Organisatie | Pijnacker-Nootdorp |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Privacyreglement voor het datadistributiesysteem DDS |
Citeertitel | Privacyreglement voor het datadistributiesysteem DDS |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | |
Externe bijlage | Schets opslag persoonsgegevens in BRP |
Geen
Wet bescherming persoonsgegevens
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
30-12-2011 | nieuwe regeling | 20-12-2011 Telstar, 29-12-2011 | 11INT00781 |
Het college van de gemeente Pijnacker-Nootdorp;
gezien het advies van de afdeling BPZ d.d. 20 december 2011;
gelet op het bepaalde in de Wet Bescherming Persoonsgegevens (WBP);
vast te stellen het navolgende Privacyreglement voor het Data-Distributiesysteem DDS;
Artikel 3 Doelstellingen met betrekking tot het DDS
binnengemeentelijk- en vanuit de verschillende basisregistraties te voorzien in distributie van actuele- juiste- en betrouwbare (persoons)informatie ten behoeve van het verlenen van diensten aan de burger en het uitvoeren van bij of krachtens wet opgelegde publiekrechtelijke taken.
Artikel 4 Categorieën van personen, instellingen en bedrijven
In het DDS worden uitsluitend gegevens opgenomen van personen, instellingen en bedrijven waarmee de gemeente Pijnacker-Nootdorp een relatie heeft.
Artikel 5 Soorten van gegevens
In het DDS zijn de navolgende soorten van gegevens opgenomen:
Tenzij noodzakelijk voor de uitvoering van de wettelijk aan de gemeente opgedragen taken worden in het DDS geen gegevens opgenomen met betrekking tot:
Artikel 7 Wijze van verkrijging van gegevens
De gegevens in het DDS worden verkregen door:
een koppeling met bouwen- en wonen (Wabo);
Artikel 11 verstrekking en uitwisseling van gegevens
Door koppeling van bestanden worden (systematisch) gegevens verstrekt aan- en uitgewisseld met:
de afdelingen Frontoffice Publiekszaken, Backoffice Publiekszaken en KCC ten behoeve van het behandelen van aanvragen verzoeken en aangiften op het gebied van ondermeer de Wabo, WMO, bijstand, burgerzaken, onderwijs en de inrichting en werking van de verschillende Webnext-modules van leverancier Inter-Acces;
de afdeling Dienstverlening Informatievoorziening en Automatisering ten behoeve van de (digitale) bijhouding van het postregistratiesysteem Corsa en het genereren van bewonersaantallen middels het programma Stroomlijn ten behoeve de informatievoorziening tijdens rampen en calamiteiten, het vervaardigen van (omvangrijke) mailings, etc.
Artikel 13 Verstrekkingen aan derden
Gebruikers verstrekken geen gegevens aan derden, tenzij wettelijke regelingen daartoe verplichten.
Vastgesteld in de vergadering van 20 december 2011
de secretaris, de burgemeester,
drs. J.P.R. Woudstra drs. F.H. Buddenberg
Sinds 1 januari 2010 geldt voor de hele overheid, en dus ook voor de gemeenten, de verplichting om bij de uitvoering van (wettelijke) taken gebruik te maken van gegevens uit de (gemeentelijke) basisregistraties.
Uit beveiligingsoogpunt vindt distributie van gegevens niet rechtstreeks vanuit de basisregistraties plaats, maar vanuit een specifiek daarvoor ingericht distributiesysteem. Dat systeem wordt zowel gevoed vanuit de eigen basisregistraties als vanuit de basisregistraties van andere gemeenten en overheidsinstanties (niet-inwoners, kadaster etc). In een aantal gevallen worden daar nog (persoons)gegevens aan toegevoegd van personen, instellingen en bedrijven waarmee de gemeente een relatie heeft.
In Pijnacker-Nootdorp is het Data-distributiesysteem (DDS) van Centric-Solutions geïnstalleerd. Als voorbeeld hieronder een schets van de wijze waarop de persoonsgegevens in de basisregistratie voor personen (BRP) worden opgeslagen en gedistribueerd.
In de gemeentelijke organisatie is door wettelijk opgelegde verplichtingen en de alsmaar voortschrijdende techniek een toenemend gebruik van geautomatiseerde informatiesystemen te zien. De verschillende informatiesystemen staan niet op zichzelf. Met name als het gaat om het houden van de wettelijk verplichte basisregistraties worden gegevens middels een distributieysteem samengebracht en via koppelingen gedistribueerd naar andere eveneens aan het distributiesysteem gekoppelde applicaties. Op deze manier wordt aan het uitgangspunt van eenmalige opslag, meervoudig gebruik vorm gegeven. Juist door deze koppelingen echter wordt niet alleen in technische zin risico gelopen (uitval, calamiteiten, etc.), de kans op misbruik, vervreemding, verlies van gegevens wordt ook steeds groter. De individule ambtenaar heeft immers steeds meer gegevens ter beschikking. Bovendien moet, met name als het om persoons- en/of gevoelige gegevens gaat de privacybescherming van de geregistreerden worden gewaarborgd.
Feitelijk is hier gemeentebreed beleid, dat wordt vastgelegd in een gemeentebreed informatiebeveiligingsplan noodzakelijk. Bij gebrek aan een dergelijk plan is als tussenstap het Privacyreglement voor het Data-Distributiesysteem opgesteld.
Het beheer van het DDS bestaat uit drie verschillende onderdelen, te weten:
het technisch (systeem)beheer.
Het taakveld gegevensbeheer houdt zich bezig met beheer van de basisregistraties voor personen (BRP), voor adressen en gebouwen (BAG) en de WOZ. Het inhoudelijk- en applicatiebeheer van het DDS maakt wezenlijk onderdeel van deze beheerstaken uit. Het technisch- en systeembeheer is in handen van de afdeling DIA.
Artikel 3 Doelstellingen van het DDS
De Rijksoverheid ontwikkelt een “stelsel van basisregistraties” met als doel alle overheidsorganen snel te kunnen voorzien van relevante gegevens en informatie ten behoeve van de uitoefening van de wettelijke taken. Er zijn een groot aantal registraties aangewezen als basisregistratie die gezamenlijk de informatiehuishouding van de overheid vormen. De gemeente is verantwoordelijk voor de BRP (personen), BAG (adressen en gebouwen) en de WOZ. Ook binnengemeentelijk dient gebruik te worden gemaakt van de in de verschillende basisregistraties opgeslagen gegevens. Teneinde de relevante gegevens binnengemeentelijk (veilig) te kunnen verspreiden is het Data-Distributiesysteem (DDS) geïnstalleerd.
Artikel 4 Categorieën van personen, instellingen en bedrijven
In het DDS worden uitsluitend gegevens opgenomen van personen, instelllingen en bedrijven waarmee de gemeente Pijnacker-Nootdorp een relatie heeft. Hierbij moet gedacht worden aan gegevens van de eigen inwoners, niet-inwoners die eigenaar zijn van onroerende zaken in Pijnacker-Nootdorp, gebruik maken van voorzieningen binnen Pijnacker-Nootdorp, etc.
Artikel 5 Soorten van gegevens
In het DDS worden uitsluitend die gegevens opgenomen die nodig zijn voor de uitvoering van de (wettelijke) taken.
De Wet Bescherming Persoonsgegevens verbiedt de registratie van de hier genoemde zogenaamde gevoelige gegevens. Dergelijke gegevens worden dan ook niet verwerkt, tenzij een wettelijke regeling zulks verplicht. Dat is bijvoorbeeld het geval bij de uitvoering van de Kieswet op grond waarvan tijdens verkiezingen de politieke gezindheid van de kandidaten dient te worden geregistreerd. Overigens is opname van dergelijke gegevens niet mogelijk in het DDS. In voorkomend geval vindt registratie in de afzonderlijke applicaties plaats.
Artikel 7 Wijze van verkrijging van gegevens
De gegevens in het DDS worden via electronische weg opgehaald uit de gekoppelde basisregistraties teneinde de door de gebruiker gevraagde gegevens te kunnen distribueren. Het DDS is feitelijk een trein die de gevraagde gegevens op verschillende stations (basisregistraties) verzamelt en in één keer aflevert bij de verzoeker/gebruiker. De basisregisties leveren gegevens aan het DDS, de overige gekoppelde betrekken slechts de benodigde gegevens uit het DDS. Enkele van de gekoppelde applicaties leveren gegevens aan van buitengemeentelijke personen.
Artikel 9 Verwijderen van opgenomen gegevens
De gegevens in het DDS worden niet langer bewaard dan strikt noodzakelijk en wettelijk is toegestaan.
Artikel 10 Rechtstreekse toegang tot het DDS
In het DDS worden uitsluitend gegevens opgeslagen met als doel deze te distribueren naar gebruikers en aangesloten applicaties. Rechtstreekse toegang tot het systeem is daarom niet mogelijk.
Artikel 11 Verstrekking en uitwisseling van gegevens
Artikel 12 Incidentele verstrekking en uitwisseling van gegevens
Artikel 13 Verstrekkingen aan derden
Het is de gebruiker niet toegestaan om gegevens te verstrekken aan derden, tenzij wettelijke regels daartoe verplichten. Dat is bijvoorbeeld het geval als incidentele gegevens worden opgevraagd ten behoeve van het opmaken van een proces-verbaal door of namens een gemeentelijk handhaver. Gegevensverstrekking dient echter vanuit de bron (basisregistratie) plaats te vinden en niet vanuit het DDS. Alleen als vanuit de bron wordt verstrekt kan namelijk worden vastgelegd aan wie, waarom, wanneer en wat er verstrekt is, een wettelijke verplichting bij persoonsinformatieverstrekking (privacybescherming). Voorts wordt de informatie dan verstrekt door daartoe bevoegde- door het College aangewezen medewerk(st)ers.
Artikel 14 Omgang met gegevens
In dit artikel is in feite een gedragscode voor de omgang met uit het DDS verkregen gegevens vastgelegd. Het DDS is een hulpmiddel ten behoeve van de binnengemeentelijke informatievoorziening. In het kader van de privacybescherming moet voorkomen worden, dat gegevens worden opgevraagd, gerbruikt, geraadpleegd of verwerkt die niets van doen hebben met de uitvoering van de wettelijke taken van de afdeling of functionaris. Een ieder wordt geacht uitsluitend die gegevens te gebruiken die voor het uitvoeren van de opgedragen taken nodig zijn. Bij geconstateerd misbruik kunnen (disciplinaire) maatregelen worden genomen.
Basisregistraties kennen niet alleen de verplichting tot het gebruik van de gegevens maar ook een verplichting tot melding van registratie van vermoedelijk onjuiste gegevens. Door verplichte terugmelding, gevolgd door onderzoek door de beheerder, wordt de kwaliteit van de in de basisregistraties opgeslagen gegevens gewaarborgd. Aangezien het DDS wordt gevoed vanuit de basisregistraties is het logisch de terugmeldplicht ook bij het gebruik van gegevens uit het DDS in te voeren.
De verplichting tot het treffen van maatregelen ter beveiliging van de systemen en de daarin opgeslagen gegevens vloeit rechtstreeks voort uit het bepaalde in de artikelen 13 en 14 van de Wet Bescherming Persoonsgegevens. Er dienen passende technische- en organisatorische maatregelen genomen te worden tegen ondermeer verlies, diefstal en elke vorm van onrechtmatige gegevensverwerking (misbruik). De verplichting tot beveiliging van gegevens richt zich met name op persoonsgegevens. Voor de basisregistratie personen (BRP) geldt eenzelfde wettelijke verplichting. Voor de BRP (de huidige GBA) is dan ook een vergaand informatiebeveiligingsplan opgesteld. Daarin zijn diverse procedures voor de verwerking en verstrekking van persoonsgegevens opgenomen, is beschreven hoe verlies, diefstal en misbruik van gegevens kan worden voorkomen en zijn maatregelen getroffen om de continuïteit van het systeem en de privacybescherming van de geregistreerden te waarborgen. Door koppeling van allerlei systemen komen niet alleen steeds meer gegevens beschikbaar, maar neemt de afhankelijkheid van een goede werking van die systemen en hun inhoudelijke betrouwbaarheid steeds meer toe. Zonder onze informatiesystemen staat de gemeentelijke organisatie stil. De vaststelling van een gemeentebreed informatiebeveiligingsplan is hierdoor noodzakelijk geworden.Een dergelijk plan is er echter (nog) niet. Daarom is hetgeen in het informatiebeveiligingsplan BRP geregeld is, voor zover mogelijk van overeenkomstige toepassing verklaard op het DDS en geldt dit privacyreglement als een aanvulling daarop.
De Rijksoverheid streeft naar transparantie, “laat zien wat we doen”. In het besef, dat wij de in de diverse systemen opgeslagen (persoons)gegevens slechts “in bruikleen” hebben, omdat deze gegevens niet van de gemeente zijn maar aan de burger en andere gemeentelijke klanten toebehoren, rust op ons als verwerkende organisatie de verplichting om zorgvuldig met deze gegevens om te gaan. Transparantie is daarbij belangrijk.