Permalink
PrintenPermanente link
Naar de actuele versie van de regeling
http://lokaleregelgeving.overheid.nl/CVDR20330
Naar de door u bekeken versie
http://lokaleregelgeving.overheid.nl/CVDR20330/2
Beheerregeling gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009
Geldend van 07-05-2009 t/m heden
Intitulé
Beheerregeling gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009Het college van burgemeester en wethouders van de gemeente Rotterdam,
Gelezen het voorstel van de algemeen directeur van Publiekszaken Rotterdam van 7 april 2009; kenmerk UB0903.005;
overwegende:
- -
dat het noodzakelijk is de hoofdlijnen van het beheer van de gemeentelijke basisadministratie persoonsgegevens (GBA) in een regeling vast te leggen;
- -
dat het gewaarborgd is dat de beperkte toegang van derden tot de GBA via een binnengemeentelijke afnemer overeenkomstig de Wet bescherming persoonsgegevens (Wbp) plaatsvindt;
gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;
Besluit vast te stellen:
Beheerregeling gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009
Hoofdstuk 1 Algemene bepalingen
Artikel 1
In deze regeling wordt verstaan onder:
|
a. |
GBA: |
gemeentelijke basisadministratie persoonsgegevens; |
|
b. |
de Minister: |
Minister van Binnenlandse Zaken en Koninkrijksrelaties; |
|
c. |
verantwoordelijke: |
het college van burgemeester en wethouders; |
|
d. |
beheerder: |
de algemeen directeur Publiekszaken Rotterdam; |
|
e. |
verordening GBA: |
verordening gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009; |
|
f. |
GBA-privacyregeling: |
privacyregeling voor de gemeentelijke basisadministratie Rotterdam 2009; |
|
g. |
LO: |
Logisch Ontwerp GBA beschrijft de minimaal te stellen functionele eisen aan de gemeentelijke GBA-systemen en aan het GBA-netwerk; |
|
h. |
HUP: |
Handleiding Uitvoeringsprocedures beoogt medewerkers van burgerzaken behulpzaam te zijn bij de aanleg en bijhouding van persoonslijsten in de GBA; |
|
i. |
Informatiebeveiligingsplan: |
het Informatiebeveiligingsplan GBA en waardedocumenten beschrijft het beleid, de interne organisatie en de jaarlijks te nemen maatregelen op het gebied van informatiebeveiliging, gebaseerd op een jaarlijks uit te voeren risicoanalyse; |
|
j. |
GBA audit: |
een driejaarlijkse controle op de integriteit van de persoonsgegevens; |
|
k. |
toepassingssysteem: |
het geheel van softwareprogramma’s dat de gemeente toepast voor het inrichten, bijhouden en gebruiken van de GBA; |
|
l. |
autorisatie: |
het toekennen van het niveau van gebruikersmogelijkheden aan een persoon of het toekennen van het niveau van gegevensverstrekking aan afnemers en derden binnen het toepassingssysteem; |
|
m. |
persoonslijst: |
het geheel van gegevens dat over een persoon in de GBA is opgenomen; |
|
n. |
foutverslag: |
het door het toepassingssysteem aangemaakte overzicht van fouten die ontdekt zijn in de over het netwerk binnenkomende berichten; |
|
o. |
foutenlijst: |
het door het toepassingssysteem aangemaakte overzicht van foutieve elementen op de persoonslijsten die zich in de GBA bevinden; |
|
p. |
informatiebeheer: |
het geheel van activiteiten gericht op de beleidsvoorbereiding ter zake van de GBA, de ontwikkeling van kwaliteit-, beveiliging-, verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures; |
|
q. |
beveiligingsbeheer: |
het geheel van activiteiten gericht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan; |
|
r. |
privacybeheer: |
het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en verwerken van gegevens en de informatievoorziening; |
|
s. |
gegevensbeheer: |
het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen en verwerken van gegevens en de informatievoorziening; |
|
t. |
gegevensverwerking: |
het ontlenen van gegevens aan documenten en deze op een voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opnemen in een gegevensbestand; |
|
u. |
applicatiebeheer: |
het geheel van activiteiten gericht op het ondersteunen van het toepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening; |
|
v. |
systeembeheer: |
het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingsysteem. |
Artikel 2
-
1. De algemeen directeur van Publiekszaken Rotterdam is beheerder van de GBA en in die hoedanigheid informatiebeheerder.
-
2. De algemeen directeur van Publiekszaken Rotterdam kan de taak van informatiebeheerder geheel of gedeeltelijk mandateren aan één of meer ondergeschikte ambtenaren.
