de juistheid, actualiteit en betrouwbaarheid van de gegevens die opgenomen zijn of worden in de gemeentelijke basisadministratie persoonsgegevens;

• b.

  het beheer van documentatie op het gebied van de Wet en overige regelgeving op het gebied van de gemeentelijke basisadministratie persoonsgegevens.

Artikel 10.

De gegevensbeheerder is bevoegd vanuit de in artikel 9 bedoelde verantwoordelijkheid de gegevensverwerkers aanwijzingen te geven inzake de opname en bijhouding van gegevens in de gemeentelijke basisadministratie persoonsgegevens.

Artikel 11.

De gegevensbeheerder voorziet in een jaarlijkse kwaliteitssteekproef op het bestand van persoonslijsten van ingezetenen.

Artikel 12.

De gegevensbeheerder neemt deel aan het in artikel 4, onder f genoemde overleg.

Artikel 13.

De systeembeheerder is verantwoordelijk voor de continuïteit en het technisch onderhoud van het computersysteem waarop de GBA-toepassingsprogrammatuur is geïnstalleerd.

Artikel 14.

De systeembeheerder voorziet in:

• a.

  de fysieke beveiliging van het toepassingssysteem;

• b.

  uitwijkvoorzieningen;

• c.

  een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie dan de ruimte waarin de GBA apparatuur is opgesteld, bij voorkeur in een ander gebouw;

• d.

  de technische installatie van gewijzigde of nieuwe versies van het toepassingssysteem;

• e.

  de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daarover intern en met derden is overeengekomen;

• f.

  het transport, de veilige opslag van verwijderbare gegevensdragers en deugdelijke periodieke vernietiging daarvan;

• g.

  de logging in het toepassingssysteem voor de applicatiebeheerder, de systeembeheerder en de leverancier van het toepassingssysteem.

Artikel 15.

De systeembeheerder is bevoegd:

• a.

  direct maatregelen te treffen als de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is; hij is verplicht achteraf terzake te rapporteren aan de informatiebeheerder;

• b.

  aanwijzingen te geven over:

  • -

    beheer toepassingssystemen;

  • -

    beheer van bestanden;

  • -

    reconstructiemaatregelen.

Artikel 16.

De systeembeheerder neemt deel aan het in artikel 4, onder f genoemde overleg.

Artikel 17.

De applicatiebeheerder voorziet in:

• a.

  een planning van periodieke gegevensverstrekking die op basis van autorisatiebesluiten van de Minister van Binnenlandse Zaken en Koninkrijksrelaties wordt gedaan;

• b.

  de communicatie bij storingen in hard- en software;

• c.

  de bijhouding van een logboek met alle problemen, klachten en bijzondere gebeurtenissen, die bij het gebruik van het toepassingssysteem ontstaan, en tracht eventueel door inschakeling van de systeembeheerder of een derde voor een oplossing te zorgen;

• d.

  maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;

• e.

  de toekenning en schriftelijke vastlegging van de autorisatieniveau’s van actualiseringen aan de gegevensverwerkers, de gegevensbeheerder en de informatiebeheerder in overleg met de informatiebeheerder;

• f.

  de bijhouding van een verzameling van de autorisaties, die overeenkomstig dit artikel zijn toegekend;

• g.

  het testen en evalueren van nieuwe versies van het toepassingssysteem, alsmede het testen en evalueren van nieuwe apparatuur en de beoordeling van gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem.

• h.

  de voorlichting aan de gegevensverwerkers met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van het toepassingssysteem;

• i.

  de coördinatie van de werkzaamheden in geval van uitwijk;

• j.

  de vormgeving en inhoud van documenten, die rechtstreeks aan de gemeentelijke basisadministratie persoongegevens worden ontleend;

• k.

  de afhandeling van verzoeken omtrent managementgegevens;

• I.

  een zo spoedig mogelijke oplossing in geval van storingen binnen het toepassingssysteem, zonodig door inschakeling van een derde;

• m.

  de rechtstreekse toegang tot de basisadministratie persoonsgegevens van hiertoe bevoegde binnengemeentelijke afnemers;

• n.

  de logging van:

  • -

    medewerkers die gegevens raadplegen;

  • -

    medewerkers die gegevens muteren.

• o.

  melding van inbreuken op de informatiebeveiliging aan de informatiebeheerder.

Artikel 18.

De applicatiebeheerder is verantwoordelijk voor:

• a.

  de ondersteuning bij het gebruik van het toepassingssysteem;

• b.

  het tijdig opschonen van de gegevensbestanden van via het netwerk ontvangen berichten waarvan de cycli zijn afgehandeld;

• c.

  de technische afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de systematische gegevensverstrekking die plaatsvindt op basis van de Verordening Gemeentelijke basisadministratie persoonsgegevens op basis van een besluit van het college van burgemeester en wethouders;

• d.

  het beheer van de tabellen van de gemeentelijke basisadministratie persoonsgegevens;

• e.

  het beheer van de gebruikersdocumentatie.

Artikel 19.

De applicatiebeheerder is bevoegd:

• a.

  gegevensverwerkers en binnengemeentelijke afnemers die rechtstreeks toegang hebben tot de basisadministratie persoonsgegevens aanwijzingen te geven over het gebruik van het toepassingssysteem;

• b.

  over het gebruik van de basisadministratie persoonsgegevens gedragsregels op te stellen.

Artikel 20.

De applicatiebeheerder adviseert, na overleg met de informatiebeheerder, over gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen.

Artikel 21.

De applicatiebeheerder ziet erop toe dat voorgeschreven procedures worden nageleefd.

Artikel 22.

De applicatiebeheerder neemt deel aan:

• a.

  het overleg genoemd in artikel 4, onder f;

• b.

  het externe gebruikersoverleg.

Artikel 23.

De privacybeheerder voorziet in:

• a.

  de afhandeling van de verzoeken overeenkomstig artikel 102, 1e lid van de wet;

• b.

  de afhandeling van de verzoeken overeenkomstig artikel 102, 2e lid van de wet;

• c.

  de jaarlijkse bekendmaking als bedoeld in artikel 102, 5e lid van de wet;

• d.

  de behandeling van alle verzoekschriften die op basis van artikel 79, 103 en 104 van de wet worden ontvangen;

• e.

  de behandeling van verzoeken van binnengemeentelijke afnemers tot rechtstreekse toegang tot de basisadministratie persoonsgegevens.

Artikel 24.

De privacybeheerder is verantwoordelijk voor:

• a.

  de inhoudelijke afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de systematische gegevensverstrekking die plaatsvindt op grond van de Verordening gemeentelijke basisadministratie persoonsgegevens of op basis van een besluit van het college van burgemeester en wethouders;

• b.

  het dagelijks toezicht op de naleving van de privacyvoorschriften die voortvloeien uit de wet, de Verordening gemeentelijke basisadministratie persoonsgegevens en de Wet bescherming persoonsgegevens voor de basisadministratie persoonsgegevens.

Artikel 25.

De privacybeheerder is bevoegd:

• a.

  op grond van het in artikel 24, onder b, genoemde toezicht alle gebruikers van het toepassingssysteem aanwijzingen te geven;

• b.

  aan de op grond van artikel 23, onder e, geautoriseerde binnengemeentelijke afnemers toegang tot de basisadministratie persoonsgegevens te weigeren als deze de voorgelegde geheimhoudingsverklaring niet ondertekent;

• c.

  advies uit te brengen aan de informatiebeheerder over alle procedures en producten die betrekking hebben op de gemeentelijke basisadministratie persoonsgegevens, waarbij de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is.

Artikel 26.

De privacybeheerder is betrokken bij het bij of krachtens de wet gestelde en bij alle bezwaarschriftenprocedures, die voortvloeien uit genomen beslissingen op grond van de wet met daarbij behorende regelingen en de Wet bescherming persoonsgegevens, voor zover bescherming van de persoonlijke levenssfeer van de belanghebbende aan de orde is.

Artikel 27.

De privacybeheerder heeft het toezicht op de behandeling en afhandeling van verzoeken om gegevensverstrekking uit de gemeentelijke basisadministratie persoonsgegevens.

Artikel 28.

De privacybeheerder neemt deel aan het in artikel 4, onder f genoemde overleg.

