Regeling vervallen per 01-01-2014

Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012

Geldend van 01-12-2012 t/m 31-12-2013

Intitulé

Het college van burgemeester en wethouders van de gemeente Rotterdam,

gelezen het voorstel van de concerndirecteur Dienstverlening van 9 oktober 2012 met kenmerk 998975;

overwegende dat:

-
het noodzakelijk is de hoofdlijnen van het beheer van de gemeentelijke basisregistratie personen in een regeling vast te leggen;
-
het gewaarborgd is dat de beperkte toegang van derden tot de gemeentelijke basisregistratie personen via een binnengemeentelijke afnemer overeenkomstig de Wet bescherming persoonsgegevens (Wbp) plaatsvindt;

gelet op artikel 5 van de Verordening gemeentelijke basisregistratie personen Rotterdam 2012 en artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;

besluit vast te stellen:

Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012

Paragraaf 1 Algemene bepalingen

Artikel 1

In deze regeling wordt verstaan onder:

a.
wet: Wet gemeentelijke basisadministratie persoonsgegevens;
b.
besluit: Besluit gemeentelijke basisadministratie persoonsgegevens;
c.
verantwoordelijke: college van burgemeester en wethouders;
d.
basisadministratie: geautomatiseerde verwerking van persoonsgegevens over de bevolking van de gemeente Rotterdam als bedoeld in artikel 2 van de wet;
e.
basisregistratie personen: basisadministratie aangevuld met de geautomatiseerde verwerking van personen die niet behoren tot de bevolking van de gemeente Rotterdam;
f.
ingeschrevene: degene ten aanzien van wie een persoonslijst als bedoeld in artikel 1 van de Wet in de basisadministratie is opgenomen;
g.
GBA-V: verstrekkingsvoorziening als bedoeld in artikel 66a van het Besluit;
h.
autorisatiebesluit: besluit als bedoeld in artikel 91, eerste lid, van de Wet betreffende de systematische verstrekking van persoonsgegevens uit de GBA-V of uit de basisadministraties van andere gemeenten;
i.
Publiekszaken: vakeenheid Publiekszaken van het cluster Dienstverlening;
j.
beheerder: functionaris die namens de verantwoordelijke is belast met de dagelijkse zorg voor de basisregistratie personen en het beheer van het autorisatiebesluit;
k.
informatiebeheer: geheel van activiteiten gericht op beleidsvoorbereiding ter zake de basisregistratie personen, de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures;
l.
beveiligingsbeheer: geheel van activiteiten gericht op het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan;
m.
gegevensbeheer: geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening;
n.
systeembeheer: geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingssysteem;
o.
applicatiebeheer: geheel van activiteiten gericht op het ondersteunen van het GBA-toepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening;
p.
privacybeheer: geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer bij het verzamelen en verwerken van persoonsgegevens in de basisregistratie personen en de informatievoorziening daaruit;
q.
gegevensverwerking: ontlenen van gegevens aan documenten en deze op een voorgeschreven wijze door middel van het daartoe bestemde toepassingssysteem opnemen in een gegevensbestand;
r.
systematische verkrijging: spontane verstrekking van mutaties op gegevens, hetzij elektronisch hetzij op papier;
s.
GBA: Gemeentelijke Basisadministratie;
t.
BRP: Basisregistratie personen.

Artikel 2

1. De concerndirecteur Dienstverlening is beheerder van de basis-registratie personen en in die hoedanigheid informatiebeheerder.
2. De concerndirecteur Dienstverlening kan de taak van informatie-beheerder geheel of gedeeltelijk mandateren aan één of meer ondergeschikte ambtenaren.

Artikel 3

1. De informatiebeheerder wijst functionarissen aan die worden belast met:
- a.
  het beveiligingsbeheer;
- b.
  het privacybeheer;
- c.
  het gegevensbeheer;
- d.
  de gegevensverwerking;
- e.
  het applicatiebeheer.
2. De uitvoering van het in het eerste lid onder a tot en met e genoemde beheer kan door de informatiebeheerder worden verdeeld over meerdere functionarissen;
3. Het systeembeheer wordt uitgevoerd door de Serviceorganisatie ICT Rotterdam.