Artikel 3
-
1. De informatiebeheerder wijst functionarissen aan die worden belast met:
- a.
het beveiligingsbeheer;
- b.
het privacybeheer;
- c.
het gegevensbeheer;
- d.
de gegevensverwerking;
- e.
het applicatiebeheer;
- f.
het systeembeheer;
- a.
-
2. de uitvoering van het in het eerste lid onder a tot en met f genoemde beheer kan door de informatiebeheerder worden verdeeld over meerdere functionarissen.
Hoofdstuk 2 Het informatiebeheer
Artikel 4
De informatiebeheerder voorziet in:
- a.
een jaarlijkse planning van de beheeractiviteiten;
- b.
een jaarlijkse rapportage aan de verantwoordelijke over de onder a bedoelde planning, waarbij inzicht wordt gegeven in de kengetallen van beheerprocedures;
- c.
een jaarlijkse rapportage over de resultaten die voortvloeien uit de in artikel 19 van deze regeling genoemde kwaliteitssteekproef;
- d.
richtlijnen voor de bijhouding van de GBA;
- e.
uitvoering van de driejaarlijkse GBA audit;
- f.
administratieve beheerprocedures, voor zover hier niet bij wet in is voorzien;
- g.
minimaal één keer per jaar overleg met de gegevens-, de applicatie-, de systeem-, de privacy- en de beveiligingsbeheerder;
- h.
melding aan de verantwoordelijke van inbreuken op de informatiebeveiliging.
Artikel 5
De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten voortvloeiende uit de wet GBA:
- a.
beveiliging;
- b.
kwaliteit van de gegevens;
- c.
persoonsinformatievoorziening;
- d.
privacy;
- e.
personeelsaangelegenheden.
Artikel 6
De informatiebeheerder beslist:
- a.
over de installatie van nieuwe of gewijzigde versies van het toepassingssysteem;
- b.
op incidentele verzoeken van binnengemeentelijke afnemers en derden tot het verkrijgen van gegevens uit de GBA;
- c.
over het toekennen van autorisaties.
Artikel 7
De informatiebeheerder ziet er op toe dat:
- a.
de bij of krachtens de Wet GBA opgelegde verplichtingen ten aanzien van inrichting en bijhouding, alsmede de beveiliging van de GBA worden nageleefd;
- b.
de in deze regeling opgenomen bepalingen worden nageleefd;
- c.
de behandeling en afhandeling van verzoeken om gegevensverstrekking uit de GBA geschiedt volgens de bepalingen uit de Wet GBA en de verordening GBA;
- d.
de verantwoordelijke in kennis wordt gesteld van de managementsamenvatting van de GBA audit;
- e.
alle in artikel 3 bedoelde functionarissen op de hoogte worden gesteld van de installatie van nieuwe of gewijzigde versies van het toepassingssysteem en van de gevolgen van deze installatie;
- f.
de beveiligingsvoorschriften voortvloeiende uit het Informatiebeveiligingsplan en de Wet GBA worden nageleefd;
- g.
onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en zonodig maatregelen worden getroffen om herhaling te voorkomen.
Hoofdstuk 3 Het beveiligingsbeheer
Artikel 8
De beveiligingsbeheerder is verantwoordelijk voor:
- a.
het vaststellen, beheren en onderhouden van het Informatiebeveiligingsplan;
- b.
het toezicht op de naleving van maatregelen en procedures voortkomend uit het Informatiebeveiligingsplan;
het periodiek (minimaal eenmaal per jaar) rapporteren aan de algemeen directeur van Publiekszaken Rotterdam en het college van burgemeester en wethouders.
Artikel 9
De beveiligingsbeheerder is bevoegd om aanwijzingen te geven met betrekking tot de beveiligingsvoorschriften voortvloeiende uit de Wet GBA en de Wbp aan medewerkers van:
- a.
Publiekszaken Rotterdam;
- b.
gedeconcentreerde stadswinkels;
- c.
afdelingen Burgerzaken van de deelgemeenten;
- d.
binnengemeentelijke afnemers;
- e.
derden als bedoeld in artikel 12, onder b.
