Organisatie | Rotterdam |
---|---|
Organisatietype | Gemeente |
Officiële naam regeling | Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014 |
Citeertitel | Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014 |
Vastgesteld door | college van burgemeester en wethouders |
Onderwerp | bestuur en recht |
Eigen onderwerp | Gemeenteblad 2013-176 |
Geen
Verordening gegevensverstrekking basisregistratie personen Rotterdam 2014
Datum inwerkingtreding | Terugwerkende kracht tot en met | Datum uitwerkingtreding | Betreft | Datum ondertekening Bron bekendmaking | Kenmerk voorstel |
---|---|---|---|---|---|
06-01-2014 | 22-05-2019 | Onbekend | 17-12-2013 Gemeenteblad 2013-176 | gelezen het voorstel van de concerndirecteur Dienstverlening van 17 december 2013; kenmerk 1277253 |
Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014
Het college van burgemeester en wethouders van de gemeente Rotterdam,
gelezen het voorstel van de concerndirecteur Dienstverlening van
17 december 2013; kenmerk 1277253;
gelet op artikel 2 van de Verordening gegevensverstrekking basisregistratie personen Rotterdam 2014 en de artikelen 1.10 en 1.11 van de Wet basisregistratie personen;
Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014
De informatiebeheerder adviseert de verantwoordelijke over de navolgende aspecten:
Paragraaf 3 beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor:
het toezicht op de naleving van maatregelen en procedures voortkomend uit het Informatiebeveiligingsplan.
De beveiligingsbeheerder is bevoegd om aanwijzingen te geven met betrekking tot de beveiligingsvoorschriften voortvloeiende uit de wet en de Wet bescherming persoonsgegevens aan medewerkers van:
De beveiligingsbeheerder voorziet in:
De beveiligingsbeheerder neemt deel aan het overleg, bedoeld in artikel 4, onder g.
De privacybeheerder is betrokken bij alle bezwaar- en beroepsprocedures, die voortvloeien uit genomen beslissingen op grond van de wet, de Wet bescherming persoonsgegevens en regelgeving voortvloeiende uit de wet, voor zover de bescherming van de persoonlijke levenssfeer van een belanghebbende in het geding is.
De inhoudelijke kwaliteit van het bestand van persoonslijsten van ingezetenen wordt onderworpen aan de zelfevaluatie.
Paragraaf 6 gegevensverwerking
1° een eerste inschrijving in de basisregistratie;
2° een vervolginschrijving uit het buitenland;
De gegevensverwerker beslist binnen 5 werkdagen op het in behandeling nemen van een melding van een bestuursorgaan als bedoeld in artikel 1.1:1 van de Algemene wet bestuursrecht, die gerede twijfel heeft over de juistheid van een in de basisregistratie personen opgenomen (authentiek) gegeven en stelt het bestuursorgaan in kennis van deze beslissing.
De applicatiebeheerder is bevoegd tot het geven van aanwijzingen aan de gegevensverwerkers, bedoeld in paragraaf 6 van deze regeling, de overheidsorganen die een orgaan zijn van de gemeente, die rechtstreeks toegang hebben tot de basisregistratie personen en de in artikel 12, onder b, van deze regeling genoemde derden die toegang hebben tot de gemeentelijke basisregistratie.
De applicatiebeheerder voorziet in:
het faciliteren en vastleggen van de autorisatieniveaus die aan gegevensverwerkers, gegevensbeheerder, applicatiebeheerder, informatiebeheerder, overheidsorganen die een orgaan zijn van de gemeente en de in artikel 12, onder b, van deze regeling genoemde derden die op grond van een besluit van de informatiebeheerder zijn toegewezen;
De systeembeheerder is verantwoordelijk voor het technisch onderhoud van de gemeentelijke voorziening.
De in deze regeling opgenomen bepalingen gelden voor de basisregistratie personen en voor de gemeentelijke basisregistratie personen als bedoeld artikel 1 van de regeling.
Deze regeling wordt aangehaald als Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2014.
Aldus vastgesteld in de vergadering van 17 december 2013.