Paragraaf 2 Informatiebeheer

Artikel 4

De informatiebeheerder voorziet in:

a.
een jaarlijkse planning van de beheeractiviteiten;
b.
een jaarlijkse rapportage aan de verantwoordelijke over de onder a bedoelde planning, waarbij inzicht wordt gegeven in de kengetallen van beheerprocedures;
c.
een jaarlijkse rapportage aan de informatiebeheerder over de resultaten die voortvloeien uit de in artikel 19 van deze regeling genoemde kwaliteitssteekproef;
d.
richtlijnen voor de bijhouding van de basisregistratie personen;
e.
uitvoering van de GBA audit;
f.
administratieve beheerprocedures, voor zover hier niet bij wet in is voorzien;
g.
periodiek overleg met de gegevens-, applicatie-, systeem-, privacy- en beveiligingsbeheerder;
h.
melding aan de verantwoordelijke van inbreuken op de informatiebeveiliging.

Artikel 5

De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten voortvloeiende uit de wet GBA:

a.
beveiliging;
b.
kwaliteit van de gegevens;
c.
persoonsinformatievoorziening;
d.
privacy;
e.
personeelsaangelegenheden.

Artikel 6

De informatiebeheerder beslist:

a.
over de installatie van nieuwe of gewijzigde versies van het toepassingssysteem;
b.
op verzoeken van binnengemeentelijke afnemers tot rechtstreekse toegang tot de basisregistratie personen en de GBA-V;
c.
op verzoeken van binnengemeentelijke afnemers en derden tot het verkrijgen van gegevens uit de basisregistratie personen;
d.
op verzoeken van binnengemeentelijke afnemers tot het systematisch verkrijgen van gegevens uit de basisregistratie personen;
e.
over het toekennen van autorisaties met betrekking tot het bepaalde in dit artikel, onder b, c en d.

Artikel 7

De informatiebeheerder ziet er op toe dat:

a.
de bij of krachtens de wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding, alsmede de beveiliging van de basisregistratie personen worden nageleefd;
b.
de in deze regeling opgenomen bepalingen worden nageleefd;
c.
de behandeling en afhandeling van verzoeken om gegevensverstrekking als genoemd in artikel 6 geschiedt volgens de bepalingen uit de wet, de verordening, de basisregistratie personen en de Wet bescherming persoonsgegevens;
d.
de bij of krachtens de wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding als mede de bijhouding van de gemeentelijke basisadministratie persoonsgegevens worden nageleefd;
e.
alle in artikel 3 bedoelde functionarissen, alsmede de systeembeheerder, op de hoogte worden gesteld van de installatie van nieuwe of gewijzigde versies van het toepassingssysteem en van de gevolgen van deze installatie;
f.
de beveiligingsvoorschriften voortvloeiende uit het Informatie-beveiligingsplan worden nageleefd;
g.
onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en zonodig maatregelen worden getroffen om herhaling te voorkomen.

Paragraaf 3 Beveiligingsbeheer

Artikel 8

De beveiligingsbeheerder is verantwoordelijk voor:

a.
het vaststellen, beheren en onderhouden van het Informatiebeveiligingsplan;
b.
het advies aan de verantwoordelijke en de beheerder over beveiligingsaspecten voortvloeiende uit de wet de Wet bescherming persoonsgegevens en het Informatiebeveiligingsplan;
c.
het toezicht op de naleving van maatregelen en procedures voortkomend uit het Informatiebeveiligingsplan.

Artikel 9

De beveiligingsbeheerder is bevoegd om aanwijzingen te geven met betrekking tot de beveiligingsvoorschriften voortvloeiende uit de wet en de Wet bescherming persoonsgegevens aan medewerkers van:
- a.
  Publiekszaken;
- b.
  stadswinkels en afdelingen Burgerzaken van deelgemeenten;
- c.
  binnengemeentelijke afnemers;
- d.
  derden als bedoeld in artikel 12, onder b.
Artikel 10

De beveiligingsbeheerder voorziet in:
- a.
  de implementatie en de naleving van de beveiligingsvoorschriften voortvloeiende uit de wet, de Wet bescherming persoonsgegevens en het Informatiebeveiligingsplan;
- b.
  het jaarlijkse verslag over de activiteiten betreffende het beveiligingsbeheer.
Artikel 11

De beveiligingsbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.

