Regeling beheer en toezicht gemeentelijke basisregistratie personen Rotterdam 2019

Geldend van 22-05-2019 t/m heden

Intitulé

Regeling beheer en toezicht gemeentelijke basisregistratie personen Rotterdam 2019

Het college van burgemeester en wethouders van de gemeente Rotterdam,

gelezen het voorstel van de concerndirecteur Dienstverlening van 15 april 2019 met kenmerk 3224113,

overwegende, dat het noodzakelijk is de hoofdlijnen van het beheer van de gemeentelijke basisregistratie personen in een regeling vast te leggen;

gelet op:

  • -

    artikel 1.11 van de Wet basisregistratie personen;

  • -

    artikel 6 van het Besluit basisregistratie personen;

  • -

    de Verordening gegevensverstrekking basisregistratie personen Rotterdam 2018;

  • -

    de Regeling gegevensverstrekking basisregistratie personen Rotterdam 2019;

  • -

    de Algemene verordening gegevensbescherming;

besluit vast te stellen:

Regeling beheer en toezicht gemeentelijke basisregistratie personen Rotterdam 2019

Paragraaf 1 Algemene bepalingen

Artikel 1

In deze regeling wordt verstaan onder:

  • -

    applicatiebeheer: geheel van activiteiten gericht op de instandhouding, beheer, onderhoud en vernieuwing van het GBA-toepassingssysteem;

  • -

    autorisatiebesluit: besluit als bedoeld in artikel 3.2 of artikel 3.3 van de wet;

  • -

    AVG: Algemene Verordening Gegevensbescherming;

  • -

    basisregistratie: basisregistratie personen, bedoeld in artikel 1.2 van de wet;

  • -

    beheerder: functionaris die namens de verantwoordelijke is belast met de dagelijkse zorg voor de gemeentelijke basisregistratie personen en het beheer van het autorisatiebesluit voor organisatieonderdelen van de gemeente Rotterdam;

  • -

    beveiligingsbeheer: geheel van activiteiten gericht op het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het informatiebeveiligingsplan BRP en waardedocumenten;

  • -

    bijhoudingsgemeente: de gemeente waarvan het college van burgemeester en wethouders op grond van artikel 1.4 van de wet verantwoordelijk is voor het bijhouden van de persoonslijst;

  • -

    BRP: Basisregistratie personen;

  • -

    centrale voorziening: landelijk toepassingssysteem waarmee door de Minister uitvoering wordt gegeven aan de wet;

  • -

    functioneel beheer: geheel van activiteiten gericht op het ondersteunen van het GBA-toepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening;

  • -

    gegevensbeheer: geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening;

  • -

    gegevensverwerking: ontlenen van gegevens aan documenten en deze op een voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opnemen in een gegevensbestand;

  • -

    gemeentelijke basisregistratie personen: geautomatiseerde verwerking van persoonsgegevens en aangehaakte gegevens over de bevolking van de gemeente Rotterdam;

  • -

    gemeentelijke voorziening: gemeentelijk toepassingssysteem waarmee uitvoering wordt gegeven aan de Wet basisregistratie personen;

  • -

    informatiebeheer: geheel van activiteiten gericht op beleidsvoorbereiding ter zake van de basisregistratie personen, de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures;

  • -

    ingeschrevene: degene ten aanzien van wie een persoonslijst in de basisregistratie is opgenomen;

  • -

    ingezetene: ingeschrevene, die zijn adres heeft in een gemeente in Nederland, op wiens persoonslijst niet het gegeven van zijn overlijden of van vertrek vanuit Nederland als actueel gegeven is opgenomen;

  • -

    inschrijfvoorziening: voorziening als bedoeld in artikel 2.64 van de wet;

  • -

    privacybeheer: geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer bij het verzamelen en verwerken van persoonsgegevens in de basisregistratie personen en de informatievoorziening daaruit;

  • -

    regeling: Regeling beheer en toezicht gemeentelijke basisregistratie personen Rotterdam 2019;

  • -

    technisch beheer: geheel van activiteiten gericht op het beheer van de technische infrastructuur van het GBA-toepassingssysteem;

  • -

    toezichthouder: functionaris, die ingevolge artikel 4.2 van de Wet is belast met het toezicht op de naleving van de verplichtingen van de burger;

  • -

    verantwoordelijke: het college van burgemeester en wethouders;

  • -

    verordening: Verordening gegevensverstrekking basisregistratie personen Rotterdam 2018;

  • -

    wet: Wet basisregistratie personen;

  • -

    zelfevaluatie: een periodiek onderzoek door de verantwoordelijke naar de inrichting, de werking en de beveiliging van de gemeentelijke voorziening alsmede naar de juistheid van de gegevensverwerking.

Artikel 2

  • 1. De concerndirecteur Dienstverlening is beheerder van de gemeentelijke basisregistratie personen en in die hoedanigheid informatiebeheerder.

  • 2. De concerndirecteur Dienstverlening kan de taken en bevoegdheden van informatiebeheerder geheel of gedeeltelijk ondermandateren aan één of meer ondergeschikte ambtenaren.

