Permalink
PrintenPermanente link
Naar de actuele versie van de regeling
http://lokaleregelgeving.overheid.nl/CVDR322070
Naar de door u bekeken versie
http://lokaleregelgeving.overheid.nl/CVDR322070/1
Regeling vervallen per 22-05-2019
Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014
Geldend van 06-01-2014 t/m 21-05-2019
Intitulé
Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014
Het college van burgemeester en wethouders van de gemeente Rotterdam,
gelezen het voorstel van de concerndirecteur Dienstverlening van
17 december 2013; kenmerk 1277253;
overwegende dat:
- -
het noodzakelijk is de hoofdlijnen van het beheer van de gemeentelijke basisregistratie personen in een regeling vast te leggen;
- -
het gewaarborgd is dat de beperkte toegang van derden tot de gemeentelijke basisregistratie personen via een overheidsorgaan dat een orgaan is van de gemeente overeenkomstig de Wet bescherming persoonsgegevens (Wbp) plaatsvindt;
gelet op artikel 2 van de Verordening gegevensverstrekking basisregistratie personen Rotterdam 2014 en de artikelen 1.10 en 1.11 van de Wet basisregistratie personen;
besluit vast te stellen:
Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014
paragraaf 1 algemene bepalingen
Artikel 1
In deze regeling wordt verstaan onder:
- a.
wet: Wet basisregistratie personen;
- b.
verordening: Verordening gegevensverstrekking basisregistratie personen Rotterdam 2014;
- c.
regeling: Regeling gegevensverstrekking basisregistratie personen Rotterdam 2014;
- d.
BRP: Basisregistratie personen;
- e.
verantwoordelijke: het college van burgemeester en wethouders;
- f.
basisregistratie: basisregistratie personen, bedoeld in artikel 1.2 van de wet;
- g.
gemeentelijke basisregistratie personen: de geautomatiseerde verwerking van persoonsgegevens en aangehaakte gegevens over de bevolking van de gemeente Rotterdam;
- h.
ingeschrevene: degene ten aanzien van wie een persoonslijst in de basisregistratie is opgenomen;
- i.
ingezetene: de ingeschrevene, die zijn adres heeft in een gemeente in Nederland, op wiens persoonslijst niet het gegeven van zijn overlijden of van vertrek vanuit Nederland als actueel gegevens is opgenomen;
- j.
gemeentelijke voorziening: het gemeentelijk toepassingssysteem waarmee uitvoering wordt gegeven aan de Wet basisregistratie personen;
- k.
centrale voorziening: het landelijk toepassingssysteem waarmee door de Minister uitvoering wordt gegeven aan de Wet basisregistratie personen;
- l.
bijhoudingsgemeente: de gemeente waarvan het college van burgemeester en wethouders op grond van artikel 1.4 van de wet verantwoordelijk is voor de bijhouding van de persoonslijst;
- m.
inschrijfvoorziening: een voorziening als bedoeld in artikel 2.64 van de wet;
- n.
PZR: vakeenheid Publiekszaken van het cluster Dienstverlening;
- o.
autorisatiebesluit: een besluit als bedoeld in artikel 3.2 of artikel 3.3 van de wet;
- p.
zelfevaluatie: een periodiek onderzoek door de verantwoordelijke naar de inrichting, de werking en de beveiliging van de gemeentelijke voorziening als mede naar de juistheid van de gegevensverwerking;
- q.
beheerder: functionaris die namens de verantwoordelijke is belast met de dagelijkse zorg voor de gemeentelijke basisregistratie personen en het beheer van het autorisatiebesluit voor overheidsorganen die een orgaan zijn van de gemeente;
- r.
informatiebeheer: geheel van activiteiten gericht op beleidsvoorbereiding ter zake de basisregistratie personen, de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures;
- s.
beveiligingsbeheer: geheel van activiteiten gericht op het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan;
- t.
gegevensbeheer: geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening;
- u.
systeembeheer: geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingsysteem;
- v.
applicatiebeheer: geheel van activiteiten gericht op het ondersteunen van het GBA-toepassings-systeem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening;
- w.
privacybeheer: geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer bij het verzamelen en verwerken van persoonsgegevens in de basisregistratie personen en de informatievoorziening daaruit;
- x.
gegevensverwerking: ontlenen van gegevens aan documenten en deze op een voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opnemen in een gegevensbestand;
- y.
systematische verkrijging: spontane verstrekking van mutaties op gegevens, hetzij elektronisch hetzij op papier.