Paragraaf 4 Privacybeheer

Artikel 12

De privacybeheerder is verantwoordelijk voor:

a.
de naleving van de privacyvoorschriften voortvloeiende uit de wet, de Wet bescherming persoonsgegevens, de Verordening gemeentelijke basisregistratie personen Rotterdam 2012 en de Privacyregeling gemeentelijke basisregistratie personen Rotterdam 2012;
b.
slechts toegang wordt verschaft tot gegevens uit de basisregistratie aan derden door de binnengemeentelijke afnemer zoals genoemd in respectievelijk bijlage 1.1a, 1.1c en 1 onder 3 van de Privacyregeling basisregistratie personen Rotterdam 2012;
c.
de Wet bescherming persoonsgegevens wordt nageleefd door de afnemer genoemd onder b;
d.
alle bij Publiekszaken Rotterdam ingediende verzoeken, gebaseerd op de Wet bescherming persoonsgegevens, worden behandeld.

Artikel 13

1. De privacybeheerder is bevoegd tot het geven van aanwijzingen aan alle gebruikers van het toepassingssysteem op grond van artikel 12, onder a, b en c.
2. De privacybeheerder geeft gevraagd en ongevraagd advies over alle procedures en producten die betrekking hebben op de basisregistratie personen, waarbij de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is aan de:
- a.
  verantwoordelijke;
- b.
  concerndirecteur Dienstverlening;
- c.
  gemeentelijke privacyadviseur;
- d.
  medewerkers van Publiekszaken Rotterdam;
- e.
  medewerkers van stadswinkels;
- f.
  medewerkers van de afdelingen Burgerzaken van de deelgemeenten.

Artikel 14

De privacybeheerder ziet toe op de:

a.
afhandeling van verzoeken overeenkomstig artikel 102, eerste en tweede lid van de Wet GBA;
b.
jaarlijkse bekendmaking als bedoeld in artikel 102, vijfde lid van de wet;
c.
behandeling van alle verzoekschriften op grond van de artikelen 79, 103, 104 en 109 van de wet;
d.
behandeling van verzoeken van binnengemeentelijke afnemers tot systematische gegevensverstrekking en rechtstreekse toegang tot de basisregistratie personen en de systematische gegevensverstrekking op grond van de Privacyregeling gemeentelijke basisregistratie personen Rotterdam 2012;
e.
inhoudelijke afhandeling van de periodieke gegevensverstrekking die plaatsvindt op grond van een autorisatiebesluit van de Minister.

Artikel 15

De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures, die voortvloeien uit genomen beslissingen op grond van de wet, de Wet bescherming persoonsgegevens en regelgeving voortvloeiende uit de wet, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.

Artikel 16

De privacybeheerder neemt deel aan het overleg als bedoeld in artikel 4, onder g.

Paragraaf 5 Gegevensbeheer

Artikel 17

1. De gegevensbeheerder is verantwoordelijk voor:
a. de juistheid, de volledigheid, de actualiteit, de nauwkeurigheid en de betrouwbaarheid van de gegevens die opgenomen zijn of opgenomen worden in de basisregistratie personen;
b. het beheer van documentatie op het gebied van de wet en overige regelgeving op het gebied van de basisregistratie personen;
c. het beheer van documentatie bij of krachtens de in Wet bescherming persoonsgegevens gestelde;
d. de communicatie met de afnemers en andere houders van gemeentelijke basisadministraties over gegevensverwerking;
e. het verwerken van complexe mutaties en correcties met betrekking tot de basisadministratie;
f. het uitzetten van richtlijnen met betrekking tot het actualiseren en corrigeren van persoonsgegevens in de basisadministratie.
2. De gegevensbeheerder is bevoegd om, in overleg met de applicatiebeheerder, aanwijzingen te geven inzake de opname en de bijhouding van gegevens in de basisregistratie personen.

Artikel 18

De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt eenmaal in de drie jaar onderworpen aan een audit door een namens de Minister aangewezen auditinstelling.