Artikel 10
De beveiligingsbeheerder is verantwoordelijk voor:
- a.
de implementatie en de naleving van de beveiligingsvoorschriften voortvloeiende uit de Wet GBA, de Wbp en het Informatiebeveiligingsplan;
- b.
het advies aan de verantwoordelijke en de beheerder over beveiligingsaspecten voortvloeiende uit de Wet GBA, de Wbp en het Informatiebeveiligingsplan;
- c.
het jaarlijkse verslag over de activiteiten betreffende het beveiligingsbeheer.
Artikel 11
De beveiligingsbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
Hoofdstuk 4 Het privacybeheer
Artikel 12
De privacybeheerder ziet er op toe dat:
- a.
de privacyvoorschriften voortvloeiende uit de Wet GBA, de Wbp, de GBA verordening en de GBA privacyregeling worden nageleefd;
- b.
slechts toegang wordt verschaft tot gegevens uit de GBA aan derden door de binnengemeentelijke afnemer zoals genoemd in respectievelijk bijlage 1.1a, 1.1c en 1 onder 3 van de privacyregeling;
- c.
de Wbp wordt nageleefd door de afnemer genoemd onder b;
- d.
alle bij Publiekszaken Rotterdam ingediende verzoeken, gebaseerd op de Wbp, worden behandeld.
Artikel 13
-
1. De privacybeheerder is bevoegd tot het geven van aanwijzingen aan alle gebruikers van het toepassingssysteem op grond van artikel 12, onder a, b en c.
-
2. De privacybeheerder geeft gevraagd en ongevraagd advies over alle procedures en producten die betrekking hebben op de GBA, waarbij de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is aan de:
- a.
verantwoordelijke;
- b.
algemeen directeur Publiekszaken Rotterdam;
- c.
gemeentelijke privacyadviseur;
- d.
medewerkers van Publiekszaken Rotterdam;
- e.
medewerkers van gedeconcentreerde stadswinkels;
- f.
medewerkers van de afdelingen Burgerzaken van de deelgemeenten.
- a.
Artikel 14
De privacybeheerder ziet toe op de:
- a.
afhandeling van verzoeken overeenkomstig artikel 102, eerste en tweede lid van de Wet GBA;
- b.
jaarlijkse bekendmaking als bedoeld in artikel 102, vijfde lid van de Wet GBA;
- c.
behandeling van alle verzoekschriften op grond van artikel 79, 103, 104 en 109 van de Wet GBA;
- d.
behandeling van verzoeken van binnengemeentelijke afnemers tot systematische gegevensverstrekking en rechtstreekse toegang tot de GBA en de systematische gegevensverstrekking op grond van de GBA privacyregeling;
- e.
inhoudelijke afhandeling van de periodieke gegevensverstrekking die plaatsvindt op grond van een autorisatiebesluit van de Minister.
Artikel 15
De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures, die voortvloeien uit genomen beslissingen op grond van de Wet GBA, de Wbp en regelgeving voortvloeiende uit de Wet GBA, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.
Artikel 16
De privacybeheerder neemt deel aan het overleg als bedoeld in artikel 4, onder g.
Hoofdstuk 5 Het gegevensbeheer
Artikel 17
-
1. De gegevensbeheerder is verantwoordelijk voor:
- a.
de juistheid, de volledigheid, de actualiteit, de nauwkeurigheid en de betrouwbaarheid van de gegevens die opgenomen zijn of opgenomen worden in de GBA;
- b.
het beheer van documentatie op het gebied van de Wet GBA en overige regelgeving op het gebied van de GBA;
- c.
het beheer van documentatie bij of krachtens de in Wbp gestelde;
- d.
de communicatie met de afnemers en andere houders van gemeentelijke basisadministraties over gegevensverwerking.
- a.
-
2. De gegevensbeheerder is bevoegd om, in overleg met de applicatiebeheerder, aanwijzingen te geven inzake de opname en de bijhouding van gegevens in de GBA.
Artikel 18
De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt eenmaal in de drie jaar onderworpen aan een audit door een namens de Minister aangewezen auditinstelling.
