Organisatie | Rotterdam |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012 |
Citeertitel | Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Gemeenteblad 2012-134 |
Geen
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
01-12-2012 | 01-01-2014 | Onbekend | 09-10-2012 Gemeenteblad 2012-134 | 998975 |
Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012
Het college van burgemeester en wethouders van de gemeente Rotterdam,
gelezen het voorstel van de concerndirecteur Dienstverlening van 9 oktober 2012 met kenmerk 998975;
gelet op artikel 5 van de Verordening gemeentelijke basisregistratie personen Rotterdam 2012 en artikel 14 van de Wet gemeentelijke basisadministratie persoonsgegevens;
Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012
De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten voortvloeiende uit de wet GBA:
Paragraaf 3 Beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor:
het toezicht op de naleving van maatregelen en procedures voortkomend uit het Informatiebeveiligingsplan.
De beveiligingsbeheerder is bevoegd om aanwijzingen te geven met betrekking tot de beveiligingsvoorschriften voortvloeiende uit de wet en de Wet bescherming persoonsgegevens aan medewerkers van:
De beveiligingsbeheerder voorziet in:
De beveiligingsbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures, die voortvloeien uit genomen beslissingen op grond van de wet, de Wet bescherming persoonsgegevens en regelgeving voortvloeiende uit de wet, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.
De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt eenmaal in de drie jaar onderworpen aan een audit door een namens de Minister aangewezen auditinstelling.
De applicatiebeheerder is verantwoordelijk voor:
1° de periodieke gegevensverstrekking die plaatsvindt op basis van een autorisatiebesluit van de Minister;
2° de systematische gegevensverstrekking die plaatsvindt op basis van een besluit van de verantwoordelijke krachtens de privacyregeling;
De applicatiebeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in paragraaf 6 van deze regeling, de binnengemeentelijke afnemers die rechtstreeks toegang hebben tot de basisregistratie personen en de in artikel 12, onder b, van deze regeling genoemde derden die toegang hebben tot de basisregistratie.
De applicatiebeheerder voorziet in:
het faciliteren en vastleggen van de autorisatieniveaus die aan gegevensverwerkers, gegevensbeheerder, applicatiebeheerder, informatiebeheerder, binnengemeentelijke afnemers en de in artikel 12, onder b, van deze regeling genoemde derden die op grond van een besluit van de informatiebeheerder zijn toegewezen;
De systeembeheerder is verantwoordelijk voor het technisch onderhouden van het toepassingssysteem.
De in deze regeling opgenomen bepalingen gelden voor de basisregistratie personen als bedoeld artikel 1 van de Verordening gemeentelijke basisregistratie personen Rotterdam 2012 evenals voor de daarin genoemde aangehaakte gegevens.
Deze regeling wordt aangehaald als Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012.
Aldus vastgesteld in de vergadering van 9 oktober 2012.
De secretaris, De burgemeester,
Ph. F. M. Raets J. Kriens, l.b.
Bijlage behorende bij artikel 3 van deze regeling.
In artikel 14 van de Wet GBA is opgenomen dat de hoofdlijnen van het beheer van de gemeentelijke basisadministratie persoonsgegevens moeten zijn beschreven, vastgelegd en voor een ieder ter inzage gelegd. Deze hoofdlijnen zijn:
· de taakverdeling en de verantwoordelijkheidsverdeling binnen de gemeente;
· de procedures inzake de bijhouding van en controle van GBA-gegevens;
· de procedures inzake verstrekking van gegevens;
· de procedures inzake verwerking van terugmeldingen;
· het technisch beheer (procedure voor back-up, herstel en uitwijk).
Het college van burgemeester en wethouders legt de hoofdlijnen van het beheer van de GBA vast in de zogenaamde beheerregeling GBA. Deze regeling is voor het laatst op 7 april 2009 vastgesteld vanwege de opname van de taken, verantwoordelijkheden en bevoegdheden van de beveiligingsbeheerder. Aangezien de interne organisatie is gewijzigd, is het nodig een nieuwe beheerregeling vast te stellen. De beheerregeling GBA is een nadere invulling van de eisen omtrent het beheer van de GBA zoals die onder meer vermeld staan in paragraaf 7 van het Logisch Ontwerp van de GBA.
De beheerregeling is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de GBA. De maatregelen op het procedurele en organisatorische vlak zijn in deze beheerregeling nader uitgewerkt.
In de beheerregeling zijn de werkzaamheden van de medewerkers die direct met de GBA werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de GBA wordt gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.
Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.
De beheerregeling GBA voorziet in de invulling van de volgende beheertaken:
Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties moeten binnen de organisatiestructuur van PZR ingevoerd worden. Een aantal functies is eerder al benoemd. Nu een nieuwe beheerregeling GBA wordt vastgesteld worden de functies opnieuw ingevuld c.q. benoemd. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.
Paragraaf 1 Algemene bepalingen
In deze paragraaf worden definities gegeven van de belangrijke actoren en elementen in de beheerregeling.
Het betreft hier het functioneel inhoudelijk beheer en het verstrekkingenbeheer van de basisregistratie personen, zoals die is gedefinieerd in artikel 1. De bronhouder beheert inhoud en kwaliteit van de gegevens in de basisadministratie en stelt tevens leveringsvoorwaarden (i.c. privacyvoorwaarden) aan de verstrekking van gegevens uit de basisadministratie.