Artikel 3

  • 1. De informatiebeheerder wijst functionarissen aan die worden belast met:

    • a.

      beveiligingsbeheer;

    • b.

      privacybeheer;

    • c.

      gegevensbeheer;

    • d.

      gegevensverwerking;

    • e.

      functioneel beheer;

    • f.

      toezicht.

  • 2. Het technisch- en applicatiebeheer wordt uitgevoerd door het cluster Bestuurs- en Concernondersteuning.

Paragraaf 2 Informatiebeheer

Artikel 4

De informatiebeheerder is verantwoordelijk voor:

  • a.

    een jaarlijkse planning van de beheeractiviteiten;

  • b.

    een jaarlijkse rapportage aan de verantwoordelijke over de onder a bedoelde planning, waarbij inzicht wordt gegeven in de kengetallen van beheerprocedures;

  • c.

    een jaarlijkse rapportage over de resultaten die voortvloeien uit de in artikel 19 van deze regeling genoemde kwaliteitssteekproef;

  • d.

    richtlijnen voor het bijhouden van de gemeentelijke basisregistratie personen;

  • e.

    uitvoering van de zelfevaluatie;

  • f.

    administratieve beheerprocedures, voor zover hier niet bij wet in is voorzien;

  • g.

    periodiek overleg met de gegevens-, applicatie-, functioneel-, technisch-, privacy- en beveiligingsbeheerder;

  • h.

    melding aan de verantwoordelijke van inbreuken op de informatiebeveiliging.

Artikel 5

De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten:

  • a.

    kwaliteit van de gegevens;

  • b.

    persoonsinformatievoorziening;

  • c.

    privacy en informatiebeveiliging.

Artikel 6

De informatiebeheerder beslist:

  • a.

    over de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening;

  • b.

    op verzoeken van organisatieonderdelen van de gemeente Rotterdam tot rechtstreekse toegang tot de gemeentelijke basisregistratie personen en de centrale voorziening;

  • c.

    op verzoeken van organisatieonderdelen van de gemeente Rotterdam en derden tot het verkrijgen van gegevens uit de gemeentelijke basisregistratie personen;

  • d.

    op verzoeken van organisatieonderdelen van de gemeente Rotterdam tot het systematisch verkrijgen van gegevens uit de gemeentelijke basisregistratie personen;

  • e.

    over het toekennen van autorisaties met betrekking tot het bepaalde onder b, c en d.

Artikel 7

De informatiebeheerder ziet erop toe dat:

  • a.

    de bij of krachtens de wet opgelegde verplichtingen ten aanzien van inrichting en het bijhouden, alsmede de beveiliging van de basisregistratie personen en de gemeentelijke basisregistratie personen worden nageleefd;

  • b.

    de in deze regeling opgenomen bepalingen worden nageleefd;

  • c.

    de behandeling en afhandeling van verzoeken om gegevensverstrekking als genoemd in artikel 6 geschiedt volgens de bepalingen uit de wet, de verordening en de AVG;

  • d.

    alle in artikel 3 bedoelde functionarissen op de hoogte worden gesteld van de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening en van de gevolgen van deze installatie;

  • e.

    de beveiligingsvoorschriften voortvloeiende uit het informatiebeveiligingsplan worden nageleefd;

  • f.

    onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en zo nodig maatregelen worden getroffen om herhaling te voorkomen.

Paragraaf 3 Beveiligingsbeheer

Artikel 8

De beveiligingsbeheerder is verantwoordelijk voor:

  • a.

    het vaststellen, beheren en onderhouden van het Informatiebeveiligingsplan BRP en Waardedocumenten;

  • b.

    het toezicht op de naleving van maatregelen en procedures voortkomend uit het informatiebeveiligingsplan;

  • c.

    de jaarlijkse rapportage over de informatieveiligheid aan de informatiebeheerder en het verzorgen van de bijdragen aan de gemeentebrede managementrapportage over de informatieveiligheid met betrekking tot de persoonsinformatievoorziening.

Artikel 9

De beveiligingsbeheerder is bevoegd:

  • a.

    alle gebruikers van gegevens uit de basisregistratie personen aanwijzingen te geven;

  • b.

    ongevraagd advies uit te brengen over alle procedures en producten die betrekking hebben op de basisregistratie personen, waarbij de beveiliging in het geding is.

Artikel 10

De beveiligingsbeheerder:

  • a.

    ondersteunt en adviseert de informatiebeheerder op het gebied van informatiebeveiliging;

  • b.

    coördineert de uitvoering van de beveiligingsmaatregelen van het informatiebeveiligingsplan BRP en Waardedocumenten;

  • c.

    onderkent en reageert op incidenten en adviseert over de maatregelen die nodig zijn om de gevolgen van een incident te beperken en om herhaling te voorkomen;

  • d.

    stelt passende normen en controlemaatregelen op;

  • e.

    is het aanspreekpunt op het gebied van informatiebeveiliging en bevordert het beveiligingsbewustzijn bij management en medewerkers.