Artikel 19
De gegevensbeheerder voorziet in een doorlopende kwaliteitssteekproef en de uitvoering van de daarmee samenhangende verbetermaatregelen gericht op het welslagen van de eerder vermelde audit.
Artikel 20
De gegevensbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
Hoofdstuk 6 De gegevensverwerking
Artikel 21
-
1. De gegevensverwerker is verantwoordelijk voor:
- a.
de verwerking van de gegevens op de wijze, bedoeld in de Wet GBA, het LO en de HUP, voor zover daartoe door de applicatiebeheerder geautoriseerd;
- b.
het verzamelen en het laten archiveren van de brondocumenten, die voor de onder a bedoelde verwerking worden gebruikt;
- c.
de behandeling van verzoeken als bedoeld in de artikelen 80, 81 en 82 van de Wet GBA;
- d.
de toetsing van de waarde die aan overgelegde brondocumenten worden toegekend op grond van artikel 36 van de Wet GBA;
- e.
het toezicht dat geen gegevens worden verstrekt uit documenten waaraan bij of krachtens de Wet GBA geen ontleningsstatus is gegeven;
- f.
de verzending van bezwaarschriften als bedoeld in artikel 83 van de Wet GBA, naar de Algemene Bezwaarschriftencommissie van de gemeente Rotterdam;
- g.
de behandeling van het GBA netwerkverkeer, met uitzondering van de periodieke gegevensverstrekking;
- h.
de behandeling van het foutverslag dat voortvloeit uit inkomende netwerkberichten;
- i.
de dagelijkse controle van in het toepassingssysteem aangebrachte actualiseringen;
- j.
de toezending van de complete persoonslijst aan de geregistreerde, ingeval van:
- 1°
een eerste inschrijving in de GBA;
- 2°
een vervolginschrijving uit het buitenland;
- 1°
- k.
de toezending van de hoofdlijnen van de GBA op grond van artikel 78, lid 3 van de Wet GBA.
- a.
-
2. De gegevensverwerker beslist op aangiften of verzoekschriften op grond van de Wet GBA, voor zover hier niet op andere wijze in is voorzien.
Hoofdstuk 7 Het applicatiebeheer
Artikel 22
De applicatiebeheerder is verantwoordelijk voor:
- a.
de technische ondersteuning bij het gebruik van het toepassingssysteem;
- b.
het tijdig opschonen van de relevante bestanden in de database;
- c.
de technische afhandeling van:
- 1°
de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister;
- 2°
de systematische gegevensverstrekking die plaatsvindt op basis van een besluit van de verantwoordelijke krachtens de privacyregeling;
- 1°
- d.
het technisch beheer van de tabellen van het toepassingssysteem;
- e.
het beschikbaar stellen van de gebruikersdocumentatie.
Artikel 23
De applicatiebeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in hoofdstuk 6 van deze regeling, de binnengemeentelijke afnemers die rechtstreeks toegang hebben tot de GBA en de in artikel 12, onder b, van deze regeling genoemde derden.
Artikel 24
De applicatiebeheerder voorziet in:
- a.
een planning van periodieke gegevensverstrekking die op grond van het autorisatiebesluit van de Minister wordt gedaan;
- b.
communicatie met de gebruikers en leveranciers bij storingen in hard- en software;
- c.
een bijdrage aan het oplossen van storingen binnen het toepassingssysteem;
- d.
maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;
- e.
het bijhouden van een logboek waarin problemen, klachten en andere bijzondere gebeurtenissen worden bijgehouden;
- f.
de coördinatie van de werkzaamheden in geval van uitwijk in overleg met de systeembeheerder;
- g.
de toegang tot de GBA van hiertoe bevoegde binnengemeentelijke afnemers;
- h.
de toegang tot de, in bijlage 1.1.a en 1.1 c van de privacyregeling, opgenomen gegevens van de in artikel 12, onder b, van deze regeling genoemde derden;
- i.
het faciliteren en vastleggen van de autorisatieniveaus die aan gegevensverwerkers, binnengemeentelijke afnemers en de in artikel 12, onder b, van deze regeling genoemde derden zijn toegewezen;
- j.
het bijhouden van de autorisaties die zijn toegekend voor gegevensverwerking;
- k.
rechtstreekse toegang aan gegevensverwerkers, binnengemeentelijke afnemers en de in artikel 12, onder b, van deze regeling genoemde derden;
- l.