Artikel 19

De gegevensbeheerder voorziet in een doorlopende kwaliteitssteekproef en de uitvoering van de daarmee samenhangende verbetermaatregelen gericht op het welslagen van de eerder vermelde audit.

Artikel 20

De gegevensbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.

Paragraaf 6 Gegevensverwerking

Artikel 21

1.
De gegevensverwerker is verantwoordelijk voor:
a.
de verwerking van de gegevens op de wijze, bedoeld in de wet, het Logisch Ontwerp en de handleiding uitvoeringsprocedures, voor zover daartoe door de applicatiebeheerder geautoriseerd;
b.
het verzamelen en het laten archiveren van de brondocumenten, die voor de onder a bedoelde verwerking worden gebruikt;
c.
de behandeling van verzoeken als bedoeld in de artikelen 80, 81 en 82 van de wet;
d.
de toetsing van de waarde die aan overgelegde brondocumenten worden toegekend op grond van artikel 36 van de wet;
e.
het toezicht dat geen gegevens worden verstrekt uit documenten waaraan bij of krachtens de wet geen ontleningsstatus is gegeven;
f.
de verzending van bezwaarschriften als bedoeld in artikel 83 van de Wet, naar de Algemene Bezwaarschriftencommissie van de gemeente Rotterdam;
g.
de behandeling van het GBA netwerkverkeer, met uitzondering van de periodieke gegevensverstrekking;
h.
de behandeling van het foutverslag dat voortvloeit uit inkomende netwerkberichten;
i.
de dagelijkse controle van in het toepassingssysteem aangebrachte actualiseringen;
j.
de toezending van de complete persoonslijst aan de geregistreerde, ingeval van:

1° een eerste inschrijving in de basisadministratie;

2° een vervolginschrijving uit het buitenland;

k.
de toezending van de hoofdlijnen van de GBA op grond van artikel 78, lid 3 van de wet;
2.
De gegevensverwerker beslist op aangiften of verzoekschriften op grond van de wet, voor zover hier niet op andere wijze in is voorzien.
3.
De gegevensverwerker beslist binnen vijf werkdagen op het in behandeling nemen van een melding van een afnemer die gerede twijfel heeft over de juistheid van een in de basisadministratie opgenomen (authentiek) gegeven en stelt de afnemer in kennis van deze beslissing.

Paragraaf 7 Applicatiebeheer

Artikel 22

De applicatiebeheerder is verantwoordelijk voor:

a.
de technische ondersteuning bij het gebruik van het toepassingssysteem;
b.
het tijdig opdracht geven aan de systeembeheerder tot het opschonen van de relevante bestanden in de database;
c.
de technische afhandeling van:

1° de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister;

2° de systematische gegevensverstrekking die plaatsvindt op basis van een besluit van de verantwoordelijke krachtens de privacyregeling;

d.
het technisch beheer van de tabellen van het toepassingssysteem;
e.
het beschikbaar stellen van de gebruikersdocumentatie.

Artikel 23

De applicatiebeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in paragraaf 6 van deze regeling, de binnengemeentelijke afnemers die rechtstreeks toegang hebben tot de basisregistratie personen en de in artikel 12, onder b, van deze regeling genoemde derden die toegang hebben tot de basisregistratie.

Artikel 24

De applicatiebeheerder voorziet in:

a.
een planning van periodieke gegevensverstrekking die op grond van het autorisatiebesluit van de Minister wordt gedaan;
b.
communicatie met de gebruikers en leveranciers bij storingen in hard- en software;
c.
een bijdrage aan het oplossen van storingen binnen het toepassings-systeem;
d.
maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;
e.
het bijhouden van een logboek waarin problemen, klachten en andere bijzondere gebeurtenissen worden bijgehouden;
f.
de coördinatie van de werkzaamheden in geval van uitwijk in overleg met de systeembeheerder;
g.
de toegang tot de basisregistratie personen van hiertoe bevoegde binnengemeentelijke afnemers;
h.
de toegang tot de, in bijlage 1.1.a en 1.1 c van de privacyregeling, opgenomen gegevens van de in artikel 12, onder b, van deze regeling genoemde derden;
i.
het faciliteren en vastleggen van de autorisatieniveaus die aan gegevensverwerkers, gegevensbeheerder, applicatiebeheerder, informatiebeheerder, binnengemeentelijke afnemers en de in artikel 12, onder b, van deze regeling genoemde derden die op grond van een besluit van de informatiebeheerder zijn toegewezen;
j.
de bijhouding van een dossier van de autorisaties, die overeenkomstig artikel 6 door de informatiebeheerder zijn toegekend;
k.
rechtstreekse toegang aan gegevensverwerkers, binnengemeentelijke afnemers en de in artikel 12, onder b, van deze regeling genoemde derden;
l.
het bijhouden van een logboek ten aanzien van gebruikers die gegevens raadplegen en gegevens muteren;
m.
de melding van inbreuken op de informatiebeveiliging aan de informatiebeheerder;
n.
het beschikbaar stellen van faciliteiten voor het testen van nieuwe versies van het toepassingssysteem;
o.
de opdracht geven aan de systeembeheerder tot het installeren en het testen van nieuwe apparatuur;
p.
de opdracht geven aan de systeembeheerder tot het installeren van nieuwe of gewijzigde versies van het toepassingssysteem;
q.
de beoordeling c.q. testen van de gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem in samenspraak met de systeembeheerder;
r.
de voorlichting aan de gegevensverwerkers, de binnengemeentelijke afnemers en in artikel 12, onder b, genoemde derden met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van het toepassingssysteem;
s.
de vorm en inhoud van documenten die rechtstreeks aan de GBA worden ontleend;
t.
de afhandeling van verzoeken om managementgegevens.

Artikel 25

De applicatiebeheerder adviseert de informatiebeheerder over:

a.
de gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen zoals beschreven in de procedure uitwijk;
b.
de installatie van nieuwe of gewijzigde versies van het toepassingssysteem;
c.
de installatie van nieuwe of gewijzigde versies van het toepassingssysteem.

Artikel 26

De applicatiebeheerder neemt deel aan het externe gebruikersoverleg en het overleg, bedoeld in artikel 4, onder g.

Paragraaf 8 Systeembeheer

Artikel 27

De systeembeheerder is verantwoordelijk voor het technisch onderhouden van het toepassingssysteem.

Artikel 28

De systeembeheerder voorziet in:

a.
de fysieke beveiliging van het toepassingssysteem;
b.
de installatie van gewijzigde of nieuwe versies van het toepassingssysteem na opdracht van de applicatiebeheerder;
c.
de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daaromtrent intern en met derden is overeengekomen;
d.
adequate uitwijkvoorzieningen voor het toepassingssysteem;
e.
een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie, welke zich bij voorkeur in een ander gebouw bevindt dan de ruimte waarin de GBA-apparatuur is opgesteld;
f.
het transport en de veilige opslag van verwijderbare gegevensdragers en deugdelijke periodieke vernietiging van deze gegevensdragers;
g.
het verschaffen van toegang tot het toepassingssysteem aan de applicatiebeheerder en de leverancier van het toepassingssysteem;
h.
het tijdig opschonen van de relevante bestanden in de database na opdracht van de applicatiebeheerder;
i.
de installatie en het testen van nieuwe apparatuur na opdracht van de applicatiebeheerder.

Artikel 29

De systeembeheerder is bevoegd tot:

1.
het treffen van maatregelen in overleg met de informatiebeheerder indien de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is; hij is verplicht achteraf ter zake te rapporteren aan de informatiebeheerder.
2.
het geven van aanwijzingen omtrent:
a.
het beheer van toepassingssystemen;
b.
het beheer van bestanden;
c.
de reconstructiemaatregelen.

Artikel 30

De systeembeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.

Paragraaf 9 Slotbepalingen

Artikel 31

De in deze regeling opgenomen bepalingen gelden voor de basisregistratie personen als bedoeld artikel 1 van de Verordening gemeentelijke basisregistratie personen Rotterdam 2012 evenals voor de daarin genoemde aangehaakte gegevens.

Artikel 32

1. Deze regeling treedt in werking op 1 december 2012.
2. De Beheerregeling Publiekszaken Rotterdam 2009 wordt ingetrokken.