Artikel 11

De beveiligingsbeheerder:

  • a.

    neemt deel aan het overleg, bedoeld in artikel 4, onder g;

  • b.

    participeert in de ontwikkeling en formulering van het gemeentebrede informatiebeveiligingsbeleid.

Paragraaf 4 Privacybeheer

Artikel 12

De privacybeheerder is verantwoordelijk voor:

  • a.

    de naleving van de privacyvoorschriften voortvloeiende uit de wet, de AVG, de verordening en de regeling;

  • b.

    de behandeling van alle bij cluster Dienstverlening ingediende aanvragen, gebaseerd op de AVG.

Artikel 13

  • 1. De privacybeheerder is bevoegd tot het geven van aanwijzingen aan alle gebruikers van de gemeentelijke voorziening.

  • 2. De privacybeheerder geeft gevraagd en ongevraagd advies over alle procedures en producten die betrekking hebben op de basisregistratie personen en de gemeentelijke basisregistratie personen, waarbij de waarborging voor bescherming van de persoonlijke levenssfeer in het geding is.

Artikel 14

De privacybeheerder ziet toe op de:

  • a.

    afhandeling van verzoeken als bedoeld in artikel 2.59 van de wet;

  • b.

    jaarlijkse bekendmaking als bedoeld in artikel 3.21, vijfde lid van de wet;

  • c.

    behandeling van alle verzoekschriften als bedoeld in de artikelen 2.55, 3.13, 3.22 en 3.23 van de wet;

  • d.

    behandeling van aanvragen van organisatieonderdelen van de gemeente Rotterdam om persoonsgegevens en verzoeken om toegang te verkrijgen tot de basisregistratie personen, de gemeentelijke basisregistratie personen.

Artikel 15

De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures, die voortvloeien uit genomen beslissingen op grond van de wet en de AVG, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.

Artikel 16

De privacybeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.

Paragraaf 5 Gegevensbeheer

Artikel 17

  • 1. De gegevensbeheerder is verantwoordelijk voor:

    • a.

      de juistheid, de volledigheid, de actualiteit, de nauwkeurigheid en de betrouwbaarheid van de gegevens die opgenomen zijn of opgenomen worden in de basisregistratie personen en de gemeentelijke basisregistratie personen;

    • b.

      het beheer van documentatie op het gebied van de wet en overige regelgeving op het gebied van de basisregistratie personen en de gemeentelijke basisregistratie personen;

    • c.

      de communicatie met de overheidsorganen en andere houders van gemeentelijke basisadministraties over gegevensverwerking;

    • d.

      het verwerken van complexe mutaties en correcties met betrekking tot de basisregistratie personen;

    • e.

      het uitzetten van richtlijnen met betrekking tot het actualiseren en corrigeren van persoonsgegevens in de gemeentelijke voorziening voor de basisregistratie personen;

    • f.

      en voert beveiligingsmaatregelen in en handhaaft de uitvoering van de maatregelen.

  • 2. De gegevensbeheerder is bevoegd om, in overleg met de applicatiebeheerder, aanwijzingen te geven inzake de opname en het bijhouden van gegevens in de gemeentelijke voorziening voor de basisregistratie personen.

  • 3. De gegevensbeheerder beslist binnen vijf werkdagen op het in behandeling nemen van een melding van een overheidsorgaan dat gerede twijfel heeft over de juistheid van een in de gemeentelijke voorziening van de basisregistratie personen opgenomen (authentiek) gegeven en stelt het overheidsorgaan in kennis van deze beslissing.

  • 4. Draagt zorg voor de behandeling van wijzigingsverzoeken als bedoeld in de artikelen 2.57, 2.58 en 2.60 van de wet.

  • 5. Voert controlewerkzaamheden uit ter waarborging van de kwaliteit van de basisregistratie personen.

  • 6. Draagt zorg voor de afhandeling van de verzoeken om inzage in de basisregistratie personen als bedoeld in artikel 2.55 van de wet.

Artikel 18

De gegevensbeheerder is bevoegd, in overleg met de applicatiebeheerder BRP, vanuit de in artikel 17 bedoelde verantwoordelijkheid de gegevensverwerkers aanwijzingen te geven betreffende de opname en het bijhouden van gegevens in de gemeentelijke voorziening voor de basisregistratie personen.

Artikel19

De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt onderworpen aan de zelfevaluatie.

Artikel 20

De gegevensbeheerder voorziet in een doorlopende kwaliteitssteekproef en de uitvoering van de daarmee samenhangende verbetermaatregelen gericht op het welslagen van de eerder vermelde zelfevaluatie.

Artikel 21

De gegevensbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.