De secretaris, De burgemeester,
Dit gemeenteblad is uitgegeven op 18 december 2013 en ligt op werkdagen van 8.30 tot 16.00 uur ter inzage bij het Kenniscentrum Bestuursdienst Rotterdam (KBR), locatie Stadswinkel Centrum, Coolsingel 40 (zijde Doelwater, tegenover hoofdbureau politie)
(Zie ook: www.bds.rotterdam.nl – Gemeentebladen)
Bijlage behorende bij artikel 3 van deze regeling.
De nieuwe Wet basisregistratie personen (Wet BRP) is inmiddels aangenomen en wordt van kracht op een datum die bij Koninklijk besluit wordt bepaald. Beoogde ingangsdatum is 6 januari 2014.
Hiermee komt de Wet gemeentelijke basisadministratie persoonsgegevens te vervallen. Als de Wet BRP in werking treedt komt de Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012 van rechtswege te vervallen. Gelet op de gewijzigde regelgeving wordt de beheerregeling aangepast.
De basisregistratie bestaat uit centrale en decentrale voorzieningen. De bijhouding van de gegevens geschiedt door de gemeenten en de minister van Binnenlandse Zaken en Koninkrijksrelaties (BZK). Dit betekent voor de bijhouding door gemeenten dat vanuit de gemeentelijke voorziening gegevens worden doorgegeven aan de centrale voorzieningen. Het college van burgemeester en wethouders is verantwoordelijk voor het goed functioneren van de gemeentelijke voorziening. De minister van BZK is verantwoordelijk voor het goed functioneren van de centrale voorzieningen en voor het stelsel van berichtuitwisseling.
Alle betrokkenen dienen er voor te zorgen dat hun voorzieningen functioneren in overeenstemming met de regels die bij of krachtens algemene maatregel worden gesteld.
Het college is op grond van de Wet BRP verplicht om periodiek onderzoek te verrichten naar de inrichting, de werking en de beveiliging van de basisregistratie, alsmede naar de juistheid van de gegevensverwerking in de basisregistratie, voor zover het de gemeentelijke voorziening betreft of de gemeente verantwoordelijk is voor de bijhouding.
Het college van burgemeester en wethouders treft ten aanzien van de gemeentelijke voorziening passende technische en organisatorische maatregelen ter beveiliging van de in de basisregistratie opgenomen gegevens tegen verlies of aantasting van deze gegevens en tegen onbevoegde kennisneming, wijziging of verstrekking van deze gegevens.
Deze maatregelen omvatten ten minste:
Deze maatregelen worden in de beheerregeling beschreven, vastgelegd en voor een ieder ter inzage gelegd.
· de taakverdeling en de verantwoordelijkheidsverdeling binnen de gemeente;
· de procedures inzake de bijhouding van en controle van BRP-gegevens;
· de procedures inzake verstrekking van gegevens;
· de procedures inzake verwerking van terugmeldingen.
· het technisch beheer (procedure voor back-up, herstel en uitwijk);
De beheerregeling is afgestemd op de beheeraspecten (technisch, procedureel en organisatorisch) rond de BRP. De maatregelen op het procedureel en organisatorisch vlak zijn in deze beheerregeling nader uitgewerkt.
In de beheerregeling zijn de werkzaamheden van de medewerkers die direct met de BRP werken geformaliseerd. Taken en verantwoordelijkheden zijn afgebakend. Hieronder vallen onder andere een adequate gegevensverwerking, de beschikbaarheid van het systeem en het waarborgen van de rechten van de geregistreerde. De kwaliteit en continuïteit van de GBA wordt gewaarborgd door de invulling van de beheerfuncties en het maken van duidelijk vastgelegde afspraken over het beheer.
Elke functie draagt zorg voor de continuïteit van gegevensverwerking, alsmede voor de betrouwbaarheid en de actualiteit van de opgeslagen persoonsgegevens. Tevens moet zorg gedragen worden voor een doelmatige informatievoorziening, waarbij rekening gehouden wordt met de bescherming van de persoonlijke levenssfeer.