Artikel 2
-
1. De concerndirecteur Dienstverlening is beheerder van de gemeentelijke basisregistratie personen en in die hoedanigheid informatiebeheerder.
-
2. De concerndirecteur Dienstverlening kan de taak van informatiebeheerder geheel of gedeeltelijk mandateren aan één of meer ondergeschikte ambtenaren.
Artikel 3
-
1. De informatiebeheerder wijst functionarissen aan die worden belast met:
- a.
het beveiligingsbeheer;
- b.
het privacybeheer;
- c.
het gegevensbeheer;
- d.
de gegevensverwerking;
- e.
het applicatiebeheer.
- a.
-
2. Het systeembeheer wordt uitgevoerd door de Rotterdamse Service Organisatie.
paragraaf 2 informatiebeheer
Artikel 4
De informatiebeheerder voorziet in:
- a.
een jaarlijkse planning van de beheeractiviteiten;
- b.
een jaarlijkse rapportage aan de verantwoordelijke over de onder a bedoelde planning, waarbij inzicht wordt gegeven in de kengetallen van beheerprocedures;
- c.
een jaarlijkse rapportage aan de informatiebeheerder over de resultaten die voortvloeien uit de in artikel 19 van deze regeling genoemde kwaliteitssteekproef;
- d.
richtlijnen voor de bijhouding van de gemeentelijke basisregistratie personen;
- e.
uitvoering van de zelfevaluatie;
- f.
administratieve beheerprocedures, voor zover hier niet bij wet in is voorzien;
- g.
periodiek overleg met de gegevens-, de applicatie-, de systeem-, de privacy- en de beveiligingsbeheerder;
- h.
melding aan de verantwoordelijke van inbreuken op de informatiebeveiliging.
Artikel 5
De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten:
- a.
kwaliteit van de gegevens;
- b.
persoonsinformatievoorziening;
- c.
privacy;
- d.
personeelsaangelegenheden.
Artikel 6
De informatiebeheerder beslist:
- a.
over de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening;
- b.
op verzoeken van overheidsorganen die een orgaan zijn van de gemeente tot rechtstreekse toegang tot de gemeentelijke basisregistratie personen en de centrale voorziening;
- c.
op verzoeken van overheidsorganen die een orgaan zijn van de gemeente en derden tot het verkrijgen van gegevens uit de gemeentelijke basisregistratie personen;
- d.
op verzoeken van overheidsorganen die een orgaan zijn van de gemeente tot het systematisch verkrijgen van gegevens uit de gemeentelijke basisregistratie personen;
- e.
over het toekennen van autorisaties met betrekking tot het bepaalde in dit artikel, onder b, c en d.
Artikel 7
De informatiebeheerder ziet er op toe dat:
- a.
de bij of krachtens de wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding, alsmede de beveiliging van de basisregistratie personen en de gemeentelijke basisregistratie personen worden nageleefd;
- b.
de in deze regeling opgenomen bepalingen worden nageleefd;
- c.
de behandeling en afhandeling van verzoeken om gegevensverstrekking als genoemd in artikel 6 geschiedt volgens de bepalingen uit de wet, de verordening en de Wet bescherming persoonsgegevens;
- d.
alle in artikel 3 bedoelde functionarissen, alsmede de systeembeheerder op de hoogte worden gesteld van de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening en van de gevolgen van deze installatie;
- e.
de beveiligingsvoorschriften voortvloeiende uit het Informatiebeveiligingsplan worden nageleefd;
- f.
onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en zonodig maatregelen worden getroffen om herhaling te voorkomen.
Paragraaf 3 beveiligingsbeheer
Artikel 8
De beveiligingsbeheerder is verantwoordelijk voor:
- a.
het vaststellen, beheren en onderhouden van het Informatiebeveiligingsplan;
- b.
het advies aan de verantwoordelijke en de beheerder over beveiligingsaspecten voortvloeiende uit de wet, de Wet bescherming persoonsgegevens en het Informatiebeveiligingsplan;
- c.
het toezicht op de naleving van maatregelen en procedures voortkomend uit het Informatiebeveiligingsplan.
Artikel 9
De beveiligingsbeheerder is bevoegd om aanwijzingen te geven met betrekking tot de beveiligingsvoorschriften voortvloeiende uit de wet en de Wet bescherming persoonsgegevens aan medewerkers van:
- a.
Publiekszaken;
- b.
stadswinkels en afdelingen Burgerzaken van deelgemeenten;
- c.
overheidsorganen die een orgaan zijn van de gemeente;
- d.
derden als bedoeld in artikel 12, onder b.