Paragraaf 6 Gegevensverwerking

Artikel 22

  • 1. De gegevensverwerker is verantwoordelijk voor:

    • a.

      het verwerken van de gegevens op de wijze, bedoeld in de wet, het Logisch Ontwerp en de handleiding uitvoeringsprocedures, voor zover daartoe door de applicatiebeheerder geautoriseerd;

    • b.

      het verzamelen en het laten archiveren van de brondocumenten, die voor de onder a bedoelde verwerking worden gebruikt;

    • c.

      het behandelen van verzoeken als bedoeld in de artikelen 2.56, 2.57 en 2.58 van de wet;

    • d.

      het toetsen van de waarde die aan overgelegde brondocumenten wordt toegekend op grond van artikel 2.8 van de wet;

    • e.

      het toezicht dat geen gegevens worden verstrekt uit documenten waaraan bij of krachtens de wet geen ontleningsstatus is gegeven;

    • f.

      de verzending van bezwaarschriften als bedoeld in artikel 2.60 van de Wet, naar de Algemene Bezwaarschriftencommissie van de gemeente Rotterdam;

    • g.

      de behandeling van het GBA netwerkverkeer, met uitzondering van de periodieke gegevensverstrekking;

    • h.

      de behandeling van het foutverslag dat voortvloeit uit inkomende netwerkberichten;

    • i.

      de dagelijkse controle van in de gemeentelijke voorziening aangebrachte actualiseringen;

    • j.

      de toezending van de complete persoonslijst aan de geregistreerde, ingeval van:

      • i.

        1° een eerste inschrijving in de basisregistratie;

      • ii.

        2° een vervolginschrijving uit het buitenland;

    • k.

      de toezending van de hoofdlijnen op grond van artikel 2.54, derde lid van de wet.

  • 2. De gegevensverwerker beslist op aangiften of verzoekschriften op grond van de wet, voor zover hier niet op andere wijze in is voorzien.

Paragraaf 7 Toezicht

Artikel 23

De toezichthouders bedoeld in artikel 4.2 van de wet, zijn verantwoordelijk voor het toezicht op de naleving van de verplichtingen van de burger ingevolge hoofdstuk 2, afdeling 1, paragraaf 5 van de wet.

Artikel 24

De toezichthouder controleert of de burger voldoet aan zijn verplichtingen met betrekking tot in ieder geval de inschrijving in de BRP, als bedoeld in artikel 2.38 van de wet, de wijziging van diens adres, als bedoeld in artikel 2.39 van de wet, het rechtmatig gebruik van een briefadres, als bedoeld in de artikelen 2.40 tot en met 2.42 van de wet, zijn vertrek uit Nederland, als bedoeld in artikel 2.43 van de wet en de verstrekking van alle inlichtingen die nodig zijn voor het bijhouden van de BRP.

Artikel 25

De toezichthouder ziet er op toe dat, indien de burger niet zelf aan zijn verplichtingen voldoet of kan voldoen, de verplichtingen worden vervuld door degene die daartoe bevoegd is op grond van de artikelen 2.49 en 2.50 van de Wet BRP.

Artikel 26

  • 1. De toezichthouder ontleent de in het tweede lid genoemde bevoegdheden aan hoofdstuk 5 van de Algemene wet bestuursrecht.

  • 2. De toezichthouder is in verband met de uitvoering van de taken genoemd in artikel 24, bevoegd:

    • a.

      elke plaats te betreden met medeneming van apparatuur zoals laptop, fotocamera, met uitzondering van het zonder toestemming van een bewoner betreden van een woning;

    • b.

      zich zo nodig toegang te verschaffen met behulp van de sterke arm;

    • c.

      zich te doen vergezellen door personen die daartoe door hem zijn aangewezen;

    • d.

      inlichtingen te vorderen;

    • e.

      inzage te vorderen van een identiteitsbewijs, als bedoeld in artikel 1 van de Wet op de identificatieplicht;

    • f.

      inzage te vorderen van zakelijke gegevens en bescheiden en hiervan kopieën te maken dan wel deze gegevens en bescheiden voor het maken van kopieën korte tijd mee te nemen tegen een af te geven schriftelijk bewijs;

    • g.

      onderzoek te doen;

    • h.

      rapport op te maken ter zake een geconstateerde overtreding van de bepalingen van de Wet BRP, als genoemd in artikel 24.

Artikel 27

De toezichthouder voert zijn werkzaamheden uit in samenspraak met de gegevensverwerker en koppelt het resultaat van zijn werkzaamheden terug aan de gegevensverwerker.

Artikel 28

  • 1. De toezichthouder is bevoegd om namens burgemeester en wethouders een bestuurlijke boete op te leggen.

  • 2. De toezichthouder neemt bij gebruik van de bevoegdheid bedoeld in het eerste lid de binnen de gemeente Rotterdam geldende beleidsregels in acht.

Artikel 29

De toezichthouder legt het resultaat van zijn werkzaamheden vast in een onderzoeksrapportage en draagt zorg voor dossiervorming.

Paragraaf 8 Functioneel beheer

Artikel 30

De functioneel beheerder is verantwoordelijk voor:

  • a.

    het tijdig opdracht geven aan de technisch – en/of applicatiebeheerder tot het opschonen van de relevante bestanden in de database;

  • b.

    de technische afhandeling van de systematische gegevensverstrekking die plaatsvindt op basis van een besluit van de verantwoordelijke krachtens de regeling;

  • c.

    het beschikbaar stellen van de gebruikersdocumentatie.