het bijhouden van een logboek ten aanzien van gebruikers die gegevens raadplegen en gegevens muteren;
- m.
de melding van inbreuken op de informatiebeveiliging aan de informatiebeheerder;
- n.
het beschikbaar stellen van faciliteiten voor het testen van nieuwe versies van het toepassingssysteem;
- o.
het installeren en het testen van nieuwe apparatuur;
- p.
de beoordeling van de gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem;
- q.
de voorlichting aan de gegevensverwerkers, de binnengemeentelijke afnemers en in artikel 12, onder b, genoemde derden met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van het toepassingssysteem;
- r.
de vorm en inhoud van documenten die rechtstreeks aan de GBA worden ontleend;
- s.
de afhandeling van verzoeken om managementgegevens.
Artikel 25
De applicatiebeheerder adviseert de informatiebeheerder over:
- a.
de gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen zoals beschreven in de procedure uitwijk;
- b.
de installatie van nieuwe of gewijzigde versies van het toepassingssysteem.
Artikel 26
De applicatiebeheerder neemt deel aan het externe gebruikersoverleg en het overleg, bedoeld in artikel 4, onder g.
Hoofdstuk 8 Het systeembeheer
Artikel 27
De systeembeheerder is verantwoordelijk voor het technisch onderhouden van het toepassingssysteem.
Artikel 28
De systeembeheerder voorziet in:
- a.
de fysieke beveiliging van het toepassingssysteem;
- b.
de installatie van gewijzigde of nieuwe versies van het toepassingssysteem;
- c.
de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daaromtrent intern en met derden is overeengekomen;
- d.
adequate uitwijkvoorzieningen voor het toepassingssysteem;
- e.
een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie, welke zich bij voorkeur in een ander gebouw bevindt dan de ruimte waarin de GBA-apparatuur is opgesteld;
- f.
het transport en de veilige opslag van verwijderbare gegevensdragers en deugdelijke periodieke vernietiging van deze gegevensdragers;
- g.
het verschaffen van toegang tot het toepassingssysteem aan de applicatiebeheerder en de leverancier van het toepassingssysteem.
Artikel 29
De systeembeheerder is bevoegd tot:
- 1.
het treffen van maatregelen in overleg met de informatiebeheerder indien de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is.
- 2.
het geven van aanwijzingen omtrent:
- a.
het beheer van toepassingssystemen;
- b.
het beheer van bestanden;
- c.
de reconstructiemaatregelen.
- a.
Artikel 30
De systeembeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
Hoofdstuk 9 Slotbepalingen
Artikel 31
De Beheerregeling GBA Rotterdam 2005 wordt ingetrokken.
Artikel 32
Deze regeling treedt in werking op de eerste dag na de dagtekening van het Gemeenteblad waarin zij wordt geplaatst.
Artikel 33
Dit besluit wordt aangehaald als: Beheerregeling gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009.
Ondertekening
Aldus vastgesteld in de vergadering van 7 april 2009.
De secretaris
A.H.P. van Gils
De burgemeester
A. Aboutaleb
Bijlage behorende bij artikel 3 van deze regeling.
|
Verantwoordelijk voor: |
Functie: |
Vervanging in deze door: |
|
1. De inhoud, integriteit en toegankelijkheid van de gegevens in basisadministratie van de gemeente Rotterdam. |
Algemeen Directeur (Informatiebeheerder) |
Directeur Uitvoeringsorganisatie |
|
2. De controle en evaluatie van de maatregelen op het gebied van informatiebeveiliging. |
Business Controller (Beveiligingsbeheerder) |
Teamchef Financiën |
|
3. De bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de GBA zijn opgenomen. |
Hoofd Beleid & Strategie (Privacybeheerder) |
Hoofd Tweede Lijnsondersteuning |
|
4. Een juiste bijhouding van de GBA. |
Hoofd Tweede Lijnsondersteuning (Gegevensbeheerder) |
Teamchef Tweede Lijnsondersteuning |
|
5. Een tijdige en juiste verwerking van mutaties in de GBA en de distributie en opslag van de brondocumenten. |
Manager Stadswinkel Centrum (Gegevensverwerkers) |
Manager gedeconcentreerde stadswinkels |
|
6. Het technisch ondersteunen bij het gebruik van het toepassingssysteem. |
Hoofd Bedrijfsbureau (Applicatiebeheerder) |
Senior beheerder ICT (GBA) |
|
7. Het technisch onderhoud van het toepassingssysteem |
Hoofd Bedrijfsbureau (Systeembeheerder) |
Teamchef ICT |
Toelichting
Inleiding
In artikel 14 van de Wet GBA is opgenomen dat de hoofdlijnen van het beheer van de gemeentelijke basisadministratie persoonsgegevens moeten zijn beschreven, vastgelegd en voor een ieder ter inzage gelegd. Deze hoofdlijnen zijn:
de taakverdeling en de verantwoordelijkheidsverdeling binnen de gemeente;
de procedures inzake de bijhouding van en controle van GBA-gegevens;
de procedures inzake verstrekking van gegevens;
de procedures inzake verwerking van terugmeldingen;
het technisch beheer (procedure voor back-up, herstel en uitwijk).