Artikel 10
De beveiligingsbeheerder voorziet in:
- a.
de implementatie en de naleving van de beveiligingsvoorschriften voortvloeiende uit de wet, de Wet bescherming persoonsgegevens en het Informatiebeveiligingsplan;
- b.
het jaarlijkse verslag over de activiteiten betreffende het beveiligingsbeheer.
Artikel 11
- a.
De beveiligingsbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
Paragraaf 4 privacybeheer
Artikel 12
De privacybeheerder is verantwoordelijk voor:
- a.
de naleving van de privacyvoorschriften voortvloeiende uit de wet, de Wet bescherming persoonsgegevens, de verordening en de regeling;
- b.
slechts toegang wordt verschaft tot gegevens uit de basisregistratie aan derden door het overheidsorgaan dat een orgaan is van de gemeente zoals genoemd in respectievelijk bijlage 1.1a, 1.1c en 1 onder 3 van de regeling;
- c.
de Wet bescherming persoonsgegevens wordt nageleefd door de afnemer genoemd onder b;
- d.
alle bij Publiekszaken Rotterdam ingediende aanvragen, gebaseerd op de Wet bescherming persoonsgegevens, worden behandeld.
Artikel 13
-
1. De privacybeheerder is bevoegd tot het geven van aanwijzingen aan alle gebruikers van de gemeentelijke voorziening op grond van artikel 12, onder a, b en c.
-
2. De privacybeheerder geeft gevraagd en ongevraagd advies over alle procedures en producten die betrekking hebben op de basisregistratie personen en de gemeentelijke basisregistratie personen, waarbij de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is aan de:
- a.
verantwoordelijke;
- b.
concerndirecteur Dienstverlening;
- c.
gemeentelijke privacyadviseur;
- d.
medewerkers van Publiekszaken Rotterdam;
- e.
medewerkers van stadswinkels;
- f.
medewerkers van de afdelingen Burgerzaken van de deelgemeenten.
- a.
Artikel 14
De privacybeheerder ziet toe op de:
- a.
afhandeling van verzoeken overeenkomstig artikel 2.59 van de wet;
- b.
jaarlijkse bekendmaking als bedoeld in artikel 3.21, vijfde lid van de wet;
- c.
behandeling van alle verzoekschriften op grond van artikel 2.55, 3.22, 3.23 en 3.13 van de wet;
- d.
behandeling van aanvragen van overheidsorganen die een orgaan zijn van de gemeente tot systematische gegevensverstrekking en toegang tot de basisregistratie personen, de gemeentelijke basisregistratie personen en de systematische gegevensverstrekking op grond van de regeling.
Artikel 15
De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures, die voortvloeien uit genomen beslissingen op grond van de wet, de Wet bescherming persoonsgegevens en regelgeving voortvloeiende uit de wet, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.
Artikel 16
De privacybeheerder neemt deel aan het overleg als bedoeld in artikel 4, onder g.
Paragraaf 5 gegevensbeheer
Artikel 17
-
1. De gegevensbeheerder is verantwoordelijk voor:
-
a. de juistheid, de volledigheid, de actualiteit, de nauwkeurigheid en de betrouwbaarheid van de gegevens die opgenomen zijn of opgenomen worden in de basisregistratie personen en de gemeentelijke basisregistratie personen;
-
b. het beheer van documentatie op het gebied van de wet en overige regelgeving op het gebied van de basisregistratie personen en de gemeentelijke basisregistratie personen;
-
c. het beheer van documentatie bij of krachtens de in Wet bescherming persoonsgegevens gestelde;
-
d. de communicatie met de overheidsorganen en andere houders van gemeentelijke basisadministraties over gegevensverwerking;
-
e. het verwerken van complexe mutaties en correcties met betrekking tot de basisregistratie personen en de gemeentelijke basisregistratie personen;
-
f. het uitzetten van richtlijnen met betrekking tot het actualiseren en corrigeren van persoonsgegevens in de basisregistratie personen en de gemeentelijke basisregistratie personen.
-
2. De gegevensbeheerder is bevoegd om, in overleg met de applicatiebeheerder, aanwijzingen te geven inzake de opname en de bijhouding van gegevens in de basisregistratie personen en de gemeentelijke basisregistratie personen.
Artikel 18
De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt onderworpen aan de zelfevaluatie.
Artikel 19
De gegevensbeheerder voorziet in een doorlopende kwaliteitssteekproef en de uitvoering van de daarmee samenhangende verbetermaatregelen gericht op het welslagen van de eerder vermelde zelfevaluatie.