Artikel 31

De functioneel beheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in paragraaf 6 van deze regeling en aan de organisatieonderdelen van de gemeente Rotterdam, die rechtstreeks toegang hebben tot de basisregistratie personen.

Artikel 32

De functioneel beheerder voorziet in:

  • a.

    communicatie met de gebruikers en leveranciers bij storingen in hard- en software;

  • b.

    een bijdrage aan het oplossen van storingen binnen de gemeentelijke voorziening;

  • c.

    maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;

  • d.

    het bijhouden van een logboek waarin problemen, klachten en andere bijzondere gebeurtenissen worden bijgehouden;

  • e.

    de coördinatie van de werkzaamheden in geval van uitwijk in overleg met de applicatie- en technisch beheerder;

  • f.

    de toegang tot de basisregistratie personen en de gemeentelijke basisregistratie personen van hiertoe bevoegde organisatieonderdelen van de gemeente Rotterdam;

  • g.

    het faciliteren en vastleggen van de autorisatieniveaus die aan gegevensverwerkers, gegevensbeheerder, applicatiebeheerder, informatiebeheerder, overheidsorganen die een orgaan zijn van de gemeente en de in artikel 12, onder b, van deze regeling genoemde derden die op grond van een besluit van de informatiebeheerder zijn toegewezen;

  • h.

    het bijhouden van een dossier van de autorisaties, die op grond van artikel 6, onder e door de informatiebeheerder zijn toegekend;

  • i.

    het bijhouden van een logboek ten aanzien van gebruikers die gegevens raadplegen en gegevens muteren;

  • j.

    de melding van inbreuken op de informatiebeveiliging aan de informatiebeheerder;

  • k.

    het beschikbaar stellen van faciliteiten voor het testen van nieuwe versies van de gemeentelijke voorziening;

  • l.

    de opdrachtverstrekking aan de applicatiebeheerder en/of technisch beheerder tot het installeren en het testen van nieuwe apparatuur;

  • m.

    de opdrachtverstrekking aan de applicatiebeheerder en/of technisch beheerder tot het installeren van nieuwe of gewijzigde versies van de gemeentelijke voorziening;

  • n.

    de beoordeling en het testen van de gevolgen van de installatie van nieuwe en of gewijzigde versies van de gemeentelijke voorziening in samenspraak met de applicatiebeheerder en/of technisch beheerder;

  • o.

    de voorlichting aan de gegevensverwerkers, overheidsorganen die een orgaan zijn van de gemeente met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van de gemeentelijke voorziening;

  • p.

    de vormgeving en inhoud van documenten die rechtstreeks aan de BRP worden ontleend;

  • q.

    de afhandeling van verzoeken om managementgegevens.

Artikel 33

De functioneel beheerder adviseert de informatiebeheerder over de gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen zoals beschreven in de procedure uitwijk.

Artikel 34

De functioneel beheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.

Paragraaf 9 Applicatiebeheer en technisch beheer

Artikel 35

De applicatiebeheerder en technisch beheerder zijn verantwoordelijk voor:

  • a.

    de technische ondersteuning bij het gebruik van de gemeentelijke voorziening;

  • b.

    het technisch beheer van de database van de gemeentelijke voorziening.

Artikel 36

De applicatiebeheerder en technisch beheerder voorzien in:

  • a.

    een bijdrage aan het oplossen van storingen binnen de gemeentelijke voorziening;

  • b.

    het bijhouden van een logboek waarin problemen, klachten en andere bijzondere gebeurtenissen worden bijgehouden.

Artikel 37

De applicatiebeheerder en technisch beheerder adviseren de informatiebeheerder over de installatie van nieuwe of gewijzigde versies van de gemeentelijke voorziening.

Artikel 38

De applicatiebeheerder en technisch beheerder zijn verantwoordelijk voor het technisch onderhoud van de gemeentelijke voorziening en rapporteert hierover aan de informatiebeheerder.

Artikel 39

De applicatiebeheerder en technisch beheerder voorzien in:

  • a.

    de fysieke beveiliging van de gemeentelijke voorziening;

  • b.

    de installatie van gewijzigde of nieuwe versies van de gemeentelijke voorziening na opdracht van de functioneel beheerder;

  • c.

    de beschikbaarheid van de gemeentelijke voorziening overeenkomstig hetgeen daaromtrent intern en met derden is overeengekomen;

  • d.

    adequate uitwijkvoorzieningen voor de gemeentelijke voorziening;

  • e.

    een dagelijkse back-up;

  • f.

    het verschaffen van toegang tot de gemeentelijke voorziening aan de leverancier;

  • g.

    het tijdig opschonen van de relevante bestanden in de database;

  • h.

    de installatie en het testen van nieuwe apparatuur.

Artikel 40

  • a.