Artikel 33

Deze regeling wordt aangehaald als Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012.

Aldus vastgesteld in de vergadering van 9 oktober 2012.

De secretaris, De burgemeester,

Ph. F. M. Raets J. Kriens, l.b.

Bijlage behorende bij artikel 3 van deze regeling.

Verantwoordelijk voor:	Functie:	Vervanging in deze door:
1.De inhoud, integriteit en toegankelijkheid van de gegevens in basisadministratie van de gemeente Rotterdam.	Concerndirecteur Dienstverlening (Informatiebeheerder)	Directeur Publiekszaken
2.De controle en evaluatie van de maatregelen op het gebied van informatiebeveiliging.	Business Controller (Beveiligingsbeheerder)	Controller andere vakeenheid binnen Cluster
3.De bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de GBA zijn opgenomen.	Hoofd Directieondersteuning (Privacybeheerder)	Manager Expertise Burgerzaken
4.Een juiste bijhouding van de GBA.	Manager Expertise Burgerzaken (Gegevensbeheerder)	Teamchef Expertise Burgerzaken
5.Een tijdige en juiste verwerking van mutaties in de GBA en de distributie en opslag van de brondocumenten.	Manager Dienstverlening Stadswinkels (Gegevensverwerkers)	Manager Dienstverlening IPT
6.Het technisch ondersteunen bij het gebruik van het toepassingssysteem.	Teamleider Applicatiebeheer van ICT diensten Rotterdam	Senior Technisch Applicatiebeheerder van ICT diensten Rotterdam
7.Het technisch onderhoud van het toepassingssysteem	Teamleider Technisch Beheer van ICT diensten Rotterdam	Senior beheerder van ICT diensten Rotterdam

Toelichting

Inleiding

In artikel 14 van de Wet GBA is opgenomen dat de hoofdlijnen van het beheer van de gemeentelijke basisadministratie persoonsgegevens moeten zijn beschreven, vastgelegd en voor een ieder ter inzage gelegd. Deze hoofdlijnen zijn:

· de taakverdeling en de verantwoordelijkheidsverdeling binnen de gemeente;

· de procedures inzake de bijhouding van en controle van GBA-gegevens;

· de procedures inzake verstrekking van gegevens;

· de procedures inzake verwerking van terugmeldingen;

· het technisch beheer (procedure voor back-up, herstel en uitwijk).

Het college van burgemeester en wethouders legt de hoofdlijnen van het beheer van de GBA vast in de zogenaamde beheerregeling GBA. Deze regeling is voor het laatst op 7 april 2009 vastgesteld vanwege de opname van de taken, verantwoordelijkheden en bevoegdheden van de beveiligingsbeheerder. Aangezien de interne organisatie is gewijzigd, is het nodig een nieuwe beheerregeling vast te stellen. De beheerregeling GBA is een nadere invulling van de eisen omtrent het beheer van de GBA zoals die onder meer vermeld staan in paragraaf 7 van het Logisch Ontwerp van de GBA.

De beheerregeling is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de GBA. De maatregelen op het procedurele en organisatorische vlak zijn in deze beheerregeling nader uitgewerkt.

In de beheerregeling zijn de werkzaamheden van de medewerkers die direct met de GBA werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de GBA wordt gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.

Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.

De beheerregeling GBA voorziet in de invulling van de volgende beheertaken:

·
informatiebeheer;
·
beveiligingsbeheer;
·
privacybeheer;
·
gegevensbeheer;
·
gegevensverwerking;
·
applicatiebeheer;
·
systeembeheer.

Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties moeten binnen de organisatiestructuur van PZR ingevoerd worden. Een aantal functies is eerder al benoemd. Nu een nieuwe beheerregeling GBA wordt vastgesteld worden de functies opnieuw ingevuld c.q. benoemd. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.

Paragraaf 1 Algemene bepalingen

In deze paragraaf worden definities gegeven van de belangrijke actoren en elementen in de beheerregeling.

Artikel 2

Het betreft hier het functioneel inhoudelijk beheer en het verstrekkingenbeheer van de basisregistratie personen, zoals die is gedefinieerd in artikel 1. De bronhouder beheert inhoud en kwaliteit van de gegevens in de basisadministratie en stelt tevens leveringsvoorwaarden (i.c. privacyvoorwaarden) aan de verstrekking van gegevens uit de basisadministratie.

De gegevensverstrekking binnen de gemeentelijke organisatie over niet-inwoners uit basisadministraties van andere gemeenten, dient gebaseerd te zijn op het autorisatiebesluit van de minister van Binnenlandse Zaken en Koninkrijksrelaties. Het beheer en de uitvoering van dat autorisatiebesluit, maken deel uit van het functioneel inhoudelijk en verstrekkingenbeheer van de basisregistratie personen.

De hier beschreven beheerrol is belegd bij concerndirecteur Dienstverlening. Van belang is hierbij op te merken dat voor de verstrekking van gegevens aan de binnengemeentelijke gebruikers, gebruik gemaakt wordt van het gegevensmagazijn waarvan het beheer niet bij de bronhouder is belegd, maar bij Het betreft hier een gegevensmagazijn, waar de BRP deel van uitmaakt. Hoewel in hiërarchische zin niet verantwoordelijk voor deze oplossing, blijft wel functioneel inhoudelijk verantwoordelijk. De functionaris bij de CIO office die belast is met de verstrekking van gegevens uit de BRP ontvangt functioneel inhoudelijke sturing van .

Paragraaf 2 Het informatiebeheer

In deze paragraaf worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.

Het college van B&W is verantwoordelijk voor de verwerking van persoonsgegevens in de GBA. De concerndirecteur Dienstverlening is beheerder van de GBA en in die hoedanigheid informatiebeheerder.

Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de GBA, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.

De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.

Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de GBA Audit wordt voldaan.

Paragraaf 3 Het beveiligingsbeheer

De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van B&W en de portefeuillehouder, zo nodig zonder tussenkomst van de directeur Publiekszaken .

Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.

De beveiligingsbeheerder is verantwoordelijk voor:

§
Voorbereiding implementatie van het beveiligingsbeleid en –plan.
§
Rapportage (per jaar) over de implementatie aan de portefeuillehouder en het college van burgemeester en wethouders.
§
Rapportage van beveiligingsincidenten.
§
Het beheer en toezicht op de naleving van de beveiligingsprocedures.
§
Het minstens eenmaal per jaar verzorgen van het geven van voorlichting en instructie aan medewerkers door middel van toetsing van de opgestelde beveiligingsprocedures in de praktijk.
§
Het introduceren en bekendmaken van nieuwe medewerkers met de beveiligingsprocedures.

De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.

De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan GBA en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:

·
relevante gemeentelijke regelgeving;
·
een risico- en maatregelenanalyse;
·
het informatiebeveiligingsbeleid;
·
een activiteitenplan voor te nemen maatregelen en uit te voeren controles en onderzoeken op het gebied van informatiebeveiliging.
·
alle beheerprocedures voor de GBA die aansluiten bij de vragenlijst GBA audit.

Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de GBA die wordt verleend aan derden.

Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.

Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de GBA over beveiligingsvoorschriften uit de Wet GBA, het Informatiebeveiligingsplan en de Wbp .

Paragraaf 4 Het privacybeheer

De GBA is een registratie van personen waarop onder ‘normale’ omstandigheden de Wet bescherming persoonsgegevens (Wbp) van toepassing zou zijn. De Wet GBA kent echter een eigen stelsel van privacybescherming. Het college van B&W heeft als verantwoordelijke van de GBA te zorgen voor een zorgvuldige gegevensverstrekking.

Veel van de dagelijkse verstrekkingen zijn gebaseerd op wettelijke voorschriften zoals het Autorisatiebesluit buitengemeentelijke afnemer, bijzondere derden. Verstrekkingen aan vrije derden en binnengemeentelijke afnemers zijn geregeld in de verordening gemeentelijke basisregistratie personen Rotterdam 2012 en de privacyregeling gemeentelijke basisregistratie personen Rotterdam 2012.

Het hoofd van Directie Ondersteuning is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.

Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening gemeentelijke basisregistratie personen en een privacyregeling gemeentelijke basisregistratie personen. Op basis hiervan zijn de systematische verstrekkingen aan binnengemeentelijke afnemers, de toegang van die afnemers tot de GBA en de verbanden tussen de GBA en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.

Artikel 12 legt de verantwoordelijkheid voor het verschaffen van beperkte toegang aan derden op grond van de Wbp door een binnengemeentelijke afnemer expliciet bij de privacybeheerder. De toegang strekt zich slechts uit tot die gegevens die de derden nodig hebben om het beoogde doel te bereiken. Voor nadere uitwerking van het doel wordt verwezen naar de privacyregeling gemeentelijke basisregistratie personen.

De privacybeheerder wordt als gevolg van de wijziging tevens verantwoordelijk geacht voor het toezicht op de implementatie en naleving van de Wbp door diezelfde binnengemeentelijke afnemer. Dit is nodig om de privacybeheerder in staat te stellen de zorgvuldige omgang met de persoonsgegevens uit de GBA in de relatie binnengemeentelijke afnemer en derden te kunnen beheersen.

Er wordt door de privacybeheerder tevens toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de Wbp hebben.

Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.

Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.

De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.

Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.

Paragraaf 5 Het gegevensbeheer

De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.

De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de GBA en de verantwoordelijkheid voor de documentatie rond de GBA. Deze bevoegdheden en verantwoordelijkheden worden geacht te zijn opgenomen in de functiebeschrijving van de functionaris.

De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de GBA. Hiervoor dient hij schriftelijke instructies te geven.

Paragraaf 6 De gegevensverwerking

Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de GBA deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.

De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de GBA is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.

Artikel 21 verwijst in lid a naar de Wet GBA, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.

Paragraaf 7 Het applicatiebeheer

De applicatiebeheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van het toepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de GBA-applicatie heeft de regelgeving op het GBA-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de applicatiebeheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.

Bij Publiekszaken worden bepaalde taken van applicatiebeheer in samenspraak met de Serviceorganisatie ICT Rotterdam uitgevoerd.

Artikel 22 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de applicatiebeheerder.

Artikel 23 geeft de applicatiebeheerder de bevoegdheid aanwijzingen te geven.

Artikel 24 regelt de bevoegdheid van de applicatiebeheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de binnengemeentelijke afnemers en de derden die op grond van de Wbp beperkte toegang hebben tot de basisregistratie personen.

Artikel 25 regelt de adviserende rol (aan de informatiebeheerder of systeembeheerder) in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.

Paragraaf 8 Het systeembeheer

Systeembeheer wordt uitgevoerd door de Serviceorganisatie ICT Rotterdam. Systeembeheer is verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingssysteem. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.

De systeembeheerder moet tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers, alsmede de login van de applicatie- en systeembeheerder. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van het toepassingssysteem.

Paragraaf 9 Slotbepalingen

De Beheerregeling GBA 2009 dient te worden ingetrokken.

In artikel 33 is de citeertitel opgenomen.

Ziet u een fout in deze regeling?

Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.

Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl

Inhoudsopgave

Permanente link

Naar de actuele versie van de regeling

Naar de door u bekeken versie

Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012

Intitulé

Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012

Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012

Paragraaf 1 Algemene bepalingen

Artikel 1

Artikel 2

Artikel 3

Paragraaf 2 Informatiebeheer

Artikel 4

Artikel 5

Artikel 6

Artikel 7

Paragraaf 3 Beveiligingsbeheer

Artikel 8

Paragraaf 4 Privacybeheer

Artikel 12

Artikel 13

Artikel 14

Artikel 15

Artikel 16

Paragraaf 5 Gegevensbeheer

Artikel 17

Artikel 18

Artikel 19

Artikel 20

Paragraaf 6 Gegevensverwerking

Artikel 21

Paragraaf 7 Applicatiebeheer

Artikel 22

Artikel 23

Artikel 24

Artikel 25

Artikel 26

Paragraaf 8 Systeembeheer

Artikel 27

Artikel 28

Artikel 29

Artikel 30

Paragraaf 9 Slotbepalingen

Artikel 31

Artikel 32

Artikel 33

Toelichting

Inleiding

Ziet u een fout in deze regeling?