Beheerregel gemeentelijke basisadministratie persoonsgegevens 2010

In deze regeling wordt verstaan onder:

- de Wet:

de Wet gemeentelijke basisadministratie persoonsgegevens, wet van 9 juni 1994, Stb. 494, houdende regels ter zake van de gemeentelijke basisadministratie van persoonsgegevens, zoals deze wet laatstelijk is gewijzigd bij de wet van 2 november 2006, Stb. 2007, 76.

- bevroren bevolkingsregister:

de registers die zijn ingericht op basis van de Wet op de bevolkings- en verblijfsregisters en het besluit bevolkingsboekhouding en die ingevolge de intrekking van die wet en dat besluit per 1 oktober 1994 niet meer worden bijgehouden;

- audit:

een controle op de integriteit van de persoonsgegevens welke wordt uitgevoerd door een namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen auditinstelling. De audit bestaat onder andere uit een a-selecte steekproef van actuele en opgeschorte persoonslijsten. De omvang van de steekproef is afhankelijk van het inwonertal van de gemeente;

- kwaliteitssteekproef:

een controle op de inhoud van gegevenselementen aan de hand van de daaraan ten grondslag liggende brondocumenten en procedures, over een representatief aantal persoonslijsten;

- foutverslag:

het automatisch door het systeem aangemaakte overzicht van fouten die ontdekt zijn in de over het netwerk binnenkomende berichten;

- foutenlijst:

het door het systeem aangemaakte overzicht van foutieve elementen op de persoonslijsten die zich in de gemeentelijke basisadministratie bevinden;

- autorisatie:

het binnen de toepassingsprogrammatuur toekennen van het niveau van gebruikers- mogelijkheden aan een persoon of afdeling of het binnen de toepassingsprogrammatuur toekennen van het niveau van gegevensverstrekking aan afnemers en derden;

- verantwoordelijke:

het college van burgemeester en wethouders dat via de Wet GBA is aangewezen als verantwoordelijke;

- beheerder:

de functionaris die onder verantwoordelijkheid van de verantwoordelijke belast is met de dagelijkse zorg voor de basisadministratie;

- informatiebeheer:

het geheel van activiteiten gericht op beleidsvoorbereiding ter zake de gemeentelijke basisadministratie, de ontwikkeling van kwaliteitsprocedures, beveiligingsprocedures, verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures;

- beveiligingsbeheer:

het geheel van activiteiten gericht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten;

- gegevensbeheer:

het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het gegevens verzamelen, de gegevensverwerking en de informatievoorziening;

- functioneel beheer:

het geheel van activiteiten gericht op het ondersteunen van het GBA-toepassings- systeem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening;

- systeembeheer:

het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingsysteem;

- privacybeheer:

het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en verwerken van gegevens en de informatievoorziening;

- gegevensverwerking:

het ontlenen vangegevens aan documenten en deze op een voorgeschreven wijze middels het daartoe bestemde toepassingsysteem opnemen in een gegevensbestand;

- bewerker:

degene die ten behoeve van de verantwoordelijke of beheerder persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen en die geen zeggenschap heeft over de verwerking.

• 1.

  Het afdelingshoofd Publiekszaken is beheerder van de gemeentelijke basisadministratie persoonsgegevens en in die hoedanigheid informatiebeheerder en privacybeheerder. Hij kan de taak van informatiebeheerder en privacybeheerder geheel of gedeeltelijk mandateren aan een of meer nader aan te wijzen ambtenaren.

• 2.

  De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het afdelingshoofd Publiekszaken en het College van Burgemeester en Wethouders.

Burgemeester en wethouders wijzen functionarissen aan die worden belast met:

• -

  het functioneel beheer;

• -

  het gegevensbeheer;

• -

  het systeembeheer;

• -

  de gegevensverwerking;

• -

  het beveiligingsbeheer.

• -

  Burgemeester en wethouders houden toezicht op de binnengemeentelijke afnemer ten aanzien van de naleving van de Wet bescherming persoonsgegevens;

• -

  Burgemeester en wethouders zijn bevoegd om aanwijzingen te geven aan de binnengemeentelijke afnemers ten aanzien van de naleving van de Wet bescherming persoonsgegevens;

• -

  Burgemeester en wethouders zijn bevoegd om derden beperkt toegang te verstrekken tot de GBA via de binnengemeentelijke afnemers indien dit van belang is voor de gemeente dan wel voor de uitoefening van de taak.

De informatiebeheerder voorziet in:

• -

  een jaarlijks werkplan waarin de beheeractiviteiten worden opgenomen;

• -

  een jaarverslag waarin mede gerapporteerd wordt aan burgemeester en wethouders over het onder bedoelde werkplan, waarbij tevens inzicht wordt gegeven in de kengetallen van de bijhoudings- en beheersprocedures;

• -

  een jaarlijkse rapportage over de resultaten die voortvloeien uit de in artikel 11 bedoelde kwaliteitssteekproef;

• -

  uitvoering van de driejaarlijkse ‘periodieke audit GBA’ door de privacybeheerder;

• -

  administratieve beheersprocedures, voor zover hier niet door of bij de Wet in is voorzien;

• -

  periodiek overleg tussen hem en de gegevens-, de functioneel-, de systeem-, de privacy-, en de beveiligingsbeheerder;

De informatiebeheerder adviseert het college van burgemeester en wethouders als verantwoordelijke van de gemeentelijke basisadministratie persoonsgegevens over de navolgende aspecten die voortvloeien uit de gemeentelijke basisadministratie persoonsgegevens te weten:

• -

  kwaliteit van de gegevens;

• -

  persoonsinformatievoorziening;

• -

  privacy;

• -

  beveiliging;

De informatiebeheerder beslist:

• -

  over de installatie van nieuwe of gewijzigde versies van het GBA-toepassingssysteem;

• -

  op incidentele verzoeken van binnengemeentelijke afnemers tot rechtstreekse toegang tot de basisadministratie persoonsgegevens;

• -

  op overige verzoeken van binnengemeentelijke afnemers en derden tot het verkrijgen van gegevens uit de gemeentelijke basisadministratie;

• -

  over het toekennen van autorisaties.

De informatiebeheerder ziet er op toe dat:

• -

  de bij of krachtens de Wet opgelegde verplichtingen ten aanzien van inrichting en bijhouding van de gemeentelijke basisadministratie persoonsgegevens worden nageleefd;

• -

  de in deze regeling opgenomen bepalingen worden nageleefd;

• -

  de managementsamenvatting van de driejaarlijkse ‘periodieke GBA-audit’ ter kennis komt van de gemeenteraad;

• -

  dat alle in artikel 3 genoemde functionarissen op de hoogte zijn gesteld van de installatie van nieuwe of gewijzigde versies van het GBA toepassingsysteem en van de gevolgen van deze installatie;

• -

  onderzoek plaatsvindt naar inbreuken op de informatiebeveiliging en neemt zonodig maatregelen om herhaling te voorkomen;

• -

  de behandeling en afhandeling van verzoeken om gegevensverstrekking uit de gemeentelijke basisadministratie persoonsgegevens geschiedt volgens de bepalingen uit de Wet GBA en de Verordening gemeentelijke basisadministratie persoonsgegevens;

• -

  de beveiligingsvoorschriften die voortvloeien uit de Wet en het beveiligingsplan GBA en waardedocumenten worden nageleefd.

De informatiebeheerder, of een door hem aan te wijzen functionaris opgesomd in artikel 3, neemt deel aan buitengemeentelijk overleg inzake onderwerpen die het beheer van de gemeentelijke basisadministratie persoonsgegevens aangaan.

De gegevensbeheerder is verantwoordelijk voor:

• -

  de juistheid, actualiteit en betrouwbaarheid van de gegevens die opgenomen zijn of worden in de gemeentelijke basisadministratie persoonsgegevens;

• -

  het beheer van documentatie op het gebied van de Wet en overige regelgeving op het gebied van de gemeentelijke basisadministratie persoonsgegevens;

• -

  het doen van verbetervoorstellen en het opstellen van kwaliteitsmaatregelen;

• -

  het tijdig opschonen van de gegevensbestanden van via het netwerk ontvangen berichten waarvan de cycli zijn afgehandeld;

• -

  de technische afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties;

• -

  een planning van periodieke gegevensverstrekkingen die op basis van autorisatiebesluiten worden aangegaan;

• -

  de communicatie met de afnemers en andere houders van gemeentelijke basisadministraties over gegevensverwerking.

De gegevensbeheerder is bevoegd vanuit de in artikel 10 bedoelde verantwoordelijkheid de gegevensverwerkers aanwijzingen te geven inzake de opname en bijhouding van gegevens in de gemeentelijke basisadministratie persoonsgegevens.

Periodiek wordt de inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen

onderworpen aan een audit door een namens de Minister van Binnenlandse Zaken en Koninkrijksrelaties aangewezen auditinstelling. De gegevensbeheerder voorziet in een doorlopende kwaliteitssteekproef en de uitvoering van de daarmee samenhangende verbetermaatregelen gericht op het welslagen van de eerder vermelde audit.

De gegevensbeheerder voorziet in een tenminste jaarlijkse kwaliteitssteekproef op het bestand van persoonslijsten van ingeschrevenen. De gegevensbeheerder neemt deel aan het in artikel 5, onder f, genoemde overleg.

De systeembeheerder is verantwoordelijk voor het technisch onderhoud van het computersysteem waarop de GBA-toepassingsprogrammatuur is geïnstalleerd.

De systeembeheerder voorziet in:

• -

  de fysieke beveiliging van het toepassingssysteem;

• -

  de technische installatie van gewijzigde of nieuwe versies van het toepassingssysteem;

• -

  de beschikbaarheid van het toepassingssysteem overeenkomstig hetgeen daarover intern en met derden is overeengekomen;

• -

  uitwijkvoorzieningen;

• -

  een dagelijkse back-up die wordt ondergebracht in een daartoe uitgeruste en beveiligde ruimte op een andere locatie dan de ruimte waarin de GBA apparatuur is opgesteld. Bij voorkeur in een ander gebouw;

• -

  het transport, de veilige opslag van verwijderbare gegevensdragers en deugdelijke periodieke vernietiging daarvan;

• -

  de logging in het toepassingssysteem voor de functioneel beheerder, de systeembeheerder en de leverancier van het toepassingssysteem.

• -

  Een SLA omtrent de beschikbaarheid van het toepassingssysteem.

De systeembeheerder is bevoegd:

• -

  direct maatregelen te treffen als de continuïteit van het toepassingssysteem of de daarin opgeslagen informatie acuut in het geding is; hij is verplicht achteraf ter zake te rapporteren aan de informatiebeheerder;

• -

  aanwijzingen te geven over:

• -

  beheer van toepassingssystemen;

• -

  beheer van bestanden;

• -

  reconstructiemaatregelen.

De systeembeheerder neemt deel aan het in artikel 5, onder f, genoemde overleg.

De functioneel beheerder is verantwoordelijk voor:

• -

  de ondersteuning bij het gebruik van het toepassingssysteem;

• -

  de afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, alsmede de systematische gegevensverstrekking die plaatsvindt op basis van de door het college van burgemeester en wethouders vastgestelde procedurebeschrijving voor de gemeentelijke basisregistratie;

• -

  het beheer van de gebruikersdocumentatie;

• -

  het beheer van de tabellen van de gemeentelijke basisadministratieve persoonsgegevens;

• -

  het tijdig opschonen van de relevante bestanden in een database.

De functioneel beheerder is bevoegd:

• -

  gegevensverwerkers en het personeel van externe afdelingen die rechtstreeks toegang hebben tot de basisadministratie persoonsgegevens aanwijzingen te geven over het gebruik van het toepassingssysteem;

• -

  over het gebruik van de basisadministratie persoonsgegevens gedragsregels op te stellen.

De functioneel beheerder voorziet in:

• -

  de communicatie bij storingen in hard- en software;

• -

  een bijdrage aan het oplossen van storingen binnen het toepassingssysteem;

• -

  maatregelen om de gevolgen van verkeerd uitgevoerde systematische verstrekkingen ongedaan te maken;

• -

  de bijhouding van een logboek waarin problemen, klachten en bijzondere gebeurtenissen worden bijgehouden;

• -

  de coördinatie van de werkzaamheden in geval van uitwijk;

• -

  het halfjaarlijks testen van de uitwijk en restore;

• -

  de rechtstreekse toegang tot de basisadministratie persoonsgegevens van hiertoe bevoegde binnengemeentelijke afnemers;

• -

  de toekenning en schriftelijke vastlegging van de autorisatieniveau's die aan gegevensverwerkers zijn toegewezen;

• -

  de bijhouding van een verzameling van de autorisaties die zijn toegekend voor gegevensverwerking en rechtstreekse toegang;

• -

  de logging van:

• -

  medewerkers die gegevens raadplegen;

• -

  medewerkers die gegevens muteren.

• -

  melding van inbreuken op de informatiebeveiliging aan de informatiebeheerder;

• -

  het testen en evalueren van nieuwe versies van het toepassingssysteem, alsmede het testen en evalueren van nieuwe apparatuur;

• -

  de beoordeling van de gevolgen van de installatie van nieuwe en of gewijzigde versies van het toepassingssysteem;

• -

  de voorlichting aan de gegevensverwerkers met betrekking tot de gevolgen van een nieuwe of gewijzigde versie van het toepassingssysteem;

• -

  de vormgeving en inhoud van documenten, die rechtstreeks aan de gemeentelijke basisadministratie persoonsgegevens worden ontleend;

• -

  de afhandeling van verzoeken om managementgegevens.

De functioneel beheerder adviseert de informatiebeheerder over:

• -

  gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen;

• -

  installatie van nieuwe of gewijzigde versies van het toepassingssysteem.

• -

  de functioneel beheerder neemt deel aan het externe gebruikersoverleg en het overleg genoemd in artikel 5, onder f.

• -

  de functioneel beheerder beslist -na overleg met de informatiebeheerder en de systeembeheerder- over gehele of gedeeltelijke inwerkingtreding van uitwijkprocessen zoals beschreven in de procedure uitwijk.

• -

  de functioneel beheerder ziet erop toe dat voorgeschreven procedures uit het informatiebeveiligingsplan GBA en waardedocumenten worden nageleefd.

De privacybeheerder is verantwoordelijk voor:

• -

  de inhoudelijke afhandeling van de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister van Binnenlandse Zaken en Koninkrijksrelaties, alsmede de systematische gegevensverstrekking op grond van de door het college van burgemeester en wethouders vastgestelde Verordening gemeentelijke basisadministratie persoonsgegevens;

• -

  het dagelijkse toezicht op de naleving van de privacyvoorschriften die voortvloeien uit de Wet, de Verordening gemeentelijke basisadministratie persoonsgegevens en de Wet bescherming persoonsgegevens.

De privacybeheerder is bevoegd:

• -

  op grond van het in artikel 20 genoemde toezicht, alle gebruikers van het toepassingssysteem aanwijzingen te geven;

• -

  ongevraagd advies uit te brengen over alle procedures en producten die betrekking hebben op de gemeentelijke basisadministratie persoonsgegevens, waarbij de persoonlijke levenssfeer in het geding is.

De privacybeheerder voorziet in:

• -

  de afhandeling van de verzoeken om inzage overeenkomstig artikel 79 van de Wet (inzage);

• -

  de behandeling van alle verzoeken om geheimhouding die op basis van artikel 102, eerste lid, onder a, ingediend worden en doet eventueel de privacytoets van artikel 102, tweede lid, van de Wet;

• -

  de afhandeling van verzoeken om inzage in verstrekkingen aan afnemers en derden.

De privacybeheerder is betrokken bij alle bezwaarschriftenprocedures die voortvloeien uit genomen beslissingen op grond van de Wet en daarbij behorende regelingen, de Wet bescherming persoonsgegevens voorzover hierbij privacyaspecten aan de orde zijn.

De gegevensverwerkers voorzien in:

• -

  het verwerken van de gegevens overeenkomstig de krachtens de Wet, middels het Logisch Ontwerp, handleiding uitvoeringsprocedures, voorgeschreven wijze, voorzover de verwerker daartoe door de applicatiebeheerder geautoriseerd;

• -

  het verzamelen van de daarvoor bestemde gegevens;

• -

  de archivering van de brondocumenten op grond waarvan de gegevens zijn verwerkt;

• -

  de behandeling van de foutverslagen, voortvloeiend uit de inkomende netwerkberichten;

• -

  de behandeling van het netwerkverkeer, met uitzondering van de periodieke gegevensverstrekking;

• -

  de behandeling van mutaties;

• -

  de toetsing van de waarde die aan overgelegde brondocumenten kan worden toegekend aan de hand van artikel 36 van de Wet en ziet erop toe dat geen gegevens worden verwerkt uit documenten waaraan bij of krachtens de Wet geen ontleningsstatus is gegeven;

• -

  de dagelijkse controle van in het systeem aangebrachte actualiseringen;

• -

  de toezending van de complete persoonslijst aan de geregistreerde ingeval van een:

• -

  eerste inschrijving in de gemeentelijke basisadministratie persoonsgegevens, en

  een vervolginschrijving uit het buitenland;

• -

  de kennisgeving aan de geregistreerde voor wat betreft de verwerking van:

• -

  wijziging van het naamgebruik;

• -

  vervolginschrijving die leidt tot opname in de gemeentelijke basisadministratie-persoonsgegevens.

De gegevensverwerkers beslissen op aangiften en verzoekschriften die op grond van de Wet worden gedaan, met inachtneming van het gestelde in artikel 27 en voor zover hier niet op andere wijze in is voorzien.

De beveiligingsbeheerder is verantwoordelijk voor het beheer van het Informatiebeveiligingsplan GBA en waardedocumenten.

De beveiligingsbeheerder is bevoegd om medewerkers van de afdeling Publiekszaken aanwijzingen te geven ten aanzien van beveiligingsvoorschriften, die voortvloeien uit de gemeentelijke basisadministratie persoonsgegevens en het Informatiebeveiligingsplan GBA en waardedocumenten.

De beveiligingsbeheerder ziet er op toe dat:

• -

  beveiligingsvoorschriften die voortvloeien uit de Wet en het Informatiebeveiligingsplan GBA en waardedocumenten worden nageleefd;

• -

  de in deze regeling opgenomen bepalingen inzake beveiliging worden nageleefd.

De beveiligingsbeheerder adviseert het college van burgemeester en wethouders rechtstreeks als verantwoordelijke van de gemeentelijke basisadministratie persoonsgegevens over beveiligingsaspecten die uit de gemeentelijke basisadministratie persoonsgegevens en het Informatiebeveiligingsplan GBA en waardedocumenten voortvloeien.

De beveiligingsbeheerder voorziet in een jaarlijks verslag over de activiteiten inzake het Beveiligingsbeheer.

De in deze regeling opgenomen bepalingen gelden naast de gemeentelijke basisadministratie persoonsgegevens tevens voor het persoonskaartenarchief en de in de gemeentelijke basisadministratie aangehaakte gegevens die onder de werkingssfeer van de Wet bescherming persoonsgegevens (Wbp, Stb.2000, nr 302) vallen.

De GBA-beheersregeling, zoals vastgesteld d.d. 20-08-2002, wordt ingetrokken.

Deze regeling treedt in werking op de dag na die waarop zij is vastgesteld.

Deze regeling wordt aangehaald als: Beheerregeling gemeentelijke basisadministratie persoonsgegevens 2009.

De beheerregeling ligt ter inzage bij het KCC.

Aldus besloten tijdens de vergadering van burgemeester en wethouders der gemeente Heerlen van 12 januari 2010.

   de secretaris, de burgemeester,

ir. H.K.W. Bekkers  mr. A.M.G. Gresel