De gegevensverstrekking binnen de gemeentelijke organisatie over niet-inwoners uit basisadministraties van andere gemeenten, dient gebaseerd te zijn op het autorisatiebesluit van de minister van Binnenlandse Zaken en Koninkrijksrelaties. Het beheer en de uitvoering van dat autorisatiebesluit, maken deel uit van het functioneel inhoudelijk en verstrekkingenbeheer van de basisregistratie personen.
De hier beschreven beheerrol is belegd bij concerndirecteur Dienstverlening. Van belang is hierbij op te merken dat voor de verstrekking van gegevens aan de binnengemeentelijke gebruikers, gebruik gemaakt wordt van het gegevensmagazijn waarvan het beheer niet bij de bronhouder is belegd, maar bij Het betreft hier een gegevensmagazijn, waar de BRP deel van uitmaakt. Hoewel in hiërarchische zin niet verantwoordelijk voor deze oplossing, blijft wel functioneel inhoudelijk verantwoordelijk. De functionaris bij de CIO office die belast is met de verstrekking van gegevens uit de BRP ontvangt functioneel inhoudelijke sturing van .
Paragraaf 2 Het informatiebeheer
In deze paragraaf worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.
Het college van B&W is verantwoordelijk voor de verwerking van persoonsgegevens in de GBA. De concerndirecteur Dienstverlening is beheerder van de GBA en in die hoedanigheid informatiebeheerder.
Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de GBA, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.
De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.
Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de GBA Audit wordt voldaan.
Paragraaf 3 Het beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van B&W en de portefeuillehouder, zo nodig zonder tussenkomst van de directeur Publiekszaken .
Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.
De beveiligingsbeheerder is verantwoordelijk voor:
De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan GBA en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan GBA en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:
Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de GBA die wordt verleend aan derden.
Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.
Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de GBA over beveiligingsvoorschriften uit de Wet GBA, het Informatiebeveiligingsplan en de Wbp .
De GBA is een registratie van personen waarop onder ‘normale’ omstandigheden de Wet bescherming persoonsgegevens (Wbp) van toepassing zou zijn. De Wet GBA kent echter een eigen stelsel van privacybescherming. Het college van B&W heeft als verantwoordelijke van de GBA te zorgen voor een zorgvuldige gegevensverstrekking.
Veel van de dagelijkse verstrekkingen zijn gebaseerd op wettelijke voorschriften zoals het Autorisatiebesluit buitengemeentelijke afnemer, bijzondere derden. Verstrekkingen aan vrije derden en binnengemeentelijke afnemers zijn geregeld in de verordening gemeentelijke basisregistratie personen Rotterdam 2012 en de privacyregeling gemeentelijke basisregistratie personen Rotterdam 2012.
Het hoofd van Directie Ondersteuning is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.
Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening gemeentelijke basisregistratie personen en een privacyregeling gemeentelijke basisregistratie personen. Op basis hiervan zijn de systematische verstrekkingen aan binnengemeentelijke afnemers, de toegang van die afnemers tot de GBA en de verbanden tussen de GBA en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.
Artikel 12 legt de verantwoordelijkheid voor het verschaffen van beperkte toegang aan derden op grond van de Wbp door een binnengemeentelijke afnemer expliciet bij de privacybeheerder. De toegang strekt zich slechts uit tot die gegevens die de derden nodig hebben om het beoogde doel te bereiken. Voor nadere uitwerking van het doel wordt verwezen naar de privacyregeling gemeentelijke basisregistratie personen.
De privacybeheerder wordt als gevolg van de wijziging tevens verantwoordelijk geacht voor het toezicht op de implementatie en naleving van de Wbp door diezelfde binnengemeentelijke afnemer. Dit is nodig om de privacybeheerder in staat te stellen de zorgvuldige omgang met de persoonsgegevens uit de GBA in de relatie binnengemeentelijke afnemer en derden te kunnen beheersen.
Er wordt door de privacybeheerder tevens toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de Wbp hebben.
Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.
Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.
De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.
Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.
Paragraaf 5 Het gegevensbeheer
De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.
De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de GBA en de verantwoordelijkheid voor de documentatie rond de GBA. Deze bevoegdheden en verantwoordelijkheden worden geacht te zijn opgenomen in de functiebeschrijving van de functionaris.
De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de GBA. Hiervoor dient hij schriftelijke instructies te geven.
Paragraaf 6 De gegevensverwerking
Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de GBA deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.
De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de GBA is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.
Artikel 21 verwijst in lid a naar de Wet GBA, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.
Paragraaf 7 Het applicatiebeheer
De applicatiebeheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van het toepassingssysteem en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de GBA-applicatie heeft de regelgeving op het GBA-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de applicatiebeheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.
Bij Publiekszaken worden bepaalde taken van applicatiebeheer in samenspraak met de Serviceorganisatie ICT Rotterdam uitgevoerd.
Artikel 22 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de applicatiebeheerder.
Artikel 23 geeft de applicatiebeheerder de bevoegdheid aanwijzingen te geven.
Artikel 24 regelt de bevoegdheid van de applicatiebeheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de binnengemeentelijke afnemers en de derden die op grond van de Wbp beperkte toegang hebben tot de basisregistratie personen.
Artikel 25 regelt de adviserende rol (aan de informatiebeheerder of systeembeheerder) in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.
Systeembeheer wordt uitgevoerd door de Serviceorganisatie ICT Rotterdam. Systeembeheer is verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van het toepassingssysteem. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.
De systeembeheerder moet tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers, alsmede de login van de applicatie- en systeembeheerder. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van het toepassingssysteem.