Artikel 20
De gegevensbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
Paragraaf 6 gegevensverwerking
Artikel 21
- 1.
De gegevensverwerker is verantwoordelijk voor:
- a.
de verwerking van de gegevens op de wijze, bedoeld in de wet, het Logisch Ontwerp en de handleiding uitvoeringsprocedures, voor zover daartoe door de applicatiebeheerder geautoriseerd;
- b.
het verzamelen en het laten archiveren van de brondocumenten, die voor de onder a bedoelde verwerking worden gebruikt;
- c.
de behandeling van verzoeken als bedoeld in de artikelen 2.56, 2.57 en 2.58 van de wet;
- d.
de toetsing van de waarde die aan overgelegde brondocumenten worden toegekend op grond van artikel 2.8 van de wet;
- e.
het toezicht dat geen gegevens worden verstrekt uit documenten waaraan bij of krachtens de wet geen ontleningsstatus is gegeven;
- f.
de verzending van bezwaarschriften als bedoeld in artikel 2.60 van de Wet, naar de Algemene Bezwaarschriftencommissie van de gemeente Rotterdam;
- g.
de behandeling van het BRP netwerkverkeer, met uitzondering van de periodieke gegevensverstrekking;
- h.
de behandeling van het foutverslag dat voortvloeit uit inkomende netwerkberichten;
- i.
de dagelijkse controle van in de gemeentelijke voorziening aangebrachte actualiseringen;
- j.
de toezending van de complete persoonslijst aan de geregistreerde, ingeval van:
1° een eerste inschrijving in de basisregistratie;
2° een vervolginschrijving uit het buitenland;
- k.
de toezending van de hoofdlijnen op grond van artikel 2.54, lid 3 van de wet;
- 2.
De gegevensverwerker beslist op aangiften of verzoekschriften op grond van de wet, voor zover hier niet op andere wijze in is voorzien.
- 3.
De gegevensverwerker beslist binnen 5 werkdagen op het in behandeling nemen van een melding van een bestuursorgaan als bedoeld in artikel 1.1:1 van de Algemene wet bestuursrecht, die gerede twijfel heeft over de juistheid van een in de basisregistratie personen opgenomen (authentiek) gegeven en stelt het bestuursorgaan in kennis van deze beslissing.
Paragraaf 7 applicatiebeheer
Artikel 22
De applicatiebeheerder is verantwoordelijk voor:
- a.
de technische ondersteuning bij het gebruik van de gemeentelijke voorziening;
- b.
het tijdig opdracht geven aan de systeembeheerder tot opschonen van de relevante bestanden in de database;
- c.
de technische afhandeling van de systematische gegevensverstrekking die plaatsvindt op basis van een besluit van de verantwoordelijke krachtens de regeling;
- d.
het technisch beheer van de tabellen van de gemeentelijke voorziening;
- e.
het beschikbaar stellen van de gebruikersdocumentatie.
Artikel 23
De applicatiebeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in paragraaf 6 van deze regeling, de overheidsorganen die een orgaan zijn van de gemeente, die rechtstreeks toegang hebben tot de basisregistratie personen en de in artikel 12, onder b, van deze regeling genoemde derden die toegang hebben tot de gemeentelijke basisregistratie.
Artikel 24
De applicatiebeheerder voorziet in:
- a.
communicatie met de gebruikers en leveranciers bij storingen in hard- en software;
- b.
een bijdrage aan het oplossen van storingen binnen de gemeentelijke voorziening;
- c.
maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;
- d.
het bijhouden van een logboek waarin problemen, klachten en andere bijzondere gebeurtenissen worden bijgehouden;
- e.
de coördinatie van de werkzaamheden in geval van uitwijk in overleg met de systeembeheerder;
- f.
de toegang tot de basisregistratie personen en de gemeentelijke basisregistratie personen van hiertoe bevoegde overheidsorganen die een orgaan zijn van de gemeente;
- g.
de toegang tot de, in bijlage 1.1.a en 1.1 c van de regeling, opgenomen gegevens van de in artikel 12, onder b, van deze regeling genoemde derden;
- h.
het faciliteren en vastleggen van de autorisatieniveaus die aan gegevensverwerkers, gegevensbeheerder, applicatiebeheerder, informatiebeheerder, overheidsorganen die een orgaan zijn van de gemeente en de in artikel 12, onder b, van deze regeling genoemde derden die op grond van een besluit van de informatiebeheerder zijn toegewezen;
- i.
de bijhouding van een dossier van de autorisaties, die overeenkomstig artikel 6 van deze regeling door de informatiebeheerder zijn toegekend;
- j.