    De applicatiebeheerder en technisch beheerder zijn bevoegd tot het direct treffen van maatregelen als de continuïteit van de gemeentelijke voorziening of de daarin opgeslagen informatie acuut in het geding is;

  • b.

    het geven van aanwijzingen omtrent:

    • het beheer van de gemeentelijke voorziening;

    • het beheer van bestanden;

    • de reconstructiemaatregelen.

Artikel 41

De applicatiebeheerder en technisch beheerder nemen deel aan het overleg, bedoeld in artikel 4, onder g.

Paragraaf 10 Slotbepalingen

Artikel 42

De in deze regeling opgenomen bepalingen zijn van toepassing op de basisregistratie personen en voor de gemeentelijke basisregistratie personen als bedoeld artikel 1 van de regeling.

Artikel 43

  • 1. Deze regeling wordt geplaatst in het Gemeenteblad en treedt in werking op de eerste dag na publicatie van het Gemeenteblad.

  • 2. De Beheerregeling gemeentelijke basisregistratie personen 2014 wordt ingetrokken.

Artikel 44

Deze regeling wordt aangehaald als Regeling beheer en toezicht gemeentelijke basisregistratie personen Rotterdam 2019.

Ondertekening

Aldus vastgesteld in de vergadering van 14 mei 2019.

De secretaris,

V.J.M. Roozen

De burgemeester,

B. Wijbenga-van Nieuwenhuizen, l.b.

Bijlage Functieverdeling behorende bij artikel 3 van deze regeling.

Verantwoordelijk voor:

Functie:

Vervanging in deze door:

1. De inhoud, integriteit en toegankelijkheid van de gegevens in de gemeentelijke

basisregistratie personen.

Concerndirecteur Dienstverlening

(Informatiebeheerder)

Directeur Belastingen & Burgerzaken

2. De controle en evaluatie van de

maatregelen op het gebied van informatie-beveiliging.

Decentrale information security officer cluster Dienstverlening (DISO)

(Beveiligingsbeheerder)

DISO van een ander cluster

3. De bescherming van de persoonlijke levenssfeer van de

personen over wie gegevens in de gemeentelijke basisregistratie

personen zijn opgenomen.

Manager Proces, Data & Innovatie

( Privacybeheerder )

Manager Gegevensbeheer & Analyse

4. Een juiste bijhouding van de gemeentelijke basisregistratie

personen.

Manager Gegevensbeheer & Analyse

(Gegevensbeheerder)

Manager Producten & Diensten

5. Een tijdige en juiste verwerking van mutaties in de gemeentelijke basisregistratie personen en de distributie en opslag van de bron-documenten.

Directeur Klantcontact van cluster Dienstverlening

Manager Uitvoering Klantcontact

6. Het technisch ondersteunen bij het gebruik van de gemeentelijke voorziening.

Manager IIFO beheer cluster Bestuurs- en Concernondersteuning

Teamleider IIFO Beheer Dienstverlening cluster Bestuurs- en Concern-ondersteuning

7. Het technisch onderhoud van de gemeentelijke voorziening.

Manager IIFO beheer cluster Bestuurs- en Concernondersteuning

Teamleider IIFO Beheer Dienstverlening cluster Bestuurs- en Concern-ondersteuning

Toelichting

Algemeen deel

Inleiding

Gelet op de artikelen 1.10 en 1.11 van de Wet Basisregistratie personen (BRP) is het noodzakelijk om taken, bevoegdheden en verantwoordelijkheden te beschrijven in een beheerregeling BRP. De Regeling beheer en toezicht BRP geeft hier invulling aan.

Wet BRP

Op 6 januari 2014 is de wet BRP in werking getreden. De wet bepaalt dat alle persoonsgegevens in één centrale registratie worden opgenomen: de Basisregistratie personen (BRP). De BRP is onderdeel van een stelsel van Basisregistraties en omvat de gegevens van de gemeentelijke administraties en de registratie Niet-Ingezetenen. De gemeenten beheren de gegevens van ‘ingezetenen’, de inwoners van Nederland. In de Registratie Niet-Ingezetenen (RNI) staan persoonsgegevens van personen die niet in Nederland wonen, maar wel een relatie met Nederland hebben, of personen die korter dan vier maanden in Nederland verblijven. De Rijksdienst voor Identiteitsgegevens (RvIG) beheert de RNI.

Verplicht gebruik

Sinds 1 januari 2010 geldt volgens artikel 1.7 van de wet voor bestuursorganen de verplichting om bij de uitvoering van taken gebruik te maken van de persoonsgegevens uit de Basisregistratie personen. Naast het verplichte gebruik geldt ook de verplichte terugmelding. Dit houdt in dat alle afnemers en ook gemeentelijke organisatieonderdelen verplicht zijn bij twijfel over een persoonsgegeven hiervan melding te doen bij de betreffende gemeente.

Wettelijk kader

In artikel 1.10 van de Wet BRP en artikel 6 van het besluit BRP stelt de wetgever dat er nadere regels gesteld moeten worden aan de technische en administratieve inrichting, de beveiliging van de Basisregistratie personen en de privacybescherming.