De beheerregeling BRP voorziet in de invulling van de volgende beheertaken:
Hierna volgt een korte beschrijving van de diverse beheertaken. De beheerfuncties moeten binnen de organisatiestructuur van PZR ingevoerd worden. Vanwege de structuur van de organisatie valt aan vermenging van een aantal functies niet te ontkomen.
Paragraaf 1 Algemene bepalingen
In deze paragraaf worden definities gegeven van de belangrijke actoren en elementen in de beheerregeling.
Het betreft hier het functioneel inhoudelijk beheer en het verstrekkingenbeheer van de basisregistratie personen, zoals die is gedefinieerd in artikel 1. De bronhouder beheert inhoud en kwaliteit van de gegevens in de basisregistratie en stelt tevens leveringsvoorwaarden (i.c. privacyvoorwaarden) aan de verstrekking van gegevens uit de basisregistratie.
De gegevensverstrekking binnen de gemeentelijke organisatie over niet-inwoners uit basisregistraties van andere gemeenten, dient gebaseerd te zijn op het autorisatiebesluit van de minister van BZK. Het beheer en de uitvoering van dat autorisatiebesluit, maken deel uit van het functioneel inhoudelijk en verstrekkingenbeheer van de basisregistratie personen.
De hier beschreven beheerrol is belegd bij concerndirecteur Dienstverlening. Van belang is hierbij op te merken dat voor de verstrekking van gegevens aan de bestuursorganen die een orgaan zijn van de gemeente, gebruik gemaakt wordt van het gegevensmagazijn waarvan het beheer niet bij de bronhouder is belegd, maar bij de CIO office, afdeling Informatiemanagement van de Bestuursdienst. Het betreft hier een gegevensmagazijn, waar de BRP deel van uitmaakt. Hoewel in hiërarchische zin niet verantwoordelijk voor deze oplossing, blijft de concerndirecteur Dienstverlening wel functioneel inhoudelijk verantwoordelijk. De functionaris bij de CIO office die belast is met de verstrekking van gegevens uit de BRP ontvangt functioneel inhoudelijke sturing van concerndirecteur Dienstverlening.
Paragraaf 2 Het informatiebeheer
In deze paragraaf worden de taken, de verantwoordelijkheden en de bevoegdheden van de informatiebeheerder beschreven.
Het college van burgemeester en wethouders is verantwoordelijk voor de verwerking van persoonsgegevens in de BRP. De concerndirecteur Dienstverlening is beheerder van de BRP en in die hoedanigheid informatiebeheerder.
Het informatiebeheer omvat het geheel van activiteiten gericht op beleidsvoorbereiding op grond van de BRP, de ontwikkeling van kwaliteitsprocedures, de beveiligingsprocedures, de verstrekking- en privacyprocedures, alsmede de coördinatie bij de uitvoering van deze procedures.
De in artikel 5 genoemde persoonsinformatievoorziening houdt eveneens het privacybeleid in.
Met het houden van overleg en het vastleggen van bepaalde beslissingen op het gebied van de informatiebeveiliging kan worden aangetoond dat aan de verplichtingen in het kader van de zelfevaluatie wordt voldaan.
Paragraaf 3 Het beveiligingsbeheer
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert periodiek (minimaal eens per jaar) aan het college van burgemeester en wethouders en de portefeuillehouder, zo nodig zonder tussenkomst van de directeur Publiekszaken .
Onder beveiligingsbeheerder wordt verstaan: een medewerker die kennis en ervaring heeft op het gebied van informatiebeveiliging en op dit terrein een adviserende en coördinerende rol kan vervullen.
De beveiligingsbeheerder is verantwoordelijk voor:
De beveiligingsbeheerder verstrekt daarnaast gevraagd en ongevraagd adviezen om te komen tot het gewenste beveiligingsniveau.
De beveiligingsbeheerder is verantwoordelijk voor het toezicht op de naleving van de maatregelen en procedures die voortkomen uit het Informatiebeveiligingsplan BRP en waardedocumenten. De beveiligingsbeheerder rapporteert hierover periodiek (minimaal eens per jaar) aan de directie en de burgemeester. In het Informatiebeveiligingsplan BRP en waardedocumenten zijn onder andere de volgende onderdelen opgenomen:
Artikel 9 regelt de verantwoordelijkheid van de beveiligingsbeheerder ten aanzien van de beperkte toegang tot de BRP die wordt verleend aan derden.