toegang aan gegevensverwerkers, overheidsorganen die een orgaan zijn van de gemeente en de in artikel 12, onder b, van deze regeling genoemde derden;
- k.
het bijhouden van een logboek ten aanzien van gebruikers die gegevens raadplegen en gegevens muteren;
- l.
de melding van inbreuken op de informatiebeveiliging aan de informatiebeheerder;
- m.
het beschikbaar stellen van faciliteiten voor het testen van nieuwe versies van de gemeentelijke voorziening;
- n.
de opdracht geven aan de systeembeheerder tot het installeren en het testen van nieuwe apparatuur;
- o.
de opdracht geven aan de systeembeheerder tot het installeren van nieuwe of gewijzigde versies van de gemeentelijke voorziening;
- p.
de beoordeling c.q. testen van de gevolgen van de installatie van nieuwe en of gewijzigde versies van de gemeentelijke voorziening in samenspraak met de systeembeheerder;
- q.
de voorlichting aan de gegevensverwerkers, overheidsorganen die een orgaan zijn van de gemeente en in artikel 12, onder b, genoemde derden met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van de gemeentelijke voorziening;
- r.
de vorm en inhoud van documenten die rechtstreeks aan de BRP worden ontleend;
- s.
de afhandeling van verzoeken om managementgegevens.
Artikel 25
De applicatiebeheerder adviseert de informatiebeheerder over:
- a.
de gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen zoals beschreven in de procedure uitwijk;
- b.
de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening.
Artikel 26
De applicatiebeheerder neemt deel aan het externe gebruikersoverleg en het overleg, bedoeld in artikel 4, onder g.
paragraaf 8 systeembeheer
Artikel 27
De systeembeheerder is verantwoordelijk voor het technisch onderhoud van de gemeentelijke voorziening.
Artikel 28
De systeembeheerder voorziet in:
- a.
de fysieke beveiliging van de gemeentelijke voorziening;
- b.
de installatie van gewijzigde of nieuwe versies van de gemeentelijke voorziening na opdracht van de applicatiebeheerder;
- c.
de beschikbaarheid van de gemeentelijke voorziening overeenkomstig hetgeen daaromtrent intern en met derden is overeengekomen;
- d.
adequate uitwijkvoorzieningen voor de gemeentelijke voorziening;
- e.
een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie, welke zich bij voorkeur in een ander gebouw bevindt dan de ruimte waarin de BRP-apparatuur is opgesteld;
- f.
het transport en de veilige opslag van verwijderbare gegevensdragers en deugdelijke periodieke vernietiging van deze gegevensdragers;
- g.
het verschaffen van toegang tot de gemeentelijke voorziening aan de applicatiebeheerder en de leverancier van de gemeentelijke voorziening;
- h.
het tijdig opschonen van de relevante bestanden in de database na opdracht van de applicatiebeheerder;
- i.
de installatie en het testen van nieuwe apparatuur na opdracht van de applicatiebeheerder.
Artikel 29
De systeembeheerder is bevoegd tot:
- 1.
het treffen van maatregelen in overleg met de informatiebeheerder indien de continuïteit van de gemeentelijke voorziening of de daarin opgeslagen informatie acuut in het geding is; hij is verplicht achteraf ter zake te rapporteren aan de informatiebeheerder.
- 2.
het geven van aanwijzingen omtrent:
- a.
het beheer van de gemeentelijke voorziening;
- b.
het beheer van bestanden;
- c.
de reconstructiemaatregelen.
Artikel 30
De systeembeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
Paragraaf 9 Slotbepalingen
Artikel 31
De in deze regeling opgenomen bepalingen gelden voor de basisregistratie personen en voor de gemeentelijke basisregistratie personen als bedoeld artikel 1 van de regeling.
Artikel 32
-
1. Deze wordt geplaatst in het Gemeenteblad en treedt in werking op het moment dat de Wet basisregistratie personen in werking treedt.
-
2. De Beheerregeling gemeentelijke basisregistratie personen 2012 wordt ingetrokken.
Artikel 33
Deze regeling wordt aangehaald als Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014.
Aldus vastgesteld in de vergadering van 17 december 2013.