Het college van burgemeester en wethouders (het college van B&W) legt de hoofdlijnen van het beheer van de GBA vast in de zogenaamde beheerregeling GBA. Deze regeling is voor het laatst op 17 april 2007 vastgesteld vanwege de naamswijziging van Dienst Burgerzaken in Publiekszaken Rotterdam. Aangezien de interne organisatie is gewijzigd, is het nodig een nieuwe beheerregeling vast te stellen. De beheerregeling GBA is een nadere invulling van de eisen omtrent beheer van de GBA zoals die onder meer vermeld staan in hoofdstuk 7 van het Logisch Ontwerp van de GBA.
De beheerregeling is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de GBA. De maatregelen op het procedurele en organisatorische vlak zijn in deze beheerregeling nader uitgewerkt.
In de beheerregeling zijn de werkzaamheden van de medewerkers die direct met de GBA werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de GBA wordt gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.
Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.
De beheerregeling GBA voorziet in de invulling van de volgende beheertaken:
- ·
informatiebeheer;
- ·
beveiligingsbeheer;
- ·
privacybeheer;
- ·
gegevensbeheer;
- ·
gegevensverwerking;
- ·
applicatiebeheer;
- ·
systeembeheer.
Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties moeten binnen de organisatiestructuur van PZR ingevoerd worden. Een aantal functies is eerder al benoemd. Nu een nieuwe beheerregeling GBA wordt vastgesteld worden de functies opnieuw ingevuld c.q. benoemd. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.
Hoofdstuk 1 Algemene bepalingen
In dit hoofdstuk worden definities gegeven van de belangrijke actoren en elementen in de beheerregeling.
Hoofdstuk 2 Het informatiebeheer
In dit hoofdstuk worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.
Het college van B&W is verantwoordelijk voor de verwerking van persoonsgegevens in de GBA. De algemeen directeur van PZR is beheerder van de GBA en in die hoedanigheid informatiebeheerder.
Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de GBA, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.
De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.
De in artikel 7c genoemde verantwoordelijkheid is gebaseerd op artikel 120a Wet GBA.
Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de GBA Audit wordt voldaan.
Hoofdstuk 3 Het beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van B&W en de portefeuillehouder, zo nodig zonder tussenkomst van de algemeen directeur Publiekszaken Rotterdam.
Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.
De beveiligingsbeheerder is verantwoordelijk voor:
- -
Voorbereiding implementatie van het beveiligingsbeleid en –plan.
- -
Rapportage (per jaar) over de implementatie aan de portefeuillehouder en het college van burgemeester en wethouders.
- -
Rapportage van beveiligingsincidenten.
- -
Het beheer en toezicht op de naleving van de beveiligingsprocedures.
- -
Het minstens eenmaal per jaar verzorgen van het geven van voorlichting en instructie aan medewerkers door middel van toetsing van de opgestelde beveiligingsprocedures in de praktijk.
- -
Het introduceren en bekendmaken van nieuwe medewerkers met de beveiligingsprocedures.
De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan GBA en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:
- ·
relevante gemeentelijke regelgeving;
- ·
een risico- en maatregelenanalyse;
- ·
het informatiebeveiligingsbeleid;
- ·
een activiteitenplan voor te nemen maatregelen en uit te voeren controles en onderzoeken op het gebied van informatiebeveiliging;
- ·
alle beheerprocedures voor de GBA die aansluiten bij de vragenlijst GBA audit.