Artikel 29.

De gegevensverwerker voorziet in:

• a.

  het verwerken van de gegevens overeenkomstig de krachtens de wet, middels het Logisch Ontwerp en handleiding uitvoeringsprocedures, voorgeschreven wijze, voorzover daartoe door de applicatiebeheerder is geautoriseerd;

• b.

  het verzamelen van de daartoe bestemde gegevens;

• c.

  de archivering van de brondocumenten op grond waarvan hij de gegevens heeft verwerkt;

• d.

  de behandeling van verzoeken als bedoeld in artikel 80, 81 en 82 van de wet;

• e.

  de behandeling van het netwerkverkeer, behalve de periodieke gegevensverstrekking;

• f.

  de behandeling van het foutberichtenverslag;

• g.

  de toetsing van de waarde die aan overgelegde brondocumenten kan worden toegekend aan de hand van artikel 36 van de wet en ziet erop toe dat geen gegevens worden verwerkt uit documenten waaraan bij of krachtens de wet geen "ontleningsstatus" is gegeven;

• h.

  de dagelijkse controle van in het systeem aangebrachte actualiseringen;

• i.

  de toezending van de hoofdlijnen van de gemeentelijke basisadministratiepersoonsgegevens conform artikel 78, 3e lid van de wet;

• j.

  de kennisgeving aan de geregistreerde voor wat betreft de verwerking van:

  • -

    wijziging van het naamgebruik;

  • -

    vervolginschrijving voor zover het betreft een binnengemeentelijke verhuizing en een vervolginschrijving die leidt tot opneming als ingeschrevene in de gemeentelijke basisadministratie persoonsgegevens;

• k.

  de toezending van de complete persoonslijst aan de geregistreerde ingeval van een:

  • -

    1e inschrijving in de gemeentelijke basisadministratie persoonsgegevens;

  • -

    een vervolginschrijving uit het buitenland.

Artikel 30.

De gegevensverwerker beslist op aangiften en / of verzoekschriften die op grond van de wet worden gedaan, voorzover hier niet op andere wijze in is voorzien.

Artikel 31.

De beveiligingsfunctionaris is verantwoordelijk voor het beheer van de beveiligingsvoorschriften voor de gemeentelijke basisadministratie persoonsgegevens.

Artikel 32.

De beveiligingsfunctionaris is bevoegd om medewerkers van de organisatie, die rechtstreeks toegang hebben tot de basisadministratie persoonsgegevens aanwijzingen te geven ten aanzien van beveiligingsvoorschriften, die voortvloeien uit de wet en de beveiligingsvoorschriften voor de gemeentelijke basisadministratie persoonsgegevens.

Artikel 33.

De beveiligingsfunctionaris ziet er op toe dat beveiligingsvoorschriften die voortvloeien uit de wet en de binnengemeentelijk vastgestelde beveiligingsvoorschriften en de in deze regeling opgenomen bepalingen inzake beveiliging worden nageleefd.

Artikel 34.

De beveiligingsfunctionaris adviseert de informatiebeheerder over:

• a.

  de beveiligingsaspecten, die uit de wet en de binnengemeentelijke beveiligingsvoorschriften voortvloeien; en

• b.

  de fysieke beveiliging in en om de ruimtes waar de hoofdcomputer en de overige componenten voor bijhouding van de gemeentelijke basisadministratie persoonsgegevens staan.

Artikel 35.

De beveiligingsfunctionaris voorziet jaarlijks in een verslag aan het college van burgemeester en wethouders over de activiteiten inzake het beveiligingsbeheer.

Artikel 36.

De beveiligingsbeheerder neemt deel aan het in artikel 4, onder f genoemde overleg.

Artikel 37.

De thans geldende beheerregeling Gemeentelijke basisadministratie Persoonsgegevens Heemstede 2009 wordt ingetrokken.

Artikel 38.

Deze regeling treedt in werking op de dag na vaststelling.

Artikel 39.

Deze beheerregeling wordt aangehaald als Beheerregeling gemeentelijke basisadministratie persoonsgegevens Heemstede 2012.

Artikel 40.

De beheerregeling ligt ter inzage bij de informatiebeheerder.