Artikel 10 lid a regelt het toezicht op zowel de implementatie als naleving van de interne en de wettelijk bepaalde beveiligingsvoorschriften.
Artikel 10 lid b geeft de beveiligingsbeheerder de bevoegdheid te adviseren aan de beheerder van de BRP over beveiligingsvoorschriften uit de Wet BRP, het Informatiebeveiligingsplan en de Wbp.
De BRP is een registratie van personen waarop onder ‘normale’ omstandigheden de Wet bescherming persoonsgegevens (Wbp) van toepassing zou zijn. De Wet BRP kent echter een eigen stelsel van privacybescherming. Het college van burgemeester en wethouders heeft als verantwoordelijke van de BRP te zorgen voor een zorgvuldige gegevensverstrekking.
Veel van de dagelijkse verstrekkingen zijn gebaseerd op bepalingen als genoemd in de Wet BRP. Verstrekkingen aan vrije derden en bestuursorganen die een orgaan zijn van de gemeente zijn geregeld in de Verordening gegevensverstrekking basisregistratie personen Rotterdam 2014 en de Regeling gegevensverstrekking basisregistratie personen Rotterdam 2014.
Het hoofd van Clusterondersteuning is privacybeheerder. De privacybeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de bescherming van de persoonlijke levenssfeer van de ingeschrevenen bij het verzamelen en het verwerken van gegevens en de informatievoorziening.
Ten behoeve van het toezicht op de naleving van de privacyvoorschriften is er een verordening gegevensverstrekking basisregistratie personen en een regeling gegevensverstrekking basisregistratie personen. Op basis hiervan zijn de systematische verstrekkingen aan bestuursorganen die een orgaan zijn van de gemeente, de toegang van die bestuursorganen tot de BRP en de verbanden tussen de BRP en andere gegevensverzamelingen en -verstrekkingen aan vrije derden geregeld.
Artikel 12 legt de verantwoordelijkheid voor het verschaffen van beperkte toegang aan derden op grond van de Wbp door een bestuursorgaan dat een orgaan is van een gemeente expliciet bij de privacybeheerder. De toegang strekt zich slechts uit tot die gegevens die de derden nodig hebben om het beoogde doel te bereiken. Voor nadere uitwerking van het doel wordt verwezen naar de regeling gegevensverstrekking basisregistratie personen Rotterdam 2014.
De privacybeheerder wordt als gevolg van de wijziging tevens verantwoordelijk geacht voor het toezicht op de implementatie en naleving van de Wbp door diezelfde bestuursorgaan dat een orgaan is van de gemeente. Dit is nodig om de privacybeheerder in staat te stellen de zorgvuldige omgang met de persoonsgegevens uit de BRP in de relatie bestuursorgaan dat een orgaan is van de gemeente en derden te kunnen beheersen.
Er wordt door de privacybeheerder tevens toezicht gehouden op de behandeling van de rechten die belanghebbenden op grond van de Wbp hebben.
Artikel 13 bepaalt de bevoegdheid tot het geven van aanwijzingen en advies.
Artikel 14 geeft de privacybeheerder de taak toezicht te hebben op de afhandeling van verzoeken om geheimhouding van gegevens alsmede de afhandeling van verzoeken van de burger om inzage in de geregistreerde gegevens, de verstrekte gegevens (protocollering) en de gegevensverwerking.
De privacybeheerder is inhoudelijk verantwoordelijk voor de jaarlijkse publicatie in dag-, nieuws- of huis-aan-huisbladen over het geheimhoudingsrecht voor ingeschrevenen.
Artikel 15 regelt de betrokkenheid van de privacybeheerder inzake beslissingen waarbij bescherming van de persoonlijke levenssfeer van belanghebbenden een rol speelt.
Paragraaf 5 Het gegevensbeheer
De gegevensbeheerder is verantwoordelijk voor het geheel van activiteiten gericht op de inhoudelijke kwaliteitszorg betreffende het verzamelen van de gegevens, het verwerken van de gegevens en de informatievoorziening.
De artikelen 17 en 18 regelen de verantwoordelijkheid en de bevoegdheid van de gegevensbeheerder over de inhoud van de BRP en de verantwoordelijkheid voor de documentatie rond de BRP. Deze bevoegdheden en verantwoordelijkheden worden geacht te zijn opgenomen in de functiebeschrijving van de functionaris.
De gegevensbeheerder is bevoegd instructies te geven over de opname, het muteren en het bijhouden van de BRP. Hiervoor dient hij schriftelijke instructies te geven.
Paragraaf 6 De gegevensverwerking
Gegevensverwerking is geen beheertaak, maar een uitvoerende functie. Voor een goed beheer van de BRP deze functie echter onontbeerlijk. De gegevensverwerkers zijn de medewerkers die de dagelijkse uitvoeringsprocedures toepassen. Verwerkers zijn de medewerkers die op grond van artikel 3 zijn aangewezen als verwerker van gegevens.
De gegevens die door de gegevensverwerkers worden verwerkt zijn ontleend aan betreffende aangifteformulieren en brondocumenten. Deze gegevens worden op voorgeschreven wijze middels het daartoe bestemde toepassingssysteem opgenomen in het gegevensbestand. Voor een goed beheer van de BRP is het noodzakelijk dat de brondocumenten goed worden gearchiveerd.
Artikel 21 verwijst in lid a naar de Wet BRP, het Logisch Ontwerp (LO) en de Handleiding Uitvoeringsprocedures (HUP). Het artikel geeft de gegevensverwerkers onder andere de opdracht tot juiste, volledige, nauwkeurige en actuele verwerkingen. Tevens wordt de opdracht gegeven tot het toetsen, verzamelen en archiveren van brondocumenten en het doen van kennisgevingen.
Paragraaf 7 Het applicatiebeheer
De applicatiebeheerder is verantwoordelijk voor het geheel van activiteiten gericht op het ondersteunen van de gemeentelijke voorziening en de waarborging van continuïteit aan de gebruikerszijde van de informatievoorziening. De leverancier van de BRP-applicatie heeft de regelgeving op het BRP-gebied verwerkt in de programmatuur. Na plaatsing van nieuwe versies zorgt de applicatiebeheerder ervoor dat de gebruikers op de hoogte worden gebracht van de wijzigingen die consequenties hebben voor de uitvoering van procedures.
Bij Publiekszaken worden bepaalde taken van applicatiebeheer in samenspraak met de Rotterdamse Service Organisatie uitgevoerd.
Artikel 22 geeft een opsomming van verplichtingen die direct voortvloeien uit wet- en regelgeving, welke worden opgedragen aan de applicatiebeheerder.
Artikel 23 geeft de applicatiebeheerder de bevoegdheid aanwijzingen te geven.
Artikel 24 regelt de bevoegdheid van de applicatiebeheerder om autorisaties toe te kennen aan zowel de gegevensverwerkers als de bestuursorganen die een orgaan zijn van de gemeente en de derden die op grond van de Wbp beperkte toegang hebben tot de basisregistratie personen.
Artikel 25 regelt de adviserende rol (aan de informatiebeheerder of systeembeheerder) in geval van uitwijk en installatie van nieuwe of gewijzigde toepassingen van het systeem.
Systeembeheer wordt uitgevoerd door de Rotterdamse Service Organisatie. Systeembeheer is verantwoordelijk voor het geheel van activiteiten gericht op het onderhouden van de technische aspecten van de gemeentelijke voorziening. De belangrijkste procedures zijn back-up en herstel, uitwijk en beveiliging.
De systeembeheerder moet tevens voorzieningen treffen voor en voorwaarden stellen aan het gebruik van verwijderbare gegevensdragers, alsmede de login van de applicatie- en systeembeheerder. Daarbij moet ook worden gedacht aan logins van leveranciers voor onderhoud op afstand van de gemeentelijke voorziening.
De Beheerregeling gemeentelijke basisregistratie personen Rotterdam 2012 dient te worden ingetrokken.