De secretaris, De burgemeester,
Ph. F. M. Raets A. Aboutaleb
Dit gemeenteblad is uitgegeven op 18 december 2013 en ligt op werkdagen van 8.30 tot 16.00 uur ter inzage bij het Kenniscentrum Bestuursdienst Rotterdam (KBR), locatie Stadswinkel Centrum, Coolsingel 40 (zijde Doelwater, tegenover hoofdbureau politie)
(Zie ook: www.bds.rotterdam.nl – Gemeentebladen)
Bijlage behorende bij artikel 3 van deze regeling.
|
Verantwoordelijk voor: |
Functie: |
Vervanging in deze door: |
|
1.De inhoud, integriteit en toegankelijkheid van de gegevens in de gemeentelijke basisregistratie personen. |
concerndirecteur Dienstverlening (Informatiebeheerder) |
Directeur Publiekszaken |
|
2.De controle en evaluatie van de maatregelen op het gebied van informatiebeveiliging. |
Business Controller (Beveiligingsbeheerder) |
Controller ander vakeenheid binnen Cluster |
|
3.De bescherming van de persoonlijke levenssfeer van de personen over wie gegevens in de gemeentelijke basisregistratie personen zijn opgenomen. |
Hoofd Cluster Ondersteuning (Privacybeheerder) |
Manager Expertise Burgerzaken |
|
4.Een juiste bijhouding van de gemeentelijke basisregistratie personen. |
Manager Expertise Burgerzaken (Gegevensbeheerder) |
Teamchef Expertise Burgerzaken |
|
5.Een tijdige en juiste verwerking van mutaties in de gemeentelijke basisregistratie personen en de distributie en opslag van de brondocumenten. |
Manager Dienstverlening Stadswinkels (Gegevensverwerkers) |
Manager Klantcontactcentrum |
|
6.Het technisch ondersteunen bij het gebruik van de gemeentelijke voorziening. |
Teamleider Applicatiebeheer van de Rotterdamse Service Organisatie |
Senior Technisch Applicatiebeheerder van de Rotterdamse Service Organisatie |
|
7.Het technisch onderhoud van de gemeentelijke voorziening. |
Teamleider Technisch Beheer van de Rotterdamse Service Organisatie |
Senior beheerder van de Rotterdamse Service Organisatie |
Toelichting
Inleiding
De nieuwe Wet basisregistratie personen (Wet BRP) is inmiddels aangenomen en wordt van kracht op een datum die bij Koninklijk besluit wordt bepaald. Beoogde ingangsdatum is 6 januari 2014.
Hiermee komt de Wet gemeentelijke basisadministratie persoonsgegevens te vervallen. Als de Wet BRP in werking treedt komt de Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012 van rechtswege te vervallen. Gelet op de gewijzigde regelgeving wordt de beheerregeling aangepast.
De basisregistratie bestaat uit centrale en decentrale voorzieningen. De bijhouding van de gegevens geschiedt door de gemeenten en de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Dit betekent voor de bijhouding door gemeenten dat vanuit de gemeentelijke voorziening gegevens worden doorgegeven aan de centrale voorzieningen. Het college van burgemeester en wethouders is verantwoordelijk voor het goed functioneren van de gemeentelijke voorziening. De minister van BZK is verantwoordelijk voor het goed functioneren van de centrale voorzieningen en voor het stelsel van berichtuitwisseling.
Alle betrokkenen dienen er voor te zorgen dat hun voorzieningen functioneren in overeenstemming met de regels die bij of krachtens algemene maatregel worden gesteld.
Het college is op grond van de Wet BRP verplicht om periodiek onderzoek te verrichten naar de inrichting, de werking en de beveiliging van de basisregistratie, alsmede naar de juistheid van de gegevensverwerking in de basisregistratie, voor zover het de gemeentelijke voorziening betreft of de gemeente verantwoordelijk is voor de bijhouding.
Het college van burgemeester en wethouders treft ten aanzien van de gemeentelijke voorziening passende technische en organisatorische maatregelen ter beveiliging van de in de basisregistratie opgenomen gegevens tegen verlies of aantasting van deze gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking van deze gegevens.
Deze maatregelen omvatten ten minste:
- -
maatregelen gericht op personen die werkzaam zijn voor de verantwoordelijke voor de verwerking van gegevens in de basisregistratie;
- -
maatregelen gericht op de toegang tot gebouwen en ruimten waar in de basisregistratie opgenomen gegevens aanwezig zijn;
- -
maatregelen gericht op een deugdelijke werking en beveiliging van de apparatuur en programmatuur;
- -
maatregelen voor het geval de geheimhouding of integriteit van in de basisregistratie opgenomen gegevens is geschaad;
- -
maatregelen bij calamiteiten.
Deze maatregelen worden in de beheerregeling beschreven, vastgelegd en voor een ieder ter inzage gelegd.
Deze maatregelen zijn:
· de taakverdeling en de verantwoordelijkheidsverdeling binnen de gemeente;
· de procedures inzake de bijhouding van en controle van BRP-gegevens;
· de procedures inzake verstrekking van gegevens;
· de procedures inzake verwerking van terugmeldingen.
· het technisch beheer (procedure voor back-up, herstel en uitwijk);
De beheerregeling is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de BRP. De maatregelen op het procedureel en organisatorisch vlak zijn in deze beheerregeling nader uitgewerkt.
In de beheerregeling zijn de werkzaamheden van de medewerkers die direct met de BRP werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de GBA wordt gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.
Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.
De beheerregeling BRP voorziet in de invulling van de volgende beheertaken:
- ·
informatiebeheer;
- ·
beveiligingsbeheer;
- ·
privacybeheer;
- ·
gegevensbeheer;
- ·
gegevensverwerking;
- ·
applicatiebeheer;
- ·
systeembeheer.
Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties moeten binnen de organisatiestructuur van PZR ingevoerd worden. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.
Paragraaf 1 Algemene bepalingen
In deze paragraaf worden definities gegeven van de belangrijke actoren en elementen in de beheerregeling.
Artikel 2.
Het betreft hier het functioneel inhoudelijk beheer en het verstrekkingenbeheer van de basisregistratie personen, zoals die is gedefinieerd in artikel 1. De bronhouder beheert inhoud en kwaliteit van de gegevens in de basisregistratie en stelt tevens leveringsvoorwaarden (i.c. privacyvoorwaarden) aan de verstrekking van gegevens uit de basisregistratie.
De gegevensverstrekking binnen de gemeentelijke organisatie over niet-inwoners uit basisregistraties van andere gemeenten, dient gebaseerd te zijn op het autorisatiebesluit van de minister van BZK. Het beheer en de uitvoering van dat autorisatiebesluit, maken deel uit van het functioneel inhoudelijk en verstrekkingenbeheer van de basisregistratie personen.
De hier beschreven beheerrol is belegd bij concerndirecteur Dienstverlening. Van belang is hierbij op te merken dat voor de verstrekking van gegevens aan de bestuursorganen die een orgaan zijn van de gemeente, gebruik gemaakt wordt van het gegevensmagazijn waarvan het beheer niet bij de bronhouder is belegd, maar bij de CIO office, afdeling Informatiemanagement van de Bestuursdienst. Het betreft hier een gegevensmagazijn, waar de BRP deel van uitmaakt. Hoewel in hiërarchische zin niet verantwoordelijk voor deze oplossing, blijft de concerndirecteur Dienstverlening wel functioneel inhoudelijk verantwoordelijk. De functionaris bij de CIO office die belast is met de verstrekking van gegevens uit de BRP ontvangt functioneel inhoudelijke sturing van concerndirecteur Dienstverlening.
Paragraaf 2 Het informatiebeheer
In deze paragraaf worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.
Het college van burgemeester en wethouders is verantwoordelijk voor de verwerking van persoonsgegevens in de BRP. De concerndirecteur Dienstverlening is beheerder van de BRP en in die hoedanigheid informatiebeheerder.
Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de BRP, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.
De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.
Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de zelfevaluatie wordt voldaan.
Paragraaf 3 Het beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van burgemeester en wethouders en de portefeuillehouder, zo nodig zonder tussenkomst van de directeur Publiekszaken .
Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.
De beveiligingsbeheerder is verantwoordelijk voor:
- ·
voorbereiding implementatie van het beveiligingsbeleid en –plan;
- ·
rapportage (per jaar) over de implementatie aan de portefeuillehouder en het college van burgemeester en wethouders;
- ·
rapportage van beveiligingsincidenten;
- ·
het beheer en toezicht op de naleving van de beveiligingsprocedures;
- ·
het minstens eenmaal per jaar verzorgen van het geven van voorlichting en instructie aan medewerkers door middel van toetsing van de opgestelde beveiligingsprocedures in de praktijk;
- ·
het introduceren en bekendmaken van nieuwe medewerkers met de beveiligingsprocedures.
De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan BRP en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:
- ·
relevante gemeentelijke regelgeving;
- ·
een risico- en maatregelenanalyse;
- ·
het informatiebeveiligingsbeleid;
- ·
een activiteitenplan voor te nemen maatregelen en uit te voeren controles en onderzoeken op het gebied van informatiebeveiliging.
- ·
alle beheerprocedures voor de BRP die aansluiten bij de zelfevaluatie.
Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de BRP die wordt verleend aan derden.
Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.
Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de BRP over beveiligingsvoorschriften uit de Wet BRP, het Informatiebeveiligingsplan en de Wbp.