Over de fysieke beveiliging vindt overleg plaats met het hoofd Bedrijfsbureau.
Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de GBA die wordt verleend aan derden.
Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.
Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de GBA over beveiligingsvoorschriften uit de Wet GBA, het Informatiebeveiligingsplan en de Wbp .
Hoofdstuk 4 Het privacybeheer
De GBA is een registratie van personen waarop onder ‘normale’ omstandigheden de Wet bescherming persoonsgegevens (Wbp) van toepassing zou zijn. De Wet GBA kent echter een eigen stelsel van privacybescherming. Het college van B&W heeft als verantwoordelijke van de GBA te zorgen voor een zorgvuldige gegevensverstrekking.
Veel van de dagelijkse verstrekkingen zijn gebaseerd op wettelijke voorschriften zoals het Autorisatiebesluit buitengemeentelijke afnemer, bijzondere derden. Verstrekkingen aan vrije derden en binnengemeentelijke afnemers zijn geregeld in de verordening GBA en de GBA-privacyregeling voor de bevolkingsadministratie Rotterdam.
Het hoofd van de afdeling Beleid & Strategie is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.
Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening GBA en een GBA-privacyregeling. Op basis hiervan zijn de systematische verstrekkingen aan binnengemeentelijke afnemers, de toegang van die afnemers tot de GBA en de verbanden tussen de GBA en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.
Artikel 12 legt de verantwoordelijkheid voor het verschaffen van beperkte toegang aan derden op grond van de Wbp door een binnengemeentelijke afnemer expliciet bij de privacybeheerder. De toegang strekt zich slechts uit tot die gegevens die de derden nodig hebben om het beoogde doel te bereiken. Voor nadere uitwerking van het doel wordt verwezen naar de GBA-privacyregeling.
De privacybeheerder wordt als gevolg van de wijziging tevens verantwoordelijk geacht voor het toezicht op de implementatie en naleving van de Wbp door diezelfde binnengemeentelijke afnemer. Dit is nodig om de privacybeheerder in staat te stellen de zorgvuldige omgang met de persoonsgegevens uit de GBA in de relatie binnengemeentelijke afnemer en derden te kunnen beheersen.
Er wordt door de privacybeheerder tevens toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de Wbp hebben.
Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.
Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.
De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.
Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.
Hoofdstuk 5 Het gegevensbeheer
De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.
De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de GBA en de verantwoordelijkheid voor de documentatie rond de GBA. Deze bevoegdheden en verantwoordelijkheden worden geacht te zijn opgenomen in de functiebeschrijving van de functionaris.
De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de GBA. Hiervoor dient hij schriftelijke instructies te geven.
Hoofdstuk 6 De gegevensverwerking
Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de GBA is deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.
De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de GBA is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.
Artikel 21 verwijst in lid a naar de Wet GBA, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.
Hoofdstuk 7 Het applicatiebeheer
De applicatiebeheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van het toepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de GBA-applicatie heeft de regelgeving op het GBA-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de applicatiebeheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.
Bij PZR wordt een onderscheid gemaakt in functioneel en technisch applicatiebeheer. Het technisch applicatiebeheer is belegd bij het team ICT van het Bedrijfsbureau. Het functionele applicatiebeheer is ondergebracht bij de afdeling TLO.
Artikel 22 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de applicatiebeheerder.
Artikel 23 geeft de applicatiebeheerder de bevoegdheid aanwijzingen te geven.
Artikel 24 regelt de bevoegdheid van de applicatiebeheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de binnengemeentelijke afnemers en de derden die op grond van de Wbp beperkte toegang hebben tot de GBA.
Artikel 25 regelt de adviserende rol (aan de informatiebeheerder of systeembeheerder) in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.
Hoofdstuk 8 Het systeembeheer
Systeembeheer is ondergebracht bij team ICT van het Bedrijfsbureau. Systeembeheer is verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingssysteem. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.
De systeembeheerder moet tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers, alsmede de login van de applicatie- en systeembeheerder. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van het toepassingssysteem.
Hoofdstuk 9 Slotbepalingen
De Beheerregeling GBA 2005 wordt ingetrokken.
In artikel 33 is de citeertitel opgenomen.
Ziet u een fout in deze regeling?
Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.
Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl