Organisatie | Rotterdam |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Beheerregeling gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009 |
Citeertitel | Beheerregeling gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Gemeenteblad 2009-57 |
Geen.
Wet gemeentelijke basisadministratie persoonsgegevens, art. 14
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
07-05-2009 | nieuwe regeling | 07-04-2009 Gemeenteblad 2009-57 | Voorstel algemeen directeur Publiekszaken 7 april 2009; kenmerk: UB0903.005 | ||
07-05-2009 | nieuwe regeling | 07-04-2009 Gemeenteblad 2009-57 | Voorstel algemeen directeur Publiekszaken 7 april 2009; kenmerk: UB0903.005 |
Het college van burgemeester en wethouders van de gemeente Rotterdam,
Gelezen het voorstel van de algemeen directeur van Publiekszaken Rotterdam van 7 april 2009; kenmerk UB0903.005;
gelet op artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;
Beheerregeling gemeentelijke basisadministratie persoonsgegevens Rotterdam 2009
Hoofdstuk 1 Algemene bepalingen
In deze regeling wordt verstaan onder:
Hoofdstuk 2 Het informatiebeheer
De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten voortvloeiende uit de wet GBA:
Hoofdstuk 3 Het beveiligingsbeheer
De beveiligingsbeheerder is bevoegd om aanwijzingen te geven met betrekking tot de beveiligingsvoorschriften voortvloeiende uit de Wet GBA en de Wbp aan medewerkers van:
De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures, die voortvloeien uit genomen beslissingen op grond van de Wet GBA, de Wbp en regelgeving voortvloeiende uit de Wet GBA, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.
Hoofdstuk 5 Het gegevensbeheer
De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt eenmaal in de drie jaar onderworpen aan een audit door een namens de Minister aangewezen auditinstelling.
Hoofdstuk 7 Het applicatiebeheer
De applicatiebeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in hoofdstuk 6 van deze regeling, de binnengemeentelijke afnemers die rechtstreeks toegang hebben tot de GBA en de in artikel 12, onder b, van deze regeling genoemde derden.
De systeembeheerder is verantwoordelijk voor het technisch onderhouden van het toepassingssysteem.
Bijlage behorende bij artikel 3 van deze regeling.
In artikel 14 van de Wet GBA is opgenomen dat de hoofdlijnen van het beheer van de gemeentelijke basisadministratie persoonsgegevens moeten zijn beschreven, vastgelegd en voor een ieder ter inzage gelegd. Deze hoofdlijnen zijn:
de taakverdeling en de verantwoordelijkheidsverdeling binnen de gemeente;
de procedures inzake de bijhouding van en controle van GBA-gegevens;
de procedures inzake verstrekking van gegevens;
de procedures inzake verwerking van terugmeldingen;
het technisch beheer (procedure voor back-up, herstel en uitwijk).
Het college van burgemeester en wethouders (het college van B&W) legt de hoofdlijnen van het beheer van de GBA vast in de zogenaamde beheerregeling GBA. Deze regeling is voor het laatst op 17 april 2007 vastgesteld vanwege de naamswijziging van Dienst Burgerzaken in Publiekszaken Rotterdam. Aangezien de interne organisatie is gewijzigd, is het nodig een nieuwe beheerregeling vast te stellen. De beheerregeling GBA is een nadere invulling van de eisen omtrent beheer van de GBA zoals die onder meer vermeld staan in hoofdstuk 7 van het Logisch Ontwerp van de GBA.
De beheerregeling is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de GBA. De maatregelen op het procedurele en organisatorische vlak zijn in deze beheerregeling nader uitgewerkt.
In de beheerregeling zijn de werkzaamheden van de medewerkers die direct met de GBA werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de GBA wordt gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.
Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.
De beheerregeling GBA voorziet in de invulling van de volgende beheertaken:
Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties moeten binnen de organisatiestructuur van PZR ingevoerd worden. Een aantal functies is eerder al benoemd. Nu een nieuwe beheerregeling GBA wordt vastgesteld worden de functies opnieuw ingevuld c.q. benoemd. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.
Hoofdstuk 1 Algemene bepalingen
In dit hoofdstuk worden definities gegeven van de belangrijke actoren en elementen in de beheerregeling.
Hoofdstuk 2 Het informatiebeheer
In dit hoofdstuk worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.
Het college van B&W is verantwoordelijk voor de verwerking van persoonsgegevens in de GBA. De algemeen directeur van PZR is beheerder van de GBA en in die hoedanigheid informatiebeheerder.
Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de GBA, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.
De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.
De in artikel 7c genoemde verantwoordelijkheid is gebaseerd op artikel 120a Wet GBA.
Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de GBA Audit wordt voldaan.
Hoofdstuk 3 Het beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van B&W en de portefeuillehouder, zo nodig zonder tussenkomst van de algemeen directeur Publiekszaken Rotterdam.
Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.
De beveiligingsbeheerder is verantwoordelijk voor:
De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan GBA en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:
Over de fysieke beveiliging vindt overleg plaats met het hoofd Bedrijfsbureau.
Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de GBA die wordt verleend aan derden.
Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.
Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de GBA over beveiligingsvoorschriften uit de Wet GBA, het Informatiebeveiligingsplan en de Wbp .
De GBA is een registratie van personen waarop onder ‘normale’ omstandigheden de Wet bescherming persoonsgegevens (Wbp) van toepassing zou zijn. De Wet GBA kent echter een eigen stelsel van privacybescherming. Het college van B&W heeft als verantwoordelijke van de GBA te zorgen voor een zorgvuldige gegevensverstrekking.
Veel van de dagelijkse verstrekkingen zijn gebaseerd op wettelijke voorschriften zoals het Autorisatiebesluit buitengemeentelijke afnemer, bijzondere derden. Verstrekkingen aan vrije derden en binnengemeentelijke afnemers zijn geregeld in de verordening GBA en de GBA-privacyregeling voor de bevolkingsadministratie Rotterdam.
Het hoofd van de afdeling Beleid & Strategie is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.
Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening GBA en een GBA-privacyregeling. Op basis hiervan zijn de systematische verstrekkingen aan binnengemeentelijke afnemers, de toegang van die afnemers tot de GBA en de verbanden tussen de GBA en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.
Artikel 12 legt de verantwoordelijkheid voor het verschaffen van beperkte toegang aan derden op grond van de Wbp door een binnengemeentelijke afnemer expliciet bij de privacybeheerder. De toegang strekt zich slechts uit tot die gegevens die de derden nodig hebben om het beoogde doel te bereiken. Voor nadere uitwerking van het doel wordt verwezen naar de GBA-privacyregeling.
De privacybeheerder wordt als gevolg van de wijziging tevens verantwoordelijk geacht voor het toezicht op de implementatie en naleving van de Wbp door diezelfde binnengemeentelijke afnemer. Dit is nodig om de privacybeheerder in staat te stellen de zorgvuldige omgang met de persoonsgegevens uit de GBA in de relatie binnengemeentelijke afnemer en derden te kunnen beheersen.
Er wordt door de privacybeheerder tevens toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de Wbp hebben.
Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.
Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.
De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.
Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.
Hoofdstuk 5 Het gegevensbeheer
De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.
De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de GBA en de verantwoordelijkheid voor de documentatie rond de GBA. Deze bevoegdheden en verantwoordelijkheden worden geacht te zijn opgenomen in de functiebeschrijving van de functionaris.
De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de GBA. Hiervoor dient hij schriftelijke instructies te geven.
Hoofdstuk 6 De gegevensverwerking
Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de GBA is deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.
De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de GBA is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.
Artikel 21 verwijst in lid a naar de Wet GBA, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.
Hoofdstuk 7 Het applicatiebeheer
De applicatiebeheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van het toepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de GBA-applicatie heeft de regelgeving op het GBA-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de applicatiebeheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.
Bij PZR wordt een onderscheid gemaakt in functioneel en technisch applicatiebeheer. Het technisch applicatiebeheer is belegd bij het team ICT van het Bedrijfsbureau. Het functionele applicatiebeheer is ondergebracht bij de afdeling TLO.
Artikel 22 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de applicatiebeheerder.
Artikel 23 geeft de applicatiebeheerder de bevoegdheid aanwijzingen te geven.
Artikel 24 regelt de bevoegdheid van de applicatiebeheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de binnengemeentelijke afnemers en de derden die op grond van de Wbp beperkte toegang hebben tot de GBA.
Artikel 25 regelt de adviserende rol (aan de informatiebeheerder of systeembeheerder) in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.
Systeembeheer is ondergebracht bij team ICT van het Bedrijfsbureau. Systeembeheer is verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingssysteem. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.
De systeembeheerder moet tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers, alsmede de login van de applicatie- en systeembeheerder. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van het toepassingssysteem.