Paragraaf 4 Het privacybeheer
De BRP is een registratie van personen waarop onder ‘normale’ omstandigheden de Wet bescherming persoonsgegevens (Wbp) van toepassing zou zijn. De Wet BRP kent echter een eigen stelsel van privacybescherming. Het college van burgemeester en wethouders heeft als verantwoordelijke van de BRP te zorgen voor een zorgvuldige gegevensverstrekking.
Veel van de dagelijkse verstrekkingen zijn gebaseerd op bepalingen als genoemd in de Wet BRP. Verstrekkingen aan vrije derden en bestuursorganen die een orgaan zijn van de gemeente zijn geregeld in de Verordening gegevensverstrekking basisregistratie personen Rotterdam 2014 en de Regeling gegevensverstrekking basisregistratie personen Rotterdam 2014.
Het hoofd van Clusterondersteuning is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.
Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening gegevensverstrekking basisregistratie personen en een regeling gegevensverstrekking basisregistratie personen. Op basis hiervan zijn de systematische verstrekkingen aan bestuursorganen die een orgaan zijn van de gemeente, de toegang van die bestuursorganen tot de BRP en de verbanden tussen de BRP en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.
Artikel 12 legt de verantwoordelijkheid voor het verschaffen van beperkte toegang aan derden op grond van de Wbp door een bestuursorgaan dat een orgaan is van een gemeente expliciet bij de privacybeheerder. De toegang strekt zich slechts uit tot die gegevens die de derden nodig hebben om het beoogde doel te bereiken. Voor nadere uitwerking van het doel wordt verwezen naar de regeling gegevensverstrekking basisregistratie personen Rotterdam 2014.
De privacybeheerder wordt als gevolg van de wijziging tevens verantwoordelijk geacht voor het toezicht op de implementatie en naleving van de Wbp door diezelfde bestuursorgaan dat een orgaan is van de gemeente. Dit is nodig om de privacybeheerder in staat te stellen de zorgvuldige omgang met de persoonsgegevens uit de BRP in de relatie bestuursorgaan dat een orgaan is van de gemeente en derden te kunnen beheersen.
Er wordt door de privacybeheerder tevens toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de Wbp hebben.
Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.
Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.
De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.
Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.
Paragraaf 5 Het gegevensbeheer
De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.
De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de BRP en de verantwoordelijkheid voor de documentatie rond de BRP. Deze bevoegdheden en verantwoordelijkheden worden geacht te zijn opgenomen in de functiebeschrijving van de functionaris.
De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de BRP. Hiervoor dient hij schriftelijke instructies te geven.
Paragraaf 6 De gegevensverwerking
Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de BRP deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.
De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de BRP is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.
Artikel 21 verwijst in lid a naar de Wet BRP, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.
Paragraaf 7 Het applicatiebeheer
De applicatiebeheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van de gemeentelijke voorziening en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de BRP-applicatie heeft de regelgeving op het BRP-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de applicatiebeheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.
Bij Publiekszaken worden bepaalde taken van applicatiebeheer in samenspraak met de Rotterdamse Service Organisatie uitgevoerd.
Artikel 22 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de applicatiebeheerder.
Artikel 23 geeft de applicatiebeheerder de bevoegdheid aanwijzingen te geven.
Artikel 24 regelt de bevoegdheid van de applicatiebeheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de bestuursorganen die een orgaan zijn van de gemeente en de derden die op grond van de Wbp beperkte toegang hebben tot de basisregistratie personen.
Artikel 25 regelt de adviserende rol (aan de informatiebeheerder of systeembeheerder) in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.
Paragraaf 8 Het systeembeheer
Systeembeheer wordt uitgevoerd door de Rotterdamse Service Organisatie. Systeembeheer is verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van de gemeentelijke voorziening. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.
De systeembeheerder moet tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers, alsmede de login van de applicatie- en systeembeheerder. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van de gemeentelijke voorziening.
Paragraaf 9 Slotbepalingen
De Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012 dient te worden ingetrokken.
In artikel 33 is de citeertitel opgenomen.
Ziet u een fout in deze regeling?
Bent u van mening dat de inhoud niet juist is? Neem dan contact op met de organisatie die de regelgeving heeft gepubliceerd. Deze organisatie is namelijk zelf verantwoordelijk voor de inhoud van de regelgeving. De naam van de organisatie ziet u bovenaan de regelgeving. De contactgegevens van de organisatie kunt u hier opzoeken: organisaties.overheid.nl.
Werkt de website of een link niet goed? Stuur dan een e-mail naar regelgeving@overheid.nl