De regeling beheer en toezicht is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de BRP. De maatregelen op het procedureel en organisatorische vlak zijn in deze regeling nader uitgewerkt, beschreven en vastgelegd en voor een ieder ter inzage gelegd.

Deze maatregelen zijn:

  • de taakverdeling en de verantwoordelijkheidsverdeling binnen de gemeente;

  • de procedures inzake het bijhouden van en controle van BRP-gegevens;

  • de procedures inzake verstrekking van gegevens;

  • de procedures inzake verwerking van terugmeldingen;

  • het technisch beheer (procedure voor back-up, herstel en uitwijk).

In artikel 1.11 Wet BRP verplicht de wetgever het college van burgemeester en wethouders zich te houden aan de nadere regels van de systeembeschrijving (vooralsnog Logisch Ontwerp). Het logisch ontwerp schrijft in hoofdstuk 7 voor dat het college van burgemeester en wethouders functionarissen aan moet wijzen dat een aantal beheertaken uitvoert.

De gemeente is verantwoordelijk voor de kwaliteit van de persoonsgegevens in de BRP. De kwaliteit wordt onder andere gewaarborgd door het doen van een jaarlijkse zelfevaluatie naar de kwaliteit van gegevens en de processen. In de vragenlijst van de zelfevaluatie zijn vragen opgenomen, gerelateerd aan de Baseline Informatiebeveiliging Gemeenten (BIG) en over de vastlegging van de verschillende beheerstaken.

De taakverdeling

De regeling beheer en toezicht BRP beschrijft een aantal beheerrollen, te weten informatiebeheer, gegevensbeheer, applicatiebeheer, technisch beheer, functioneel beheer, beveiligingsbeheer, privacybeheer en toezicht. Daarnaast ook de rollen van de gegevensverwerker, toezichthouder en de beveiligingsbeheerder BRP. In de bijlage van de regeling zijn deze rollen aan functies toegekend.

In de regeling beheer en toezicht BRP zijn de werkzaamheden van de medewerkers die direct met de BRP werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de BRP worden gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.

Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.

De regeling beheer en toezicht BRP voorziet in de invulling van de volgende beheertaken:

  • informatiebeheer;

  • beveiligingsbeheer;

  • privacybeheer;

  • gegevensbeheer;

  • gegevensverwerking;

  • applicatiebeheer;

  • technisch beheer;

  • functioneel beheer;

  • toezichthouder.

Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties zijn ingevoerd binnen de organisatiestructuur van cluster Dienstverlening en cluster Bestuurs- en Concernondersteuning. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.

Artikelsgewijze toelichting

Paragraaf 1 Algemene bepalingen

In deze paragraaf worden definities gegeven van de belangrijke actoren en elementen in de regeling beheer en toezicht BRP.

Artikel 2.

Het betreft hier het functioneel inhoudelijk beheer en het verstrekkingenbeheer van de basisregistratie personen, zoals die is gedefinieerd in artikel 1. De bronhouder beheert inhoud en kwaliteit van de gegevens in de basisregistratie en stelt tevens leveringsvoorwaarden (i.c. privacyvoorwaarden) aan de verstrekking van gegevens uit de basisregistratie.

De gegevensverstrekking binnen de gemeentelijke organisatie over niet-inwoners uit basisregistraties van andere gemeenten, dient gebaseerd te zijn op het autorisatiebesluit van de minister van BZK. Het beheer en de uitvoering van dat autorisatiebesluit, maken deel uit van het functioneel inhoudelijk en verstrekkingenbeheer van de basisregistratie personen.

De hier beschreven beheerrol is belegd bij de concerndirecteur Dienstverlening. Van belang is hierbij op te merken dat voor de verstrekking van gegevens aan organisatieonderdelen van de gemeente Rotterdam, gebruik gemaakt wordt van het stelselbeheersysteem (gegevensmagazijn) waarvan het beheer niet bij de bronhouder is belegd, maar bij het cluster Bestuurs- en Concernondersteuning (BCO), afdeling Informatiemanagement. Het betreft hier een gegevensmagazijn, waar de BRP deel van uitmaakt. Hoewel in hiërarchische zin niet verantwoordelijk voor deze oplossing, blijft de concerndirecteur Dienstverlening wel functioneel inhoudelijk verantwoordelijk. De functionaris bij de afdeling Informatiemanagement van BCO die belast is met de verstrekking van gegevens uit de BRP ontvangt functioneel inhoudelijke sturing van de concerndirecteur Dienstverlening.

Paragraaf 2 Het informatiebeheer

In deze paragraaf worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.

Het college van burgemeester en wethouders is verantwoordelijk voor de verwerking van persoonsgegevens in de BRP. De concerndirecteur Dienstverlening is beheerder van de BRP en in die hoedanigheid informatiebeheerder.

Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de BRP, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.

De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.

Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de zelfevaluatie wordt voldaan.

Paragraaf 3 Het beveiligingsbeheer

De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van burgemeester en wethouders en de portefeuillehouder, zo nodig zonder tussenkomst van de concerndirecteur Dienstverlening.

Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.

De beveiligingsbeheerder is verantwoordelijk voor:

  • voorbereiding implementatie van het beveiligingsbeleid en –plan;

  • rapportage (per jaar) over de implementatie aan de portefeuillehouder en het college van burgemeester en wethouders;

  • rapportage van beveiligingsincidenten;

  • het beheer en toezicht op de naleving van de beveiligingsprocedures;

  • het minstens eenmaal per jaar verzorgen van het geven van voorlichting en instructie aan medewerkers door middel van toetsing van de opgestelde beveiligingsprocedures in de praktijk;

  • het introduceren en bekendmaken van nieuwe medewerkers met de beveiligingsprocedures.

De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.

De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan BRP en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:

  • relevante gemeentelijke regelgeving;

  • een risico- en maatregelenanalyse;

  • het informatiebeveiligingsbeleid;

  • een activiteitenplan voor te nemen maatregelen en uit te voeren controles en onderzoeken op het gebied van informatiebeveiliging;

  • alle beheerprocedures voor de BRP die aansluiten bij de zelfevaluatie.

Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de BRP die wordt verleend aan derden.

Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.

Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de BRP over beveiligingsvoorschriften uit de Wet BRP en het informatiebeveiligingsplan BRP en waardedocumenten.

Paragraaf 4 Het privacybeheer

De BRP is een registratie van personen waarop onder ‘normale’ omstandigheden de AVG van toepassing zou zijn. De Wet BRP kent echter een eigen stelsel van privacybescherming, dit is ook vastgelegd in de Aanpassingswet AVG. Het college van burgemeester en wethouders heeft als verantwoordelijke van de BRP te zorgen voor een zorgvuldige gegevensverstrekking.

Veel van de dagelijkse verstrekkingen zijn gebaseerd op bepalingen als genoemd in de Wet BRP. Verstrekkingen aan vrije derden en organisatieonderdelen van de gemeente Rotterdam zijn geregeld in de Verordening gegevensverstrekking basisregistratie personen Rotterdam 2018 en de Regeling gegevensverstrekking basisregistratie personen Rotterdam 2019.

Manager Proces, Data & Innovatie van cluster Dienstverlening is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.

Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening gegevensverstrekking basisregistratie personen en een regeling gegevensverstrekking basisregistratie personen. Op basis hiervan zijn de systematische verstrekkingen aan bestuursorganen die een orgaan zijn van de gemeente, de toegang van die bestuursorganen tot de BRP en de verbanden tussen de BRP en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.

Er wordt door de privacybeheerder toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de AVG hebben.

Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.

Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.

De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.

Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.

Paragraaf 5 Het gegevensbeheer

De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.

De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de BRP en de verantwoordelijkheid voor de documentatie rond de BRP.

De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de BRP. Hiervoor dient hij schriftelijke instructies te geven.

Paragraaf 6 De gegevensverwerking

Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de BRP is deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.

De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de BRP is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.

Artikel 22 verwijst in lid a naar de Wet BRP, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.

Paragraaf 7 Het toezicht

Als toezichthouders op grond van de wet BRP zijn door het College van Burgemeester & Wethouders medewerkers van cluster Dienstverlening en van cluster Stadsbeheer aangewezen.

Paragraaf 8 Het functioneel beheer

De functioneel beheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van de gemeentelijke voorziening en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de BRP-applicatie heeft de regelgeving op het BRP-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de functioneel beheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.

Bij cluster Dienstverlening worden bepaalde taken van functioneel beheer in samenspraak met de applicatiebeheerder en de technisch beheerder van cluster Bestuurs- en Concernondersteuning uitgevoerd.

Artikel 30 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de functioneel beheerder.

Artikel 31 geeft de functioneel beheerder de bevoegdheid aanwijzingen te geven.

Artikel 32 regelt de bevoegdheid van de functioneel beheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de bestuursorganen die een orgaan zijn van de gemeente.

Artikel 33 regelt de adviserende rol van de functioneel beheerder aan de informatiebeheerder in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.

Paragraaf 9 Het applicatiebeheer en technisch beheer

Het applicatiebeheer en technisch beheer worden uitgevoerd door cluster Bestuurs- en Concernondersteuning. De applicatiebeheerder en de technische beheerder zijn verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van de gemeentelijke voorziening. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.

De applicatiebeheerder en technisch beheerder moeten tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van de gemeentelijke voorziening.

Paragraaf 10 Slotbepalingen

De Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014 dient te worden ingetrokken.

In artikel 44 is de citeertitel opgenomen.

Dit gemeenteblad 2019, nummer 58, is uitgegeven op 15 mei 2019 en ligt op dins-, woens- en donderdagen van 9.00 tot 13.00 uur ter inzage bij het Bestuurlijk Informatiecentrum Rotterdam (BIR), locatie Wachtruimte Timmerhuis, Halvemaanpassage 1 (trap op, melden bij Informatiebalie)

(Zie ook: www.bis.rotterdam.nl – Regelgeving of Gemeentebladen chronologisch)